SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging
1. La gestione dei dati personali
nel GeoTagging: profili
privacy presenti e futuri
Avv. Andrea Michinelli â Studio legale dâAmmassa &
Associati
Avv. Stefano Ricci â Studio legale Meda Preti Ricci
Milano - 27 ottobre 2016
7. Cercando una definizioneâŚ
ď Geolocalizzazione = deter-
minazione (anche approssimativa)
dellâubicazione spaziale di una
persona fisica (es. indirizzo,
nome/immagine di un luogo,
latitudine & longitudine, altitudine,
velocitĂ , ecc.), anche tramite oggetti
a essa riconducibili â tracciamento /
posizionamento
ď Geotagging = geolocalizzazione
mediante abbinamento di
determinati dati/contenuti (foto,
video, siti web, messaggi, tweet,
ecc.) a unâetichetta informatica con
dati geografici (come metadata del
file, nelle proprietĂ dello stesso)
SCOPI
⢠per scopi personali / commerciali /
lavoro â es. sharing via social
network
⢠per finalità di ricerca e
organizzazione archivi â perlopiĂš a
opera degli stessi utenti o dei loro
dispositivi
⢠per finalità di profilazione
commerciale â perlopiĂš a opera dei
fornitori di hardware & software o dei
loro dispositivi
⢠per il rispetto di legge e contratti â
a opera dei titolari/fornitori di servizi
onde garantire la fruizione dei diritti
licenziati nei soli territori concessi
8. Da dove?
DATI GENERABILI:
a) automaticamente dal dispositivo, sulla base di funzioni predeterminate
dal produttore del OS e/o dispositivo o dal relativo fornitore di telefonia
mobile (es. dati di geolocalizzazione, impostazioni di rete, indirizzo IP) â
IoT (Internet of Things!);
b) dall'utente volontariamente mediante app (liste di contatti, appunti, foto),
inserimento manuale;
c) dalla app mediante il suo funzionamento (ad es. cronologia di
navigazione)
d) da terzi mediante incrocio di piĂš dati
ACCESSIBILI anche da terzi (per es. una rete pubblicitaria che accede ai
dati di geolocalizzazione del dispositivo per fornire pubblicitĂ
comportamentali)
9. Cosa rischia lâinteressato
âş Localizzazione âoccultaâ di persone/cose
âş Combinazione di pochi dati di geolocalizzazione con altri (big
data), oltre che con servizi di piĂš parti
âş Maggiore disponibilitĂ nel mercato di geo-search (v.
cybercasing = uso di strumenti online per ricavare dati di
localizzazione)
âş Metadata sempre piĂš disponibili in social network
âş Privacy paradox = gli utenti, se interpellati, manifestano
grande preoccupazione per la propria privacy ma attuano
poco o nulla per contrastarla (contraddizione)
10. Players
a) Sviluppatori OS
b) API per accesso a contenuti geo: Flickr, YouTube, Twitter, Craiglist
â dunque disponibilitĂ dei dati anche a sviluppatori terzi
c) Servizi location-based: servizi forniti sulla base dellâattuale
localizzazione dellâutente (es. Google maps) da parte di terzi
d) Portali Internet
v. Google+, Yahoo!, Foursquare, Yowza!!, SimpleGeo, Instagram,
Facebook, Twitter, FlickrâŚ
⢠YouTube: estrae di default geo-info dai video caricati, richiede opt-out;
Flickr: richiede opt-in esplicito
⢠iPhone Apple: di default geotaggava foto e video realizzati, richiedeva opt-
out; Android: richiede opt-in
Designed by Freepik
11. Strumenti di geolocalizzazione
ď GPS (Global Positioning System) =
segmenti spaziali (satellite) +
controllo (dispositivi terrestri) +
azione utente; GNSS; AGPS; ecc.
ď Triangolazione celle telefono mobile
/ hotspot Wifi (â incrocio dati su
intensitĂ segnale con hotspot noti â
ogni hotspot segnala proprio MAC
address e nome di rete)
ď Incrocio di dati, inferenza (es.
comparazione immagine con quella
di Google StreetView),
crowdsourcing
ď Hardware & software in genere (es.
browser, etichette RFID,
comunicazioni NFC - M2M - IMES,
Bluetooth â ultrasonic beacon, ecc.)
ď Formato EXIF (specifico per foto di
fotocamere digitali, file in formato
JPEG, TIFF, RIFF, ecc.),
registrazioni, software editing (es.
foto) â possono lasciare
thumbnails dellâimmagine o file
originario (EXIF, Word, Pdf, ecc.)
â si trovano metadata EXIF in blog
e siti web!
IDENTIFICAZIONE: può essere
immediata o successiva alla raccolta
del dato (es. incrocio marca
temporale con log di un ricevitore
GPS, ecc.)
12. Privacy oggi
FONTI (principali)
⢠Codice Della Privacy (CDP) - D.Lgs. 196/2003 (v. Allegati: codici deontologici,
misure minime di sicurezza) dalla Direttiva 95/46/UE
⢠Provvedimenti Garante Della Privacy (GDP) (es. autorizzazioni generali, linee
guida, vademecum, ecc.) e del Gruppo di lavoro art. 29 (WP 29)
DATO DI LOCALIZZAZIONE:
ď è un dato personale
ď può essere dato sensibile (può rivelare stato salute, orientamenti sessuali,
religiosi, politici, ecc.) â es. visite in ospedale, luogo di culto, sindacati, partiti,
ecc. â consenso scritto + notifica Garante + autorizzazione preventiva del
Garante (tranne casi predeterminati in autorizzazioni generali)
ď può essere dato âquasiâ sensibile = presenta rischi per diritti, libertĂ e dignitĂ
dellâinteressato (a seconda della natura del dato, della modalitĂ e degli effetti del
trattamento) â rispetto di misure a tutela dellâinteressato, se prescritte dal
Garante + interpello di verifica preventiva al Garante
13. Privacy Italia/UE: concetti di base (in pillole)
â Dato personale = dato di una persona
fisica identificata/identificabile (anche in
correlazione con altri dati) â es. email,
immagine, numero di telefono, indirizzo
IP, ecc. â ubicazione!
â Trattamento = qualsiasi operazione
compiuta con il dato personale â es.
raccolta, modifica, incrocio,
cancellazione, ecc.
â Interessato = persona fisica a cui si
riferisce il dato personale
â Titolare = persona fisica/giuridica che
decide circa il trattamento dei dati
â Responsabile = persona fisica/giuridica
nominata dal Titolare per compiere
determinati trattamento in suo conto
â Informativa = informazioni (previe) sul
trattamento allâinteressato
â Consenso = assenso (informato) al
trattamento dei dati dellâinteressato
â Misure di sicurezza = misure tecnico-
organizzative adottate dal titolare per la
tutela del trattamento â minime Allegato
B CDP (sistemi di autenticazione,
autorizzazione, liste di incaricati,
aggiornamenti software, backup,
antivirus, gestione supporti, certificazioni
di fornitori, misure per trattamenti
cartacei, ecc.) + eventuali misure
adeguate ulteriori (v. provv. Garante)
(v. anche Guidelines ENISA, es. per app
developers 2011)
15. Privacy: principi di base (in pillole)
a) NecessitĂ = configurazione dei
sistemi informativi e informatici
riducendo al minimo lâutilizzazione di
dati personali, cosĂŹ da escludere il
trattamento se le finalitĂ possono
essere perseguite mediante dati
anonimi o identificando lâinteressato
solo in caso di necessitĂ
b) FinalitĂ (pertinenza e non
eccedenza) = dati raccolti e registrati
per scopi: determinati (devono
esserci degli scopi), espliciti
(informazione allâinteressato),
legittimi, coerenti con i presupposti
della raccolta
c) LegittimitĂ (correttezza, traspa-
renza) = i dati personali trattati in
violazione della disciplina rilevante
in materia di trattamento dei dati
personali NON possono essere
utilizzati; è necessaria base
giuridica a supporto del rapporto
d) ProporzionalitĂ = modalitĂ di
trattamento e dati: pertinenti (alle
funzioni derivanti dallâattivitĂ
svolta), completi, NON eccedenti le
finalitĂ (qualitativamente e
quantitativamente); â termine
temporale: una volta perseguite
tali finalitĂ , NON conservare piĂš i
dati â anonimizzazione o
cancellazione
16. Dato âquasiâ sensibile
= dato personale che presenta rischi per i diritti, le libertĂ e la
dignitĂ dellâinteressato
⢠secondo la natura dei dati, la modalità di trattamento, gli effetti
del trattamento
â categoria aperta, a valutazione del Garante
(es. lesione diritti dâimmagine, provvedimenti disciplinari, assistenza
sociale, sondaggi dâopinione, dati biometrici, dati finanziari della
centrale rischi, situazione economica-finanziaria)
â è necessario il rispetto di misure a garanzia dellâinteressato, se
prescritte dal Garante
â (art. 17 CDP) interpello di VERIFICA PREVENTIVA al GDP
17. Dato di ubicazione (Dir. 2002/58/CE in art. 126 CDP)
= trattato da una rete comunicazione
elettronica che indichi (anche
potenzialmente) la posizione
geografica del terminale dellâutente di
un servizio di comunicazione
elettronica accessibile al pubblico
(=trasmissione di segnali su reti)
ADEMPIMENTI:
⢠Consenso dellâutente /
anonimizzazione dati per quanto
necessario alla fornitura del
servizio a valore aggiunto
⢠Informativa ad hoc sui dati di
ubicazione: natura dei dati, scopi,
data retention, se trasmissione a
terzi, categorie di incaricati che
verranno a conoscenza dei dati
⢠Sempre disponibile (gratuitamente)
la facile possibilitĂ tecnica di
revocare il consenso / chiedere la
disattivazione temporanea del
servizio
⢠Misure di sicurezza appropriate ai
servizi, garantendo la protezione
contro: la distruzione anche
accidentale, la perdita o alterazione
anche accidentale e la
archiviazione, il trattamento,
lâaccesso o la divulgazione non
autorizzati o illeciti
18. Responsabile del trattamento
= la persona fisica o giuridica (la societĂ , l'ente, l'associazione,
l'organismo, ecc.) cui il titolare affida (â interagisce con interessati
e GDP) compiti di gestione e controllo del trattamento dei dati,
per esperienza, capacitĂ , affidabilitĂ (â verifica preventiva, NO
automatismi)
⢠fornendo idonea garanzia del pieno rispetto
â della normativa in materia di dati personali e
â della sicurezza dei dati
⢠attenendosi alle istruzioni (anche orali) impartite dal titolare
â lettera di incarico con compiti analiticamente distinti e accettati
20. Informativa al trattamento
= le informazioni (= dichiarazione) che il titolare/responsabile del
trattamento
⢠deve fornire PREVIAMENTE (salvo ambito sanitario)
â verbalmente (â problemi probatoriâŚ)
â o per iscritto (â anche in clausole o allegati contrattuali,
pubblicazione sul web accessibile con un solo click in home page, ecc.)
⢠quando i dati sono raccolti presso l'interessato
ď Aggiornamenti/modifiche/sostituzioni (ius variandi): necessariamente ri-
notificata agli interessati, che dovranno â se necessario â esprimere di
nuovo il consenso
ď NON comprende i dati giĂ noti allâinteressato (es. precedente informativa)
â NO informativa a ogni contatto
ď Clausola contrattuale di richiamo: NON è vessatoria ex art. 1341-1342 c.c.
21. Informativa (sintetica e colloquiale):
⢠gli scopi (per ogni trattamento
distinto, es. contrattuale,
promozionale, ecc.);
â NO indicazioni generiche;
⢠le modalità (cartacea, elettronica,
incrocio dati per profilazione, ecc.)
di trattamento;
⢠se l'interessato è obbligato o meno
a fornire i dati; quali sono le
conseguenze se i dati non vengono
forniti, a seconda dei distinti scopi;
⢠a chi e come possono essere
comunicati/divulgati/diffusi i dati
(interni ed esterni); sufficienti: a)
categorie soggetti altri titolari terzi;
b) ruolo incaricati e responsabili; c)
ambito di diffusione;
⢠chi sono il titolare e l'eventuale
responsabile del trattamento e
dove sono raggiungibili; anche il
rappresentante italiano se titolare
extra-UE;
⢠(in caso di raccolta presso terzi)
anche le categorie dei dati trattati;
⢠CASI PARTICOLARI: altre
informazioni (es. diritto di
opposizione nel caso di marketing
diretto) oppure semplificazioni (es.
PMI, videosorveglianza, banner
cookies);
22. Informativa (sintetica e colloquiale):
⢠quali sono i diritti riconosciuti
all'interessato (art. 7 CDP):
Es. âI soggetti cui si riferiscono i dati
personali hanno il diritto in qualunque
momento di ottenere la conferma
dell'esistenza o meno dei medesimi
dati e di conoscerne il contenuto e
l'origine, verificarne l'esattezza o
chiederne l'integrazione o
l'aggiornamento, oppure la
rettificazione (articolo 7 del codice in
materia di protezione dei dati personali).
Ai sensi del medesimo articolo si ha il
diritto di chiedere la cancellazione, la
trasformazione in forma anonima o il
blocco dei dati trattati in violazione di
legge, nonchĂŠ di opporsi in ogni caso,
per motivi legittimi, al loro trattamentoâ
⢠Se dati raccolti presso terzi (es.
archivi, albi pubblici, ecc.) â DOPPIA
informativa: 1) a chi li fornisce, al
momento della raccolta; 2)
allâinteressato, alla registrazione dei dati
o alla prima comunicazione ad altri terzi
(tranne che in casi di legge, ad es.
previsti dal Garante se manifesta
sproporzione con prescrizione di
eventuali misure compensative
adeguate)
24. Consenso
⢠= libera manifestazione di volontĂ dellâInteressato, con cui questi accetta
espressamente un determinato trattamento dei suoi dati personali
â preventiva informativa (salvo eccezioni di legge) da chi ha un potere
decisionale sul trattamento (= uno dei titolari)
Requisiti:
⢠Espresso (= NO implicito/tacito)
⢠Specifico del trattamento in esame â distinguendo a seconda delle varie
finalitĂ nelle fasi del trattamento; ad es. consenso obbligatorio (per eseguire un
contratto) da quello facoltativo (per invio di materiale promozionale, per i
contatti, per la newsletter)
â se muta una finalitĂ â va prestato nuovo consenso specifico
25. Consenso
⢠Libero:
consapevole e senza pressioni, raggiri, pratiche leganti, pre-compilazioni,
conseguenze negative significative;
con opzioni âAccetto ⥠Nego ⥠il consenso al trattamentoâ
⢠Scritto?
â documentato (annotato, trascritto, riportato dal titolare / responsabile /
incaricato del trattamento su un registro o un atto o un verbale) per
iscritto
es. trascrizione orale o avviso di conferma ricezione e-mail
â (in caso di dati sensibili) manifestato allâorigine (reso per iscritto)
29. Diritto di accesso
= necessaria procedura del titolare per dare riscontro agli interessati,
con accentramento della gestione nella figura del responsabile (se
presente)
⢠RICHIESTA:
a) di informazione: diritti ex art. 7.1, 7.2 CDP (= origine, finalitĂ ,
modalitĂ , criteri informatici di elaborazione, esistenza, comunicazione)
b) di intervento: diritti ex art. 7.3 CDP (= aggiornamento, rettifica,
blocco, cancellazione, integrazione, trasformazione anonima,
attestazione a terzi)
rivolta al titolare o al responsabile (anche tramite incaricato formato)
31. Misure di sicurezza
= tutti gli accorgimenti tecnici ed
organizzativi, i dispositivi
elettronici o i programmi
informatici utilizzati per garantirsi
contro i rischi, ovvero che:
ďź i dati trattati siano correttamente
custoditi e controllati
ďź i dati NON vadano distrutti o persi,
anche in modo accidentale
ďź solo le persone autorizzate
possano avere accesso ai dati
ďź NON siano effettuati trattamenti
contrari alla legge o diversi da
quelli per cui i dati erano stati
raccolti
⢠Distinzione delle misure di
sicurezza ai sensi del CDP:
a) MISURE MINIME = le misure di
sicurezza ai sensi dellâAllegato B al
CDP e dal CDP stesso (= artt. 31-
36 CDP + Allegato B)
b) MISURE IDONEE = le ulteriori
misure di sicurezza, previste dal
Garante oppure idonee a seconda
del progresso tecnologico
disponibile
33. A) Notifica al Garante
= comunicazione al Garante
⢠da parte del titolare del trattamento
⢠del trattamento di dati sensibili / âquasiâ sensibili nei casi ex CDP
⢠per uno o piÚ trattamenti con finalità correlate
⢠Telematica + firma digitale (anche attraverso soggetti autorizzati
convenzionati)
⢠Costo: ⏠150 per diritti di segreteria
⢠Si deve effettuare una tantum (â prima di dare inizio al trattamento)
â e prima della cessazione
⢠NON va ripetuta se non si modificano le caratteristiche del
trattamento â da modificare se cambiano ad es. le finalitĂ del
trattamento o cambia la ragione sociale del titolare
36. A) Notifica: art. 37 CDP + esenz. GDP n. 1/2004
GEOLOCALIZZAZIONE
= rilevamento della presenza in
determinati luoghi
⢠mediante reti di comunicazione
elettronica
⢠accessibili dal titolare
â da indicare in informativa al
trattamento
(es. registrazione di ingressi/uscite,
rilevazione di immagini/suoni,
lettura di carte elettroniche per
fornire beni o servizi, GPS, etichette
tracciamento RFID)
â da NOTIFICARE se:
1) permette lâindividuazione conti-
nuativa dellâubicazione
2) consente lâidentificazione (anche
indirettamente, attraverso appositi
codici)
TRANNE se (alternativamente):
â solo per fini di sicurezza del
trasporto
â rilevazione NON continuativa
37. B) Verifica preliminare del Garante
In caso di dati ÂŤquasiÂť sensibili:
⢠âil trattamento di dati diversi da quelli sensibili e giudiziari
⢠che presenta rischi specifici per i diritti e le libertà fondamentali,
nonchĂŠ per la dignitĂ dell'interessato,
⢠in relazione alla natura dei dati o alle modalità del trattamento o agli
effetti che può determinare,
⢠è ammesso nel rispetto di misure ed accorgimenti a garanzia
dellâinteressato,
⢠ove prescritti
⢠[âŚ] dal Garante [âŚ]
⢠nell'ambito di Una verifica preliminare all'inizio del trattamento,
â effettuata anche in relazione a determinate categorie di titolari o di trattamenti,
â anche a seguito di un interpello del titolare.â
38. C) Autorizzazione del Garante
= richiesta al Garante (che dunque dovrĂ autorizzare
espressamente)
â da parte del titolare del trattamento
â di dati sensibili / giudiziari
â (tranne nei casi delle Autorizzazioni generali del Garante)
⢠Costo: ⏠500 per diritti di segreteria (⏠150 in casi particolari)
⢠decisione del Garante entro 45 gg. (silenzio-rigetto)
â può prescrivere misure particolari
⢠Si deve effettuare prima del trattamento
⢠NO se si rientra in Autorizzazioni Generali GDP (v. 1/2014, 5/2014)
â da modificare se cambiano i caratteri del trattamento
â NOTIFICAZIONE (= segnalazione preventiva di trattamento, non
comporta replica)
39. Provv. GDP per rapp. lavoratori (4/10/2011)
GEOLOCALIZZAZIONE lecita se:
ďą motivazione chiara e comprensibile;
ďą identificato il software installato nel dispositivo mobile;
ďą il software deve permettere al dipendente di attivarlo e disattivarlo;
ďą app facilmente identificabile;
ďą app NON si avvia in automatico;
ďą lâinvio dei dati di localizzazione NON deve essere continuo - NO storicizzazione!;
ďą (consigliabile) canale criptato di trasmissione;
ďą gli addetti allâaccesso ai dati individuati ed autorizzati â elenco pubblicato di
questi addetti;
ďą tutte le attivitĂ di gestione del sistema: registrate, con accesso disciplinato
(bilanciamento degli interessi tra datore e dipendenti);
ďą ecc.
40. Working Party art. 29 (= tutti i GDP)
Designed by Evening_tao - Freepik.com
41. Pareri WP29 nn. 13/2011 e 2/2013
⢠Utente: se condivide dati tramite
unâapp (es. divulgando informazioni a
un numero indefinito di persone
mediante social network) â è
trattamento dati personali, diventa
titolare (perchÊ NON è solo uso
personale)
⢠Applicazione norme UE:
se almeno nominato Responsabile
uno dei soggetti coinvolti
+ nazionalitĂ UE o strumenti in
territorio UE del Responsabile/Titolare
ďDefinire i ruoli dei soggetti coinvolti, con
adempimenti relativi
Es. se app sfrutta GPS e geolocalizzazione
dellâOS â Soggetti coinvolti: infrastrutture
geolocalizzazione / sviluppatori OS / app
store / sviluppatore dellâapp / terzo =
Responsabile o Titolare
⢠INFORMATIVA e CONSENSO specifici per
la privacy PRE-installazione
⢠prevedere possibilità di negare e bloccare
lâinstallazione
⢠mancato intervento dellâutente nelle
impostazioni = NO consenso prestato
liberamente
⢠Avvertire costantemente della
geolocalizzazione in corso (es. icona)
42. Pareri WP29 nn. 13/2011 e 2/2013
⢠(Raccomandazione) rinnovo dei consensi dopo un adeguato
periodo di tempo - ricordare agli utenti il trattamento
⢠Meglio consenso granulare = distinto per ciascun tipo/categoria
di dati a cui la app vuole accedere
⢠Facile possibilitĂ tecnica per lâutente di cancellare definitivamente i
dati
⢠In caso di diritto dâaccesso: informazioni leggibili (es. localitĂ
geografiche, NO codici astratti) - NO richiesta di dati personali
aggiuntivi per identificare
⢠Data retention: entro le finalità dichiarate in informativa, poi
cancellazione / anonimizzazione definitiva (NO
pseudonimizzazione)
43. Pareri WP29 nn. 13/2011 e 2/2013
Es. un'applicazione fornisce informazioni
sui ristoranti nelle vicinanze
ď sviluppatore: per accedere ai dati
â chiedere consenso
separatamente (es. durante
l'installazione o prima di accedere
alla geolocalizzazione)
ď consenso specifico = limitato allo
scopo specifico
ď solo quando l'utente utilizza
l'applicazione a tale scopo â NO
raccogliere costantemente dati
sull'ubicazione dal dispositivo
ď può essere associato all'utilizzo di
icone, immagini, video e audio,
nonchĂŠ notifiche contestuali in
tempo reale quando lâapp accede
alla rubrica o alle foto
â icone significative (= chiare,
autoesplicative e inequivocabili)
â anche onere del produttore di OS
ď Se lo sviluppatore di applicazioni
consente l'accesso di terzi ai dati
dell'utente (es. una rete pubblicitaria
che accede ai dati per fornire
pubblicitĂ comportamentali)
â requisiti applicabili UE
44. Interludio: Privacy USA: tutto piĂš semplice?
Common
law:
precedente
giudiziario
Location
protection act
2014
Privacy bill
of rights act
2015
Consolidated
appropriations
act 2015
Geolocation
privacy and
surveillance
act
Online
communications
& geolocation
protection act
Cybersecurity
act 2012
46. Privacy 2.0 domani: GDPR e norme UE
⢠Regolamento 679/2016/UE (applicabile dal 25 maggio 2018) â
(GDPR - General Data Protection Regulation)
⢠Direttiva 2002/58/CE (già recepita in CDP) su fornitura di servizi di
comunicazione elettronica su reti pubbliche di comunicazione e
cookie law
⢠Provvedimenti Commissione UE, GDP, Comitato Europeo per la
protezione dei dati (certificazioni, linee guida, best practice, ecc.)
⢠Provvedimenti nazionali (norme, CCNL, CDP, GDP)?
â emanati, emanandi, con abrogazione implicita o espressaâŚ
⢠Direttiva 2016/1148/UE livello comune di sicurezza delle reti e dei
sistemi informativi UE (recepimento entro 9 maggio 2018)
47. Privacy 2.0 domani: GDPR e norme UE
DATO DI LOCALIZZAZIONE =
ď è dato personale
ď può essere dato âparticolareâ (= âsensibileâ ex CDP)
⢠Trattamento = automatizzato / dati in archivio o destinati ad archivio
⢠Archivio = insieme strutturato di dati personali accessibili secondo criteri
predeterminati
⢠Titolare = CONTROLLER
⢠Responsabile = PROCESSOR
⢠Interessato = DATA SUBJECT
⢠Destinatario = chi riceve comunicazione dei dati
⢠Autorizzato = âincaricatoâ ex CDP
⢠Profilazione = trattamento automatizzato per valutare aspetti personali
dellâinteressato (es. ubicazione)
48. Privacy 2.0 domani: Considerando (71) GDPR
⢠âL'interessato dovrebbe avere il
diritto di non essere sottoposto a
una decisione, che possa
includere una misura, che valuti
aspetti personali che lo
riguardano, che sia basata
unicamente su un trattamento
automatizzato e che produca
effetti giuridici che lo riguardano o
incida in modo analogo
significativamente sulla sua
persona, quali il rifiuto automatico
di una domanda di credito online o
pratiche di assunzione elettronica
senza interventi umani. Tale
trattamento comprende la
ÂŤprofilazioneÂť, che consiste in una
forma di trattamento automatizzato
dei dati personali che valuta aspetti
personali concernenti una persona
fisica, in particolare al fine di
analizzare o prevedere aspetti
riguardanti il rendimento
professionale, la situazione
economica, la salute, le preferenze
o gli interessi personali, l'affidabilitĂ
o il comportamento, l'ubicazione o
gli spostamenti dell'interessato,
ove ciò produca effetti giuridici che
la riguardano o incida in modo
analogo significativamente sulla sua
personaâ.
49. Privacy 2.0 domani: Considerando (71) GDPR
⢠âTuttavia, è opportuno che sia
consentito adottare decisioni sulla
base di tale trattamento, compresa
la profilazione, se ciò è
espressamente previsto dal diritto
dell'Unione o degli Stati membri cui è
soggetto il titolare del trattamento,
anche a fini di monitoraggio e
prevenzione delle frodi e dell'evasione
fiscale secondo i regolamenti, le
norme e le raccomandazioni delle
istituzioni dell'Unione o degli
organismi nazionali di vigilanza e a
garanzia della sicurezza e
dell'affidabilitĂ di un servizio fornito
dal titolare del trattamento, o se è
necessario per la conclusione o
l'esecuzione di un contratto tra
l'interessato e un titolare del
trattamento, o se l'interessato ha
espresso il proprio consenso
esplicito. In ogni caso, tale
trattamento dovrebbe essere
subordinato a garanzie adeguate,
che dovrebbero comprendere la
specifica informazione all'in-
teressato e il diritto di ottenere
l'intervento umano, di esprimere la
propria opinione, di ottenere una
spiegazione della decisione
conseguita dopo tale valutazione e
di contestare la decisione. Tale
misura non dovrebbe riguardare un
minoreâ.
50. Privacy 2.0 domani: Considerando (75) GDPR
⢠âI rischi per i diritti e le libertĂ delle
persone fisiche, aventi probabilitĂ e gravitĂ
diverse, possono derivare da trattamenti di
dati personali suscettibili di cagionare un
danno fisico, materiale o immateriale, in
particolare: se il trattamento può
comportare discriminazioni, furto o
usurpazione d'identitĂ , perdite finanziarie,
pregiudizio alla reputazione, perdita di
riservatezza dei dati personali protetti da
segreto professionale, decifratura non
autorizzata della pseudonimizzazione, o;
qualsiasi altro danno economico o
sociale significativo se gli interessati
rischiano di essere privati dei loro diritti e
delle loro libertĂ o venga loro impedito
l'esercizio del controllo sui dati personali
che li riguardano; se sono trattati dati
personali che rivelano l'origine razziale o
etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, l'appartenenza
sindacale, nonchĂŠ dati genetici, dati relativi
alla salute o i dati relativi alla vita sessuale
o a condanne penali e a reati o alle relative
misure di sicurezza; in caso di valutazione
di aspetti personali, in particolare mediante
l'analisi o la previsione di aspetti riguardanti
il rendimento professionale, la situazione
economica, la salute, le preferenze o gli
interessi personali, l'affidabilitĂ o il
comportamento, l'ubicazione o gli
spostamenti, al fine di creare o utilizzare
profili personali; se sono trattati dati
personali di persone fisiche vulnerabili, in
particolare minori; se il trattamento
riguarda una notevole quantitĂ di dati
personali e un vasto numero di
interessatiâ.
51. Privacy 2.0 domani: novitĂ (in pillole)
Valutazione del
rischio del
trattamento
Misure di sicurezza
adeguate al rischio
Audit Privacy by default
Privacy by design
Consultazione
preliminare al GDP
DPIA(Data
Protection Impact
Assessment)
Norme vincolanti
dâimpresa
Registri dei
trattamenti
Accountability
(responsabilizzazione)
Data breach DPO(Data
Protection Officer)
Codici etici e
certificazioni
PortabilitĂ dei dati
Diritto allâoblio /
cancellazione ...
52. Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
Responsabi-
lizzazione
(accountability)
Minimizzazione
Limitazione al
trattamento
Limitazione alla
conservazione
IntegritĂ e
riservatezza
Limitazione
delle finalitĂ
53. Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
ď§ Limitazione delle finalitĂ = scopi
determinati, espliciti e legittimi; NO
trattamenti incompatibili con finalitĂ
originarie
ď§ Minimizzazione = dati adeguati,
pertinenti e limitati strettamente alle
finalitĂ
ď§ Limitazione al trattamento = se
contestazione dellâinteressato, per il
periodo di accertamento
ď§ Limitazione alla conservazione =
data retention NON oltre le finalitĂ
ď§ IntegritĂ e riservatezza = idonee
misure di sicurezza
ď§ Responsabilizzazione (accoun-
tability) = titolare deve poter
comprovare rispetto dei principi
âş NO notifica GDP
âş NO autorizzazioni (generali o
preventive) GDP
âş NO verifica preliminare GP (dati
ÂŤquasiÂť sensibili)
ď§ Applicazione territoriale: a
CONTROLLER / PROCESSOR
stabilito in UE oppure NON stabilito
ma che riguarda interessati UE
54. Privacy 2.0: categorie âparticolariâ di dati
NO trattamento di tali dati personali (âsensibiliâ CDP + biometrici, genetici, di
salute) TRANNE SE:
ďą consenso esplicito per finalitĂ specifiche;
ďą necessario per assolvere obblighi e diritti in diritto del lavoro/sicurezza
sociale;
ďą tutela di un interesse vitale dellâinteressato o terzi se incapacitĂ
dellâinteressato al consenso;
ďą resi manifestamente pubblici dallâinteressato;
ďą per accertare / esercitare / difendere un diritto in sede giudiziaria;
ďą per fini di medicina preventiva/del lavoro, valutazione della capacitĂ
lavorativa del lavoratore, servizi sanitari o sociali, ecc.;
ďą archiviazione nel pubblico interesse, ricerca scientifica o storica o fini
statistici
ďą ecc.
55. Privacy 2.0: es. integrazione dellâinformativa
ďź Adatta al destinatario e al mezzo di comunicazione (v. minori)
ďź (Eventuali) legittimi interessi del titolare o terzi
ďź Data retention (se NON possibile: i criteri per determinarla)
ďź Diritto di revocare il consenso in qualsiasi momento
ďź Diritto di reclamo ad autoritĂ di controllo (GDP)
ďź (Se applicabile) lâintenzione del titolare di trasferire i dati a Paese
terzo â UE
ďź Se avviene processo decisionale automatizzato (es.
profilazione) + logica utilizzata + importanza e conseguenze del
trattamento
ďź (Se raccolti presso terzi): fonte da cui hanno origine i dati (anche
accessibili al pubblico)
ďź Ecc.
56. Privacy 2.0: consenso/legittimo interesse
LegittimitĂ del trattamento solo se:
ď§ Consenso dellâinteressato (libero, specifico, comprovabile da
parte del titolare, revocabile); oppure
ď§ Legittimo interesse del titolare (v. es. Considerando GDPR:
relazione pertinente e prevedibile tra interessato-titolare;
fine di prevenzione delle frodi; marketing diretto; sicurezza
delle reti e dellâinformazione (cybersecurity)
ď§ Possibile utilizzo dei dati per finalitĂ ulteriori ma solo se
compatibili con quelle iniziali o necessarie per queste
â valutazione caso per caso
57. Privacy 2.0: misure di sicurezza âadeguateâ
CONTROLLER e PROCESSOR:
misure di protezione tecniche +
legali + organizzative adeguate
per garantire un livello di sicurezza
adeguato al rischio, tenendo conto:
a) dello stato dell'arte e dei costi di
attuazione;
b) della natura, dell'oggetto, del
contesto e delle finalitĂ del
trattamento;
c) del rischio di varia probabilitĂ e
gravitĂ per i diritti e le libertĂ delle
persone fisiche.
Comprendono - tra le altre - se del
caso:
ďpseudonimizzazione / anonimizza-
zione + cifratura dei dati
personali/archivi;
ďassicurare su base permanente la
riservatezza, l'integritĂ , la disponibilitĂ
e la resilienza dei sistemi e dei servizi;
ďla capacitĂ di ripristinare
tempestivamente la disponibilitĂ e
l'accesso dei dati(data recovery);
ďuna procedura per testare, verificare
e valutare regolarmente l'efficacia
delle misure â (ex ante + ex post)
58. Privacy 2.0: by design & by default
⢠PRIVACY BY DEFAULT = rispetto del
GDPR come impostazione di base dalla
fase di informativa-consenso alla
raccolta del dato (ad es. in registrazione
a servizi, stipula di contratti) al suo
utilizzo â opt-in! â valutare: ammontare
di dati, lâestensione del trattamento,
data retention, lâaccessibilitĂ , ecc.
â App: lâinteressato deve attivare la
relativa funzione per avere
localizzazione
⢠PRIVACY BY DESIGN = rispetto del
GDPR deve essere considerato sin dalla
fase di progettazione di prodotti / servizi
(es. informatici/telematici);
â Se utilizzati prodotti/servizi altrui:
necessaria garanzia dal fornitore
Relative MISURE DI SICUREZZA:
âşMINIMIZZAZIONE (= uso dei dati
identificativi solo quando necessario â
v. pseudonimizzazione)
âşTRASPARENZA (es. informativa sempre
disponibile, garantire diritto di accesso)
âş FINALITĂ
âş ACCURATEZZA
âş AGGIORNAMENTO
âş DATA RETENTION (= conforme alle
finalitĂ )
âş INTERESSE PUBBLICO/LEGITTIMO
âş DPIA
Designed by Pressfoto- Freepik.com
59. Privacy 2.0: valutazione impatto privacy (DPIA)
Solo se il trattamento può presentare
un rischio elevato per i diritti e le
libertĂ delle persone fisiche (in
particolare se uso di nuove
tecnologie) / casi di legge
Considerati (in valutazione rischi):
ďź la natura
ďź il campo di applicazione
ďź il contesto
ďź le finalitĂ del trattamento
A cura del CONTROLLER,
chiedendo un parere al DPO
(se designato)
⢠Obbligatoria se:
a) valutazione sistematica e
globale di aspetti personali
relativi a persone fisiche, basata
sul trattamento automatizzato
(compresa la profilazione) e da cui
discendono decisioni che hanno
effetti giuridici o incidono allo
stesso modo significativamente
su dette persone fisiche;
b) su larga scala, trattamento di dati
sanitari / giudiziari;
c) su larga scala, la sorveglianza
sistematica di una zona
accessibile al pubblico
60. Privacy 2.0: contenuto DPIA
ďą descrizione sistematica dei
trattamenti previsti e delle
finalitĂ del trattamento;
ďą valutazione della necessitĂ e
proporzionalitĂ ;
ďą una valutazione dei rischi per i
diritti e le libertĂ degli
interessati;
ďą le misure previste per
affrontare i rischi
ďą CONSULTAZIONE
PREVENTIVA (PRIMA di
procedere al trattamento) = al
GDP se DPIA indica un rischio
elevato in assenza di misure
adottate dal CONTROLLER per
attenuare il rischio;
â l'autoritĂ di controllo (entro
un periodo di 8 settimane dalla
richiesta - prorogabile), se
ritiene che il trattamento NON
sia conforme a GDPR â
fornisce una consulenza per
iscritto al CONTROLLER
61. Privacy 2.0: registro dei trattamenti
Ogni CONTROLLER / suo
rappresentante tiene un
registro delle attivitĂ di
trattamento svolte sotto la
propria responsabilitĂ â
contiene, tra lâaltro, le seguenti
informazioni ad es.:
ďź il nome e i dati di contatto del
CONTROLLER e (ove
applicabile) del contitolare, del
PROCESSOR e del DPO;
ďź le finalitĂ del trattamento;
ďźuna descrizione delle categorie
di interessati e delle categorie di
dati personali;
ďźle categorie di destinatari a cui i
dati personali sono stati o
saranno comunicati;
ďź(ove applicabile) i trasferimenti
di dati personali verso un Paese
terzo;
ďź(ove possibile) i termini ultimi
previsti per la cancellazione
delle diverse categorie di dati;
ďźecc.
62. Privacy 2.0: portabilitĂ dei dati
= interessato ha diritto a ricevere i suoi dati:
⢠in formato strutturato
⢠di uso comune
⢠leggibili da dispositivo automatico
ďą SOLO SE (alternativamente):
a) trattamento basato su consenso / lâesecuzione di contratto
b) trattamento con mezzi automatizzati
ďą Diretta trasmissione da titolare a titolare, se: richiesto dallâinteressato +
tecnicamente fattibile
ďą NO lesione del diritto di terzi (= NO dati di terzi associati a quelli del
richiedente)
63. Privacy 2.0: art. 22 GDPR
NO decisione sullâinteressato basata unicamente sul trattamento
automatizzato â compresa la profilazione â che:
ď§ produca effetti giuridici;
ď§ incida significativamente sulla persona
TRANNE SE:
a) decisione necessaria per conclusione / esecuzione del contratto;
b) decisione autorizzata dalla legge (nazionale/UE);
c) consenso esplicito dellâinteressato
â nec. titolare attui misure appropriate per tutelare i legittimi interessi
dellâinteressato
â se dati âparticolariâ: sĂŹ solo se consenso esplicito / interesse pubblico
rilevante
64. Es. audit per il titolare del geotagging
ďą FinalitĂ : uso dei dati appropriato?
ďą Minimizzazione: il dato necessario
è ridotto al minimo indispensabile?
ďą Controllo dellâutente: privacy by
default? PossibilitĂ dellâutente di
cambiare settaggi? Quali dati
lâutente fornisce direttamente e quali
no? Lâutente sa quali dati sono
trattati e può monitorare il log? Può
sempre interpellare il titolare per
ogni esigenza, con procedure di
accesso prestabilite?
ďą Informativa: lâutente ha avuto e ha
sempre accesso alle chiare
condizioni di trattamento?
ďą Consenso: è richiesto
specificamente, granularmente? è
adottato lâopt-in? Può sempre
essere revocato?
ďą Terzi: le informazioni sono
comunicate a terzi? In che modo e
perchĂŠ? Lâutente ne ha
cognizione?
ďą Data retention: adottate marche
temporali ai dati per poter
cancellare/anonimizzare i dati al
termine? Esplicitata in informativa?
ďą Aggregazione dati: è facilitata dal
trattamento? Può creare degli
identificatori persistenti?
65. Riflessioni finali per affrontare il geotagging
ď Rapporti con i terzi â utilizzo o licenza/cessione di dati dalla
geolocalizzazione o con cui ottenerla â a cura del titolare
ď Condizioni contrattuali & informativa privacy â
consapevolezza, informazione, rapporti con lâutente â a cura
del titolare
ď Privacy settings â a cura dellâutente + a cura del titolare
(privacy by design & default)
ď Condivisione ragionata (es. profilo pubblico social network)
â a cura dellâutente
â Per il titolare: censimento dati trattati - revisione
informative/procedure interne â formazione personale â
trasparenza verso lâutente
68. Grazie per lâattenzione
Avv. Andrea Michinelli
Studio Legale dâAmmassa & Associati
Avv. Stefano Ricci
Studio Legale Meda Preti Ricci
Bologna - Milano
tel 051/9841927 â 02/48014829
fax 02/700504722
mail a.michinelli@dammassa.com
Milano - viale Bianca Maria n. 21
tel 02/87064410 - fax 02/87064416
mail stefano.ricci@mpravvocati.com