smau milano 2016 - andrea michinelli e stefano ricci | geotagging
TRANSCRIPT
La gestione dei dati personali nel GeoTagging: profili privacy presenti e futuri
Avv. Andrea Michinelli – Studio legale d’Ammassa & AssociatiAvv. Stefano Ricci – Studio legale Meda Preti RicciMilano - 27 ottobre 2016
Perché ci interessa
Perché ci interessa
Perché ci interessa
Perché ci interessa
Cercando una definizione…
Designed by Freepik
Cercando una definizione… Geolocalizzazione = deter-
minazione (anche approssimativa) dell’ubicazione spaziale di una persona fisica (es. indirizzo, nome/immagine di un luogo, latitudine & longitudine, altitudine, velocità, ecc.), anche tramite oggetti a essa riconducibili – tracciamento / posizionamento
Geotagging = geolocalizzazione mediante abbinamento di determinati dati/contenuti (foto, video, siti web, messaggi, tweet, ecc.) a un’etichetta informatica con dati geografici (come metadata del file, nelle proprietà dello stesso)
SCOPI• per scopi personali / commerciali /
lavoro → es. sharing via social network
• per finalità di ricerca e organizzazione archivi → perlopiù a opera degli stessi utenti o dei loro dispositivi
• per finalità di profilazione commerciale → perlopiù a opera dei fornitori di hardware & software o dei loro dispositivi
• per il rispetto di legge e contratti → a opera dei titolari/fornitori di servizi onde garantire la fruizione dei diritti licenziati nei soli territori concessi
Da dove?
DATI GENERABILI:a) automaticamente dal dispositivo, sulla base di funzioni
predeterminate dal produttore del OS e/o dispositivo o dal relativo fornitore di telefonia mobile (es. dati di geolocalizzazione, impostazioni di rete, indirizzo IP) – IoT (Internet of Things!);
b) dall'utente volontariamente mediante app (liste di contatti, appunti, foto), inserimento manuale;
c) dalla app mediante il suo funzionamento (ad es. cronologia di navigazione)
d) da terzi mediante incrocio di più dati
ACCESSIBILI anche da terzi (per es. una rete pubblicitaria che accede ai dati di geolocalizzazione del dispositivo per fornire pubblicità comportamentali)
Cosa rischia l’interessato
► Localizzazione “occulta” di persone/cose ► Combinazione di pochi dati di geolocalizzazione con altri (big
data), oltre che con servizi di più parti► Maggiore disponibilità nel mercato di geo-search (v.
cybercasing = uso di strumenti online per ricavare dati di localizzazione)
► Metadata sempre più disponibili in social network► Privacy paradox = gli utenti, se interpellati, manifestano
grande preoccupazione per la propria privacy ma attuano poco o nulla per contrastarla (contraddizione)
Playersa) Sviluppatori OSb) API per accesso a contenuti geo: Flickr, YouTube, Twitter, Craiglist
→ dunque disponibilità dei dati anche a sviluppatori terzic) Servizi location-based: servizi forniti sulla base dell’attuale
localizzazione dell’utente (es. Google maps) da parte di terzid) Portali Internet v. Google+, Yahoo!, Foursquare, Yowza!!, SimpleGeo, Instagram,
Facebook, Twitter, Flickr…• YouTube: estrae di default geo-info dai video caricati, richiede opt-out;
Flickr: richiede opt-in esplicito • iPhone Apple: di default geotaggava foto e video realizzati, richiedeva opt-
out; Android: richiede opt-in
Designed by Freepik
Strumenti di geolocalizzazione GPS (Global Positioning System) =
segmenti spaziali (satellite) + controllo (dispositivi terrestri) + azione utente; GNSS; AGPS; ecc.
Triangolazione celle telefono mobile / hotspot Wifi (→ incrocio dati su intensità segnale con hotspot noti – ogni hotspot segnala proprio MAC address e nome di rete)
Incrocio di dati, inferenza (es. comparazione immagine con quella di Google StreetView), crowdsourcing
Hardware & software in genere (es. browser, etichette RFID, comunicazioni NFC - M2M - IMES, Bluetooth – ultrasonic beacon, ecc.)
Formato EXIF (specifico per foto di fotocamere digitali, file in formato JPEG, TIFF, RIFF, ecc.), registrazioni, software editing (es. foto) → possono lasciare thumbnails dell’immagine o file originario (EXIF, Word, Pdf, ecc.)→ si trovano metadata EXIF in blog e siti web!
IDENTIFICAZIONE: può essere immediata o successiva alla raccolta del dato (es. incrocio marca temporale con log di un ricevitore GPS, ecc.)
Privacy oggi FONTI (principali)• Codice Della Privacy (CDP) - D.Lgs. 196/2003 (v. Allegati: codici deontologici,
misure minime di sicurezza) dalla Direttiva 95/46/UE • Provvedimenti Garante Della Privacy (GDP) (es. autorizzazioni generali, linee
guida, vademecum, ecc.) e del Gruppo di lavoro art. 29 (WP 29)
DATO DI LOCALIZZAZIONE: è un dato personale può essere dato sensibile (può rivelare stato salute, orientamenti sessuali,
religiosi, politici, ecc.) – es. visite in ospedale, luogo di culto, sindacati, partiti, ecc. → consenso scritto + notifica Garante + autorizzazione preventiva del Garante (tranne casi predeterminati in autorizzazioni generali)
può essere dato “quasi” sensibile = presenta rischi per diritti, libertà e dignità dell’interessato (a seconda della natura del dato, della modalità e degli effetti del trattamento) → rispetto di misure a tutela dell’interessato, se prescritte dal Garante + interpello di verifica preventiva al Garante
Privacy Italia/UE: concetti di base (in pillole)◊ Dato personale = dato di una persona
fisica identificata/identificabile (anche in correlazione con altri dati) – es. email, immagine, numero di telefono, indirizzo IP, ecc. → ubicazione!
◊ Trattamento = qualsiasi operazione compiuta con il dato personale – es. raccolta, modifica, incrocio, cancellazione, ecc.
◊ Interessato = persona fisica a cui si riferisce il dato personale
◊ Titolare = persona fisica/giuridica che decide circa il trattamento dei dati
◊ Responsabile = persona fisica/giuridica nominata dal Titolare per compiere determinati trattamento in suo conto
◊ Informativa = informazioni (previe) sul trattamento all’interessato
◊ Consenso = assenso (informato) al trattamento dei dati dell’interessato
◊ Misure di sicurezza = misure tecnico-organizzative adottate dal titolare per la tutela del trattamento – minime Allegato B CDP (sistemi di autenticazione, autorizzazione, liste di incaricati, aggiornamenti software, backup, antivirus, gestione supporti, certificazioni di fornitori, misure per trattamenti cartacei, ecc.) + eventuali misure adeguate ulteriori (v. provv. Garante)(v. anche Guidelines ENISA, es. per app developers 2011)
Privacy: principi di base
TRATTAMENTO
Privacy: principi di base (in pillole)a) Necessità = configurazione dei
sistemi informativi e informatici riducendo al minimo l’utilizzazione di dati personali, così da escludere il trattamento se le finalità possono essere perseguite mediante dati anonimi o identificando l’interessato solo in caso di necessità
b) Finalità (pertinenza e non eccedenza) = dati raccolti e registrati per scopi: determinati (devono esserci degli scopi), espliciti (informazione all’interessato), legittimi, coerenti con i presupposti della raccolta
c) Legittimità (correttezza, traspa-renza) = i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali NON possono essere utilizzati; è necessaria base giuridica a supporto del rapporto
d) Proporzionalità = modalità di trattamento e dati: pertinenti (alle funzioni derivanti dall’attività svolta), completi, NON eccedenti le finalità (qualitativamente e quantitativamente); → termine temporale: una volta perseguite tali finalità, NON conservare più i dati → anonimizzazione o cancellazione
Dato “quasi” sensibile= dato personale che presenta rischi per i diritti, le libertà e la
dignità dell’interessato• secondo la natura dei dati, la modalità di trattamento, gli effetti
del trattamento→ categoria aperta, a valutazione del Garante
(es. lesione diritti d’immagine, provvedimenti disciplinari, assistenza sociale, sondaggi d’opinione, dati biometrici, dati finanziari della centrale rischi, situazione economica-finanziaria)
→ è necessario il rispetto di misure a garanzia dell’interessato, se prescritte dal Garante
→ (art. 17 CDP) interpello di VERIFICA PREVENTIVA al GDP
Dato di ubicazione (Dir. 2002/58/CE in art. 126 CDP)
= trattato da una rete comunicazione elettronica che indichi (anche potenzialmente) la posizione geografica del terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico (=trasmissione di segnali su reti)
ADEMPIMENTI:• Consenso dell’utente /
anonimizzazione dati per quanto necessario alla fornitura del servizio a valore aggiunto
• Informativa ad hoc sui dati di ubicazione: natura dei dati, scopi, data retention, se trasmissione a terzi, categorie di incaricati che verranno a conoscenza dei dati
• Sempre disponibile (gratuitamente) la facile possibilità tecnica di revocare il consenso / chiedere la disattivazione temporanea del servizio
• Misure di sicurezza appropriate ai servizi, garantendo la protezione contro: la distruzione anche accidentale, la perdita o alterazione anche accidentale e la archiviazione, il trattamento, l’accesso o la divulgazione non autorizzati o illeciti
Responsabile del trattamento
= la persona fisica o giuridica (la società, l'ente, l'associazione, l'organismo, ecc.) cui il titolare affida (→ interagisce con interessati e GDP) compiti di gestione e controllo del trattamento dei dati, per esperienza, capacità, affidabilità (→ verifica preventiva, NO automatismi)
• fornendo idonea garanzia del pieno rispetto – della normativa in materia di dati personali e– della sicurezza dei dati
• attenendosi alle istruzioni (anche orali) impartite dal titolare → lettera di incarico con compiti analiticamente distinti e accettati
Informativa al trattamento
Informativa al trattamento= le informazioni (= dichiarazione) che il titolare/responsabile del
trattamento• deve fornire PREVIAMENTE
(salvo ambito sanitario)– verbalmente (→ problemi probatori…)– o per iscritto (→ anche in clausole o allegati contrattuali,
pubblicazione sul web accessibile con un solo click in home page, ecc.)• quando i dati sono raccolti presso l'interessato Aggiornamenti/modifiche/sostituzioni (ius variandi): necessariamente ri-
notificata agli interessati, che dovranno – se necessario – esprimere di nuovo il consenso
NON comprende i dati già noti all’interessato (es. precedente informativa)
→ NO informativa a ogni contatto Clausola contrattuale di richiamo: NON è vessatoria ex art. 1341-1342 c.c.
Informativa (sintetica e colloquiale):• gli scopi (per ogni trattamento
distinto, es. contrattuale, promozionale, ecc.); → NO indicazioni generiche;
• le modalità (cartacea, elettronica, incrocio dati per profilazione, ecc.) di trattamento;
• se l'interessato è obbligato o meno a fornire i dati; quali sono le conseguenze se i dati non vengono forniti, a seconda dei distinti scopi;
• a chi e come possono essere comunicati/divulgati/diffusi i dati (interni ed esterni); sufficienti: a) categorie soggetti altri titolari terzi;
b) ruolo incaricati e responsabili; c) ambito di diffusione;
• chi sono il titolare e l'eventuale responsabile del trattamento e dove sono raggiungibili; anche il rappresentante italiano se titolare extra-UE;
• (in caso di raccolta presso terzi) anche le categorie dei dati trattati;
• CASI PARTICOLARI: altre informazioni (es. diritto di opposizione nel caso di marketing diretto) oppure semplificazioni (es. PMI, videosorveglianza, banner cookies);
Informativa (sintetica e colloquiale):• quali sono i diritti riconosciuti
all'interessato (art. 7 CDP):Es. “I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettificazione (articolo 7 del codice in materia di protezione dei dati personali). Ai sensi del medesimo articolo si ha il diritto di chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento”
• Se dati raccolti presso terzi (es. archivi, albi pubblici, ecc.) → DOPPIA informativa: 1) a chi li fornisce, al momento della raccolta; 2) all’interessato, alla registrazione dei dati o alla prima comunicazione ad altri terzi (tranne che in casi di legge, ad es. previsti dal Garante se manifesta sproporzione con prescrizione di eventuali misure compensative adeguate)
Consenso
Designed by Freepik
Consenso• = libera manifestazione di volontà dell‘Interessato, con cui questi accetta
espressamente un determinato trattamento dei suoi dati personali→ preventiva informativa (salvo eccezioni di legge) da chi ha un potere decisionale sul trattamento (= uno dei titolari)
Requisiti:
• Espresso (= NO implicito/tacito)
• Specifico del trattamento in esame – distinguendo a seconda delle varie finalità nelle fasi del trattamento; ad es. consenso obbligatorio (per eseguire un contratto) da quello facoltativo (per invio di materiale promozionale, per i contatti, per la newsletter) → se muta una finalità → va prestato nuovo consenso specifico
Consenso• Libero:
consapevole e senza pressioni, raggiri, pratiche leganti, pre-compilazioni, conseguenze negative significative; con opzioni “Accetto □ Nego □ il consenso al trattamento”
• Scritto?– documentato (annotato, trascritto, riportato dal titolare / responsabile /
incaricato del trattamento su un registro o un atto o un verbale) per iscritto
es. trascrizione orale o avviso di conferma ricezione e-mail– (in caso di dati sensibili) manifestato all’origine (reso per iscritto)
Consenso
Corretta scansione degli adempimenti
Diritto di accesso
Designed by Kjpargeter - Freepik.com
Diritto di accesso
= necessaria procedura del titolare per dare riscontro agli interessati, con accentramento della gestione nella figura del responsabile (se
presente)
• RICHIESTA: a) di informazione: diritti ex art. 7.1, 7.2 CDP (= origine, finalità, modalità, criteri informatici di elaborazione, esistenza, comunicazione)b) di intervento: diritti ex art. 7.3 CDP (= aggiornamento, rettifica, blocco, cancellazione, integrazione, trasformazione anonima, attestazione a terzi)
rivolta al titolare o al responsabile (anche tramite incaricato formato)
Misure di sicurezza
Designed by Freepik
Misure di sicurezza= tutti gli accorgimenti tecnici ed
organizzativi, i dispositivi elettronici o i programmi informatici utilizzati per garantirsi contro i rischi, ovvero che:
i dati trattati siano correttamente custoditi e controllati
i dati NON vadano distrutti o persi, anche in modo accidentale
solo le persone autorizzate possano avere accesso ai dati
NON siano effettuati trattamenti contrari alla legge o diversi da quelli per cui i dati erano stati raccolti
• Distinzione delle misure di sicurezza ai sensi del CDP:a) MISURE MINIME = le misure di sicurezza ai sensi dell’Allegato B al CDP e dal CDP stesso (= artt. 31-36 CDP + Allegato B) b) MISURE IDONEE = le ulteriori misure di sicurezza, previste dal Garante oppure idonee a seconda del progresso tecnologico disponibile
GDP (http://www.garanteprivacy.it)
A) Notifica al Garante = comunicazione al Garante
• da parte del titolare del trattamento• del trattamento di dati sensibili / “quasi” sensibili nei casi ex CDP • per uno o più trattamenti con finalità correlate
• Telematica + firma digitale (anche attraverso soggetti autorizzati convenzionati)
• Costo: € 150 per diritti di segreteria• Si deve effettuare una tantum (→ prima di dare inizio al trattamento)
→ e prima della cessazione• NON va ripetuta se non si modificano le caratteristiche del
trattamento → da modificare se cambiano ad es. le finalità del trattamento o cambia la ragione sociale del titolare
A) Notifica al Garante (esempio casistica)
A) Notifica al Garante (modulistica)
A) Notifica: art. 37 CDP + esenz. GDP n. 1/2004GEOLOCALIZZAZIONE = rilevamento della presenza in
determinati luoghi • mediante reti di
comunicazione elettronica• accessibili dal titolare→ da indicare in informativa al
trattamento (es. registrazione di ingressi/uscite,
rilevazione di immagini/suoni, lettura di carte elettroniche per fornire beni o servizi, GPS, etichette tracciamento RFID)
→ da NOTIFICARE se:
1) permette l’individuazione conti-nuativa dell’ubicazione
2) consente l’identificazione (anche indirettamente, attraverso appositi codici)
TRANNE se (alternativamente): – solo per fini di sicurezza del
trasporto– rilevazione NON continuativa
B) Verifica preliminare del GaranteIn caso di dati «quasi» sensibili:• “il trattamento di dati diversi da quelli sensibili e giudiziari • che presenta rischi specifici per i diritti e le libertà fondamentali,
nonché per la dignità dell'interessato, • in relazione alla natura dei dati o alle modalità del trattamento o agli
effetti che può determinare, • è ammesso nel rispetto di misure ed accorgimenti a garanzia
dell’interessato, • ove prescritti • […] dal Garante […] • nell'ambito di Una verifica preliminare all'inizio del trattamento,
– effettuata anche in relazione a determinate categorie di titolari o di trattamenti, – anche a seguito di un interpello del titolare.”
C) Autorizzazione del Garante= richiesta al Garante (che dunque dovrà autorizzare
espressamente)– da parte del titolare del trattamento – di dati sensibili / giudiziari – (tranne nei casi delle Autorizzazioni generali del Garante)
• Costo: € 500 per diritti di segreteria (€ 150 in casi particolari) • decisione del Garante entro 45 gg. (silenzio-rigetto)
→ può prescrivere misure particolari• Si deve effettuare prima del trattamento• NO se si rientra in Autorizzazioni Generali GDP (v. 1/2014,
5/2014) → da modificare se cambiano i caratteri del trattamento
≠ NOTIFICAZIONE (= segnalazione preventiva di trattamento, non comporta replica)
Provv. GDP per rapp. lavoratori (4/10/2011)GEOLOCALIZZAZIONE lecita se:
motivazione chiara e comprensibile; identificato il software installato nel dispositivo mobile; il software deve permettere al dipendente di attivarlo e disattivarlo; app facilmente identificabile; app NON si avvia in automatico; l’invio dei dati di localizzazione NON deve essere continuo - NO storicizzazione!; (consigliabile) canale criptato di trasmissione; gli addetti all’accesso ai dati individuati ed autorizzati → elenco pubblicato di
questi addetti; tutte le attività di gestione del sistema: registrate, con accesso disciplinato
(bilanciamento degli interessi tra datore e dipendenti); ecc.
Working Party art. 29 (= tutti i GDP)
Designed by Evening_tao - Freepik.com
Pareri WP29 nn. 13/2011 e 2/2013• Utente: se condivide dati tramite
un’app (es. divulgando informazioni a un numero indefinito di persone mediante social network) → è trattamento dati personali, diventa titolare (perché NON è solo uso personale)
• Applicazione norme UE: se almeno nominato Responsabile uno dei soggetti coinvolti + nazionalità UE o strumenti in territorio UE del Responsabile/Titolare
Definire i ruoli dei soggetti coinvolti, con adempimenti relativi
Es. se app sfrutta GPS e geolocalizzazione dell’OS → Soggetti coinvolti: infrastrutture geolocalizzazione / sviluppatori OS / app store / sviluppatore dell’app / terzo = Responsabile o Titolare
• INFORMATIVA e CONSENSO specifici per la privacy PRE-installazione
• prevedere possibilità di negare e bloccare l’installazione
• mancato intervento dell’utente nelle impostazioni = NO consenso prestato liberamente
• Avvertire costantemente della geolocalizzazione in corso (es. icona)
Pareri WP29 nn. 13/2011 e 2/2013
• (Raccomandazione) rinnovo dei consensi dopo un adeguato periodo di tempo - ricordare agli utenti il trattamento
• Meglio consenso «granulare» = distinto per ciascun tipo/categoria di dati a cui la app vuole accedere
• Facile possibilità tecnica per l’utente di cancellare definitivamente i dati
• In caso di diritto d’accesso: informazioni leggibili (es. località geografiche, NO codici astratti) - NO richiesta di dati personali aggiuntivi per identificare
• Data retention: entro le finalità dichiarate in informativa, poi cancellazione / anonimizzazione definitiva (NO pseudonimizzazione)
Pareri WP29 nn. 13/2011 e 2/2013Es. un'applicazione fornisce informazioni
sui ristoranti nelle vicinanze sviluppatore: per accedere ai dati
→ chiedere consenso separatamente (es. durante l'installazione o prima di accedere alla geolocalizzazione)
consenso specifico = limitato allo scopo specifico
solo quando l'utente utilizza l'applicazione a tale scopo → NO raccogliere costantemente dati sull'ubicazione dal dispositivo
può essere associato all'utilizzo di icone, immagini, video e audio, nonché notifiche contestuali in tempo reale quando l’app accede alla rubrica o alle foto→ icone significative (= chiare, autoesplicative e inequivocabili) → anche onere del produttore di OS
Se lo sviluppatore di applicazioni consente l'accesso di terzi ai dati dell'utente (es. una rete pubblicitaria che accede ai dati per fornire pubblicità comportamentali) → requisiti applicabili UE
Interludio: Privacy USA: tutto più semplice?
Common law:
precedente
giudiziario
Location protection act 2014
Privacy bill of
rights act 2015
Consolidated
appropriations act 2015
Online communicati
ons & geolocation
protection act
Cybersecurity act 2012
Privacy 2.0 domani: GDPR e norme UE
Designed by Creativeart - Freepik.com
Privacy 2.0 domani: GDPR e norme UE
• Regolamento 679/2016/UE (applicabile dal 25 maggio 2018) – (GDPR - General Data Protection Regulation)
• Direttiva 2002/58/CE (già recepita in CDP) su fornitura di servizi di comunicazione elettronica su reti pubbliche di comunicazione e cookie law
• Provvedimenti Commissione UE, GDP, Comitato Europeo per la protezione dei dati (certificazioni, linee guida, best practice, ecc.)
• Provvedimenti nazionali (norme, CCNL, CDP, GDP)? → emanati, emanandi, con abrogazione implicita o espressa…
• Direttiva 2016/1148/UE livello comune di sicurezza delle reti e dei sistemi informativi UE (recepimento entro 9 maggio 2018)
Privacy 2.0 domani: GDPR e norme UEDATO DI LOCALIZZAZIONE = è dato personale può essere dato “particolare” (= “sensibile” ex CDP)
• Trattamento = automatizzato / dati in archivio o destinati ad archivio • Archivio = insieme strutturato di dati personali accessibili secondo criteri
predeterminati• Titolare = CONTROLLER• Responsabile = PROCESSOR• Interessato = DATA SUBJECT• Destinatario = chi riceve comunicazione dei dati • Autorizzato = “incaricato” ex CDP• Profilazione = trattamento automatizzato per valutare aspetti personali
dell’interessato (es. ubicazione)
Privacy 2.0 domani: Considerando (71) GDPR• “L'interessato dovrebbe avere il
diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che
consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona”.
Privacy 2.0 domani: Considerando (71) GDPR• “Tuttavia, è opportuno che sia
consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell'Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell'evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell'Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell'affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l'esecuzione di un contratto tra
l'interessato e un titolare del trattamento, o se l'interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all'in-teressato e il diritto di ottenere l'intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore”.
Privacy 2.0 domani: Considerando (75) GDPR• “I rischi per i diritti e le libertà delle
persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o; qualsiasi altro danno economico o sociale significativo se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
Privacy 2.0 domani: novità (in pillole)Valutazione del
rischio del trattamento
Misure di sicurezza adeguate al rischio Audit Privacy by default
Privacy by designConsultazione preliminare al
GDP
DPIA (Data Protection Impact
Assessment)
Norme vincolanti d’impresa
Registri dei trattamenti
Accountability (responsabilizzazione) Data breach DPO (Data
Protection Officer)
Codici etici e certificazioni
Portabilità dei dati
Diritto all’oblio / cancellazione ...
Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
Responsabi-lizzazione
(accountability)
Minimizzazione
Limitazione al trattamento
Limitazione alla
conservazione
Integrità e riservatezza
Limitazione delle finalità
Privacy 2.0: GDPR nuovi/vecchi principi (in pillole) Limitazione delle finalità = scopi
determinati, espliciti e legittimi; NO trattamenti incompatibili con finalità originarie
Minimizzazione = dati adeguati, pertinenti e limitati strettamente alle finalità
Limitazione al trattamento = se contestazione dell’interessato, per il periodo di accertamento
Limitazione alla conservazione = data retention NON oltre le finalità
Integrità e riservatezza = idonee misure di sicurezza
Responsabilizzazione (accoun-tability) = titolare deve poter comprovare rispetto dei principi
► NO notifica GDP► NO autorizzazioni (generali o
preventive) GDP► NO verifica preliminare GP (dati
«quasi» sensibili)
Applicazione territoriale: a CONTROLLER / PROCESSOR stabilito in UE oppure NON stabilito ma che riguarda interessati UE
Privacy 2.0: categorie “particolari” di datiNO trattamento di tali dati personali (“sensibili” CDP + biometrici, genetici, di
salute) TRANNE SE: consenso esplicito per finalità specifiche; necessario per assolvere obblighi e diritti in diritto del lavoro/sicurezza
sociale; tutela di un interesse vitale dell’interessato o terzi se incapacità
dell’interessato al consenso; resi manifestamente pubblici dall’interessato; per accertare / esercitare / difendere un diritto in sede giudiziaria; per fini di medicina preventiva/del lavoro, valutazione della capacità
lavorativa del lavoratore, servizi sanitari o sociali, ecc.; archiviazione nel pubblico interesse, ricerca scientifica o storica o fini
statistici ecc.
Privacy 2.0: es. integrazione dell’informativa Adatta al destinatario e al mezzo di comunicazione (v. minori) (Eventuali) legittimi interessi del titolare o terzi Data retention (se NON possibile: i criteri per determinarla) Diritto di revocare il consenso in qualsiasi momento Diritto di reclamo ad autorità di controllo (GDP) (Se applicabile) l’intenzione del titolare di trasferire i dati a Paese
terzo ≠ UE Se avviene processo decisionale automatizzato (es.
profilazione) + logica utilizzata + importanza e conseguenze del trattamento
(Se raccolti presso terzi): fonte da cui hanno origine i dati (anche accessibili al pubblico)
Ecc.
Privacy 2.0: consenso/legittimo interesseLegittimità del trattamento solo se: Consenso dell’interessato (libero, specifico, comprovabile da
parte del titolare, revocabile); oppure Legittimo interesse del titolare (v. es. Considerando GDPR:
relazione pertinente e prevedibile tra interessato-titolare; fine di prevenzione delle frodi; marketing diretto; sicurezza delle reti e dell’informazione (cybersecurity)
Possibile utilizzo dei dati per finalità ulteriori ma solo se compatibili con quelle iniziali o necessarie per queste
→ valutazione caso per caso
Privacy 2.0: misure di sicurezza “adeguate”CONTROLLER e PROCESSOR:
misure di protezione tecniche + legali + organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto:
a) dello stato dell'arte e dei costi di attuazione;
b) della natura, dell'oggetto, del contesto e delle finalità del trattamento;
c) del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Comprendono - tra le altre - se del caso: pseudonimizzazione / anonimizza-zione + cifratura dei dati personali/archivi;assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati(data recovery); una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure → (ex ante + ex post)
Privacy 2.0: by design & by default• PRIVACY BY DEFAULT = rispetto del
GDPR come impostazione di base dalla fase di informativa-consenso alla raccolta del dato (ad es. in registrazione a servizi, stipula di contratti) al suo utilizzo → opt-in! – valutare: ammontare di dati, l’estensione del trattamento, data retention, l’accessibilità, ecc.→ App: l’interessato deve attivare la relativa funzione per avere localizzazione
• PRIVACY BY DESIGN = rispetto del GDPR deve essere considerato sin dalla fase di progettazione di prodotti / servizi (es. informatici/telematici); → Se utilizzati prodotti/servizi altrui: necessaria garanzia dal fornitore
Relative MISURE DI SICUREZZA:►MINIMIZZAZIONE (= uso dei dati
identificativi solo quando necessario – v. pseudonimizzazione)
►TRASPARENZA (es. informativa sempre disponibile, garantire diritto di accesso)
► FINALITÀ ► ACCURATEZZA► AGGIORNAMENTO ► DATA RETENTION (= conforme alle
finalità)► INTERESSE PUBBLICO/LEGITTIMO ► DPIA
Designed by Pressfoto- Freepik.com
Privacy 2.0: valutazione impatto privacy (DPIA)
Solo se il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (in particolare se uso di nuove tecnologie) / casi di legge
Considerati (in valutazione rischi): la natura il campo di applicazione il contesto le finalità del trattamento A cura del CONTROLLER,
chiedendo un parere al DPO (se designato)
• Obbligatoria se: a) valutazione sistematica e
globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato (compresa la profilazione) e da cui discendono decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
b) su larga scala, trattamento di dati sanitari / giudiziari;
c) su larga scala, la sorveglianza sistematica di una zona accessibile al pubblico
Privacy 2.0: contenuto DPIA descrizione sistematica dei
trattamenti previsti e delle finalità del trattamento;
valutazione della necessità e proporzionalità;
una valutazione dei rischi per i diritti e le libertà degli interessati;
le misure previste per affrontare i rischi
CONSULTAZIONE PREVENTIVA (PRIMA di procedere al trattamento) = al GDP se DPIA indica un rischio elevato in assenza di misure adottate dal CONTROLLER per attenuare il rischio; → l'autorità di controllo (entro un periodo di 8 settimane dalla richiesta - prorogabile), se ritiene che il trattamento NON sia conforme a GDPR → fornisce una consulenza per iscritto al CONTROLLER
Privacy 2.0: registro dei trattamentiOgni CONTROLLER / suo
rappresentante tiene un registro delle attività di trattamento svolte sotto la propria responsabilità – contiene, tra l’altro, le seguenti informazioni ad es.:
il nome e i dati di contatto del CONTROLLER e (ove applicabile) del contitolare, del PROCESSOR e del DPO;
le finalità del trattamento;
una descrizione delle categorie di interessati e delle categorie di dati personali;
le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
(ove applicabile) i trasferimenti di dati personali verso un Paese terzo;
(ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
ecc.
Privacy 2.0: portabilità dei dati= interessato ha diritto a ricevere i suoi dati:• in formato strutturato• di uso comune• leggibili da dispositivo automatico
SOLO SE (alternativamente):a) trattamento basato su consenso / l’esecuzione di contrattob) trattamento con mezzi automatizzati
Diretta trasmissione da titolare a titolare, se: richiesto dall’interessato + tecnicamente fattibile
NO lesione del diritto di terzi (= NO dati di terzi associati a quelli del richiedente)
Privacy 2.0: art. 22 GDPR
NO decisione sull’interessato basata unicamente sul trattamento automatizzato – compresa la profilazione – che:
produca effetti giuridici; incida significativamente sulla persona
TRANNE SE:a) decisione necessaria per conclusione / esecuzione del contratto;b) decisione autorizzata dalla legge (nazionale/UE);c) consenso esplicito dell’interessato→ nec. titolare attui misure appropriate per tutelare i legittimi interessi
dell’interessato→ se dati “particolari”: sì solo se consenso esplicito / interesse pubblico
rilevante
Es. audit per il titolare del geotagging Finalità: uso dei dati appropriato? Minimizzazione: il dato necessario
è ridotto al minimo indispensabile? Controllo dell’utente: privacy by
default? Possibilità dell’utente di cambiare settaggi? Quali dati l’utente fornisce direttamente e quali no? L’utente sa quali dati sono trattati e può monitorare il log? Può sempre interpellare il titolare per ogni esigenza, con procedure di accesso prestabilite?
Informativa: l’utente ha avuto e ha sempre accesso alle chiare condizioni di trattamento?
Consenso: è richiesto specificamente, granularmente? è adottato l’opt-in? Può sempre essere revocato?
Terzi: le informazioni sono comunicate a terzi? In che modo e perché? L’utente ne ha cognizione?
Data retention: adottate marche temporali ai dati per poter cancellare/anonimizzare i dati al termine? Esplicitata in informativa?
Aggregazione dati: è facilitata dal trattamento? Può creare degli identificatori persistenti?
Riflessioni finali per affrontare il geotagging Rapporti con i terzi → utilizzo o licenza/cessione di dati dalla
geolocalizzazione o con cui ottenerla → a cura del titolare Condizioni contrattuali & informativa privacy →
consapevolezza, informazione, rapporti con l’utente → a cura del titolare
Privacy settings → a cura dell’utente + a cura del titolare (privacy by design & default)
Condivisione ragionata (es. profilo pubblico social network) → a cura dell’utente
→ Per il titolare: censimento dati trattati - revisione informative/procedure interne – formazione personale – trasparenza verso l’utente
Perché ci interessa: http://app.teachingprivacy.com
Perché ci interessa: http://app.teachingprivacy.com
Grazie per l’attenzioneAvv. Andrea MichinelliStudio Legale d’Ammassa & Associati
Avv. Stefano RicciStudio Legale Meda Preti Ricci
Bologna - Milano tel 051/9841927 – 02/48014829
fax 02/700504722mail [email protected]
Milano - viale Bianca Maria n. 21tel 02/87064410 - fax 02/87064416
mail [email protected]