wp_13572714 – Portaluppi Cyber&Privacy

Eclettica

Reading Time: 2 minutes

Chi è la persona “eclettica”

Partiamo nel definire cosa significa essere una persona eclettica:

l’eclettico si dice di colui che, in qualsiasi campo di attività, non segue rigorosamente un indirizzo o metodo, ma ne fonde diversi, armonizzandoli tra loro.

Ciao, mi presento: mi chiamo Marialuisa e sono stata definita una persona eclettica, ma perché le persone hanno questa valutazione di me?

Forse perché non riescono a comprendere lo spaziare in diverse discipline?

Limitarsi ad una disciplina non fa per me, è limitante.

Dove il mondo è in continua evoluzione e necessita di diverse capacità per perseguire un obiettivo, la ricerca e il mostrarsi principalmente innovativi, essere eclettici potrebbe essere un vantaggio.

Sono una DPO e alla domanda : “ma tu sei più Legal o Tech?”

Risposta: “io non sono un avvocatessa, sono metà Legal e metà Tech, proprio come dovrebbe essere il o la DPO.”

Partiamo subito da un linguaggio chiaro ed inclusivo, che a partire da oggi, 28 Giugno 2025 troverà piena applicazione in tutti gli Stati Membri del’Unione Europea la Direttiva (UE) 2019/882, conosciuta come European Accessibility Act, recepita in Italia con il D.Lgs n. 82/2022.

Come molti ben sanno, il mio primo approccio verso questo mondo è iniziato nel settore del digital marketing, ma proprio da eclettica probabilmente, ho voluto approfondire.

Spostata in specializzazioni ulteriori nel settore delle tecnologie informatiche, quali sicurezza informatica principalmente, ho incrociato inevitabilmente il Regolamento GDPR, ahimè da lì un ascesa: un continuo approfondimento sulle varie norme ISO collegate fra loro, dove bisogna stare al passo coi tempi, in forte mutamento su diverse argomentazioni.

Nel contempo non è stato dimenticato il settore digital marketing, ma anzi, è continuato l’approfondimento, volendo così collegare “il come spiegare e rendere più accessibile una lettura ed inclusiva” di testi, che ad esempio possono essere utili per la creazione di policy, informative legali o un apposito cartello dove viene indicata la presenza di telecamere di video sorveglianza ed altro.

Del resto, i discorsi di Accessibilità e Inclusività li troviamo in diverse norme ISO, come anche definito dal Regolamento GDPR.

Il tutto può essere sempre calato nella creazione di siti web, pubblicità di vario genere online, social media, mass media e cartacei.

Esistono oramai diversi canali di comunicazione per proporre i propri prodotti, servizi e attività varie.

Concludendo:

Eclettica?

Potrebbe essere…

Siete curiosi?

Nella Sezione Approfondimenti andremo a spiegare più nel dettaglio.

Un saluto.

“ll concetto di privacy individuale è un concetto moderno”

Reading Time: 2 minutes

“Nel XX secolo col diffondersi dei mezzi di comunicazione, è sorta l’esigenza di tutela dei diritti della personalità. Stampa, radio e televisione, dapprima, e i computer e l’internet successivamente, contribuiscono efficacemente all’informazione, all’intrattenimento e all’educazione degli utenti, costituendo i maggiori fautori dell’invasione della vita privata. È evidente che l’esigenza di intrattenimento e di informazione entra spesso in conflitto con l’interesse del soggetto ad evitare la divulgazione di fatti personali, o non veritieri, o addirittura lesivi dell’onore e della reputazione. Una particolare esigenza di tutela contro le indiscrezioni è collegata ai progressi delle tecniche di informazione.”

Nel XX secolo col diffondersi dei mezzi di comunicazione, è sorta l’esigenza di tutela dei diritti della personalità. Stampa, radio e televisione, dapprima, e i computer e l’internet successivamente, contribuiscono efficacemente all’informazione, all’intrattenimento e all’educazione degli utenti, costituendo i maggiori fautori dell’invasione della vita privata. È evidente che l’esigenza di intrattenimento e di informazione entra spesso in conflitto con l’interesse del soggetto ad evitare la divulgazione di fatti personali, o non veritieri, o addirittura lesivi dell’onore e della reputazione. Una particolare esigenza di tutela contro le indiscrezioni è collegata ai progressi delle tecniche di informazione.”

La raccolta e diffusione dei dati, si incrementa l’attitudine lesiva delle banche dati: ad esempio, richiedendo interventi tesi a proteggere la riservatezza, il diritto all’identità personale, all’immagine, all’informazione e alla diffusione del pensiero.
Il rapido evolversi delle tecnologie dell’informazione ha preteso una costante definizione di nuovi parametri di tutela della persona.
L’evoluzione tecnologica recente ha innegabilmente modificato le modalità con cui i soggetti percepiscono la propria identità, l’immagine e le relazioni sociali, i vari aspetti della personalità.

La sfera della riservatezza si presta a essere la più vulnerata dai moderni mezzi di comunicazione e, pertanto, la definizione di privacy si arricchisce di nuovi significati partendo dal “diritto a essere lasciati soli” tipico del diciannovesimo secolo, sino alle più recenti istanze di tutela dei dati e dei mezzi tecnologici di protezione.
Parallelamente, anche le definizioni di diritto all’identità si arricchisce del paradigma digitale, e l’immagine conosce violazioni e sfruttamenti strettamente connessi alle tecnologie informatiche.
La conoscenza delle attitudini lesive e delle prospettive di tutela dei diritti della persona nella società dell’informazione è utile al giurista sia per l’interessante approccio teorico e sia per i risvolti di immediata concretezza cui anche i fatti di cronaca ci rimandano.
La prospettiva di lavoro tiene conto dell’evoluzione dei diritti della personalità generalmente intesi e declinati nella tutela della riservatezza, immagine, identità, manifestazione del pensiero e diritto d’autore, alla luce delle più moderne tesi di indagine.

Nei prossimi articoli andremo ancor più nel dettaglio sulla sfera della riservatezza, buona lettura.

Nuovo Progetto di “Aura et Essentia” oltre il Visibile, altresì la nuova collaborazione con Dol’s Magazine.

Reading Time: 3 minutes

È iniziata così una collaborazione con Dol’s Magazine:La Nuova collaborazione con Dol’s Magazine Nuovo Progetto di “Aura et Essentia” oltre il Visibile e con il

“Ritrovando” un’amica, Miriam Meldolesi, fashion designer, entrambe facciamo parte di DEA-Designer Associati Emergenti, mi è stato proposto di partecipare ad un progetto rivolto alla parità di genere, un progetto creato da donne, artiste, professioniste, con lo scopo comune di sensibilizzare a livello nazionale l’argomento.

Così Miriam mi ha proposto di contattare Caterina, proprietaria di Dol’s Magazine, e chiederle di scrivere un articolo su di me, sul mio percorso professionale.

Caterina è una donna fantastica, molto istruita ed è inutile dire che l’articolo mi è piaciuto moltissimo.

Cosicchè abbiamo deciso di entrare in collaborazione, questo è stato il primo dei tanti articoli che creeremo assieme.

Il Progetto “Aura et Essentia” creato dalla gemmologa e wellness designer Miriam Meldolesi, e Monia Romanelli artista e fashion designer, è in corso e sta riscuotendo un grande successo, presso la Biblioteca delle Donne “Laura Cipollone”, che costituisce uno degli spazi più significativi del Centro Pari Opportunità di Perugia. Un mix in tutti i sensi vengono “accesi” per questa mostra, realizzata da donne e dedicata alla bellezza della femminilità, alla forza e fragilità delle donne che, nonostante gli ultimi decenni di lotte e rivendicazioni, non hanno ancora appieno guadagnato la parità rispetto al genere maschile.

La mostra è stata presentata al pubblico da Simona Esposito, attrice, scrittrice e doppiatrice, e resterà aperta (ingresso gratuito), fino al prossimo 8 giugno.

L’attenzione del pubblico e delle istituzioni ha consentito di avviare importanti contatti per rendere la mostra itinerante in altre regioni d’Italia.

Ma vi chiederete cosa c’entri io che tratto la data protection?

In allegato la mia prima presentazione al progetto

Documento3_1 (2)Download

Bene, andiamo al sodo!

Non a caso Miriam mi ha contattata per entrare a far parte del progetto, al quale io ho acconsentito di farne parte integrante, un argomento toccante e che rientra pienamente in alcune argomentazioni del settore della data protection.

Partendo dalle norme ISO

La norma UNI/Pdr 125 del 2022 è molto utile alle imprese, si deve analizzare la norma, lo scopo e il campo di applicazione, indicazioni sulle quali lo standard è stato scritto, riferimenti normativi, terminologia, requisiti.

Il PDR, con classi di riferimenti dell’UNI, ha classi normative, di terminologia, di requisiti, di inclusione ed esclusione.

Crea un parte merceologica delle applicazioni, certificazioni e sgravi fiscali, finanza agevolata, rischio, presunzione di conformità, reati, indicatori molto puntuali. reati di malversazione.

È uno “Stellone” della Repubblica non solo UNI, ma anche di un soggetto pubblico, pari opportunità, dove un ministro ne ha fatto la conferenza stampa di tale presentazione.

Si integra anche alla norma ISO 30415, “Diversità e Inclusione”, si parla di welfare aziendale.

Il sistema di gestione, si applica alle aziende che hanno altri sistemi di gestione: tipo del sistema di gestione della qualità, dell’ambiente, della sicurezza, e quando si parla di sicurezza non si parla solo di sicurezza sul lavoro, fisica, ma anche nel mondo online, che si ripercuote sulla persona fisica (sicurezza del dato, dell’informazione, della privacy, della tutela della persona)….

È perfettamente integrabile nel mondo ISO dei sistemi di gestione.

I KPI, indicatori di prestazioni, su questo argomento il settore delle risorse umane e comunicazione sono legate sulla politica dell’organizzazione, personalizzata, soggettiva, che la norma mi chiede di fare, anche con attività di audit.

Accredia ha creato un appendice molto delicata a questa norma.

La norma ISO 53800, entrata in vigore il 15 maggio del 2024, rappresenta un cambiamento epocale per la gestione dei progetti sulla parità di genere, stabilendo un insieme di linee guida volte a ridurre le disuguaglianze di genere, migliora l’inclusività e promuove l’empowerment femminile.

Non voglio dilungarmi in questo articolo, ne creerò altri andando molto nel dettaglio, approfondendo l’argomento e collegando altre norme ISO, ma già da queste poche righe si può penso ben capire il perchè della mia scelta ad aderire al progetto in cui mi ha voluto coinvolgere Miriam.

Un grazie ad ognuna di queste donne, che hanno creduto in me, che mi stanno dando l’opportunità di condividere con loro questo progetto molto importante, inclusivo.

Un caro saluto.

Marialuisa Portaluppi è Lead Auditor di I/II/III parte dei Sistemi di Gestione di: Qualità ISO 9001:2015 – Sistema di Gestione della Sicurezza delle Informazioni ISO/IEC 27001:2022 – UNI PdR 125:2022 Parità di Genere – Consulente Informatico ICT – Privacy Officer – DPO.

È iniziata così la collaborazione con Dol’s Magazine:

Reading Time: 3 minutes

“Ritrovando” un’amica, Miriam Meldolesi, fashion designer, entrambe facciamo parte di DEA-Designer Emergenti Associati, mi è stato proposto di partecipare ad un progetto rivolto alla parità di genere, un progetto creato da donne, artiste, professioniste, con lo scopo comune di sensibilizzare a livello nazionale l’argomento.

Così Miriam mi ha proposto di contattare Caterina, proprietaria di Dol’s Magazine, e chiederle di scrivere un articolo su di me, sul mio percorso professionale.

Caterina è una donna fantastica, molto istruita ed è inutile dire che l’articolo mi è piaciuto moltissimo.

Quindi abbiamo deciso di entrare in collaborazione e questo è stato il primo dei tanti articoli che creeremo assieme.

Il Progetto “Aura et Essentia”, creato dalla gemmologa e wellness designer Miriam Meldolesi e Monia Romanelli artista e fashion designer, è in corso e sta riscuotendo un grande successo, presso la Biblioteca delle Donne “Laura Cipollone”, che costituisce uno degli spazi più significativi del Centro Pari Opportunità di Perugia. Un mix che in tutti i sensi vengono “accesi” per questa mostra, realizzata da donne e dedicata alla bellezza della femminilità, alla forza e fragilità delle donne che, nonostante gli ultimi decenni di lotte e rivendicazioni, non hanno ancora appieno guadagnato la parità rispetto al genere maschile.

La mostra è stata presentata al pubblico da Simona Esposito, attrice, scrittrice e doppiatrice, e resterà aperta (ingresso gratuito), fino al prossimo 8 giugno.

L’attenzione del pubblico e delle istituzioni ha consentito di avviare importanti contatti per rendere la mostra itinerante in altre regioni d’Italia.

Ma vi chiederete cosa c’entri io che tratto la data protection?

Bene, andiamo al sodo!

Partendo dalle norme ISO

Il PDR, con classi di riferimenti dell’UNI, ha classi normative, di terminologia, di requisiti, di inclusione ed esclusione.

Crea un parte merceologica delle applicazioni, certificazioni e sgravi fiscali, finanza agevolata, rischio, presunzione di conformità, reati, indicatori molto puntuali. reati di malversazione.

È uno “Stellone” della Repubblica non solo UNI, ma anche di un soggetto pubblico, pari opportunità, dove un ministro ne ha fatto la conferenza stampa di tale presentazione.

Si integra anche alla norma ISO 30415, “Diversità e Inclusione”, si parla di welfare aziendale.

Il sistema di gestione della parità di genere si applica alle aziende che hanno altri sistemi per la gestione della qualità, dell’ambiente, della sicurezza; inoltre quando si parla di sicurezza non si parla solo di sicurezza sul lavoro, fisica, ma anche relativa al mondo online, per le ripercussioni sulla persona fisica (pensiamo alla sicurezza del dato, dell’informazione, della privacy, della tutela della persona ecc….)

Il sistema di gestione della parità di genere è anche perfettamente integrabile nel mondo ISO dei sistemi di gestione.

I KPI, indicatori di prestazioni, che vengono utilizzati dal settore delle risorse umane e comunicazione, sono fattori determinanti nella politica dell’organizzazione, personalizzata, soggettiva, che la norma richiede di fare, anche con attività di audit.

Accredia ha creato un appendice molto dedicata a questa norma.

La norma ISO 53800, entrata in vigore il 15 maggio del 2024, rappresenta un cambiamento epocale per la gestione dei progetti sulla parità di genere, stabilendo un insieme di linee guida volte a ridurre le disuguaglianze di genere, migliorando l’inclusività e promuovendo l’empowerment femminile.

Non voglio dilungarmi in questo articolo, ne creerò altri andando molto nel dettaglio, approfondendo l’argomento e collegando altre norme ISO, ma già da queste poche righe si può ben capire il perchè della mia scelta di aderire al progetto di Miriam e Monia.

Un grazie ad ognuna di queste donne, che hanno creduto in me, e che mi stanno dando l’opportunità di condividere con loro questo progetto molto importante e inclusivo.

Un caro saluto.

ICT, GDPR, PRIVACY!

Reading Time: 4 minutes

Durante lo svolgimento lavorativo per l’ICT-Information and Communications Technology, ossia la Tecnologia dell’Informazione e della Comunicazione, incontriamo la Compliance aziendale, cioè l’insieme di processi e procedure che un’azienda implementa per assicurarsi di rispettare leggi, regolamenti e normative pertinenti al suo settore. I principi relativi al trattamento dei dati personali sono posti al centro del Regolamento Generale sulla Protezione dei Dati (GDPR). L’art. 5 del GDPR fissa sette principi chiave relativi al trattamento dei dati personali, che devono essere rispettati dagli operatori economici (titolari e responsabili del trattamento) quando trattano dati personali:

Liceità, correttezza e trasparenza;
Limitazione della finalità;
Minimizzazione dei dati;
Esattezza;
Limitazione della conservazione;
Integrità e riservatezza;
Responsabilizzazione.

I suddetti principi di trattamento dei dati personali costituiscono il punto di partenza per la conformità al GDPR. Si tratta di principi fondamentali che mirano a il rispetto delle norme sulla protezione dei dati personali e a tutelare i diritti delle persone (soggetti interessati).

Comprendere i principi del trattamento dei dati personali è essenziale per capire gli obblighi del GDPR. Prima di qualsiasi trattamento di dati personali, le aziende (titolari del trattamento) devono chiedersi se tale trattamento sia lecito, corretto, trasparente, necessario per raggiungere uno scopo specifico, se i dati personali in possesso della società siano accurati, se siano conservati solo per il tempo strettamente necessario per realizzare una specifica finalità e se siano state adottate misure adeguate per mantenere i dati personali al sicuro.

Tutte le informazioni rivolte agli interessati devono essere rese disponibili in un unico luogo o in un documento completo, in modo conciso e trasparente, per evitare la saturazione delle informazioni. Il Regolamento Generale sulla Protezione dei Dati non specifica come debba essere definito questo documento, ma nella prassi viene comunemente chiamato informativa privacy o dichiarazione sulla privacy.

Le informazioni contenute in tale documento devono essere chiaramente distinte da altre informazioni non correlate alla protezione dei dati personali, come i termini contrattuali o le condizioni generali di utilizzo.

Molto spesso gli imprenditori commettono errori sul trattamento dei dati personali nell’ambito, ad esempio, delle condizioni generali di utilizzo. L’informativa sulla privacy deve essere un documento separato, facilmente e pubblicamente accessibile agli interessati, ad esempio in calce al sito web, su ogni sito web.

Alcune delle misure e degli strumenti utili per dimostrare la compliance rispetto al regolamento generale sulla protezione dei dati

Svolgimento di un’analisi approfondita delle attività di trattamento nell’organizzazione/società e una mappatura dei dati che consenta l’organizzazione e la gestione dei dati per scopi operativi e il monitoraggio dei flussi di dati;
Implementazione di misure tecniche e organizzative adeguate
Applicazione del principio di privacy by default
Attuazione di norme e informative sulla privacy appropriate; disporre di una informativa privacy concisa, accessibile e trasparente, disponibile al pubblico, e di policy chiare di conservazione dei dati, policy di cancellazione dei dati, policy sulle richieste di accesso ai dati e policy sulla gestione delle richieste di diritti di protezione dei dati;
Stipulare contratti chiari con i responsabili del trattamento che agiscono per conto del titolare del trattamento
Conservare i registri delle attività di trattamento, ove opportuno;
Nominare un responsabile della protezione dei dati e garantire il suo tempestivo coinvolgimento in tutte le questioni relative alla protezione dei dati.
Adottare policy interne e condurre valutazioni d’impatto sulla protezione dei dati.
Compliance a codici di condotta o schemi di certificazione;
Registrare e, se del caso, segnalare le violazioni dei dati personali.

Gli obblighi derivanti dal principio di responsabilizzazione si applicano e si evolvono nel tempo, e il titolare del trattamento deve costantemente rivedere e aggiornare le proprie misure.

Se l’organizzazione/società dispone di un sito web ufficiale, il titolare del trattamento può utilizzarlo come primo punto di riferimento per gli utenti che desiderano saperne di più sulla policy privacy dell’organizzazione/società (titolare del trattamento) e sui dettagli di contatto del responsabile della protezione dei dati. Queste informazioni devono essere chiaramente visibili e facilmente accessibili.

Se la società tratta i dati personali attraverso i cookie sul sito web, in particolare allo scopo di generare informazioni analitiche che possono essere successivamente utilizzate per la pubblicità mirata, ciò deve essere chiaramente visibile ai visitatori del sito web quando vi accedono per la prima volta. È essenziale consentire ai visitatori del sito web di rinunciare facilmente ai cookie senza alcuna riduzione della qualità del servizio fornito dal sito stesso.

Cos’è la protezione tecnologica e integrata dei dati ?

La privacy by design e by default è parte integrante dell’attuazione del principio di responsabilizzazione. Si tratta di integrare la privacy in tutte le attività di trattamento dei dati. La privacy by design e by default non è un principio a sé stante, ma comprende tutti i principi di cui all’articolo 5 del Regolamento Generale sulla Protezione dei Dati e le misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati personali contro i rischi e ad assicurare che la società tratti solo i dati personali che sono necessari per ogni finalità specifica del trattamento.

Le società devono prendere in considerazione i principi di privacy by design e by default prima di iniziare a trattare i dati personali. Le società sono obbligate a implementare i principi di privacy by design e by default prima del trattamento, ma anche durante l’intero trattamento, verificando regolarmente l’efficacia delle misure di sicurezza scelte. Le misure che possono essere appropriate sono la riduzione della quantità di dati raccolti, l’uso di tecniche di pseudonimizzazione e il miglioramento delle misure di sicurezza.

Nel prossimo articolo andremo ad approfondire alcuni aspetti, buona lettura.

Data Protection

Reading Time: < 1 minute

Il Comitato europeo per la Protezione dei Dati (EDPB) è un organismo indipendente dell’Unione europea con sede a Bruxelles, il cui scopo è garantire un’applicazione coerente del Regolamento generale sulla Protezione dei Dati (RGPD) e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE. Il 25 maggio 2018, l’EDPB ha sostituito il gruppo di lavoro “Articolo 29”.

Il ruolo dell’EDPB include le seguenti competenze

Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all’interpretazione e all’applicazione del RGPD,

Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
Adottare pareri volti a garantire la coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all’applicazione legislativa nel contesto di casi transfrontalieri,
Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.

Presidenza

Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vice presidenti.

Membri dell’EDPB

Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).

Le Nuove Tecnologie

Reading Time: 4 minutes

I DIRITTI DELLA PERSONALITÀ

La società della Tecnica e dell’Informazione

La tecnologia ha assunto negli ultimi decenni una rilevanza crescente e significativa in tutti i contesti socio-economici.

La diffusione delle tecnologie informatiche, che costituiscono il cuore della società dell’informazione, la rivoluzione tecnologica e sociale degli ultimi anni può essere ricondotta al passaggio dalla società industriale alla società dell’informazione.
L’informatizzazione ha condotto alla formazione di un nuovo modello: la società dell’informazione.
Le tecnologie informatiche e di telecomunicazione assumono un ruolo significativo nello sviluppo delle attività umane. È evidente che la rivoluzione digitale è indissolubilmente connessa con l’evoluzione della società dell’informazione.
La rivoluzione digitale sancisce il passaggio dalla tecnologia meccanica ed
elettronica analogica a quella elettronica digitale, rivoluzione che ha interessato i Paesi industrializzati già a partire dalla metà del secolo scorso.
La rivoluzione digitale procede parallelamente alla cosiddetta rivoluzione informatica, intesa quale processo di cambiamento apportato dalle Tecnologie dell’Informazione e della Comunicazione, in ragione soprattutto dello sviluppo del World Wide Web.
Dreyfus, docente all’Università di Harvard, ha coniato nel 1962 il termine informatica dall’spressione francese information automatique, per indicare la gestione automatica di dati e in formazioni mediante calcolatore. Dagli anni Ottanta del secolo scorso, l’informatica ha trovato larga diffusione nella società.

La società dell’informazione è caratterizzata dalla gestione e dalla ricerca automatizzata delle informazioni, e permea tutte le attività umane. La trasformazione connessa all’elaborazione automatica delle informazioni non si limita infatti alle attività produttive e amministrative,
poiché l’informatica crea il ciberspazio, il mondo virtuale delle reti informatiche.
L’informatica ha conquistato, per certi versi, anche lo spazio fisico attribuendo agli oggetti la capacità di elaborare e comunicare.

Si parla dunque di Internet of Things (internet delle cose) per indicare l’estensione di Internet anche al mondo degli oggetti. Internet of Things descrive un sistema in cui internet è collegato al mondo fisico mediante sensori che consentono alle applicazioni di far “comunicare” gli oggetti. L’identificazione di ciascun oggetto avviene tramite minuscoli transponder a radiofrequenza in essi inseriti, oppure mediante codici a barre o codici grafici bidimensionali impressi sull’oggetto. Le applicazioni riguardano, dunque, la gestione di beni di consumo (durante la produzione, l’immagazzinamento, la distribuzione, la vendita o l’assistenza postvendita), o anche il tracciamento di oggetti.
Comprendere come la sfera giuridica sia stata coinvolta e interessata dalle dinamiche connesse allo sviluppo tecnologico è un approfondimento avvincente.
L’utilizzo di strumenti informatici non ha comportato esclusivamente questioni di carattere tecnico, investendo numerosi ambiti della riflessione giuridica.
Il mutamento della realtà conseguente all’innovazione scientifica e tecnologica investe immediatamente il diritto, tanto che alcune vicende prima ritenute giuridicamente irrilevanti interessano ora il giurista, così come altre, collocate tradizionalmente in una sfera di rilevanza pubblicistica, entrano invece nell’orbita dell’autonomia privata. Fino a poco tempo fa, l’intervento del sistema giuridico si è limitato alla risoluzione di controversie di non eccessiva complessità sociale. Rispetto a esse, è stato sufficiente rimodulare le interpretazioni delle norme esistenti in funzione delle esigenze via via sollevate dal progresso scientifico. La diffusione delle tecnologie informatiche ha richiesto ai legislatori l’emanazione di norme ad hoc, in grado di disciplinare le nuove istanze connesse all’implementazione tecnologica. Il rapporto tra tecnologia e diritto si è configurato in termini complessi sin dall’inizio: innanzitutto, dal punto di vista definitorio, vi è la tradizionale bipartizione nel rapporto tra l’informatica e il diritto, che si risolve nella suddivisione in informatica giuridica e diritto dell’informatica.
Il diritto dell’informatica esamina i problemi giuridici connessi all’utilizzo delle tecnologie di comunicazione e dell’informatica, e gli effetti riconducibili ai comportamenti posti in essere utilizzando le tecnologie nella vita sociale.
Si concretizza nello studio delle vicende giuridiche nel contesto delle nuove tecnologie soprattutto telematiche, e in riferimento alle modalità con cui il progresso tecnologico incide sulla tutela dei dati personali, sulla tutela dei diritti della personalità, sulla conclusione dei contratti del commercio elettronico.
Le aree di studio possono essere così riassunte:
• Tutela dei dati-privacy
• Proprietà intellettuale informatica
• Documenti digitali
• Commercio elettronico (e-commerce)
• Proprietà intellettuale informatica
• Documenti digitali
• Governo elettronico: e-governance
• Reati informatici
La rivoluzione connessa alla società dell’informazione incide in maniera significativa sulla riflessione giuridica. L’attività giuridica è oggetto dell’informatizzazione e non esclusivamente in relazione all’acquisizione di nuovi strumenti di lavoro. Il giurista deve operare in stretta correlazione con gli strumenti informatici e deve contestualmente operare negli ambienti virtuali creati dalla tecnologia.
Su questi presupposti si concretizza la dottrina dell’ informatica giuridica.

L’informatica giuridica è la disciplina che studia l’informatica applicata al diritto, concetrandosi sugli aspetti giuridici della rivoluzione tecnologica, economica e sociale connessi all’informatica.
Con l’espressione informatica giuridica si fa generalmente riferimento al ruolo che gli strumenti informatici rivestono in relazione a molti settori del diritto: dalla gestione di database al processo telematico fino alla possibilità di tradurre a livello di algoritmo schemi di ragionamento tipici dell’argomentazione giuridica (le sentenze).
In alcuni ambiti, le questioni del diritto dell’informatica sono connesse con quelle dell’informatica del diritto e ciò avviene quando il legislatore regola l’uso dell’informatica in alcune attività giuridiche. Si pensi al processo civile telematico, materia in cui il diritto dell’informatica regola e individua le soluzioni organizzative e tecnologiche, oppure al tema dell’informatica nella pubblica amministrazione.
Le vicende che presentano tale duplice profilo di rilevanza sono: il documento informatico, la firma elettronica la circolazione e la tutale degli atti e dei dati informatici.
L’informatizzazione ha avuto un significativo impatto sulla vita sociale, contribuendo da una parte a determinare nuovi rischi e, dall’altra, ad introdurre nuove opportunità per l’economia, la politica e la vita sociale.
Sotto un altro aspetto, l’informatizzazione modifica il lavoro del giurista che si avvale sempre più di frequente degli strumenti informatici.
Al di là delle sia pur necessarie e utili questioni definitorie, è interessante comprendere come l’irrompere della tecnologia, soprattutto informatica, abbia trasformato la prospettiva della riflessione giuridica.
Il tema di analisi prende inizio dai rischi connessi all’impatto delle tecnologie sulla tutela della persona e dei diritti della personalità.

Nel prossimo articolo parleremo delle nuove tecnologie e interessi tutelati, buona lettura.

Cybersecurity

Reading Time: 2 minutes

La sicurezza informatica (in inglese cyber security), è l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di confidenzialità, integrità e disponibilità, dei beni o asset informatici.

Un sinonimo che trova talvolta impiego in questo contesto è cybersicurezza, essendo quell’ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance.

Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.

La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti.

L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività.

Sicurezza delle informazioni

Sicurezza informatica non coincide con sicurezza delle informazioni (InfoSec). La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l’asset “informazione” nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità.

Si può sommariamente osservare che:

quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata;
un’informazione orale (o materializzata unicamente su carta) rimane un’informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica.

Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l’integrità e la disponibilità (proprietà identificate con l’acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI; in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell’organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificare ISO 27001 il proprio SGSI.

Per approfondimenti e Certificazioni Auditor/Lead Auditor ISO/IEC 27001:2022

Privacy

Reading Time: 3 minutes

Privacy, termine dell’inglese, traducibile in italiano con riservatezza o privatezza, indica, nel lessico giuridico-legale, il diritto alla riservatezza della vita privata di una persona.

Il diritto a non essere soggetto a violazioni non autorizzate della parte più privata della propria esistenza da parte del governo, delle società o degli individui fa parte delle leggi sulla privacy di molti Stati del mondo e, in alcuni casi, delle costituzioni.

Evoluzione storica del concetto

Il concetto si sviluppa fin dell’Antica Grecia, quando, in una serie di trattati filosofici si inizia a far riferimento ad un “senso di riservatezza”. Aristotele, nella sua Politica, distingue tra Polis, sfera pubblica dell’individuo, correlata alle attività cittadine, ed Oikos, sfera privata, associata alla vita domestica. Viene così stabilito l’ambito personale, distinto da pubblico e politico. Per gli antichi greci il coinvolgimento da parte degli uomini nella vita pubblica era di fondamentale importanza; parallelamente, però, riconoscevano al singolo la necessità di una sfera propria e riservata, da intendersi come luogo in cui occuparsi dei propri bisogni. L’affermarsi di città-stato significa per l’uomo ricevere una personale vita activa, marcando il discrimine tra ciò che è proprio contro ciò che è comune. La vita privata è rispettata in quanto considerata elemento necessario a far scaturire uno stimolo d’interesse cittadino. Ogni uomo che ha proprietà nella città sarà interessato al suo corretto funzionamento.

Durante l’età feudale si espande l’ideale di libertà personale e, successivamente, grazie allo Stato assoluto, ciò che separa privato e pubblico viene delineato al punto da originare la sfera del privato. Riforme religiose e diffusione dell’alfabetizzazione sono tra gli elementi che condizionano fortemente la società occidentale del XVI e XVII secolo. Tali elementi portano proprio ad un mutamento radicale della mentalità sociale, diffondendo un nuovo costume d’appartenenza.

La connotazione odierna di privacy, però, si afferma proprio a seguito della caduta del feudalesimo. XVIII e XIX rappresenterebbero un’era prolifica per il diritto. Nel 1890, due giuristi statunitensi, Louis Brandeis e Samuel Warren, pubblicarono “The Right of Privacy”^[6] sulla Harward Law Review, prima monografia giuridica a riconoscere “the right to be let alone”, “diritto ad essere lasciato da solo”. Esprimendo in queste parole il desiderio di una propria ed inviolabile intimità^[7]^[8].

Ciononostante, le prime accezioni del termine si riferiscono ad una casistica tendente al negativo, la libertà ottenuta con il concetto di privacy non è associata ad una possibilità “di”, quanto ad una liberazione “da” un qualcosa/qualcuno. Il periodo storico è quello della rivoluzione industriale, ciò è quindi da intendere non in ottica universale, quanto riferito al ceto borghese. È già qui evincibile quanto il concetto di privacy si riscopra in ogni contesto storico, dovendosi interfacciare con una serie di nuove necessità personali che in esso si affermano. Il sancire un’impossibilità di ingresso in uno spazio altrui, come sottolineato da Rodotà, funge da snodo culturale fondamentale nell’affermazione della privacy odierna.

In ottica europea si ha una prima formazione del concetto di privato tra XVIII e XIX secolo. In Germania origina la discussione su una serie di possibilità individuali originanti dal “diritto naturale”, elemento d’influenza della filosofia giuridica tedesca.

Nel 1954 una sentenza del Bundesgerichtshof determina, per la prima volta, un basilare diritto alla personalità.

La discussione d’origine germanica si estese così per il continente, fintanto che nel 1909, in Francia, si giunge alla legittimazione dei diritti della personalità.

Parallelamente, nel Bel paese, il concetto viene portato avanti da Adolfo Ravà, docente di Filosofia del diritto. I punti sollevati da Ravà, seppur paralleli al pensiero tedesco, hanno origine indipendente. Analizzando il Tractatus de potestate in seipsum di Baldassarre Gomez de Amescua, giurista spagnolo del XVI secolo, ne coniuga un “diritto sulla propria persona”, che esclude però una lunga serie d’elementi per noi correlati, quali: diritto d’autore, sul nome, sul marchio. Successivamente sarà sempre Ravà a determinare per analogia legis il “diritto alla riservatezza”.

I primi casi di violazione si presentano tra gli anni ’50 e ’60. Caso particolarmente significativo è la sentenza emessa dalla Corte di Cassazione nel 1963. Il settimanale italiano “Tempo” ottenne attenzione popolare diffondendo una serie di particolari inerenti alla vita intima di Claretta Petacci, amante di Benito Mussolini. A seguito della constatazione ne scaturì una denuncia da parte della sorella minore della Petacci, Miria di San Servolo.

Nel 1975 anche il Supremo Collegio italiano si adeguò alle controparti europee affermando l’esistenza di un diritto alla riservatezza. Il tutto scaturì a seguito di controversie con Soraya Esfandiari che fu fotografata, nelle proprie mura domestiche, in atteggiamenti intimi con un uomo.

Tornando all’ottica comunitaria, una serie di provvedimenti fu ribadita: direttive 95/46/CE, 97/66/CE, e 2002/58/CE.

In Italia, consecutivamente alla 95/46/CE si ha l’istituzione di una figura di garante per la protezione dei dati personali. Seguì l’emanazione del decreto legislativo 30 giugno 2003 n.196, il quale introdusse nell’ordinamento italiano un autonomo diritto alla protezione dei dati personali, indipendente rispetto alla tutela della sfera intima dell’individuo. L’estensione europea di questa visione entra in vigore il 7 dicembre 2000, con l’art. 8, comma I della Carta dei diritti fondamentali dell’Unione Europea, detta anche Carta di Nizza, che fa esplicito riferimento al diritto alla protezione dei dati personali.

Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva, la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. È composto da 99 articoli e 173 considerando, questi ultimi con solo valore interpretativo. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento, tranne per le parti per le quali si prevede espressamente delle possibilità di deroga.

Certificazioni in ambito GDPR

Reading Time: 2 minutes

EA e EDPB

L’EA-European Accreditation e l’EDPB-European Data Protection Board sono due organismi europei con ruoli ben distinti, entrambi con un impatto significativo sulla certificazione in ambito GDPR.

L’EA è l’organizzazione che coordina gli organismi nazionali di accreditamento degli stati membri UE, con lo scopo principale di garantire che gli organismi di certificazione, ispezione e verifica operino secondo standar comuni e riconosciuti a livello europeo, seguendo il Regolamento (CE) n.765/2008, che stabilisce un quadro per l’accreditamento e la vigilanza del mercato UE.

Si occupa di garantire che le certificazioni rilasciate da organismi accreditati siano riconosciute nell’UE, mantenendo così la fiducia del mercato unico.

L’EDPB è un organismo indipendente che garantisce l’applicazione del Regolamento Generale sulla Protezione dei Dati-GDPR, fornendo linee guida e pareri.

Supervisiona il funzionamento delle autorità nazionali di protezione dei dati-DPA, assicurando che le loro decisioni siano coerenti tra gli Stati membri, per garantire che i meccanismi di certificazione siano conformi al GDPR.

L’EA assicura che questi organismi operino secondo standard ISO/IEC riconosciuti a livello internazionale, come ISO/IEC 17065 per gli organismi di certificazione di prodotti, processi e servizi.

L’EDPB non accredita direttamente, ma definisce i criteri di certificazione, fornendo orientamenti per la valutazione della conformità al GDPR.

Controlla che le certificazioni relative al GDPR siano coerenti e non contraddicano i principi fondamentali della protezione dei dati.

Le differenze sono: l’EA si occupa di accreditare gli organismi di certificazione e garantire che operino in modo affidabile secondo gli standard internazionali, l”EDPB si occupa della protezione dei dati e fornisce linee guida per la certificazione GDPR.

L’EA è il punto di riferimento per la qualità e l’affidabilità della certificazione in generale, l’EDPB si occupa di garantire che la certificazione nell’ambito della protezione dei dati sia coerente con il GDPR.

Secondo il parere di (3) Riccardo Giannetti | LinkedIn le due entità dovrebbero lavorare in sinergia, ma con ruoli ben distinti.

Ho voluto pubblicare questo articolo, prendendo spunto da pillole molto interessanti del mio amico Riccardo, seguiranno successivamente altre condivisioni di articoli tipo, seguendo il nostro mantra 😜