Seminario su GDPR di E-Lex per Adepp

Giovanni Maria Riccio terrà un incontro di formazione sul GDPR presso l’ADEPP – Associazione degli Enti Previdenziali Privati, mercoledì 31 gennaio, a Roma, in Via Ennio Quirino Visconti, 6.

Questo il programma del corso, organizzato con lo studio Brugnoletti & Associati:

  • GDPR – Il nuovo regolamento UE sulla protezione dei dati
  • Nuove regole sulla Privacy: i principali adempimenti della legislazione italiana ed europea; principi e criteri cardine in ambito pubblico e privato, informativa e consenso dal Codice dalla Privacy ad GDPR
  • Il campo di applicazione
  • Dalla Direttiva al Regolamento
  • Organigramma privacy: titolare, contitolare, responsabili del trattamento e responsabile della protezione dei dati personali
  • Le nuove categorie di dati e i big data
  • Informativa e consenso
  • Il Data Protection Officer (DPO): quando è obbligatorio il responsabile della protezione dei dati; presupposti di obbligatorietà, requisiti soggettivi, status, compiti e responsabilità
  • Dalle “misure minime” alle “misure idonee”: il concetto di Analisi dei rischi
  • Il Principio di Accountability e il Risk Assessment: l’onere della prova
  • Diritto all’oblio: cancellazione e portabilità dei dati
  • Cosa cambia in tema di notificazione al Garante
  • Trasferimento extra-UE dei dati personali
  • One-Stop-Shop: rapporti tra le diverse Autorità Garanti
  • Le nuove sanzioni

Corso di alta formazione sul GDPR per DPO presso il CNF

Giovanni Maria Riccio terrà una lezione sui soggetti della privacy nel GDPR presso il Corso di Alta formazione sulla protezione dei dati personali per la formazione professionale del Responsabile della Protezione dei Dati (Data Protection Officer – DPO) nuova figura prevista dal Regolamento UE 2016/679 (del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) per tutti gli ambiti (come quello sanitario in cui sono poste in essere attività di profilazione su larga scala).

Corso E-Lex / Maggioli – Adeguamento al Regolamento Privacy

Entro il 25 maggio 2018, tutte le amministrazioni – al pari dei soggetti privati – dovranno adeguarsi nuovo Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”). C’è solo un anno per completare il percorso di adeguamento e le pubbliche amministrazioni, nella mia esperienza, sono molto indietro… anche sotto il profilo della consapevolezza di quello che sta per cambiare. Per questo motivo, l’8 giugno a Roma si terrà un’iniziativa formativa – organizzata con Gruppo Maggioli – nell’ambito della quale io e il mio socio Giovanni Maria Riccio affronteremo le principali problematiche del Regolamento, con particolare attenzione alle criticità che possono incontrare le pubbliche amministrazioni (come ad esempio il provvedimento di nomina del Data Protection Officer o le modalità per adeguare i contratti in essere con i propri fornitori). Per info su programma e iscrizioni cliccate qui: https://lnkd.in/d8deZrD

Orsacchiotti (troppo) parlanti, internet delle cose e privacy.

Bambole e bambolotti di una volta, capaci di registrare grazie ad un dispositivo nascosto nel pancino le parole di bambini ed adulti e ripeterle a richiesta stanno progressivamente andando in pensione e lasciano il posto a giocattoli sempre più sofisticati che, ormai, registrano suoni e voci e li spediscono tra le nuvole – quelle dei servizi cloud – per tenerle a disposizione dei loro “padroni”.

Sembrerebbe essere accaduto così che i messaggi sussurrati da centinaia di migliaia di bambini in giro per il mondo – e, probabilmente, dai relativi genitori – nell’orecchio di simpatici orsacchiotti di peluche siano rimasti esposti per intere settimane alla mercé del mondo intero e, in qualche caso, abbiano attratto l’attenzione di malintenzionati che ne avrebbero fatto incetta online.

All’origine dell’episodio raccontato in queste ore da diverse testate online in giro per il mondo la scelta scellerata del produttore di non adottare alcuna misura di sicurezza per proteggere il database nel  quale i possessori del giocattolo venuto da un futuro che è già presente hanno riversato le loro parole, i loro messaggi, le loro confessioni all’orecchio degli orsacchiotti “magici”.

E’ un episodio come tanti già sentiti e tanti che, probabilmente, sentiremo raccontare negli anni che verranno nel corso dei quali l’internet delle cose, quella degli oggetti connessi si diffonderà ed entrerà nelle nostre case, nelle nostre auto e nelle nostre vite.

Continua qui.

Al via il primo seminario di E-Lex e Fabrique du Cinéma

Al via a Roma il primo seminario Fabrique du Cinéma dedicato ad attori, autori e produttori per districarsi nella giungla dei contratti cinematografici, a cura di E-Lex. Special guest:Francesca Valtorta

La firma del primo contratto per tanti giovani autori, attori e persino produttori è un momento estremamente delicato: tante sono le incognite e districarsi tra postille, cavilli e rescissioni a volte può rivelarsi un’impresa ardua. Non è una coincidenza che numerosi personaggi del mondo dello spettacolo si affidino a professionisti del settore per la tutela del loro lavoro e della loro immagine.

Indubbiamente per un artista alle prime armi una tale consulenza può risultare troppo onerosa, ed è per questo che Fabrique du Cinéma ha organizzato il primo seminario gratuito su Cinema e Contratti in collaborazione con i legali dello studio E-Lex.

Tenuto dall’avvocato Giovanni Maria Riccio, il convegno verterà su alcuni temi-cardine quando si parla di accordi legali: le clausole di esclusiva, i diritti di immagine, di opzione e di prelazione, il pay-or-play e il right of first refusal, il deposito e la tutela dal plagio e tanto altro.

L’incontro si terrà venerdì 3 marzo 2017 alle ore 17.30 presso la sede di E-Lex di via dei Barbieri 6 a Roma, e avrà come ospite speciale Francesca Valtorta (Baciami ancora, Immaturi-il viaggio, Braccialetti rossi, Squadra antimafia).

Al termine del seminario è previsto un buffet a cura di Alchimia Foodlab.

P.A. Digitale Channel: a febbraio riprendono gli incontri di formazione

Continuano gli incontri di formazione di P.A. Digitale Channel.

Che cos’è PA Digitale CHANNEL?
E’ il nuovo canale di formazione on line dedicato alla digitalizzazione della Pubblica Amministrazione.
11 video conferenze in diretta all’anno – con cadenza mensile e della durata di un’ora circa – in occasione delle quali l’Avv. Ernesto Belisario illustrerà le principali novità in tema di:
– dematerializzazione degli archivi
– comunicazioni telematiche
– servizi on-line
– sicurezza informatica.
Le video-conferenze, di taglio fortemente operativo, evidenzieranno anche gli adempimenti (e relative scadenze) a carico delle Amministrazioni.
L’obiettivo è quello di supportare gli Enti nel processo di adeguamento giuridico, tecnologico e organizzativo, per garantire la legittimità degli atti e procedimenti e, conseguentemente, evitare azioni di responsabilità.

Prossimo appuntamento: 13 febbraio 2017.

Qui maggiori informazioni sui corsi.

Garanti UE: approvate Linee Guida per l’attuazione del nuovo Regolamento Privacy

Come molti già sapranno, il nuovo Regolamento Privacy (Regolamento UE 2016/679), pubblicato lo scorso 4 maggio ed entrato in vigore il 24 dello stesso mese, sarà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

Quello che ancora in pochi sanno è, tuttavia, che per la sua completa attuazione sarà richiesta e si renderà necessaria la collaborazione degli Stati Membri, che dovranno, a tal fine, seguire quanto indicato dal Gruppo dei Garanti UE (WP 29) nei propri provvedimenti.

Un primo passo in tal senso si è avuto lo scorso 13 dicembre, giorno nel quale sono state approvate, dal Gruppo dei Garanti Ue (WP 29), una serie di Linee Guida relative ad alcune delle principali novità introdotte con il nuovo Regolamento Privacy.

I documenti, al momento disponibili solo in lingua inglese, si concentrano principalmente su tre profili: il Data Protection Officer, il diritto alla portabilità dei dati, i criteri per l’individuazione dell’Autorità Capofila.

1. Il Data Protection Officer o Responsabile del trattamento è una figura prevista dal Regolamento Privacy all’art. 37.
In particolare al DPO compete: fornire consulenza al titolare o al responsabile sugli obblighi derivanti dalla normativa; sorvegliare l’osservanza dell’applicazione del regolamento; cooperare con le autorità di controllo.
È opportuno evidenziare in tale sede come la sua nomina sarà obbligatoria per tutti i soggetti pubblici e solo per alcuni soggetti privati e dovrà possedere una serie di competenze tecniche e professionali, nonché godere di indipendenza ed inamovibilità nell’ambito dell’organizzazione gestita dal titolare del trattamento, secondo quanto indicato nel documento promosso dal WP 29.

2. Sicuramente, il diritto alla portabilità dei dati è una delle novità maggiormente apprezzate del nuovo Regolamento europeo. Consiste, essenzialmente, nel diritto dell’interessato sia di poter ricevere in formato strutturato, comune e leggibile i dati da lui forniti ad un titolare del trattamento, sia di poter agevolmente trasferire i dati da lui forniti, da un titolare del trattamento ad un altro. Considerando l’era digitale nella quale viviamo e che i social network e la posta elettronica rappresentino strumenti indispensabili nella vita privata e lavorativa di ciascuno di noi, è chiaro che questa novità rappresenti sicuramente un profilo innovativo e rilevante che incarna l’essenza della libertà di scelta dell’utente rispetto ai servizi offerti sul mercato dai diversi operatori. Le linee guida promosse dal Gruppo dei Garanti tendono ad evidenziare tale assunto.

3. Da ultimo, ma non per importanza, il Gruppo dei Garanti Ue si è anche espresso con un separato documento sui criteri da dover seguire per la corretta individuazione dell’Autorità Capofila nel caso in cui trattamenti siano transnazionali e coinvolgano la competenza di più Autorità nazionali di Controllo.

È innegabile che quanto approvato pochi giorni fa, dal Gruppo dei Garanti Ue, rappresenti solo un primo passo, seppur apprezzabile, nel lungo percorso che potrà ritenersi effettivamente concluso, forse, nel 2018.

La complessità dell’opera di riforma, rispetto alla quale molti degli operatori presenti sul mercato dovranno quotidianamente ed attentamente interfacciarsi, per evitare di incorrere nelle pesanti sanzioni milionarie previste dal nuovo Regolamento, appare dunque sempre più chiara.

Lo Studio E-Lex, grazie all’esperienza maturata, assiste e supporta pubbliche amministrazioni e privati nel processo di adeguamento alla normativa europea. Per maggiori informazioni e contatti, clicca qui.

Start up e diritto: cosa bisogna sapere?

In questo video, pubblicato da SMAU Academy, Giovanni Maria Riccio, socio dello studio e-Lex spiega i principi giuridici della start-up.

 

Corso di aggiornamento: Il nuovo Regolamento generale sulla protezione dei dati personali

Lo Studio Legale e-Lex organizza quattro incontri di formazione e di aggiornamento sul nuovo Regolamento Generale in materia di protezione dei dati personali. Ogni incontro avrà la durata di quattro ore e sarà tenuto presso la sede dello studio, nel centro storico di Roma (zona Largo Argentina). Ai partecipanti sarà distribuito materiale informativo, contenente le maggiori novità legislative e giurisprudenziali in materia di privacy, oltre ad una raccolta di articoli curata dai soci dello studio. È prevista una sezione Q&A, per rispondere ai quesiti dei partecipanti. Il corso è gratuito per i soggetti rientranti nella categorie dei destinatari, fino ad esaurimento dei posti disponibili.

Destinatari

Data Protection Officer, Avvocati in-house, Responsabili HR e gestione del personale, Digital specialist, Responsabili marketing e social media, Sviluppatori software, Pubbliche amministrazioni.

Programma

Primo incontro

Introduzione al Regolamento

Ambito di applicazione soggettivo e oggettivo

Dati personali, dati sensibili, dati giudiziari, dati anonimi

Principi del Regolamento (Liceità, finalità, necessità, proporzionalità, pertinenza)

One Stop Shop

Titolare del trattamento, responsabile, data protection officer

Titolarità nei gruppi societari

Q&A

Secondo incontro

Informativa e consenso

Diritti dell’interessato

Diritto di accesso e riscontro all’interessato

Portabilità

Regole di accountability

Privacy by Design e Privacy by Default

Diritto all’oblio, rettificazione, cancellazione

Q&A

Terzo incontro

Particolari tipologie di trattamento (giornalisti, minori, ecc.)

Profilazione e Registro delle opposizioni

Big data e compliance normativa

Privacy impact assessments (PIA) e data audit

Misure di sicurezza

Mappatura dei flussi di dati

Risk management, data breach e obblighi del titolare

Q&A

Quarto incontro

Trasferimento di dati all’estero. Il Privacy Shield

Data retention e cloud computing

Codici di condotta e certificazioni

Le Autorità Garanti (nazionali ed europee)

Reclami, ricorsi e segnalazioni

Sanzioni

Risarcimento danni

Q&A

Docenti

Guido Scorza Partner dello studio e-Lex. Insegna presso le Università di Bologna e di Roma. Assiste compagnie di telecomunicazioni, startup, società editoriali.

Giovanni Maria Riccio Partner dello studio e-Lex. Professore di Diritto della comunicazione nell’Università di Salerno, assiste compagnie di telecomunicazioni, società radiofoniche e agenzie pubblicitarie.

Ernesto Belisario Partner dello studio e-Lex. Consulente di pubbliche amministrazioni, enti ospedalieri e startup. Esperto di archiviazione documentale, è consulente governativo.

Alessandro Di Gioia Partner dello studio e-Lex. Assiste società radiofoniche, agenzie pubblicitarie, incubatori e startup.

Maria Laura Salvati Senior associate dello studio e-Lex. Consulente di compagnie telefoniche e startup.

 

Date

10 novembre 2016 – 15-19

17 novembre 2016 – 15-19

24 novembre 2016 – 15-19

1 dicembre 2016 – 15-19

Nel corso di ogni giornata formativa è previsto un coffee & tea break e, al termine, un light aperitif.

Sede 

Studio legale e-Lex

Via dei Barbieri 6

00186 – Roma

Per maggiori informazioni: posta@e-lex.it

 

Le novità in tema di Data Protection Officer

Una delle maggiori novità del Regolamento privacy è rappresentata dall’introduzione della figura del data protection officer (o responsabile della protezione dei dati). Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è facoltativa.

Il responsabile della protezione dei dati sembra presentare numerose analogie con il datenschutzbeauftragter introdotto nell’ordinamento tedesco nel 2003. Il diritto tedesco, al pari dell’originaria formulazione dell’art. 37 del Regolamento, àncora l’obbligo di nomina del DPO alla presenza di un numero minimo di dipendenti preposti a mansioni che implicano il trattamento di dati personali.

Un’ulteriore corrispondenza si rinviene nell’art. 38, par. 1 del Regolamento, stabilisce che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, nonché nel divieto di penalizzare il DPO per il suo ruolo, atteso il divieto, in capo al titolare del trattamento, di rimuoverlo o penalizzarlo “per l’adempimento dei propri compiti”. Il Regolamento segue la legge tedesca anche nell’assegnare al DPO il diritto di relazionare “direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, evitando rapporti diretti con altri soggetti.

A ben vedere, di là dalle singole disposizioni, sembra essere circolata l’idea di fondo del modello tedesco, basato su di un approccio di corporate self-monitoring (e di self-responsibility), nel quale le società si fanno carico dell’adeguamento e del controllo capillare sulla gestione dei dati personali. Un complesso uniforme di regole che si rimette alla self-governance delle imprese le quali, incentivate da un quadro sanzionatorio molto rigoroso, hanno interesse a rispettare la disciplina applicabile.

La nomina di un DPO è obbligatoria in tre casi:

  1. a) per le amministrazioni e gli organismi pubblici, con esclusione delle autorità giurisdizionali quando esercitano le loro funzioni;
  2. b) laddove le attività principali di titolare o responsabile consistano in trattamenti che, per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) laddove le attività principali di titolare o responsabile consistano in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale), di dati genetici, di dati giudiziari e di dati biometrici.

L’obbligo è imposto, quindi, solo sulle grandi società o, per essere più precisi, sulle società che trattano una mole significativa di dati personali o di dati rientranti nel c.d. “nocciolo duro” della privacy.

L’art. 37 ammette poi che un gruppo imprenditoriale o più enti pubblici possano nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

In caso di nomina del DPO – che, ai sensi del comma 6 dell’art. 37, può essere un dipendente o un soggetto esterno – è necessario che i suoi dati di contatto siano resi pubblici e comunicati al Garante nazionale.

La scelta se nominare un soggetto interno o esterno è rimessa al titolare del trattamento: chi scrive, tuttavia, è dell’avviso che, soprattutto gli enti pubblici e le medie e grandi imprese, dovrebbero preferire un soggetto esterno attesa la difficoltà di reperire, all’interno del proprio organigramma, professionisti dotati dei requisiti di esperienza e professionalità richiesti dalla normativa comunitaria.

Corte di Cassazione: dopo due anni, diritto all’oblio sugli articoli

Il dibattito sul difficile, e a volte mal riuscito, equilibrio tra diritto all’ oblio “the right to be forgotten” e il diritto di cronaca, espressione del diritto alla libera manifestazione del pensiero riconosciuto dall’art. 21 della Costituzione, si riaccende dopo l’ultima pronuncia della Corte di Cassazione n. 13161 del 24 giugno 2016. Perché la pronuncia porta a riflettere? Semplice, perché costituisce una palese distorsione di quanto affermato fin ora rispetto al diritto all’oblio. Proviamo a fare chiarezza.

La Corte di Cassazione già in passato con un’importante pronuncia n. 5525 del 4 aprile 2012, aveva preso posizione sul diritto all’oblio. Il caso riguardava un politico che, arrestato per corruzione nel lontano 1993 per poi essere successivamente assolto, lamentava che nell’archivio online di un’importante testata giornalistica, comparisse a distanza di molti anni, la notizia del suo arresto senza però che venisse fatta alcuna menzione dell’epilogo della vicenda risoltasi con la sua assoluzione. La Suprema Corte in quella sede, richiamando la disciplina prevista dal Codice Privacy d.lgs. 196/2003, ed in particolare l’art.11, sottolineava come l’interessato avesse diritto a che le informazioni oggetto di trattamento rispondessero non solo ai criteri di pertinenza, proporzionalità e necessità, ma fossero anche esatte e coerenti con la sua identità personale. E così, se da un lato si riconosceva che l’interesse del pubblico all’informazione può a volte costituire limitazione al diritto alla riservatezza del soggetto a cui i dati si riferiscono, nondimeno il diritto all’oblio, inteso come diritto “a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo abbiano perso rilevanza per la generalità dei consociati”, deve essere riconosciuto all’interessato. Tuttavia, così come sostenuto dai giudici, ciò non esclude che per la rilevanza storica del fatto di cronaca, anche a distanza di tempo, possa comunque persistere un interesse del pubblico alla conoscenza della notizia ma di questa devono darsi necessari aggiornamenti attraverso la predisposizione di sistemi volti ad indicare, nel corpo dell’articolo pubblicato o a margine dello stesso, i successivi sviluppi della vicenda, perché una notizia non aggiornata è una notizia non vera.

La sentenza sottolinea il vero cuore del diritto all’oblio che non è quello del singolo di poter cancellare la storia censurando il diritto di cronaca, ma il diritto dello stesso a che la notizia venga contestualizzata ed aggiornata offrendo una visione coerente della propria identità personale.

Si giunge così alla nota sentenza del 2014 cd. Google Spain della Corte di giustizia C-131/12, che ha avuto certamente il merito di riconoscere il diritto all’oblio del singolo nei confronti del gestore di un motore di ricerca. In questo caso, il diritto all’oblio è stato inteso quale diritto di ogni singola persona di richiedere direttamente al gestore del motore di ricerca, o in caso di inerzia di questo alle autorità competenti, la rimozione dall’elenco dei risultati di ricerca effettuata digitando il proprio nome, di link che riportano a pagine web pubblicate da soggetti terzi e contenenti informazioni a lui relative, e ciò a prescindere dal fatto che le informazioni vengano rimosse direttamente anche dalla pagina web dell’editore o che si tratti di informazioni veritiere e pubblicate lecitamente. Il diritto del singolo alla deindicizzazione dei risultati è giustificato infatti dalla circostanza, sottolineata dagli stessi giudici, che grazie all’attività del motore di ricerca, gli utenti del web possono accedere ad una moltitudine di informazioni, spesso irreperibili in altro modo nel mare di internet, che consentono di tracciare il profilo del soggetto su cui si incentra la ricerca. È evidente l’ingerenza di tale profilazione sulla vita privata del soggetto. Ma quel che è ancora più importante sottolineare, in tale sede, è che il diritto all’oblio così inteso non può riconoscersi a prescindere proprio perché potrebbero esserci evidenti ripercussioni negative sul legittimo interesse ad essere informati e, come sostengono i giudici della Corte,

se indubbiamente i diritti della persona interessata prevalgono, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta nonché dall’interesse del pubblico a ricevere tale informazione, il quale può variare in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica.”

I giudici della Corte Europea attentamente colgono l’importanza che tale diritto del singolo sia valutato nel caso di specie e riconosciuto in presenza di determinati presupposti. Ed è apprezzabile come tale principio sia stato correttamente richiamato in un recente provvedimento del Garante Privacy n. 4988654 del 31 marzo 2016 in cui si è negato il diritto all’oblio per un ex- terrorista.

Ma, proprio alla luce del quadro appena tracciato, occorre esaminare la posizione ampiamente criticata ed assunta dalla Corte di Cassazione con la pronuncia del 24 giugno 2016 n 13161/2016. I giudici infatti, andando ben oltre il diritto del singolo alla deindicizzazione dei risultati offerti da un motore di ricerca, in presenza di determinate condizioni, sembrano aver dato netta prevalenza alla riservatezza del singolo a discapito del diritto di cronaca intervenendo seppur indirettamente sugli archivi online di testate giornalistiche. Hanno affermato, sulle orme di quanto detto dal Tribunale nel procedimento in commento, che

la facile accessibilità e consultabilità dell’articolo giornalistico, superiore quelle dei quotidiani cartacei, tenuto conto dell’ampia diffusione locale del giornale online, consentiva di ritenere che dalla data di pubblicazione fino a quella della diffida stragiudiziale fosse trascorso sufficiente tempo perché le notizie divulgate potessero aver soddisfatto gli interessi pubblici sottesi al diritto di cronaca giornalistica”.

In sostanza, seppur la rimozione dell’articolo dall’archivio della testata online, nel caso di specie fosse avvenuta spontaneamente, quel che assume rilievo è che la Cassazione, a circa due anni dai fatti oggetto della notizia di un procedimento ancora in corso, appellandosi ad un presunto diritto all’oblio, e ritendendo soddisfatto l’interesse pubblico ad esser informati, ha consentito che il diritto di cronaca cedesse il passo al diritto alla reputazione del singolo.

Ma a questo punto è opportuno chiedersi se con tale pronuncia la Corte abbia o meno innescato un pericolosissimo meccanismo, non solo per la distorsione del diritto all’oblio quale possibilità del singolo di cancellare ogni traccia del passato, ma soprattutto per l’interferenza che i giudici potrebbero avere rispetto al diritto di cronaca.

Altra spinosa questione sarà poi rintracciare una coerenza tra tale pronuncia della Cassazione e l’art. 17 del Nuovo regolamento Privacy 2016/679 che sarà applicato dal 2018, e che espressamente riconosce il “diritto alla cancellazione” quale diritto all’oblio. Infatti, se da un lato l’articolo al comma 1 riconosce che in presenza di uno dei motivi elencati ,

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, dall’altro, al comma 3, viene precisato che tale obbligo di cancellazione, trova il proprio limite qualora il trattamento dei dati del soggetto richiedente sia necessario “a) per l’esercizio del diritto alla libertà di espressione e di informazione” o “d) a fini di archiviazione nel pubblico interesse”.

Dalla breve disamina fatta è evidente come la partita dell’equilibrio tra diritto all’oblio e diritto di cronaca, si giochi su un terreno ancora fertile in cui il ruolo degli avvocati e dei giudici assume rilevanza preminente per evitare interpretazioni fallaci e pericolose di un diritto, come quello all’oblio, che in una realtà informatica come la nostra, assumerà un sempre maggior rilievo.

Lo scudo privacy ci tutelerà?

Dopo essere trascorsi oltre nove mesi dalla Sentenza della Corte di Giustizia Europea che ha annullato l’accordo di “safe harbor” in materia di privacy, lo scorso 12 luglio la Commissione Europea ha finalmente raggiunto una nuova intesa con gli Stati Uniti per regolare il trasferimento oltreoceano dei dati personali europei.

L’accordo, definito in modo molto eloquente dagli stessi componenti della Commissione come “Scudo UE-USA per la privacy” viene descritto come “un sistema nuovo e solido che offrirà agli europei la protezione dei dati personali, e alle imprese la certezza del diritto. Rafforzerà le norme sulla protezione dei dati, che saranno fatte rispettare più rigorosamente, offrirà garanzie riguardo all’accesso da parte delle autorità pubbliche e semplificherà per le singole persone le possibilità di ricorso in caso di reclamo”.

 

Lo Scudo privacy prevederà, infatti, obblighi rigorosi per le imprese statunitensi che aderiranno allo Scudo, il cui rispetto sarà costantemente sottoposto a verifica da parte del Dipartimento del Commercio USA.

Saranno previste, inoltre, maggiori garanzie relativamente all’accesso ai dati da parte del governo statunitense. Quest’ultimo ha, in particolare, assicurato ufficialmente che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza sarà soggetto a garanzie e sistemi di vigilanza più stringenti, cercando di escludere, così, attività indiscriminate di sorveglianza di massa sui dati personali.

Inoltre, al fine di fornire una tutela sostanziale dei diritti individuali, lo Scudo privacy disporrà anche di meccanismi di composizione delle controversie per coloro che riterranno di aver subito un abuso.

Le persone potranno rivolgersi perfino alle rispettive autorità nazionali di protezione dei dati le quali, attraverso la collaborazione con la Commissione federale del Commercio USA, assicureranno che i casi di reclamo siano effettivamente esaminati e risolti.

Infine, qualora tutti i mezzi di tutela a disposizione dovessero alla fine dimostrarsi vani, il caso oggetto di presunto abuso sarà sottoposto ad un procedimento arbitrale predisposto ad hoc.

Da quanto affermato nel comunicato stampa pubblicato dalla Commissione la “decisione di adeguatezza” dell’accordo è stato già notificato agli Stati membri, entrando così in vigore automaticamente.

A partire dal prossimo 1° agosto, invece, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio statunitense.

Grazie allo Scudo privacy gli accordi commerciali tra UE e USA, messi a dura prova dall’invalidazione del safe harbor, potranno ora tornare finalmente a navigare nelle acque tranquille di una disciplina più chiara. Tuttavia, ci si domanda: per i cittadini sarà altrettanto efficace? Noi vi terremo aggiornati!

 

La quarta rivoluzione industriale: tra opportunità e sfide

 

immagine articolo riutilizzabile

Il 15 giugno 2016, nell’ambito dell’indagine conoscitiva, Industria 4.0: quale modello applicare al tessuto industriale italiano, strumenti per favorire la digitalizzazione delle filiere industriali nazionali, presso la Commissione Attività produttive della Camera dei Deputati, si è tenuta l’audizione del Ministro dello Sviluppo Economico, Carlo Calenda.

L’inarrestabile progresso tecnologico, accompagnato dalla crescente connessione tra i calcolatori, l’utilizzo massivo di dati e informazioni, di tecnologie con sempre maggiori capacità di calcolo e di nuovi sistemi intelligenti digitalizzati e interconnessi (internet of things and machines), ci rende testimoni e partecipi di quella che è stata definita la quarta rivoluzione industriale. Non solo il settore manifatturiero, ma i più svariati settori di attività, dalla agricoltura all’energia, dal turismo alla moda, dalla sanità ai trasporti, saranno coinvolti dalla nuova Industria. Come si è avuto modo di evidenziare, non si tratterà di innovazione esclusivamente tecnologica, ma in un’ottica di più ampie vedute, verranno creati nuovi modelli organizzativi e di approccio ai mercati.

Il Ministro ha sottolineato infatti come, se da un lato la digitalizzazione dei processi produttivi globalmente intesi e in particolare di quello manifatturiero costituisca di certo una grande opportunità per la nostra industria, allo stesso tempo non può negarsi come davanti

a mutamenti cosi profondi, o si è protagonisti, oppure se ne viene travolti” ed è per tale ragione che parlare di Industria 4.0 “significa mettere a sistema amplificandole e integrandole, una serie di misure e linee politiche che questo Governo ha identificato come qualificanti: la promozione e il sostegno alle imprese che innovano, che si internazionalizzano, che trovano nella flessibilità e nella reattività la propria cifra produttiva.”

Numerosi appaiano i vantaggi connessi all’Industria 4.0:

l’analisi e l’elaborazione della grande quantità dei dati in possesso delle singole imprese (Big data) consentono infatti di assumere decisioni ponderate e migliori sulla produzione e sui consumi; la robotica e l’intelligenza artificiale consentono poi di ridurre, non solo i costi ed i tempi, ma anche gli errori a vantaggio della sicurezza e della produttività dell’azienda; la connettività spinta, l’internet of things, consente persino di anticipare i gusti dei clienti favorendo la produzione in scala; gli stessi social media è innegabile come consentano un nuovo modello di interazione con il consumatore definendo nuovi servizi (es. pay by use).

Il Ministro ha poi evidenziato come, attraverso “l’Internet delle cose e delle macchine” e lo sviluppo dell’Industria 4.0 “sarà possibile gestire reti globali che incorporano e integrano macchinari, sistemi di logistica e strutture produttive, sotto forma di Cyber Physical System for Production”.

Nell’ottica di aumentare sia la consapevolezza delle aziende che la digitalizzazione non è identificabile solo come modo per incrementare l’efficienza dei processi, ma che i dati potenzialmente a loro disposizione e che di rado vengono raccolti, organizzati ed elaborati per estrarne valore, costituiscono il vero vantaggio competitivo delle stesse; di consentire l’interoperabilità dei sistemi e dei linguaggi che governano l’industria 4.0 adottando regole comuni di livello internazionale per creare piattaforme di condivisione delle informazioni; di implementare la solidità e la diffusione di reti di interconnessione a banda ultra larga, reti satellitari e diffusione del 5 g, condizione questa imprescindibile per il successo della trasformazione di innovare le relazioni industriali, definendo anche un adeguato trattamento fiscale che porti le imprese a ricorrere sempre di più alle opportunità offerte dal salario di produttività e promuovendo lo skill empowerment dei lavoratori con riferimento alle discipline STEM (science, technology, engineering and math), il Governo, secondo quanto riportato nell’audizione dal Ministro Calenda, ha individuato un pacchetto di misure da inserire nella prossima Legge di stabilità, che verte essenzialmente su cinque punti di azione:
1 – Investimenti in Innovazione – per il Ministro, occorre promuovere gli investimenti innovativi in una logica solution driven, portando le aziende ad investire nell’analitica dei Big data e nelle informazioni che producono. Il gap di investimenti stimato e in circa 8 miliardi annui per i prossimi 5 anni. Sarà anche necessario favorire lo sviluppo di startup, l’accesso al venture capital e la collaborazione tra le nuove e le consolidate realtà imprenditoriali;
2 – Fattori abilitanti – obiettivo primario sarà potenziare le infrastrutture di connettività non solo a favore dei cittadini o consumatori, ma delle stesse imprese; bisognerà poi ridurre il digital divide delle PMI; e investire nelle competenze STEM (science, technology, engineering and math)
3 – Standard di interoperabilità, sicurezza e comunicazione IoT– il Ministro ha evidenziato come imprescindibile e vitale sarà partecipare e indirizzare le decisioni nei tavoli di confronto internazionale, alla luce di quello che è il contesto italiano, in un’ottica di adozione di standards che siano sì aperti, ma guidati da quelli che sono i bisogni industriali
4 – Rapporti di lavoro, salario e produttività – nell’ottica di una maggiore autonomia e responsabilizzazione del lavoratore andranno poi riviste le regole che concernano i rapporti di lavoro. Le stesse relazioni industriali dovranno essere decentrate così da dar risalto alle abilità e competenze del lavoratore (empowerment)
5 – Finanza di impresa – il Ministro, alla luce delle difficoltà del settore creditizio, ha evidenziato come sia preminente la necessita di costruire una finanza d’impresa che sia capace di sostenere lo sforzo di investimenti, canalizzando anche il risparmio nazionale verso gli impieghi nell’economia reale.
Da quanto riportato è evidente che il progresso anche tecnologico seppur presenti numerose sfide, porta con sé un’innegabile opportunità di sviluppo per la nostra realtà economica – industriale.
Come testimonia l’esperienza che lo Studio Legale E-lex ha acquisito negli anni, nell’ottica del Diritto delle Nuove Tecnologie, Industria 4.0 vuol dire anche, ed in particolare per le Imprese e le Pubbliche Amministrazioni, porre l’attenzione su tematiche legali concernenti la Privacy, la Proprietà industriale, la Proprietà intellettuale, materie di per sé dinamiche e che implicano necessariamente un costante aggiornamento da parte di tutti i soggetti che operano nella nuova realtà economica.

Il parere del Garante Privacy sulla Banca Dati dei beni culturali illecitamente sottratti.

Con nota del 20 novembre 2015, il Ministero dei beni e delle attività culturali e del turismo (MIBACT) ha richiesto il parere del Garante privacy sullo schema di Decreto Ministeriale recante il regolamento di attuazione dell’articolo 85 del D.Lgs. 22 gennaio 2004, n. 42 riguardante l’attivazione della Banca Dati dei beni culturali illecitamente sottratti. (altro…)

La Corte di Cassazione sulle telefonate mute

La Corte di Cassazione, con sentenza depositata il 4 febbraio scorso, ha confermato l’illiceità delle cc.dd. telefonate mute.

Molti call center, infatti, per ridurre i tempi morti tra una telefonata e l’altra, generano chiamate per mezzo di sistemi automatizzati, senza che vi sia un operatore disponibile a rispondere. Ciò determina lunghi silenzi e, in taluni casi, imbarazzo o preoccupazione nel destinatario della chiamata (alle volte contattato anche 10 o 15 volte nello spazio di poche ore). (altro…)

Il Garante privacy sanziona la formazione di elenchi telefonici con dati presi dal web

Il Garante per la protezione dei dati personali ha sanzionato una società che “pescava” on line, per mezzo di appositi software, dati e informazioni per realizzare elenchi telefonici.

Il Garante ha ricordato la necessità di utilizzare il DBU (data base degli utenti) l’archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

L’unica possibile alternativa è rappresentata dalla possibilità di raccogliere i consensi dei singoli utenti.

Ulteriori informazioni sul caso sono disponibili sul sito del Garante.

La Commissione e gli Stati Uniti si accordano sul Privacy Shield

La Commissione europea e il governo americano hanno raggiunto un’intesa sul Privacy Shield, l’accordo che dovrebbe sostituire i safe harbor agreement dopo la sentenza Schrems della Corte di Giustizia.
Il testo dell’accordo non è stato ancora licenziato, ma prevedrà maggiori garanzie per i cittadini comunitari, l’impegno da parte degli Stati Uniti di limiti chiari, garanzie e meccanismi di controllo nelle attività di sorveglianza per motivi di sicurezza nazionale e regole certe per le imprese.
Il comunicato stampa della Commissione europea è disponibile all’indirizzo http://europa.eu/rapid/press-release_IP-16-216_en.htm.

Convegno del Garante Privacy “La società sorvegliata”

Sono state pubblicate sul sito del Garante per la protezione dei dati personali le slide e le relazioni del Convegno “La società sorvegliata” che si è tenuto lo scorso 28 gennaio 2016 presso l’Aula del Palazzo dei Gruppi Parlamentari in Via di Campo Marzio a Roma. Tra i relatori anche Guido Scorza, managing partner di e-Lex, la cui presentazione è disponibile qui.

Garante privacy: linee guida sul dossier sanitario elettronico

Il Garante per la protezione dei dati personali ha adottato, con il Provvedimento n. 331 del 4 giugno 2015, le “Linee guida in materia di dossier sanitario elettronico” . Si tratta di un documento molto importante, non solo per i cittadini ma anche per l’organizzazione dei sistemi informativi attraverso i quali è costituito e consultato il dossier.

Infatti, nel corso degli ultimi anni – come noto – il legislatore ha deciso di rendere ancor più cogente l’utilizzo delle tecnologie in ambito sanitario, al fine di consentire la gestione e la consultazione delle informazioni relative alla storia clinica di un determinato individuo (su tutte, spiccano la disciplina giuridica del Fascicolo sanitario elettronico e l’intervento normativo in materia di conservazione in forma digitale della cartella clinica).

Gli interventi normativi in materia di sanità digitale rispondono non solo alla necessità di ridurre i costi legati alla gestione della documentazione cartacea e all’assistenza, ma considerano la condivisione delle informazioni del paziente tra i diversi operatori sanitari uno strumento per rendere più efficienti i processi di diagnosi e cura. Tuttavia, fin qui, i processi di integrazione dei dati sanitari sono stati realizzati in modo difforme tra le diverse strutture, non coniugando in modo omogeneo i principi di efficacia e di efficienza con la tutela del diritto fondamentale alla riservatezza dei dati personali. È questo il motivo che ha spinto il Garante ad intervenire per dare ai differenti sistemi di dossier sanitario un approccio strutturato e omogeneo, che consenta di contemperare efficienze e risparmi con le garanzie di riservatezza ed integrità delle informazioni.

Il dossier sanitario, pur non essendo previsto da alcuna norma di rango primario, nel corso degli ultimi anni si è affermato come strumento utilizzato nella prassi. In base alla definizione contenuta nel provvedimento del Garante (Allegato C), il Dossier è definito come l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica dai professionisti sanitari che lo assistono, al fine di documentarne la storia clinica e di offrirgli un migliore processo di cura. Tale strumento è costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti.

…continua su EDICOLeA e sull’APP gratuita (iOS – Android)

Quali alternative dopo la caduta dei Safe Harbors?

È in corso di pubblicazione sul numero 6 del 2015 de “Il diritto dell’informazione e dell’informatica”, Giuffè editore, un articolo di Giovanni Maria Riccio su model contract clauses e binding corporate rules, che rappresentano le alternative esistenti per il trasferimenti dei dati personali tra UE e Stati Uniti dopo il “crollo” degli accordi di Safe Harbors, invalidati dalla Corte di Giustizia. Qui l’incipit dell’articolo.

In arrivo il Regolamento sulla protezione dei dati personali

Dopo quasi quattro anni dalla presentazione della proposta della Commissione europea, il Parlamento e il Consiglio europeo si apprestano a varare il nuovo Regolamento sulla protezione dei dati personali. Regole comuni per tutti gli Stati dell’Unione europea e molte novità.
Nel gennaio 2012, la Commissione europea presentò una proposta di Regolamento per la privacy che avrebbe dovuto unificare la disciplina sul trattamento dei dati personali in tutti i Paesi europei. Il 15 dicembre scorso, dopo lunghe e travagliate negoziazioni, il Parlamento e il Consiglio hanno raggiunto un accordo sul testo da licenziare.
Il Regolamento, il cui testo definitivo dovrebbe essere adottato nelle prossime settimane, conterrà importanti novità, che saranno applicabili però solo dal 2018.
Queste i temi principali:
1) one-stop-shop: le imprese potranno indirizzarsi verso un’unica autorità Garante nazionale, in modo da assicurare un risparmio (calcolato in 2,3 miliardi di euro) e una uniformità di applicazione della normativa privacy.
2) imprese extra-UE: il Regolamento troverà applicazione anche nei confronti delle imprese non stabilite in Europa che offrono servizi ai cittadini europei.
3) risk based approach: gli obblighi imposti alle imprese non saranno applicati indiscriminatamente, ma terranno in considerazione i rischi nel trattamento dei dati personali.
4) sanzioni: le sanzioni pecuniarie in caso di trattamento illecito di dati personali sono aumentate sino al 4% del fatturato globale annuo della società, in caso di violazioni particolarmente gravi.
5) diritto di accesso: il Regolamento prevede che le informazioni sulle modalità del trattamento dei dati dovranno essere chiare e comprensibili, in modo da assicurare efficacemente il diritto di accesso dei cittadini.
6) diritto alla portabilità dei dati: i cittadini europei potranno trasferire, senza particolari difficoltà, i propri dati personali da un dispositivo ad un altro. Si tratta di un profilo di particolare rilievo, non solo per il caso del passaggio da un operatore ad un altro (frequente nel mercato della telefonia), ma altresì per l’integrazione di dispositivi informatici (si pensi alle tecnologie comunemente che rientrano nel c.d. internet of things).
7) diritto all’oblio: dopo la sentenza Costeja Gonzales è stato il tema che ha maggiormente catalizzato l’interesse degli esperti di privacy. Il Regolamento rafforza il diritto alla cancellazione dei dati e introduce il diritto alla deindicizzazione, in presenza di specifici presupposti e purché non sussistano ragioni per conservare i dati.
8) data breach: le autorità Garanti dovranno essere informate tempestivamente dalle imprese in caso di violazione dei dati personali (es. accesso a banche dati o a sistemi informatici), anche al fine di consentire agli utenti di adottare le migliori misure di tutela dei propri dati.
9) notifiche: gli obblighi di notifica alle autorità Garanti, reputati troppo costosi per le imprese, sono aboliti del tutto.
10) responsabile: le PMI sono esentate dalla nomina di un responsabile per la protezione dei dati, salvo che l’attività di trattamento dei dati non sia la loro attività principale (es. società che vendono liste per il telemarketing).
Il Regolamento sarà una sfida per l’Europa: la privacy dei cittadini è diventato un tema cruciale, anche dopo i recenti attacchi terroristici parigini.
Dall’altro lato, le imprese dovranno adeguarsi alle nuove regole per tempo, anche attraverso attività di formazione del proprio personale.
Come ha sostenuto Andrus Ansip, Vicepresidente e Commissario responsabile per il Mercato unico digitale: “L’accordo odierno rappresenta una tappa fondamentale verso un mercato unico digitale. Eliminerà le barriere e sbloccherà le opportunità. Il futuro digitale dell’Europa può basarsi solo sulla fiducia. Grazie a rigorose norme comuni sulla protezione dei dati, le persone possono essere sicure di avere il controllo delle proprie informazioni personali e beneficiare così di tutti i servizi e di tutte le opportunità di un mercato unico digitale. Non dobbiamo considerare la tutela della vita privata e la protezione dei dati come un freno alle attività economiche. Si tratta, in realtà, di un vantaggio competitivo essenziale. L’accordo di oggi costituisce una base solida per aiutare l’Europa a sviluppare servizi digitali innovativi. Il passo successivo consiste nell’eliminare le barriere ingiustificate che bloccano il flusso transfrontaliero di dati: pratiche locali e, talvolta, legislazioni nazionali che limitano l’archiviazione e il trattamento di determinati dati al di fuori del territorio nazionale. Dobbiamo quindi andare avanti e costruire un’economia dei dati aperta e prospera nell’UE — fondata sugli standard di protezione dei dati più elevati e priva di barriere ingiustificate”.

Trasferimento di dati personali: quali scenari dopo la fine del Safe Harbor Agreement?

imm2 WikiImagesCon la sentenza del 13 novembre 2015, la Corte di Giustizia ha annullato gli accordi di Safe Harbors, che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti. L’impatto della decisione sulle imprese.
Gli Stati Uniti non forniscono una protezione sufficiente dei dati personali dei cittadini europei. A stabilirlo è stata la Corte Europea che ha così stracciato una decisione della Commissione che giudicava il paese a Stelle e Strisce come un porto sicuro per le informazioni degli europei, autorizzando così le grandi aziende di internet a poter operare in tranquillità dall’altra sponda dell’Atlantico (accordo Safe Harbour del 2000).
Ma la decisione, presa in seguito alla denuncia contro Facebook del giovane austriaco Max Schrems, che impatti avrà sul nostro modo di usare la rete?
Ricapitoliamo il quadro normativo. L’art. 25 della direttiva 46/95/CE prevede un generale divieto di trasferire dati personali al di fuori dell’Unione europea. Questa regola ammette, però, una serie di eccezioni: il trasferimento è ammesso nel caso in cui vi sia il consenso della persona cui i dati personali si riferiscono, ovvero avvenga in esecuzione di misure contrattuali o precontrattuali o, ancora, per rispondere a un interesse pubblico; in presenza di strumenti negoziali – validati dalla Commissione europea – che offrano garanzie di sicurezza; infine, in caso di decisioni di adeguatezza, ovvero attestazioni della Commissione europea che un determinato Paese, non appartenente all’Unione o allo spazio economico europeo, assicuri un livello di protezione adeguato, che sia quindi dotato di misure legislative che offrano un livello di protezione dei dati personali conforme agli standard comunitari
Tra le decisioni di adeguatezza – che hanno interessato, tra gli altri, Israele, Svizzera, Australia e Canada – la più nota è quella del 26 luglio 2000 tra Unione europea e Stati Uniti, detta Safe harbor, oggi invalidata dalla sentenza Schrems. L’operato della Corte di giustizia ha ricevuto apprezzamenti da più parti, non da ultimo dal nostro Garante per la protezione dei dati personali, che ha sottolineato l’importanza che i diritti dei cittadini siano rispettati anche al di fuori dei confini comunitari. Una presa di posizione con la quale non si può che essere d’accordo, ma che forse evidenzia solo una faccia di un prisma molto più complesso.
Innanzitutto, la Corte di giustizia fotografa una situazione grave, ma in parte non più attuale. Dopo lo scandalo Snowden, da cui ha tratto origine anche il caso deciso dai giudici europei, gli Stati Uniti stavano provando ad arginare l’emergenza privacy con alcuni provvedimenti legislativi, tra cui il Judicial Redress Act dello scorso anno.
In secondo luogo, non può essere sottaciuto l’impatto economico e politico della sentenza Schrems. Non è una sentenza che colpisce Facebook o Google, come semplicisticamente si è detto: sono circa 4mila le imprese europee e statunitensi che beneficiano dei principi di Safe harbor e di queste circa il 60% sono Piccole e medie imprese, incluse numerose start up. Quello che in pochi hanno sottolineato è che tali principi regolano esclusivamente i rapporti tra Unione europea e Stati Uniti, ma non sono l’unico strumento giuridico per il trasferimento transfrontaliero di dati personali. Clausole contrattuali standard e binding corporate rules garantiscono la medesima efficacia, legittimando i trasferimenti di dati oltre lo spazio europeo, ma impongono costi transattivi più alti.
Quanto appena detto vale specialmente per le clausole contrattuali standard (anche note come model contract clauses), da inserire all’interno di contratti tra imprese che non appartengono al medesimo gruppo (cui, invece, sono riservate le binding corporate rules). Questi contratti sono necessari perché il flusso dei dati non può essere impedito. Ciò determinerebbe la paralisi per molte imprese, tacendo il potenziale isolamento commerciale per l’Europa: una ricerca del 2013 di Syntech Numérique dimostra con chiarezza che l’interruzione del flusso dei dai transfrontalieri porterebbe alla riduzione del Pil dell’Unione europea del 1,3% e un’emorragia nelle esportazioni dei servizi forniti dall’Europa verso gli Stati Uniti, che diminuirebbero del 6,7%.
Il punto, quindi, è che le imprese saranno costrette a ripiegare sulle clausole contrattuali standard – unico strumento sopravvissuto al crollo del Safe harbor – il cui costo verrà sostenuto da tutti i soggetti interessati, con un impatto differente su piccole e grandi imprese. Un’altra possibile chiave di lettura attiene al rapporto tra Corte di giustizia e Commissione europea.
Non è la prima volta che i giudici comunitari intervengono in materia di dati personali: data retention e diritto all’oblio sono i casi più noti, ma non i soli. Nel settore che ci interessa, la decisione della Corte di giustizia pregiudica fortemente le negoziazioni in atto per la revisione dei Safe harbor che, a questo punto, dovranno essere ripensati ex novo, avendo come punto di partenza l’inadeguatezza di quelli esistenti: in altri termini, si ricomincia da zero e i negoziati, verosimilmente, saranno più lunghi di quello che era lecito attendersi, relegando gli Stati Uniti a un ruolo subordinato che dovrà adattarsi alle strettoie delle posizioni comunitarie. Né può dimenticarsi che l’eco della sentenza in questione potrebbe riverberarsi, a livello europeo, anche sul difficile e travagliato percorso che sta conducendo verso l’approvazione – spesso annunciata e più volte procrastinata – del nuovo regolamento in materia di dati personali.
Non si può, tuttavia, circoscrivere la discussione al solo livello comunitario. Se si inverte la prospettiva geografica, non può non rimarcarsi la leggerezza con cui gli Stati Uniti, a qualsiasi stadio, hanno affrontato il tema della sicurezza delle informazioni personali: prima con lo scandalo Prism e successivamente, a livello giudiziario, con la decisione – che rispecchia un frettoloso laissez-faire – della Corte Suprema nel caso Clapper.
C’è ancora un ulteriore problema. La decisione della Corte Ue fornisce alle autorità garanti nazionali il potere di verificare se il trasferimento di dati personali degli utenti tra nazioni è sicuro. Ma questo eccessivo spezzettamento tra 28 garanti potrebbe portare a non poche complicazioni. Per questo già nelle dichiarazioni nelle ore successive alla sentenza, il garante italiano Soru ha detto che “occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”. Sulla stessa linea anche il comunicato di Facebook, che chiede un chiarimento da parte di Ue e Stati Uniti: “È imperativo che i governi di Ue e Usa garantiscano che continueranno a fornire metodi affidabili per il trasferimento legale dei dati e che risolveranno tutte le questioni legate alla sicurezza nazionale”.

Presentata in Brasile la Carta di Internet

“L’accesso a Internet è diritto fondamentale della persona e condizione per il suo pieno sviluppo individuale e sociale”. E’ questo l’articolo 2 della Dichiarazione dei diritti in Internet, un documento composto da un preambolo e quattordici articoli che ha visto la luce nella sala del mappamondo della Camera dei Deputati. La presentazione è avvenuta a un anno esatto dall’annuncio, da parte della Presidente della Camera, Laura Boldrini, dell’istituzione della Commissione di studio per l’elaborazione di principi in tema di diritti e doveri relativi ad Internet, presieduta da Stefano Rodotà, con il compito, appunto, di arrivare alla stesura di un Internet bill of rights italiano ma con un’ambizione europea e, anzi, globale.
Non è, infatti, un caso che nella relazione di accompagnamento si citi espressamente il Marco Civil brasiliano – il primo Internet bill of rights ad essere approvato in un Parlamento – perché è proprio in Brasile, a Joao Pessoa, che il 9 novembre, nel corso dell’Internet Governance Forum 2015, è stata tenuta a battesimo la Dichiarazione dei diritti in Internet, nel suo debutto nella società internazionale.
Un gesto carico di significato perché, per una volta, il nostro Paese si è presentato alla comunità globale che si occupa di Internet, anziché per raccontare degli enormi ritardi e divide digitali che ne rallentano l’ingresso nella società dell’informazione, di una sua eccellenza nello studio ed elaborazione di un insieme di diritti che potrebbero davvero rappresentare il cuore di una Carta costituzionale del cyberspazio.
E, in effetti, la Dichiarazione dei diritti in Internet “rischia” davvero di andare ad allungare l’elenco dei tanti esempi di italiche virtù destinati ad essere più apprezzati e famosi all’estero che nel nostro Paese, perché, in Italia, per il momento, sarà “solo” una mozione con la quale il Parlamento, a settembre, impegnerà il governo a tenere in debito conto i princìpi che vi sono fissati nelle future iniziative in materia digitale.
Non poco, naturalmente, ma meno di quanto meriterebbe un documento che non è esagerato definire storico, sia per il metodo attraverso il quale si è arrivati alla sua stesura – una commissione nell’ambito della quale parlamentari, esperti, stakeholder e società civile si sono confrontati in modo franco ed aperto, acquisendo decine di opinioni e pareri – sia per il suo contenuto.
E basta leggere alcuni passaggi dei quattordici articoli lungo i quali la Dichiarazione dei diritti in Internet si snoda per capire che si tratta di una Carta che va al cuore delle questioni dalle quali dipende il futuro della Rete in Italia e nel mondo e, attraverso la Rete, probabilmente quello di un’umanità che, ormai, vive, dialoga, cresce e si trasforma in una dimensione di interconnessione telematica costante ed universale.
E’ l’articolo 1, come è giusto che sia, che riassume il senso dell’intera dichiarazione: “Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dalla Dichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei diritti fondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioni internazionali in materia”.
Internet non è un altrove rispetto ai nostri Stati, Internet non è un far west, Internet non è altro se non un ambito nuovo – e, anzi, ormai neppure così tanto nuovo – nel quale non c’è ragione per la quale non riconoscere, ad ogni essere umano, quei diritti fondamentali dell’uomo e del cittadino attorno ai quali, la comunità internazionale, con alcune tristi eccezioni, si riconosce ormai da decenni.
E basterebbe, probabilmente questo, se la Dichiarazione dei diritti in Internet fosse, per davvero, una carta costituzionale – e basterà quando lo sarà – per far ordine tra tante piccole e grandi ingiustizie che i cittadini hanno subito e subiscono nella loro dimensione telematica, probabilmente, più spesso per mano degli Stati che li governano che dei grandi protagonisti privati del web che, pure, naturalmente, non sono senza “peccati”.
Deroghe ed eccezioni ai diritti fondamentali dell’uomo e del cittadino sono, infatti, negli ultimi lustri – in Italia ed all’estero – diventate tanto frequenti da potersi considerare la regola.
La “velocità” delle comunicazioni online, l’immaterialità delle condotte nelle reti telematiche, la dimensione extraterritoriale e globale di internet hanno finito con il far passare un principio del quale sono intrise decine di leggi, secondo il quale ciò che è tecnicamente possibile fare per contrastare qualsiasi genere di fenomeno illecito – piccolo o grande che sia – può e deve essere considerato anche giuridicamente legittimo e democraticamente sostenibile.
Non si può, quindi, che salutare con entusiasmo – e forse un pizzico di patriottica fierezza – la Dichiarazione dei diritti in Internet, quando, navigando tra i suoi articoli, ci si imbatte nel diritto di accesso a Internet, in quello alla conoscenza ed all’educazione anche attraverso il web ed il digitale, nel diritto alla privacy ed all’identità personali ed in quello ad una rete neutrale nella quale ciò che si cerca ed i contenuti o servizi verso i quali si naviga non incidono sulla “libertà di circolazione” dei dati e degli utenti.

Entrano in vigore le regole del Garante privacy per l’uso dei cookie

Entro il prossimo 3 giugno i siti internet che intendono adoperare cookie dovranno adeguarsi alla misure prescritte in materia dal Garante per la protezione dei dati personali con il provvedimento dell’8 maggio 2014.

Ma quante sono le imprese (o, meglio, i siti) in regola con le indicazioni del Garante? Al momento, per la verità, regna una grandissima confusione, incentivata da soluzioni “peculiari”adottate da alcuni operatori.

Il provvedimento distingue gli adempimenti da porre in essere in relazione alla tipologia di cookie adoperati, vale a dire se si tratti di cookie “tecnici” o cookie di “profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd. terze parti).

Sono qualificati come tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata, sul numero di utenti e su come questi visitano il sito.

Per l’installazione di tale tipologia di dispositivi il gestore del sito non dovrà acquisire uno specifico consenso da parte degli utenti, ma potrà limitarsi a fornire una specifica informativa in proposito, con le modalità che ritenga più opportune.

Continua a leggere su key4biz

Garante Privacy: nuove regole in materia di biometria

Con un provvedimento generale di carattere prescrittivo del 12 novembre 2014, il Garante per la protezione dei dati personali ha fornito un quadro unitario di misure di carattere tecnico, organizzativo e procedurale per consentire ai titolari di conformare i trattamenti di dati biometrici alla disciplina vigente in materia di dati personali e per accrescerne i livelli di sicurezza.

In ragione dei particolari rischi connessi al trattamento di dati biometrici, per tale tipologia di trattamento è necessario sottoporre al Garante una richiesta di verifica preliminare ai sensi dell’art 17 del Codice Privacy.

Con il provvedimento in questione il Garante ha individuato alcune tipologie di trattamenti che presenterebbero minori rischi e che, pertanto, qualora posti in essere nel rispetto delle regole dettate, non necessiterebbero della verifica preliminare da parte dell’Autorità.

Questi i casi di esonero previsti dal provvedimento:

  1. a) Nell’autenticazione informatica, il trattamento di caratteristiche biometriche utilizzate come credenziali per l’accesso a banche dati e sistemi informatici (impronta digitale o emissione vocale), può avvenire, anche senza il consenso dell’interessato, purché sia svolto nel rispetto delle prescrizioni dettate per la raccolta, la cancellazione e la conservazione dei dati.
  2. b) Nel controllo dell’accesso fisico a luoghi “sensibili”, il trattamento di caratteristiche biometriche (impronta digitale o topografia della mano) può avvenire, anche senza il consenso dell’interessato, purché sia posto in essere nel rispetto delle prescrizione dettate dal provvedimento per l’acquisizione, la trasmissione tra dispositivi di acquisizione e postazioni di controllo e per la conservazione del riferimento biometrico.
  3. c) Al fine di regolare e semplificare l’accesso fisico di utenti ad aree fisiche pubbliche (es. biblioteche) o private o a servizi, possono utilizzarsi caratteristiche biometriche (impronta digitale o topografia della mano). In tal caso il trattamento dovrà avvenire, oltre che nel rispetto delle prescrizioni dettate, solo previa acquisizione del consenso dell’interessato. Devono comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici.
  4. d) Per la sottoscrizione di documenti informatici, è ammesso il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware, laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D. Lgs. 82/2005, che non prevedono la conservazione centralizzata di dati.

In ambito pubblico non è necessario il consenso dell’interessato se il trattamento di dati biometrici è necessario per il perseguimento di finalità istituzionali; al contrario, in ambito privato il presupposto di legittimità di tale trattamento è dato dal consenso libero degli interessati, che ha validità, fino alla sua revoca, per tutti i documenti da sottoscrivere. Deve sempre rendersi disponibile un sistema alternativo di sottoscrizione (cartaceo o digitale) che non comporti l’utilizzo di dati biometrici.

I dati biometrici e grafometrici non possono essere conservati, neanche temporaneamente, su dispositivi hardware utilizzati per la raccolta, ma devono essere memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata al ciclo di vita del documento e certificato digitale emesso da un certificatore accreditato.

L’accesso al modello grafometrico cifrato può avvenire esclusivamente tramite l’utilizzo della chiave privata e solo in caso di insorgenza di un contenzioso sull’autenticità della firma, a seguito di richiesta dell’autorità giudiziaria.

Al fine di informare i titolari del trattamento, i produttori di tecnologie biometriche e i fornitori di servizi, il Garante ha adottato delle Linee guida in materia di riconoscimento biometrico e firma grafometrica, che costituiscono parte integrante del provvedimento.

Per i titolari di trattamenti biometrici che rientrano nei casi di esonero e che abbiano già richiesto la verifica preliminare ai sensi dell’art. 17, il provvedimento dispone di comunicare la conformità del trattamento alle regole prescritte e che tale comunicazione comporterà il non luogo a provvedere sulle relative istanze.

Geolocalizzazione dei dipendenti: il Garante Privacy detta le regole

Con due distinti provvedimenti (n. 3505371 3474069), il Garante per la protezione dei dati personali ha accolto le istanze di verifica preliminare ex art. 17 del Codice Privacy avanzate da due società di telefonia in merito al trattamento di dati personali di geolocalizzazione dei propri dipendenti.

Le società coinvolte – Wind Telecomunicazioni S.p.A. ed Ericsson Telecomunicazioni S.p.A. – intenzionate ad introdurre, sui dispositivi smartphone forniti in dotazione ai propri lavoratori dislocati sul territorio, una nuova app di localizzazione geografica, hanno infatti richiesto all’Autorità un parere preventivo in ragione dei rischi specifici legati al trattamento dei dati personali.

L’attivazione di tale funzionalità sarebbe volta all’ottimizzazione del livello di servizi forniti sul territorio, in quanto consentirebbe di migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, anche e soprattutto in casi di emergenza o in presenza di calamità naturali. La geo-localizzazione, inoltre, rafforzerebbe le condizioni di sicurezza dei lavoratori permettendo l’invio mirato di soccorsi in caso di incidenti o difficoltà.

Le criticità connesse all’utilizzo di applicazioni di geolocalizzazione riguardano la possibilità che le stesse siano utilizzate al fine di effettuare un controllo a distanza indiretto sull’operato dei lavoratori. Sul punto il Garante si era già pronunciato con provvedimento generale n. 370 del 2011 in merito ai sistemi di localizzazione dei veicoli, sancendo che “se sono adottate le garanzie previste dall’art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e gli enti pubblici economici possono effettuare lecitamente il trattamento dei dati personali (diversi da quelli sensibili) relativi all’ubicazione dei propri dipendenti per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro, anche in assenza del consenso degli interessati”, individuando in ciò un legittimo interesse.

È evidente che, nel caso specifico portato all’attenzione dell’Autorità da Wind ed Ericsson, le garanzie nei confronti dei diritti e delle libertà dei dipendenti dovranno essere superiori stante la peculiarità del mezzo utilizzato per la geolocalizzazione, ossia lo smartphone, per sua stessa natura destinato a seguire il lavoratore in tutti gli spostamenti, anche in orario non lavorativo.

Il Garante, ritenuto di dover svolgere degli approfondimenti, ha richiesto chiarimenti alle aziende. In conseguenza di ciò è emerso che, in entrambi i casi, l’applicazione mobile installata sul dispositivo del dipendente invierà i dati di geolocalizzazione ad intervalli regolari (10 o 15 minuti) e che, al di fuori di questo intervallo, non sarà possibile accedere ai dati di posizione in tempo reale se non in presenza di specifiche esigenze (es. situazione di pericolo o emergenza del dipendente).

Allo stesso modo, le società richiedenti hanno comunicato che l’applicazione installata non interferirà con altre applicazioni e non potrà accedere a telefonate, sms o mail, e che non sarà possibile ricostruire, mediante i dati raccolti, gli spostamenti dei lavoratori nel corso della giornata lavorativa.

Da ultimo, il dipendente potrà disattivare l’applicazione al termine dell’orario di lavoro, nei periodi di ferie o malattie e, comunque, nei momenti contrattualmente stabiliti, come la pausa pranzo.

A tali condizioni, quindi, il Garante ha accolto e istanze di verifica preliminare, imponendo adempimenti ulteriori, quali la notificazione ai sensi dell’art. 37 comma 1, lett. a) del Codice Privacy e l’attivazione delle procedure previste dall’art. 4 comma 2 dello Statuto dei lavoratori[1], nonché la predisposizione di idonee misure di sicurezza volte a preservare l’integrità dei dati raccolti.

Ovviamente, le società istanti dovranno informare in maniera chiara e completa i propri dipendenti sulla natura dei dati trattati, sulle funzionalità del dispositivo e sulle ipotesi in cui sarà possibile disattivare la localizzazione durante l’orario lavorativo. Inoltre, le applicazioni utilizzate dovranno essere configurate in modo tale da rendere ben visibile se la funzionalità di geolocalizzazione è o meno attiva.

 


[1]Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

La carta dei diritti in rete è realtà. Bozza presto in consultazione

Schermata 2014-10-14 alle 16.01.23In occasione della riunione dei Presidenti delle Commissioni competenti in materia di diritti fondamentali, nell’ambito della Presidenza semestrale italiana del Consiglio dell’Ue, lunedì 13 ottobre, presso la Sala della Regina di Palazzo Montecitorio, la presidente della Camera Laura Boldrini ha reso nota la bozza dell’Internet bill of rights, la Carta dei diritti fondamentali di Internet.

Il documento, frutto del lavoro di un’apposita commissione formata da 10 parlamentari e 13 esperti, presieduta da Stefano Rodotà, è composto da un preambolo e da 14 articoli:

  1. Riconoscimento e garanzia dei diritti
  2. Diritto di accesso
  3. Neutralità della rete
  4. Tutela dei dati personali
  5. Diritto all’autodeterminazione informativa
  6. Inviolabilità dei sistemi e domicili informatici
  7. Trattamenti automatizzati
  8. Diritto all’identità
  9. Anonimato
  10. Diritto all’oblio
  11. Diritti e garanzie delle persone sulle piattaforme
  12. Sicurezza in rete
  13. Diritto all’educazione
  14. Criteri per il governo della rete

La bozza di dichiarazione dei diritti in Internet è già disponibile online e a partire dal 27 ottobre sarà avviata la consultazione pubblica vera e propria. Da questa data e per i quattro mesi successivi, infatti, i contributi dei cittadini saranno raccolti al fine di recepire i suggerimenti e migliorare il testo prodotto dalla Commissione per i diritti e i doveri.

In vigore il provvedimento del Garante Privacy sulle ‘chiamate mute’

Lo scorso 2 ottobre è entrato in vigore il provvedimento generale sulle cosiddette “chiamante mute”, adottato dal Garante per la protezione dei dati personali il 20 febbraio 2014 allo scopo di arginare un fenomeno sempre più diffuso, conseguenza dell’utilizzo, da parte degli operatori di telemarketing, di sistemi automatizzati per la generazione di chiamate che consentono di mantenere in stato di attesa le telefonate che abbiano già ricevuto risposta da un destinatario fino al momento in cui un operatore del call center si renda disponibile.

Le misure disposte dall’Autorità hanno la duplice finalità di ridurre la frequenza delle chiamate mute, contenendole entro una soglia di tollerabilità, e di diminuire gli effetti molesti per i destinatari.

Questi i principali adempimenti imposti dal Garante:

a) I call center sono tenuti a censire le chiamate effettuate in relazione all’esito delle stesse e garantire che la percentuale di chiamate mute non superi la soglia del 3% di quelle andate a buon fine, vale a dire delle chiamate che abbiano ricevuto risposta dal destinatario.

Tale percentuale deve essere misurata in relazione ad ogni singola campagna di telemarketing per periodi temporali non superiori a 10 giorni.

b) Al fine di ridurre lo stato di disagio e di ansia provocato dalla ricezione di chiamate mute, i call center sono tenuti ad adottare accorgimenti tecnici volti a rendere facilmente individuabile la provenienza della chiamata da un call center.

Il call center deve garantire che, nell’istante in cui la chiamata generata dal sistema abbia ricevuto risposta dal destinatario, venga trasmessa all’utente chiamato una traccia audio che riproduce un rumore ambientale sintetico (ad esempio, voci di sottofondo, brusio, squilli di telefono).

c) A seguito di una chiamata muta, è esclusa la possibilità di effettuare un nuovo contatto alla medesima utenza nei 5 giorni successivi. Qualora, dopo tale intervallo, l’utenza sia ricontattata, deve garantirsi che la stessa venga contattata attraverso un sistema prioritario di instradamento della chiamata, per cui sia sempre garantita la presenza di un operatore alla risposta.

d) I call center sono tenuti a conservare i report statistici delle percentuali di telefonate mute effettuate per ciascuna campagna promozionale per un periodo non inferiore ai 2 anni, così da consentire eventuali controlli nel periodo indicato.

Qui il provvedimento integrale.

Google: nuovi obblighi dal Garante Privacy

Con un provvedimento prescrittivo dello scorso 10 luglio si è conclusa l’istruttoria – avviata il 2 aprile 2013 dal Garante per la protezione dei dati personali italiano – volta al controllo della liceità e della correttezza dei trattamenti dei dati personali operati da Google Inc. a seguito della nuova privacy policy adottata dalla società.

Nel gennaio 2012 Google aveva, infatti, annunciato che dal successivo 1° marzo avrebbe unificato in un unico documento le regole di gestione dei dati relative alla fornitura dei diversi servizi – dalla posta elettronica (Gmail) alle mappe on line (Google Street View), dalla gestione dei pagamenti (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, libri, musica, riviste, giochi (Google Play), dal social network (Google Plus) alla diffusione e visualizzazione di filmati (You Tube), ecc… – procedendo, in questo modo, all’integrazione e interoperabilità dei diversi prodotti e all’incrocio dei dati degli utenti relativi all’utilizzo di una pluralità di servizi.

Benché Google abbia adottato nel corso della predetta procedura una serie di misure e di modifiche della propria privacy policy, al fine di renderla quanto più possibile conforme alle disposizioni di legge in materia, all’esito dell’istruttoria il Garante Privacy italiano ha comunque riscontrato una serie di criticità riguardanti, in particolare: a) l’inadeguatezza dell’informativa fornita agli utenti: b) la mancata richiesta di consenso per finalità di profilazione; c) l’incertezza sui tempi di conservazione dei dati.

a) L’Autorità ha prescritto a Google di adottare – in conformità alle disposizioni di cui all’art. 13 del Codice Privacy – un sistema di informativa strutturato a più livelli che in ogni caso chiarisca all’utente che i suoi dati personali sono monitorati e utilizzati anche a fini di profilazione per pubblicità mirata e che tali dati vengono raccolti anche con tecniche più sofisticate dei semplici cookie, come il fingerprinting;

b) quanto al consenso, il Garante ha stabilito che l’utilizzazione da parte di Google dei dati personali degli utenti a fini di profilazione e pubblicità comportamentale personalizzata non potrà che avvenire previa acquisizione del consenso degli utenti stessi – secondo le modalità previste dagli artt. 23 e 24 del Codice Privacy -, non potendosi intendere il semplice utilizzo del servizio da parte dell’utente come accettazione incondizionata al trattamento dei propri dati.

A tal fine l’autorità ha indicato un meccanismo semplice e innovativo che consenta all’utente di scegliere in modo consapevole se fornire o meno il proprio consenso alla profilazione;

c) in relazione alla conservazione dei dati, Google dovrà definire tempi certi di conservazione, sulla base dell’art. 11, lettera e) del Codice Privacy, sia per quanto riguarda quelli mantenuti sui sistemi “attivi” che per quanto riguarda quelli archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione di dati personali provenienti dagli utenti in possesso di un account Google, il Garante ha stabilito che tali richieste siano soddisfatte entro un termine massimo di due mesi (da intendersi come 62 giorni solari), se i dati sono conservati su sistemi “attivi”, e entro sei mesi (da intendersi come 180 giorni solari), laddove si tratti di dati archiviati su sistemi di back up.

Quanto alle richieste di cancellazione relative all’esercizio del diritto all’oblio avanzate in ordine ai risultati ottenuti attraverso l’utilizzo del motore di ricerca (Google search), l’Autorità ha ritenuto opportuno attendere gli sviluppi applicativi della recente pronuncia della Corte di Giustizia dell’Unione Europea del 13 maggio scorso (Causa C-131/12).

Si tratta, dunque, di un provvedimento – il primo in Europa – che non si limita a richiamare il rispetto delle disposizioni dettate in materia di protezione dei dati personali, ma che indica in concreto le misure da adottarsi affinché sia assicurata la conformità alla legge.

Per farlo Google avrà 18 mesi di tempo dalla notifica del provvedimento, a cui si rinvia per la lettura integrale.

The Italian Data Protection Authority on Google’s privacy policies

After an investigation started one year ago, following the modification of Google’s privacy policies, the Italian DPA has issued yesterday a new provision, concerning services provided to Italian customers.

In fact, Google has unified in a single document the several rules governing personal data processing related to its features, such as e-mail (Gmail), social network (GooglePlus), management of online payments (Google Wallet), video platform (YouTube), online maps (Street View), statistical analysis (Google Analytics), therefore allowing the intersection and interoperability of these services and of users’ personal data involved.

It is the first time that a European DPA does not only holds the violation of the law but also requires specific measures that Google is expected to take in order to be compliant.

Privacy policy

The DPA has prescribed to Google the adoption of a privacy policy structured on several levels.

The first general level should provide the most relevant information for the user: the mention of the data processing as well as of the data used (es. geolocation, IP addresses, etc.).; the address to which users may send their request in Italian exercising the rights listed in article 7 of the Privacy Code; the purposes of profiling activities, especially where aimed at displaying behavioral advertising and customized analysis of the behavior of the websites visitors.

The first level should also include the hyperlinks to the privacy policies for the single services.

The second level should include the privacy policies of the single services. In this level, previous versions of the privacy policies, even if no longer in force, should be stored; users should be warned about specific risks that may arise by the use of the services (for example, in case of choice of password which is not enough secure).

The rules on privacy policy should be applied in the same way for each kind of device (mobile, tablet, computer, laptop and TV plug-in) and for each application made ​​available to users.

Consent

In order to use personal data of its users for profiling and behavioral advertising activities, Google must reach their prior consent. An implied consent – through the use of the service as an acceptance of the personal data processing – is not allowed by the law.

Similarly, a consent is always required in case of fingerprint and cookies.

In case of unauthenticated users, it is necessary that the home page expressly holds that the website collects personal data, providing a hyperlink to the privacy policy and another hyperlink which allows users to deny their consent in case of profiling.

Data retention

Google will have to define certain times of data retention on the basis of the provisions of the Privacy Code, for both “active” and “back up” personal data (i.e. personal data stored or not). Regarding the deletion of personal data, the DPA has ordered Google to process the requests from its users (who are easily identifiable) within two months in case of active personal data and within six months in case of personal data stored on back up systems. As for the requests for cancellation affecting the use of the search engine, the Italian DPA decided to wait for further applicative development of the judgment of the Court of Justice of the European Union on the right to be forgotten.

Google will have 18 months to comply with the requirements of the DPA. During this time, the Authority will monitor the implementation of the measures required. The company will have to submit to the DPA, by September 30, 2014, a verification protocol, which will become binding once signed, and which will settle when and how the DPA will make its further checks on Google.