VIOLAZIONE DEL PRINCIPIO PRIVACY BY DESIGN. Un caso di attualita

Uno dei principi introdotti dal Nuovo Regolamento Privacy  è quello della privacy by design (articolo 25 del Reg. 679/2016).

In particolare,  il titolare del trattamento, al fine di tutelare i diritti e le libertà degli interessati con riguardo al trattamento dei dati personali, deve attuare adeguate misure tecniche e organizzative sia al momento della progettazione sia in quello dell'esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento.

In termini pratici: il costruttore o ideatore di un prodotto o di un servizio con cui gli utilizzatori tratteranno i dati deve preoccuparsi di costruire o ideare lo stesso prodotto o servizio dotato di misure tecniche che garantiscano la sicurezza, disponibilità e integrità dei dati nonché il rispetto dei principi di protezione dei dati.

Il rispetto del principio del privacy by design non è ancora stato compreso e opportunamente valutato, anche da chi sta già ragionando in un ottica di Regolamento UE.

Ma cosa vuol dire esattamente?

La Spiral Toys, una società che progetta e realizza giocattoli lo sta comprendendo sulla propria pelle.

Il pelouche “CloudPets” di Spiral Toys, infatti, consente di registrare e inviare messaggi vocali tra bambini e genitori anche da remoto. Per omissione delle regole di sicurezza, queste registrazioni sensibili sono state accessibili a estranei per settimane via Internet. Il caso riguarda oltre 800.000 utenti registrati.

Non è una novità che un operatore archivi online le registrazioni vocali degli utenti per poi elaborarle. I servizi vocali vengono offerti sempre più spesso e pur presentando notevoli vantaggi non sono privi di  rischi. Gli operatori hanno tutto l’interesse a proteggere questi dati dall’accesso indesiderato, le conseguenze di una potenziale fuga o perdita dei dati sono infatti catastrofiche sia per gli utenti sia per l’operatore

Le banche dati del produttore del giocattolo sono state accessibili per più settimane a chiunque ne conoscesse l’indirizzo web e contenevano oltre nove Gigabyte di dati incluse, tra le altre cose, tutte le registrazioni vocali trasmesse tra bambini e genitori. Pare si trattasse di DataBase utilizzati a scopo di test, ma gli errori, da quanto risulta sono stati diversi.

Innanzitutto le piattaforme di test non dovrebbero mai contenere i dati reali dei clienti, proprio per evitare compromissioni e fughe di dati. In secondo luogo il produttore ha omesso di implementare un sistema di adeguate misure di autenticazione.

Le conseguenze immediate dell’incidente sono primariamente di natura finanziaria: negli ultimi giorni il valore delle azioni è crollato intorno ai 50 centesimi di dollaro. Poi ci sono conseguenze di natura commerciale: i clienti/ consumatori hanno perso fiducia nei giocattoli con connessione Internet.

Di recente, a posteriori di una apposita perizia legale, l’Agenzia federale delle Reti tedesca ha vietato la vendita di una bambola chiamata “My Friend Cayla” classificandola strumento di sorveglianza

Cosa sarebbe successo se il Regolamento 679 fosse già in vigore?

La società di giocattoli avrebbe dovuto pensare e progettare il giocattolo e tutti i trattamenti di dati nel rispetto dei principi di protezione dei dati. In particolare avrebbe dovuto effettuare un’analisi dei rischi del trattamento dei dati ed attuare misure tecniche e organizzative per garantirne e dimostrarne la sicurezza.

Potenzialmente poi, l’omesso rispetto del principio del privacy by design avrebbe comportato la possibile applicazione della sanzione di 10.000.000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.