Google Cars

Garante Privacy: provvedimento sulle Google Car. Devono essere riconoscibili

Il Garante per la protezione dei dati personali ha emanato, in data 15 ottobre 2010, un provvedimento con cui impartisce precise indicazioni a Google per l’uso delle Google Cars in Italia, le auto che acquisicono informazioni e immagini per approntare il servizio Google Street View (cfr. anche il Comunicato Stampa del 25.10.2010).

Ecco il dispositivo:

IL GARANTE:

dispone, ai sensi degli artt. 143, comma 1. lett. b) e 154, comma 1, lett. c) del Codice, che Google Inc. entro trenta giorni dalla notificazione del presente provvedimento:

a) provveda a designare un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali;

b) provveda ad informare gli interessati, relativamente all’acquisizione di immagini fotografiche, individuando con un sufficiente livello di approssimazione le località visitate dalle vetture di Street View tenendo conto della ampiezza delle suddette località, mediante pubblicazione della notizia sul sito web della società, nei tre giorni antecedenti rispetto all’inizio della raccolta delle immagini;

c) provveda ad informare gli interessati anche tramite la pubblicazione, sulla pagina di cronaca locale di almeno due quotidiani, nonché mediante diffusione per mezzo di un’emittente radiofonica locale, di un preventivo avviso – per ogni regione visitata – che informi sui luoghi in cui circoleranno le vetture;

d) predisponga, sulle vetture attraverso le quali acquisisce le immagini fotografiche, cartelli o adesivi ben visibili che indichino, in modo inequivocabile, che si stanno acquisendo immagini fotografiche istantanee oggetto di pubblicazione online mediante il servizio Street View.

Al di là delle prescrizioni impartite, appare molto interessante ripercorrere le motivazioni che hanno portato a tali conclusioni.

Il Garante per la privacy, come si legge nel recente provvedimento, Continua a leggere

Self-driving cars. L’eccellenza italiana dell’Università di Parma, prima di Google

A seguito del post sulle self-driving cars, ove segnalavo che in realtà la notizia diffusa dai media, secondo cui Google starebbe approntando, quale novità assoluta, “un’auto che si guida da sola”, aveva dei precedenti noti in ambito mondiale ed europeo, in prestigiose università e centri di ricerca mondiali, ove l’europa non è certo da meno.

Anche in Italia abbiamo ricerche di grande rilievo in questo settore. Ringrazio vivamente Giuseppe Gungui, che mi ha rilasciato un apposito commnento, per aver proposto diversi link ed alcuni ulteriori video sugli importanti risultati dei progetti dell’Università di Parma, che vorrei riproporvi affinché non passi inosservata l’eccellenza italiana.

Sono contento della segnalazione avuta, che mi dà l’occasione di dimostrare, in questi giorni così difficili per il mondo accademico (in relazione alle discusse proposte di riforma universitaria ed ai drastici tagli che hanno colpito il mondo accademico) quanto sia capace la ricerca sviluppata nelle Università del nostro Pasese, che merita di essere alimentata se volgiamo che lo sviluppo economico dell’Italia decolli definitivamente.

Ecco i link proposti:

1) Overland

Quattro veicoli elettrici guidati in modo automatico da computer, una sfida in bilico tra l’Avventura e la fantascienza con un occhio di riguardo all’ambiente. Da Agosto a Novembre 2010 lungo i 15000 chilometri che separano Milano e Shangai proiettati verso Expo 2015. Tutto questo è reso possibile dall’incontro tra Overland e il Vislab dell’Università di Parma con la collaborazione di Gazpromneft lubricants. Un’avventura unica con molteplici obiettivi scientifici, compresa una mappa dell’inquinamento da CO2 nei paesi attraversati.

2) VisiLab

VisLab is a spinoff company of the University of Parma; it is involved in basic and applied research, developing machine vision algorithms and intelligent systems for different applications, primarily for the the automotive field.

Many results are considered worldwide milestones in vehicular robotics. VisLab, thanks to its almost-20-ys-old history, is also developing its own products for the automotive market.

3) ARGO

4) VisiLab. Dimostrazione (BRAiVE)

5) Progetto ARGO nel 1998

6) Progetto ARGO nel 1999

Che sia di buon auspicio per le sorti future dell’Università italiana, che, quanto a intelligenze e capacità, nulla ha da invidiare a quelle estere. Se solo fosse oggetto di maggior considerazione nelle scelte, anche economiche e finanziarie, di Governo potrebbe ben esercitare quel ruolo trainante per il benessere economico, sociale e culturale del nostro Paese che le è proprio.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Cosa sono i playload data (sul caso Google Street View e captazione dati su reti wi-fi)

Il Garante per la protezione dei dati personali è intervenuto sul caso relativo alla captazione di dati su reti wi-fi, effettuata da Google con le Google Cars, durante le operazioni tecniche necessarie per approntare il servizio Google Street View.

Il provvedimento del Garante per la privacy, di cui ho dato conto nel precedente articolo, faceva espresso riferimento ai playload data.

Poiché mi è stato chiesto di chiarire il significato del termine usato dal Garante, riporto di seguito del materiale utile a comprendere il senso tecnico delle espressioni:

1) La definizione di “playload data”:

(…) On the Internet, a payload is either:

1) The essential data that is being carried within a packet or other transmission unit. The payload does not include the “overhead” data required to get the packet to its destination. Note that what constitutes the payload may depend on the point-of-view. To a communications layer that needs some of the overhead data to do its job, the payload is sometimes considered to include the part of the overhead data that this layer handles. However, in more general usage, the payload is the bits that get delivered to the end user at the destination.

2) The eventual effect of a software virus that has been delivered to a user’s computer.

Poiché l’espressione “playload data” potrebbe fare riferimento a concetti e “dati” diversi, non univocamente individuabili a priori, sarebbe (stato) il caso che il Garante precisasse nel provvedimento, anche con un atto integrativo, il senso esatto da attribuire all’espressione usata nel proprio provvedimento a carico di Google, sopratutto in ragione della delicatezza della situazione e delle particolari esigenze di ordine probatorio che hanno indotto l’Authority a disporre la conservazione ed il blocco dei dati illecitamente trattati ed a trasmettere gli atti alla magistratura ai fini della verifica di eventuali illeciti penali, con particolare riferimento alle ipotesi di reato previste e punite all’art. 617 quater, co. 1, c.p. e all’art. 617 quinquies, co. 1, c.p.

***

2) Materiale tecnico di approfondimento sui “playload data”

Sui “playload data”, per chi desiderasse un accurato approfondimento tecnico, segnalo un intessante lavoro di ricerca di Jordi Portelli de Mora condotto presso l’Universitat Politecnica de Catalunya (Departament de Fisica Aplicada), a conclusione del dottorato di ricerca (Ph.D.). La tesi del dottorato di ricerca è del 2005 e verte proprio sui “Playload Data” nell’ambito del progetto GAIA condotto presso l’ESA (European Space Agency), a cui Jordi Portelli de Mora ha lavorato attivamente per cinque anni.

Fabio Bravo

www.fabiobravo.it

Information Sosciety & ICT Law

Google Street View e intercettazioni Wi-Fi. Ecco il provvedimento del Garante per la Privacy. Blocco dei dati e trasmissione degli atti alla magistratura

Sul caso delle illecite captazioni wi-fi effettuate dalle Google Car (cfr. 123) è intervenuto in data 9 settembre 2010 il Provvedimento del Garante per la protezione dei dati personali.

A seguire riporto testo integrale di tale provvedimento, con cui il Garante impone a Google il blocco dei c.d. “payload data” e invia gli atti alla magistratura.

I reati eventualmente configurabili, secondo la riscostruzione del garante, sono quelli di cui all’art. 617-quater (“Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”), comma 1, ed all’art. 617-quinquies (“Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche”), co. 1, del codice penale.

La fattispecie è interessante perché il Garante, nel ravvisare la probabile commissione dei predetti reati informatici, che tuttavia spetta alla magistratura accertare, interviene anche sui profili di ordine probatorio, che tipicamente interessano la computer forensics, disponendo, proprio a fini probatori, il blocco dei dati, assistito da una sanzione rigorosa.

Il Garante, nel proprio provvedimento, ravvisa infatti

“la necessità che i payload data raccolti non vengano per il momento cancellati dai server sui quali sono conservati, in quanto gli stessi potrebbero costituire elementi di prova in caso di un eventuale intervento da parte dell’Autorità giudiziaria

Per una sintesi è possibile prendere visione del comunicato stampa diramato dall’Authority.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

***

Comunicazioni “captate” su reti wi-fi: il Garante ordina a Google Street View il blocco dei dati e trasmette gli atti alla magistratura – 9 settembre 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTE le note del 27 aprile e del 14 maggio 2010 inviate da Google Italy S.r.l., con le quali l’Autorità è stata informata che Google Inc., durante il passaggio nel territorio italiano delle vetture che acquisivano immagini per il servizio Street View, ha raccolto sia dati relativi alla presenza di reti Wi-Fi (wireless fidelity) sia frammenti di comunicazioni elettroniche trasmesse dagli utenti su alcune reti Wi-Fi non protette da protocolli sicuri e da cifratura (c.d. payload data);

VISTA la nota di questa Autorità del 17 maggio 2010, con la quale è stato comunicato l’avvio di un procedimento amministrativo nei confronti di Google, teso alla verifica della liceità e correttezza dei trattamenti ed avente ad oggetto l’osservanza delle disposizioni in materia di protezione dei dati personali nell’ambito del servizio Street View;

CONSIDERATO che, con la medesima nota, l’Autorità ha chiesto alla predetta società di fornire elementi utili alla valutazione complessiva dei trattamenti dei dati personali effettuati tramite il richiamato servizio Street View, invitando contestualmente la società a non effettuare alcun ulteriore trattamento dei payload data fino a diversa direttiva del Garante;

VISTA la nota del 1° giugno 2010, con la quale Google Inc., elettivamente domiciliata presso lo Studio legale Hogan Lovells in Roma, ha fornito i primi riscontri in relazione alla raccolta dei dati relativi alla presenza di reti Wi-Fi e ha confermato di aver raccolto, a partire dal mese di aprile 2008, payload data durante il passaggio delle vetture di Street View nel territorio italiano utilizzando antenne Wi-Fi e appositi software;

CONSIDERATO che la società ha dichiarato di ritenere che i payload data siano estremamente frammentati, dal momento che “le vetture Google Street View sono costantemente in movimento e l’impianto WiFi cambia automaticamente canale cinque volte al secondo”, ma che “sussiste la teorica possibilità che i payload data contengano dati personali nel caso in cui un utente, al momento della raccolta, abbia trasmesso alcune informazioni personali”;

CONSIDERATO che, secondo le dichiarazioni della società, tali dati sono stati raccolti erroneamente, non sono mai stati utilizzati per alcun tipo di servizio, non sono mai stati comunicati a terzi e attualmente sono conservati su server localizzati negli Stati Uniti, in una banca dati separata ad accesso limitato ai soli soggetti appositamente incaricati da Google Inc. per la protezione dei dati;

CONSIDERATO che Google Inc. ha raccolto i payload data per un considerevole periodo di tempo (aprile 2008 – maggio 2010), in modo sistematico e nell’ambito di un’attività svolta su tutto il territorio nazionale e che, quindi, vi è la concreta possibilità che alcune fra le informazioni raccolte abbiano natura di dati personali;

RITENUTO che all’eventuale trattamento di dati personali posto in essere, in quanto effettuato mediante strumenti situati nel territorio dello Stato, si applichino le norme del Codice (art. 5 del Codice);

VISTO l’art. 11, comma 1, lett. a) e b) del Codice, ai sensi del quale i dati personali devono essere trattati in modo lecito e secondo correttezza e devono essere raccolti e registrati per scopi determinati, espliciti e legittimi;

VISTO l’art. 15 della Costituzione che sancisce l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione e che stabilisce che “la loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”;

strong>VISTO l’art. 617-quater, comma 1, del codice penale, che punisce “chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi (…)”;

VISTO l’art. 617-quinquies, comma 1, del codice penale, che punisce “chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire od interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi (…)”;

RITENUTO, sulla base degli elementi acquisiti nel corso dell’istruttoria, che il trattamento realizzato da Google Inc., per quanto concerne in particolare i payload data, possa porsi in contrasto con le richiamate norme del codice penale e che pertanto debba essere disposta la trasmissione degli atti del presente procedimento all’Autorità giudiziaria per le valutazioni di competenza;

CONSIDERATO che l’art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

RITENUTA la necessità che i payload data raccolti non vengano per il momento cancellati dai server sui quali sono conservati, in quanto gli stessi potrebbero costituire elementi di prova in caso di un eventuale intervento da parte dell’Autorità giudiziaria;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di disporre il blocco anche d’ufficio del trattamento illecito o non corretto dei dati e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA pertanto la necessità di adottare nei confronti di Google Inc. un provvedimento di blocco del trattamento ritenuto illecito ai sensi dell’art. 154, comma 1, lett. d), del Codice correlato alla raccolta di payload data effettuata durante il passaggio delle vetture di Street View nel territorio italiano;

TENUTO CONTO che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di blocco è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

RISERVATO ogni ulteriore accertamento e intervento in merito al trattamento di dati relativi alla presenza di reti Wi-Fi effettuato da Google Inc. e all’acquisizione di immagini per il servizio Street View, profili rispetto ai quali è tuttora in corso l’istruttoria dell’Autorità;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE:

A) dispone nei confronti di Google Inc., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, il blocco di qualsiasi trattamento dei payload data raccolti sul territorio italiano.

B) dispone la trasmissione di copia degli atti del procedimento e del presente provvedimento all’Autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 9 settembre 2010

IL PRESIDENTE – Pizzetti

IL RELATORE – Pizzetti

IL SEGRETARIO GENERALE – De Paoli

Google Street View intercettava su reti wireless private dati sensibili o particolarmente delicati (password, codici bancari, dati medici, stralci di e-mail)

Secondo gli accertamenti effettuati dalle autorità francesi (in particolare la CNIL, che ha funzioni analoghe al nostro Garante per la protezione dei dati personali), i dati intercettati “non intenzionalmente” dalle Google-Car usate per realizzare il servizio Google Street View sarebbero di natura sensibile o, comunque, conterrebbero informazioni particolarmente delicate, compreso password, codici bancari, dati medici, frammenti di e-mail, etc.

La notizia è stata diffusa da Repubblica in un articolo di Tiziano Toniutti (dal titolo “Si complica il caso Google Street View. Password tra i dati intercettati“), ove si legge che:

Tra i frammenti di informazione memorizzati dalle vetture che fotografano le strade di tutto il mondo per conto dell’azienda americana, ci sarebbero anche password, frammenti di e-mail e altri dati privati.

(…)

L’agenzia di sicurezza francese CNIL ha rilevato la presenza di queste informazioni esaminando i dati raccolti da Google. Gli elementi sensibili sarebbero stati “pescati a strascico” mentre le Google-car, le auto con la speciale macchina fotografica che realizza le immagini delle mappe 3D, assorbivano informazioni sulle reti wireless locali perché poi Google potesse sviluppare dei servizi basati sulla geolocalizzazione. Il CNIL è una delle organizzazioni che nel mondo hanno chiesto a Google copia dei dati raccolti in giro per il mondo e sta valutando se avviare azioni legali contro l’azienda.

(…)

Sulla natura e sui contenuti dei dati viene chiarito quanto segue:

Esaminando l’imponente mole di informazioni fornite da Mountain View, il CNIL ha dichiarato che all’esame dell’agenzia, parte di questi dati contiene dati sensibili. Nello specifico, dichiara Alex Turk, direttore dell’agenzia, “informazioni che comprendono codici bancari e dati medici, password e stralci di messaggi e-mail“. Insomma il massimo della sensibilità dei dati.

In Italia il caso è già da tempo sotto l’attenzione del Garante per la protezione dei dati personali e della Procura.

Visto l’esito dell’indagine da parte delle autorità francesi, è prevedibile che non tarderanno ad arrivare i riscontri delle autorità italiane.

Il caso è esploso con un certo vigore anche in america. L’articolo di Toniutti precisa, al riguardo, che

Negli Usa, intanto, le Google-car sono all’attenzione del Congresso, e sono già diverse le azioni legali intraprese dai singoli stati contro Mountain View. Il Connecticut in particolare guida un’inziativa multi-stato, volta a fare luce sui comportamenti dell’azienda. Richard Blumenthal, senatore locale, denuncia l’invasione nella privacy personale di Google: “Street View non può significare visione completa”, dichiara Blumenthal. “Come non può significare la possibilità di entrare nelle reti private dei cittadini e risucchiare dati e informazioni personali. Gli individui hanno diritto di sapere che tipo di dati Google ha raccolto, e perché Google ha intercettato queste informazioni”. L’invito è esplicito: Google deve fare chiarezza su vari aspetti della vicenda rimasti oscuri, tra cui il motivo per cui ha salvato nei propri archivi informazioni che sarebbero state, nelle parole dell’azienda, raccolte non intenzionalmente.

Vedremo insieme gli sviluppi della vicenda e le ripercussioni nel nostro Paese.

Fabio Bravo

www.fabiobravo.it

Google Street View e le intercettazioni di comunicazioni wi-fi. Interviene il Garante per la privacy

Google avrebbe ammesso di aver intercettato frammenti di comunicazioni wi-fi degli utenti, nel corso dei sopralluoghi effettuati con le automobili utilizzare per le riprese fotografiche da inserire nel servizio Google Street View.

Così si legge negli articoli di questi giorni delle principali testate:

Stando alla cauta versione di Repubblica, come emerge dall’articolo dal titolo “Guai per Google Street View. Ha registrto dati wi-fi privati“,

PER OLTRE tre anni, le occhiute automobili che Google manda in giro per fotografare le strade del mondo e renderle visibili a tutti su internet hanno condotto inavvertitamente un’attività collaterale che ora potrebbe costare caro all’azienda di Mountain View: i sensori delle Google-mobili hanno preso minuziosamente nota del nome e dell’indirizzo di tutti i modem wi-fi che incontravano sul loro percorso. E, nel fare questo, hanno anche intercettato e memorizzato (per errore) pezzi di comunicazioni non criptate che venivano scambiate attraverso questi dispositivi.

C’è da chiedersi, tra l’altro:

a) come mai per tre anni non si siano accorti dell’errore;

b) come sia possibile che gli ingegneri di Google o gli altri tecnici specializzati non abbiano avuto le competenze necessarie per comprendere che le apparecchiature utilizzate per le riprese funzionali a Google Street View potessero anche non solo intercettare, ma anche memorizzare le informazioni che nulla avevano a che vedere con le immagini delle riprese fotografiche.

I dubbi sembra se li sia posti anche il Garante per la privacy, il quale ha diffuso un comunicato stampa del 19 maggio 2010, da cui si apprende che

Il Garante privacy ha avviato un’istruttoria nei confronti di Google per verificare la liceità e la correttezza del trattamento dei dati personali effettuato nell’ambito del servizio Street View.

Il procedimento dell’Autorità è stato aperto in merito alla raccolta effettuata dalla società sul territorio italiano e che, secondo quanto ammesso dalla stessa Google Italia, ha riguardato, oltre che immagini, anche dati relativi alla presenza di reti wireless e di apparati di rete radiomobile, nonché frammenti di comunicazioni elettroniche, eventualmente trasmesse dagli utenti su reti wireless non protette. Riguardo a quest’ultima tipologia di dati, l’Autorità ha invitato la società a sospendere qualsiasi trattamento fino a diversa direttiva dello stesso Garante.

Con particolare riferimento a tutti i dati eventualmente “captati” dalle “Google cars”, la società dovrà comunicare al Garante la data di inizio della raccolta delle informazioni, per quali finalità e con quali modalità essa è stata realizzata, per quanto tempo e in quali banche dati queste informazioni sono conservate.

Google dovrà chiarire, inoltre, l’eventuale impiego di apparecchiature o software “ad hoc” per la raccolta di dati sulle reti WiFi e sugli apparati di telefonia mobile. La società dovrà comunicare, infine, se i dati raccolti siano accessibili a terzi e con quali modalità, o se siano stati ceduti.

Dall’ultima parte del comunicato, ove si fa riferimento alla richiesta di specificazione in ordine alle apparecchiature ed ai software ad hoc, si evince che dall’istruttoria non si esclude che l’attività di captazione possa essere stata effettuata volontariamente e non per errore.

Vedremo l’esito dall’istruttoria del Garante e le novità che dovessero emergere dalle inchieste giornalistiche.

Fino a che punto di estendono le tecnologie di controllo sociale?

Fabio Bravo

www.fabiobravo.it


EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books