Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Una guida indispensabile per realizzare campagne di marketing automation nel rispetto del nuovo regolamento GDPR sulla privacy: ecco le indicazioni fondamentali da osservare nelle attività di profilazione che prevedono il trattamento automatizzato di dati con finalità di identificazione e valutazione degli aspetti personali di un individuo.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive l’11 dicembre 2017.

Mancano pochi mesi al 25 maggio 2018, data in cui il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea.

Operatori e imprese si affrettano ad adeguare le proprie policy e i propri assetti privacy alla luce delle nuove disposizioni. Un aspetto che il GDPR disciplina specificatamente e di cui tali attori dovrebbero tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica.

È sempre più frequente l’impiego di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè all’individuazione delle loro caratteristiche, preferenze e abitudini. Di norma tali dati vengono utilizzati per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe generare effetti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale che potrebbero sfociare perfino nell’esclusione o nella discriminazione.

La peculiarità di tale trattamento e la serietà delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017).

Di seguito, vengono fornite, sulla base di tale testo e del GDPR, le indicazioni fondamentali da osservare per procedere alle attività di profilazione in piena conformità alla nuova normativa.

[continua su Digital 4 Executive]

Security_cybercrimeIl primo dicembre 2017 il Consiglio dei Ministri ha approvato, in esame definitivo, un regolamento che individua le modalità di attuazione dei principi del Codice di protezione dei dati personali nei casi di trattamento dei dati effettuati per finalità di polizia dal Centro elaborazioni dati (CED) e da organi, uffici o comandi di polizia.

Il regolamento stabilisce il divieto alla raccolta e al trattamento dei dati sulle persone per il solo fatto della loro origine razziale o etnica (inclusi quelli genetici e biometrici), la fede religiosa, l’opinione politica, l’orientamento sessuale, lo stato di salute, le convinzioni filosofiche o di altro genere, l’adesione a movimenti sindacali. È consentito il trattamento di tale particolare categoria di dati ad integrazione di altri dati personali qualora vi siano esigenze correlate ad attività informative, di sicurezza, o di indagine di polizia giudiziaria o di tutela dell’ordine e della sicurezza pubblica.

Sono poi disciplinati i casi in cui è consentita la comunicazione dei dati tra Forze di polizia, a pubbliche amministrazioni o enti pubblici e a privati, consistenti, sostanzialmente, nell’esigenza di evitare pericoli gravi e imminenti alla sicurezza pubblica e di assicurare lo svolgimento dei compiti istituzionali per le finalità di polizia.

Il regolamento definisce i parametri dell’utilizzo di sistemi di videosorveglianza, di ripresa fotografica, video e audio, che è consentito per finalità di polizia, quando necessario per documentare specifiche attività preventive e repressive di reati. La diffusione di dati ed immagini è consentita solo nei casi in cui sia necessaria per le finalità di polizia, fermo restando il rispetto degli obblighi di segretezza e, in ogni caso, con modalità tali da preservare la dignità della persona interessata.

Sono stabiliti i termini massimi di conservazione dei dati, quantificati in relazione a distinte categorie e si dispone che tali termini siano aumentati di due terzi quando i dati personali sono trattati nell’ambito di attività preventiva o repressiva relativa ai reati di criminalità organizzata, con finalità di terrorismo e informatici. Decorsi i termini di conservazione fissati, i dati personali, se soggetti a trattamento automatizzato, sono cancellati o resi anonimi, mentre continuano ad essere disciplinati dalle disposizioni sullo scarto dei documenti d’archivio delle pubbliche amministrazioni i dati non soggetti a trattamento automatizzato.

Si prevede poi che la persona interessata possa chiedere la conferma dell’esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, la rettifica, la cancellazione, il blocco o la trasformazione in forma anonima.

Nell’inserto “Focus Norme & Tributi” dedicato alle ”Le nuove regole per la privacy” uscito in edicola mercoledì 22 novembre sono pubblicati diversi articoli dedicati alla tutela dei dati personali firmati dalla Prof. Giusella Finocchiaro e dai suoi collaboratori, tra cui gli avvocati Alessandro Candini e Matilde Ratti.

Il Focus è disponibile anche online per gli abbonati al Sole 24 Ore ed è consultabile a QUESTA pagina.

Ecco, in sintesi, i titoli degli articoli e gli argomenti trattati.

1) Impatto dell’accountability: “Strumenti di compliance volontaria per attenuare la pericolosità” di Alessandro Candini e Giusella Finocchiaro.

La  ridefinizione dei profili di compliance aziendale costituisce una delle più importanti novità del regolamento Ue 679/2016. L’articolo presenta un’analisi dello strumento offerto dal registro di trattamento come supporto nella valutazione dei rischi e definisce le responsabilità di primo e secondo livello.

2) L’approccio basato sul rischio: “Valutazione e monitoraggio per l’adeguatezza delle misure” di Giusella Finocchiaro.

La più significativa novità contenuta nel Regolamento è costituita dal principio di accountability in base al quale il titolare del trattamento ha l’obbligo di conformarsi alla normativa vigente e di dimostrare di averlo fatto. Occorre quindi produrre una documentazione che attesti le scelte e dimostri di essere in regola.

3) L’organigramma: “Titolare e responsabile figure centrali del trattamento” di Giusella Finocchiaro e Laura Greco.

Titolare e responsabile sono le figure chiave di ogni trattamento dei dati personali. L’articolo analizza i vincoli contrattuali per i soggetti attivi del trattamento e la nuova figura di subresponsabile.

4) Servizi esterni: “Per i cloud l’esigenza di accountability” di Giusella Finocchiaro e Maria Chiara Meneghetti.

I servizi di cloud computing sono uno strumento fondamentale ma è necessario superare le criticità legate alla qualificazione dei soggetti e il trasferimento di dati all’estero.

5) L’utilizzo delle informazioni: “Tra codice privacy e regolamento il consenso resta il punto di partenza” di Giusella Finocchiaro e Matilde Ratti.

Il nuovo regolamento europeo conferma l’approccio del Codice Privacy italiano (il d.lgs. 196 del 2003) basato sull’informativa e sul consenso per il trattamento dei dati personali da parte di soggetti privati e professionisti. Il “sì” espresso per il trattamento dev’essere per fini semplici e facilmente revocabili.

6) La tutela: “Attività di marketing solo se chiaramente autorizzata” di Giusella Finocchiaro e Maria Chiara Meneghetti

Nel ridefinire le condizioni per la prestazione di un legittimo consenso, il regolamento introduce in capo al titolare l’onere probatorio di dimostrarne la raccolta e in capo all’interessato un importante diritto di revoca. In caso di revoca, l’imprenditore dovrà cessare ogni iniziativa alla quale sia stata negata la continuazione.

red-questionSe una società divulga il numero telefonico di un dipendente commette un illecito? Se un numero di cellulare viene inserito in una chat online o in un  gruppo WhatsApp senza consenso dell’interessato è possibile sporgere denuncia? Cosa accade se chi rende pubblico un numero di telefono privato non è maggiorenne?

Queste sono alcune delle numerose domande che negli ultimi mesi abbiamo ricevuto fra i commenti di questo blog sul tema della diffusione non autorizzata di un numero di telefono cellulare di un privato cittadino. In molti casi si tratta di divulgazioni senza consenso in contesti pubblici come aziende, scuole, forum e chat su Internet, gruppi Whatsapp e altri social network

A beneficio di quanti si trovano in simili situazioni di incertezza ricordiamo che:

Il numero di telefono cellulare è considerato dato personale, in quanto rende l’interessato identificabile.

Il Codice privacy qualifica come illecito penale la condotta di colui che, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, tratta in modo illegittimo i dati personali altrui, se dal fatto deriva un danno per l’interessato.

La circostanza che il fatto sia commesso da un minorenne non esclude la responsabilità penale, purché il minore abbia compiuto gli anni 14.

Resta sempre salvo il diritto ad ottenere il risarcimento del danno subito in sede civile, ove l’interessato abbia subito un pregiudizio serio ed effettivo. In questo caso risponderanno, di regola, gli esercenti la potestà genitoriale sul minore.


Accountability, governance del rischio e nuove tutele per l’interessato: il General Data Protection Regulation porta importanti cambiamenti che hanno un impatto imminente sulla gestione della privacy del settore pubblico e privato.

Il GDPR istituisce un nuovo quadro a tutela della privacy, introducendo nuovi obblighi e nuove tutele. Valutazione d’impatto, registro dei trattamenti, procedure di notifica del data breach, nomina del Data Protection Officer: sono solo alcune forme con cui il GDPR responsabilizza i titolari di trattamento che, oggi più che mai, devono fare della sicurezza dei dati un elemento centrale della propria strategia aziendale.

Data l’imminente entrata in vigore del Regolamento, che sarà applicabile a partire dal 25 maggio 2018, occorre attivarsi per recepire adeguatamente tutte le novità e per affrontare con consapevolezza il cambiamento. Per evitare di farsi trovare impreparati, la Bologna Business School propone un corso di due giornate rivolto ad amministratori, imprenditori, dirigenti, manager e chiunque abbia un ruolo di responsabilità con l’obiettivo di comprendere le implicazioni giuridiche e organizzative del regolamento.

Il corso, che si svolge sotto la direzione didattica di Giusella Finocchiaro, offre una panoramica delle novità introdotte in materia di privacy, delineando un percorso da seguire per l’adeguamento al GDPR. Le lezioni si focalizzeranno sugli adempimenti operativi necessari per essere conformi alla nuova normativa (designazione del Data Protection Officer, progettazione del trattamento by design, revisione delle informative e nuovi moduli del consenso, risk assessment, diritti degli interessati) e sui principali aspetti applicativi (cloud computing, profilazione, trattamento a scopo di marketing).

Il corso si terrà nelle giornate dell’1 e 15 dicembre 2017. La scadenza delle iscrizioni è il 27 novembre 2017.

Per informazioni ed iscrizioni si rimanda alla pagina della Bologna Business School.

telefonoIn data 8 novembre 2017 il Parlamento ha approvato in via definitiva il ddl “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017” in cui si prevede una proroga dei tempi di conservazione dei dati di traffico telefonico e telematico, aumentando fino a 6 anni gli obblighi di conservazione imposti ai fornitori di servizi di comunicazioni elettroniche, per esigenze di contrasto al terrorismo.

In attuazione dell’articolo 20 della direttiva (UE) 2017/541 sulla lotta contro il terrorismo, al fine di garantire strumenti di indagine efficaci in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a) del codice di procedura penale, il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta è stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

Il testo del ddl approvato è consultabile QUI.

posted by admin on novembre 7, 2017

Eventi

(No comments)

Le normative e il contesto di mercato a livello nazionale ed internazionale indirizzano sempre più verso un’economia di tipo digitale. Se spesso sono chiari gli obiettivi da raggiungere con la trasformazione digitale, molto meno lo sono i percorsi da intraprendere. Come intervenire sui processi esistenti per renderli digitali? Quali sono le prossime scadenze normative? In definitiva, come riorganizzare il proprio business nell’ottica di un’economia totalmente digitale già alle porte?

Queste le domande a cui verrà data risposta nel corso della conferenza “Pronti per l’economia digitale?” organizzata da Intesa Spa martedì 14 novembre 2017 alle 9:30 presso l’IBM Client Center di Milano.

Alle 10.15  Giusella Finocchiaro introdurrà i principali cambiamenti introdotti dal nuovo Regolamento per la protezione dei dati europeo.

Nell’ottica di un’integrazione dei processi end to end, unitamente a casi pratici durante l’evento saranno affrontate anche tematiche quali la fatturazione elettronica B2B nel contesto di mercato e in prospettiva europea, l’efficienza di filiera con i portali B2B, i processi interni tracciati e sicuri, la firma elettronica e i workflow approvativi.

La partecipazione è libera e gratuita. Per consultare il programma e per la registrazione si rimanda a QUESTA pagina.

Continua l’analisi sulla proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

L’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.

La Commissione individua due ostacoli principali alla piena affermazione della libertà di imprese e PA di scegliere il luogo in cui conservare e gestire i propri dati.

Il primo ostacolo è rappresentato dalle ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri. Le ragioni che negli anni hanno spinto i diversi Stati a imporre l’archiviazione a livello locale dei dati delle proprie imprese o PA risiede principalmente in ragioni legate alla maggiore sicurezza e al più facile controllo da parte delle autorità nazionali. Si pensi ad esempio alle misure di conservazione dei dati in materia finanziaria, di contabilità e bilancio delle imprese previste da Germania, Danimarca, Belgio e altri stati nord europei, che richiedono l’archiviazione entro i confini dello stato membro. O anche ai dati inerenti alle vincite e alle transazioni in materia di gioco d’azzardo che stati come Bulgaria, Polonia e Romania impongono di conservare in territorio nazionale. Inoltre, anche ove non siano espresse specifiche restrizioni territoriali nazionali, la prassi imprenditoriale e il sentimento comune hanno comunque portato a privilegiare una conservazione localizzata dei dati, rinunciando alle alternative proposte oltre-confine.

Il secondo ostacolo alla liberalizzazione, invece, deriva dalle limitazioni del mercato privato che, attraverso le c.d. pratiche di vendor-lock in, impediscono la portabilità dei dati tra sistemi informatici. Tale diffuso fenomeno commerciale nasce dalla volontà dei fornitori di creare un rapporto di dipendenza artificiosa tra il cliente e i beni e servizi da essi forniti. Il cliente viene posto nella condizione di non poter acquistare beni e servizi concorrenti, senza che il passaggio di fornitore comporti il sostenimento di significativi oneri economici e riorganizzativi. Questa sorta di “fidelizzazione forzata” viene attuata sia attraverso l’adozione da parte del fornitore di tecnologie o standard diversi rispetto a quelli utilizzati dai concorrenti; sia attraverso la previsione di condizioni contrattuali particolarmente penalizzanti in caso di passaggio.

Per mettere un freno alla diffusione di tali pratiche e disposizioni, la Commissione, con la proposta di regolamento, intende affrontare le problematiche attraverso quattro linee d’azione.

In primo luogo, viene introdotto il generale principio di libera circolazione dei dati tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.

In secondo luogo, nell’intento di rassicurare i legislatori nazionali, viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.

In terzo luogo, la proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.

Infine, viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.

In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente inferiore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy, come quello di libera circolazione e di portabilità dei dati, attraverso un ampliamento del loro raggio d’azione.

Dopo l’adozione del Regolamento UE 2016/679 (Regolamento generale privacy, RGPD) e la recente proposta di regolamento che porterà all’abrogazione dell’attuale Direttiva 2002/58/EC (Direttiva e-privacy), la Commissione europea aggiunge un ulteriore tassello al suo progetto di espansione e regolamentazione del mercato digitale europeo, avanzando la proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

Il regolamento si affiancherebbe e integrerebbe l’attuale (e futura) disciplina europea in materia di dati, colmando quella che viene ritenuta una dannosa lacuna nel panorama normativo: la circolazione dei dati-non personali. Attraverso l’adozione e a breve implementazione del Regolamento privacy si è infatti venuta a creare la paradossale situazione per cui mentre per i dati personali è espresso il principio di una libera circolazione entro i confini europei (art. 1, comma 3° del Regolamento), lo spostamento dei dati “non-personali” risulta ancora subordinato agli obblighi di localizzazione disposti da alcune normative nazionali. Le imprese di alcuni paesi non sarebbero cioè ancora libere di scegliere tra i diversi provider di servizi cloud per la gestione e conservazione dei propri dati, a causa di alcune limitazioni territoriali imposte all’archiviazione degli stessi.

È ormai chiaro da tempo che la Commissione europea sia impaziente di affermare a livello internazionale una forte data economy “made in” UE. La rivoluzione operata dalle nuove tecnologie digitali basate sullo sfruttamento di dati, dal cloud computing all’Internet of things, offre nuove opportunità di sviluppo, crea nuovi servizi e mobilità nel mercato e, soprattutto, attira ingenti volumi di investimenti. La tendenza è confermata dalle statistiche: nel 2016 il mercato europeo dei dati si stima abbia raggiunto i 60 miliardi di Euro, con la previsione di un quasi raddoppio della cifra entro il 2020 . Numeri che si attestano comunque ben al di sotto del potenziale espresso da altre nazioni, tra cui gli Stati Uniti, che primeggiano ancora indisturbate nel settore digitale.

Per l’Europa la vera corsa al digitale è iniziata nel 2015, quando la Commissione ha adottato una strategia per il mercato unico digitale europeo, i cui pilastri sono stati individuati nella necessità di 1. migliorare l’accesso ai beni e servizi digitali in tutta Europa per imprese e consumatori; 2. creare un contesto favorevole e parità di condizioni affinché le reti digitali e i servizi innovativi possano svilupparsi; 3. massimizzare il potenziale di crescita dell’economia digitale.

Sulla base di queste linee direttive, nei passati due anni è stato adottato un eterogeneo ventaglio di azioni mirate alla modernizzazione normativa di alcuni settori e al rafforzamento delle tutele e della fiducia di utenti e consumatori (tra cui si collocano, l’adozione del RGPD, la proposta di regolamento e-Privacy, la proposta di regolamento sul copyright e quella sui digital content). A queste si sono affiancati pacchetti di misure dirette ad affrontare le tematiche di accessibilità e riutilizzo di dati pubblici o di pubblico interesse, di promozione di soluzioni di cloud europee e di una migliore collaborazione digitale tra pubbliche amministrazioni.

Un panorama, quindi, già costellato da numerose iniziative che, pur perseguendo ciascuna uno specifico obiettivo, disegnano insieme la trama di un neonato ecosistema digitale. In questo quadro, si inserisce la nuova proposta di regolamento per un libero flusso di dati-non personali.

[continua]

Arriva nelle scuole secondarie di primo e secondo grado il “Decalogo anti-bufale”, che punta a fornire ad oltre 4,2 milioni di student gli strumenti per difendersi dalle “fake news”.

Far circolare notizie non verificate o false può creare rischi per la società o diventare pericoloso per le persone per questo è importante diffondere gli strumenti per risalire alla fonte delle notizie e distinguere le informazioni corrette da quelle scorrette.  L’iniziativa – presentata dalla ministra dell’Istruzione Valeria Fedeli e dalla presidente della Camera Laura Boldrini – è accompagnata dalla campagna #Bastabufale e fa parte di un più ampio pacchetto di azioni che il Miur sta mettendo in campo per la prima volta sul tema del controllo delle fonti e per l’educazione civica digitale. Fra i partner del progetto ci sono la Rai, la Federazione degli editori (Fieg), Confindustria, ma anche le piattaforme su cui circolano le false notizie, come Facebook e Google.

“Condividi solo notizie che hai verificato, usa gli strumenti di Internet per verificare le notizie, chiedi le fonti e le prove, chiedi aiuto a una persona esperta o a un ente davvero competente, ricorda che anche Internet e i social sono manipolabili”,  queste sono alcuni degli otto punti del decalogo che sarà completato dagli studenti con i due mancanti, attraverso uno strumento di scrittura cooperativa che il Miur metterà a disposizione delle scuole sul proprio sito.

Per gli insegnanti è invece previsto un pacchetto di materiali didattici legati all’iniziativa. “I giovani di oggi sono nativi digitali, ma non devono essere consumatori passivi di tecnologia, quanto piuttosto consumatori critici e produttori consapevoli di informazione e conoscenza. È un principio cardine anche del nostro Piano nazionale per la scuola digitale..

Grazie ad un accordo con la Camera, nelle scuole è già stata inviata la Dichiarazione dei diritti in Internet, per promuovere una corretta educazione civica digitale. Il Miur ha stipulato anche altri accordi-chiave, come quello siglato il 18 ottobre con la Federazione Nazionale della Stampa, che mette al centro la cultura dell’informazione e della correttezza delle fonti, in chiave anche di contrasto all’illegalità.