I vantaggi dell’adeguamento alla nuova Normativa Privacy Europea – Anche i colossi del web si muovono

Prendo spunto da un interessante post pubblicato sul blog di Microsoft, per fare alcune brevissime considerazioni sulla normativa europea Privacy (o GDPR) che a breve diventerà applicabile anche nel nostro ordinamento. Oltre a quanto sappiamo già da tempo, e che ci viene ripetuto in continuazione, ovvero che sarà necessario conformarvisi entro maggio 2018 a pena di sanzioni che potranno arrivare fino a 10 milioni di Euro, sembra che i grandi service provider (non solo MS, ma anche Amazon o IBM ad esempio) abbiano compreso anche le potenzialità commerciali dell’adeguamento alla nuova legge. Adeguarsi al GDPR non significa evitare sanzioni, ma porsi sul mercato garantendo ai propri clienti che i servizi offerti saranno già di default compliant con la nuova normativa, quindi facilmente integrabili (anche sotto il profilo legale) con i loro servizi. Ma non solo. L’offerta di servizi conformi alla normativa (dallo sviluppo software, all’offerta di servizi web) offre trasparenza e ispira fiducia nel fornitore, consentendo al cliente di ridurre i costi (che in caso contrario dovrebbe necessariamente accollarsi). Paradossalmente, però, solo i grandi operatori del mondo IT, che hanno minore necessità di pubblicizzare la qualità e il livello dei propri prodotti, hanno intrapreso concrete politiche di adeguamento alla nuova normativa. Nella perenne corsa all’offerta di servizi innovativi, i colossi del web- sempre restii ai cambiamenti- hanno deciso di essere già conformi al GDPR. La ragione è semplice, e ha chiaramente a che fare con la necessità di espandere il proprio business e guadagnare nuove quote di mercato. Ma questo, evidentemente, non è un problema solo loro.

Andrea Palumbo

Cos’è la Privacy?

A volte noi giuristi, anche quando parliamo ad un pubblico di non esperti, tendiamo ad indugiare su complicati concetti normativi perdendo di vista il vero messaggio da comunicare. Mi sembra interessante, invece, l’approccio proposto con questo video che mi è capitato di vedere ieri, dove si descrivono anzitutto le conseguenze dell’assenza di “Privacy”, lasciando a ciascuno di noi il compito di intuire che cosa si intenda con questa espressione. Forse non sarà giuridicamente ineccepibile, ma è molto efficace….

 

privacyinter

 

Andrea Palumbo

P.S.: qualcuno poi mi spiegherà come inserire direttamente i video nei post……

Un po’ di tutto tra App, Privacy e Big Data

Interrompo il mio letargo per segnalare che il 24 febbraio parteciperò alla giornata di formazione Join the Expert: App Day organizzata da UGIdotNET per parlare delle problematiche privacy legate allo sviluppo di app. Segnalo inoltre, per chi fosse interessato al tema, che su Mokabyte è uscito il mio secondo breve contributo sugli aspetti legali dei Big Data .

Andrea Palumbo

Big data: una rivoluzione anche normativa

Segnalo il mio primo articolo sui profili normativi dei Big Data pubblicato da Mokabyte.

Per chi fosse interessato l’articolo è reperibile a questo link . Ovviamente, anche in previsione del prossimo articolo della serie, ogni suggerimento è ben accetto.

Andrea Palumbo

@ndrea_palumbo

La lettura da ombrellone: ecco i vincitori del Big Brother Awards tedesco!

Come sempre dal 2000, anche quest’anno sono stati assegnati in Germania i prestigiosissimi Big Brother Awards, premi attribuiti a chi, in ambito economico, politico o finanziario, si sia distinto per aver messo a rischio la privacy dei cittadini.

Senza volervi rovinare la sorpresa, vi segnalo che in questa tornata gli ambiti riconoscimenti, a mio parere non sempre condivisibili, sono stati attribuiti a servizi segreti, multinazionali del settore IT, importanti portali web, etc.

Buona lettura.

Andrea Palumbo

@ndrea_palumbo

Web scraping e raccolta di dati on line: alcuni chiarimenti da parte del Garante

Probabilmente molti la conoscono con nomi diversi, web-scraping, web-harvesting o web data extraction, ma la sostanza è, essenzialmente, la stessa: è l’attività di raccolta di dati personali da pagine web liberamente accessibili.

In un mondo in cui ciò che conta, che ha valore, sono i dati degli “utenti-consumatori”, la raccolta di informazioni on line è un’attività ormai diffusissima, in particolare tra le società che svolgono attività di marketing e di analisi dei dati (ad es. business intelligence), che possono così lavorare su database notevolmente più grandi, su dati più ricchi, più aggiornati e, soprattutto, più facilmente reperibili rispetto al passato.

Purtroppo, però, non è tutto così facile come sembra. Ce l’ha ricordato il Garante Privacy con una recente comunicazione, passata colpevolmente in sordina, in cui l’Autorità ha chiarito quali sono i limiti (per il vero molto stringenti) entro i quali è possibile raccogliere in rete dati personali. La vicenda da cui prende spunto il Garante riguardava una società italiana rea di aver creato (e reso accessibile agli utenti del proprio sito) un vero e proprio elenco telefonico (contenente dati quali nome e cognome, indirizzo, recapito telefonico, numero di cellulare o indirizzo email) relativo a più di 12 milioni di soggetti. La raccolta dei dati veniva effettuata attraverso l’utilizzo di script automatici, senza che però fosse stato richiesto il consenso agli interessati o che questi ne fossero stati informati. Il Garante, intimando alla società l’interruzione dell’attività, ribadiva che la raccolta e il trattamento di dati su siti pubblici (social network compresi) deve essere effettuato sulla base di consenso libero, informato, specifico per ogni finalità che si intende perseguire e acquisito in via preventiva. I dati raccolti in violazione di questo chiaro principio, non solo espongo a sanzioni amministrative chi viola la normativa, ma non sono in alcun modo utilizzabili o cedibili e devono essere immediatamente cancellati.

Il diritto alla protezione dei dati personali, sancito dal Codice della Privacy, non tutela la riservatezza delle informazioni, ma garantisce a ciascun individuo il diritto ad avere un pieno ed effettivo controllo sui propri dati, prescindendo dalla loro natura pubblica o privata. L’attività di web-scraping, quindi, non è da considerarsi di per sé vietata, ma deve essere realizzata nel rispetto dei principi previsti dalla normativa: da un lato, per tutelare gli interessati e, dall’altro, per consentire a chi raccoglie i dati di disporne lecitamente, anche per finalità commerciali.

Andrea Palumbo

In vigore il Nuovo Regolamento Privacy: ecco le novità più rilevanti

Dopo quattro anni di gestazione, il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il testo definitivo del nuovo Regolamento in materia di protezione dei dati personali (il cosiddetto General Data Protection Regulation). Il regolamento, che è entrato in vigore il 24 maggio e che sarà applicabile solo a partire dal 25 maggio 2018, abroga e sostituisce integralmente l’attuale normativa europea in materia di Privacy e Data Protection (le direttive CE 46/95 e 58/02). Se sotto il profilo dell’impostazione generale e dei principi si può affermare che il nuovo regolamento non si discosti molto dall’attuale disciplina, lo stesso non può dirsi delle disposizioni di dettaglio che prevedono, da un lato, l’adozione di strumenti già presenti in alcuni paesi membri (si pensi al Privacy Impact Assesment), e dall’altro la semplificazione di determinate procedure (ad esempio in materia di notificazione) o l’implementazione generale di norme precedentemente previste solo in specifici settori (come la disciplina sul Data Breach).

Alla luce del testo definitivo, le novità più rilevanti possono essere individuate:

- nell’introduzione di una normativa unica per tutti gli stati membri dell’EU, con la conseguente eliminazione delle significative differenze di disciplina attualmente presenti nelle singole leggi nazionali;

- nella previsione specifica di un “diritto all’oblio” in capo ai cittadini europei, sancito dall’art. 17 del Regolamento (che ne disciplina altresì l’esercizio in modo analitico);

- nell’obbligo di nomina, per determinati enti, di un “Responsabile della protezione dei dati” (il cosiddetto Privacy Officer o Data Protection Officer), che dovrà fornire consulenza ai Titolari del trattamento relativamente alla disciplina prevista in tema di Privacy, vigilare sulla sua corretta osservanza e cooperare e fungere da punto di contatto tra l’Autorità Garante e il Titolare stesso. Sulla base di quanto stabilito dal Regolamento (artt. 37 e seguenti), i soggetti obbligati a nominare un Responsabile della Protezione dei Dati Personali attualmente sono:

  • le amministrazioni e gli enti pubblici;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
    A questo link è possibile trovare una scheda informativa predisposta dal Garante;

- nell’obbligo per i Titolari del trattamento di effettuare una notificazione (ai sensi degli artt. 33 e seguenti) all’Autorità Garante, e in ipotesi specifiche anche agli interessati, nel caso in cui si subisca una “Violazione dei dati personali” (altrimenti detta Data Breach), ossia quando si verifichi una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”;

- nella necessità, per i titolari del trattamento, di effettuare una preventiva “Valutazione d'impatto sulla protezione dei dati", (o Privacy Impact Assessment) in relazione a particolari trattamenti. Secondo l’art. 35 del Regolamento, in generale, dovrà essere predisposta una valutazione d’impatto sulla protezione dei dati nel caso in il trattamento, considerata la sua natura, il suo oggetto, il contesto e le sue finalità, presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”;

- nell’obbligo (per imprese e organizzazioni con più di 250 dipendenti, a parte alcune eccezioni) di tenere dei “Registri delle attività di trattamento” (assimilabili per certi versi al vecchio DPS) in cui i Titolari dovranno elencare le attività di trattamento svolte sotto la propria responsabilità, indicando dettagliatamente tutte le informazioni di cui all’art. 30, comma 1 del provvedimento.

Le novità introdotte, che non stravolgono l’attuale disciplina in materia di Privacy, presentano comunque un grado elevato di complessità e, soprattutto, necessitano di procedure aziendali ad hoc. Nel caso in cui si ritenga di ricadere nelle categorie di soggetti destinatari delle previsioni stabilite dal Regolamento (che, come già anticipato, sarà applicabile solo a partire dal 25 maggio 2018) sarà opportuno adeguarsi alle nuove disposizioni per tempo.

Andrea Palumbo

Seminario su "La disciplina normativa di siti web ed E-Commerce" all'Università di Milano-Bicocca

Il 18 marzo terrò un seminario presso la facoltà di Giurisprudenza dell'Università di Milano-Bicocca sulla normativa applicabile a siti web ed E-Commerce . Durante il seminario si parlerà, tra l'altro, di conformità dei siti web alla normativa privacy, di newsletter, cookie, siti delle P.A., vendita di servizi e beni via internet e problematiche correlate. Il seminario è a ingresso libero e si svolgerà dalle 12.30 alle 14.30, nell'edificio U6, aula 21. Qui la locandina dell'evento.

Andrea Palumbo

Nuove regole per l’e-Commerce: occorre adeguarsi al regolamento sull’ODR entro il 15 febbraio

L’attuazione del tanto agognato Digital Single Market europeo avanza inesorabile e, dal 9 gennaio 2016, si compone di un nuovo importante tassello. E’ infatti entrato in vigore il regolamento EU 524/2013 che prevede l’istituzione di un sistema di risoluzione on line delle controversie (cosiddetto “On Line Dispute Resolution” o “ODR”) a livello europeo. Attraverso tale sistema, chi vende beni o servizi on line e i consumatori potranno risolvere le proprie controversie utilizzando la procedura on line creata dall’Unione Europea (accessibile a tutti dal 15 febbraio a questo link). Questo nuovo sistema garantisce, nelle intenzioni dei suoi promotori, sia ai consumatori sia ai venditori uno strumento di risoluzione delle controversie gratuito, veloce e multilingue che si pone quale efficace alternativa ai classici rimedi legali previsti nei paesi membri. L’obiettivo del legislatore non è solo quello di semplificare il contenzioso tra consumatori e professionisti, ma soprattutto quello di infondere fiducia nei cittadini, spingendoli ad utilizzare servizi e-Commerce all’interno dell’Unione Europea.
A questo scopo il regolamento stabilisce che, entro il 15 febbraio 2016 (data in cui la piattaforma ODR sarà accessibile) tutti i soggetti che vendono beni e servizi on line, ai sensi dell’art. 14 del regolamento, dovranno inserire obbligatoriamente sui loro siti web:
- un link, facilmente visibile, alla piattaforma ODR;
- i propri indirizzi di posta elettronica (elemento già obbligatorio in alcuni paesi dell’Unione, come ad es. in Germania).
I soggetti invece che si sono impegnati volontariamente (per questioni di efficienza, marketing, policy aziendale, etc.) a ricorrere a strumenti alternativi per la risoluzione delle controversie con i consumatori o che vi sono tenuti per legge (si pensi ad esempio ai fornitori di servizi di telefonia, energia, etc.), dovranno anche:
- informare i consumatori, sui loro siti web, dell’esistenza della piattaforma ODR e della possibilità di ricorrervi per risolvere le loro controversie;
- inserire un link alla piattaforma ODR e, se l’offerta commerciale è fatta mediante posta elettronica, nella posta elettronica stessa;
- indicare le suindicate informazioni anche nei contratti o nelle condizioni generali dei contratti di vendita e di servizi online.
L ’assenza delle suindicate informazioni nelle piattaforme on line e, se del caso, nei contratti di vendita e di servizi online, comporterà sanzioni da parte delle autorità competenti (nel nostro paese da parte dell’ Autorità Garante della Concorrenza e del Mercato, come previsto dal Codice del Consumo) ai sensi dell’art. 18 del regolamento.
Occorre infine ricordare che quanto stabilito dal regolamento EU 524/2013,  si aggiunge ai numerosi obblighi informativi previsti dal Codice dei Consumo e dal Decreto legislativo sul commercio elettronico  già applicabili ai soggetti che operano nel mondo dell’e-Commerce.
Andrea Palumbo

Cross Border Portability: novità in Europa per Geo-Blocking e Copyright

Da qualche tempo sembra che a Bruxelles abbiano preso sul serio la questione del Digital Single Market, ovvero l’impegno assunto dall’Unione Europea a migliorare l’accesso in tutta Europa a beni  e servizi digitali e a creare un contesto favorevole al loro sviluppo. Aveva già fatto scalpore l’annuncio del raggiungimento di un accordo sull’abolizione di costi aggiuntivi, a partire dal 15 giugno 2017, per telefonate, sms e navigazione in roaming.

Con l’adozione, il 9 dicembre, di una nuova proposta regolamentare si prevedono, invece, numerose novità anche in materia di Geo-Blocking e Copyright. La Commissione Europea mira, infatti, a rendere vincolante nei confronti di tutti i fornitori di servizi e contenuti digitali il principio della Cross Border Portability. Differentemente da quanto accade attualmente, con l‘introduzione della nuova normativa tutti i consumatori europei che, nel loro paese di residenza, acquistino o si iscrivano a servizi per la fornitura di contenuti digitali (di qualsiasi tipo, dalla musica ai film, dalla trasmissione di eventi sportivi ad e-book e videogiochi) potranno accedervi, temporaneamente, anche quando “viaggiano in Europa” senza limitazioni derivanti da licenze o dalle pratiche commerciali dei providers. Un consumatore residente in Italia, mentre si trova per un viaggio di lavoro a Londra, potrà vedere il suo telefilm preferito, fruibile in streaming attraverso l’abbonamento sottoscritto in Italia, anche nel caso in cui, ad esempio, lo stesso telefilm per questioni di licenza non sia presente nel catalogo del medesimo provider in Inghilterra. Sembrano quindi destinati ad un inesorabile declino i sistemi di Geo-Blocking, almeno in Europa (nonostante fossero già da tempo facilmente superabili attraverso strumenti tecnologici).

Le novità previste dalla bozza di regolamento, seppur coraggiose e rilevanti, non sembra, però, che abbiano la portata rivoluzionaria che ci si aspettava. Anzitutto si è scelto di prevedere e di imporre ai provider il principio di “Cross Border Portability” e non quello del “Cross Border Access” (purtroppo ancora lontanissimo dall’essere introdotto e applicato) con cui si renderebbero fruibili ai consumatori residenti in uno stato dell’Unione anche i contenuti e i servizi digitali esclusivamente disponibili in altri stati membri (un consumatore residente in Italia sottoscrive un abbonamento ad un servizio di streaming musicale presente solo in Germania e vi accede dal nostro paese).

Vi è poi un ulteriore aspetto da evidenziare: il principio della “Cross Border Portability” prevede una limitazione espressa, ovvero quella della temporaneità del soggiorno in un altro stato membro dell’Unione. Con ciò si intende che i consumatori residenti in uno stato membro possono usufruire dei propri contenuti digitali in un altro stato membro solo se il loro soggiorno è temporaneo. Purtroppo non viene però specificato cosa si debba intendere per “soggiorno temporaneo”, lasciando quindi supporre che ci si possa riferire a soggiorni all’estero anche di lunga durata, purché il consumatore continui a risiedere in altro stato.

Infine, per evitare possibili abusi attraverso la nuova normativa, verranno comunque  previsti particolari strumenti di controllo per i detentori dei diritti sui contenuti digitali. Si pensi al consumatore residente a Milano che dichiari di risiedere a Parigi e di trovarsi temporaneamente nel nostro paese (collegandosi quindi al provider con un indirizzo IP italiano), in modo da potersi iscrivere ad un servizio con contenuti fruibili solo in Francia per questioni di licenza (sfruttando, così, in modo illegittimo il nuovo sistema). Per evitare tali ipotesi si prevede la possibilità, per i detentori delle licenze, di poter richiedere ai provider informazioni sulla residenza di un utente quando questi utilizzi in modo prolungato il servizio non nel paese dove risulta risiedere.

La normativa, secondo le previsioni della Commissione Europea, dovrebbe essere definitivamente approvata nella prima parte del 2016 per entrare in vigore nel 2017 contemporaneamente con le novità previste in materia di roaming.

Andrea Palumbo