La gestione dei dati personali nel geotagging: profili privacy presenti e futuri

1. La gestione dei dati personali
nel GeoTagging: profili
privacy presenti e futuri
Avv. Andrea Michinelli – Studio legale d’Ammassa &
Associati
Avv. Stefano Ricci – Studio legale Meda Preti Ricci
Milano - 27 ottobre 2016

2. Perché ci interessa

3. Perché ci interessa

4. Perché ci interessa

5. Perché ci interessa

6. Cercando una definizione…
Designed by Freepik

7. Cercando una definizione…
 Geolocalizzazione = deter-
minazione (anche approssimativa)
dell’ubicazione spaziale di una
persona fisica (es. indirizzo,
nome/immagine di un luogo,
latitudine & longitudine, altitudine,
velocità, ecc.), anche tramite oggetti
a essa riconducibili – tracciamento /
posizionamento
 Geotagging = geolocalizzazione
mediante abbinamento di
determinati dati/contenuti (foto,
video, siti web, messaggi, tweet,
ecc.) a un’etichetta informatica con
dati geografici (come metadata del
file, nelle proprietà dello stesso)
SCOPI
• per scopi personali / commerciali /
lavoro → es. sharing via social
network
• per finalità di ricerca e
organizzazione archivi → perlopiù a
opera degli stessi utenti o dei loro
dispositivi
• per finalità di profilazione
commerciale → perlopiù a opera dei
fornitori di hardware & software o dei
loro dispositivi
• per il rispetto di legge e contratti →
a opera dei titolari/fornitori di servizi
onde garantire la fruizione dei diritti
licenziati nei soli territori concessi

8. Da dove?
DATI GENERABILI:
a) automaticamente dal dispositivo, sulla base di funzioni predeterminate
dal produttore del OS e/o dispositivo o dal relativo fornitore di telefonia
mobile (es. dati di geolocalizzazione, impostazioni di rete, indirizzo IP) –
IoT (Internet of Things!);
b) dall'utente volontariamente mediante app (liste di contatti, appunti, foto),
inserimento manuale;
c) dalla app mediante il suo funzionamento (ad es. cronologia di
navigazione)
d) da terzi mediante incrocio di più dati
ACCESSIBILI anche da terzi (per es. una rete pubblicitaria che accede ai
dati di geolocalizzazione del dispositivo per fornire pubblicità
comportamentali)

9. Cosa rischia l’interessato
► Localizzazione “occulta” di persone/cose
► Combinazione di pochi dati di geolocalizzazione con altri (big
data), oltre che con servizi di più parti
► Maggiore disponibilità nel mercato di geo-search (v.
cybercasing = uso di strumenti online per ricavare dati di
localizzazione)
► Metadata sempre più disponibili in social network
► Privacy paradox = gli utenti, se interpellati, manifestano
grande preoccupazione per la propria privacy ma attuano
poco o nulla per contrastarla (contraddizione)

10. Players
a) Sviluppatori OS
b) API per accesso a contenuti geo: Flickr, YouTube, Twitter, Craiglist
→ dunque disponibilità dei dati anche a sviluppatori terzi
c) Servizi location-based: servizi forniti sulla base dell’attuale
localizzazione dell’utente (es. Google maps) da parte di terzi
d) Portali Internet
v. Google+, Yahoo!, Foursquare, Yowza!!, SimpleGeo, Instagram,
Facebook, Twitter, Flickr…
• YouTube: estrae di default geo-info dai video caricati, richiede opt-out;
Flickr: richiede opt-in esplicito
• iPhone Apple: di default geotaggava foto e video realizzati, richiedeva opt-
out; Android: richiede opt-in
Designed by Freepik

11. Strumenti di geolocalizzazione
 GPS (Global Positioning System) =
segmenti spaziali (satellite) +
controllo (dispositivi terrestri) +
azione utente; GNSS; AGPS; ecc.
 Triangolazione celle telefono mobile
/ hotspot Wifi (→ incrocio dati su
intensità segnale con hotspot noti –
ogni hotspot segnala proprio MAC
address e nome di rete)
 Incrocio di dati, inferenza (es.
comparazione immagine con quella
di Google StreetView),
crowdsourcing
 Hardware & software in genere (es.
browser, etichette RFID,
comunicazioni NFC - M2M - IMES,
Bluetooth – ultrasonic beacon, ecc.)
 Formato EXIF (specifico per foto di
fotocamere digitali, file in formato
JPEG, TIFF, RIFF, ecc.),
registrazioni, software editing (es.
foto) → possono lasciare
thumbnails dell’immagine o file
originario (EXIF, Word, Pdf, ecc.)
→ si trovano metadata EXIF in blog
e siti web!
IDENTIFICAZIONE: può essere
immediata o successiva alla raccolta
del dato (es. incrocio marca
temporale con log di un ricevitore
GPS, ecc.)

12. Privacy oggi
FONTI (principali)
• Codice Della Privacy (CDP) - D.Lgs. 196/2003 (v. Allegati: codici deontologici,
misure minime di sicurezza) dalla Direttiva 95/46/UE
• Provvedimenti Garante Della Privacy (GDP) (es. autorizzazioni generali, linee
guida, vademecum, ecc.) e del Gruppo di lavoro art. 29 (WP 29)
DATO DI LOCALIZZAZIONE:
 è un dato personale
 può essere dato sensibile (può rivelare stato salute, orientamenti sessuali,
religiosi, politici, ecc.) – es. visite in ospedale, luogo di culto, sindacati, partiti,
ecc. → consenso scritto + notifica Garante + autorizzazione preventiva del
Garante (tranne casi predeterminati in autorizzazioni generali)
 può essere dato “quasi” sensibile = presenta rischi per diritti, libertà e dignità
dell’interessato (a seconda della natura del dato, della modalità e degli effetti del
trattamento) → rispetto di misure a tutela dell’interessato, se prescritte dal
Garante + interpello di verifica preventiva al Garante

13. Privacy Italia/UE: concetti di base (in pillole)
◊ Dato personale = dato di una persona
fisica identificata/identificabile (anche in
correlazione con altri dati) – es. email,
immagine, numero di telefono, indirizzo
IP, ecc. → ubicazione!
◊ Trattamento = qualsiasi operazione
compiuta con il dato personale – es.
raccolta, modifica, incrocio,
cancellazione, ecc.
◊ Interessato = persona fisica a cui si
riferisce il dato personale
◊ Titolare = persona fisica/giuridica che
decide circa il trattamento dei dati
◊ Responsabile = persona fisica/giuridica
nominata dal Titolare per compiere
determinati trattamento in suo conto
◊ Informativa = informazioni (previe) sul
trattamento all’interessato
◊ Consenso = assenso (informato) al
trattamento dei dati dell’interessato
◊ Misure di sicurezza = misure tecnico-
organizzative adottate dal titolare per la
tutela del trattamento – minime Allegato
B CDP (sistemi di autenticazione,
autorizzazione, liste di incaricati,
aggiornamenti software, backup,
antivirus, gestione supporti, certificazioni
di fornitori, misure per trattamenti
cartacei, ecc.) + eventuali misure
adeguate ulteriori (v. provv. Garante)
(v. anche Guidelines ENISA, es. per app
developers 2011)

14. Privacy: principi di base

15. Privacy: principi di base (in pillole)
a) Necessità = configurazione dei
sistemi informativi e informatici
riducendo al minimo l’utilizzazione di
dati personali, così da escludere il
trattamento se le finalità possono
essere perseguite mediante dati
anonimi o identificando l’interessato
solo in caso di necessità
b) Finalità (pertinenza e non
eccedenza) = dati raccolti e registrati
per scopi: determinati (devono
esserci degli scopi), espliciti
(informazione all’interessato),
legittimi, coerenti con i presupposti
della raccolta
c) Legittimità (correttezza, traspa-
renza) = i dati personali trattati in
violazione della disciplina rilevante
in materia di trattamento dei dati
personali NON possono essere
utilizzati; è necessaria base
giuridica a supporto del rapporto
d) Proporzionalità = modalità di
trattamento e dati: pertinenti (alle
funzioni derivanti dall’attività
svolta), completi, NON eccedenti le
finalità (qualitativamente e
quantitativamente); → termine
temporale: una volta perseguite
tali finalità, NON conservare più i
dati → anonimizzazione o
cancellazione

16. Dato “quasi” sensibile
= dato personale che presenta rischi per i diritti, le libertà e la
dignità dell’interessato
• secondo la natura dei dati, la modalità di trattamento, gli effetti
del trattamento
→ categoria aperta, a valutazione del Garante
(es. lesione diritti d’immagine, provvedimenti disciplinari, assistenza
sociale, sondaggi d’opinione, dati biometrici, dati finanziari della
centrale rischi, situazione economica-finanziaria)
→ è necessario il rispetto di misure a garanzia dell’interessato, se
prescritte dal Garante
→ (art. 17 CDP) interpello di VERIFICA PREVENTIVA al GDP

17. Dato di ubicazione (Dir. 2002/58/CE in art. 126 CDP)
= trattato da una rete comunicazione
elettronica che indichi (anche
potenzialmente) la posizione
geografica del terminale dell’utente di
un servizio di comunicazione
elettronica accessibile al pubblico
(=trasmissione di segnali su reti)
ADEMPIMENTI:
• Consenso dell’utente /
anonimizzazione dati per quanto
necessario alla fornitura del
servizio a valore aggiunto
• Informativa ad hoc sui dati di
ubicazione: natura dei dati, scopi,
data retention, se trasmissione a
terzi, categorie di incaricati che
verranno a conoscenza dei dati
• Sempre disponibile (gratuitamente)
la facile possibilità tecnica di
revocare il consenso / chiedere la
disattivazione temporanea del
servizio
• Misure di sicurezza appropriate ai
servizi, garantendo la protezione
contro: la distruzione anche
accidentale, la perdita o alterazione
anche accidentale e la
archiviazione, il trattamento,
l’accesso o la divulgazione non
autorizzati o illeciti

18. Responsabile del trattamento
= la persona fisica o giuridica (la società, l'ente, l'associazione,
l'organismo, ecc.) cui il titolare affida (→ interagisce con interessati
e GDP) compiti di gestione e controllo del trattamento dei dati,
per esperienza, capacità, affidabilità (→ verifica preventiva, NO
automatismi)
• fornendo idonea garanzia del pieno rispetto
– della normativa in materia di dati personali e
– della sicurezza dei dati
• attenendosi alle istruzioni (anche orali) impartite dal titolare
→ lettera di incarico con compiti analiticamente distinti e accettati

19. Informativa al trattamento

20. Informativa al trattamento
= le informazioni (= dichiarazione) che il titolare/responsabile del
trattamento
• deve fornire PREVIAMENTE (salvo ambito sanitario)
– verbalmente (→ problemi probatori…)
– o per iscritto (→ anche in clausole o allegati contrattuali,
pubblicazione sul web accessibile con un solo click in home page, ecc.)
• quando i dati sono raccolti presso l'interessato
 Aggiornamenti/modifiche/sostituzioni (ius variandi): necessariamente ri-
notificata agli interessati, che dovranno – se necessario – esprimere di
nuovo il consenso
 NON comprende i dati già noti all’interessato (es. precedente informativa)
→ NO informativa a ogni contatto
 Clausola contrattuale di richiamo: NON è vessatoria ex art. 1341-1342 c.c.

21. Informativa (sintetica e colloquiale):
• gli scopi (per ogni trattamento
distinto, es. contrattuale,
promozionale, ecc.);
→ NO indicazioni generiche;
• le modalità (cartacea, elettronica,
incrocio dati per profilazione, ecc.)
di trattamento;
• se l'interessato è obbligato o meno
a fornire i dati; quali sono le
conseguenze se i dati non vengono
forniti, a seconda dei distinti scopi;
• a chi e come possono essere
comunicati/divulgati/diffusi i dati
(interni ed esterni); sufficienti: a)
categorie soggetti altri titolari terzi;
b) ruolo incaricati e responsabili; c)
ambito di diffusione;
• chi sono il titolare e l'eventuale
responsabile del trattamento e
dove sono raggiungibili; anche il
rappresentante italiano se titolare
extra-UE;
• (in caso di raccolta presso terzi)
anche le categorie dei dati trattati;
• CASI PARTICOLARI: altre
informazioni (es. diritto di
opposizione nel caso di marketing
diretto) oppure semplificazioni (es.
PMI, videosorveglianza, banner
cookies);

22. Informativa (sintetica e colloquiale):
• quali sono i diritti riconosciuti
all'interessato (art. 7 CDP):
Es. “I soggetti cui si riferiscono i dati
personali hanno il diritto in qualunque
momento di ottenere la conferma
dell'esistenza o meno dei medesimi
dati e di conoscerne il contenuto e
l'origine, verificarne l'esattezza o
chiederne l'integrazione o
l'aggiornamento, oppure la
rettificazione (articolo 7 del codice in
materia di protezione dei dati personali).
Ai sensi del medesimo articolo si ha il
diritto di chiedere la cancellazione, la
trasformazione in forma anonima o il
blocco dei dati trattati in violazione di
legge, nonché di opporsi in ogni caso,
per motivi legittimi, al loro trattamento”
• Se dati raccolti presso terzi (es.
archivi, albi pubblici, ecc.) → DOPPIA
informativa: 1) a chi li fornisce, al
momento della raccolta; 2)
all’interessato, alla registrazione dei dati
o alla prima comunicazione ad altri terzi
(tranne che in casi di legge, ad es.
previsti dal Garante se manifesta
sproporzione con prescrizione di
eventuali misure compensative
adeguate)

23. Consenso
Designed by Freepik

24. Consenso
• = libera manifestazione di volontà dell‘Interessato, con cui questi accetta
espressamente un determinato trattamento dei suoi dati personali
→ preventiva informativa (salvo eccezioni di legge) da chi ha un potere
decisionale sul trattamento (= uno dei titolari)
Requisiti:
• Espresso (= NO implicito/tacito)
• Specifico del trattamento in esame – distinguendo a seconda delle varie
finalità nelle fasi del trattamento; ad es. consenso obbligatorio (per eseguire un
contratto) da quello facoltativo (per invio di materiale promozionale, per i
contatti, per la newsletter)
→ se muta una finalità → va prestato nuovo consenso specifico

25. Consenso
• Libero:
consapevole e senza pressioni, raggiri, pratiche leganti, pre-compilazioni,
conseguenze negative significative;
con opzioni “Accetto □ Nego □ il consenso al trattamento”
• Scritto?
– documentato (annotato, trascritto, riportato dal titolare / responsabile /
incaricato del trattamento su un registro o un atto o un verbale) per
iscritto
es. trascrizione orale o avviso di conferma ricezione e-mail
– (in caso di dati sensibili) manifestato all’origine (reso per iscritto)

26. Consenso

27. Corretta scansione degli adempimenti

28. Diritto di accesso
Designed by Kjpargeter - Freepik.com

29. Diritto di accesso
= necessaria procedura del titolare per dare riscontro agli interessati,
con accentramento della gestione nella figura del responsabile (se
presente)
• RICHIESTA:
a) di informazione: diritti ex art. 7.1, 7.2 CDP (= origine, finalità,
modalità, criteri informatici di elaborazione, esistenza, comunicazione)
b) di intervento: diritti ex art. 7.3 CDP (= aggiornamento, rettifica,
blocco, cancellazione, integrazione, trasformazione anonima,
attestazione a terzi)
rivolta al titolare o al responsabile (anche tramite incaricato formato)

30. Misure di sicurezza
Designed by Freepik

31. Misure di sicurezza
= tutti gli accorgimenti tecnici ed
organizzativi, i dispositivi
elettronici o i programmi
informatici utilizzati per garantirsi
contro i rischi, ovvero che:
 i dati trattati siano correttamente
custoditi e controllati
 i dati NON vadano distrutti o persi,
anche in modo accidentale
 solo le persone autorizzate
possano avere accesso ai dati
 NON siano effettuati trattamenti
contrari alla legge o diversi da
quelli per cui i dati erano stati
raccolti
• Distinzione delle misure di
sicurezza ai sensi del CDP:
a) MISURE MINIME = le misure di
sicurezza ai sensi dell’Allegato B al
CDP e dal CDP stesso (= artt. 31-
36 CDP + Allegato B)
b) MISURE IDONEE = le ulteriori
misure di sicurezza, previste dal
Garante oppure idonee a seconda
del progresso tecnologico
disponibile

32. GDP (http://www.garanteprivacy.it)

33. A) Notifica al Garante
= comunicazione al Garante
• da parte del titolare del trattamento
• del trattamento di dati sensibili / “quasi” sensibili nei casi ex CDP
• per uno o più trattamenti con finalità correlate
• Telematica + firma digitale (anche attraverso soggetti autorizzati
convenzionati)
• Costo: € 150 per diritti di segreteria
• Si deve effettuare una tantum (→ prima di dare inizio al trattamento)
→ e prima della cessazione
• NON va ripetuta se non si modificano le caratteristiche del
trattamento → da modificare se cambiano ad es. le finalità del
trattamento o cambia la ragione sociale del titolare

34. A) Notifica al Garante (esempio casistica)

35. A) Notifica al Garante (modulistica)

36. A) Notifica: art. 37 CDP + esenz. GDP n. 1/2004
GEOLOCALIZZAZIONE
= rilevamento della presenza in
determinati luoghi
• mediante reti di comunicazione
elettronica
• accessibili dal titolare
→ da indicare in informativa al
trattamento
(es. registrazione di ingressi/uscite,
rilevazione di immagini/suoni,
lettura di carte elettroniche per
fornire beni o servizi, GPS, etichette
tracciamento RFID)
→ da NOTIFICARE se:
1) permette l’individuazione conti-
nuativa dell’ubicazione
2) consente l’identificazione (anche
indirettamente, attraverso appositi
codici)
TRANNE se (alternativamente):
– solo per fini di sicurezza del
trasporto
– rilevazione NON continuativa

37. B) Verifica preliminare del Garante
In caso di dati «quasi» sensibili:
• “il trattamento di dati diversi da quelli sensibili e giudiziari
• che presenta rischi specifici per i diritti e le libertà fondamentali,
nonché per la dignità dell'interessato,
• in relazione alla natura dei dati o alle modalità del trattamento o agli
effetti che può determinare,
• è ammesso nel rispetto di misure ed accorgimenti a garanzia
dell’interessato,
• ove prescritti
• […] dal Garante […]
• nell'ambito di Una verifica preliminare all'inizio del trattamento,
– effettuata anche in relazione a determinate categorie di titolari o di trattamenti,
– anche a seguito di un interpello del titolare.”

38. C) Autorizzazione del Garante
= richiesta al Garante (che dunque dovrà autorizzare
espressamente)
– da parte del titolare del trattamento
– di dati sensibili / giudiziari
– (tranne nei casi delle Autorizzazioni generali del Garante)
• Costo: € 500 per diritti di segreteria (€ 150 in casi particolari)
• decisione del Garante entro 45 gg. (silenzio-rigetto)
→ può prescrivere misure particolari
• Si deve effettuare prima del trattamento
• NO se si rientra in Autorizzazioni Generali GDP (v. 1/2014, 5/2014)
→ da modificare se cambiano i caratteri del trattamento
≠ NOTIFICAZIONE (= segnalazione preventiva di trattamento, non
comporta replica)

39. Provv. GDP per rapp. lavoratori (4/10/2011)
GEOLOCALIZZAZIONE lecita se:
 motivazione chiara e comprensibile;
 identificato il software installato nel dispositivo mobile;
 il software deve permettere al dipendente di attivarlo e disattivarlo;
 app facilmente identificabile;
 app NON si avvia in automatico;
 l’invio dei dati di localizzazione NON deve essere continuo - NO storicizzazione!;
 (consigliabile) canale criptato di trasmissione;
 gli addetti all’accesso ai dati individuati ed autorizzati → elenco pubblicato di
questi addetti;
 tutte le attività di gestione del sistema: registrate, con accesso disciplinato
(bilanciamento degli interessi tra datore e dipendenti);
 ecc.

40. Working Party art. 29 (= tutti i GDP)
Designed by Evening_tao - Freepik.com

41. Pareri WP29 nn. 13/2011 e 2/2013
• Utente: se condivide dati tramite
un’app (es. divulgando informazioni a
un numero indefinito di persone
mediante social network) → è
trattamento dati personali, diventa
titolare (perché NON è solo uso
personale)
• Applicazione norme UE:
se almeno nominato Responsabile
uno dei soggetti coinvolti
+ nazionalità UE o strumenti in
territorio UE del Responsabile/Titolare
Definire i ruoli dei soggetti coinvolti, con
adempimenti relativi
Es. se app sfrutta GPS e geolocalizzazione
dell’OS → Soggetti coinvolti: infrastrutture
geolocalizzazione / sviluppatori OS / app
store / sviluppatore dell’app / terzo =
Responsabile o Titolare
• INFORMATIVA e CONSENSO specifici per
la privacy PRE-installazione
• prevedere possibilità di negare e bloccare
l’installazione
• mancato intervento dell’utente nelle
impostazioni = NO consenso prestato
liberamente
• Avvertire costantemente della
geolocalizzazione in corso (es. icona)

42. Pareri WP29 nn. 13/2011 e 2/2013
• (Raccomandazione) rinnovo dei consensi dopo un adeguato
periodo di tempo - ricordare agli utenti il trattamento
• Meglio consenso «granulare» = distinto per ciascun tipo/categoria
di dati a cui la app vuole accedere
• Facile possibilità tecnica per l’utente di cancellare definitivamente i
dati
• In caso di diritto d’accesso: informazioni leggibili (es. località
geografiche, NO codici astratti) - NO richiesta di dati personali
aggiuntivi per identificare
• Data retention: entro le finalità dichiarate in informativa, poi
cancellazione / anonimizzazione definitiva (NO
pseudonimizzazione)

43. Pareri WP29 nn. 13/2011 e 2/2013
Es. un'applicazione fornisce informazioni
sui ristoranti nelle vicinanze
 sviluppatore: per accedere ai dati
→ chiedere consenso
separatamente (es. durante
l'installazione o prima di accedere
alla geolocalizzazione)
 consenso specifico = limitato allo
scopo specifico
 solo quando l'utente utilizza
l'applicazione a tale scopo → NO
raccogliere costantemente dati
sull'ubicazione dal dispositivo
 può essere associato all'utilizzo di
icone, immagini, video e audio,
nonché notifiche contestuali in
tempo reale quando l’app accede
alla rubrica o alle foto
→ icone significative (= chiare,
autoesplicative e inequivocabili)
→ anche onere del produttore di OS
 Se lo sviluppatore di applicazioni
consente l'accesso di terzi ai dati
dell'utente (es. una rete pubblicitaria
che accede ai dati per fornire
pubblicità comportamentali)
→ requisiti applicabili UE

44. Interludio: Privacy USA: tutto più semplice?
Common
law:
precedente
giudiziario
Location
protection act
2014
Privacy bill
of rights act
2015
Consolidated
appropriations
act 2015
Geolocation
privacy and
surveillance
act
Online
communications
& geolocation
protection act
Cybersecurity
act 2012

45. Privacy 2.0 domani: GDPR e norme UE
Designed by Creativeart - Freepik.com

46. Privacy 2.0 domani: GDPR e norme UE
• Regolamento 679/2016/UE (applicabile dal 25 maggio 2018) –
(GDPR - General Data Protection Regulation)
• Direttiva 2002/58/CE (già recepita in CDP) su fornitura di servizi di
comunicazione elettronica su reti pubbliche di comunicazione e
cookie law
• Provvedimenti Commissione UE, GDP, Comitato Europeo per la
protezione dei dati (certificazioni, linee guida, best practice, ecc.)
• Provvedimenti nazionali (norme, CCNL, CDP, GDP)?
→ emanati, emanandi, con abrogazione implicita o espressa…
• Direttiva 2016/1148/UE livello comune di sicurezza delle reti e dei
sistemi informativi UE (recepimento entro 9 maggio 2018)

47. Privacy 2.0 domani: GDPR e norme UE
DATO DI LOCALIZZAZIONE =
 è dato personale
 può essere dato “particolare” (= “sensibile” ex CDP)
• Trattamento = automatizzato / dati in archivio o destinati ad archivio
• Archivio = insieme strutturato di dati personali accessibili secondo criteri
predeterminati
• Titolare = CONTROLLER
• Responsabile = PROCESSOR
• Interessato = DATA SUBJECT
• Destinatario = chi riceve comunicazione dei dati
• Autorizzato = “incaricato” ex CDP
• Profilazione = trattamento automatizzato per valutare aspetti personali
dell’interessato (es. ubicazione)

48. Privacy 2.0 domani: Considerando (71) GDPR
• “L'interessato dovrebbe avere il
diritto di non essere sottoposto a
una decisione, che possa
includere una misura, che valuti
aspetti personali che lo
riguardano, che sia basata
unicamente su un trattamento
automatizzato e che produca
effetti giuridici che lo riguardano o
incida in modo analogo
significativamente sulla sua
persona, quali il rifiuto automatico
di una domanda di credito online o
pratiche di assunzione elettronica
senza interventi umani. Tale
trattamento comprende la
«profilazione», che consiste in una
forma di trattamento automatizzato
dei dati personali che valuta aspetti
personali concernenti una persona
fisica, in particolare al fine di
analizzare o prevedere aspetti
riguardanti il rendimento
professionale, la situazione
economica, la salute, le preferenze
o gli interessi personali, l'affidabilità
o il comportamento, l'ubicazione o
gli spostamenti dell'interessato,
ove ciò produca effetti giuridici che
la riguardano o incida in modo
analogo significativamente sulla sua
persona”.

49. Privacy 2.0 domani: Considerando (71) GDPR
• “Tuttavia, è opportuno che sia
consentito adottare decisioni sulla
base di tale trattamento, compresa
la profilazione, se ciò è
espressamente previsto dal diritto
dell'Unione o degli Stati membri cui è
soggetto il titolare del trattamento,
anche a fini di monitoraggio e
prevenzione delle frodi e dell'evasione
fiscale secondo i regolamenti, le
norme e le raccomandazioni delle
istituzioni dell'Unione o degli
organismi nazionali di vigilanza e a
garanzia della sicurezza e
dell'affidabilità di un servizio fornito
dal titolare del trattamento, o se è
necessario per la conclusione o
l'esecuzione di un contratto tra
l'interessato e un titolare del
trattamento, o se l'interessato ha
espresso il proprio consenso
esplicito. In ogni caso, tale
trattamento dovrebbe essere
subordinato a garanzie adeguate,
che dovrebbero comprendere la
specifica informazione all'in-
teressato e il diritto di ottenere
l'intervento umano, di esprimere la
propria opinione, di ottenere una
spiegazione della decisione
conseguita dopo tale valutazione e
di contestare la decisione. Tale
misura non dovrebbe riguardare un
minore”.

50. Privacy 2.0 domani: Considerando (75) GDPR
• “I rischi per i diritti e le libertà delle
persone fisiche, aventi probabilità e gravità
diverse, possono derivare da trattamenti di
dati personali suscettibili di cagionare un
danno fisico, materiale o immateriale, in
particolare: se il trattamento può
comportare discriminazioni, furto o
usurpazione d'identità, perdite finanziarie,
pregiudizio alla reputazione, perdita di
riservatezza dei dati personali protetti da
segreto professionale, decifratura non
autorizzata della pseudonimizzazione, o;
qualsiasi altro danno economico o
sociale significativo se gli interessati
rischiano di essere privati dei loro diritti e
delle loro libertà o venga loro impedito
l'esercizio del controllo sui dati personali
che li riguardano; se sono trattati dati
personali che rivelano l'origine razziale o
etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, l'appartenenza
sindacale, nonché dati genetici, dati relativi
alla salute o i dati relativi alla vita sessuale
o a condanne penali e a reati o alle relative
misure di sicurezza; in caso di valutazione
di aspetti personali, in particolare mediante
l'analisi o la previsione di aspetti riguardanti
il rendimento professionale, la situazione
economica, la salute, le preferenze o gli
interessi personali, l'affidabilità o il
comportamento, l'ubicazione o gli
spostamenti, al fine di creare o utilizzare
profili personali; se sono trattati dati
personali di persone fisiche vulnerabili, in
particolare minori; se il trattamento
riguarda una notevole quantità di dati
personali e un vasto numero di
interessati”.

51. Privacy 2.0 domani: novità (in pillole)
Valutazione del
rischio del
trattamento
Misure di sicurezza
adeguate al rischio
Audit Privacy by default
Privacy by design
Consultazione
preliminare al GDP
DPIA(Data
Protection Impact
Assessment)
Norme vincolanti
d’impresa
Registri dei
trattamenti
Accountability
(responsabilizzazione)
Data breach DPO(Data
Protection Officer)
Codici etici e
certificazioni
Portabilità dei dati
Diritto all’oblio /
cancellazione ...

52. Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
Responsabi-
lizzazione
(accountability)
Minimizzazione
Limitazione al
trattamento
Limitazione alla
conservazione
Integrità e
riservatezza
Limitazione
delle finalità

53. Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
 Limitazione delle finalità = scopi
determinati, espliciti e legittimi; NO
trattamenti incompatibili con finalità
originarie
 Minimizzazione = dati adeguati,
pertinenti e limitati strettamente alle
finalità
 Limitazione al trattamento = se
contestazione dell’interessato, per il
periodo di accertamento
 Limitazione alla conservazione =
data retention NON oltre le finalità
 Integrità e riservatezza = idonee
misure di sicurezza
 Responsabilizzazione (accoun-
tability) = titolare deve poter
comprovare rispetto dei principi
► NO notifica GDP
► NO autorizzazioni (generali o
preventive) GDP
► NO verifica preliminare GP (dati
«quasi» sensibili)
 Applicazione territoriale: a
CONTROLLER / PROCESSOR
stabilito in UE oppure NON stabilito
ma che riguarda interessati UE

54. Privacy 2.0: categorie “particolari” di dati
NO trattamento di tali dati personali (“sensibili” CDP + biometrici, genetici, di
salute) TRANNE SE:
 consenso esplicito per finalità specifiche;
 necessario per assolvere obblighi e diritti in diritto del lavoro/sicurezza
sociale;
 tutela di un interesse vitale dell’interessato o terzi se incapacità
dell’interessato al consenso;
 resi manifestamente pubblici dall’interessato;
 per accertare / esercitare / difendere un diritto in sede giudiziaria;
 per fini di medicina preventiva/del lavoro, valutazione della capacità
lavorativa del lavoratore, servizi sanitari o sociali, ecc.;
 archiviazione nel pubblico interesse, ricerca scientifica o storica o fini
statistici
 ecc.

55. Privacy 2.0: es. integrazione dell’informativa
 Adatta al destinatario e al mezzo di comunicazione (v. minori)
 (Eventuali) legittimi interessi del titolare o terzi
 Data retention (se NON possibile: i criteri per determinarla)
 Diritto di revocare il consenso in qualsiasi momento
 Diritto di reclamo ad autorità di controllo (GDP)
 (Se applicabile) l’intenzione del titolare di trasferire i dati a Paese
terzo ≠ UE
 Se avviene processo decisionale automatizzato (es.
profilazione) + logica utilizzata + importanza e conseguenze del
trattamento
 (Se raccolti presso terzi): fonte da cui hanno origine i dati (anche
accessibili al pubblico)
 Ecc.

56. Privacy 2.0: consenso/legittimo interesse
Legittimità del trattamento solo se:
 Consenso dell’interessato (libero, specifico, comprovabile da
parte del titolare, revocabile); oppure
 Legittimo interesse del titolare (v. es. Considerando GDPR:
relazione pertinente e prevedibile tra interessato-titolare;
fine di prevenzione delle frodi; marketing diretto; sicurezza
delle reti e dell’informazione (cybersecurity)
 Possibile utilizzo dei dati per finalità ulteriori ma solo se
compatibili con quelle iniziali o necessarie per queste
→ valutazione caso per caso

57. Privacy 2.0: misure di sicurezza “adeguate”
CONTROLLER e PROCESSOR:
misure di protezione tecniche +
legali + organizzative adeguate
per garantire un livello di sicurezza
adeguato al rischio, tenendo conto:
a) dello stato dell'arte e dei costi di
attuazione;
b) della natura, dell'oggetto, del
contesto e delle finalità del
trattamento;
c) del rischio di varia probabilità e
gravità per i diritti e le libertà delle
persone fisiche.
Comprendono - tra le altre - se del
caso:
pseudonimizzazione / anonimizza-
zione + cifratura dei dati
personali/archivi;
assicurare su base permanente la
riservatezza, l'integrità, la disponibilità
e la resilienza dei sistemi e dei servizi;
la capacità di ripristinare
tempestivamente la disponibilità e
l'accesso dei dati(data recovery);
una procedura per testare, verificare
e valutare regolarmente l'efficacia
delle misure → (ex ante + ex post)

58. Privacy 2.0: by design & by default
• PRIVACY BY DEFAULT = rispetto del
GDPR come impostazione di base dalla
fase di informativa-consenso alla
raccolta del dato (ad es. in registrazione
a servizi, stipula di contratti) al suo
utilizzo → opt-in! – valutare: ammontare
di dati, l’estensione del trattamento,
data retention, l’accessibilità, ecc.
→ App: l’interessato deve attivare la
relativa funzione per avere
localizzazione
• PRIVACY BY DESIGN = rispetto del
GDPR deve essere considerato sin dalla
fase di progettazione di prodotti / servizi
(es. informatici/telematici);
→ Se utilizzati prodotti/servizi altrui:
necessaria garanzia dal fornitore
Relative MISURE DI SICUREZZA:
►MINIMIZZAZIONE (= uso dei dati
identificativi solo quando necessario –
v. pseudonimizzazione)
►TRASPARENZA (es. informativa sempre
disponibile, garantire diritto di accesso)
► FINALITÀ
► ACCURATEZZA
► AGGIORNAMENTO
► DATA RETENTION (= conforme alle
finalità)
► INTERESSE PUBBLICO/LEGITTIMO
► DPIA
Designed by Pressfoto- Freepik.com

59. Privacy 2.0: valutazione impatto privacy (DPIA)
Solo se il trattamento può presentare
un rischio elevato per i diritti e le
libertà delle persone fisiche (in
particolare se uso di nuove
tecnologie) / casi di legge
Considerati (in valutazione rischi):
 la natura
 il campo di applicazione
 il contesto
 le finalità del trattamento
A cura del CONTROLLER,
chiedendo un parere al DPO
(se designato)
• Obbligatoria se:
a) valutazione sistematica e
globale di aspetti personali
relativi a persone fisiche, basata
sul trattamento automatizzato
(compresa la profilazione) e da cui
discendono decisioni che hanno
effetti giuridici o incidono allo
stesso modo significativamente
su dette persone fisiche;
b) su larga scala, trattamento di dati
sanitari / giudiziari;
c) su larga scala, la sorveglianza
sistematica di una zona
accessibile al pubblico

60. Privacy 2.0: contenuto DPIA
 descrizione sistematica dei
trattamenti previsti e delle
finalità del trattamento;
 valutazione della necessità e
proporzionalità;
 una valutazione dei rischi per i
diritti e le libertà degli
interessati;
 le misure previste per
affrontare i rischi
 CONSULTAZIONE
PREVENTIVA (PRIMA di
procedere al trattamento) = al
GDP se DPIA indica un rischio
elevato in assenza di misure
adottate dal CONTROLLER per
attenuare il rischio;
→ l'autorità di controllo (entro
un periodo di 8 settimane dalla
richiesta - prorogabile), se
ritiene che il trattamento NON
sia conforme a GDPR →
fornisce una consulenza per
iscritto al CONTROLLER

61. Privacy 2.0: registro dei trattamenti
Ogni CONTROLLER / suo
rappresentante tiene un
registro delle attività di
trattamento svolte sotto la
propria responsabilità –
contiene, tra l’altro, le seguenti
informazioni ad es.:
 il nome e i dati di contatto del
CONTROLLER e (ove
applicabile) del contitolare, del
PROCESSOR e del DPO;
 le finalità del trattamento;
una descrizione delle categorie
di interessati e delle categorie di
dati personali;
le categorie di destinatari a cui i
dati personali sono stati o
saranno comunicati;
(ove applicabile) i trasferimenti
di dati personali verso un Paese
terzo;
(ove possibile) i termini ultimi
previsti per la cancellazione
delle diverse categorie di dati;
ecc.

62. Privacy 2.0: portabilità dei dati
= interessato ha diritto a ricevere i suoi dati:
• in formato strutturato
• di uso comune
• leggibili da dispositivo automatico
 SOLO SE (alternativamente):
a) trattamento basato su consenso / l’esecuzione di contratto
b) trattamento con mezzi automatizzati
 Diretta trasmissione da titolare a titolare, se: richiesto dall’interessato +
tecnicamente fattibile
 NO lesione del diritto di terzi (= NO dati di terzi associati a quelli del
richiedente)

63. Privacy 2.0: art. 22 GDPR
NO decisione sull’interessato basata unicamente sul trattamento
automatizzato – compresa la profilazione – che:
 produca effetti giuridici;
 incida significativamente sulla persona
TRANNE SE:
a) decisione necessaria per conclusione / esecuzione del contratto;
b) decisione autorizzata dalla legge (nazionale/UE);
c) consenso esplicito dell’interessato
→ nec. titolare attui misure appropriate per tutelare i legittimi interessi
dell’interessato
→ se dati “particolari”: sì solo se consenso esplicito / interesse pubblico
rilevante

64. Es. audit per il titolare del geotagging
 Finalità: uso dei dati appropriato?
 Minimizzazione: il dato necessario
è ridotto al minimo indispensabile?
 Controllo dell’utente: privacy by
default? Possibilità dell’utente di
cambiare settaggi? Quali dati
l’utente fornisce direttamente e quali
no? L’utente sa quali dati sono
trattati e può monitorare il log? Può
sempre interpellare il titolare per
ogni esigenza, con procedure di
accesso prestabilite?
 Informativa: l’utente ha avuto e ha
sempre accesso alle chiare
condizioni di trattamento?
 Consenso: è richiesto
specificamente, granularmente? è
adottato l’opt-in? Può sempre
essere revocato?
 Terzi: le informazioni sono
comunicate a terzi? In che modo e
perché? L’utente ne ha
cognizione?
 Data retention: adottate marche
temporali ai dati per poter
cancellare/anonimizzare i dati al
termine? Esplicitata in informativa?
 Aggregazione dati: è facilitata dal
trattamento? Può creare degli
identificatori persistenti?

65. Riflessioni finali per affrontare il geotagging
 Rapporti con i terzi → utilizzo o licenza/cessione di dati dalla
geolocalizzazione o con cui ottenerla → a cura del titolare
 Condizioni contrattuali & informativa privacy →
consapevolezza, informazione, rapporti con l’utente → a cura
del titolare
 Privacy settings → a cura dell’utente + a cura del titolare
(privacy by design & default)
 Condivisione ragionata (es. profilo pubblico social network)
→ a cura dell’utente
→ Per il titolare: censimento dati trattati - revisione
informative/procedure interne – formazione personale –
trasparenza verso l’utente

66. Perché ci interessa: http://app.teachingprivacy.com

67. Perché ci interessa: http://app.teachingprivacy.com

68. Grazie per l’attenzione
Avv. Andrea Michinelli
Studio Legale d’Ammassa & Associati
Avv. Stefano Ricci
Studio Legale Meda Preti Ricci
Bologna - Milano
tel 051/9841927 – 02/48014829
fax 02/700504722
mail a.michinelli@dammassa.com
Milano - viale Bianca Maria n. 21
tel 02/87064410 - fax 02/87064416
mail stefano.ricci@mpravvocati.com