Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Alla luce del termine, ormai prossimo, di applicazione delle prescrizioni europee in materia di protezione dei dati personali, il Ministero della Giustizia ha designato un gruppo di esperti chiamati a conformare urgentemente l’attuale Codice Privacy alle nuove regole.

Sono due le normative comunitarie che dovranno essere implementate nel nostro ordinamento nel maggio del 2018. Il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla privacy, che abroga la precedente direttiva del 1995, dovrà essere applicato dal 25 maggio 2018, mentre nel giorno 6 dello stesso mese è fissato il termine per la pubblicazione e l’adozione delle disposizioni legislative, regolamentari e amministrative della Direttiva UE 2016/680 relativa alla protezione dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali nonché alla libera circolazione di tali dati.

Per conformare urgentemente il nostro Codice in materia di dati personali alle nuove disposizioni, il Governo ha deciso di avvalersi di qualificati esperti, anche esterni all’Amministrazione e provenienti da diverse categorie professionali. Il 14 dicembre 2017 Giusella Finocchiaro è stata designata dal Ministero della Giustizia a presiedere il Gruppo di lavoro incaricato di provvedere alla predisposizione dei decreti legislativi, in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di privacy.

Cosa fare in caso di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati? A chi rivolgersi? Come comunicarle? La risposta è nelle linee guida pubblicate dal Gruppo di lavoro del nuovo regolamento europeo sulla privacy.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Maria Chiara Meneghetti, pubblicato su Digital 4 Executive il 18 dicembre 2017.

A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.

Si collocano in questo scenario le nuove linee guida del Gruppo di lavoro Art. 29 sul data breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017).

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Attualmente, anche il nostro ordinamento prevede un obbligo di notifica frammentario. In recepimento della normativa europea in materia di comunicazioni elettroniche, il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.

Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.

Le nuove linee guida integrano gli articoli citati e permettono di dare risposta ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.

[Continua su Digital4Executive].

Una guida indispensabile per realizzare campagne di marketing automation nel rispetto del nuovo regolamento GDPR sulla privacy: ecco le indicazioni fondamentali da osservare nelle attività di profilazione che prevedono il trattamento automatizzato di dati con finalità di identificazione e valutazione degli aspetti personali di un individuo.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive l’11 dicembre 2017.

Mancano pochi mesi al 25 maggio 2018, data in cui il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea.

Operatori e imprese si affrettano ad adeguare le proprie policy e i propri assetti privacy alla luce delle nuove disposizioni. Un aspetto che il GDPR disciplina specificatamente e di cui tali attori dovrebbero tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica.

È sempre più frequente l’impiego di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè all’individuazione delle loro caratteristiche, preferenze e abitudini. Di norma tali dati vengono utilizzati per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe generare effetti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale che potrebbero sfociare perfino nell’esclusione o nella discriminazione.

La peculiarità di tale trattamento e la serietà delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017).

Di seguito, vengono fornite, sulla base di tale testo e del GDPR, le indicazioni fondamentali da osservare per procedere alle attività di profilazione in piena conformità alla nuova normativa.

[continua su Digital 4 Executive]

Security_cybercrimeIl primo dicembre 2017 il Consiglio dei Ministri ha approvato, in esame definitivo, un regolamento che individua le modalità di attuazione dei principi del Codice di protezione dei dati personali nei casi di trattamento dei dati effettuati per finalità di polizia dal Centro elaborazioni dati (CED) e da organi, uffici o comandi di polizia.

Il regolamento stabilisce il divieto alla raccolta e al trattamento dei dati sulle persone per il solo fatto della loro origine razziale o etnica (inclusi quelli genetici e biometrici), la fede religiosa, l’opinione politica, l’orientamento sessuale, lo stato di salute, le convinzioni filosofiche o di altro genere, l’adesione a movimenti sindacali. È consentito il trattamento di tale particolare categoria di dati ad integrazione di altri dati personali qualora vi siano esigenze correlate ad attività informative, di sicurezza, o di indagine di polizia giudiziaria o di tutela dell’ordine e della sicurezza pubblica.

Sono poi disciplinati i casi in cui è consentita la comunicazione dei dati tra Forze di polizia, a pubbliche amministrazioni o enti pubblici e a privati, consistenti, sostanzialmente, nell’esigenza di evitare pericoli gravi e imminenti alla sicurezza pubblica e di assicurare lo svolgimento dei compiti istituzionali per le finalità di polizia.

Il regolamento definisce i parametri dell’utilizzo di sistemi di videosorveglianza, di ripresa fotografica, video e audio, che è consentito per finalità di polizia, quando necessario per documentare specifiche attività preventive e repressive di reati. La diffusione di dati ed immagini è consentita solo nei casi in cui sia necessaria per le finalità di polizia, fermo restando il rispetto degli obblighi di segretezza e, in ogni caso, con modalità tali da preservare la dignità della persona interessata.

Sono stabiliti i termini massimi di conservazione dei dati, quantificati in relazione a distinte categorie e si dispone che tali termini siano aumentati di due terzi quando i dati personali sono trattati nell’ambito di attività preventiva o repressiva relativa ai reati di criminalità organizzata, con finalità di terrorismo e informatici. Decorsi i termini di conservazione fissati, i dati personali, se soggetti a trattamento automatizzato, sono cancellati o resi anonimi, mentre continuano ad essere disciplinati dalle disposizioni sullo scarto dei documenti d’archivio delle pubbliche amministrazioni i dati non soggetti a trattamento automatizzato.

Si prevede poi che la persona interessata possa chiedere la conferma dell’esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, la rettifica, la cancellazione, il blocco o la trasformazione in forma anonima.