Avast multata per la vendita dei dati degli utenti: l’importanza della tutela della privacy

avast vendita dati

Avast, nota azienda produttrice di software antivirus, dovrà pagare una multa di 16,5 milioni di dollari a causa della vendita non autorizzata dei dati dei propri clienti. Secondo quanto emerso dagli inquirenti, questa pratica si sarebbe protratta dal 2014.

La difesa di Avast sulla vendita dei dati

L’azienda ha risposto alla Federal Trade Commission (FTC), l’ente americano che ha sancito la multa, sostenendo che i dati venduti non contenessero informazioni identificative degli utenti. Inoltre, la FTC ha formalmente proibito ad Avast di cedere i dati di navigazione degli utenti a terzi per fini pubblicitari.

Nel contesto di questo accordo, Avast ha anche annunciato la chiusura di Jumpshot, la sussidiaria a cui cedeva i dati, all’inizio del 2020.

L’investigazione condotta da Motherboard e PCMag ha rivelato che i dati venivano venduti ad aziende come Home Depot, Google, Microsoft, Pepsi e McKinsey. Anche se Avast aveva già annunciato di aver interrotto questa pratica dopo l’investigazione, sembra che non sia stato così. Successivamente a questa vicenda, l’azienda con sede a Praga ha subito dei gravi danni reputazionali. Questo perché sembra aver fallito la sua autoproclamata missione di proteggere i dispositivi degli utenti dal tracciamento online. Le ragioni dietro la vendita di dati da parte di Avast appaiono abbastanza chiare, ma il motivo rimane ancora un mistero.

Perché Avast ha venduto i dati dei propri clienti?

I dati rappresentano un’importante fonte di guadagno. Le aziende che li acquistano possono infatti utilizzarli per campagne pubblicitarie mirate e profilare gli utenti in modo dettagliato. Inoltre, incrociando questi dati con informazioni provenienti da sistemi di sicurezza come quelli di Avast, potrebbero anche monitorare specifici utenti, rendendo i dati appetibili anche per agenzie di intelligence.

Perché ogni azienda dovrebbe tutelare la privacy dei propri clienti

La tutela della privacy dei clienti è un pilastro fondamentale per qualsiasi azienda, soprattutto in quest’era in cui la raccolta e l’uso dei dati sono sempre più diffusi e sofisticati. Uno dei principali strumenti a disposizione per garantirne la tutela è il Regolamento Generale sulla Protezione dei Dati (GDPR), adottato dall’Unione Europea nel 2018.

Il GDPR rappresenta una pietra miliare nella regolamentazione della privacy dei dati personali, imponendo regole chiare e rigorose sul trattamento, definendo i diritti dei cittadini europei e le responsabilità delle organizzazioni che gestiscono tali dati.

Ecco principali punti del GDPR che evidenziano l’importanza di tutelare la privacy dei clienti:

Diritti degli individui

  • Consenso informato: le aziende devono ottenere il consenso esplicito degli individui per raccogliere e utilizzare i loro dati personali.
  • Libertà di accesso ai dati: Gli individui hanno il diritto di accedere ai propri dati personali e di richiederne la correzione o la cancellazione.
  • Portabilità dei dati: Le persone hanno il diritto di trasferire i propri dati da un servizio a un altro, garantendo il controllo su dove e come vengono utilizzati.

Obblighi delle aziende

  • Responsabilità: Le aziende sono tenute a proteggere i dati personali in modo adeguato, implementando misure di sicurezza adeguate.
  • Notifica di violazione dei dati: In caso di violazione dei dati, le aziende sono obbligate a notificarla entro 72 ore alle autorità competenti e, in alcuni casi, anche agli individui interessati.
  • Privacy by design e by default: Il GDPR incoraggia le aziende a progettare i propri sistemi e servizi con la privacy integrata fin dall’inizio, nonché a implementare impostazioni di privacy predefinite.

Benefici della tutela della privacy dei clienti

  • Fiducia e reputazione: Rispettare la privacy dei clienti aiuta a costruire fiducia e ad evitare danni alla reputazione.
  • Rispetto delle leggi: Con il GDPR e altre leggi sulla privacy, le aziende devono rispettare delle regole rigorose per evitare sanzioni significative.
  • Minimizzazione dei rischi: La protezione dei dati riduce il rischio di frodi, abusi o violazioni della sicurezza potenzialmente pericolose.
  • Differenziazione competitiva: Un’azienda che si impegna nella protezione dei dati si distingue positivamente dai concorrenti, attraendo i clienti più attenti alla privacy.

L’episodio di Avast non è isolato e sembra essere parte di una tendenza più ampia in cui le aziende monetizzano i dati dei propri utenti nonostante gli sforzi dei regolatori per proteggere la privacy. Tutelare la privacy dei clienti, specialmente nel contesto del GDPR, non rappresenta solo una questione di conformità legale, ma anche di responsabilità etica e di vantaggio competitivo.

La tua azienda tutela i dati personali dei clienti? Contattaci per saperne di più e scoprire come essere GDPR compliant.

Il DPO in Italia e in Europa, figura strategica nel GDPR

dpo gdpr

Con l’avvento del Regolamento Generale sulla Protezione dei Dati (GDPR) nel 2018, la figura del Data Protection Officer (DPO) ha assunto un ruolo di fondamentale importanza sia a livello nazionale che internazionale. Il regolamento ha introdotto una serie di nuove normative volte a garantire la privacy e la sicurezza dei dati personali dei cittadini europei, ponendo l’accento sulla responsabilità delle organizzazioni nel trattamento dei dati personali. In questo contesto, il DPO è emerso come una figura chiave per assicurare la conformità alle disposizioni del GDPR.

Ruolo del DPO nel GDPR

Noto anche come Responsabile della Protezione dei Dati (RPD), il DPO garantisce la tutela e la gestione appropriata delle informazioni personali. Il suo ruolo è quello di affiancare il titolare, gli addetti e i responsabili del trattamento, assicurando che la raccolta e la gestione dei dati avvengano in conformità con i principi e le direttive europee.

Professionista esperto nella protezione dei dati, si occupa di valutarne e organizzarne la gestione all’interno di imprese, enti o associazioni. La sua missione è quella di garantire che i dati siano trattati in modo legale e pertinente, rispettando le normative del paese in cui opera. Date le modalità prevalenti di acquisizione e gestione digitale dei dati, il Responsabile della Protezione dei Dati deve possedere competenze sia legali che informatiche.

Agisce infatti come consulente tecnico e legale con poteri esecutivi, contribuendo alla progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali. Collabora con i sistemi aziendali per implementare delle misure di sicurezza atte a proteggere i dati da rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito. La sua funzione non si limita solo alla consulenza, ma include anche il ruolo di mediatore tra l’organizzazione e le autorità competenti.

Le mansioni principali del DPO

In conformità con l’articolo 39 del GDPR, il DPO ha tre principali compiti: informare, sorvegliare e cooperare. Quando viene designato come “responsabile della protezione dei dati”, deve rapportarsi direttamente alla dirigenza e rispondere gerarchicamente ad essa. Il titolare e il responsabile del trattamento devono sostenere il DPO, fornendo tutte le risorse necessarie, come finanziamenti, personale e attrezzature.

L’organigramma aziendale può prevedere la presenza di uno o più responsabili della protezione dei dati, specialmente nelle grandi aziende e multinazionali. Questa struttura consente di affrontare le complessità legate alla gestione dei dati personali in contesti estesi.

L’articolo 39 del GDPR dettaglia ulteriormente i compiti del DPO. Tra questi l’informazione e il consiglio al titolare del trattamento, la sorveglianza dell’osservanza delle leggi europee sulla protezione dei dati e l’agire da punto di contatto con l’autorità di controllo per questioni legate al trattamento dei dati personali. Inoltre, deve seguire corsi di aggiornamento specializzati e operare in modo indipendente, evitando conflitti di interessi e mantenendo segretezza e riservatezza nell’adempimento dei suoi compiti.

Il contesto italiano e l’adozione del GDPR

In Italia, l’adozione del GDPR ha avuto un impatto significativo sulle pratiche aziendali e sul modo in cui le organizzazioni gestiscono i dati personali. Il DPO ha svolto un ruolo fondamentale nell’assistere le imprese italiane nell’adeguarsi alle nuove normative e nell’implementare politiche e procedure per garantire la conformità. Data la complessità delle disposizioni del GDPR e le potenziali sanzioni pecuniarie per la non conformità, molte aziende italiane hanno scelto di investire in risorse qualificate per ricoprire il ruolo di DPO. Le organizzazioni che non si conformano ai requisiti previsti dagli articoli da 37 a 39 del GDPR possono infatti ricevere multe fino a 10 milioni di euro o al 2% del fatturato di gruppo.

DPO interno o esterno?

La scelta tra un DPO interno ed esterno è un tema che merita attenzione, soprattutto considerando quanto emerso negli ultimi anni a livello operativo. Nominare un DPO interno offre il vantaggio di una migliore comprensione del contesto aziendale, che può favorire una gestione più efficace dei compiti. A lungo termine, mantenere un DPO interno non comporta inoltre i costi continui associati alla consulenza esterna.

In caso di violazioni dei dati o altre emergenze, un DPO interno interviene tempestivamente e coordina le risposte necessarie all’interno dell’organizzazione senza dover dipendere da risorse esterne.

D’altro canto, affidare i compiti strategici del DPO a un consulente esterno garantisce solitamente maggiore indipendenza. Tuttavia, è richiesta una conoscenza approfondita dell’organizzazione, raggiungibile attraverso un costante coordinamento con le figure chiave dell’azienda.

Va anche considerata l’espansione del ruolo del DPO in relazione alle nuove sfide legate all’utilizzo, alla protezione e alla valorizzazione dei dati, specialmente in considerazione dell’impatto e della diffusione dell’Intelligenza Artificiale in tutti i settori. L’Unione Europea ha avviato un ambizioso programma di innovazione legislativa nel campo tecnologico. Si propone infatti di affermare la propria leadership mondiale nella regolamentazione del digitale e dell’IA, seguendo il successo del GDPR.

Sai se la tua azienda è GDPR compliant? Contattaci per saperne di più.

Articolo realizzato in collaborazione con Orbyta People

GDPR: sanzioni per 2,92 miliardi di euro

gdpr sanzioni

Dal 28 gennaio 2022 le sanzioni emesse dal GDPR hanno sono aumentate del 168% rispetto al 2021.

Il 2022 ha registrato un nuovo record in merito alle sanzioni emesse ai sensi del GDPR e delle notifiche di data breach a livello europeo: dal 28 gennaio 2022 hanno raggiunto complessivamente i 2,92 miliardi di euro, con un aumento del 168% rispetto all’anno precedente.

Questi dati emergono dal report annuale “GDPR fines and data breach survey: January 2023”, pubblicato dallo studio legale internazionale DLA Piper. Il documento mette in evidenza che le sanzioni più elevate sono quelle comminate a Meta Platforms Ireland Ltd., a dimostrazione del fatto che i social media, a causa dell’ampio trattamento in materia dei dati personali, sono stati oggetto di una particolare attenzione da parte delle autorità di regolamentazione.

Molte delle sanzioni inflitte riguardano la profilazione del comportamento degli utenti e la possibilità di utilizzare la base giuridica della “necessità contrattuale” per legittimare la raccolta in modo massivo di dati personali. Mentre il DPC irlandese aveva inizialmente confermato questa possibilità, lo European Data Protection Board ha invece manifestato un orientamento diverso.

Diminuzione dei data breach

L’indagine rivela anche che il volume totale dei data breach notificati è leggermente diminuito rispetto all’anno precedente. Il totale medio giornaliero si è infatti ridotto da 328 notifiche a 300.

Questo avviene probabilmente perché i soggetti coinvolti stanno diventando più cauti nel notificare i data breach alle autorità privacy per paura di sanzioni, richieste di risarcimento e indagini.

Il ruolo dei dati per addestrare l’intelligenza artificiale

Oltre al rapporto tra l’utilizzo dei dati personali in relazione alla pubblicità e ai social media, nel report viene messa in luce una crescente attenzione per l’Intelligenza Artificiale. Quest’anno, in particolare, sono state condotte diverse indagini sulla società di riconoscimento facciale Clearview AI a seguito di numerose denunce da parte di organizzazioni per i diritti digitali, con l’emissione di diverse sanzioni.

Poiché l’intelligenza artificiale e le piattaforme di apprendimento automatico sono sempre più diffuse, il report prevede un rapido aumento delle indagini e della normativa, con particolare attenzione sia ai fornitori che agli utenti dell’IA.

Trasferimento internazionale di dati

Infine, l’indagine riporta anche alcune decisioni degne di nota prese dalle autorità privacy in merito all’applicazione dei requisiti del GDPR Schrems II e del Capitolo V a specifici trasferimenti internazionali di dati personali.

Non è possibile difatti adottare un approccio basato sul rischio quando si valutano i trasferimenti di dati personali verso Paesi terzi, sostenendo che questi sono assolutamente vietati se la mera possibilità di accesso da parte di governi esteri dà luogo ad un qualsiasi rischio di danno.

Come essere compliant al GDPR ed evitare sanzioni

A fronte del nuovo Regolamento UE 679/2016, le aziende sono dunque obbligate a introdurre una serie di misure specifiche, soprattutto per non incorrere nelle pesanti sanzioni previste.

Protezione dei dati

Le aziende devono saper dimostrare, attraverso una documentazione specifica, di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali acquisiti. Sono inoltre chiamate a preservare questi dati personali dalla modifica fortuita o illecita o dalla perdita, dalla distruzione e dalle divulgazioni o dagli accessi non autorizzati.

Per questo è importante monitorare il sistema delle protezioni regolarmente, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare comunicazioni tempestive alle autorità e ai soggetti interessati.

Utilizzo dei dati

Tutte le organizzazioni devono utilizzare i dati personali in modo corretto, lecito e trasparente, dimostrando anche di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.

È necessario inoltre disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di una documentazione dettagliata.

Conoscenza dei dati

L’azienda deve avere infine una chiara conoscenza di quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti, dove siano localizzati e chi è autorizzato a trattare i dati personali.

Vuoi evitare di incorrere in pesanti sanzioni? Contattaci a info@assitech.net per una consulenza gratuita sul GDPR.