loader image
TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

Le pagine social aziendali (c.d. fanpage) sono uno strumento di marketing indispensabile – anche e sopratutto – per i servizi di targeting offerti dai fornitori (come Facebook), che consentono ai titolari di quelle pagine di trasmettere messaggi commerciali e/o promozionali ad utenti mirati, così da generare le famose conversioni, dal click all’acquisto del prodotto o servizio.

1. LE RESPONSABILITÀ DELL’AMMINISTRATORE DELLA FAN PAGE E DEL SOCIAL NETWORK

Le campagne di targeting possono offrire ritorni economici macroscopici, ma allo stesso tempo pongono serie criticità sotto il profilo del trattamento dei dati personali degli utenti; criticità di cui l’amministratore della pagina social deve tenere conto, ma di cui spesso si è poco consapevoli.

E di fatti, proprio perchè la campagna di targeting viene creata all’interno di un social network, si è portati erronamente a ritenere che il fornitore del servizio – il Facebook o Linkedin di turno – sia l’unico responsabile ai sensi della normativa privacy.
Niente di più sbagliato!

La Corte di Giustizia Europea, a partire dal caso “Wirtschaftsakademie” (C-210/16), ha infatti chiarito che l’amministratore di una “fan page” incide sulla tipologia di trattamento dei dati personali degli utenti, ad esempio definendo i criteri in base ai quali devono essere elaborate le statistiche o designando le categorie di persone a cui inviare messaggi o annunci, selezionando una audience mirata.

Per questo motivo, l’amministratore va inteso come un “soggetto attivo” che, come tale, ha delle proprie responsabilità in materia di privacy nel momento in cui progetta campagne di targeting.

Richiamandoci al gergo specialistico della normativa privacy europea (c.d. GDPR), esiste quindi un rapporto di co-titolarità fra il social media provider (es. Facebook) e l’amministratore della pagina. Bisogna però fare chiarezza sul punto: co-titolarità non significa necessariamente uguale responsabilità in ogni fase del trattamento dei dati.

Il concetto è piuttosto intuitivo se lo associamo ad un caso concreto: l’amministratore di una pagina Facebook può certo scegliere fra un ventaglio di criteri di targeting degli utenti (età, genere, residenza ecc…), ma il numero e la tipologia di tali criteri sono stati già decisi a monte dal Social Network.

Pertanto la responsabilità congiunta si estenderà a quelle fasi di trattamento in cui entrambi gli attori coinvolti hanno inciso sulle modalità del trattamento; nel caso di prima, si estenderà al trattamento dei dati personali conseguenti alla selezione dei criteri di targeting e alla successiva visualizzazione dell’annuncio pomozionale al pubblico scelto; coprirà anche la fase di report statistico, qualora il provider fornisca all’amministratore i risultati della campagna di targeting.

Ma di certo non si estenderà alle operazioni di trattamento che si verificano ad esempio prima della selezione dei criteri di targeting pertinenti, su cui l’amministratore non avrà avuto alcun potere decisionale.

2. I RISCHI PRIVACY DI UNA CAMPAGNA DI TARGETING

  • Un primo rischio riguarda il minor controllo che gli utenti esercitano sui propri dati personali, che spesso vengono utilizzati per finalità ulteriori e non previste rispetto a quelle per le quali gli stessi utenti li hanno ceduti o divulgati all’interno della piattaforma social.
  • Un secondo tipo di rischio riguarda la possibilità di discriminazione. Le campagne di targeting possono infatti generare effetti discriminatori in relazione alla razza o all’origine etnica, allo stato di salute o all’orientamento sessuale di un individuo o ad altre caratteristiche ritenute sensibili. Ad esempio, l’uso di tali criteri nel contesto dell’annuncio di una offerta di lavoro può ridurre la visibilità di questa opportunità di lavoro a persone che rientrano in determinati gruppi di individui, spesso sulla base di deduzioni maturate dagli algoritmi del social network (es. orientamento politico in base alle pagine social di partiti o politici che segui). Questa tipologia di rischio ovviamente aumenta con l’uso di sistemi di intelligenza artificiale (ne abbiamo parlato QUI)
  • Un altro rischio è la possibile manipolazione degli utenti; un rischio accentuato nelle campagne di targeting, che hanno lo scopo di influenzare le scelte degli utenti. La vastità dei dati raccolti dai social permette di creare profili degli utenti basati anche su “emozioni” o preoccupazioni su cui fare leva per aumentare l’efficacia di un messaggio (il caso Facebook-Cambride Analytica è emblematico).

3. COME CREARE CAMPAGNE TARGETING CHE SIANO CONFORMI ALLE NORME PRIVACY?

Il primo passo è compiere una valutazione dei rischi privacy connessi alla campagna di targeting che vogliamo intraprendere.

Ogni caso è a sè stante, e quindi necessario il supporto di un consulente legale specializzato o del DPO (Data Protection Officer) se nominato, al fine di ponderare tutti i rischi conseguenti e il vostro livello di responsabilità, escludendo le responsabilità proprie del Social Network.

Questa valutazione è fondamentale, perchè laddove emerga che il trattamento dei dati connesso al targeting degli utenti presenta un rischio elevato, sarà necessario procedere ad una valutazione di impatto (c.d. Data Protection Impact Assessment), per mettere in campo una serie di misure atte a mitigare quel rischio (qui per approfondire).
Si pensi al caso di messaggi o annunci che sono inviati ad una audience vulnerabile (es. minori) o all’ipotesi di un advertising piuttosto intrusivo (es. messaggi in chat private).

Il tema è certamente complesso e richiede competenze specialistiche, le quali però saranno fondamentali per sfruttare a pieno e in sicurezza i servizi di targeting che oggi sono messi a disposizione di tutte le aziende che hanno deciso di avere una forte presenza sui Social.

MASTER SU INTELLIGENZA ARTIFICIALE: Andrea Baldrati tra i docenti

MASTER SU INTELLIGENZA ARTIFICIALE: Andrea Baldrati tra i docenti

L’intelligenza artificiale è l’ultima frontiera della data protection e il futuro campo da gioco dei nostri diritti fondamentali.

Privacy Network, l’associazione no-profit che ha l’obiettivo di divulgare il tema della protezione dei dati personali e dell’esercizio dei relativi diritti da parte dei cittadini, ha da poco pubblicato un Master online di 4 week-end (20 h.) dal titolo “PRIVACY 4.0: INTELLIGENZA ARTIFICIALE & AUDITING” nel corso del quale parteciperà l’Avv. Andrea Baldrati in qualità di docente.

Il Corso si terrà nei weekend 9-10, 16-17, 23-24, 30-31 Ottobre 2020, il Venerdì dalle ore 14.30 alle ore 17.30, mentre il sabato dalle ore 11.00 fino alle ore 13.00.

1. PRESENTAZIONE DEL CORSO

Il corso affronta in modo trasversale il tema della data protection nel campo dell’intelligenza artificiale, per accrescere le competenze professionali dei partecipanti e fornire gli strumenti necessari ad affrontare i rischi derivanti dall’uso di sistemi di intelligenza artificiale.

Partendo da una descrizione di intelligenza artificiale e delle principali tipologie presenti sul mercato, durante il corso verrà esaminata la strategia europea e italiana per l’intelligenza artificiale.

Sarà poi introdotto e approfondito il tema dei processi decisionali automatizzati alla luce del GDPR, con esame dei rischi per le persone fisiche e i limiti attuali del GDPR.

Ai partecipanti sarà infine presentato un framework per l’audit dei sistemi di intelligenza artificiale, per assicurarne la compliance alla normativa per la protezione dei dati.

2. A CHI È RIVOLTO IL CORSO?

Il corso non richiede particolari competenze pregresse per potervi accedere, in quanto il primo weekend sarà dedicato ad una introduzione all’intelligenza artificiale, partendo però da ciò che non è, al fine di sfatare i numerosi falsi miti che aleggiano intorno a questo tema.
Dunque, il corso si rivolge a:

  • Professionisti della data protection (consulenti, DPO, giuristi specializzati, ecc.);
  • Privacy manager impegnati nella gestione dei processi privacy in azienda;
  • Sviluppatori impegnati nel design di algoritmi di intelligenza artificiale;
  • Chiunque voglia approfondire il tema della data protection nel campo dell’intelligenza artificiale.

3. PREZZO E MODULO DI ISCRIZIONE

Il Prezzo dell’intero corso è di € 273,00 + IVA riservato ai soci di Privacy Network, mentre di € 390,00 + IVA per chi non risulta iscritto all’associazione.
È possibile inoltre acquistare un singolo modulo del corso ad € 70,00 (per i soci) e € 100,00 (per i non soci).

A questo riguardo, vi ricordiamo che l’iscrizione all’associazione per il 2020 è fissata in € 10.00. Per chi fosse interessato, trova tutte le informazioni a questo link.

L’iscrizione del corso, invece, può essere effettuata tramite il modulo che trovate in calce alla brochure allegata di seguito, in cui sono indicate tutte le procedure necessarie per perfezionare la propria iscrizione.


NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

Come noto, la Corte di Giustizia UE – con sentenza C-311/18 (Sentenza Schrems II) – ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy (c.d. Privacy Shield), quale meccanismo di autocertificazione delle aziende statunitensi che intendono ricevere dati dall’Unione Europea.

In sostanza, il Privacy Shield imponeva, a tutte le imprese USA che vi aderivano, una serie di obblighi inerenti la protezione dei dati personali. Lo scopo dichiarato dalla Commissione UE, promotrice dello scudo privacy, era quello di garantire un trasferimento di dati UE-USA sicuro e in linea con gli standard di protezione europei, qualora l’impresa americana destinataria dei dati ne avesse accolto i principi fondanti.

Il Privacy Shield poteva essere considerato una sorta di “bollino” certificatore che assicurava un livello adeguato di protezione dei dati di cittadini europei e allo stesso tempo permetteva alle imprese UE che trasferivano dati negli USA di essere conformi alla normativa privacy (GDPR), scegliendo quali destinatari di tali trasferimenti aziende statunitensi aderenti al Privacy Shield.

Proprio per questa ragione le più grandi corporation – a partire da Google e Microsoft – vi avevano aderito, rendendo così legittimo qualsiasi trasferimento di dati extra UE a loro favore.

La recente sentenza del 16 Luglio 20202 ha però letteralmente sconvolto questo sistema di garanzia, rendendo di fatto illegittimo qualsiasi trasferimento dei dati verso gli USA che si basava sul meccanismo del Privacy Shield.

La motivazione di questa decisione è complessa, ma proviamo a ridurla ad un principio di massima: la Corte di Giustizia ritiene che l’attuale sistema di controllo sui dati concesso alle autorità pubbliche statunitensi – in particolare per motivi di sicurezza nazionale – è così ingerente da contrastare con i principi di riservatezza e protezione dei dati personali europei (sanciti anche dalla Carta di Nizza).

La domanda legittima, che si stanno ponendo le aziende italiane ed europee, che si affidavano a sistemi cloud o servizi digitali di società statunitensi aderenti al Privacy Shield, è ovviamente: COSA DEVO FARE ORA PER TORNARE AD ESSERE CONFORME ALLA NORMATIVA PRIVACY EUROPEA?

Ci sembra utile rispondere a questa domanda prendendo a modello due macro-scenari, quello relativo ad una impresa già attiva e con una architettura digitale collaudata che si affidava in tutto o in parte alle garanzie del Privacy Shield, e quello invece afferente ad una impresa o start-up “in costruzione”, che sta progettando la sua realtà digitale.

1. IMPRESA ITALIANA IN COSTRUZIONE

Facendo tesoro del concetto di Privacy By Design, se siete ancora in fase di progettazione della struttura informatica su cui poggerà l’azienda, il consiglio è di affidarvi a SISTEMI CLOUD CON DATA CENTER IN UE, e di scegliere – per quanto possibile – servizi digitali europei.

Questo perchè la Sentenza Schrems II è una vera e propria dichiarazione di intenti: la volontà è quella di avviare un progetto di sovranità digitale europeo che favorisca le imprese europee del settore e in ogni caso, dopo questa sentenza, gli USA non sono più considerabili un Paese Terzo affidabile. Per cui è bene fin da ora orientarsi in una direzione che privilegi servizi e sistemi digitali europei, per eliminare qualsiasi problema alla radice.

2. IMPRESA ITALIANA CHE SI AFFIDAVA AL PRIVACY SHIELD

Siamo onesti, il primo pensiero – soprattutto per le imprese che lavorano nel digital – è per i servizi di GOOGLE.

Su questo punto, ci sentiamo di essere prima di tutto realisti. Google non potrà restare al palo, e di fatti l’azienda statunitense si sta già muovendo per rimediare agli effetti della Sentenza Schrems II, adottando le cc.dd. Clausole Standard, che rappresentano un altro strumento di garanzia alternativo.

In linea generale, andrà fatta una valutazione del rischio caso per caso, per capire quali e quanti dati dell’azienda sono trasferiti negli USA, oltre ad una considerazione dei meccanismi di sicurezza implementate dalle aziende statunitensi a cui ci affidiamo.

Restando sull’esempio di Google, una azienda italiana che profila gli utenti e raccoglie numerosi dati personali dei clienti, poggiando interamente sul cloud di Google con data center in USA, dovrà certamente porre in essere una migrazione dei dati verso sistemi cloud europei.
Diversamente, una società italiana che utilizza Google Analytics, con anonimizzazione dell’IP (quale funzione presente all’interno del servizio), e che si affida a sistemi cloud con data center europei, può dormire sonni tranquilli.

Nel mezzo c’è una vastità di scenari che andranno analizzati, mediante un attenta valutazione del rischio, nel segno del principio di accountability richiesto dalla normativa europea.

In questo senso, lo Studio Legale Baldrati & Strinati è attivo per fornire pareri legali alle imprese in ordine alle soluzioni logistiche da implementare – laddove necessarie – per tornare ad una situazione di piena conformità al GDPR, dopo gli effetti sconvolgenti della Sentenza Schrems II.


CONSULENZA LEGALE PER SISTEMI IA: un approccio privacy by design

CONSULENZA LEGALE PER SISTEMI IA: un approccio privacy by design

Diventa sempre più importante per le software house e le start-up innovative che progettano sistemi di intelligenza artificiale conformarsi alle prescrizioni della normativa privacy (c.d. GDPR), adottando un approccio by design.

Non sorprende quindi la notizia di ieri che vede Apple impegnata ad introdurre una sorta di etichetta privacy per tutte le applicazioni che avranno accesso al suo app store.

In sostanza, gli sviluppatori di app dovranno previamente comunicare quali dati personali sono trattati tramite l’applicazione da loro progettata, oltre alle finalità del trattamento. In questo modo, l’utente riceverà indicazioni di massima sulle tipologie di trattamento, prima di effettuare l’eventuale download.

È un altro segnale che va verso una direzione chiara: la privacy sta diventando un elemento concorrenziale fra imprese innovative, e il tema assume un ruolo ancora più centrale per quelle organizzazioni che sviluppano sistemi di IA in grado di generare decisioni automatizzate mediante l’utilizzo di dati personali (come ad esempio, gli ormai noti sistemi di riconoscimento facciale oppure le applicazioni di credit scoring per valutare l’affidabilità creditizia di una persona).
Come tali, detti sistemi pongono rischi elevati sul fronte dei diritti e delle libertà fondamentali degli utenti, poichè si “nutrono” di una enorme mole di dati che necessitano di continui controlli (dalla fase di raccolta fino a quella di training).

Il rischio, altrimenti, è quelli di utilizzare dati “fallaci” (di scarsa qualità o non realmente rappresentativi di scenari statistici) o addirittura affetti da “bias”, vale a dire pregiudizi o elementi discriminatori che incidono sul risultato finale delle decisioni automatizzate.

Per queste e altre ragioni connesse al grado di raffinatezza tecnologica e ingegneristica raggiunto dalla gran parte dei sistemi IA, oggi non è più rinviabile una attività di auditing legale che sia in grado di esaminare gli algoritimi alla base di tali sistemi, e prima di tutto i set di dati che li alimentano.

Lo Studio Legale Baldrati & Strinati ha da tempo avviato una consulenza legale sul punto, affiancando start-up e altre realtà innovative nella implementazione di un effettivo processo di “privacy by design”, in grado di guidare il cliente nella creazione di sistemi IA conformi ai principi di trasparenza e informazione richiesti dal GDPR.

L’attività di auditing legale volta ad esaminare l’algoritmo e il modello decisionale implementato dai sistemi IA, si fonda su alcuni pilastri:

  • ARCHITETTURA DELL’ALGORITMO: si valuta, tra le altre, la complessità dell’algoritmo, possibili usi secondari, i set di dati che lo alimentano, l’implementazione o meno di logiche di machine learning;
  • OPERATION: si valuta, tra le altre, i dati necessari per le decisioni automatizzate, le possibili attività di profilazione, l’eventuale condivisione dell’output a terze parti;
  • OUTPUT: si valuta, tra le altre, il tipo di output fornito dall’algoritmo, se l’output è prodotto in forma comprensibile e accessibile all’utente e se viene fornito un meccanismo di feedback per l’utente;
  • IMPLEMENTATION: si valuta, tra le altre, gli scopi del processo decisionale automatizzato e la possibilità o meno dell’intervento umano nel corso dell’intero processo.

Da ultimo si offrono una serie di soluzioni condivise con il Cliente, al fine di conformarsi all’art. 22 GDPR, che richiede una serie di requisiti in caso di trattamenti di dati personali interamente automatizzati: dal diritto di ottenere l’intervento umano da parte del titolare del trattamento, al diritto di esprimere la propria opinione e di contestare la decisione automatizzata.

La piena conformità al GDPR rappresenta un elemento di competitività sul mercato per qualsiasi organizzazione che voglia fare dell’innovazione il suo core business. Il grado di sensibilizzazione raggiunto dagli utenti sul tema privacy e i nuovi scenari imposti dalle grandi corporation (come Apple), impongono un cambio di passo sul grado di maturità dei sistemi IA, che devono essere rispettosi dei principi (privacy by design) previsti dal Regolamento Europeo


SMARTWORKING: come attivarlo in sicurezza

SMARTWORKING: come attivarlo in sicurezza

Nei prossimi mesi, in ragione del contesto di emergenza e delle norme che ne incentivano l’attivazione, saranno tante le aziende che decideranno di attivare progetti di SmartWorking.

Come noto, lo SmartWorking portà con sè enormi vantaggi in termini di flessibilità e “Work Life Balance”, ma pure nuove forme di “rischio” privacy e di sicurezza informatica, a partire dall’aumento esponenziale del c.d. perimetro aziendale, e dall’utilizzo di strumenti – anche personali del lavoratore – fuori dall’ufficio.

Di seguito, quindi, una breve raccolta degli adempimenti più importanti da adottare per conformarsi alle nuove normative privacy. A questi dovranno aggiungersi eventuali adempimenti di sicurezza e salute sul lavoro, avendo cura di conformarsi anche allo Statuto dei Lavoratori.

SCEGLIERE CON CURA I NUOVI PARTNER TECNOLOGICI. Il riferimento è al software per le video-conferenze o a quello per la condivisione dei documenti. Sarà necessario valutare una serie di parametri, fra cui la collocazione dei data centers, gli standard di sicurezza (es. crittografia end-to-end), o le opzioni offerte al Cliente per aumentare la protezione dei dati. In questa fase, consigliamo vivamente di affidarsi alla consulenza preventiva di un esperto.

DESIGNARLI RESPONSABILI DEL TRATTAMENTO. Salvo rari casi, i nuovi partner tecnologici saranno da nominare Responsabili del Trattamento ai sensi dell’art. 28 GDPR, trattando dati per conto del Titolare del Trattamento (vale a dire l’azienda). In questo modo verrà tracciata e protetta l’intera filiera privacy, attribuendo a tali soggetti le responsabilità che gli spettano in base alla normativa.

PREDISPORRE UNA CONNESSIONE SICURA. Come anticipato, con l’introduzione dello smart working si amplia notevolmente il perimetro aziendale, ed è quindi necessario assicurarsi che il lavoratoria possa connettersi in maniera sicura al server aziendale, ovunque egli si trovi per motivi di lavoro (ad esempio con apposita VPN – Virtual Private Network).

EFFETTUARE UNA VALUTAZIONE DI IMPATTO, ANCHE CYBER. Nel 2020, non è più possibile prescindere da una valutazione di impatto che accerti il livello di sicurezza informatica delle infrastrutture IT installate. La sicurezza dei dati, peraltro, rappresenta uno dei requisiti previsti dalla normativa privacy (art. 32 GDPR); il titolare, infatti, deve essere in grado di garantire la riservatezza, l’integrità e la disponibilità dei dati, oltre ad assicurare la resilienza dei dispositivi e dei servizi.

AGGIORNARE LA DOCUMENTAZIONE PRIVACY. Nuove attività di trattamento dei dati, nuovi servizi e nuovi strumenti comportano l’aggiornamento delle informative privacy, ma non solo (si pensi al registro di trattamento ex art. 30 GDPR).

CHIARIRE LE REGOLE DI UTILIZZO DEI DISPOSITIVI IT. in questa fase andranno redatte policy per informare e rendere consapevoli i dipendenti in modalità Smartworking delle attività legittime e non, in relazione ai nuovi strumenti IT e alle nuove modalità di lavoro. L’azienda può valutare anche l’utilizzo di dispositivi personali da parte del lavoratore, ma in quel caso sarà necessario predisporre apposite policy BYOD (Bring Your Own Device)

INFORMARE E FORMARE I DIPENDENTI. Prima di iniziare è necessario un periodo di formazione a favore dei dipendenti, i quali dovranno essere consapevoli dei nuovi rischi che l’attività di smartworking comporta.

Per maggiori info guarda anche il nostro video sulla protezione dei software aziendali, che diventa particolarmente importante quando si lavora da remoto.