Skip to main content

Open data e diffusione accidentale di dati personali


Finchè gli avvertimenti e i suggerimenti del ICO e delle Associazioni a tutela del diritto alla riservatezza rimarranno inascoltati, continueranno verificarsi un numero crescente di gravi violazioni della legge sulla protezione dei dati.

Il 23 agosto, è emerso ad un Comune del Regno Unito è stata comminata una sanzione di 70.000 sterline per aver pubblicato online i dati personali di più di 2.000 residenti. Tale divulgazione non intenzionale e potenzialmente dannosa è stata, apparentemente, causata da una mancanza di consapevolezza dei pericoli connessi con la ‘disclosure’ di alcuni ‘data set’ senza una previa verifica se questi contenessero dati nascosti.

Da un po’ di tempo, circolano diverse relazioni che documentano fatti analoghi in relazione alla divulgazione involontaria di dati personali da parte di autorità pubbliche intenzionate a pubblicare i dati reputandoli anonimi o aggregati. 

Questi incidenti sono legati alle richieste di ostensione di informazioni nell’ambito della libertà di informazione, promosse, tra l’altro, dall’Agenda che il Governo si è data in materia di trasparenza (nell’ambito del UK Freedom of Information Act).
Il Garante del Regno Unito (lo ICO - Information Commissioner's Office), si è espresso su questo argomento ma, evidentemente, non in maniera abbastanza efficace né sufficientemente pubblicizzata (spesso per comunicare viene usato il blog del ICO, che viene letto soprattutto da addetti ai lavori).
L'ICO e le amministrazioni pubbliche devono affrontare quello che sembra essere un rischio serio e crescente di diffusione "abusiva" (ovvero non supportata da consneso o da obblighi di legge) di dati personali dei cittadini.

Tra l’altro, errori di divulgazione come questi integrano gravi infrazioni del Data Protection Act e possono essere puniti con sanzioni fino a 500.000 £.

L' ICO deve lavorare con il governo per offrire una consulenza diretta ai top manager, specie nell’ambito del NHS (dunque in ambito sanitario). 

Benchè ad oggi, questi errori nell'ambito del trattamento dei dati non sembrino aver portato a nuocere agli interessati le cui informazioni siano state compromesse, sembra che si tratti solo di una questione di tempo.

Queste le considerazioni di Jonathan Baines (Secretary-elect della NADPO - ) sul sito The Guardian. 

Comments

Popular posts from this blog

China data protection framework evolution

Il 1 giugno 2012 il MIIT (Ministro dell'Industria e dell'Information Technology) ha evidenziato l'adozione di un aggiornamento normativo, attualmente sottoposto a pubblica consultazione (in scadenza il 6 luglio 2012), che attiene la  raccolta e l'alterazione delle informazioni personali degli utenti. In esso  viene dato un giro di vite ad alcuni abusi perpetrati da parte dei produttori di telefonini (o comunque di mobile device) e degli Online Content Providers. Il provvedimento parte dalla constatazione che, accanto alla crescente diffusione di mobile device, è invalsa l'abusiva attività di commercio delle informazioni che riguardano l'utente finale, abbinata alla pre-installazione (già dalla "fabbrica") di "malware designed to siphon the users' mobile phone balance overtime". L'emendamento proibisce ai destinatari (manufacturer e OCP) di pre-installare ovvero fornire altrimenti agli utenti, qualsiasi applicazione che: - c...

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...

Telemarketing, call center e regole disattese

Oggi mi sono imbattuto in questa notizia . I Call center potranno, se passa questo emendamento, contare su un'ulteriore proroga (si veda il comma 6) del famigerato decreto (poi convertito in legge) che a febbraio 2009 concesse l'uso dei dati personali per attività di teleselling fino al dicembre 2009 introducendo questo articolo: "1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1º agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1º agosto 2005". Eppure nel marzo del 2009 il Garante, proprio per far fronte a quella cha aveva definito come una “selvaggia aggressione”, aveva promulgato un ulteriore provvedimento sfruttando i poteri riconosciuti alle autorità amministrative...