Tag: Privacy

ICT, GDPR, PRIVACY!

Durante lo svolgimento lavorativo per l’ICT-Information and Communications Technology, ossia la Tecnologia dell’Informazione e della Comunicazione, incontriamo la Compliance aziendale, cioè l’insieme di processi e procedure che un’azienda implementa per assicurarsi di rispettare leggi, regolamenti e normative pertinenti al suo settore. I principi relativi al trattamento dei dati personali sono posti al centro del Regolamento Generale sulla Protezione dei Dati (GDPR). L’art. 5 del GDPR fissa sette principi chiave relativi al trattamento dei dati personali, che devono essere rispettati dagli operatori economici (titolari e responsabili del trattamento) quando trattano dati personali:

  • Liceità, correttezza e trasparenza;
  • Limitazione della finalità;
  • Minimizzazione dei dati;
  • Esattezza;
  • Limitazione della conservazione;
  • Integrità e riservatezza;
  • Responsabilizzazione.

I suddetti principi di trattamento dei dati personali costituiscono il punto di partenza per la conformità al GDPR. Si tratta di principi fondamentali che mirano a il rispetto delle norme sulla protezione dei dati personali e a tutelare i diritti delle persone (soggetti interessati).

Comprendere i principi del trattamento dei dati personali è essenziale per capire gli obblighi del GDPR. Prima di qualsiasi trattamento di dati personali, le aziende (titolari del trattamento) devono chiedersi se tale trattamento sia lecito, corretto, trasparente, necessario per raggiungere uno scopo specifico, se i dati personali in possesso della società siano accurati, se siano conservati solo per il tempo strettamente necessario per realizzare una specifica finalità e se siano state adottate misure adeguate per mantenere i dati personali al sicuro.

Tutte le informazioni rivolte agli interessati devono essere rese disponibili in un unico luogo o in un documento completo, in modo conciso e trasparente, per evitare la saturazione delle informazioni. Il Regolamento Generale sulla Protezione dei Dati non specifica come debba essere definito questo documento, ma nella prassi viene comunemente chiamato informativa privacy o dichiarazione sulla privacy.

Le informazioni contenute in tale documento devono essere chiaramente distinte da altre informazioni non correlate alla protezione dei dati personali, come i termini contrattuali o le condizioni generali di utilizzo.

Molto spesso gli imprenditori commettono errori sul trattamento dei dati personali nell’ambito, ad esempio, delle condizioni generali di utilizzo. L’informativa sulla privacy deve essere un documento separato, facilmente e pubblicamente accessibile agli interessati, ad esempio in calce al sito web, su ogni sito web.

Alcune delle misure e degli strumenti utili per dimostrare la compliance rispetto al regolamento generale sulla protezione dei dati

  • Svolgimento di un’analisi approfondita delle attività di trattamento nell’organizzazione/società e una mappatura dei dati che consenta l’organizzazione e la gestione dei dati per scopi operativi e il monitoraggio dei flussi di dati;
  • Implementazione di misure tecniche e organizzative adeguate
  • Applicazione del principio di privacy by default
  • Attuazione di norme e informative sulla privacy appropriate; disporre di una informativa privacy concisa, accessibile e trasparente, disponibile al pubblico, e di policy chiare di conservazione dei dati, policy di cancellazione dei dati, policy sulle richieste di accesso ai dati e policy sulla gestione delle richieste di diritti di protezione dei dati;
  • Stipulare contratti chiari con i responsabili del trattamento che agiscono per conto del titolare del trattamento
  • Conservare i registri delle attività di trattamento, ove opportuno;
  • Nominare un responsabile della protezione dei dati e garantire il suo tempestivo coinvolgimento in tutte le questioni relative alla protezione dei dati.
  • Adottare policy interne e condurre valutazioni d’impatto sulla protezione dei dati.
  • Compliance a codici di condotta o schemi di certificazione;
  • Registrare e, se del caso, segnalare le violazioni dei dati personali.

Gli obblighi derivanti dal principio di responsabilizzazione si applicano e si evolvono nel tempo, e il titolare del trattamento deve costantemente rivedere e aggiornare le proprie misure.

Se l’organizzazione/società dispone di un sito web ufficiale, il titolare del trattamento può utilizzarlo come primo punto di riferimento per gli utenti che desiderano saperne di più sulla policy privacy dell’organizzazione/società (titolare del trattamento) e sui dettagli di contatto del responsabile della protezione dei dati. Queste informazioni devono essere chiaramente visibili e facilmente accessibili.

Se la società tratta i dati personali attraverso i cookie sul sito web, in particolare allo scopo di generare informazioni analitiche che possono essere successivamente utilizzate per la pubblicità mirata, ciò deve essere chiaramente visibile ai visitatori del sito web quando vi accedono per la prima volta. È essenziale consentire ai visitatori del sito web di rinunciare facilmente ai cookie senza alcuna riduzione della qualità del servizio fornito dal sito stesso.

Cos’è la protezione tecnologica e integrata dei dati ?

La privacy by design e by default è parte integrante dell’attuazione del principio di responsabilizzazione. Si tratta di integrare la privacy in tutte le attività di trattamento dei dati. La privacy by design e by default non è un principio a sé stante, ma comprende tutti i principi di cui all’articolo 5 del Regolamento Generale sulla Protezione dei Dati e le misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati personali contro i rischi e ad assicurare che la società tratti solo i dati personali che sono necessari per ogni finalità specifica del trattamento.

Le società devono prendere in considerazione i principi di privacy by design e by default prima di iniziare a trattare i dati personali. Le società sono obbligate a implementare i principi di privacy by design e by default prima del trattamento, ma anche durante l’intero trattamento, verificando regolarmente l’efficacia delle misure di sicurezza scelte. Le misure che possono essere appropriate sono la riduzione della quantità di dati raccolti, l’uso di tecniche di pseudonimizzazione e il miglioramento delle misure di sicurezza. 

Nel prossimo articolo andremo ad approfondire alcuni aspetti, buona lettura.

Data Protection

Il Comitato europeo per la Protezione dei Dati (EDPB) è un organismo indipendente dell’Unione europea con sede a Bruxelles, il cui scopo è garantire un’applicazione coerente del Regolamento generale sulla Protezione dei Dati (RGPD) e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE. Il 25 maggio 2018, l’EDPB ha sostituito il gruppo di lavoro “Articolo 29”.

Il ruolo dell’EDPB include le seguenti competenze

  • Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all’interpretazione e all’applicazione del RGPD,
  • Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
  • Adottare pareri volti a garantire la coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
  • Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all’applicazione legislativa nel contesto di casi transfrontalieri,
  • Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
  • Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.

Presidenza

Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vice presidenti.

Membri dell’EDPB

Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).

Privacy

Privacy, termine dell’inglese, traducibile in italiano con riservatezza o privatezza, indica, nel lessico giuridico-legale, il diritto alla riservatezza della vita privata di una persona.

Il diritto a non essere soggetto a violazioni non autorizzate della parte più privata della propria esistenza da parte del governo, delle società o degli individui fa parte delle leggi sulla privacy di molti Stati del mondo e, in alcuni casi, delle costituzioni.

Evoluzione storica del concetto

Il concetto si sviluppa fin dell’Antica Grecia, quando, in una serie di trattati filosofici si inizia a far riferimento ad un “senso di riservatezza”. Aristotele, nella sua Politica, distingue tra Polis, sfera pubblica dell’individuo, correlata alle attività cittadine, ed Oikos, sfera privata, associata alla vita domestica. Viene così stabilito l’ambito personale, distinto da pubblico e politico. Per gli antichi greci il coinvolgimento da parte degli uomini nella vita pubblica era di fondamentale importanza; parallelamente, però, riconoscevano al singolo la necessità di una sfera propria e riservata, da intendersi come luogo in cui occuparsi dei propri bisogni. L’affermarsi di città-stato significa per l’uomo ricevere una personale vita activa, marcando il discrimine tra ciò che è proprio contro ciò che è comune. La vita privata è rispettata in quanto considerata elemento necessario a far scaturire uno stimolo d’interesse cittadino. Ogni uomo che ha proprietà nella città sarà interessato al suo corretto funzionamento.

Durante l’età feudale si espande l’ideale di libertà personale e, successivamente, grazie allo Stato assoluto, ciò che separa privato e pubblico viene delineato al punto da originare la sfera del privato. Riforme religiose e diffusione dell’alfabetizzazione sono tra gli elementi che condizionano fortemente la società occidentale del XVI e XVII secolo. Tali elementi portano proprio ad un mutamento radicale della mentalità sociale, diffondendo un nuovo costume d’appartenenza.

La connotazione odierna di privacy, però, si afferma proprio a seguito della caduta del feudalesimoXVIII e XIX rappresenterebbero un’era prolifica per il diritto. Nel 1890, due giuristi statunitensi, Louis Brandeis e Samuel Warren, pubblicarono “The Right of Privacy”[6] sulla Harward Law Review, prima monografia giuridica a riconoscere “the right to be let alone”, “diritto ad essere lasciato da solo”. Esprimendo in queste parole il desiderio di una propria ed inviolabile intimità[7][8].

Ciononostante, le prime accezioni del termine si riferiscono ad una casistica tendente al negativo, la libertà ottenuta con il concetto di privacy non è associata ad una possibilità “di”, quanto ad una liberazione “da” un qualcosa/qualcuno. Il periodo storico è quello della rivoluzione industriale, ciò è quindi da intendere non in ottica universale, quanto riferito al ceto borghese. È già qui evincibile quanto il concetto di privacy si riscopra in ogni contesto storico, dovendosi interfacciare con una serie di nuove necessità personali che in esso si affermano. Il sancire un’impossibilità di ingresso in uno spazio altrui, come sottolineato da Rodotà, funge da snodo culturale fondamentale nell’affermazione della privacy odierna.

In ottica europea si ha una prima formazione del concetto di privato tra XVIII e XIX secolo. In Germania origina la discussione su una serie di possibilità individuali originanti dal “diritto naturale”, elemento d’influenza della filosofia giuridica tedesca.

Nel 1954 una sentenza del Bundesgerichtshof determina, per la prima volta, un basilare diritto alla personalità.

La discussione d’origine germanica si estese così per il continente, fintanto che nel 1909, in Francia, si giunge alla legittimazione dei diritti della personalità.

Parallelamente, nel Bel paese, il concetto viene portato avanti da Adolfo Ravà, docente di Filosofia del diritto. I punti sollevati da Ravà, seppur paralleli al pensiero tedesco, hanno origine indipendente. Analizzando il Tractatus de potestate in seipsum di Baldassarre Gomez de Amescua, giurista spagnolo del XVI secolo, ne coniuga un “diritto sulla propria persona”, che esclude però una lunga serie d’elementi per noi correlati, quali: diritto d’autore, sul nome, sul marchio. Successivamente sarà sempre Ravà a determinare per analogia legis il “diritto alla riservatezza”.

I primi casi di violazione si presentano tra gli anni ’50 e ’60. Caso particolarmente significativo è la sentenza emessa dalla Corte di Cassazione nel 1963. Il settimanale italiano “Tempo” ottenne attenzione popolare diffondendo una serie di particolari inerenti alla vita intima di Claretta Petacci, amante di Benito Mussolini. A seguito della constatazione ne scaturì una denuncia da parte della sorella minore della Petacci, Miria di San Servolo.

Nel 1975 anche il Supremo Collegio italiano si adeguò alle controparti europee affermando l’esistenza di un diritto alla riservatezza. Il tutto scaturì a seguito di controversie con Soraya Esfandiari che fu fotografata, nelle proprie mura domestiche, in atteggiamenti intimi con un uomo.

Tornando all’ottica comunitaria, una serie di provvedimenti fu ribadita: direttive 95/46/CE97/66/CE, e 2002/58/CE.

In Italia, consecutivamente alla 95/46/CE si ha l’istituzione di una figura di garante per la protezione dei dati personali. Seguì l’emanazione del decreto legislativo 30 giugno 2003 n.196, il quale introdusse nell’ordinamento italiano un autonomo diritto alla protezione dei dati personali, indipendente rispetto alla tutela della sfera intima dell’individuo. L’estensione europea di questa visione entra in vigore il 7 dicembre 2000, con l’art. 8, comma I della Carta dei diritti fondamentali dell’Unione Europea, detta anche Carta di Nizza, che fa esplicito riferimento al diritto alla protezione dei dati personali.

Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva, la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. È composto da 99 articoli e 173 considerando, questi ultimi con solo valore interpretativo. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento, tranne per le parti per le quali si prevede espressamente delle possibilità di deroga.

Certificazioni in ambito GDPR

EA e EDPB

L’EA-European Accreditation e l’EDPB-European Data Protection Board sono due organismi europei con ruoli ben distinti, entrambi con un impatto significativo sulla certificazione in ambito GDPR.

L’EA è l’organizzazione che coordina gli organismi nazionali di accreditamento degli stati membri UE, con lo scopo principale di garantire che gli organismi di certificazione, ispezione e verifica operino secondo standar comuni e riconosciuti a livello europeo, seguendo il Regolamento (CE) n.765/2008, che stabilisce un quadro per l’accreditamento e la vigilanza del mercato UE.

Si occupa di garantire che le certificazioni rilasciate da organismi accreditati siano riconosciute nell’UE, mantenendo così la fiducia del mercato unico.

L’EDPB è un organismo indipendente che garantisce l’applicazione del Regolamento Generale sulla Protezione dei Dati-GDPR, fornendo linee guida e pareri.

Supervisiona il funzionamento delle autorità nazionali di protezione dei dati-DPA, assicurando che le loro decisioni siano coerenti tra gli Stati membri, per garantire che i meccanismi di certificazione siano conformi al GDPR.

L’EA assicura che questi organismi operino secondo standard ISO/IEC riconosciuti a livello internazionale, come ISO/IEC 17065 per gli organismi di certificazione di prodotti, processi e servizi.

L’EDPB non accredita direttamente, ma definisce i criteri di certificazione, fornendo orientamenti per la valutazione della conformità al GDPR.

Controlla che le certificazioni relative al GDPR siano coerenti e non contraddicano i principi fondamentali della protezione dei dati.

Le differenze sono: l’EA si occupa di accreditare gli organismi di certificazione e garantire che operino in modo affidabile secondo gli standard internazionali, l”EDPB si occupa della protezione dei dati e fornisce linee guida per la certificazione GDPR.

L’EA è il punto di riferimento per la qualità e l’affidabilità della certificazione in generale, l’EDPB si occupa di garantire che la certificazione nell’ambito della protezione dei dati sia coerente con il GDPR.

Secondo il parere di (3) Riccardo Giannetti | LinkedIn le due entità dovrebbero lavorare in sinergia, ma con ruoli ben distinti.

Portaluppi Cyber&Privacy

Ho voluto pubblicare questo articolo, prendendo spunto da pillole molto interessanti del mio amico Riccardo, seguiranno successivamente altre condivisioni di articoli tipo, seguendo il nostro mantra 😜

Privacy by Default e Privacy by Design

All your supporting arguments must be communicated with simplicity and charm. And in such a way that the reader will read on. (After all, that’s a reader’s job: to read, isn’t it?) And by the time your readers have reached this point in the finished copy, you will have convinced them that you not only respect their intelligence, but you also understand their needs as consumers.

As a result of which, your entry will repay your efforts. Take your sales; simply put, they will rise. Likewise your credibility. There’s every chance your competitors will wish they’d placed this entry, not you. While your customers will have probably forgotten that your competitors even exist. Which brings us, by a somewhat circuitous route, to another small point, but one which we feel should be raised.

Long copy or short – You decide

As a marketer, you probably don’t even believe in body copy. Let alone long body copy. (Unless you have a long body yourself.) Well, truth is, who‘s to blame you? Fact is, too much long body copy is dotted with such indulgent little phrases like truth is, fact is, and who’s to blame you. Trust us: we guarantee, with a hand over our heart, that no such indulgent rubbish will appear in your entry. That’s why God gave us big blue pencils. So we can expunge every example of witted waffle.

For you, the skies will be blue, the birds will sing, and your copy will be crafted by a dedicated little man whose wife will be sitting at home, knitting, wondering why your entry demands more of her husband‘s time than it should.

But you will know why, won‘t you? You will have given her husband a chance to immortalize himself in print, writing some of the most persuasive prose on behalf of a truly enlightened purveyor of widgets. And so, while your dedicated reader, enslaved to each mellifluous paragraph, clutches his newspaper with increasing interest and intention to purchase, you can count all your increased profits and take pots of money to your bank. Sadly, this is not the real copy for this entry. But it could well be. All you have to do is look at the account executive sitting across your desk (the fellow with the lugubrious face and the calf-like eyes), and say ”Yes! Yes! Yes!“ And anything you want, body copy, dinners, women, will be yours. Couldn’t be fairer than that, could we?