















Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Una panoramica dettagliata sul furto di identità digitale, analizzando le tecniche comuni come il phishing e lo skimming. Esplora la differenza tra identità digitale e dati personali, evidenziando l'importanza del gdpr nel regolamentare il trattamento dei dati sensibili. Il documento include un'analisi di un caso studio reale e spiega concetti chiave come la data protection impact assessment (dpia) e il ruolo del data protection officer (dpo). Inoltre, affronta il tema delle violazioni dei dati (data breach) e le misure di sicurezza per proteggere le informazioni personali online, fornendo una guida completa per la sicurezza digitale e la protezione della privacy.
Tipologia: Appunti
1 / 23
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!
















Identità anagrafica = nome, cognome, luogo e data di nascita, tutti dati che sono fermi e immutabili nel tempo (al contrario dell’identità digitale). Una persona è stata completamente identificata quando si conoscono questi dati, questo perché è estremamente difficile che in due persone diverse tutte queste cose coincidano contemporaneamente. Ci sono poi anche altri fattori concreti che permettono di identificare una persona, come ad esempio l’impronta digitale. Identità digitale = nel nostro ordinamento giuridico “identità digitale” compare con la legge 119 del 2013, la quale dice che il furto dell’identità digitale è un’aggravante alla frode informatica, ma la legge non dà una definizione di identità digitale. Su internet possiamo trovare queste definizioni: ✓ “ identità che un utente della rete determina attraverso siti e social network ” (definizione sociologica) → utente della rete decide la propria identità digitale (diversamente dall’identità anagrafica che non può essere scelta/decisa da una persona) es: su Facebook tante persone possono registrarsi con nomi di cantanti o personaggi famosi, quindi non è detto che dietro l’identità digitale si nasconde la persona che dice di essere. ✓ “ insieme delle informazioni (= non solo nome utente e password, ma anche tanti altri elementi, come ad esempio il PIN o l’OTP – One Time Password) concesse da un sistema informatico ad un utilizzatore per la sua identificazione ” → si intendono le credenziali di accesso, anche se l’identità digitale non serve solo ad accedere a un sistema informatico, ma con essa si possono fare tantissime cose. Inserendo le credenziali di accesso, quali nome utente e password, l’utente può accedere a un sistema informatico, ma quest’ultimo non riconoscerà effettivamente quella persona, ma semplicemente l’utente che ha abbinato correttamente nome utente e password. Questo significa che le credenziali potrebbero essere rubate e utilizzate da altri (identità digitale viene utilizzata per commettere crimini sulla rete informatica).
Dal punto di vista giuridico, c’è una differenza tra reati informatici e reati commessi online, sia di carattere formale che sostanziale. Infatti, non tutti i reati si definiscono informatici, ma ci sono reati comuni commessi online , cioè reati comuni commessi attraverso sistemi informatici, come ad esempio:
comune commesso online che si chiama “sostituzione di persona” art. 494 C.P. Uno dei principali reati informatici , invece, è il reato di accesso abusivo ad un sistema informatico (art. 615- ter del Codice Penale), cioè l’abusiva introduzione (= abusando delle proprie potenzialità; ho delle credenziali per accedere ha un database, ad esempio, ma non significa che le informazioni al suo interno siano mie e io possa diffonderle. Questo reato vale anche per chi, appunto, ha determinate credenziali ma le utilizza abusandone) in un sistema informatico o telematico protetto da misure di sicurezza (connettersi al wi-fi del vicino del piano di sopra senza che lui l’abbia permesso, entrare nella casella di posta elettronica di un amico
o nel suo profilo social) o la permanenza contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Questo reato viene consumato spesso inconsapevolmente e ha come sanzione la reclusione fino a tre anni e come procedibilità una querela di parte (= significa che se non c’è una denuncia formale da parte della persona che ha subito il reato, nessuno può fare niente. Anche la truffa è perseguibile a querela di parte. Se non c’è la querela di parte, allora la procedibilità, la perseguibilità, si dice “d’ufficio”). Codice Penale Il Codice Penale è una raccolta di fatti che costituiscono reati, questo significa che il reato per essere tale deve essere un fatto contrario alla legge e deve prevedere una pena. Quindi, tutti i comportamenti sbagliati sono considerati reato? No, affinché un fatto sia considerato reato, deve essere inserito in un testo di legge e deve prevedere una pena. Nessuno può essere punito per un fatto che, anche sgradevole, non sia inserito in una norma. Il Codice Penale è diviso in sezioni (reati contro la persona, contro il patrimonio…) ed è stato pensato e approvato nel 1930, quando non esistevano reati informatici. Il testo, quindi, è in continua evoluzione, ad esempio “-ter” significa che l’articolo è stato aggiunto successivamente, per un reato che precedentemente non esisteva → art. 615-ter è stato aggiunto successivamente accanto al 614 e 615 perché sono articoli che riguardano la violazione di domicilio (non è messo a caso), in passato riferito solamente al domicilio fisico, ora, con la nascita del web, anche riferito al mondo informatico. Infatti, il concetto di privacy non è solo riferito al singolo, ma si estende anche al domicilio di una persona. Tutte queste info possono essere applicate sia al Codice Penale, sia al Codice di Procedura Penale.
Nonostante la differenza tra reati informatici e reati comuni commessi online, essi hanno qualcosa in comune: per arrivare all’identificazione dell’autore del reato, bisogna fare lo stesso percorso investigativo. Solitamente si chiedono informazioni alle persone che erano presenti, si tracciano le celle della zona… questo, però, su internet (= scena del crimine) non è possibile, per cui l’identificazione dell’autore del reato (sia comune online sia informatico) passa per l’unica traccia lasciata su internet, cioè l’ indirizzo IP. Tutti i dispositivi connessi a Internet sono rintracciabili attraverso un indirizzo IP, cioè un numero composto da 4 cifre che vanno da 0 a 255 (x. y. z. w.): le prime tre cifre indicano la rete alla quale si fa riferimento, la quarta indica il computer all’interno di quella specifica rete. L’indirizzo IP può essere:
Non bisogna confondere l’identità digitale con il dato personale: l’identità digitale è un dato personale, ma il dato personale non è un’identità digitale. Infatti, mentre l’identità digitale è un insieme di dati che caratterizzano una persona e che la autenticano sulla rete, il dato personale è un qualsiasi dato che identifica o rende identificabile una persona. Dato personale = qualsiasi informazione riguardante una persona fisica* identificata o identificabile (anche ID). “Identificata” fa riferimento a nome e cognome, mentre “identificabile” significa che la persona può essere identificata ma è necessario un passaggio successivo, ad esempio abbinando il nome a qualcos’altro.
▪ Fondazioni o associazioni : al loro interno possono essere trattati dati sensibili delle persone che ne fanno parte purché strettamente legati alle attività dell’associazione stessa. ▪ Resi pubblici dall’interessato : pubblicare volontariamente informazioni sui social, che diventano così di dominio pubblico. ▪ Tutela diritti sede giudiziaria : i dati sensibili possono essere trattati per difendere o esercitare diritti in un processo o un procedimento legale. ▪ Tutela salute pubblica : in situazioni di emergenza sanitaria (pandemia), i dati possono essere comunicati a enti come medici, farmacie, o autorità sanitarie per proteggere la salute pubblica es: elenchi delle persone con il COVID veniva comunicato a enti che avevano bisogno di conoscere quei
▪ Interesse pubblico rilevante : lo Stato o enti pubblici possono trattare dati sensibili per garantire un interesse pubblico importante, come la sicurezza o la gestione di emergenze. ▪ Prevenzione o ricerca medica, scientifica, storica, statistica : dati utilizzati per scopi di ricerca (es: studi sul cancro), purché si adottino misure per proteggere la privacy. Privacy = tutela della vita privata, che comprende tutela e trattamento dei dati personali. La privacy è un grande insieme che comprende il sottoinsieme riferito ai dati personali, è la possibilità di far entrare nel domicilio (fisico o digitale) chi vogliamo noi, quindi escludere chi non vogliamo, cioè concedere il trattamento dei nostri dati personali (in generale) dietro delle condizioni, dietro un consenso; il regolamento europeo non parla mai di privacy. Dati personali nelle aziende Considerando che in tutte le aziende vale il GDPR, i dati personali che vengono trattati sono dati dei dipendenti, i possibili dipendenti, ex dipendenti, i clienti, i possibili clienti, ex clienti. Le persone interessate al trattamento sono le persone fisiche, in quanto il regolamento europeo regolamenta il trattamento dei dati personali delle persone fisiche. Nel trattamento dei dati personali ci sono due figure: a. Il titolare determina finalità e mezzi, decide quali dati trattare, come vanno trattati, con quale finalità. b. Il responsabile tratta i dati per conto del titolare, rispettando una serie di cose come essere istruito, impegnarsi nella riservatezza, rispettare gli obblighi… Nel 2010 Obama ha lanciato la National Cybersecurity Initiative , documento che raccoglie in 12 punti i pilastri della cybersicurezza nazionale → numero 8: diffondere una cyber educazione/formazione. A luglio 2023, Gabrielli ha detto che è fondamentale puntare sulla formazione delle persone, in occasione della presentazione in Senato del II rapporto Censis-IIsfa. SI parla di formazione in quanto la protezione dei dati personali non è garantita dal sistema informatico, ma siamo noi a garantirla, siamo noi i primi custodi dei nostri dati: tutto ciò che comunichiamo può essere carpito da male intenzionati, ad esempio è indispensabile leggere le norme indicate per l'iscrizione prima dell'iscrizione al social network. Esempio : condizioni di Facebook → il social utilizza i cookies e tiene traccia di alcune azioni che l’utente esegue, ad esempio quando aggiunge delle connessioni, il browser che utilizza, l’indirizzo IP. L’utente, inoltre, concede all’app una licenza non esclusiva che consente a FB l’utilizzo dei contenuti pubblicati.
vengono poi sottoposti a una formazione continua e un monitoraggio regolare del loro comportamento, con l’applicazione di misure disciplinari in caso di violazioni delle policy. Alla fine del contratto, si revocano tutti gli accessi ai sistemi aziendali e si recuperano documenti o dispositivi in loro possesso per evitare potenziali violazioni.
GDPR: regolamento dell’UE entrato in vigore maggio 2018 che prevede la regolamentazione del trattamento del dato personale sia a livello cartaceo che digitale. Keywords = titolare e responsabile, TOMS, DPO, DPIA, Data Breach, registro delle attività del trattamento (documento che deve contenere tutti i dati che entrano ed escono da un’azienda, cioè spiegare il trattamento dei dati raccolti). DPIA DPIA = Data Protection Impact Assessment, cioè la valutazione d’impatto sulla protezione dei dati che viene fatta quando sono introdotte nuove misure tecniche e organizzative all’interno dell’impresa → il regolamento europeo impone agli attori principali del trattamento dei dati di dimostrare di aver adottato tutte le misure affinché il trattamento avvenga in maniera corretta, lecita e trasparente (principio di accountability = buon senso in base al quale tutti quelli che si occupano del trattamento devono impostarlo in maniera affidabile, con le cautele e le precauzioni necessarie). Questa valutazione deve essere fatta prima , il rischio deve essere valutato prima, in modo da dimostrare poi a chi dovesse effettuare un controllo di aver adottato tutte le misure per fare in modo che il rischio fosse ridotto al minimo. Ma il rischio di cosa? Mentre la privacy appartiene alla sfera privata (la tutela della privacy è un concetto più ampio che riguarda la nostra vita privata, la tutela della nostra riservatezza a tutti i livelli), il trattamento dei dati personali va ancora più in profondità, è una tutela dei nostri diritti di libertà es: io devo sapere quali dati concedo ad esempio quando compro un biglietto del treno. Il principio di accountability e la valutazione d’impatto hanno l’ obiettivo finale di togliere il rischio che il dato personale venga perso o compromesso. La valutazione d’impatto, quindi, è uno strumento che il titolare del trattamento, su parere del responsabile, utilizza per garantire e dimostrare la conformità di un trattamento dei dati alle norme, valutando e gestendo
asportato), rivelazione (persone senza accesso ne sono venute a conoscenza) o accesso non autorizzato (persone senza accesso hanno fatto l’accesso → reato di accesso abusivo a sistema informatico , è un reato informatico – art. 615-ter del Codice Penale). Il Data Breach si applica sia agli archivi informatici che a quelli cartacei. Nel caso di violazione, il titolare del trattamento deve documentare l'accaduto, conservando le informazioni relative alla violazione per future verifiche ( conservazione ), e comunicarlo all’Autorità Garante entro 72 ore ( notifica ) includendo la natura della violazione (specificare come è avvenuto il data breach es: hacker è entrato nei sistemi informatici), i dati personali coinvolti, le conseguenze probabili, le misure adottate per mitigare eventuali danni. Se la violazione comporta un rischio elevato per i diritti e le libertà delle persone coinvolte, i soggetti interessati devono essere informati senza indebito ritardo (se non si sa quali dati sono stati rubati, verranno avvisati tutti quelli i cui dati erano in quel database). Il Data Breach comporta diverse implicazioni, tra cui un articolo specifico del GDPR: art. 32.
L’identità digitale, nell’ambito delle carte di credito, è data da alcuni dati che compongono l’identità digitale nei circuiti elettronici di pagamento, dove lo scambio di moneta avviene attraverso un circuito elettronico (soldi transitano in maniera elettronica da un conto ad un altro). Questo scambio può avvenire in tanti modi: carta di credito, addebito diretto, PayPal, criptovalute (monete i cui pagamenti non sono tracciabili, ma è un sistema sicuro perché avviene attraverso la blockchain, una comunicazione di blocchi a catena che comunicano attraverso un codice hash che garantisce l’integrità del dato).
Carta di credito = un’identità digitale che implica quali sono i dati che ci permettono di conoscere una persona su un circuito elettronico: numero di carta, scadenza, nome e cognome dell’intestatario e codice di sicurezza. Questi quattro elementi ci permettono di utilizzare una carta di credito sui sistemi di pagamento elettronico in cui la carta non è fisicamente presente (online). Sono anche i dati a cui le organizzazioni criminali puntano, perché con essi riescono a rubare soldi. La carta di credito è uno strumento di pagamento, costituito da una carta plastificata con dispositivo per il riconoscimento dei dati identificativi del titolare e dell’istituto bancario emittente.
Frodi Questo tipo di crimine consiste nel furto dei dettagli relativi alla carta di credito ovvero il nome del titolare, il numero di carta, la data di scadenza e il codice CVV, con lo scopo di arrivare a clonare la carta. L’acquisizione dei dati può avvenire tramite: a. Hacking → violazione dei database, cioè violare non necessariamente il sito dell’istituto emittente, ma violare anche il database di un esercente per accedere ai numeri delle carte di credito immagazzinati es: negozio online b. Phishing → acquisizione dei dati tramite siti web o email costruiti ad hoc c. Boxing (box = cassetta della posta) → acquisizione dei dati tramite sottrazione dell’estratto conto (che in passato arrivava in maniera cartacea) inviato al titolare o della carta stessa, che conteneva tutti i dati delle carte di credito in maniera esplicita (poi sono stati coperti con asterischi). d. Trashing → i malviventi vanno alla caccia degli scontrini delle carte di credito che talvolta i possessori gettano via dopo un acquisto. Oggi sullo scontrino non ci sono più i dati della carta di credito, mentre in passato sì. Clonare = creare un secondo originale. Inizialmente, quando venivano clonate le carte di credito, venivano proprio materialmente create delle carte stampate, con i dati ricavati tramite le modalità elencate precedentemente. In passato era molto facile fare ciò, perché tutte le carte che hanno una banda magnetica partono dalle cosiddette blank card , cioè delle piccole carte bianche che hanno una banda magnetica e vengono utilizzate per un qualsiasi tipo di attività che può essere fatta con la banda magnetica es: badge a lavoro, inserimento del sistema d’allarme, apertura di una sbarra in un parcheggio. Queste blank card venivano quindi comprate e poi usate per clonare le carte → per evitare che ciò accadesse, le varie aziende come American Express, Visa ecc hanno iniziato a creare degli accorgimenti per far sì che le carte originali avessero dei caratteri speciali o dei segni distintivi → sistemi di anticontraffazione :
Sistema della forchetta Gli sportelli bancomat non sono di proprietà della banca o delle poste, ma vengono costruiti da determinate aziende che poi li danno in comodato d’uso a banche o poste, quindi possono essere di diversa tipologia e ognuno si presta solo a certi tipo di manomissioni. In particolare, gli sportelli delle Poste si prestano al sistema della forchetta: così chiamato perché si mette dietro al dispositivo in cui scorrono i soldi → una persona preleva, il sistema tiene bloccati i soldi e la carta viene restituita (ovviamente ciò viene fatto accadere quando l’ufficio postale è chiuso): il criminale si prende i soldi → non è una clonazione di carte di credito. Come evitare le frodi? a. Ci sono sistemi di sicurezza messi a disposizione da alcuni circuiti o emittenti: Verified by Visa o SecureCode di Mastercard Maestro → tutti gli istituti che emettono carte di credito hanno una centrale di raccolta dei dati delle carte che risultano rubate o smarrite, quindi se il sistema riceve dati di una carta smarrita o rubata, la transazione viene bloccata. b. Utilizzare la procedura di chargeback (disconoscimento della spesa): una persona si trova addebitate spese che non ha fatto e fa un disconoscimento, dicendo all’istituto emittente quali sono i motivi per cui il pagamento non viene riconosciuto. Nella maggior parte dei casi, i soldi vengono restituiti, a meno che la carta non è stata clonata. Altri strumenti di moneta elettronica ➢ PayPal , uno strumento di micro-pagamento utilizzato nell’e-commerce, tramite il quale è possibile effettuare transazioni presso molti negozi online (compreso Ebay). Registrandosi gratuitamente viene aperto un conto personale (non senza appoggiarsi ad un altro conto corrente, carta di credito o prepagata, come la Postepay), dopodiché è possibile effettuare o ricevere pagamenti. È un sistema di deposito a garanzia: PayPal si mette tra compratore e venditore, inviando email per avvisare e nel frattempo trattiene i soldi, finché non vengono confermati i movimenti. Anche qui, però, ci possono essere delle truffe. ➢ Criptovalute : sono monete virtuali che non esistono fisicamente nel mondo reale. Si tratta di stringhe di numeri e lettere, il cui valore è determinato da una convenzione tra utenti, senza l’intermediazione di una banca centrale. Quando si acquistano Bitcoin, non si ottiene denaro tradizionale, ma una stringa digitale che rappresenta l’equivalente dell’importo speso. Per acquistare Bitcoin, si possono utilizzare piattaforme di scambio (Exchanger) che convertono la valuta corrente in criptovaluta. Questa transazione è tracciabile, ma una volta che i Bitcoin vengono trasferiti in un portafoglio offline (come un cold wallet, scollegato da internet), non saranno più rintracciabili. SKIMMING E CLONAZIONE Skimming = to skim (strisciare, ciò che fa la carta di credito nel lettore). Si intende quell’attività illecita in base alla quale vengono carpiti i codici delle carte di credito che stanno sulla banda magnetica per poter clonare le carte. L’attività di clonazione di carte di credito ha attraversato diverse fasi : inizialmente si puntava a modificare i POS di negozi molto grandi che avevano un maggior numero di clienti che utilizzavano il POS → i criminali durante il giorno entravano come normali clienti in un supermercato e si nascondevano dietro gli scaffali,
Questo procedimento è semplice, in quanto gli sportelli bancomat sono facilmente accessibili da tutti, mentre i POS sono più difficilmente attaccabili, perché bisogna entrare nel supermercato, nascondersi ecc. Il fenomeno della clonazione in Italia oggi è stato debellato, in quanto queste organizzazioni criminali sono state smantellate (in Abruzzo perché rumeni e bulgari arrivavano in traghetto ad Ancona e poi si facevano il litorale da Vasto all’Emilia Romagna). Reati configurabili Sono reati informatici, introdotti nel Codice Penale in seguito all’individuazione di nuovi reati:
Smart contract : programma per il computer che viene eseguito automaticamente su una blockchain (sistema di comunicazione usato per le criptovalute che ha dei requisiti molto importanti: immutabilità del dato, sicurezza e trasparenza), la quale garantisce i requisiti del dato, che devono rimanere tali fino alla chiusura del contratto. Mentre un contratto tradizionale ha bisogno di un giudice per essere fatto rispettare in caso di controversie, uno smart contract è programmato per eseguire automaticamente le condizioni, senza necessità di interventi esterni. Un’accezione superiore di questo contratto è lo smart legal contract , che ha anche valore giuridico ed è riconosciuto legalmente come un contratto valido tra le parti. In realtà, la normativa di oggi non prevede ancora delle forme di smart legal contract: significa che il contratto esiste ma non esiste ancora una norma che lo regolamenti – e neanche una che lo vieti. Esempio di smart contract : faccio un contratto di assicurazione per i viaggi in aereo e se il volo è in eccessivo ritardo mi spetta un rimborso → qui entra in gioco lo smart contract: quando l’aereo è in ritardo, lo smart contract, autonomamente, manda il rimborso a tutte le persone su quel volo. Questo contract era stato inserito sulla piattaforma così da attivarsi nel momento in cui si fosse verificata una determinata condizione (ritardo del volo superiore a tot ore), con la clausola IF THEN (se succede questo… allora fai questo…) → tutto avviene in automatico con il computer, per questo si chiama “ smart ” contract. Se lo smart contract viene impostato in modo errato (ad esempio, prevede il rimborso dopo 1 ora e 30 minuti invece di 1 ora come stabilito dalla norma), il problema è che non può essere modificato una volta attivato, perché opera in modo automatico sulla blockchain. Questa è la clausola WHAT IF? (cosa succede se qualcosa va storto?). Purtroppo, gli smart contract non sono ancora regolamentati dalla legge, quindi, in caso di errore, non esiste un chiaro quadro giuridico per correggerlo o attribuire responsabilità. Il contratto eseguirà comunque la sua funzione, anche se non è conforme alla norma.
(perché non si possono tracciare i bitcoin). Come difendersi? Non aprire allegati sospetti, effettuare backup regolari e proteggere i backup. 03/02/ I dati presi nelle piattaforme di intelligenza artificiale ( web scraping : raccolta massiva di dati) vengono usati per addestrare il sistema di AI, per alimentarlo. Il garante deve capire se c’è questa attività di web scraping riconducibile anche al trattamento dei dati. Armonizzazione del regolamento europeo : sentenza recente della corte di giustizia europea che riguarda l’armonizzazione del regolamento europeo con la legislazione nazionale → ricorso di un lavoratore tedesco che ha denunciato il proprio datore che, durante il rinnovo del contratto, aveva applicato un software che trasferiva i dati dei propri lavoratori negli USA in maniera scorretta. Il giudice ha ribadito che, anche in occasione di accordi, vale il GDPR: il giudice nazionale deve disapplicare la norma interna tutte le volte che è in contrasto con la norma europea. Il regolamento europeo è una norma che si applica direttamente in tutti gli Stati Europei a partire dal 2018, i quali devono applicarlo così come, al massimo possono “armonizzarlo” (= articoli del codice della privacy che erano in contrasto sono stati automaticamente cancellati) con la norma interno. In Italia, ad esempio, esisteva già il codice della privacy che è stato incastrato con il nuovo regolamento europeo, dando vita a una nuova norma.
Nel 2008 (GDPR non esiste) una ditta di noleggio pullman fa una richiesta di verifica preliminare per l’installazione di dispositivi GPS (Global Position System): anche la posizione di una persona è un dato personale, quindi installando un dispositivo GPS si vanno a raccogliere dati personali, per questo c’è bisogno dell’autorizzazione delle persone che andranno a utilizzare quei mezzi. Questa richiesta spiegava che i dispositivi avevano diverse finalità : localizzare geograficamente i veicoli per verificare la velocità e la direzione (controllo del comportamento degli autisti in relazione alla sicurezza, premiando chi si comporta bene) e per intervenire velocemente in caso di incidente o guasto. Il garante risponde che c’è la liceità del trattamento, cioè che il trattamento dei dati raccolti può essere fatto, a condizione che gli interessati siano stati informati, che l’accesso dei dati sia dato solo agli incaricati a determinate mansioni, che i dati vengano conservati solo per il tempo strettamente necessario e che la società che fornisce il servizio sia nominata come responsabile del trattamento. SECONDO CASO Nel 2010 un’associazione allevatori ha fatto una richiesta al garante per dotare di dispositivi GPS (braccialetti) gli ispettori che fanno i controlli sulle aziende zootecniche, per certificare che effettivamente andassero nelle aziende. Questo braccialetto però, a tutti gli effetti, controllava dei lavoratori a distanza , ma esistono delle norme nello Statuto dei Lavoratori che vietano “l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”.
La richiesta spiegava che i braccialetti sarebbero stati utili a organizzare le attività, a certificare che gli accertamenti siano stati fatti bene, e che sarebbero stati adottati dei sistemi di pseudonimizzazione oltre il fatto che l’ispettore può accendere o spegnere il dispositivo quando vuole. Il garante approva ma secondo una serie di condizioni : l’accesso ai dati può essere fatto solo attraverso un portale, deve essere garantita la pseudonimizzazione, gli interessati devono essere informati e i dati non possono essere conservati oltre i due anni. TERZO CASO Nel 2010 vengono installati dei GPS su auto aziendali da parte di una ditta in assenza di informativa e comunicazione ai sindacati: i dipendenti fanno un reclamo → i GPS permettevano la localizzazione geografica dei veicoli, la raccolta di informazioni sul percorso, le soste, sulla diagnostica del veicolo: tutti i dati venivano raccolti su un server a cui si accedeva con ID e password. La ditta ha dichiarato che era stata fatta una riunione con tutti i dipendenti interessati e che l’installazione di questi dispositivi serviva per pianificare meglio gli interventi, per gestire sinistri, guasti o multe e per calcolare meglio i costi di trasferta per interventi ai clienti. Il garante, però, blocca la procedura perché non è stata fatta innanzitutto la richiesta di verifica preliminare e richiede di fare un’informativa corretta per gli interessati, di designare gli incaricati legittimati all’accesso e di valutare i tempi di conservazione dei dati in relazione all’effettiva necessità. QUARTO CASO Nel 2015 una flotta di noleggio fa una richiesta di verifica preliminare: aziende mette a disposizione delle macchine da noleggiare e vuole installare dei GPS → per offrire maggiore sicurezza (gestione degli incidenti
I responsabili dei crimini informatici: