Cos’è la Privacy?

A volte noi giuristi, anche quando parliamo ad un pubblico di non esperti, tendiamo ad indugiare su complicati concetti normativi perdendo di vista il vero messaggio da comunicare. Mi sembra interessante, invece, l’approccio proposto con questo video che mi è capitato di vedere ieri, dove si descrivono anzitutto le conseguenze dell’assenza di “Privacy”, lasciando a ciascuno di noi il compito di intuire che cosa si intenda con questa espressione. Forse non sarà giuridicamente ineccepibile, ma è molto efficace….

 

privacyinter

 

Andrea Palumbo

P.S.: qualcuno poi mi spiegherà come inserire direttamente i video nei post……

Un po’ di tutto tra App, Privacy e Big Data

Interrompo il mio letargo per segnalare che il 24 febbraio parteciperò alla giornata di formazione Join the Expert: App Day organizzata da UGIdotNET per parlare delle problematiche privacy legate allo sviluppo di app. Segnalo inoltre, per chi fosse interessato al tema, che su Mokabyte è uscito il mio secondo breve contributo sugli aspetti legali dei Big Data .

Andrea Palumbo

Big data: una rivoluzione anche normativa

Segnalo il mio primo articolo sui profili normativi dei Big Data pubblicato da Mokabyte.

Per chi fosse interessato l’articolo è reperibile a questo link . Ovviamente, anche in previsione del prossimo articolo della serie, ogni suggerimento è ben accetto.

Andrea Palumbo

@ndrea_palumbo

La lettura da ombrellone: ecco i vincitori del Big Brother Awards tedesco!

Come sempre dal 2000, anche quest’anno sono stati assegnati in Germania i prestigiosissimi Big Brother Awards, premi attribuiti a chi, in ambito economico, politico o finanziario, si sia distinto per aver messo a rischio la privacy dei cittadini.

Senza volervi rovinare la sorpresa, vi segnalo che in questa tornata gli ambiti riconoscimenti, a mio parere non sempre condivisibili, sono stati attribuiti a servizi segreti, multinazionali del settore IT, importanti portali web, etc.

Buona lettura.

Andrea Palumbo

@ndrea_palumbo

Web scraping e raccolta di dati on line: alcuni chiarimenti da parte del Garante

Probabilmente molti la conoscono con nomi diversi, web-scraping, web-harvesting o web data extraction, ma la sostanza è, essenzialmente, la stessa: è l’attività di raccolta di dati personali da pagine web liberamente accessibili.

In un mondo in cui ciò che conta, che ha valore, sono i dati degli “utenti-consumatori”, la raccolta di informazioni on line è un’attività ormai diffusissima, in particolare tra le società che svolgono attività di marketing e di analisi dei dati (ad es. business intelligence), che possono così lavorare su database notevolmente più grandi, su dati più ricchi, più aggiornati e, soprattutto, più facilmente reperibili rispetto al passato.

Purtroppo, però, non è tutto così facile come sembra. Ce l’ha ricordato il Garante Privacy con una recente comunicazione, passata colpevolmente in sordina, in cui l’Autorità ha chiarito quali sono i limiti (per il vero molto stringenti) entro i quali è possibile raccogliere in rete dati personali. La vicenda da cui prende spunto il Garante riguardava una società italiana rea di aver creato (e reso accessibile agli utenti del proprio sito) un vero e proprio elenco telefonico (contenente dati quali nome e cognome, indirizzo, recapito telefonico, numero di cellulare o indirizzo email) relativo a più di 12 milioni di soggetti. La raccolta dei dati veniva effettuata attraverso l’utilizzo di script automatici, senza che però fosse stato richiesto il consenso agli interessati o che questi ne fossero stati informati. Il Garante, intimando alla società l’interruzione dell’attività, ribadiva che la raccolta e il trattamento di dati su siti pubblici (social network compresi) deve essere effettuato sulla base di consenso libero, informato, specifico per ogni finalità che si intende perseguire e acquisito in via preventiva. I dati raccolti in violazione di questo chiaro principio, non solo espongo a sanzioni amministrative chi viola la normativa, ma non sono in alcun modo utilizzabili o cedibili e devono essere immediatamente cancellati.

Il diritto alla protezione dei dati personali, sancito dal Codice della Privacy, non tutela la riservatezza delle informazioni, ma garantisce a ciascun individuo il diritto ad avere un pieno ed effettivo controllo sui propri dati, prescindendo dalla loro natura pubblica o privata. L’attività di web-scraping, quindi, non è da considerarsi di per sé vietata, ma deve essere realizzata nel rispetto dei principi previsti dalla normativa: da un lato, per tutelare gli interessati e, dall’altro, per consentire a chi raccoglie i dati di disporne lecitamente, anche per finalità commerciali.

Andrea Palumbo

In vigore il Nuovo Regolamento Privacy: ecco le novità più rilevanti

Dopo quattro anni di gestazione, il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il testo definitivo del nuovo Regolamento in materia di protezione dei dati personali (il cosiddetto General Data Protection Regulation). Il regolamento, che è entrato in vigore il 24 maggio e che sarà applicabile solo a partire dal 25 maggio 2018, abroga e sostituisce integralmente l’attuale normativa europea in materia di Privacy e Data Protection (le direttive CE 46/95 e 58/02). Se sotto il profilo dell’impostazione generale e dei principi si può affermare che il nuovo regolamento non si discosti molto dall’attuale disciplina, lo stesso non può dirsi delle disposizioni di dettaglio che prevedono, da un lato, l’adozione di strumenti già presenti in alcuni paesi membri (si pensi al Privacy Impact Assesment), e dall’altro la semplificazione di determinate procedure (ad esempio in materia di notificazione) o l’implementazione generale di norme precedentemente previste solo in specifici settori (come la disciplina sul Data Breach).

Alla luce del testo definitivo, le novità più rilevanti possono essere individuate:

- nell’introduzione di una normativa unica per tutti gli stati membri dell’EU, con la conseguente eliminazione delle significative differenze di disciplina attualmente presenti nelle singole leggi nazionali;

- nella previsione specifica di un “diritto all’oblio” in capo ai cittadini europei, sancito dall’art. 17 del Regolamento (che ne disciplina altresì l’esercizio in modo analitico);

- nell’obbligo di nomina, per determinati enti, di un “Responsabile della protezione dei dati” (il cosiddetto Privacy Officer o Data Protection Officer), che dovrà fornire consulenza ai Titolari del trattamento relativamente alla disciplina prevista in tema di Privacy, vigilare sulla sua corretta osservanza e cooperare e fungere da punto di contatto tra l’Autorità Garante e il Titolare stesso. Sulla base di quanto stabilito dal Regolamento (artt. 37 e seguenti), i soggetti obbligati a nominare un Responsabile della Protezione dei Dati Personali attualmente sono:

  • le amministrazioni e gli enti pubblici;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
    A questo link è possibile trovare una scheda informativa predisposta dal Garante;

- nell’obbligo per i Titolari del trattamento di effettuare una notificazione (ai sensi degli artt. 33 e seguenti) all’Autorità Garante, e in ipotesi specifiche anche agli interessati, nel caso in cui si subisca una “Violazione dei dati personali” (altrimenti detta Data Breach), ossia quando si verifichi una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”;

- nella necessità, per i titolari del trattamento, di effettuare una preventiva “Valutazione d'impatto sulla protezione dei dati", (o Privacy Impact Assessment) in relazione a particolari trattamenti. Secondo l’art. 35 del Regolamento, in generale, dovrà essere predisposta una valutazione d’impatto sulla protezione dei dati nel caso in il trattamento, considerata la sua natura, il suo oggetto, il contesto e le sue finalità, presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”;

- nell’obbligo (per imprese e organizzazioni con più di 250 dipendenti, a parte alcune eccezioni) di tenere dei “Registri delle attività di trattamento” (assimilabili per certi versi al vecchio DPS) in cui i Titolari dovranno elencare le attività di trattamento svolte sotto la propria responsabilità, indicando dettagliatamente tutte le informazioni di cui all’art. 30, comma 1 del provvedimento.

Le novità introdotte, che non stravolgono l’attuale disciplina in materia di Privacy, presentano comunque un grado elevato di complessità e, soprattutto, necessitano di procedure aziendali ad hoc. Nel caso in cui si ritenga di ricadere nelle categorie di soggetti destinatari delle previsioni stabilite dal Regolamento (che, come già anticipato, sarà applicabile solo a partire dal 25 maggio 2018) sarà opportuno adeguarsi alle nuove disposizioni per tempo.

Andrea Palumbo

Seminario su "La disciplina normativa di siti web ed E-Commerce" all'Università di Milano-Bicocca

Il 18 marzo terrò un seminario presso la facoltà di Giurisprudenza dell'Università di Milano-Bicocca sulla normativa applicabile a siti web ed E-Commerce . Durante il seminario si parlerà, tra l'altro, di conformità dei siti web alla normativa privacy, di newsletter, cookie, siti delle P.A., vendita di servizi e beni via internet e problematiche correlate. Il seminario è a ingresso libero e si svolgerà dalle 12.30 alle 14.30, nell'edificio U6, aula 21. Qui la locandina dell'evento.

Andrea Palumbo

Nuove regole per l’e-Commerce: occorre adeguarsi al regolamento sull’ODR entro il 15 febbraio

L’attuazione del tanto agognato Digital Single Market europeo avanza inesorabile e, dal 9 gennaio 2016, si compone di un nuovo importante tassello. E’ infatti entrato in vigore il regolamento EU 524/2013 che prevede l’istituzione di un sistema di risoluzione on line delle controversie (cosiddetto “On Line Dispute Resolution” o “ODR”) a livello europeo. Attraverso tale sistema, chi vende beni o servizi on line e i consumatori potranno risolvere le proprie controversie utilizzando la procedura on line creata dall’Unione Europea (accessibile a tutti dal 15 febbraio a questo link). Questo nuovo sistema garantisce, nelle intenzioni dei suoi promotori, sia ai consumatori sia ai venditori uno strumento di risoluzione delle controversie gratuito, veloce e multilingue che si pone quale efficace alternativa ai classici rimedi legali previsti nei paesi membri. L’obiettivo del legislatore non è solo quello di semplificare il contenzioso tra consumatori e professionisti, ma soprattutto quello di infondere fiducia nei cittadini, spingendoli ad utilizzare servizi e-Commerce all’interno dell’Unione Europea.
A questo scopo il regolamento stabilisce che, entro il 15 febbraio 2016 (data in cui la piattaforma ODR sarà accessibile) tutti i soggetti che vendono beni e servizi on line, ai sensi dell’art. 14 del regolamento, dovranno inserire obbligatoriamente sui loro siti web:
- un link, facilmente visibile, alla piattaforma ODR;
- i propri indirizzi di posta elettronica (elemento già obbligatorio in alcuni paesi dell’Unione, come ad es. in Germania).
I soggetti invece che si sono impegnati volontariamente (per questioni di efficienza, marketing, policy aziendale, etc.) a ricorrere a strumenti alternativi per la risoluzione delle controversie con i consumatori o che vi sono tenuti per legge (si pensi ad esempio ai fornitori di servizi di telefonia, energia, etc.), dovranno anche:
- informare i consumatori, sui loro siti web, dell’esistenza della piattaforma ODR e della possibilità di ricorrervi per risolvere le loro controversie;
- inserire un link alla piattaforma ODR e, se l’offerta commerciale è fatta mediante posta elettronica, nella posta elettronica stessa;
- indicare le suindicate informazioni anche nei contratti o nelle condizioni generali dei contratti di vendita e di servizi online.
L ’assenza delle suindicate informazioni nelle piattaforme on line e, se del caso, nei contratti di vendita e di servizi online, comporterà sanzioni da parte delle autorità competenti (nel nostro paese da parte dell’ Autorità Garante della Concorrenza e del Mercato, come previsto dal Codice del Consumo) ai sensi dell’art. 18 del regolamento.
Occorre infine ricordare che quanto stabilito dal regolamento EU 524/2013,  si aggiunge ai numerosi obblighi informativi previsti dal Codice dei Consumo e dal Decreto legislativo sul commercio elettronico  già applicabili ai soggetti che operano nel mondo dell’e-Commerce.
Andrea Palumbo

Cross Border Portability: novità in Europa per Geo-Blocking e Copyright

Da qualche tempo sembra che a Bruxelles abbiano preso sul serio la questione del Digital Single Market, ovvero l’impegno assunto dall’Unione Europea a migliorare l’accesso in tutta Europa a beni  e servizi digitali e a creare un contesto favorevole al loro sviluppo. Aveva già fatto scalpore l’annuncio del raggiungimento di un accordo sull’abolizione di costi aggiuntivi, a partire dal 15 giugno 2017, per telefonate, sms e navigazione in roaming.

Con l’adozione, il 9 dicembre, di una nuova proposta regolamentare si prevedono, invece, numerose novità anche in materia di Geo-Blocking e Copyright. La Commissione Europea mira, infatti, a rendere vincolante nei confronti di tutti i fornitori di servizi e contenuti digitali il principio della Cross Border Portability. Differentemente da quanto accade attualmente, con l‘introduzione della nuova normativa tutti i consumatori europei che, nel loro paese di residenza, acquistino o si iscrivano a servizi per la fornitura di contenuti digitali (di qualsiasi tipo, dalla musica ai film, dalla trasmissione di eventi sportivi ad e-book e videogiochi) potranno accedervi, temporaneamente, anche quando “viaggiano in Europa” senza limitazioni derivanti da licenze o dalle pratiche commerciali dei providers. Un consumatore residente in Italia, mentre si trova per un viaggio di lavoro a Londra, potrà vedere il suo telefilm preferito, fruibile in streaming attraverso l’abbonamento sottoscritto in Italia, anche nel caso in cui, ad esempio, lo stesso telefilm per questioni di licenza non sia presente nel catalogo del medesimo provider in Inghilterra. Sembrano quindi destinati ad un inesorabile declino i sistemi di Geo-Blocking, almeno in Europa (nonostante fossero già da tempo facilmente superabili attraverso strumenti tecnologici).

Le novità previste dalla bozza di regolamento, seppur coraggiose e rilevanti, non sembra, però, che abbiano la portata rivoluzionaria che ci si aspettava. Anzitutto si è scelto di prevedere e di imporre ai provider il principio di “Cross Border Portability” e non quello del “Cross Border Access” (purtroppo ancora lontanissimo dall’essere introdotto e applicato) con cui si renderebbero fruibili ai consumatori residenti in uno stato dell’Unione anche i contenuti e i servizi digitali esclusivamente disponibili in altri stati membri (un consumatore residente in Italia sottoscrive un abbonamento ad un servizio di streaming musicale presente solo in Germania e vi accede dal nostro paese).

Vi è poi un ulteriore aspetto da evidenziare: il principio della “Cross Border Portability” prevede una limitazione espressa, ovvero quella della temporaneità del soggiorno in un altro stato membro dell’Unione. Con ciò si intende che i consumatori residenti in uno stato membro possono usufruire dei propri contenuti digitali in un altro stato membro solo se il loro soggiorno è temporaneo. Purtroppo non viene però specificato cosa si debba intendere per “soggiorno temporaneo”, lasciando quindi supporre che ci si possa riferire a soggiorni all’estero anche di lunga durata, purché il consumatore continui a risiedere in altro stato.

Infine, per evitare possibili abusi attraverso la nuova normativa, verranno comunque  previsti particolari strumenti di controllo per i detentori dei diritti sui contenuti digitali. Si pensi al consumatore residente a Milano che dichiari di risiedere a Parigi e di trovarsi temporaneamente nel nostro paese (collegandosi quindi al provider con un indirizzo IP italiano), in modo da potersi iscrivere ad un servizio con contenuti fruibili solo in Francia per questioni di licenza (sfruttando, così, in modo illegittimo il nuovo sistema). Per evitare tali ipotesi si prevede la possibilità, per i detentori delle licenze, di poter richiedere ai provider informazioni sulla residenza di un utente quando questi utilizzi in modo prolungato il servizio non nel paese dove risulta risiedere.

La normativa, secondo le previsioni della Commissione Europea, dovrebbe essere definitivamente approvata nella prima parte del 2016 per entrare in vigore nel 2017 contemporaneamente con le novità previste in materia di roaming.

Andrea Palumbo

Big Data e Privacy: il nuovo parere del Garante Europeo

E’ stato recentemente presentato un parere del Garante Europeo per la Protezione dei Dati Personali dal titolo Meeting the Challenges of Big Data: A Call for Transparency, User Control, Data Protection by Design and Accountability”. Si tratta, secondo chi scrive, del documento più interessante su “Big Data e Privacy” finora pubblicato da un’istituzione europea. Senza particolari divagazioni in sterili petizioni di principio, il parere mette in luce gli aspetti più rilevanti e problematici della normativa continentale, cercando di indicare alle aziende, e a tutti i soggetti che effettuano trattamenti di grandi volumi di dati, come approcciare in concreto il tema Big Data in modo conforme alla normativa in vigore.
Il presupposto principale del parere, tutt’altro che scontato, è che, nella maggior parte dei casi, i Big Data sono costituiti da dati personali (così come definiti dalla Direttiva UE 46/95) anche qualora siano stati “anonimizzati” attraverso operazioni o tecniche specifiche. Da ciò discende la piena applicabilità della normativa in materia di Data Protection in termini di obblighi e responsabilità per titolari e responsabili del trattamento. Sulla base di questa “semplice” premessa il Garante suggerisce a tutti i soggetti che effettuano operazioni sui Big Data:
-          un approccio trasparente, che consenta agli interessati (ovvero ai soggetti a cui i dati si riferiscono) a) di conoscere a priori le logiche e le tecnologie applicate ai trattamenti sui dati b) di ottenere in forma intellegibile i dati che li riguardano e c) indicazioni sulla fonte da cui sono stati tratti. Tali informazioni dovranno essere inserite e rese conoscibili attraverso l’informativa privacy ex art. 13 D.lgs 196/2003;
-          di garantire agli interessati un maggiore controllo sui dati, prevedendo, ad esempio, la possibilità incondizionata di opposizione al trattamento (il cosiddetto “no-question asked opt-out”) diversamente da quanto attualmente previsto dalla normativa europea e italiana (si veda ad esempio l’art. 7, comma 4 del D.lgs 196/2003), assicurando la portabilità dei dati e la possibilità di cambiare operatore;
-          di sviluppare tecniche ingegneristiche e software privacy-friendly, concepiti sin dall’inizio per garantire agli interessati trasparenza e controllo sui dati;
-          di prevedere sistemi di vigilanza e meccanismi interni all’azienda che garantiscano la conformità alla normativa delle operazioni sui dati, anche in previsione di controlli da parte delle Autorità.
Anche se il parere è inteso principalmente per indicare ai titolari e responsabili del trattamento una serie di principi da rispettare (attuabili adattando e integrando le proprie privacy policy), è però evidente al Garante stesso che, sotto questo profilo, molto dovrà essere fatto dal Legislatore Europeo, chiamato a introdurre, con il nuovo Regolamento sulla Protezione dei Dati Personali, regole chiare sul tema Big Data che prevedano un adeguato bilanciamento tra le libertà dei singoli e la possibilità per le aziende di crescere e innovare con i dati raccolti on-line e off-line.  Il nuovo regolamento europeo sulla Privacy, lo si ricorda, dovrebbe venire promulgato nel 2016, per entrare in vigore due anni più tardi.
Andrea Palumbo