Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Una nuova intesa sul trasferimento dei dati, basata su “pesi e contrappesi opportuni” è stata annunciata in questi giorni dal vice presidente della Commissione Europea, Andrus Ansip. Quello che è stato battezzato Privacy Shield, sarà sottoposto al vaglio dei garanti europei, che da tempo avevano richiesto la messa a punto di un quadro legislativo internazionale per la tutela dei dati dei cittadini del continente.

Il precedente accordo Safe Harbour, durato 15 anni, e che aveva regolato 4 mila aziende che operano sul Web, è stato invalidato dalla Corte di Giustizia Ue il 6 ottobre, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

ll Privacy Shield dovrebbe perciò in prima istanza ottemperare alla questione sollevata dalla Corte.

Secondo quanto annunciato, con l’entrata in vigore del Privacy Shield, sarà possibile importare oltreoceano dati personali provenienti dall’Europa accettando condizioni stringenti su come possano essere elaborati in garanzia dei diritti dei cittadini. Si passerebbe così dalle autocertificazioni del Safe Harbor a impegni vincolanti, verificabili dalla Federal Trade Commission americana.

I cittadini europei avranno a disposizione diverse opzioni per fare opposizione al trattamento dei dati personali quando ritenuto opportuno. Le aziende americane dovranno rispondere alle contestazioni entro limiti di tempo stabiliti. In caso di inadempienza, i cittadini europei potranno rivolgersi alle autorità nazionali per la tutela dei dati personali, quindi al Department of Commerce e alla Federal Trade Commission USA. Nei casi che coinvolgeranno le autorità di intelligence, si ricorrerà al giudizio di una terza figura indipendente, stabilita dal Privacy Shield.

In merito all’accesso ai dati da parte delle autorità governative USA, il commissario europeo Jourova ha pubblicamente assicurato che il nuovo accordo politico prevede “che i dati degli europei non verranno sottoposti a sorveglianza indiscriminata”. Infatti, “per la prima volta in assoluto gli Stati Uniti hanno dato all’Unione Europea garanzie vincolanti che l’accesso da parte delle autorità giudiziarie e per la sicurezza nazionale sarà soggetto a limitazioni, tutele e meccanismi di controllo chiari”. Le eventuali eccezioni contemplate potranno essere “adottate solo in maniera necessaria e proporzionata”, impedendo il verificarsi di controlli di massa sui dati personali trasferiti negli USA. Un’analisi annuale congiunta della Commissione Europea e del Department of Commerce verificherà il rispetto degli accordi presi.

Il Privacy Shield è in questi giorni passato al vaglio dei garanti europei riuniti nell’Articolo 29 Working Party. Il Commissario europeo Jourova, che parteciperà alla discussione con i garanti, prevede l’entrata in vigore del nuovo accordo entro tre mesi.

Il Gruppo di lavoro sull’Articolo 29 ha rilasciato un comunicato in cui annuncia la richiesta alla Commissione di ulteriori documenti per valutare l’efficacia delle regole del nuovo accordo. Un’analisi approfondita risulterebbe necessaria per verificare che le clausole legali possano davvero fornire una soluzione sicura alle “preoccpuazioni” sul trasferimento dei dati internazionali sollevate dalla sentenza del caso Schrems.

Per approfondimenti:

QUI il testo della sentenza Causa C-362-14

QUI il comunicato dell’Articolo 29 Working Party

QUI il Comunicato Stampa della Commissione Europea sul Privacy Shield

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

La recente decisione “Facebook” della Corte di giustizia europea (Causa C-362-14) si può leggere con due diverse prospettive, che peraltro non si escludono vicendevolmente. La prima lettura è quella tecnico-giuridica. La seconda è quella politica.

Muoviamo dalla prima. I fatti sono noti e così le conclusioni. Gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Il percorso è quello tracciato dall’art. 25 della direttiva che si riporta, per comodità e per chiarezza, per comprendere meglio il passato (la decisione) e il futuro (le strade aperte attualmente).

“Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione”.

Dunque la Commissione in passato aveva ritenuto adeguato il livello di protezione garantito dal Safe Harbor, ma la Corte, con questa decisione, non concorda e invalida il Safe Harbor.

Ciò non significa affatto che il trasferimento dei dati personali verso gli Stati Uniti non possa più avvenire. Può avvenire sulla base dell’espresso consenso dell’interessato oppure sulla base delle Binding Corporate Rules.

Quindi l’interessato potrà esprimere il consenso sul trasferimento oppure il titolare del trattamento potrà dotarsi di regole di gestione approvate dall’Autorità garante che consentiranno il trasferimento.

Cosa cambia, allora?

Che non si potrà utilizzare lo strumento del Safe Harbor, cioè trasferire i dati verso gli Stati Uniti senza consenso o senza regole preapprovate, ritenendo cioè i dati protetti negli Stati Uniti come in Europa.

Sotto il profilo strettamente giuridico-applicativo, il commento finisce qui. Si configurano indubbiamente maggiori oneri gestionali per chi trasferisce i dati dall’Europa agli Stati Uniti, ma certo non un divieto.

Assai più problematica, invece la lettura politica della decisione che segue a distanza di circa un anno il caso Google Spain.

Gli Stati Uniti, si è affermato prima, non garantiscono per la Corte un livello di protezione dei dati adeguato.

In estrema sintesi la Corte afferma che il livello di protezione dei dati personali è più alto in Europa e che ai dati personali degli europei (si perdoni qui la semplificazione, ovviamente la decisione si riferisce al trasferimento dei dati dall’Europa, a certe condizioni) si applica la legge europea. Affermazioni di segno analogo erano nella decisione Google Spain.

La Corte anticipa il contenuto dell’art. 3 dell’emanando regolamento europeo in materia di protezione dei dati personali con un’altra decisione di carattere (anche) politico. D’altronde, la protezione dei dati personali ha rilievo costituzionale in Europa (art. 8 della Carta dei diritti fondamentali), ma non negli USA. Ciò ovviamente riflette una differente scala di valori in due regioni del mondo seppure molto simili fra loro, se confrontate con la regione asiatica. Ciò ha naturalmente un costo, diversamente sopportabile per i grandi (Google o Facebook) e per i piccoli attori. E evidenzia che politicamente sul punto fra Europa e Stati Uniti non c’è (ancora?) accordo.

Entro fine gennaio 2016 Europa e Stati Uniti dovranno raggiungere una nuova intesa per il trasferimento dei dati personali degli utenti dal vecchio continente alle aziende americane. Se ciò non dovesse avvenire, le authority UE della privacy ricorreranno a sanzioni per tutte le attività che continueranno a svolgersi secondo le regole dell’accordo noto come “Safe Harbor”.

In una nota resa pubblica in questi giorni, le authority europee riunite nell’Article 29 Data Protection Working Party (organo consultivo indipendente istituito in conformità all’articolo 29 della Direttiva 95/46/CE sulla protezione dei dati personali) hanno sottolineato l’urgenza dell’avvio di un negoziato che individui una posizione condivisa dei governi.

Sarà necessario un accordo “che offra garanzie più solide ai soggetti dei dati europei” e agisca in adempienza della recente sentenza della Corte di Giustizia europea. Non sarà considerato accettabile il persistere di condizioni che permettano una sorveglianza massiccia e indiscriminata, e il trasferimento di dati verso Paesi dove le autorità statali gestiscano le informazioni con “strumenti che prevaricano ciò che è lecito in una società democratica”. L’accordo non potrà comprendere soluzioni incompatibili con il quadro legale dell’Unione Europea.

Nel frattempo, in mancanza di un quadro di riferimento aggiornato, le autorità di protezione dei dati indagheranno su particolari casi, sulla base di segnalazioni ed esercitando le funzioni necessarie alla protezione dei diritti degli individui.

Il Working Party conclude la nota auspicando che le aziende siano coscienti dei “rischi che si assumono nel trasferimento dei dati” e che valutino tempestivamente l’adozione di soluzioni legali e tecniche atte a mitigare tali rischi nel rispetto delle norme comunitarie acquisite sulla data protection.

Si dovrà dunque arrivare a una conclusione che soddisfi le autorità europee entro la fine di gennaio 2016: nel caso in cui Europa e Stati Uniti non avranno trovato una soluzione, i garanti europei si impegneranno ad avviare tutti i provvedimenti necessari e appropriati, che prevedono la possibilità di una azione di enforcement coordinata.

revengepornCondannato per furto di identità ed estorsione l’ideatore di un sito che permetteva ai suoi utenti la pubblicazione di foto imbarazzanti degli ex partner.

Le immagini degli ignari cittadini venivano rese pubbliche, accompagnate da informazioni che ne permettevano agevolmente l’identificazione, al fine di umiliare pubblicamente le vittime e distruggerne la vita sociale. Questo lo scopo del cosiddetto “revenge porn” termine che definisce i contenuti sessualmente espliciti che vengono resi pubblici online senza il permesso delle persone coinvolte.

L’attività del sito ugotposted.com, ideato dal giovane californiano Kevin Christopher Bollaert, si basava sulla raccolta di file postati da utenti disposti a pubblicare le foto dei momenti di intimità passati con i rispettivi ex partner, con l’inequivocabile intento di procurare loro più danno possibile. Il sito d’archivio delle “vendette”, attivo dal dicembre 2012 al settembre 2013, aveva pubblicato oltre 10.000 immagini online.

Bollaert aveva inoltre avviato in parallelo un secondo sito, changemyreputation.com, che offriva come unico servizio quello di permettere alle vittime delle pubblicazioni di ugotposted.com di ottenere la rimozione delle proprie immagini, dietro un compenso di 300/350 dollari. In questo modo, il ventisettenne californiano amministratore dei due domini avrebbe ricavato circa 30.000 dollari.

Il 21 Febbraio 2015, i giudici della Corte di San Diego (California) hanno riconosciuto Bollaert colpevole di sei casi di estorsione e 21 di furto d’identità. È stato condannato a 18 anni di carcere e al pagamento di 10.000 dollari di multa.

La sentenza, ha specificato il procuratore generale K. D. Harris, è un precedente importante, che rende chiare “le conseguenze gravi a cui andranno incontro coloro che tenteranno di trarre profitto dallo sfruttamento di vittime online”.

Il procuratore, definendo il revenge porn un atto “vile e criminale”, ha poi confermato l’impegno “a vigilare e indagare e perseguire coloro che commettono simili deplorevoli atti”.

Schermata 2015-01-13 alle 01.54.55Il servizio di Google che permette di esplorare virtualmente luoghi spettacolari sbarca in Italia. Su richiesta di Mountain View il Garante per la protezione dei dati personali ha emesso un permesso di parziale esonero dall’informativa, ma fissa precise regole per le riprese fotografiche.

Spiagge, musei, parchi, siti archeologici: i luoghi più belli d’Italia saranno presto visitabili a distanza, grazie a Google Special collects, una collezione di ambienti virtuali ideata per diffondere la conoscenza dei più spettacolari angoli del mondo.

Le immagini vengono catturate con strumenti analoghi a quelli utilizzati per il servizio Google Street View, con una differenza: le speciali fotocamere in grado di effettuare scatti a 360 gradi non sono installate su automobili, ma su zaini di particolari “trekker”, operatori incaricati da Google di “mappare” il luogo senza l’utilizzo di auto.

Nella richiesta al Garante, Google ha dichiarato che, per limitare le riprese accidentali ai visitatori e tutelare la loro privacy, nei musei e in altri luoghi ad accesso limitato le registrazioni saranno effettuate negli orari di chiusura al pubblico. Negli spazi aperti saranno invece scelti orari in cui sia meno probabile incontrare passanti. La multinazionale americana provvederà inoltre a oscurare i volti e altri particolari identificativi (ad esempio, le targhe dei veicoli), eventualmente memorizzati, prima di rendere disponibili le immagini sul servizio Google Maps.

Nell’accordare il parziale esonero all’informativa a Google, il Garante ha imposto alla società l’adozione di ulteriori cautele a tutela del pubblico e di misure semplificate per informare le persone dell’attività di ripresa in corso.

In particolare, nei tre giorni antecedenti l’inizio delle registrazioni, Google dovrà pubblicare informazioni sui luoghi di ripresa sul proprio sito web in italiano. Un ulteriore avviso dovrà essere pubblicato già sette giorni prima dell’inizio delle riprese anche sui siti web e su eventuali altre pubblicazioni informative delle strutture coinvolte. Nei luoghi fisici, gli operatori di Google dovranno provvedere a informare il pubblico, attraverso appositi avvisi o cartelli affissi all’ingresso dei siti, dell’imminente registrazione delle immagini, in modo da consentire ai visitatori di esercitare il diritto a non venire inquadrati.

Inoltre, i “trekker” che trasportano le apparecchiature fotografiche dovranno essere riconoscibili mediante adesivi o altri segni distintivi ben visibili da applicare sull’abbigliamento e sulle attrezzature, in modo da segnalare chiaramente che si stanno acquisendo immagini da pubblicare online su Google Maps mediante il servizio Google Special Collects nell’ambito di Street View.

Google dovrà inoltre garantire la formazione del personale coinvolto circa il rispetto della normativa sulla protezione dei dati personali.

InternetdellecoseLe autorità europee per la protezione dei dati del gruppo Article 29 Working Party hanno emesso un parere sui recenti sviluppi del cosiddetto “Internet delle cose” e delle sue implicazioni in materia di privacy.

Tecnologie indossabili, domotica e sensori di misurazione biomedica: le funzionalità dei nuovi “oggetti intelligenti” non solo raccolgono una grande quantità di dati personale dei loro proprietari, ma sono anche in grado di connettersi ad altri sistemi istituendo una rete di monitoraggio tanto accurata quanto invisibile al cittadino.

L’analisi compiuta dal gruppo di lavoro Articolo 29, l’organo europeo indipendente a carattere consultivo in materia di privacy, rappresenta questi nuovi oggetti come vere e proprie sfide all’attività di protezione dei dati. Si tratta infatti di tecnologie che generano diversi rischi per la vita privata dei cittadini, basti pensare ai dispositivi di quantified self, sensori ed altri apparecchi utilizzati per misurazioni di prestazioni o monitoraggio delle condizioni bio-fisiche.

Per mantenere alto il livello di protezione della privacy delle persone che già utilizzano quotidianamente questi servizi e in vista della loro sempre più ampia diffusione, i rappresentanti europei del gruppo di lavoro hanno fornito indicazioni e raccomandazioni agli stakeholder ed in particolare ai fornitori dei servizi.

Infatti, sebbene l’Internet delle cose apra grandi prospettive per un gran numero di aziende innovative e creative europee, e porti indubbi benefici per cittadini e imprese, è tuttavia auspicabile che l’entusiasmo non releghi in secondo piano le cautele e gli accorgimenti necessari per preservare i dati personali dei cittadini.

Il gruppo di lavoro sottolinea come l’attuale quadro normativo europeo sia pienamente applicabile ai procedimenti di trattamento dei dati messi in atto dai nuovi dispositivi.  Gli obblighi essenziali in materia di protezione dei dati rimangono i medesimi nonostante la complessità dell’ecosistema degli “oggetti smart”. Per questo nel parere viene chiesto che le garanzie di privacy siano introdotte già nella fase progettuale, secondo il principio della “privacy by design” e della “privacy by default”, e nell’adozione coerente del principio di minimizzazione dei dati personali raccolti.

In particolare, le autorità europee mettono in guardia sui rischi per la sicurezza dei dati (che possono essere raccolti e incrociati attraverso gli oggetti interconnessi), sull’asimmetria informativa (gli utenti possono non capire quali dati siano raccolti, né chi vi possa accedere) e sulla profilazione, potenzialmente illimitata, di abitudini e comportamenti. Per ciascuno di questi aspetti nel parere vengono indicate contromisure e raccomandazioni, rivolte a tutti gli stakeholder interessati: produttori, sviluppatori di app, piattaforme social.

Il gruppo di lavoro sottolinea comunque un principio generale: l’utente deve poter mantenere il controllo dei dati trattati dagli “oggetti” in ogni fase e deve essere messo nella condizione di poter esprimere il proprio consenso informato, libero e specifico al trattamento dei dati .

Il testo completo del documento è disponibile QUI.

Il periodico di informazione sulla protezione dei dati personali “Privacy outlook”, con il patrocinio del Ministero dell’Interno e del Ministero della Giustizia, organizza un convegno dedicato al tema del nuovo Regolamento Europeo sulla protezione dei dati personali. L’evento si terrà presso la Sala del cenacolo della Camera dei Deputati il 24 febbraio alle ore 9.30.

Il nuovo Regolamento Europeo sulla tutela della privacy, presentato il 25 gennaio 2012 e in corso di approvazione, è stato recentemente illustrato a Bruxelles dalla vicepresidente della commissione Europea Viviane Reding, in occasione del “Data Protection Day 2014″, la Giornata della protezione dei dati personali istituita dall’Unione Europea. “Sulla protezione dei dati personali – ha dichiarato Viviane Reding – è necessario un maggior rigore: il Parlamento Europeo lo ha capito e, infatti, la commissione LIBE ha votato in ottobre a favore di un Regolamento forte che prevede sanzioni credibili per assicurare il rispetto delle norme europee. La settimana scorsa le tre istituzioni (Commissione europea, i due relatori del Parlamento europeo e la presidenza greca dell’UE insieme alla prossima presidenza italiana) hanno concordato ad Atene una tabella di marcia che dovrebbe permettere l’adozione della riforma sulla protezione dei dati personali entro quest’anno: se si tiene conto del fatto che i negoziati sulla direttiva del 1995 erano durati cinque anni, si tratta indubbiamente di un successo”.

L’evento ospiterà gli interventi di: Giovanni Buttarelli, Garante europeo aggiunto per la protezione dei dati personali, Giusella Finocchiaro, Professore ordinario di diritto di internet e di diritto privato nell’Università di Bologna, Emilio De Capitani, Funzionario Parlamento Europeo, Marco Cappato, Ex deputato Europeo, Luigi Montuori, Ufficio del Garante italiano per la protezione dei dati personali, Luigi Birritteri, Capo Dipartimento dell’organizzazione giudiziaria del Ministero della Giustizia, Giuseppe Corasaniti, Sostituto Procuratore Generale presso la Corte Suprema di Cassazione, Fabio Bartolomeo, Direttore Generale di Statistica del Ministero della Giustizia, Giovanni Maria Riccio, Professore di Diritto comparato ed europeo della comunicazione presso la Facoltà di Giurisprudenza dell’Università degli Studi di Salerno.

Per informazioni contattare il responsabile dell’evento al numero 347 7163639, indirizzo email “mariacarolina.farina@gmail.com”.

PrivacyOutlook_20140224

Computers, Privacy and Data ProtectionOggi si assiste ad una vera e propria esplosione del volume di dati relativi alla localizzazione di persone e oggetti.

Questo genere di informazioni è registrato in maniera esplicita quando, ad esempio, un utente acconsente all’utilizzo dei suoi dati geografici su un social network, ed in maniera più implicita dai tracker GPS dei veicoli e dai tag RFID (Radio-frequency identification) degli oggetti in movimento. A volte, inoltre, questi dati possono essere estrapolati da particolari azioni che lasciano “tracce digitali”, come ad esempio gli addebiti su carta di credito nei negozi o l’utilizzo dei sistemi di bigliettazione elettronica su smartcard per i mezzi pubblici.

Com’è noto, se da un lato , i dati di localizzazione costituiscono una risorsa importante, dall’altro possono rappresentare una seria minaccia per la privacy degli utenti, in quanto un’analisi di informazioni geografiche può facilmente portare allo scoperto dati sensibili, come, ad esempio, preferenze religiose o politiche. Bilanciare l’aspetto di utilità delle informazioni di localizzazione e la protezione dei dati è diventata una vera e propria sfida per il legislatore.

Sarà questo uno dei temi della settima conferenza internazionale “Computers, Privacy and Data Protection” che quest’anno sarà dedicata al tema della prospettiva globale sulle possibilità di riforma della normativa per la protezione dei dati personali. La conferenza si terrà a Bruxelles dal 22 al 24 gennaio 2014.

In particolare, un approfondimento sulle privacy in mobilità e i dati di geolocalizzazione sarà il tema del panel pomeridiano di venerdì 22 gennaio, al quale parteciperà l’ Avv. Annarita Ricci dello Studio Legale Finocchiaro.

Per maggiori informazioni visitare il sito del CPDP.

mobile-payment-payment-130521150345_mediumAlcune criticità sul trattamento dei dati di chi utilizza le nuove forme di pagamento attraverso smartphone e tablet hanno portato il Garante a presentare  uno schema di provvedimento volto a proteggere la privacy degli utenti del cosiddetto mobile remote payment, un sistema destinato a raggiungere in breve tempo una notevole diffusione.

Il Garante per la protezione dei dati personali ha avviato una procedura di consultazione pubblica sullo “Schema di provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile remote payment pubblicato il 12 dicembre 2013.

Le nuove forme di pagamento comportano il trattamento di una varietà di informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell’acquisto), in alcuni casi anche di natura sensibile.

Nell’ottica di favorire lo sviluppo del mercato del mobile payment e garantire un trattamento sicuro delle informazioni le regole proposte dal Garante sono rivolte ai tre principali soggetti coinvolti nelle nuove forme di transazione elettronica: gli operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento tramite cellulare, con l’uso di una carta prepagata o mediante un abbonamento telefonico; gli aggregatori, che gestiscono le piattaforme tecnologiche per l’offerta di prodotti e servizi digitali; i venditori di contenuti digitali (ebook, videogiochi, servizi, ecc.).

Tra le principali disposizioni dell’Autorità l’obbligo per i provider telefonici e i venditori di informare gli utenti specificando quali tra i loro dati verranno utilizzati  e per quali scopi. Nel caso operatori e venditori svolgano attività di marketing, profilazione, o comunichino i dati a terze parti saranno obbligati anche a chiedere il consenso al trattamento dei dati agli utenti.

Sul versante della sicurezza, per garantire la confidenzialità dei dati operatori, aggregatori e venditori saranno tenuti ad adottare “sistemi di autenticazione forte per l’acceso ai dati da parte del personale, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici.”

Dovranno inoltre essere “adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini, gusti e preferenze. “

Per quanto riguarda la conservazione dei dati trattati dagli operatori, dagli aggregatori e venditori, le informazioni dovranno essere cancellate dagli archivi dopo 6 mesi, fatto salvo l’indirizzo Ip dell’utente che dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

La consultazione è volta a raccogliere osservazioni e commenti sull’adeguatezza delle misure presentate dall’Autorità ed eventuali ulteriori proposte operative da parte di tutti gli stakeholder: privati cittadini, aziende, associazioni di categoria, centri di ricerca, università ecc. Tutti gli interessati potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella email consultazionemp@gpdp.it.

Lo schema di provvedimento è disponibile QUI.