Quali sono le leggi relative alla sicurezza su Internet e alla protezione dei dati?

Che cos'è la legge di Internet?

La legge di Internet, chiamata anche diritto informatico, è l'insieme dei principi legali e delle normative che regolano l'utilizzo di Internet. Le leggi di Internet non sono sempre chiare e lineari per i seguenti motivi:

• Poiché Internet è relativamente nuovo e continua a evolversi, i sistemi legali possono faticare a tenere il passo
• Le leggi di Internet spesso includono e applicano principi derivanti da ambiti legali diversi, ad esempio le leggi sulla privacy o il diritto contrattuale, che sono precedenti a Internet e possono essere aperti a diverse interpretazioni.
• Non esiste un'unica legge che regoli la privacy online. Invece, si applica un mosaico di leggi federali e statali. Senza considerare che le diverse giurisdizioni esistenti nel mondo potrebbero interpretare diversamente l'applicazione delle leggi sulla privacy su Internet.

Nell'Unione europea è in vigore una legge generale sulla privacy dei dati nota come GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati). Gli Stati Uniti, al contrario, non dispongono di una legge nazionale sulla privacy su Internet in vigore livello federale. Nei diversi stati esistono invece diverse leggi federali sulla privacy in vigore per singoli settori e diverse leggi sulla privacy orientate al consumatore. Questa panoramica esamina alcune delle principali leggi sulla sicurezza su Internet che è opportuno conoscere.

Privacy Act degli Stati Uniti del 1974

Anche se precedente a Internet, il Privacy Act del 1974 è probabilmente alla base di molte leggi relative alla privacy dei dati e su Internet negli Stati Uniti. L'atto è stato approvato in riconoscimento della quantità di dati personali conservati nei database informatici dalle agenzie governative statunitensi. L'atto riguardava:

• Il diritto dei cittadini statunitensi di accedere ai dati detenuti dalle agenzie governative e il diritto ad avere una copia di tali dati.
• Il diritto dei cittadini di correggere eventuali errori di informazione.
• L'esigenza che le agenzie raccogliessero solo le informazioni minime pertinenti e necessarie a un determinato scopo.
• Limitazione dell'accesso alle sole informazioni indispensabili per svolgere il proprio lavoro.
• Limitazione della condivisione delle informazioni tra le agenzie federali (e non federali), ovvero solo in determinate condizioni.

L'invenzione di Internet ha tuttavia cambiato la definizione di privacy e ha reso necessario emanare nuove leggi sulla sicurezza dei dati riguardanti le comunicazioni elettroniche.

Federal Trade Commission Act

Il Federal Trade Commission Act del 1914, a seguito del quale è stata istituita la Federal Trade Commission degli Stati Uniti, è stato formulato per bandire i metodi sleali di concorrenza e gli atti o le pratiche sleali che colpiscono il commercio.

Oggi, sebbene la FTC non regolamenti esplicitamente le informazioni che dovrebbero essere incluse nelle informative sulla privacy dei siti Web, si avvale della propria autorità per emettere normative, applicare le leggi sulla privacy e proteggere i consumatori. La FTC, ad esempio, potrebbe agire contro le organizzazioni che:

• Non rispettano un'informativa sulla privacy pubblicata.
• Trasferiscono informazioni personali in un modo non adeguatamente delineato in un'informativa sulla privacy.
• Fanno dichiarazioni inesatte sulla privacy e la sicurezza ai consumatori e nelle informative sulla privacy. 
• Non implementano né mantengono misure ragionevoli di sicurezza dei dati.
• Non seguono i principi di autoregolamentazione che si possono applicare al settore dell'organizzazione

La FTC svolge un ruolo nella regolamentazione di Internet, non da ultimo perché esamina le dichiarazioni ingannevoli fatte dalle principali aziende tecnologiche e di social media in relazione alla privacy dei dati dei consumatori che vengono raccolti. Ad esempio, in passato la FTC ha indagato su reclami sporti contro Facebook per l'utilizzo dei dati dei clienti.

Children's Online Privacy Protection Act

Il Children's Online Privacy Protection Act (COPPA) del 1998 è una legge federale degli Stati Uniti, il cui obiettivo è quello di consentire ai genitori di controllare quali informazioni vengono raccolte dall'attività online dei figli. Il COPPA si applica agli operatori di siti Web commerciali e servizi online (incluse le app per dispositivi mobili e i dispositivi Internet of Things) rivolti ai minori di 13 anni, che raccolgono informazioni personali dai bambini.

Alcuni dei requisiti chiave del COPPA includono:

• Siti Web, app e strumenti online rivolti ai minori di 13 anni devono visualizzare un avviso e ottenere il consenso dei genitori prima di raccogliere informazioni dai bambini.
• Devono avere un'informativa sulla privacy chiara e completa.
• Devono garantire la massima riservatezza di tutte le informazioni ottenute dai bambini.

Sebbene la legge sia nata agli albori di Internet, è diventata particolarmente pertinente nell'era dei social media e degli annunci programmatici. Una questione chiave in relazione al COPPA è come determinare se un sito è "rivolto" ai minori di 13 anni. Negli Stati Uniti, la Federal Trade Commission valuta i siti in base a diversi criteri, tra cui:

• Argomento
• Contenuto
• Utilizzo di personaggi animati
• Utilizzo di attività o incentivi orientati ai bambini
• Età dei modelli
• Presenza di celebrità bambine o di celebrità amate dai bambini
• Pubblicità sul sito rivolta ai bambini

Alcuni siti Web o servizi selezionano i propri utenti in base all'età, quindi non sono tenuti a essere conformi alle normative del COPPA. Molti social network, ad esempio, il cui modello di business si basa sulla raccolta e sulla monetizzazione dei dati degli utenti, stabiliscono l'età minima di 13 anni per gli utenti registrati.

Un'altra questione sollevata dal COPPA è che cosa si deve intendere per "raccolta di informazioni personali". La raccolta di nomi, indirizzi e fotografie rientra in questa categoria. Meno ovvi sono invece gli annunci comportamentali, ovvero gli annunci che tracciano il comportamento dell'utente in siti Web e app, che, in base a quanto stabilito dal COPPA, costituiscono anch'essi una forma di raccolta di informazioni personali. Anche se quegli annunci comportamentali vengono forniti da un provider di terze parti, se appaiono su un sito Web che si rivolge ai bambini, è il proprietario del sito Web a esserne responsabile. Il fatto che gli annunci comportamentali costituiscano una parte davvero significativa dell'ecosistema di Internet ha implicazioni significative per i siti Web rivolti ai bambini.

California Consumer Privacy Act

Il California Consumer Privacy Act (CCPA) è stato approvato nel 2018. Il suo scopo era quello di tutelare la privacy dei consumatori residenti in California estendendo le protezioni della privacy dei consumatori a Internet. Il CCPA è considerato la legislazione sulla privacy dei dati orientata a Internet più completa degli Stati Uniti, senza alcun equivalente a livello federale.

Come il GDPR dell'UE, dà ai consumatori il diritto di accedere ai propri dati, insieme al diritto di cancellare e rinunciare al trattamento dei dati in qualsiasi momento. Il CCPA differisce tuttavia dal GDPR in quanto il GDPR garantisce ai consumatori il diritto di correggere o rettificare i dati personali errati. Il GDPR richiede anche il consenso esplicito nel momento in cui i consumatori trasmettono i propri dati. Al contrario, il CCPA specifica solo che nei siti Web è disponibile un'informativa sulla privacy che comunica ai consumatori che hanno il diritto di rinunciare a determinate raccolte di dati. Altre caratteristiche del CCPA includono:

• I consumatori hanno il diritto di accedere ai propri dati attraverso una richiesta di accesso del soggetto interessato a cui appartengono i dati.
• Le aziende non possono vendere le informazioni personali dei consumatori senza previo avviso sul Web e senza offrire una possibilità di revoca.
• I consumatori hanno un diritto limitato di intentare un'azione legale se subiscono una violazione dei dati.
• Il Procuratore generale di Stato ha una maggiore facoltà di citare in giudizio le aziende per conto dei residenti.

La definizione di informazioni personali del CCPA è molto generica: "informazioni che identificano, si riferiscono a, descrivono, possono essere associate a o potrebbero essere ragionevolmente collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare". Questa definizione rispecchia il concetto allargato di dati personali del GDPR.

Regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei dati (GDPR) dell'UE è entrato in vigore nel 2018. Si tratta di un assetto giuridico che stabilisce le linee guida per la raccolta e il trattamento dei dati personali dei soggetti che vivono nell'Unione europea. Il GDPR si applica indipendentemente da dove si trova la sede dei siti Web e dovrebbe pertanto essere rispettato da tutti i siti che vengono visitati da cittadini europei. Il GDPR è considerato una delle leggi sulla sicurezza dei dati più severe al mondo.

Il GDPR specifica che gli utenti dei siti Web devono essere informati sui dati che un sito raccoglie e che gli utenti devono dare il proprio consenso esplicito alla raccolta dei dati. Per questo motivo molti siti Web visualizzano pop-up che chiedono agli utenti di acconsentire alla raccolta dei cookie, ovvero i piccoli file contenenti informazioni personali come le impostazioni e le preferenze del sito.

Le caratteristiche principali del GDPR includono:

• I consumatori hanno il diritto di sapere come vengono raccolti e utilizzati i loro dati.
• I consumatori possono chiedere ai siti Web quali informazioni sono state raccolte su di loro (senza pagare nulla).
• Se sono presenti errori nei dati dei consumatori, possono chiedere che vengano corretti.
• I consumatori possono chiedere che i loro dati vengano eliminati dagli archivi.
• I consumatori hanno il diritto di rifiutare il trattamento dei dati, ad esempio per scopi di marketing.
• I siti devono informare gli utenti se i loro dati sono stati compromessi o violati.

Il GDPR è illustrato in dettaglio sul sito Web ufficiale della Commissione europea. Alcune sanzioni comminate a grandi aziende per violazioni del GDPR hanno attirato l'attenzione. Ad esempio, Google ha ricevuto una multa di 57 milioni di dollari perché durante la configurazione dei nuovi telefoni Android venivano nascoste importanti informazioni agli utenti che quindi non sapevano quali politiche di raccolta dati stavano accettando. British Airways è stata invece multata per 28 milioni di dollari quando 500.000 record di prenotazioni dei clienti sono stati rubati in un attacco.

Health Insurance Portability and Accountability Act

L'Health Insurance Portability and Accountability Act (HIPAA) del 1996 è una legge federale degli Stati Uniti che ha come obiettivo la regolamentazione dell'assicurazione sanitaria e include sezioni sulla privacy e la sicurezza dei dati. Impedisce ai fornitori e agli operatori di servizi sanitari e alle persone che lavorano con loro di divulgare i dati sanitari dei consumatori senza il loro permesso.

Quando si parla di HIPAA, in genere ci si riferisce alla misura Privacy Rule stabilita nel 2003. Questo regolamento è stato introdotto in parte perché il Congresso degli Stati Uniti ha riconosciuto che Internet ha reso più probabili le violazioni della privacy in materia di dati sanitari. La Privacy Rule dell'HIPAA dà ai consumatori il diritto di controllare la divulgazione dei loro dati sanitari e di comunicare al loro fornitore di servizi sanitari che cosa condividere.

L'HIPAA protegge tuttavia solo i dati sanitari detenuti da tipi specifici di fornitori di servizi sanitari. I dati sanitari presenti nel braccialetto fitness, ad esempio, in genere non sono coperti dall'HIPAA. Anche i dati genetici che immessi in siti Web come Ancestry.com non sono coperti dall'HIPAA. È possibile che altre leggi o accordi come le informative sulla privacy richieste in molte app proteggano tali informazioni, ma non l'HIPAA.

Gramm-Leach-Bliley Act

Il Gramm-Leach-Bliley Act (GLBA), noto anche come Financial Services Modernization Act del 1999, è una legge bancaria e finanziaria che contempla anche la privacy e la sicurezza dei dati. La normativa sulla protezione delle informazioni personali contenuta in questa legge si basa su leggi precedenti sui dati finanziari dei consumatori, ad esempio il Fair Credit Reporting Act (FCRA).

Essenzialmente, il GLBA protegge le informazioni personali non pubbliche, che rispondono alla definizione di qualsiasi "informazione raccolta su un individuo in relazione alla fornitura di un prodotto o servizio finanziario, a meno che tali informazioni non siano altrimenti disponibili al pubblico". L'espressione "disponibili al pubblico" fa riferimento ai registri delle proprietà o ad alcuni dati ipotecari che possono essere di dominio pubblico.

La GLBA Safeguards Rule obbliga le società che effettuano la raccolta dei dati a proteggere le informazioni personali e a creare sistemi di sicurezza dei dati adeguati. In altre parole, le grandi banche nazionali devono adottare misure di sicurezza più sofisticate di quelle, ad esempio, di una piccola banca di credito cooperativo.

La regola obbliga le società a effettuare regolarmente dei test, oltre che a implementare misure di sicurezza nello svolgimento delle operazioni quotidiane, ad esempio effettuare controlli sui precedenti dei dipendenti e istituire piani d'azione in caso di violazione in seguito a un attacco.

Il GLBA rende illegale il pretexting. Il pretexting è un metodo adottato per ottenere accesso improprio a informazioni non pubbliche. Il termine è spesso associato agli attacchi di ingegneria sociale in cui, ad esempio, qualcuno si fa passare per un responsabile o un agente delle forze dell'ordine per ottenere informazioni. Un altro esempio di pretexting sono le truffe basate sul phishing, che a volte prevedono la configurazione di siti Web falsi per ingannare le persone inducendole a divulgare informazioni private. Il GLBA impone agli istituti finanziari di introdurre nei loro piani di sicurezza le misure necessarie per impedire il pretexting.

Leggi sulla privacy su Internet: conclusione

I sistemi giudiziari di tutti il mondo applicano leggi sulla privacy su Internet e sulla protezione dei dati. In Brasile, ad esempio, è in vigore la Lei Geral de Proteção de Dados (LGPD), in Canada invece il Consumer Privacy Protection Act (CPPA), entrambi molto simili al GDPR dell'UE o al CCPA della California per quanto riguarda il campo di applicazione.

Negli Stati Uniti non esiste una legge federale completa che regolamenti la privacy dei dati. La regolamentazione di Internet è un mosaico complesso di leggi specifiche dei settori e dei media, incluse leggi e normative che riguardano le telecomunicazioni, i dati sanitari, i dati bancari, gli istituti finanziari e il marketing. 

Uno dei modi migliori per proteggere la privacy online e la sicurezza dei dati è usare una soluzione antivirus completa. Un prodotto come Kaspersky Total Security blocca le minacce comuni e complesse come virus, malware, ransomware, app spia e le più recenti attività degli hacker.

Articoli correlati:

• Cos'è la privacy dei dati? Come proteggersi
• Che cos'è la sicurezza Internet? Come proteggersi online
• Come proteggere la privacy online quando usi i dispositivi sia per lavoro che per motivi personali
• Come nascondere l'indirizzo IP