Lex101

Prendo spunto da un interessante post pubblicato sul blog di Microsoft, per fare alcune brevissime considerazioni sulla normativa europea Privacy (o GDPR) che a breve diventerà applicabile anche nel nostro ordinamento. Oltre a quanto sappiamo già da tempo, e che ci viene ripetuto in continuazione, ovvero che sarà necessario conformarvisi entro maggio 2018 a pena di sanzioni che potranno arrivare fino a 10 milioni di Euro, sembra che i grandi service provider (non solo MS, ma anche Amazon o IBM ad esempio) abbiano compreso anche le potenzialità commerciali dell’adeguamento alla nuova legge. Adeguarsi al GDPR non significa evitare sanzioni, ma porsi sul mercato garantendo ai propri clienti che i servizi offerti saranno già di default compliant con la nuova normativa, quindi facilmente integrabili (anche sotto il profilo legale) con i loro servizi. Ma non solo. L’offerta di servizi conformi alla normativa (dallo sviluppo software, all’offerta di servizi web) offre trasparenza e ispira fiducia nel fornitore, consentendo al cliente di ridurre i costi (che in caso contrario dovrebbe necessariamente accollarsi). Paradossalmente, però, solo i grandi operatori del mondo IT, che hanno minore necessità di pubblicizzare la qualità e il livello dei propri prodotti, hanno intrapreso concrete politiche di adeguamento alla nuova normativa. Nella perenne corsa all’offerta di servizi innovativi, i colossi del web- sempre restii ai cambiamenti- hanno deciso di essere già conformi al GDPR. La ragione è semplice, e ha chiaramente a che fare con la necessità di espandere il proprio business e guadagnare nuove quote di mercato. Ma questo, evidentemente, non è un problema solo loro.

Andrea Palumbo

A volte noi giuristi, anche quando parliamo ad un pubblico di non esperti, tendiamo ad indugiare su complicati concetti normativi perdendo di vista il vero messaggio da comunicare. Mi sembra interessante, invece, l’approccio proposto con questo video che mi è capitato di vedere ieri, dove si descrivono anzitutto le conseguenze dell’assenza di “Privacy”, lasciando a ciascuno di noi il compito di intuire che cosa si intenda con questa espressione. Forse non sarà giuridicamente ineccepibile, ma è molto efficace….

Andrea Palumbo

P.S.: qualcuno poi mi spiegherà come inserire direttamente i video nei post……

Interrompo il mio letargo per segnalare che il 24 febbraio parteciperò alla giornata di formazione Join the Expert: App Day organizzata da UGIdotNET per parlare delle problematiche privacy legate allo sviluppo di app. Segnalo inoltre, per chi fosse interessato al tema, che su Mokabyte è uscito il mio secondo breve contributo sugli aspetti legali dei Big Data .

Andrea Palumbo

Segnalo il mio primo articolo sui profili normativi dei Big Data pubblicato da Mokabyte.

Per chi fosse interessato l’articolo è reperibile a questo link . Ovviamente, anche in previsione del prossimo articolo della serie, ogni suggerimento è ben accetto.

Andrea Palumbo

@ndrea_palumbo

Come sempre dal 2000, anche quest’anno sono stati assegnati in Germania i prestigiosissimi Big Brother Awards, premi attribuiti a chi, in ambito economico, politico o finanziario, si sia distinto per aver messo a rischio la privacy dei cittadini.

Senza volervi rovinare la sorpresa, vi segnalo che in questa tornata gli ambiti riconoscimenti, a mio parere non sempre condivisibili, sono stati attribuiti a servizi segreti, multinazionali del settore IT, importanti portali web, etc.

Buona lettura.

Andrea Palumbo

@ndrea_palumbo

Probabilmente molti la conoscono con nomi diversi, web-scraping, web-harvesting o web data extraction, ma la sostanza è, essenzialmente, la stessa: è l’attività di raccolta di dati personali da pagine web liberamente accessibili.

In un mondo in cui ciò che conta, che ha valore, sono i dati degli “utenti-consumatori”, la raccolta di informazioni on line è un’attività ormai diffusissima, in particolare tra le società che svolgono attività di marketing e di analisi dei dati (ad es. business intelligence), che possono così lavorare su database notevolmente più grandi, su dati più ricchi, più aggiornati e, soprattutto, più facilmente reperibili rispetto al passato.

Purtroppo, però, non è tutto così facile come sembra. Ce l’ha ricordato il Garante Privacy con una recente comunicazione, passata colpevolmente in sordina, in cui l’Autorità ha chiarito quali sono i limiti (per il vero molto stringenti) entro i quali è possibile raccogliere in rete dati personali. La vicenda da cui prende spunto il Garante riguardava una società italiana rea di aver creato (e reso accessibile agli utenti del proprio sito) un vero e proprio elenco telefonico (contenente dati quali nome e cognome, indirizzo, recapito telefonico, numero di cellulare o indirizzo email) relativo a più di 12 milioni di soggetti. La raccolta dei dati veniva effettuata attraverso l’utilizzo di script automatici, senza che però fosse stato richiesto il consenso agli interessati o che questi ne fossero stati informati. Il Garante, intimando alla società l’interruzione dell’attività, ribadiva che la raccolta e il trattamento di dati su siti pubblici (social network compresi) deve essere effettuato sulla base di consenso libero, informato, specifico per ogni finalità che si intende perseguire e acquisito in via preventiva. I dati raccolti in violazione di questo chiaro principio, non solo espongo a sanzioni amministrative chi viola la normativa, ma non sono in alcun modo utilizzabili o cedibili e devono essere immediatamente cancellati.

Il diritto alla protezione dei dati personali, sancito dal Codice della Privacy, non tutela la riservatezza delle informazioni, ma garantisce a ciascun individuo il diritto ad avere un pieno ed effettivo controllo sui propri dati, prescindendo dalla loro natura pubblica o privata. L’attività di web-scraping, quindi, non è da considerarsi di per sé vietata, ma deve essere realizzata nel rispetto dei principi previsti dalla normativa: da un lato, per tutelare gli interessati e, dall’altro, per consentire a chi raccoglie i dati di disporne lecitamente, anche per finalità commerciali.

Andrea Palumbo

Dopo quattro anni di gestazione, il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il testo definitivo del nuovo Regolamento in materia di protezione dei dati personali (il cosiddetto General Data Protection Regulation). Il regolamento, che è entrato in vigore il 24 maggio e che sarà applicabile solo a partire dal 25 maggio 2018, abroga e sostituisce integralmente l’attuale normativa europea in materia di Privacy e Data Protection (le direttive CE 46/95 e 58/02). Se sotto il profilo dell’impostazione generale e dei principi si può affermare che il nuovo regolamento non si discosti molto dall’attuale disciplina, lo stesso non può dirsi delle disposizioni di dettaglio che prevedono, da un lato, l’adozione di strumenti già presenti in alcuni paesi membri (si pensi al Privacy Impact Assesment), e dall’altro la semplificazione di determinate procedure (ad esempio in materia di notificazione) o l’implementazione generale di norme precedentemente previste solo in specifici settori (come la disciplina sul Data Breach).

Alla luce del testo definitivo, le novità più rilevanti possono essere individuate:

- nell’introduzione di una normativa unica per tutti gli stati membri dell’EU, con la conseguente eliminazione delle significative differenze di disciplina attualmente presenti nelle singole leggi nazionali;

- nella previsione specifica di un “diritto all’oblio” in capo ai cittadini europei, sancito dall’art. 17 del Regolamento (che ne disciplina altresì l’esercizio in modo analitico);

- nell’obbligo di nomina, per determinati enti, di un “Responsabile della protezione dei dati” (il cosiddetto Privacy Officer o Data Protection Officer), che dovrà fornire consulenza ai Titolari del trattamento relativamente alla disciplina prevista in tema di Privacy, vigilare sulla sua corretta osservanza e cooperare e fungere da punto di contatto tra l’Autorità Garante e il Titolare stesso. Sulla base di quanto stabilito dal Regolamento (artt. 37 e seguenti), i soggetti obbligati a nominare un Responsabile della Protezione dei Dati Personali attualmente sono:

• le amministrazioni e gli enti pubblici;
• tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
• tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
  A questo link è possibile trovare una scheda informativa predisposta dal Garante;

- nell’obbligo per i Titolari del trattamento di effettuare una notificazione (ai sensi degli artt. 33 e seguenti) all’Autorità Garante, e in ipotesi specifiche anche agli interessati, nel caso in cui si subisca una “Violazione dei dati personali” (altrimenti detta Data Breach), ossia quando si verifichi una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”;

- nella necessità, per i titolari del trattamento, di effettuare una preventiva “Valutazione d'impatto sulla protezione dei dati", (o Privacy Impact Assessment) in relazione a particolari trattamenti. Secondo l’art. 35 del Regolamento, in generale, dovrà essere predisposta una valutazione d’impatto sulla protezione dei dati nel caso in il trattamento, considerata la sua natura, il suo oggetto, il contesto e le sue finalità, presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”;

- nell’obbligo (per imprese e organizzazioni con più di 250 dipendenti, a parte alcune eccezioni) di tenere dei “Registri delle attività di trattamento” (assimilabili per certi versi al vecchio DPS) in cui i Titolari dovranno elencare le attività di trattamento svolte sotto la propria responsabilità, indicando dettagliatamente tutte le informazioni di cui all’art. 30, comma 1 del provvedimento.

Le novità introdotte, che non stravolgono l’attuale disciplina in materia di Privacy, presentano comunque un grado elevato di complessità e, soprattutto, necessitano di procedure aziendali ad hoc. Nel caso in cui si ritenga di ricadere nelle categorie di soggetti destinatari delle previsioni stabilite dal Regolamento (che, come già anticipato, sarà applicabile solo a partire dal 25 maggio 2018) sarà opportuno adeguarsi alle nuove disposizioni per tempo.

Andrea Palumbo

Il 18 marzo terrò un seminario presso la facoltà di Giurisprudenza dell'Università di Milano-Bicocca sulla normativa applicabile a siti web ed E-Commerce . Durante il seminario si parlerà, tra l'altro, di conformità dei siti web alla normativa privacy, di newsletter, cookie, siti delle P.A., vendita di servizi e beni via internet e problematiche correlate. Il seminario è a ingresso libero e si svolgerà dalle 12.30 alle 14.30, nell'edificio U6, aula 21. Qui la locandina dell'evento.

Andrea Palumbo

Da qualche tempo sembra che a Bruxelles abbiano preso sul serio la questione del Digital Single Market, ovvero l’impegno assunto dall’Unione Europea a migliorare l’accesso in tutta Europa a beni  e servizi digitali e a creare un contesto favorevole al loro sviluppo. Aveva già fatto scalpore l’annuncio del raggiungimento di un accordo sull’abolizione di costi aggiuntivi, a partire dal 15 giugno 2017, per telefonate, sms e navigazione in roaming.

Con l’adozione, il 9 dicembre, di una nuova proposta regolamentare si prevedono, invece, numerose novità anche in materia di Geo-Blocking e Copyright. La Commissione Europea mira, infatti, a rendere vincolante nei confronti di tutti i fornitori di servizi e contenuti digitali il principio della Cross Border Portability. Differentemente da quanto accade attualmente, con l‘introduzione della nuova normativa tutti i consumatori europei che, nel loro paese di residenza, acquistino o si iscrivano a servizi per la fornitura di contenuti digitali (di qualsiasi tipo, dalla musica ai film, dalla trasmissione di eventi sportivi ad e-book e videogiochi) potranno accedervi, temporaneamente, anche quando “viaggiano in Europa” senza limitazioni derivanti da licenze o dalle pratiche commerciali dei providers. Un consumatore residente in Italia, mentre si trova per un viaggio di lavoro a Londra, potrà vedere il suo telefilm preferito, fruibile in streaming attraverso l’abbonamento sottoscritto in Italia, anche nel caso in cui, ad esempio, lo stesso telefilm per questioni di licenza non sia presente nel catalogo del medesimo provider in Inghilterra. Sembrano quindi destinati ad un inesorabile declino i sistemi di Geo-Blocking, almeno in Europa (nonostante fossero già da tempo facilmente superabili attraverso strumenti tecnologici).

Le novità previste dalla bozza di regolamento, seppur coraggiose e rilevanti, non sembra, però, che abbiano la portata rivoluzionaria che ci si aspettava. Anzitutto si è scelto di prevedere e di imporre ai provider il principio di “Cross Border Portability” e non quello del “Cross Border Access” (purtroppo ancora lontanissimo dall’essere introdotto e applicato) con cui si renderebbero fruibili ai consumatori residenti in uno stato dell’Unione anche i contenuti e i servizi digitali esclusivamente disponibili in altri stati membri (un consumatore residente in Italia sottoscrive un abbonamento ad un servizio di streaming musicale presente solo in Germania e vi accede dal nostro paese).

Vi è poi un ulteriore aspetto da evidenziare: il principio della “Cross Border Portability” prevede una limitazione espressa, ovvero quella della temporaneità del soggiorno in un altro stato membro dell’Unione. Con ciò si intende che i consumatori residenti in uno stato membro possono usufruire dei propri contenuti digitali in un altro stato membro solo se il loro soggiorno è temporaneo. Purtroppo non viene però specificato cosa si debba intendere per “soggiorno temporaneo”, lasciando quindi supporre che ci si possa riferire a soggiorni all’estero anche di lunga durata, purché il consumatore continui a risiedere in altro stato.

Infine, per evitare possibili abusi attraverso la nuova normativa, verranno comunque  previsti particolari strumenti di controllo per i detentori dei diritti sui contenuti digitali. Si pensi al consumatore residente a Milano che dichiari di risiedere a Parigi e di trovarsi temporaneamente nel nostro paese (collegandosi quindi al provider con un indirizzo IP italiano), in modo da potersi iscrivere ad un servizio con contenuti fruibili solo in Francia per questioni di licenza (sfruttando, così, in modo illegittimo il nuovo sistema). Per evitare tali ipotesi si prevede la possibilità, per i detentori delle licenze, di poter richiedere ai provider informazioni sulla residenza di un utente quando questi utilizzi in modo prolungato il servizio non nel paese dove risulta risiedere.

La normativa, secondo le previsioni della Commissione Europea, dovrebbe essere definitivamente approvata nella prima parte del 2016 per entrare in vigore nel 2017 contemporaneamente con le novità previste in materia di roaming.

Andrea Palumbo