Tipologia dei dati nella privacy

Continuando il percorso avviato ieri sulla Privacy (pronunciata "pràivasi" in americano e "prìvasi" in inglese), oggi affrontiamo un tema delicato che spesso è oggetto di confusione: la tipologia dei dati definiti dal codice (art. 4 DL. 196/03) e la gestione del cosiddetto benefondi.
I dati sono classificati in tre categorie:

• Dati personali
• Dati sensibili
• Dati giudiziari

I dati personali sono le informazioni relative alle persone fisiche, alle persone giuridiche, ad enti e associazioni, sia direttamente che indirettamente e quindi, come recita la lettera b dell'art. 4, ivi compreso il numero di identificazione personale. Dunque tutto quello che permette di risalire ad una persona, ditta ecc. (nome e cognome, indirizzo, ragione sociale, indirizzo di posta elettronica ecc.).
Il codice distingue anche i dati identificativi (lettera c) che sono i dati personali attraverso i quali giungiamo all'identificazione diretta dell'interessato (persona fisica o giuridica, ente o associazione di cui si trattano i dati).
I dati sensibili sono invece quelli più delicati e si distinguono in informazioni che permettono di risalire a:

• scelte religiose, filosofiche o di altro genere
• opinioni politiche
• adesione a partiti o a sindacati
• vita sessuale
• stato di salute

Data la delicatezza delle implicazioni dei dati sensibili, si comprende come il legislatore abbia posto paletti più restrittivi riguardo a questi ultimi ed in particolare nella gestione del consenso (di cui parleremo in seguito) che, anticipiamo qui, secondo l'art. 23, comma 4 è obbligatorio quando appunto tratta i dati sensibili.

I dati giudiziari sono invece quei dati personali relativi a informazioni riguardanti il casellario giudiziale (meglio conosciuto come fedina penale), lo stato di indagato o imputato, e tutte le informazioni relative a sanzioni amministrative e carichi pendenti. Anche qui la loro delicatezza impone che vengano equiparati, come trattamento, ai dati sensibili.

Ma andiamo oltre.

Spesso un imprenditore riceve un assegno da un cliente a fronte di una fornitura. In caso di dubbi sulla sua copertura egli telefona alla banca per richiedere il cosiddetto benefondi, in altre parole per sapere se quell'assegno è scoperto o meno. Talvolta la banca si rifiuta di fornire tale informazione sollevando questioni di privacy che c'entrano fino ad un certo punto.

A tal proposito il Garante della Privacy con la delibera del 25 ottobre 2007 e ancor prima, nel 1998, con il parere del 30 novembre 1998, afferma che "La legge n. 675/1996 in materia di dati personali non ha introdotto alcun divieto nei confronti del "benefondi"" e, nelle linee guida della delibera del 25 ottobre 2007 n.1457247, specifica all'art. 3.5 "La prassi del benefondi, tuttavia, deve trovare corretta attuazione: le informazioni devono essere fornite ai soli soggetti legittimati all'incasso o alla negoziazione dell'assegno, anziché a terzi non autorizzati; inoltre, le informazioni fornite dalla banca devono essere esatte, aggiornate e non eccedenti rispetto allo scopo per il quale il benefondi è utilizzato, che è relativo alla semplice informazione dell'esistenza o meno sul conto corrente del cliente della banca trattaria dei fondi necessari al pagamento dell'assegno".

Siti internet e privacy

La privacy è un insieme di regole che completano il dettato Costituzionale sui diritti dell'individuo che in Italia è giunto a compimento negli anni novanta come molti altri Paesi europei (Belgio dal 1992, Grecia, dal 1997, Polonia dal 1997, Portogallo dal 1998, Svizzera dal 1992, Spagna dal 1999, Gran Bretagna dal 1998 e dopo la Francia (1978) e l'Irlanda dal (1988) e prima di Germania (2001) e Lussemburgo (2002).
[fonte: http://www.privacy.it/linkpriv1.html]

La Privacy in Rete è sempre più richiesta, soprattutto dai navigatori adulti, e quindi maggiormente consapevoli; maggiore è il volume di informazioni che circolano in Internet, maggiori sono i rischi e le vulnerabilità che possono manifestarsi e che bisogna prevenire e mitigare.

Per questo, a partire da oggi ne parleremo costantemente come parte integrante di questo blog.

Fra i concetti che sempre più frequentemente ci si trova a discutere con i clienti vi è quello di TRATTAMENTO DEI DATI. Se ne parla tanto ma i confini sono sempre poco definiti; il Codice della Privacy è chiaro a questo proposito, i trattamenti dei dati (art. 4, comma 1, lettera D), consistono in:

• Raccolta
• Registrazione
• Organizzazione
• Conservazione
• Consultazione
• Elaborazione
• Modificazione
• Selezione
• Estrazione
• Raffronto
• Utilizzo
• Interconnessione
• Blocco
• Comunicazione
• Diffusione
• Cancellazione
• Distruzione

anche quando i dati non sono registrati nelle banche dati, cioè questi trattamenti possono essere non solo elettronici ma anche cartacei.

Sicurezza nella mente

Quando si parla di sicurezza informatica, la prima cosa che passa per la testa è l'antivirus poi, nell'ordine, il firewall, i virus, gli spyware ed infine i siti porno. I primi rappresentano il contatto diretto fra computer e virus, i secondi sono gli oggetti incriminati e i terzi sono quelli che genericamente si considerano la "fonte".

Sui virus e le loro caratteristiche, molto si è scritto e altrettanto si scriverà, gli antivirus sono oggi i software più diffusi e i siti porno sono un arcipelago immenso e così variegato che è molto difficile distinguere il "pulito" dal "pericoloso".

In buona sostanza i virus sono programmi in grado, una volta installati nei computer "vittime", di danneggiare, spiare, controllare e utilizzare dati, informazioni e strumenti che incontrano.
I virus ben fatti sono quelli che non si fanno notare, non rallentano la macchina, non generano comportamenti anomali e non danno motivo evidente di preoccupazione. Quelli "stupidi" o fatti da incompetenti, al contrario, si fanno beccare perché fanno danni (anche gravi) e il loro utilizzo, da parte di chi li ha creati, è strettamente ludico (o idiota, fate voi). Qui si apre un'annosa questione: chi fa i virus? Chi dice che li facciano i produttori di antivirus per fare lucro (poco probabile), chi dice che li fanno ragazzini svogliati e chi, infine, pensa che siano opera della criminalità organizzata.
Spesso si fa confusione fra Hacker e Kracker, sono due figure differenti, i primi "bucano" i sistemi per dimostrarne la vulnerabilità o per motivi più o meno nobili ma comunque ideologici; i secondi per trarre dei profitti o arrecare danni intenzionali per conto proprio o per conto terzi (loschi e/o comunque privi di scrupoli).

Ma cosa fa un virus? Può fare molte cose: può aprire il computer a malintenzionati perché lo possano usare per portare attacchi informatici nascondendosi dietro il nostro pc, può inviare posta elettronica (spam, cioè e-mail spazzatura spedita a tutto il mondo) con il nostro indirizzo di posta elettronica, sia ai nominativi che trova nel nostro pc sia a tutti gli indirizzi che possiede già per suo conto, può rovistare nelle nostre cartelle per trovare file, fotografie e informazioni da rivendere, da mercanteggiare o, nei casi peggiori, per ricattarci. Può anche cercare le nostre password per accedere ai nostri conti correnti, alle nostre carte di credito. Un virus può fare di tutto, dipende da come lo si è programmato. Fra i più diffusi ci sono i "keylogger": software che sono in grado di registrare tutto ciò che si digita sulla tastiera e di inviarlo (a nostra insaputa) a delinquenti che li usano per catturare password e username che gli permettono di fare le cose dette poc'anzi. Contro i keylogger la soluzione migliore è ricorrere alla tastiera virtuale (si trova in Windows nella cartella "Accessori/Accesso facilitato" o accessibilità in Windows) che, utilizzata quando si digitano le password, ci permette di non farle "rilevare" cliccando sui tasti a video anziché pigiando i tasti veri sulla tastiera fisica. Alcuni antivirus ne incorporano già una nei browser (i programmi per navigare in Rete come Internet Explorer, Chrome, Firefox ecc.).

La difesa è di tre livelli: software, hardware e... mentale.
Il livello software è quello degli antivirus, antispyware, firewall, il livello hardware sono i router o i computer che contengono strumenti di controllo posti fra la Rete e le macchine locali.

Il livello più importante è quello "mentale": l'atteggiamento che adotta chi deve usare il computer. E' inutile avere una password sicura e complicatissima se poi la si scrive su un post-it che si appiccica sul bordo del monitor o si trascrive su una rubrica che si lascia incustodita sulla scrivania del proprio computer in un ufficio ove lavorano anche altre persone. E' inutile adottare strumenti di sicurezza sofisticati se poi diciamo in pubblico le nostre password (anche quelle della posta elettronica).

Una dei più gravi e sottovalutati gesti di maleducazione è dire davanti a diverse persone una propria password, sia di posta elettronica che di qualsiasi altra applicazione, "perché -si pensa- tanto non c'è nulla di segreto o compromettente nella mia posta", oppure "Tanto è un'applicazione banale che non uso quasi mai...". Quello che non si considera è che se, attraverso quelle credenziali d'accesso, viene commesso un reato informatico (e si risale al titolare della password e username), si è tenuti a fornire all'Autorità Giudiziaria il nominativo di tutti coloro che erano potenzialmente a conoscenza di quei dati. Quindi si creano problemi a persone del tutto ignare e magari amiche che, dopo questa leggerezza, lo saranno un po' meno.

In definitiva la sicurezza è una questione di atteggiamento, di cura e attenzione per sé stessi, per le cose proprie e per le persone che lavorano con noi o con cui entriamo in contatto a vario titolo ogni giorno nel corso della nostra vita.

La pubblicità su misura: rischi e opportunità

Quando scriviamo una e-mail, quando esprimiamo delle opinioni su un social network, quando cerchiamo qualcosa attraverso un motore di ricerca, quando visitiamo un sito internet, quando insomma navighiamo, tutto quello che facciamo, scriviamo, cerchiamo e vediamo viene tracciato in forma anonima e aggregata. In altre parole i nostri dati di navigazione, le nostre caratteristiche, i nostri interessi vengono associati a quelli di tanti altri navigatori con le stesse caratteristiche. In questo modo, attraverso le parole chiave delle nostre e-mail, delle nostre ricerche, delle pagine che visitiamo, ci appare la pubblicità che maggiormente sarà vicina alla nostra personalità, ai nostri gusti, alle nostre esigenze.

Questo è un bene o un male? Per gli ottimisti è un bene perché la pubblicità così è meno fastidiosa, mirata e utile sulle specifiche esigenze del navigatore e più efficace e meno dispersiva per l’inserzionista. I detrattori invece sono preoccupati per la violazione della privacy e per i potenziali pericoli derivanti dall’azione di un “Grande Fratello” di orwelliana memoria.

Dal punto di vista commerciale questa evoluzione è sicuramente positiva, sia per i navigatori che ricevono l’informazione che gli serve (che senso avrebbe far vedere a un uomo la pubblicità di assorbenti femminili? O a una donna la pubblicità dei rasoi da barba?), sia per gli inserzionisti che dispongono di dati più attendibili in grado di aumentare significativamente il valore del ROI (Return On Investment). Attraverso gli strumenti di controllo che i principali social network e motori di ricerca, mettono a disposizione, chiunque operi delle strategie di crescita commerciale attraverso il web marketing e il social media marketing, ha maggiori possibilità di crescita e sviluppo.

Sul fronte della privacy, tali metodologie aprono scenari inquietanti se non ci saranno regole, il più universali possibili, sulla tutela dai dati personali. In questo senso il nuovo RegolamentoEuropeo in procinto di essere votato, rappresenterà un significativo vantaggio sia per le imprese che per i cittadini.

Ma la vera partita per le imprese si gioca sul terreno dei contenuti. Un sistema che “legge” quello che scriviamo, leggiamo e visitiamo finisce inevitabilmente per selezionare e favorire i siti che posseggono i contenuti qualitativamente migliori, ben strutturati e ben organizzati. Non solo ma anche i contenuti aggiornati di frequente e con interrelazioni continue fra i siti aziendali, i social network e il mondo dei blog.

Per questo è un errore concentrarsi sulla “fabbricazione” tecnica del sito internet, esso infatti è anzitutto un fatto mediatico e solo dopo un fatto tecnico. Prima dobbiamo sapere cosa dire, come dirlo, perché, quando e a chi, e solo dopo possiamo pensare a come strutturare tutto questo in un progetto internet. Solo quando abbiamo una strategia da seguire possiamo puntare a dei risultati. Altrimenti è meglio aspettare.

Si perdono più clienti con un sito internet mal fatto che senza di esso.

ABC di internet per l'impresa

Le cose cambiano e in fretta. Ad un anno dall'uscita di "Internet per l'artigianato e la piccola impresa" a cura di CNA Torino e Camera di Commercio di Torino, è disponibile su Amazon in formato Kindle il nuovo libro scritto con Luciano Corino dal titolo "ABC di internet per l'impresa", scaricabile qui.

Il testo tiene conto delle novità in fatto di privacy e normative e di un nuovo approccio al web marketing nei due anni trascorsi dalla realizzazione del primo volume (pubblicato nel 2012 ma realizzato nel 2011).

Il successo di consensi e apprezzamenti prodotto dal libro precedente ci ha stimolati a mettere in cantiere nuove idee e nuove iniziative editoriali che, a breve, saranno disponibili con nuovi titoli editi a cura di Applicando srl.

Negli incontri e presentazioni che hanno costellato il successo della guida precedente, molte sono state le richieste di proseguire il percorso intrapreso con un testo che adeguasse i contenuti alle novità e continui cambiamenti che un settore come internet comporta, per cui, in questi giorni, abbiamo dato vita al nuovo progetto editoriale, sperando che soddisfi le esigenze di una platea sempre più vasta di imprese che operano nell'artigianato e nella piccola e media impresa.