About Camilla Marotta

Consulente legale con specializzazione in Legal management ed IP law

0

Come funziona la privacy con le App di messaggistica istantanea?

Le App di messaggistica istantanea hanno oramai soppiantato gli “antichi” SMS, ma siamo davvero a conoscenza di come funziona la privacy delle nostre comunicazioni?

Milioni di messaggi al secondo sono inviati tramite le note App di messaggistica sempre più di frequentemente utilizzate (whatsapp, telegram, instagram, facebook messenger), sia per uso personale che professionale.
Dunque, molto gravi possono essere i rischi legati alla privacy a cui si può andare incontro; basti pensare al furto di informazioni di personaggi famosi, come quello riportato nel gennaio 2020 dal giornale inglese “The Guardian” che ha pubblicato i risultati di un’indagine su un attacco hacker ai danni del fondatore e CEO di Amazon Jeff Bezos colpito, nel maggio 2018, da un malware inviato dal principe dell’Arabia Saudita Mohammed tramite un semplice messaggio di WhatsApp.
Citare un esempio di tale calibro fa immediatamente intendere come sia semplice ledere la sicurezza delle nostre comunicazioni.

In che modo le App di messaggistica istantanea possono garantire la nostra riservatezza?

Uno dei sistemi più efficaci per salvaguardare la riservatezza degli utenti è l’utilizzo della crittografia end-to-end (E2E), ossia un sistema di comunicazione cifrata basato sulla generazione di una coppia di chiavi crittografiche, una “privata” ed una “pubblica”, che consentono di cifrare e decifrare i messaggi in partenza ed in arrivo in modo che risultino leggibili solo dal mittente e dal destinatario.

Ma tutte le App di messaggistica istantanea usano la crittografia end-to-end?

Oggi tutte le App di messaggistica istantanea impostano di default la crittografia end-to-end, ad eccezione di Telegram e di Facebook Messenger.
In queste applicazioni, infatti, la crittografia E2E deve essere abilitata dall’utente, attivando l’opzione “chat segrete” (per Telegram) o “conversazioni segrete” (per FB Messenger).
Dunque, se non si utilizza una chat segreta, i dati vengono salvati sui rispettivi server con un’evidente compromissione della sicurezza dei dati personali.
Di contro, altre famosissime App, come WhatsApp, pur adottando la crittografia end-to-end quale impostazione predefinita, presentano altre gravi inefficienze per quanto attiene, ad esempio, la conservazione dei cosiddetti metadati dei messaggi che sono memorizzati sui server in forma non cifrata.

Non esiste, dunque, un App sicura?

È davvero difficile trovare un App completamente sicura e la ragione è da ricercarsi nella natura stessa del web, universo fluido ed impossibile da governare nella sua totalità.
Tuttavia, ad opinione dei principali esperti di cybersecurity, una delle applicazioni più sicure è Signal che utilizza un protocollo di crittografia E2E (il Signal Encryption Protocol) considerato tra i migliori.
A differenza delle altre App di messaggistica, Signal garantisce un livello di privacy e sicurezza superiore in quanto:
– memorizza solo i metadati strettamente necessari per il suo funzionamento senza salvare alcuna informazione relativa alla conversazione;
– per ragioni di sicurezza i messaggi sono memorizzati localmente sul dispositivo e non vengono neppure salvati nel backup di iCloud (nel caso di iPhone);
– il codice sorgente di Signal è pubblico, secondo la logica dell’open source ed il controllo audit di sicurezza è effettuato da un team indipendente.

Tuttavia, Signal è ancora un’app di nicchia poichè, non permettendo il backup della chat, è destinata ad avere una diffusione piuttosto limitata dato che l’utente medio continuerà a preferire la praticità d’uso e la diffusione rispetto alla sicurezza.

0
Come funziona la privacy Policy di Google?

Come funziona la privacy policy di Google?

Di recente la privacy policy di Google è stata modificata per garantire in misura maggiore la sicurezza degli utenti durante la navigazione.
Non è un caso che in questo processo di adeguamento, mirato ad assicurare una regolamentazione equilibrata sull’uso dei dati in tutto il mondo, il GDPR ha rappresentato un’importante fonte di riferimento presa a modello, in unione ad altre leggi e modelli mondiali, per la proposta di un quadro normativo sulla materia.
Come annunciato dal CEO di Google, Sundar Pichai, a partire dal 24 giugno 2020 sono divenute operative le nuove disposizioni policy dirette a raggiungere tre fondamentali obiettivi:

garantire la sicurezza delle informazioni personali, trattarle responsabilmente e permettere all’utente di esercitare il loro controllo”.

Cos’è una policy?

Il regolamento o policy aziendale è quell’insieme di norme adottate unilateralmente dall’azienda per disciplinare la condotta dei propri dipendenti in materie molto specifiche quali l’uso del personal computer, della navigazione in internet o della posta elettronica.
Nell’ ambito delle piattaforme web, questo sistema di norme è rivolto a disciplinare non solo la condotta dell’azienda e dei suoi dipendenti, ma anche quella degli utenti che le utilizzano.
Spesso molto articolate, le policies si suddividono in vari campi regolamentando sia aspetti generali legati all’ utilizzo della piattaforma, che aspetti più dettagliati connessi, ad esempio, alla tutela del copyright, al rispetto della privacy, all’ adeguatezza dei contenuti.

Per avere un’idea più chiara delle policies in ambito web, leggi quella di YouTube qui

700Sundar Pichai, CEO di Google

Nella nuova policy di Google cosa cambia in materia di privacy?

Innanzitutto, la nuova policy di Google ha introdotto l’eliminazione dei dati dopo 18 mesi come impostazione predefinita nella “Cronologia delle posizioni” e nelle “Attività web e app” dei nuovi profili.
Mentre, per i profili già attivi, ha predisposto l’invio di notifiche per ricordare l’opzione “eliminazione automatica”.
È stato, poi, previsto un accesso facilitato alla modalità di navigazione in incognito in tutte le principali App (Search, Maps e YouTube) riferite all’azienda, attivabile cliccando direttamente sull’icona del proprio profilo.
Inoltre, sono stati implementati alcuni strumenti a tutela della privacy personale, come il “Google Privacy Checkup”, con l’aggiunta di raccomandazioni personalizzate e guide step by step per aiutare gli utenti a gestire in maniera corretta le proprie opzioni privacy.     

Per conoscere tutti gli strumenti posti da Google a tutela delle informazioni personali clicca sul seguente link

Quali App di Google non prevedono l’applicazione di queste modifiche?

Per le finalità specifiche perseguite, le novità introdotte dalla modifica della policy di Google non si applicano a Gmail, Drive e Foto, che sono progettati con lo scopo di conservare in sicurezza i contenuti personali in base alle necessità dell’utente.

Hai ulteriori domande inerenti la privacy o il GDPR? Inviaci un’email
0

Videocamere di sorveglianza e privacy personale

L’installazione di videocamere di sorveglianza è un mezzo comunemente utilizzato in molteplici contesti al fine di garantire la sicurezza di beni e persone.
Tuttavia, l’utilizzo di questo sistema comporta anche una serie di rischi relativamente alla privacy personale, a causa della grande quantità di dati raccolti tramite le registrazioni attive H24.

Il GDPR predispone, infatti, alcune regole necessarie per garantire il rispetto della privacy dei soggetti interessati.
Nel dettaglio, la materia della videosorveglianza è caratterizzata dalla particolarità della doppia informativa poichè all’informativa completa, resa conformemente a quanto disposto dal Regolamento UE n.679/2016, si aggiunge la presenza di un’informativa minima (il cartello “Area videosorvegliata”), come già prevista dall’abrogato art. 13 comma 3 del vecchio Codice Privacy.
Ai sensi del punto 3.1 del Provvedimento Generale dell’8 aprile 2010 del Garante Privacy, l’informativa minima:
– deve essere collocata prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
– deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
– può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Per conoscere gli elementi fondamentali di un’informativa privacy completa puoi leggere il mio precedente articolo sul tema

L’informativa privacy: i diritti dell’interessato al trattamento dati

Inoltre, l’uso di un sistema di videocamere di sorveglianza è subordinato al rispetto di adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
Le misure di sicurezza da adottare sono previste dall’art. 32 del GDPR il cui testo è visionabile qui:

Installazione di videocamere di sorveglianza nei luoghi di lavoro

Ancor più delicata e complessa è la disciplina della videosorveglianza applicata ai luoghi di lavoro che, per essere ammessa, deve risultare subordinata alle seguenti motivazioni:
– esigenze organizzative e produttive: es. il controllo della qualità produttiva attraverso i video;
– esigenze di sicurezza sul lavoro: es. lavoratori che operano in luoghi isolati;
– tutela del patrimonio aziendale: es. presenza di componenti o materiale di alto valore.

La materia richiederebbe una ben più ampia trattazione, tuttavia, ecco alcune linee guida da seguire per non incorrere in pesanti sanzioni come previste dall’art.83 del GDPR.
Innanzitutto, occorre sapere che prima di installare un impianto di videosorveglianza è necessario sottoscrivere un accordo sindacale oppure ottenere l’autorizzazione dell’ITL o dell’INL.
In aggiunta alle suddette autorizzazioni bisogna fornire anche l’informativa sulla privacy al dipendente, che ha carattere necessario.
Soggette ad autorizzazione devono essere tutte le telecamere che si vogliono installare, anche quelle poste fuori l’azienda poiché l’autorizzazione riguarda anche quei luoghi in cui i lavoratori si trovano momentaneamente o di passaggio.
Infine, si precisa che è possibile riprendere i lavoratori purché ciò avvenga in via incidentale e occasionalmente. Inquadrare direttamente il dipendente si può, ma solo se esistono delle ragioni che lo giustificano, come per esempio la tutela della sicurezza sul lavoro.

Articolo a cura della Dott.ssa Camilla Marotta

0

Privacy by design e Blockchain

Il GDPR (Regolamento UE 2016/679), ossia la normativa europea in materia di protezione dei dati personali, per prevenire il verificarsi di possibili violazioni, all’art. 25 introduce i principi della privacy by design e privacy by default.

In cosa consistono i principi della privacy by design e privacy by default ?

L’applicazione del principio della privacy by design comporta che le aziende e le pubbliche amministrazioni avviino i loro progetti introducendo sin dalla loro progettazione gli strumenti a tutela dei dati personali.

La privacy by default, invece, impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, di default, appunto, solo i dati personali necessari per ogni specifica finalità del trattamento”.
In particolare, la protezione di default riguarda: la quantità dei dati raccolti; l’estensione del trattamento; il periodo di conservazione; l’accessibilità.

Le impostazioni di privacy by default garantiscono che l’utilizzo di determinati dati sia eseguito dall’utente seguendo una scelta già impostata dal sistema, in automatico, pur residuando la possibilità per quest’ultimo di modificare le impostazioni già previste.

La tecnologia blockchain può essere considerata un sistema di privacy by design?

Negli ultimi tempi, si discute sulla possibilità di considerare la tecnologia blockchain in linea con il principio della privacy by design per le sue caratteristiche peculiari.
Nel dettaglio, infatti, le blockchain sono:
– decentralizzate e distribuite, dunque, molto meno attaccabili da parte di cyber-criminali;
– pubbliche e trasparenti, poichè le informazioni sulle transazioni sono pubbliche ed accessibili da parte di chiunque.

Inoltre, le blockchain fanno ampio uso della crittografia per tutelare l’identità ed i dati personali e sfruttano il meccanismo delle ricompense ai miner, ossia coloro che controllano il funzionamento corretto della blockchain e delle transazioni che avvengono su di essa, garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni.

Dunque, mentre di solito sul web se un utente concede il consenso al trattamento dei propri dati, di fatto, non ha poi il controllo su ciò che succede dopo e su come effettivamente essi siano utilizzati ed elaborati, al contrario, il sistema blockchain consente di poter tracciare lungo tutta la catena distribuita dove e come sono usate le informazioni oggetto di una transazione.

Quali problemi comporta l’adozione di questa tecnologia?

Questa tecnologia, pur avendo notevoli aspetti positivi, presenta, tuttavia, ancora alcuni interrogativi in campo di applicazione del GDPR.
In particolare, il carattere distribuito, decentralizzato e la condizione di pseudo-anonimato dei partecipanti, rende non sempre immediata l’individuazione del titolare del trattamento con riferimento alle blockchain di tipo permissionless, ossia quelle di tipo pubblico con struttura aperta e concepita per non essere controllata.  
Inoltre, un altro rilievo attiene le modalità di cancellazione dei dati in caso di esercizio del diritto all’oblio da parte di un utente.

La distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili, se eseguita in maniera conforme alle pratiche informatiche idonee ed in modo verificabile, ma occorre attendere al riguardo ulteriori linee guida da parte del Garante per la protezione dei dati.

Ci si trova, infatti, dinanzi ad una tecnologia in continua evoluzione che necessita lo sviluppo standard internazionali e prassi comuni da adottare per garantirne un corretto utilizzo.

Articolo a cura della Dott.ssa Camilla Marotta

0

Come rimediare ad un Data Breach

Per effettuare ogni genere di attività sul web è diventare necessario fornire molti dettagli sulle proprie informazioni personali, ed è così che potremmo imbatterci senza saperlo in un Data Breach

L’inserimento dei nostri dati riservati è divenuto quasi un’operazione automatica che, magari per la fretta di accedere ad un contenuto oppure ad un servizio, spesso compiamo velocemente senza rivolgere la giusta attenzione alle possibili conseguenze che potrebbero scaturire da questo semplice atto.

La somma di tutti questi dati eterogenei raccolti, i cosiddetti “Big data”, ha un valore strategico ed economico altissimo, di qui la ragione di frequenti attacchi hacker volti a minare la sicurezza dei sistemi di cybersecurity anche più sofisticati scatenando dei pericolosi “Data breach”.

Soprattutto durante il periodo di lockdown causato dall’emergenza Covid-19, gli attacchi informatici si sono moltiplicati facendo sorgere interrogativi circa l’effettiva salvaguardia della privacy da parte di App di videochiamate online, nonché prendendo di mira pubbliche amministrazioni (come nel caso dell’INPS) e, pochissimi giorni fa, anche la grande compagnia aerea EasyJet, causando danni a milioni di utenti.
Per saperne di più circa questi rilevanti episodi si rimanda ai seguenti link:

https://www.ansa.it/sito/notizie/economia/2020/04/03/inps-notificato-il-data-breach-a-garante-privacy_731c3c5b-5427-4547-aa19-2dc8f86feb56.html

https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card

Ma cos’è effettivamente un Data breach?

Ai sensi dell’art. 4 del GDPR, per violazione dei dati personali o data breach è da intendersi come:

«qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».

Quali obblighi sorgono in capo al titolare del trattamento in caso di violazione dei dati personali?

L’art. 33 del GDPR introduce l’obbligo del titolare del trattamento di notificare la violazione dei dati personali al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza.

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla legge n. 675/1996, il cui compito è decidere in caso di violazioni del GDPR e delle norme nazionali in materia di protezione dei dati e gestire i reclami che le vengono proposti.

Spetta al responsabile della protezione dei dati personali informare il titolare del trattamento, senza ingiustificato ritardo, dell’avvenuta violazione affinchè quest’ultimo possa procedere alla notifica dinanzi al Garante.

N.B. Il dovere di notifica entro 72 ore è escluso solo quando è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone.

Cosa bisogna comunicare tramite la notifica?

• la natura della violazione dei dati personali compresi, se possibile, le categorie e il numero approssimativo di interessati in questione;

• il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• le probabili conseguenze della violazione dei dati personali;

• le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Inoltre, come stabilito dall’art. 34 del GDPR, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, il titolare del trattamento è obbligato a comunicare la violazione anche a ciascun interessato senza ingiustificato ritardo.

Tuttavia, il suddetto obbligo è escluso quando:

• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; 

• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

• la comunicazione richiederebbe sforzi sproporzionati, procedendosi, in tal caso, ad una comunicazione pubblica o ad una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

A quali sanzioni si va incontro in caso di mancata notifica?

Qualora la notifica non sia effettuata entro 72 ore, senza giustificati motivi di ritardo da comunicarsi al Garante, il titolare del trattamento dei dati personali è soggetto all’applicazione delle sanzioni previste dal GDPR consistenti in sanzioni amministrative pecuniarie fino a dieci milioni di Euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente se superiore.

Quali rimedi può azionare il danneggiato nei casi di la violazione dei dati personali?

Il Capo VIII del GDPR, agli artt. 77, 78 e 79 predispone i mezzi di ricorso, che il danneggiato può esperire per far valere i suoi diritti.
In particolare, sono tre le modalità attraverso cui costui può scegliere di agire:

1. mediante reclamo all’autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, o dello Stato in cui si è verificata la presunta violazione;

2. attraverso ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda;

3. con ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode, a norma del GDPR, siano stati violati a seguito di un trattamento.

Le azioni devono essere promosse nei confronti del titolare e/o del responsabile del trattamento dei dati personali dinanzi alle autorità giurisdizionali dello Stato in cui titolare e/o il responsabile hanno uno stabilimento, o a quelle dello Stato membro in cui risiede abitualmente l’interessato.

Come prevenire un Data breach?

Dato l’impatto fortemente negativo del Data breach nei confronti degli interessati coinvolti e della brand reputation aziendale, è necessario attuare tutte le contromisure necessarie per prevenire la sua realizzazione.

Una prima forma di tutela è rappresentata dalla costituzione di un “comitato per il data breach” i cui membri dovrebbero esser dotati di competenze trasversali in tema di GDPR, IT, Marketing e Comunicazione, Finance al fine di valutare, in via preventiva, i possibili rischi nell’ambito del trattamento dei dati personali e stabilire le giuste contromisure in caso di violazioni.

A tale comitato è affidato il processo di valutazione del Data breach mediante cui:
• si identifica una scala di valori di criticità associata alle differenti tipologie di dati personali trattati dai sistemi e dalle infrastrutture informatiche aziendali;
• si identificano i punti di vulnerabilità a cui gli stessi potrebbero essere esposti;
• si valuta il rischio e impatti in caso di occorrenza del Data breach, considerando lo stato delle misure e delle soluzioni di sicurezza in essere;
• si stabilisce una soglia di accettazione del rischio;
• si stabiliscono le contromisure in funzione delle tipologie di Data breach, della soglia di rischio e delle risorse necessarie per investire nelle contromisure stesse.

Qualora si verifichi il Data breach, una volta segnalato l’evento al Garante, come specificato nei paragrafi precedenti, il comitato eseguirà, in collaborazione con il DPO, se presente, la procedura di valutazione del Data breach e ne analizzerà i risultati, in funzione del rischio e delle possibilità di mitigazione e rimedi perseguibili dall’azienda o dagli interessati.

Le conseguenze derivanti la perdita dei dati sono molto gravi e rappresentano, inoltre, un gravissimo costo anche in termini di danni reputazionali.
Investire nella prevenzione non è più un semplice suggerimento, ma una vera e propria necessità, considerato che eventi di Data breach si verificano, oramai, con una frequenza elevatissima comportando conseguenze molto pesanti.

Articolo a cura della Dott.ssa Camilla Marotta

0

L’informativa privacy: i diritti dell’interessato al trattamento dati

Quante volte avrai firmato un’informativa privacy?
Quante volte l’avrai letta davvero?
In apparenza potrebbe sembrare solo una lista sconfinata di richieste sul trattamento dei propri dati personali eppure, in realtà, l’informativa contiene anche molte facoltà che il soggetto interessato (ossia colui che fornisce i propri dati) può esercitare.
Ancora una volta, per chi ha già seguito la mia rubrica, la fonte normativa di riferimento è il famoso GDPR, ossia il Regolamento europeo n.679 del 2016 che, agli artt. 15 e ss. , elenca i diritti dell’interessato.
Di seguito andremo ad analizzare i più rilevanti.

Il diritto di accesso (art.15 GDPR)

Il primo importante diritto da considerare è il diritto di accesso che, ai sensi dell’art. 15 del GDPR, è inteso comeil diritto, in capo all’interessato, di richiedere al titolare del trattamento di prendere visione o di estrarre copia dei vari tipi di documenti a lui riferibili”.
Questa disposizione rientra nell’applicazione del più generale principio di trasparenza del trattamento dei dati personali, di qui la ragione del suo gratuito esercizio.
Se l’interessato richiede di accedere ai propri dati, il titolare ha l’onere di fornirgli la copia dei dati personali oggetto di trattamento nonché ulteriori informazioni, tra cui: le finalità del trattamento; le categorie di dati personali trattati; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; il periodo di conservazione dei dati personali.

Tempistiche
Quando l’interessato esercita il diritto di accesso al proprio fascicolo, il titolare è tenuto ad informarlo entro un mese dal ricevimento della richiesta e, in caso di ritardo, è obbligato a darne giustificazione precisando i motivi e comunicando la facoltà di proporre reclamo all’autorità garante o il ricorso all’autorità giudiziaria.

Il diritto di rettifica (art.16 GDPR)

Nell’ipotesi in cui i dati personali risultino inesatti, l’interessato ha la facoltà di rettificarli ottenendo l’integrazione dei dati incompleti oppure anche fornendo una dichiarazione integrativa.
N.B. Anche questo diritto deve esser reso esercitabile senza ingiustificato ritardo da parte del titolare del trattamento.

Il diritto di limitazione di trattamento (art.18 GDPR)

L’art. 18 del GDPR prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento.
Ma in quali casi questa facoltà è esercitabile da parte dell’interessato?

• durante il periodo necessario al titolare del trattamento per verificare l’esattezza dei dati personali qualora l’interessato ne abbia contestato l’esattezza;
• se il trattamento è illecito e l’interessato, anziché opporsi alla cancellazione dei dati personali chiede, invece, che ne sia limitato l’utilizzo;
• quando, benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
• qualora l’interessato si sia opposto al trattamento dei suoi dati personali, ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.


Il diritto di opposizione (art. 21 del GDPR)

Attribuisce all’interessato il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.
A seguito dell’esercizio di tale diritto, il titolare potrà continuare a trattare i dati in suo possesso solo se dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Il diritto alla portabilità dei dati (art. 20 del GDPR)

Ha come obiettivo quello di facilitare la circolazione, la copia o il trasferimento dei dati personali fra vari ambienti informatici senza impedimenti, favorendo la condivisione di dati personali fra titolari del trattamento sotto il controllo dell’interessato che esercita, in questo modo, una gestione diretta delle proprie informazioni personali.
Attraverso questo diritto, infatti, l’interessato ha la facoltà di ricevere in un formato strutturato e di uso comune i dati personali che lo riguardano forniti ad un titolare del trattamento in modo tale da poterli trasmettere ad un altro titolare del trattamento.
N.B. Una volta che sia dato seguito alla richiesta di portabilità, il titolare non è responsabile del trattamento effettuato dal singolo interessato o da un’altra società che riceva i dati in questione.

Ma arriviamo adesso all’analisi di uno dei diritti più importanti e discussi previsto dal GDPR per via delle gravi ripercussioni che il suo mancato esercizio può comportare nel mondo fluido e senza confini del web: il diritto all’oblio.

Ai sensi dell’art. 17 del suddetto regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo”.
Il diritto all’oblio si configura, così, come il diritto ad “essere dimenticati” relativamente ai dati risalenti nel tempo, con riguardo, soprattutto, ai precedenti giudiziari o ad eventuali condanne penali.
Affinché l’interessato possa esercitare il diritto all’oblio, occorre che si verifichi uno dei requisiti indicati dallo stesso art. 17 del GDPR:

• i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti;
• l’interessato revoca il consenso su cui si basa il trattamento;
• l’interessato si oppone al trattamento (esercita quindi il diritto di opposizione, ai sensi dell’art. 21, paragrafo 1, del GDPR, oppure perché i dati sono trattati per finalità di marketing diretto, ai sensi dell’art. 21, paragrafo 2, del GDPR);
• i dati personali sono stati trattati illecitamente;
• i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
• i dati personali sono stati raccolti relativamente all’offerta diretta di servizi della società dell’informazione ai minori.

La tutela del diritto all’oblio è considerata una espressione del diritto alla riservatezza, nell’accezione di diritto a veder “restaurata la propria intimità”.
Restano escluse dal diritto all’oblio le ipotesi in cui il trattamento dei dati è necessario per l’esercizio del diritto alla libertà di espressione e di informazione oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (art. 17, paragrafo 3, de GDPR).

Un po’ di giurisprudenza…

La prima formale esplicazione della sussistenza del diritto all’oblio quale espressione del diritto alla privacy si è avuta con la decisione Google Spain del 2014 (Google Spain contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González) in cui la Corte di Giustizia si è pronunciata in riferimento a vicende personali diffuse online che non siano più di pubblico interesse. In particolare, la Corte ha stabilito che sia meritevole di tutela l’interesse del soggetto a eliminare dagli elenchi dei risultati delle ricerche le pagine che ospitano contenuti pregiudizievoli nella circostanza in cui sia trascorso un significativo lasso di tempo dalla pubblicazione della notizia.
La tutela è apprestata anche nel caso in cui la pagina internet indicizzata contenente l’informazione non venga rimossa dal sito sorgente con la conseguenza che il motore di ricerca può essere obbligato alla rimozione dei dati personali anche se i siti sorgente non li hanno rimossi.
L’aspetto rilevante di tale pronuncia, inoltre, riguarda la facoltà di ogni soggetto si richiedere la rimozione dall’indice di Google di informazioni “inadeguate, non pertinenti, o non più pertinenti, ovvero eccessive in rapporto alle finalità per le quali sono stati trattati e al tempo trascorso”.
Infatti, ad avviso della Corte:


i diritti fondamentali prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse del pubblico ad accedere all’informazione in occasione di una ricerca concernente il nome di una determinata persona”.

Per una lettura integrale di quest’importantissima sentenza si rimanda al seguente link:

https://www.garanteprivacy.it/documents/10160/0/CGUE+C-131+12+GoogleSpain-Sentenza.pdf

0

La nuova figura professionale del DPO (Data Protection Officer)

Nel contesto aziendale e delle pubbliche amministrazioni si sente parlare, in misura sempre maggiore, di una nuova figura professionale, spesso abbreviata con l’acronimo DPO.
Parliamo del Data Protection Officer o Responsabile per la protezione dei dati, una figura nata a seguito dell’entrata in vigore del Regolamento (UE) n.679 del 2016 (GDPR) che è divenuto pienamente applicabile dal 25 maggio 2018.

Il DPO rappresenta il principale referente per la protezione dei dati personali e la sua nomina interessa tutte le aziende e gli enti che effettuano il trattamento dei dati sia nel settore pubblico che privato.

Cosa c’è di innovativo in questa figura professionale?

La figura del Data Protection Officer rappresenta l’evoluzione del Privacy Officer, previsto dalla Direttiva Europea 95/46.

Tuttavia, questo ruolo si afferma in Europa già a partire dal 1977, anno in cui la legge nazionale tedesca sulla protezione dei dati personali rese obbligatoria, in presenza di determinati requisiti, l’assunzione in ambito aziendale del Responsabile per la protezione dei dati.

Alla fine degli anni ’90 la figura del Privacy Officer si diffonde anche negli Stati Uniti determinando anche agli inizi del Duemila una crescita esponenziale del numero di Privacy Officer assunti da aziende statunitensi ed anche europee.

Al contrario in Italia la figura del Data Protection Officer ha stentato a trovare un’opportuna diffusione, tuttavia, in seguito all’ entrata in vigore del suddetto Regolamento europeo, la sua designazione è diventata obbligatoria.

Quando la nomina del Responsabile della protezione dati è obbligatoria?

Ai sensi dell’art. 37, par. 1, del Regolamento (UE) 2016/679, la nomina di un RPD è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali o reati.

Le Linee guida sui responsabili della protezione dei dati del 5 aprile 2017 forniscono, a titolo esemplificativo, un elenco di soggetti tenuti alla nomina del RPD ed una lista delle eccezioni disponibile cliccando sul seguente link: 

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/8036793#3

Occorre chiarire che per la dicitura “monitoraggio regolare e sistematico” è da intendersi il monitoraggio effettuato periodicamente o in via continuativa come avviene, ad esempio, mediante la profilazione online.

Mentre, per “trattamenti su larga scala” si definiscono le attività che «mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato per le libertà e i diritti degli interessati».

In particolare, sono quattro gli elementi da tenere in considerazione per valutare se il trattamento viene effettuato o meno su “larga scala”:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; 

• la durata, ovvero la persistenza, dell’attività di trattamento;

• la portata geografica dell’attività di trattamento.

Per approfondire la definizione dei suddetti requisiti si rimanda alla lettura del paragrafo 91 del GDPR il cui testo integrale è disponibile al seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597

A chi spetta la nomina del DPO?

Secondo quanto disposto dall’art. 37, par. 1, del Regolamento europeo, la nomina del RPD è un compito attribuito sia ai titolari che ai responsabili del trattamento, difatti, il Data Protection Officer non sostituisce il titolare e l’incaricato del trattamento, ma si affianca ad essi.

Con riferimento all’atto di nomina, occorre, poi, operare una distinzione a seconda che il ruolo sia affidato ad un soggetto esterno oppure interno dell’azienda/ente:

  • se il DPO scelto è già all’interno dell’ente è necessario formalizzare un atto di designazione come Responsabile per la protezione dei dati;
  • nel caso in cui il DPO sia, invece, un soggetto esterno all’ente, la designazione sarà parte integrante del contratto di servizi redatto secondo quanto previsto dall’art. 37 del Regolamento.

Nell’atto di designazione devono essere individuate espressamente le generalità del soggetto che opererà come RPD e devono essere indicati i compiti e le funzioni assegnate.

Quali sono i suoi requisiti?

Innanzitutto, bisogna sottolineare che il ruolo di RPD può essere ricoperto esclusivamente da una persona fisica, supportata, se necessario, da un team.

Ai sensi dell’art. 37, par. 5, del Regolamento (EU) 2016/679, il titolare del trattamento è tenuto a designare il Responsabile per la Protezione dei dati «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» e della capacità di assolvere i compiti lui attribuiti dall’art. 39 del Regolamento stesso.

In linea generale, dunque, il DPOdeve avere almeno le seguenti competenze:

• conoscenza approfondita delle disposizioni normative in materia di privacy, sul piano sostanziale e applicativo;

• padronanza dei requisiti tecnici per privacy by design, privacy by default e sicurezza dei dati;

• conoscenza specifica del settore merceologico nel quale opera il titolare del trattamento, con riguardo anche alla dimensione organizzativa ed alla tipologia dei dati trattati;

• capacità di eseguire ispezioni, consultazioni, analisi documentali e di file log;

• capacità di lavorare con le rappresentanze dei lavoratori.

Inoltre, come ha chiarito il Garante italiano per la protezione dei dati personali, il DPO deve poter riferirsi direttamente al vertice aziendale ed agire in una condizione di indipendenza (ossia non ricevendo istruzioni per quanto riguarda l’esecuzione dei suoi compiti) ed autonomia (disponendo di risorse umane e finanziarie adeguate).

Quali sono i compiti del DPO?

Ai sensi dell’art. 39 del Regolamento (UE) 2016/679 il RPD ha il compito di:

• informare e consigliare il titolare o il responsabile del trattamento e i dipendenti sugli obblighi previsti dalle norme in materia di protezione dei dati e verificare l’attuazione e l’applicazione delle stesse;

• fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e verificarne gli adempimenti;

• raccolta di informazioni per individuare i trattamenti svolti; 

• analisi e verifica dei trattamenti in termini di loro conformità;

• attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile dei dati.

Il controllo del rispetto del Regolamento sulla protezione dei dati non implica, tuttavia, che il DPO sia personalmente responsabile in caso di inosservanza.

Il rispetto delle norme in materia di protezione dei dati rientra, infatti, nella responsabilità d’impresa del titolare del trattamento.

Articolo a cura della Dott.ssa Camilla Marotta

0

Il diritto alla riservatezza nell’era digitale 

Quante volte avrai sentito nominare la parola privacy negli ultimi tempi?
Oggi proviamo a scoprire insieme il vero significato di questo termine.

La difficoltà generale è che quando si parla di diritti, in particolare di diritti legati allo sviluppo di nuove tecnologie, ci si trova dinanzi ad un concetto così astratto che solo tramite una maggiore conoscenza degli strumenti è possibile individuare gli effettivi aspetti concreti.

Per tale ragione approfondiamo l’argomento fornendo alcuni chiarimenti utili per meglio comprendere questo importantissimo diritto.

Cos’è la privacy?

Il diritto alla “privacy” può essere definito come il diritto di ciascun individuo a gestire le proprie informazioni personali decidendo come, quando ed in che misura queste informazioni devono essere rese note agli altri al fine di controllare la propria sfera relazionale.

In senso più generale si parla di diritto alla riservatezza inteso quale diritto ad impedire la divulgazione dei propri dati sensibili.

Questa concezione di riservatezza è frutto dell’evoluzione di una visione fortemente individualistica del concetto di sfera personale, la cui salvaguardia si considerava sufficientemente assicurata tramite l’imposizione ai terzi di un generale divieto di porre in essere comportamenti intrusivi tali da interferire con il diritto di mantenere privata la propria vita domestica e familiare.

Con l’avvento della tecnologia dell’informazione si è avuto, tuttavia, un progressivo ampliamento della nozione di sfera privata, la cui tutela non è più tesa alla conservazione di profili di segretezza quanto, piuttosto, al controllo dei propri dati personali a causa della massiccia diffusione di informazioni veicolate dalle reti telematiche, immagazzinate dalle banche dati pubbliche o private.

L’attribuzione agli interessati di un autonomo potere di controllo si sostanzia nella previsione di un diritto di accesso che, ai sensi dell’art. 15 del Regolamento generale sulla protezione dei dati (meglio noto come GDPR), conferisce all’interessato la possibilità di richiedere al soggetto titolare del trattamento dei suoi dai personali di prendere visione o di estrarre copia dei vari tipi di documenti a lui riferibili, in applicazione del più generale principio di trasparenza del trattamento dei suddetti dati.


Lo sapevi che?

La prima teorizzazione del diritto alla riservatezza risale al lontano 1890, anno in cui gli studiosi americani Warren e Brandeis pubblicarono un articolo sul tema.

Nell’immediato, l’impostazione dei due studiosi non fu seguita dalla giurisprudenza, sicchè le prime sentenze che si uniformarono al riconoscimento di un principio generale di tutela della sfera privata si ebbero solo a partire dal 1905.

Le fattispecie concrete cui era prestata tutela erano essenzialmente quattro e si manifestarono, inizialmente, in riferimento alla violazione della sfera privata di personaggi notori attraverso:

• l’intrusione nell’intimità spaziale dell’attore (intercettazioni di conversazioni private con l’ausilio di microfoni);
• le pubblicazioni non autorizzate di fatti penosi o sconvenienti della vita privata;
• l’inserimento in annunci pubblicitari con nome o foto, in mancanza di autorizzazione da parte dell’interessato; 
• i casi in cui un individuo è posto in cattiva luce agli occhi di terzi (tramite l’attribuzione, per esempio a un soggetto di pensieri od opinioni che non gli appartengono).

Oltreoceano, invece, le prime aperture nei confronti di questo nuovo diritto si ebbero intorno alla prima metà del ‘900 in Germania e, successivamente, in Francia dove, nel 1970, fu inserita nel Code Civil una norma che prevedeva chiaramente il diritto di «ognuno al rispetto della sua vita privata».

In Italia, il riconoscimento del diritto alla riservatezza si deve all’ apporto della giurisprudenza della Corte di Cassazione che, in una sentenza del 1975, concepì l’esistenza di un vero e proprio diritto alla riservatezza.

Quali norme tutelano la tua privacy?

L’insieme dei cambiamenti tecnologici ha sicuramente influenzato le possibilità e le modalità di trattamento delle informazioni personali facendosi strada la necessità di tutela del diritto all’autodeterminazione informativa inteso come diritto di scelta delle informazioni suscettibili di circolazione.

La complessità della materia ha indotto il legislatore comunitario a realizzare molteplici interventi normativi le cui disposizioni fondamentali sono attualmente racchiuse nel Regolamento Europeo n.679 del 2016 che prende atto delle nuove sfide per la protezione dei dati che l’evoluzione tecnologica e la globalizzazione comportano.

Il suddetto regolamento comunitario, meglio conosciuto con il nome GDPR (General Data Protection Regulation), ovvero il Regolamento generale sulla protezione dei dati, introduce una nuova impostazione in materia di privacy, e fornisce una disciplina unitaria sul trattamento dei dati rispondente alle attese del processo globale di digitalizzazione.

Il recente intervento ribadisce la centralità dei principi di liceità, correttezza e trasparenza così come la necessità del consenso dell’interessato in materia di trattamento dei dati personali.

Inoltre, introduce una nuova definizione di dato personale, da intendersi come qualsiasi informazione riguardante una persona fisica identificata o identificabile, e sancisce il nuovo principio di accountability, ossia il principio di responsabilità che, in ossequio all’esigenza di trasparenza nell’ambito del trattamento dei dati personali, fa ricadere sul titolare del trattamento la prova del rispetto delle nuove regole e l’obbligo di adattarsi ai nuovi istituti previsti dal GDPR attraverso una serie di azioni quali: la valutazione di impatto sulla protezione dei dati, la notificazione delle violazioni, l’idoneità delle misure di sicurezza.


Articolo a cura della Dott.ssa Camilla Marotta