Nuove sfide per la privacy?

Avv. Debora Stella

Page 2

Big data – riservatezza della persona

Big Data = massimizzazione dei dati (raccolti?) trattati

VS

Protezione dei dati/riservatezza della persona = minimizzazione dei dati raccolti e trattati

Disponibilità o accessibilità al dato o all’informazione non significa libera fruibilità dello stesso

Page 3

Principio di necessità

Art. 3: Principio di necessità nel trattamento dei dati

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.”

(principio presente anche nella proposta di Regolamento europeo 2012/0011(COD) “Regolamento EU”)

Page 4

Principali norme di riferimento

● Direttiva 95/46/EC

● Direttiva 58/2002/EC (ePrivacy Directive)

● D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy)

● Bozza di regolamento europeo 2012/0011 (COD) in materia di protezione dei dati personali (Regolamento EU)

Page 5

Analisi preliminare dei bisogni a fini privacy

● Quale scopo mi prefiggo?● Quali informazioni mi occorrono? ● Da dove le estraggo o da chi le ottengo? ● Come sono state raccolte, associate ed elaborate tali informazioni? ● Sono riconducibili a una persona fisica o a una persona giuridica, ente

o associazione?● Potrebbero, anche solo indirettamente mediante associazione con

altre informazioni, da chiunque detenute, consentire con mezzi ragionevoli di identificare l’interessato?

● L’interessato è consapevole di questo trattamento ed ha consentito?● Quanto posso manipolarle? ● Cosa devo fare per essere sicuro di poter utilizzare queste

informazioni ed il risultato della loro elaborazione ed analisi?● Quali sono i rischi ai quali si espone l’azienda nel trattare questi dati

per le finalità e modalità che mi sono prefissato?

Page 6

Quando si applicano le norme privacy

● Se c’è stabilimento del titolare in Italia (art. 5 D.Lgs. 196/2003)

● In caso di monitoraggio delle attività di soggetti residenti nell’UEo di trattamento relativo, o volto, a promuovere nei loro confronti beni o servizi (Regolamento EU)

Page 7

Informazioni rilevanti

a) qualunque informazione relativa a soggetto identificato o identificabile, anche mediante associazione con informazioni di cui dispone il titolare o qualunque terzo mediante uso di mezzi ragionevoli (art. 4, comma 1, lett. b) del Codice Privacy, WP 136 del 20 giugno 2007),

persona fisica (sempre)

persona giuridica, ente, associazione (solo

nel contesto di dati relativi a servizi di

comunicazione elettronica

b) qualunque informazione archiviata nell’apparecchio di un utente (art. 122 del Codice Privacy e art. 5, comma 3 Direttiva ePrivacy)

Attenzione a dati sensibili, giudiziari, biometrici e in generale idonei ad accrescere i rischi per gli interessati: limiti e restrizioni normative

Page 8

Trasparenza - correttezza

● Informativa chiara e completa

● Rispetto del principio di finalità per cui i dati sono stati raccolti

● Uso che ecceda le finalità originarie, ivi inclusa la commercializzazione o cessione dei dati a terzi, è un uso illecito e pertanto quei dati sono inutilizzabili (rischio di nullità del contratto)

Page 9

Consenso – autorizzazioni

● Consenso: opt-in, libero, specifico, revocabile dell’interessato (limitate eccezioni)

● Notifiche

● Autorizzazioni e/o verifiche preliminari da richiedere alle autoritàcompetenti

In caso di accesso o acquisto di dati da terzi:

● obbligo di verifica conformità dati acquisiti

● obbligo di conformità a normativa privacy applicabile al titolare che acquisisce i dati

Page 10

Profilazione

Nel caso di analisi dei profili singoli o aggregati (se consentono di risalire all’identità degli interessati) si aggiungono ulteriori limiti e adempimenti.

● Notifica al Garante per la protezione dei dati personali

● Informativa specifica

● Consensi specifici e separati rispetto ad altri consensi

● Specifiche misure di sicurezza

● Probabile necessità di verifica preliminare (art. 17 del Codice Privacy)

Page 11

Conservazione dei dati – Misure di sicurezza

● Verifica della data di acquisizione del dato

● Identificazione del periodo massimo di conservazione dei dati

● Misure di sicurezza obbligatorie, parametrate a tipologia/quantità/qualità dei dati,

● Data breach notification per qualsiasi titolare (Regolamento EU)

● Sanzioni elevate nel nuovo Regolamento EU (fino al 2% del fatturato)

● Principio di accountability