Privacy

Riflessioni sulla figura del «Privacy Officer» nel Regolamento UE sulla privacy

La normativa sulla privacy ha avuto una rapida evoluzione, da ultimo con il Regolamento dell’UE n. 2016/679, relativo sia alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, sia alla libera circolazione dei dati personali medesimi.

Il regolamento, pubblicato nella Gazzetta Ufficiale dell’UE il 4 maggio 2016, è entrato in vigore il 24 maggio del medesimo anno, ma si applicherà solamente a decorrere dal 25 maggio 2018.

La normativa è complessa e rilevanti sono le novità introdotte dal legislatore europeo, tra cui l’istituzionalizzazione della figura del «Responsabile della protezione dei dati personali», nota come «Privacy Officer» o «Data Protection Officer» (DPO).
Si tratta di soggetto diverso dal «responsabile del trattamento», già ampiamente noto nella nostra esperienza giuridica quale soggetto preposto dal titolare per “governare” o “gestire” in tutto o in pare il trattamento dei dati personali.

Il «Privacy Officer» viene designato sistematicamente dal titolare e dal responsabile del trattamento quando il trattamento dei dati è effettuato da un soggetto pubblico (un’autorità pubblica o un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali). Viene altresì designato sistematicamente nel caso in cu ile attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, nonché quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di particolari categorie di dati personali, quali i dati sensibili (idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, quelli biometrici in grado di identificare in modo univoco una persona fisica, i dati relativi alla saluta o alla vita sessuale o, ancora, all’orientamento sessuale di una persona) o di dati relativi a condanne penali e a reati.
Il regolamento europeo prevede che il Privacy Officer sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti che la normativa gli riserva: a) informare e fornire consulenza al titolare e al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dalla normativa nazionale e internazionale in tema di data protection; b) sorvegliare l’osservanza del regolamento europeo sulla privacy e delle altre normative nazionali e internazionali sulla medesima materia,  nonché l’osservanza delle privacy policies adottate dal titolare o dal responsabile (anche con riferimento all’attribuzione delle responsabilità, alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti dei dati ed alle connesse attività di controllo); c) fornire, se richiesto, un parere in merito alla valutazione dell’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (v. art. 35); d) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con tale autorità per le questioni connesse al trattamento (come ad esempio in cui sorge l’obbligo di consultazione preventiva del Garante, per i trattamenti che, a seguito di valutazione d’impatto sulla protezione dei dati personali, presentino rischi elevati, ovvero nel caso in cui si rendesse opportuno procedere a consultazione per qualunque altra questione). Al Privacy Officer viene altresì richiesto, nell’eseguire i propri compiti, di considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento medesimo.

Si comprende allora che tale figura deve necessariamente possedere sia conoscenze specialistiche della normativa sulla privacy, sia adeguate conoscenze interdisciplinari in materia di analisi dei rischi (in ambito informatico e non) e di gestione degli eventi critici.

Il Privacy Officer può essere designato tra i dipendenti del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizi. Una volta nominato, il titolare o il responsabile del trattamento devono rendere pubblici i dati di contatto del Privacy Officer, a cui possono rivolgersi sia gli interessati, sia l’autorità di controllo.

La normativa non richiede che il Privacy Officer sia individuato tra soggetti iscritti in appositi albi (non previsti per tale disciplina) o in associazioni di categoria, né richiede che sia in possesso di certificazioni.

Il presupposto necessario per la designazione è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e – al contempo – di gestione della protezione dei dati oggetto di trattamento. In altre parole, deve possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico-informatico ed organizzativo).
Sorge dunque la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di curare una preparazione specialistica in tal senso e vedersela attestata da titoli idonei, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L’istituzione della figura del Privacy Officer nel nuovo regolamento europeo, per la verità già anticipata in alcuni provvedimenti del Garante e già operante in altri Paesi dell’UE, offre dunque nuove opportunità di sbocco professionale (o di crescita professionale) in un settore in rapida espansione, la cui crescente complessità richiede persone preparate e competenti.

La formazione migliore passa attraverso Corsi di Alta Formazione o di Master attivati dalle Università più sensibili a tali temi. Titoli universitari incentrati sulla figura del Privacy Officer vendono rilasciati, ad esempio, dall’Università di Bologna con il Corso di Alta Formazione in «Web Security e Privacy Officer» e con il Master in «Trattamento dei dati personali e Privacy Officer», attivati nell’a.a. 2016/17 (i cui termini per la presentazione delle domande sono in scadenza, rispettivamente, il 7 novembre e il 9 dicembre del 2016). Ovviamente è indispensabile che il processo di formazione sia continuo, essendo necessario coltivare un aggiornamento professionale costante.
Fabio Bravo

www.fabiobravo.it

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Il Garante Privacy pubblica una “guida” sintetica al Regolamento Privacy

Il Garante ha pubblicato sul proprio sito istituzionale una “guida” sintetica al nuovo Regolamento privacy, con mere finalità divulgative.
Per la versione integrale del regolamento (UE) 679/2016, si rimanda a questo link.

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Web Security e Privacy Officer

Presso l’Università di Bologna è attivo il Corso di Alta Formazione in “Web Security e Privacy Officer“, con carattere interdisciplinare, della durata di sette mesi. Tra gli insegnamenti previsti nel piano didattico vi sono le seguenti materie:

  1. Web society e web security (SPS/07)
  2. Sicurezza aziendale e nuove tecnologie (SPS/12)
  3. Indagini investigative e web (INF/01)
  4. Diritto alla protezione dei dati personali e Privacy Officer (IUS/01)

La figura del Privacy Officer (o Data Protection Officer, DPO – Responsabile della Protezione dei Dati) è stata istituzionalizzata nel Regolamento UE n. 2016/679 sulla Privacy, pubblicato oggi (4.5.2016) nella Gazzetta Ufficiale dell’UE.

Di seguito il link al testo integrale del Regolamento ed alla Gazzetta ufficiale: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Chi fosse interessato al predetto Corso di Alta Formazione può consultare il sito di ateneo per gli approfondimenti e le informazioni utili su bando, requisiti e termini per presentare domanda, quota di iscrizioni, direttore, docenti, tutor, etc.

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Codice deontologico per trattamenti di dati a fini di informazione commerciale

Il Garante per la protezione del dati personali, unitamente ad associazioni di categoria, ha varato il nuovo Codice di deontologia e di buona condotta per il trattamento di dati personali effettuato a fini di informazione commerciale.

Pubblicato in Gazzetta Ufficiale il 13 ottobre 2015, entrerà in vigore il 16 ottobre 2016.

Qui il testo completo del Codice deontologico.

Di seguito si riporta, invece, la sintesi del provvedimento come diffusa nel comunicato stampa del Garante.

Ricerche limitate a persone con legami giuridici o economici

Per realizzare un dossier di informazione commerciale su un manager o un imprenditore, si possono utilizzare solo i suoi dati personali, oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici.

Informazioni pubbliche o liberamente comunicate

Sono utilizzabili i dati provenienti da “fonti pubbliche”, come i pubblici registri, gli elenchi, i documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti c.d. pregiudizievoli come l’iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari).

Per la prima volta, saranno utilizzabili a questi fini anche i dati estratti da “fonti pubblicamente e generalmente accessibili da chiunque”, come le testate giornalistiche cartacee o digitali, oltre che informazioni attinte da elenchi telefonici, da siti web di enti pubblici o altre autorità di vigilanza e controllo.

Tutti questi dati, come previsto dal Codice della privacy, possono essere trattati senza il consenso degli interessati.

Potranno essere utilizzati anche i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.

Gli operatori dovranno sempre annotare la fonte da cui hanno tratto i dati personali sulla persona censita.

Informativa e pronto riscontro agli interessati

Tutte le società del settore dovranno pubblicare un’informativa completa almeno sul proprio sito web. Quelle con un fatturato superiore a 300.000 euro (in questo ambito di attività) dovranno realizzare insieme un unico portale dove inserire le comunicazioni sulle attività di informazione commerciale.

E’ previsto inoltre l’obbligo per gli operatori del settore di garantire un riscontro telematico, tempestivo e completo, alle richieste in materia di privacy avanzate dalle persone censite.

Limiti all’utilizzo e alla conservazione dei dati

I dati personali possono essere conservati solo per periodi di tempo ben definiti e, comunque, trattati nel rispetto dei limiti alla conoscibilità, all’utilizzabilità e alla pubblicità dei dati previsti dalle normative di riferimento (ad esempio quella sulla trasparenza o sulla pubblicità legale degli atti).

Potranno essere trattati anche dati giudiziari (come quelli relativi  ad un’eventuale condanna, ad esempio, per bancarotta fraudolenta) della persona censita. Tali informazioni, se tratte da un giornale, o da un’altra fonte pubblicamente e generalmente accessibile, non possono risalire a più di sei mesi prima.

Dati sempre pertinenti e aggiornati

Gli operatori del settore dovranno utilizzare solo dati pertinenti e non eccedenti l’attività di informazione commerciale. I dati dovranno essere sempre aggiornati.

Sicurezza delle informazioni

Le società dovranno adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Google Street View Special Collects

Google sta avviando anche in Italia il servizio “Google Special Collects”, che consentirà di riprodurre immagini a 360° nei luoghi non raggiungibili con Google Street View.

Al fine di garantire il rispetto della normativa in materia di protezione dei dati personali, il Garante ha reso un proprio provvedimento, con il quale, in deroga al provvedimento reso per il servizio Google Street View, si prevede ora che il provider:

1. provveda, ai sensi degli artt. 29 e 30 del Codice, a designare volta per volta gli eventuali Partners, ovvero i soggetti terzi addetti all’acquisizione delle immagini secondo le modalità e con l’attrezzatura resa disponibile da Google medesima, quali responsabili o, a seconda dei casi, incaricati del trattamento di dati nella titolarità della società, fornendo loro adeguate istruzioni e precisando, altresì, l’ambito del trattamento consentito;

2. in particolare, qualora la programmata acquisizione delle immagini interessi luoghi, privati o pubblici, delimitati e ad accesso controllato ovvero parti di essi, specie di piccole dimensioni (ville, stanze, musei, giardini etc.) fornisca agli incaricati, direttamente ovvero per il tramite degli eventuali responsabili, delle specifiche istruzioni alla stregua delle quali vengano informate le persone eventualmente presenti dell’imminente ripresa delle immagini, consentendo loro di esercitare il proprio diritto a sottrarsi alla stessa;

3. provveda, comunque, ad informare gli interessati circa la programmata acquisizione di immagini relative ai siti ed alle località oggetto del programma mediante:

3.1. pubblicazione della notizia sul sito web di Google, intendendosi l’obbligo valevole sia con riferimento al sito web www.google.it sia a tutte le altre pagine web in lingua italiana comunque riconducibili a Google; e ciò nei tre giorni antecedenti rispetto all’inizio della raccolta delle immagini;

3.2. pubblicazione della notizia tramite i siti web e, se esistenti, le newsletter o altre pubblicazioni informative dei Partners ovvero degli enti, strutture, soggetti privati, fondazioni etc. che utilizzano le attrezzature del programma o che comunque possiedono, gestiscono o soprintendono i siti ovvero hanno altrimenti la disponibilità del rilascio della necessaria autorizzazione all’effettuazione delle riprese; e ciò nei sette giorni antecedenti rispetto all’inizio della raccolta delle immagini per il caso dei siti web; nell’ultima pubblicazione antecedente l’inizio del trattamento nei rimanenti casi;

3.3. nell’eventualità di siti o luoghi, pubblici o privati, recintati ovvero aperti al pubblico, pubblicazione di segnalazioni, avvisi o cartelli affissi all’ingresso dei siti interessati;

4. predisponga, sulle attrezzatture attraverso le quali acquisisce le immagini fotografiche ovvero anche sull’abbigliamento dei relativi addetti adesivi, cartelli o altri segni distintivi ben visibili che indichino, in modo inequivocabile, che si stanno acquisendo immagini fotografiche istantanee oggetto di pubblicazione online mediante il servizio Google Special Collects nell’ambito di Street View destinate alla pubblicazione su Google Maps.

Fabio Bravo | www.fabiobravo.it

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Cookies. Video informativo del Garante Privacy

Il Garante in materia di protezione dei dati personali sta portando avanti una campagna informativa in tema di cookies mediante un efficace video, ripreso anche tramite diverse testate giornalistiche. Per contribuire alla sua diffusione viene riproposto anche di seguito.

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Il “divieto” di usare Facebook in Germania: la questione si allarga

La necessità di tutelare la protezione dei dati personali dei cittadini e il timore che si possano utilizzare strumenti di profilazione personale per scopi diversi, ha spinto il Ministro della Difesa dei Consumatori e dell’Agricoltura della Germania federale a richiedere, ai ministri dei 16 Stati che compongono la Germania, delle restrizioni sull’uso di Facebook:

 la ministro per la Difesa dei consumatori e l’agricoltura tedesca, signora Ilse Aigner (…), in una circolare interna a tutti i ministeri federali, a tutti i governi dei 16 Stati (Bundeslaender) della Repubblica federale, a enti locali ed enti pubblici in generale, ha diffidato dall’inserire sui loro siti il link di Facebook. Insomma, quella specie di ostracismo pubblico al social network creato proprio da un giovane di origine tedesca, Mark Zuckerberg, ostracismo che all’inizio era stato deciso solo nel piccolo Stato settentrionale dello Schleswig-Holstein, adesso diventa scelta precisa a livello nazionale.

(…)

La notizia è stata rivelata dal settimanale Der Spiegel online che evidentemente ha intercettato la circolare interna

(…)

E’opportuno, scrive la ministro Ilse Aigner (…) che ministeri ed enti pubblici tolgano il link con Facebook dai loro siti, e se ancora non lo hanno inserito si guardino bene dal farlo.

“Dopo un approfondito studio giuridico, sono giunta alla conclusione che è assolutamente opportuno che Facebook non sia utilizzabile su alcuno dei nostri siti governativi”, scrive Frau Aigner. E chiede ai suoi colleghi e subalterni anche di evitare di creare siti o links di fan, i quali potrebbero essere strumentalizzati da aziende pubblicitarie o da altri terzi per appropriarsi dei dati personali di chi li è iscritto a Facebook e li utilizza navigando in rete.

(…)

Prossimamente, rivela la signora Aigner, “mi recherò negli Stati Uniti, e incontrerò i responsabili di Facebook, per chiedere loro di uniformarsi alle rigorose regole e leggi europee e tedesche di protezione dei dati personali”.

(…)

La Germania sottolinea di avere buone ragioni per questa dura, severa scelta: il suo passato, con due dittature (il Terzo Reich e poi la Ddr) che fondarono il loro potere totalitario anche sulla sistematica violazione del diritto dei cittadini all’inviolabilità della loro sfera privata. Prima la Gestapo e il famigerato “Ufficio Centrale per la sicurezza del Reich”, cioè la suprema autorità repressiva nazista, poi nella Ddr la temuta Stasi, la polizia segreta, accumularono milioni e milioni di dossier sui dati dei cittadini

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Facebook e privacy: vietato il tasto “I Like” in Germania. E in Italia?

Come si apprende da un articolo di Repubblica,

Nel Bundesland (Stato federale) dello Schlewsig-Holstein, il più settentrionale della Germania, il garante della privacy ha messo al bando l’opzione ‘mi piace’ per istituzioni e imprese.

(…) Secondo Thilo Weichert, il garante della privacy nel piccolo Stato federale con capitale Kiel, Facebook viola le leggi sulla protezione dei dati personali in Germania e nell’Unione europea, e chi utilizza la celebre funzione col pollice in alto Continua a leggere

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Inchiesta su minori, sesso, internet e cellulari

 

Il fenomeno è noto. La breve videoinchiesta di Antonio Crispino per il Corriere della Sera pone di nuovo l’accento sulla questione del rapporto tra minori, sesso e nuove tecnologie. Il tema merita di essere ulteriormente approfondito in maniera interdisciplinare, sia dal punto di vista giuridico (privacy, reati informatici), sia dal punto di vista socio-criminologico e vittimologico, in funzione dell’attività di prevenzione e di educazione, che al contempo deve riguardare sia l’educazione sessuale, sia l’educazione all’uso delle nuove tecnologie nel contesto della società dell’informazione. 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Tecnologie di controllo. Il collare elettronico ai lavoratori

Mi ha colpito un articolo di Mauro Covacich per il Corriere della Sera dal titolo “Gli schiavi del volantinaggio con il collare elettronico“, ove si prospetta la questione del controllo dei lavoratori tramite dispositivo GPS da appendere al collo (c.d. “Collare elettronico” – cfr. FOTO) in grado di tracciare e ricostruire gli spostamenti effettuti durante l’orario di lavoro. I toni sono molto forti:

Un’organizzazione di indiani con sede nell’ovest vicentino, al centro di un vasto giro di volantinaggio illegale fatto di lavoro nero, evasione e frode fiscale, è stata sgominata dalla Guardia di Finanza, ma non è questa la notizia vera.

La notizia vera è che questi nuovi padroni controllavano i loro lavoranti, quasi tutti ovviamente immigrati irregolari e quindi ricattabili, attraverso una catena elettronica dalle maglie invisibili collegata a un gps.

(…)

È probabile che i nuovi padroni colti in flagranza di reato abbiano sgranato gli occhi di fronte alle accuse. Che c’è di male a dotare di collarino gps i tuoi schiavi? Prima c’era la palla al piede, le catene, adesso gli rendiamo la vita più facile, e voi pure vi scandalizzate? Chi tiene gli occhi bassi sulle cose non ha tempo per pensare: o è troppo intento a far soldi o sta sudando per farli fare a qualcun altro.

 

Mi sembra stia trovando applicazione alle persone la prassi già da tempo invalsa per il controllo e il tracciamento delle “flotte” aziendali. Dal tracciamento dei veicoli, ora, si è passati al tracciamento diretto della persona-lavoratore e ciò rende ancora più stringente la compressione della libertà personale, che si atteggia con sfumature diverse.

Probabilmente il controllo degli spostamenti del lavoratore appiedato nasce dall’esigenza meritoria di ottimizzare gli spostamenti e il lavoro (ad esempio per conoscere quale zone non sono state ancora coperte dal volantinaggio e quindi riprogrammare la distribuzione in loco) o, pensando in maniera più disincantata, dall’esigenza di controllare l’effettivo svolgimento dell’attività lavorativa, mettendo un freno alle possibili “distrazioni” del personale.

L’evoluzione del fenomeno è però degno di nota.

Il Garante per la privacy ultimamente si è pronunciato su un caso di controllo tramite GPS della flotta aziendale (“GPS sui veicoli aziendali e geolocalizzazione dei lavoratori. Interviene il Garante per la privacy“).

Occorrerà un monitoraggio ed uno studio sui limiti di tali forme di controllo, che saranno sempre più pervasivi. Credo si riuscirà ad andare anche oltre.

In ultima analisi, l’esigenza aziendale della produzione, da salvaguardare, va contemperata con l’esigenza di rispettare i diritti fondamentali della persona. Il progresso tecnologico e l’uso creativo che se ne fa impongono costantemente di riflettere su quale sia il nuovo punto di equilibrio tra gli opposti interessi.

Fabio Bravo

www.fabiobravo.it

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email
EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books