Bollettino Legale n. 74 – Agosto 2024.  

Telegram, Signal, WhatsApp… Quanto sono validi i servizi di messaggistica istantanea in un contesto professionale?

Ci sono state numerose reazioni nei media all'arresto in Francia di Pavel Durov, il fondatore dell'app di messaggistica Telegramma.

A prescindere dai dibattiti politici sull'argomento, questo caso ci offre l'opportunità di valutare l'affidabilità della messaggistica istantanea.

In che misura le informazioni scambiate sono realmente riservate? Queste applicazioni sono comparabili e possono essere utilizzate in un contesto professionale?

Oggigiorno la maggior parte dei servizi di messaggistica istantanea si vanta di crittografare le proprie comunicazioni.

Tuttavia, la prassi varia a seconda del servizio di messaggistica.

Molti utenti di Telegram hanno quindi scoperto negli ultimi giorni che le loro comunicazioni non sono protette di default.

Sono protette solo le comunicazioni dirette tra due partecipanti che hanno attivato manualmente la crittografia nelle opzioni di conversazione.

Va notato che Telegram non utilizza la crittografia open source come il protocollo Signal, ma si affida a una tecnologia "proprietaria" impossibile da verificare. 

Le discussioni di gruppo (o canali di chat) non possono essere crittografate e pertanto Telegram può accedere al loro contenuto, nonché alle informazioni sui membri e sugli amministratori di questi gruppi.

Gli scambi qui sono più simili a quelli di un social network che a quelli di un servizio di messaggistica.

Telegram è stato criticato per anni per la mancanza di moderazione dei canali di discussione, per aver ignorato le richieste di molti governi di rimuovere contenuti illegali e per essersi rifiutato di condividere informazioni su potenziali trasgressori.

Questi obblighi di moderazione e di cooperazione con le forze dell'ordine sono previsti dalla legge francese e dal regolamento europeo sui servizi digitali.

È in questo contesto che il suo fondatore è stato arrestato per mancanza di collaborazione e complicità nella criminalità organizzata.

Quest'obbligo di cooperazione ha tuttavia dei limiti: la comunicazione crittografata end-to-end rimane infatti riservata e non può essere intercettata da terzi, siano essi il fornitore del servizio di messaggistica, un governo o un hacker.

Alcuni stati sono preoccupati per la diffusione della crittografia e stanno esercitando pressioni per ottenere modifiche normative che ne consentirebbero l'elusione.

Ciò vale in particolare nel contesto della proposta di regolamento europeo sugli abusi sessuali sui minori (CSA).

Questa pressione per indebolire la riservatezza delle comunicazioni sta provocando numerose reazioni da parte dei difensori delle libertà individuali e delle autorità di protezione dei dati, per i quali equivarrebbe a una sorveglianza diffusa delle comunicazioni private, minerebbe la sicurezza digitale violando la crittografia e non fornirebbe alcuna prova del raggiungimento dell'obiettivo di proteggere i minori.

Considerato lo stato attuale delle leggi e della tecnologia, si raccomanda vivamente di utilizzare la crittografia end-to-end per lo scambio di messaggi professionali, soprattutto quando il contenuto del messaggio è sensibile (ad esempio, dati medici o finanziari).

E sotto questo aspetto, non tutte le applicazioni sono uguali. Sebbene il contenuto del messaggio possa essere protetto, la crittografia non impedisce la raccolta di alcuni dati di identificazione dell'utente e/o di connessione.

Si raccomanda particolare cautela in tutti i casi quando si utilizzano i gruppi di discussione.

L'uso dei gruppi Bomba Lo scambio di dati sensibili in un contesto professionale ha quindi comportato sanzioni per il titolare del trattamento da parte di un'autorità di protezione dei dati.

Segnale è generalmente riconosciuto come un sistema che offre un elevato livello di protezione, ma non è l'unico.

Ad esempio possiamo menzionare Threema E Olvid Questi servizi hanno il vantaggio di essere europei. Tuttavia, presentano lo svantaggio di essere ancora relativamente sconosciuti. All'interno di un'azienda, tali sistemi di messaggistica possono comunque rappresentare un'alternativa interessante.

NB / Numerose analisi descrivono in dettaglio i punti di forza e di debolezza delle applicazioni di messaggistica. Ad esempio, si veda quella di Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Per un'analisi più completa di ciò che le forze dell'ordine possono ottenere da un servizio di messaggistica, si veda questo documento di formazione dell'FBI ottenuto tramite una richiesta ai sensi del Freedom of Information Act da Property of the People, un'organizzazione no-profit americana dedicata alla trasparenza governativa: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

Il 2 settembre SOS médecins ha comunicato che la CNIL (Commissione Nazionale Informatica e Libertà) aveva approvato la creazione da parte dell'associazione di un data warehouse denominato "Contact".

Secondo SOS médecins, Contact è "dedicato all'assistenza non programmata e al miglioramento dell'accesso alle cure, (e) promuoverà la ricerca e l'innovazione in ambito sanitario".

Il sistema consoliderà in modo sicuro e riservato i dati di milioni di pazienti curati ogni anno all'interno delle 64 associazioni della federazione.

Secondo la federazione, questi dati dovrebbero essere riutilizzati a beneficio dei pazienti per migliorare le pratiche e ottimizzare l'assistenza.

L'Università Paris-Saclay ha annunciato di essere stata vittima di un attacco ransomware l'11 agosto. Questo episodio si è verificato una settimana dopo un altro attacco informatico ai danni di oltre 40 istituzioni culturali in Francia: secondo quanto riportato, dei criminali informatici si sarebbero infiltrati nel sistema informatico comune alla "Réunion des musées nationaux – Grand Palais", che centralizza tutti i dati finanziari di queste istituzioni, e avrebbero minacciato di diffondere i dati entro 48 ore se il riscatto non fosse stato pagato.

Secondo quanto riportato da L'Usine Digitale, i 36 negozi gestiti dalla rete sono stati interessati e i sistemi sono stati disconnessi. La Procura di Parigi ha avviato un'indagine.

 

istituzioni e organismi europei

La Commissione europea ha avviato una consultazione, che si concluderà il 30 settembre, sulla tutela dei minori online. in particolare nel contesto del Digital Services Act (DSA) e della Reporting of Child Pornography Material (CSAM).

Ai sensi del DSA, la Commissione deve elaborare linee guida per aiutare le piattaforme online interessate a conformarsi ai requisiti per la protezione della privacy e della sicurezza dei minori.

“Queste linee guida forniranno un elenco non esaustivo di buone pratiche e raccomandazioni per i fornitori di piattaforme online, al fine di aiutarli a ridurre i rischi relativi alla protezione dei minori. Le linee guida aiuteranno inoltre la Commissione e i coordinatori dei servizi digitali a vigilare sulle piattaforme e a far rispettare il DSA.”

Questo autunno la Commissione europea pubblicherà la sua prima relazione sul funzionamento del "Quadro per la protezione dei dati" (DPF) tra l'Unione europea e gli Stati Uniti. A luglio si è tenuto un incontro di valutazione bilaterale su questo argomento e la Commissione ha anche avviato una consultazione pubblica, durante la quale è possibile inviare commenti fino al 6 settembre.

La Cina e l'UE hanno avviato discussioni sul trasferimento dei dati nell'ambito di un nuovo "meccanismo di comunicazione transfrontaliero dei flussi di dati". Secondo la Commissione europea, il meccanismo mira a individuare modalità per agevolare i trasferimenti transfrontalieri di dati non personali per le aziende europee, nonché la loro conformità alle leggi cinesi in materia di protezione dei dati.

 

Notizie dai paesi membri dell'Unione Europea.

In Germania, la Corte d'appello di Francoforte ha ordinato a Microsoft di astenersi dall'installare e memorizzare cookie sui dispositivi dell'interessato senza il suo consenso, anche se ciò significa che Microsoft smette di installare cookie di tracciamento.

Questa decisione sembra essere in linea con una recente sentenza di un tribunale olandese che ha vietato a Microsoft, LinkedIn e Xandr di installare cookie di tracciamento senza il consenso dell'utente e ha imposto una sanzione di 1.000 euro per azienda per ogni giorno di inadempienza (tramite GDPRhub).

L'Autorità belga per la protezione dei dati (DPA) ha respinto un reclamo presentato da un interessato a seguito di una violazione dei dati. Ha ritenuto che le misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell'articolo 32 del GDPR fossero adeguate.

ODA danese Si è ritenuto che, affinché vi sia un consenso libero ed esplicito all'uso del riconoscimento facciale per l'accesso a un centro fitness, la persona interessata debba disporre di altri metodi di verifica che non comportino il trattamento di dati biometrici.

In Spagna, l'Autorità per la protezione dei dati (APD) ha multato un responsabile del trattamento dei dati per 145.000 euro a seguito del furto di una chiavetta USB non crittografata contenente dati personali relativi a un caso penale.Ha riscontrato una violazione del principio di riservatezza, sebbene non vi fossero prove che i dati fossero stati consultati.

In Italia, l'APD È stata inflitta una multa di 20.000 euro a un comune che aveva pubblicato illegalmente i nomi dei candidati non selezionati in una procedura di selezione pubblica. Inoltre, il comune non aveva stipulato un accordo vincolante con il suo subappaltatore, il che costituisce una violazione dell'articolo 28, paragrafo 3, del GDPR.

L'APD ha inoltre multato un fornitore di servizi di telecomunicazione per un milione di euro per aver contattato i propri clienti a fini di prospezione commerciale senza aver ottenuto un valido consenso. L'autorità per la protezione dei dati ha ritenuto che un titolare del trattamento non potesse invocare il legittimo interesse per effettuare chiamate telefoniche a fini di marketing ai propri clienti.

Il 22 luglio, in collaborazione con la CNIL, l'Autorità olandese per la protezione dei dati (APD) ha inflitto una sanzione di 290 milioni di euro a Uber BV (con sede nei Paesi Bassi) e Uber Technologies INC. (con sede negli Stati Uniti) per il trasferimento di dati personali al di fuori dell'UE senza adeguate garanzie.

La CNIL (Autorità francese per la protezione dei dati) ha ricevuto una denuncia collettiva dalla Lega per i diritti umani, che rappresenta oltre 170 autisti della piattaforma. L'Autorità olandese per la protezione dei dati (APD) ha riscontrato che il trattamento dei dati personali degli autisti, di cui Uber BV e Uber Technologies Inc. sono congiuntamente responsabili, comporta trasferimenti verso gli Stati Uniti. Tra il 6 agosto 2021 e il 21 novembre 2023 (data di adesione di Uber al Data Privacy Framework), tali trasferimenti non sono stati soggetti a garanzie adeguate. L'APD ha concluso che vi è stata una violazione dell'articolo 44 del GDPR. Uber ha annunciato l'intenzione di impugnare tale decisione, che ritiene infondata.

Il 3 settembre, l'Autorità olandese per la protezione dei dati (APD) ha inoltre inflitto a Clearview AI una multa di 30,5 milioni di euro, oltre a un'ulteriore sanzione di 5 milioni di euro per inadempienza normativa. Clearview aveva, in particolare, creato un database illegale contenente miliardi di immagini facciali, incluse quelle di cittadini olandesi. L'APD ha anche imposto il divieto di utilizzo dei servizi di Clearview. Poiché l'azienda non ha mostrato alcuna volontà di modificare le proprie pratiche, l'APD ha indicato che sta valutando diverse vie legali, tra cui la possibilità di ritenere i dirigenti dell'azienda personalmente responsabili di tali violazioni.

L'Università norvegese di scienza e tecnologia (NTNU) ha pubblicato un rapporto intitolato "Piloting Copilot for Microsoft 365" nell'ambito delle "sandbox" dell'Autorità norvegese per la protezione dei dati.

L'università ha testato il servizio di intelligenza artificiale Copilot di Microsoft e ha pubblicato 8 risultati chiave all'inizio dell'estate del 2024, utili prima di iniziare a utilizzare questo nuovo servizio.

L'Autorità slovena per la protezione dei dati (APD) ha ritenuto che una scuola possa rifiutarsi parzialmente di soddisfare una richiesta di accesso presentata da un genitore, se la divulgazione di determinati dati può pregiudicare il superiore interesse del minore.

Il 14 agosto, la Svizzera ha adottato una decisione di adeguatezza per gli Stati Uniti, autorizzando il trasferimento dei dati alle aziende certificate nell'ambito di un "accordo quadro sulla protezione dei dati" tra Svizzera e Stati Uniti.

La Svizzera si unisce così all'Unione Europea e al Regno Unito, che consentono alle organizzazioni di trasferire i dati personali dei propri residenti negli Stati Uniti a condizioni analoghe.

Il 12 agosto, l'ONG noyb ha allertato i media in merito al social network "X", che ha iniziato a utilizzare illegalmente i dati personali di oltre 60 milioni di utenti nell'UE/SEE per addestrare la sua tecnologia di intelligenza artificiale ("Grok") senza il loro consenso.

A differenza di Meta (che di recente ha dovuto interrompere l'addestramento della sua IA nell'UE), Twitter, secondo l'ONG, non ha informato preventivamente i suoi utenti. La Commissione irlandese per la protezione dei dati ha avviato un procedimento legale contro X e noyb ha presentato reclami in nove paesi europei per fermare queste pratiche. L'impegno di X a interrompere l'utilizzo di questi dati è finalmente arrivato con la nuova versione di Grok, ora disponibile. Secondo l'ONG, il modello di IA è stato infatti addestrato nel frattempo utilizzando dati provenienti dall'UE.

 

Nel Regno Unito, un responsabile del trattamento dei dati è stato rimproverato per non aver effettuato una valutazione d'impatto sulla privacy, come richiesto dall'articolo 35 del GDPR britannico, prima di implementare un sistema di riconoscimento facciale in una scuola. Il responsabile del trattamento dei dati non aveva inoltre ottenuto un consenso valido.

Le Nazioni Unite e l'Organizzazione Internazionale del Lavoro hanno pubblicato un rapporto intitolato "Mind the AI Divide – Shaping a Global Perspective on the Future of Work" (Attenzione al divario dell'IA: delineare una prospettiva globale sul futuro del lavoro).

Tra le altre conclusioni, il rapporto evidenzia come i progressi tecnologici stiano mettendo a rischio i posti di lavoro in settori come i call center e altre forme di esternalizzazione dei processi aziendali, diffuse in alcuni paesi in via di sviluppo.

Sebbene alcune mansioni in queste professioni potrebbero potenzialmente essere automatizzate, il documento aggiunge che la maggior parte richiede ancora l'intervento umano. "Tale automazione parziale potrebbe portare a un aumento dell'efficienza, consentendo agli esseri umani di dedicare più tempo ad altri ambiti lavorativi."

Il 5 agosto, un giudice federale statunitense ha stabilito che Google deteneva un monopolio illegale sulla ricerca su internet. La corte ha concluso che "Google ha violato la Sezione 2 dello Sherman Act mantenendo il suo monopolio in due mercati di prodotti negli Stati Uniti – i servizi di ricerca generici e la pubblicità testuale generica – attraverso i suoi accordi di distribuzione esclusiva".

La Nigeria ha pubblicato la sua "strategia nazionale sull'intelligenza artificiale" lo scorso agosto.

In particolare, il documento afferma che: “La Nigeria e il continente africano in generale presentano alcune delle sfide e delle opportunità più peculiari e stimolanti che l'intelligenza artificiale potrebbe affrontare. Dall'ottimizzazione dell'agricoltura in climi diversi al miglioramento delle infrastrutture sanitarie pubbliche, le soluzioni di intelligenza artificiale sviluppate localmente e adattate alle realtà locali sono molto più adatte ad affrontare queste sfide rispetto ai modelli imposti dall'esterno e creati per un contesto e una popolazione completamente diversi. (…) Molti set di dati in Nigeria soffrono di imprecisioni, incompletezza e mancanza di standardizzazione. La qualità dei dati deve essere migliorata per garantire l'affidabilità e l'efficacia degli algoritmi di intelligenza artificiale, che richiedono dati puliti e accurati per funzionare in modo ottimale.”

“X” ha sospeso le sue attività in Brasile dopo mesi di conflitto con il giudice della Corte Suprema.

Il 31 agosto, il giudice ha ordinato il blocco di X e il congelamento dei beni della società spaziale Starlink di Elon Musk. Questa decisione fa seguito a un'indagine durata mesi sulla diffusione di informazioni false e diffamatorie tramite il social network, nonché a un'ulteriore indagine su Musk per presunta ostruzione alla giustizia.