Avv. Andrea Baldrati +39 340 4895530 Avv. Armando Strinati +39 333 5247665

News

12 Agosto 2020

PHISHING: attenzione alle mail sospette

PHISHING ATTENZIONE ALLE MAIL SOSPETTE
GDPR e Diritto Digitale, Tutela

Quando si apre la casella di posta capita spesso di trovare alcune mail apparentemente “normali” ma con alcuni dettagli che non vanno (ad esempio: errori marchiani di ortografia, problemi di formattazione testo, link lunghissimi e incomprensibili anticipati da un “clicca qui”, indirizzo mail del mittente non riconducibile all’estensore della mail, ecc.). Nonostante molte riproducano fedelmente la grafia e il contenuto delle mail e Pec inviate da Agenzia delle Entrate oppure dalla propria banca, o ancora da Poste o Enel, è possibile che ci si trovi di fronte ad una frode informatica: il c.d. Phishing.

Tale tecnica è utilizzata da soggetti chiamati Phisher per ottenere informazioni e dati personali del destinatario della mail (ad esempio, nome, cognome e documento d’identità; le credenziali della carta di credito o del conto corrente; Username e Password per accedere all’Home Banking o ad archivi contenenti informazioni lavorative segrete o riservate; ecc) al fine di riutilizzarli nei più svariati modi: concludendo contratti, effettuare pagamenti, trasferire denaro, oppure rubare informazioni fondamentali sul piano lavorativo, il tutto “spacciandosi” per il reale titolare dei dati e senza destare alcun sospetto.

Quando ci si accorge di essere stati vittima di Phishing (es.: movimenti strani nel conto corrente oppure vi vedete recapitare fatture per prestazioni mai richieste), il primo passo è quello di denunciare tempestivamente l’accaduto alle Autorità.
E’ inoltre possibile, in particolari casi di “attacco” al proprio conto corrente e di mancato rispetto di adeguati standards di sicurezza da parte dell’istituto di credito, chiedere il ristoro integrale delle somme alla propria banca (sarà possibile altresì, solamente nei casi concessi, rivolgersi all’ABF – Arbitrato Bancario Finanziario).
Nel caso invece di notifica di contravvenzioni stradali senza tuttavia essere mai stati nel luogo dell’indicata violazione (potrebbe essere stata rubata la vostra targa oppure noleggiata una vettura on line utilizzando la vostra carta d’identità) si dovrà immediatamente procedere con l’impugnazione del verbale, denunciando contestualmente il furto e utilizzo illecito dei dati.

10 Agosto 2020

MASTER SU INTELLIGENZA ARTIFICIALE: Andrea Baldrati tra i docenti

Privacy 4.0 - IA e auditing
Eventi, GDPR e Diritto Digitale

L’intelligenza artificiale è l’ultima frontiera della data protection e il futuro campo da gioco dei nostri diritti fondamentali.

Privacy Network, l'associazione no-profit che ha l'obiettivo di divulgare il tema della protezione dei dati personali e dell'esercizio dei relativi diritti da parte dei cittadini, ha da poco pubblicato un Master online di 4 week-end (20 h.) dal titolo "PRIVACY 4.0: INTELLIGENZA ARTIFICIALE & AUDITING" nel corso del quale parteciperà l'Avv. Andrea Baldrati in qualità di docente.

Il Corso si terrà nei weekend 9-10, 16-17, 23-24, 30-31 Ottobre 2020, il Venerdì dalle ore 14.30 alle ore 17.30, mentre il sabato dalle ore 11.00 fino alle ore 13.00.

1. PRESENTAZIONE DEL CORSO

Il corso affronta in modo trasversale il tema della data protection nel campo dell’intelligenza artificiale, per accrescere le competenze professionali dei partecipanti e fornire gli strumenti necessari ad affrontare i rischi derivanti dall’uso di sistemi di intelligenza artificiale.

Partendo da una descrizione di intelligenza artificiale e delle principali tipologie presenti sul mercato, durante il corso verrà esaminata la strategia europea e italiana per l’intelligenza artificiale.

Sarà poi introdotto e approfondito il tema dei processi decisionali automatizzati alla luce del GDPR, con esame dei rischi per le persone fisiche e i limiti attuali del GDPR.

Ai partecipanti sarà infine presentato un framework per l’audit dei sistemi di intelligenza artificiale, per assicurarne la compliance alla normativa per la protezione dei dati.

2. A CHI È RIVOLTO IL CORSO?

Il corso non richiede particolari competenze pregresse per potervi accedere, in quanto il primo weekend sarà dedicato ad una introduzione all'intelligenza artificiale, partendo però da ciò che non è, al fine di sfatare i numerosi falsi miti che aleggiano intorno a questo tema.
Dunque, il corso si rivolge a:

  • Professionisti della data protection (consulenti, DPO, giuristi specializzati, ecc.);
  • Privacy manager impegnati nella gestione dei processi privacy in azienda;
  • Sviluppatori impegnati nel design di algoritmi di intelligenza artificiale;
  • Chiunque voglia approfondire il tema della data protection nel campo dell’intelligenza artificiale.

3. PREZZO E MODULO DI ISCRIZIONE

Il Prezzo dell'intero corso è di € 273,00 + IVA riservato ai soci di Privacy Network, mentre di € 390,00 + IVA per chi non risulta iscritto all'associazione.
È possibile inoltre acquistare un singolo modulo del corso ad € 70,00 (per i soci) e € 100,00 (per i non soci).

A questo riguardo, vi ricordiamo che l'iscrizione all'associazione per il 2020 è fissata in € 10.00. Per chi fosse interessato, trova tutte le informazioni a questo link.

L'iscrizione del corso, invece, può essere effettuata tramite il modulo che trovate in calce alla brochure allegata di seguito, in cui sono indicate tutte le procedure necessarie per perfezionare la propria iscrizione.


5 Agosto 2020

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

NO AL PRIVACY SHIELD. Cosa devono fare le imprese italiane
Compliance, Consulenza e Gestione d’Impresa, GDPR e Diritto Digitale

Come noto, la Corte di Giustizia UE - con sentenza C-311/18 (Sentenza Schrems II) - ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy (c.d. Privacy Shield), quale meccanismo di autocertificazione delle aziende statunitensi che intendono ricevere dati dall'Unione Europea.

In sostanza, il Privacy Shield imponeva, a tutte le imprese USA che vi aderivano, una serie di obblighi inerenti la protezione dei dati personali. Lo scopo dichiarato dalla Commissione UE, promotrice dello scudo privacy, era quello di garantire un trasferimento di dati UE-USA sicuro e in linea con gli standard di protezione europei, qualora l'impresa americana destinataria dei dati ne avesse accolto i principi fondanti.

Il Privacy Shield poteva essere considerato una sorta di "bollino" certificatore che assicurava un livello adeguato di protezione dei dati di cittadini europei e allo stesso tempo permetteva alle imprese UE che trasferivano dati negli USA di essere conformi alla normativa privacy (GDPR), scegliendo quali destinatari di tali trasferimenti aziende statunitensi aderenti al Privacy Shield.

Proprio per questa ragione le più grandi corporation - a partire da Google e Microsoft - vi avevano aderito, rendendo così legittimo qualsiasi trasferimento di dati extra UE a loro favore.

La recente sentenza del 16 Luglio 20202 ha però letteralmente sconvolto questo sistema di garanzia, rendendo di fatto illegittimo qualsiasi trasferimento dei dati verso gli USA che si basava sul meccanismo del Privacy Shield.

La motivazione di questa decisione è complessa, ma proviamo a ridurla ad un principio di massima: la Corte di Giustizia ritiene che l'attuale sistema di controllo sui dati concesso alle autorità pubbliche statunitensi - in particolare per motivi di sicurezza nazionale - è così ingerente da contrastare con i principi di riservatezza e protezione dei dati personali europei (sanciti anche dalla Carta di Nizza).

La domanda legittima, che si stanno ponendo le aziende italiane ed europee, che si affidavano a sistemi cloud o servizi digitali di società statunitensi aderenti al Privacy Shield, è ovviamente: COSA DEVO FARE ORA PER TORNARE AD ESSERE CONFORME ALLA NORMATIVA PRIVACY EUROPEA?

Ci sembra utile rispondere a questa domanda prendendo a modello due macro-scenari, quello relativo ad una impresa già attiva e con una architettura digitale collaudata che si affidava in tutto o in parte alle garanzie del Privacy Shield, e quello invece afferente ad una impresa o start-up "in costruzione", che sta progettando la sua realtà digitale.

1 IMPRESA ITALIANA IN COSTRUZIONE

Facendo tesoro del concetto di Privacy By Design, se siete ancora in fase di progettazione della struttura informatica su cui poggerà l'azienda, il consiglio è di affidarvi a SISTEMI CLOUD CON DATA CENTER IN UE, e di scegliere - per quanto possibile - servizi digitali europei.

Questo perchè la Sentenza Schrems II è una vera e propria dichiarazione di intenti: la volontà è quella di avviare un progetto di sovranità digitale europeo che favorisca le imprese europee del settore e in ogni caso, dopo questa sentenza, gli USA non sono più considerabili un Paese Terzo affidabile. Per cui è bene fin da ora orientarsi in una direzione che privilegi servizi e sistemi digitali europei, per eliminare qualsiasi problema alla radice.

2 IMPRESA ITALIANA CHE SI AFFIDAVA AL PRIVACY SHIELD

Siamo onesti, il primo pensiero - soprattutto per le imprese che lavorano nel digital - è per i servizi di GOOGLE.

Su questo punto, ci sentiamo di essere prima di tutto realisti. Google non potrà restare al palo, e di fatti l'azienda statunitense si sta già muovendo per rimediare agli effetti della Sentenza Schrems II, adottando le cc.dd. Clausole Standard, che rappresentano un altro strumento di garanzia alternativo.

In linea generale, andrà fatta una valutazione del rischio caso per caso, per capire quali e quanti dati dell'azienda sono trasferiti negli USA, oltre ad una considerazione dei meccanismi di sicurezza implementate dalle aziende statunitensi a cui ci affidiamo.

Restando sull'esempio di Google, una azienda italiana che profila gli utenti e raccoglie numerosi dati personali dei clienti, poggiando interamente sul cloud di Google con data center in USA, dovrà certamente porre in essere una migrazione dei dati verso sistemi cloud europei.
Diversamente, una società italiana che utilizza Google Analytics, con anonimizzazione dell'IP (quale funzione presente all'interno del servizio), e che si affida a sistemi cloud con data center europei, può dormire sonni tranquilli.

Nel mezzo c'è una vastità di scenari che andranno analizzati, mediante un attenta valutazione del rischio, nel segno del principio di accountability richiesto dalla normativa europea.

In questo senso, lo Studio Legale Baldrati & Strinati è attivo per fornire pareri legali alle imprese in ordine alle soluzioni logistiche da implementare - laddove necessarie - per tornare ad una situazione di piena conformità al GDPR, dopo gli effetti sconvolgenti della Sentenza Schrems II.


Hai bisogno di assistenza legale?

Siamo pronti a fornirti un supporto concreto per difendere in ogni sede i tuoi diritti.
Contattaci