lunedì 10 novembre 2008

RACCOMANDAZIONI DEL GARANTE DELLA PRIVACY IN MERITO ALLA TUTELA DELLA RISERVATEZZA DEGLI ISCRITTI AI SOCIAL NETWORK

URGENTE !!! FONDAMENTALE !!!
RISOLUZIONE DELL'AUTORITA GARANTE SULLA PRIVACY, ASSOLUTAMENTE DA LEGGERE PER CHI SI ISCRIVE AI SOCIAL NETWORK !!!
Social network e tutela della privacy
Garante Privacy , risoluzione 20.10.2008

Gli utenti dei servizi di social network valutino con attenzione se e cosa pubblicare in rete: c'è il rischio di perdere il controllo dei propri dati.
(vedilA direttamente al link: http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Comunicati+stampa%2F2008 )
E' quanto chiarisce il Garante della privacy, congiuntamente a tutte le Autorità mondiali di protezione dei dati, al termine della 30ma Conferenza internazionale delle Autorità di protezione dei dati di Strasburgo (15-17 ottobre 2008), con la risoluzione 20 ottobre 2008 con la quale vengono fornite raccomandazioni a utenti e fornitori di servizi.
La risoluzione evidenzia che i servizi di social network, pur offrendo una gamma del tutto nuova di opportunità comunicative possono comportare rischi per la privacy sia degli utenti sia di terzi. I dati personali contenuti nel proprio profilo sono, infatti, disponibili pubblicamente e globalmente, anche attraverso enormi quantità di foto e di video e possono raggiungere l'intera comunità degli abbonati, che può essere formata anche da alcuni milioni di persone. I dati possono essere copiati da altri membri della rete o da terzi esterni e venire utilizzati per costruire profili personali o essere ripubblicati altrove.
Le Autorità Garanti raccomandano agli utenti:
-di valutare bene quali dati inserire nel proprio profilo;
-di evitare di fornire l'indirizzo e il numero telefonico di casa, soprattutto se minorenni;
-possibilmente, l'uso di uno pseudonimo;
-di prestare particolare attenzione alla privacy degli altri, soprattutto se si pubblicano dati personali o fotografie senza il loro consenso.
Le indicazioni ai fornitori di servizi di social network sono, invece:

-prevedere configurazioni tecniche orientate a favorire la privacy degli utenti ed informarli in modo corretto e trasparente sulle conseguenze che potrebbero derivare dalla pubblicazione di dati personali in un profilo;
-adottare adeguate misure di sicurezza per impedire che soggetti esterni possano raccogliere o scaricare in massa (attraverso software spia) i dati contenuti nel profilo;
-garantire che i dati degli utenti non siano estratti dai motori di ricerca se non con il loro previo consenso;
-consentire agli utenti di limitare la visibilità dell'intero profilo, di recedere facilmente dal servizio e di cancellare ogni informazione pubblicata sul social network.
(da Altalex, 4 novembre 2008)
RIPRODUCIAMO DI SEGUITO IL TESTO DELLA RISOLUZIONE
Garante per la protezione dei dati personali, risoluzione 20 ottobre 2008
Risoluzione sulla tutela della privacy nei servizi di social network

3O ma Conferenza internazionale delle Autorità di protezione dei datiStrasburgo, 15 - 17 ottobre 2008 - Risoluzione sulla tutela della privacy nei servizi di social network
Autorità proponente: Autorità per la protezione dei dati e l'accesso alle informazioni dello Stato di Berlino – Germania; Co-sponsor: Commission nationale de l'informatique et des libertés (CNIL) – FranciaAutorità federale per la protezione dei dati e l'accesso alle informazioni – GermaniaGarante per la protezione dei dati personali – ItaliaAutorità per la privacy
"RISOLUZIONE
I servizi di social network sono divenuti estremamente popolari negli ultimi anni. Fra l'altro, si tratta di servizi che offrono agli abbonati la possibilità di interagire attraverso profili personali generati autonomamente, il che favorisce la comunicazione di dati personali relativi agli abbonati, ma anche a soggetti terzi, in una misura che non ha precedenti. I servizi di social network offrono una gamma del tutto nuova di opportunità comunicative e di interazione in tempo reale attraverso ogni possibile tipologia di informazioni, ma l'utilizzo di questi servizi può comportare rischi per la privacy sia degli utenti sia di terzi. I dati personali divengono infatti disponibili pubblicamente e in modo globale, secondo schemi qualitativi e quantitativi che non hanno precedenti, anche attraverso enormi quantità di foto e video digitali.
C'è il rischio di perdere il controllo dell'utilizzo dei propri dati una volta pubblicati in rete. Il fatto che si tratti di servizi operanti attraverso una "comunità" di utenti può far pensare che la situazione non sia molto diversa dal condividere informazioni con un gruppo di amici nel mondo reale; in realtà, le informazioni contenute nel proprio profilo possono raggiungere l'intera comunità degli abbonati al servizio – talora in numero di diversi milioni.
Attualmente non vi sono che scarse tutele rispetto alla riproduzione dei dati personali contenuti nei profili-utente; possono essere copiati da altri membri della rete, o da terzi non autorizzati esterni alla rete, e quindi venire utilizzati per costruire profili personali oppure essere ripubblicati altrove. Talora risulta assai difficile, o addirittura impossibile, ottenere la totale cancellazione dei propri dati da Internet una volta che essi siano stati pubblicati. Anche dopo la cancellazione dal sito originario (ad esempio, un servizio di social network), possono esisterne copie in mano a soggetti terzi o ai fornitori del servizio di social network. Inoltre, i dati personali contenuti nei profili possono "filtrare" dalla rete se sono indicizzati da un motore di ricerca, mentre alcuni fornitori di questi servizi consentono a terzi di accedere ai dati relativi agli utenti attraverso API (interfacce di programmazione applicazioni), cosicché tali soggetti terzi sono liberi di disporre dei dati in questione.
Fra gli esempi di utilizzo ulteriore dei dati, possiamo citare la prassi invalsa presso molti uffici del personale di varie aziende di ricercare i profili-utente relativi a candidati all'assunzione o singoli dipendenti. Secondo quanto riferito dalla stampa, un terzo dei responsabili delle risorse umane ammette di utilizzare informazioni tratte da servizi di social network, ad esempio per verificare o completare le informazioni fornite dai candidati all'assunzione.
Le informazioni contenute nei profili-utente e i dati di traffico sono utilizzati anche dai fornitori di servizi di social network per l'invio di messaggi mirati di marketing ai rispettivi utenti.
E' molto probabile che in futuro si manifestino altre modalità di utilizzo dei dati contenuti nei profili-utente.
Fra gli altri rischi specifici per la privacy e la sicurezza già oggi individuati, possiamo ricordare l'incremento del rischio di furti di identità favorito dalla diffusa disponibilità dei dati personali contenuti nei profili-utente e dalla "cattura" di tali profili ad opera di terzi non autorizzati. La 30ma Conferenza Internazionale delle autorità per la protezione dei dati e della privacy ricorda che tali rischi hanno già formato oggetto di analisi nel documento "Relazione e Linee-Guida sulla Privacy nei Servizi di Social Network ("Memorandum di Roma")" adottato durante la 43ma riunione dell'International Working Group on Data Protection in Telecommunications (3-4 marzo 2008), nonché nel Position Paper n. 1 dell'ENISA dedicato a "Security Issues and Recommendations for Online Social Networks" (ottobre 2007).
Le Autorità per la protezione dei dati e della privacy riunitesi in occasione della Conferenza Internazionale sono convinte, in primo luogo, della necessità di condurre un'approfondita campagna informativa che investa tutti i soggetti pubblici e privati: dalle autorità di governo alle istituzioni scolastiche, dai fornitori di servizi di social network alle associazioni di utenti e consumatori, nonché le stesse autorità, al fine di prevenire i molteplici rischi associati all'utilizzo dei servizi di social network.
RaccomandazioniTenuto conto della particolare natura dei servizi in oggetto, e dei rischi per la privacy delle persone nel breve e nel lungo periodo, la Conferenza sottopone le seguenti raccomandazioni agli utenti ed ai fornitori di servizi di social network:
Utenti dei servizi di social networkI soggetti interessati al benessere degli utenti dei servizi di social network, ivi compresi i fornitori di tali servizi, i governi, e le autorità per la protezione dei dati, dovrebbero contribuire ad educare gli utenti alla tutela dei dati personali che li riguardano, trasmettendo i messaggi di seguito indicati:
1. Pubblicazione delle informazioniGli utenti di servizi di social network dovrebbero valutare con attenzione se e in quale misura pubblicare dati personali in un profilo creato su tali servizi. Occorre tenere presente che le informazioni o le immagini pubblicate potrebbero riemergere in tempi successivi – ad esempio, in occasione della presentazione di una domanda d'impiego. Soprattutto, i minori dovrebbero evitare di fornire l'indirizzo o il numero telefonico di casa.Sarebbe opportuno valutare se utilizzare nel profilo uno pseudonimo anziché il nome reale. Tuttavia, gli utenti devono ricordare che la tutela offerta dall'utilizzo di pseudonimi è piuttosto limitata, in quanto altri potrebbero individuare chi vi si cela dietro.
2. La privacy degli altriGli utenti devono rispettare la privacy altrui. Occorre particolare attenzione se si pubblicano dati personali relativi a soggetti terzi (comprese foto con o senza didascalie o etichette) senza il consenso di tali soggetti.
Fornitori dei servizi di social networkI fornitori dei servizi di social network sono tenuti ad operare nell'interesse delle persone che utilizzano i loro servizi. Oltre a rispettare la normativa in materia di protezione dei dati, dovrebbero mettere in pratica anche le raccomandazioni di seguito indicate:
1. Norme e standard in materia di privacyI fornitori devono rispettare gli standard in materia di privacy vigenti nei Paesi ove operano. A tale scopo, dovrebbero consultarsi, se necessario, con le autorità per la protezione dei dati.
2. Informazioni relative agli utentiI fornitori dei servizi di social network devono informare gli utenti in merito al trattamento dei dati personali che li riguardano, secondo modalità trasparenti e corrette. Inoltre, devono fornire informazioni veritiere e comprensibili sulle conseguenze derivanti dalla pubblicazione di dati personali in un profilo, nonché sugli altri rischi in materia di sicurezza e sulla possibilità che soggetti terzi (comprese, ad esempio, le forze dell'ordine) accedano legalmente a tali dati. L'informativa deve indicare anche le modalità per una corretta gestione dei dati personali relativi a terzi che siano contenuti nei singoli profili-utente.
3. Controllo da parte degli utenti sui dati che li riguardanoE' necessario che i fornitori potenzino ulteriormente la capacità degli utenti di decidere l'utilizzo dei dati contenuti nei rispettivi profili per quanto riguarda i membri della comunità. Devono consentire agli utenti di limitare la visibilità dell'intero profilo, nonché di singoli dati contenuti nel profilo o ottenuti attraverso funzioni di ricerca messe a disposizione della comunità.Inoltre, i fornitori devono consentire agli utenti di decidere sugli utilizzi ulteriori dei dati di traffico e dei dati contenuti nei rispettivi profili – ad esempio, per quanto riguarda attività di marketing. Come minimo, devono offrire la possibilità di negare il consenso (opt-out) rispetto all'utilizzo dei dati non sensibili contenuti nel profilo, e prevedere un consenso previo (opt-in) rispetto all'utilizzo di dati di natura sensibile contenuti nel profilo (ad esempio, dati relativi ad opinioni politiche o all'orientamento sessuale) nonché rispetto ai dati di traffico.
4. Impostazioni di default orientate alla privacyInoltre, i fornitori devono prevedere impostazioni di default orientate a favorire la privacy degli utenti per quanto riguarda le informazioni contenute nei singoli profili. Le impostazioni di default sono essenziali ai fini della tutela della privacy; è noto come solo una minoranza degli utenti che aderiscono ad un determinato servizio si preoccupi di modificare tali impostazioni. Le impostazioni in oggetto devono essere particolarmente restrittive se il servizio di social network è destinato o rivolto a minori.
5. SicurezzaI fornitori devono continuare a potenziare e garantire la sicurezza dei sistemi informativi, impedendo accessi abusivi ai profili-utente, utilizzando standard riconosciuti per quanto concerne la programmazione, lo sviluppo e la gestione delle rispettive applicazioni, e ricorrendo a verifiche e certificazioni indipendenti.
6. Diritti di accessoI fornitori devono riconoscere alle persone (siano esse membri del servizio o meno) il diritto di accedere e, se necessario, apportare modifiche a tutti i dati personali detenuti dai fornitori stessi.
7. Cancellazione dei profili-utenteI fornitori devono permettere agli utenti di recedere facilmente dal servizio, cancellando il rispettivo profilo ed ogni contenuto o informazione da essi pubblicato attraverso il servizio di social network.
8. Utilizzo di pseudonimiI fornitori devono consentire la creazione e l'utilizzo, in via opzionale, di profili basati su pseudonimi e promuovere il ricorso a tale modalità opzionale.
9. Accesso da parte di soggetti terziI fornitori devono prendere misure atte ad impedire che soggetti terzi possano raccogliere attraverso dispositivi di spidering e/o scaricare (o raccogliere) in massa i dati contenuti nei profili-utente.
10. Indicizzazione dei profili-utenteI fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei motori di ricerca soltanto con il previo consenso espresso ed informato da parte del singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente da parte dei motori di ricerca".
DAL GARANTE VEDI ANCHE LE DIRETTIVE PER LA SICUREZZA DATI DEL TRAFFICO TELEMATICO E TELEFONICO: http://www.garanteprivacy.it/garante/doc.jsp?ID=1547213