Specialisti della Privacy

14/05/2018

Ho il piacere di invitarvi al seminario gratuito GDPR nella Pratica. Tutto quello che non è ancora stato chiarito.
Il seminario si terrà giovedì 17 maggio alle 18:30, presso l'Hotel Ristorante Fior in Via dei Carpani, 18, 31033 Castelfranco Veneto TV.

A partire dal 25 Maggio, diventa applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Questo incontro nasce con la volontà di mettere attorno ad un tavolo professionisti in ambito di privacy e trattamento dei dati personali, oltre ad esperti in campo legale, assicurativo e marketing, con l'obiettivo di chiarire tutti gli aspetti pratici per la messa a norma della propria attività.

Ecco a seguito l'agenda del seminario:

18:30. Check-in e Aperitivo di benvenuto
19:00. Inizio attività
Benvenuto da parte di Nicola Zanon, direttore di Apindustria Venezia e di Chiara Manzonetto, presidente della delegazione CONFAPI Castelfranco Veneto
Panoramica sugli aspetti legali. Internvento di Studio Legale Tonucci & Partners
Gli aspetti operativi della GDPR. Intervento di Paolo Berro - Specialisti della Privacy
Come sta cambiando il Marketing. Intervento di Velvet Media
DAS, gli specialisti della tutela legale
20:00. Domande dal pubblico
20:30. Ringraziamenti e chiusura attività
L'evento è organizzato da Velvet Media, Specialisti della Privacy, Apindustria, Confapi.

Sponsor ufficiale: Generali Italia - Agenzia Generale di Castelfranco Veneto

Per partecipare, riserva il tuo posto a questo link: https://bit.ly/2vUoOmp , ti aspettiamo!

20/04/2018

Il nuovo regolamento europeo sulla protezione dei dati (GDPR) e il modo in cui usi Facebook...

05/04/2018

Articolo molto interessante...

Mark Zuckerberg, a capo del social, stabilisce quindi una volta per tutte quanti profili "potrebbero esser stai raggiunti da Cambridge Analytica"

29/03/2018

Per informazioni: https://www.specialistidellaprivacy.it/

26/03/2018

In questi giorni ha suscitato scalpore planetario la notizia del furto dei dati personali di più di 50 milioni di utenti di Facebook! Cambridge Analytica, una società inglese che lavora da parecchio sui Big Data (flussi di enormi quantità di dati), sembrerebbe aver avuto un ruolo importante per il suo sostegno a favore di Donald Trump durante la campagna per le elezioni presidenziali americane e anche dei Sostenitori della Brexit.
Cosa è successo?
Aleksandr Kogan, ricercatore inglese, ha avuto accesso a 270 mila profili personali di Facebook, ai quali ha chiesto il consenso per compilare un'indagine che avrebbe dato, come risultato, il profilo psicologico.

Ognuno di loro ha utilizzato l'app offerta da Mr. Kogan, accedendo con le proprie credenziali Facebook e comunicando, così a loro volta, le informazioni dei propri contatti!
In questo modo Cambridge Analytica ha potuto accedere ai dati di oltre 50 milioni di profili Facebook!
Ma cosa hanno fatto con questi dati?
La polemica si è subito direzionata sulle vicende che legano Cambridge Analytica a Donald Trump e alla Brexit.
Poi i critici e gli analisti si sono chiesti quanto possono essere sicuri i 2 miliardi di profili personali custoditi da Facebook...
La stessa Facebook ha prontamente ribadito che non c'è stata nessuna intrusione nei sistemi di sicurezza (data breach), e che l'unica responsabilità era di Cambridge Analytica, che ha trattato in modo non autorizzato i dati di 50 milioni di utenti.

Quanto accaduto è di enorme gravità. Così come è grave ciascuno degli elementi che compongono il quadro. Facebook è una società con oltre 2 miliardi di utenti ai quali viene dato un servizio di piattaforma social del tutto gratuito.
Nessuno degli utenti di Facebook paga un centesimo per le decine di ore settimanali che spende per parlare con gli amici o postare foto e musiche. Ma, dato che a questo mondo nulla è gratis, è evidente che la contropartita, a noi richiesta, ci scivola tra le mani senza averne la minima consapevolezza.
Del resto, è facile fare i conti...
Facebook, il cui valore viene stimato in più di 500 miliardi di dollari, possiede, a livello di strumentazioni, solamente i server su cui passa l'enorme flusso di dati giornaliero. Parliamo, in effetti, di un valore esiguo, rispetto alla quotazione dell'azienda in Borsa. Ma allora in cosa consiste tutto il suo valore? Semplice. I NOSTRI DATI, quelli di più di due 2 miliardi di persone iscritte a Facebook, delle quali almeno il 70% di esse si collegano una volta al giorno).
Ciò che è successo con Cambridge Analytica, perciò, non è un caso, ma molto simile al discorso Facebook.
Facebook, ripeto, ha un valore in Borsa di 500 miliardi di dollari solo per la quantità di dati che possiede e per l'uso che ne fa o, meglio, per la cessione degli stessi alle società che producono le centinaia di migliaia di applicazioni che ognuno di noi utilizza.

Ma Facebook non è la sola!
Google, ad esempio, ha il monopolio della pubblicità on-line ed è arrivata a questi livelli proprio per la capacità di indirizzare le pubblicità e le campagne di marketing sulla base dei dati posseduti proprio di quel cliente!
Amazon, al primo posto fra i siti di commercio elettronico, è riuscita a crescere così tanto perché ha saputo personalizzare ogni tipologia di comunicazione sulla base dei dati personali in suo possesso.

Ma come fanno tutti a contattarci e a sapere chi siamo? Come fanno a lucrare sui nostri dati?
Semplice: il nostro lavoro, i nostri amici, le nostre foto, i nostri stati emotivi, le nostre convinzioni politiche, i nostri film preferiti, le trasmissioni televisive che seguiamo, i libri che leggiamo, i canali televisivi che guardiamo, gli sport che preferiamo, gli eventi ai quali partecipiamo…

È SOLO "COLPA" NOSTRA!

Fanno soldi sulla nostra inconsapevolezza!

C'è stato però un segnale: negli ultimi giorni, Facebook ha perso in Borsa più del 10%, parliamo di oltre 50 miliardi di dollari!
Ciò vuol dire che gli investitori, alla luce dell'affare Cambridge Analytica notano un pericolo, una falla, sul modello economico basato sullo sfruttamento dei dati personali!

Con l'entrata in vigore del GDPR, il 25 maggio 2018, sicuramente si apriranno nuovi orizzonti!
I nostri dati saranno più protetti e noi stessi avremo più controllo sugli stessi, sperando di annullare lo strapotere dei grossi colossi del Web, che dai nostri dati personali traggono profitto e possono influenzare le nostre preferenze, le nostre credenze e le nostre abitudini!

Uno sforzo in più che dovrà essere affrontato dalle nostre aziende, ma una sicurezza in più per ognuno di noi.
Per saperne di più: https://www.specialistidellaprivacy.it/

11/02/2018

Privacy: multa di 840mila euro a Telecom Italia per telefonate indesiderate
Il Garante per la privacy ha multato Telecom Italia per telemarketing senza consenso

Una multa da 840mila euro a Telecom Italia per telemarketing senza consenso. Il Garante per la privacy ha ordinato a Telecom Italia il pagamento della pesante sanzione amministrativa «per aver effettuato telefonate promozionali senza consenso nei confronti di tutti gli ex clienti che non avevano dato l'autorizzazione a ricevere chiamate commerciali o l'avevano revocata». Telecom Italia, grazie alle chiamate per la campagna pubblicitaria, avrebbe voluto verificare un loro eventuale cambiamento di interesse. Il provvedimento sanzionatorio arriva a pochi giorni dall'entrata in essere delle nuove regole sul telemarketing. D'ora in avanti, grazie al registro delle opposizioni, gli utenti potranno inserire il proprio numero fisso o del telefonino per non essere disturbati da chiamate commerciali.

Telemarketing senza consenso, pesante multa alla Tim
Il procedimento contro Telecom risale al 2016 quando numerosi clienti avevano segnalato di aver ricevuto telefonate promozionali indesiderate. Si trattava di un illecito trattamento dei dati, accertato dall'Autorità con provvedimento del 22 giungo 2016, di seguito confermato dal Tribunale civile di Milano che aveva rigettato il ricorso di Telecom. La successiva contestazione della sanzione amministrativa da parte del Garante alla Tim era stata solo in parte adempiuta, col pagamento relativo a solo una delle violazioni contestate.

Telemarketing, le violazione della privacy di Telecom Italia
Secondo il Garante, Telecom ha violato la disciplina sulla protezione dei dati effettuando attività promozionali nei confronti di una platea amplissima di destinatari senza il loro consenso. La cosiddetta campagna "recupero consenso", iniziata nel 2015, comportava per Telecom l'utilizzo dell'intera base dati dei clienti cosiddetti "cessati e non consensati", 2.000.000 di utenze telefoniche. Una condotta che viola non solo la normativa, ma anche le prescrizioni del Garante a Telecom del 2007, in base alla quali la società avrebbe dovuto adottare le misure necessarie per rendere il trattamento dei dati conforme alla disciplina sulla protezione dei dati personali: in particolare, per ciò che riguarda le chiamate a carattere pubblicitario, promozionale o commerciale. Un'attività che la società avrebbe potuto effettuare solo nei confronti degli utenti per i quali poteva documentare di avere già acquisito il consenso prima dell'avvio della campagna pubblicitaria.

La gravità del caso è costituita dal fatto che la condotta di Telecom Italia è stata per «una scelta consapevole e non per mera negligenza, avendo acquisito, nel corso degli anni, attraverso la costante interlocuzione con il Garante, tutti gli elementi interpretativi che le avrebbero dovuto consentire di assumere delle decisioni in linea con l'ordinamento vigente e con gli orientamenti dell'Autorità».

07/02/2018

Il Regolamento (UE) 2016/679 del 27 aprile 2016, più noto con l’acronimo inglese GDPR, oltre a prevedere un nuovo quadro giuridico in materia di protezione dei dati, fondato sul concetto anglosassone di accountability del Titolare, ha introdotto una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data Protection Officer (DPO) o, all’italiana,

Responsabile della protezione dei dati (RPD).
Quali sono i compiti del DPO? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un soggetto esterno? Quali sono le conseguenze se non è nominato? È responsabile nei confronti dei terzi e/o degli interessati in caso di violazione del GDPR? E soprattutto, quando è obbligatorio?
Queste sono solo alcune delle tante domande che si stanno (e ci stanno) enti pubblici e titolari di attività.
A questo punto cercheremo di dare delle risposte attraverso esempi pratici.

Quando è obbligatorio il DPO?
La designazione del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre ipotesi:

se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).
(Alcune spiegazioni su termini generici o particolari, utilizzati all'interno del regolamento (come ad esempio quello di “larga scala”) sono state redatte dal Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali (di seguito, WP29), nelle «Linee Guida sui responsabili della protezione dei dati (RPD)» (in inglese, «Guidelines on Data Protection Officers («DPOs»).

Alcune note sui precedenti punti:
Le definizioni di "organismo pubblico" o "autorità pubblica", secondo il WP29, devono essere determinate in base al diritto nazionale. Di conseguenza, la nozione ricomprende non solo autorità nazionali, regionali e locali (amministrazioni dello Stato, anche con ordinamento autonomo, enti pubblici non economici nazionali, regionali e locali, Regioni e enti locali, le università, Camere di commercio, industria, artigianato e agricoltura, aziende del Servizio sanitario nazionale, autorità indipendenti ecc.), ma anche, a seconda del diritto nazionale applicabile, tutta una serie di “altri organismi” di diritto pubblico. Ai sensi dell’art. 3, co. 1, lett. d) del D.lgs. 50/2016 (c.d. Nuovo Codice degli Appalti), per “organismo di diritto pubblico” si intende “qualsiasi organismo, anche in forma societaria:
istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale;
dotato di personalità giuridica;
la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d’amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico”.
Ciò significa che, come già precisato dalla Suprema Corte (Cass. SS.UU. sent. n. 24722/2008), laddove sia volta a soddisfare bisogni pubblici, anche una società per azioni (quindi dotata di personalità giuridica) interamente controllata da un ente pubblico territoriale (come la Viareggio Porto S.p.A., società per azioni interamente controllata dal Comune di Viareggio), deve ricondursi nel novero degli organismi di diritto pubblico. E ciò in quanto può avere sostanza di diritto pubblico anche un organismo che rivesta forma di diritto privato: ciò che rileva, infatti, non è la veste giuridica, bensì “l’effettiva realtà interna dell’ente e la sua preordinazione al soddisfacimento di un certo tipo di bisogni, cui anche le imprese a struttura societaria sono in grado di provvedere”.

Attività principali che consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico di interessati su larga scala.
Il considerando 97 del Regolamento precisa che, nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” è solo un’“attività accessoria”. Con “attività principali” si possono, quindi, intendere le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dall’azienda.

Il Wp29 precisa che, tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati, pur non costituendo attività principale, costituisce comunque una componente inscindibile dalle attività svolte. Ad esempio, l’attività principale di un ospedale è quella di prestare di assistenza sanitaria, ma non sarebbe possibile svolgerla nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come quelli contenuti nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale. Lo stesso dicasi per un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, ma questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ciò comporta che gli ospedali e le imprese di sorveglianza come quella prima descritta, secondo il WP29, sono tenuti a nominare un DPO.

Attività quali il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico, invece, pur essendo necessarie o essenziali, sono considerate solitamente accessorie e non “core activities”.

Il concetto di ‘monitoraggio regolare e sistematico’ degli interessati non è definito all’interno del GDPR. Tuttavia, il considerando 24 menziona il “monitoraggio del comportamento degli interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche se, precisa il WP29, il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.

Sempre secondo il WP29, l’aggettivo “regolare” significa che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito, oppure che è ricorrente o ripetuto a intervalli costanti, oppure che avviene in modo costante o a intervalli periodici.

L’aggettivo “sistematico” ha significa che avviene per sistema, oppure che è predeterminato, organizzato o metodico, oppure che ha luogo nell’ambito di un progetto complessivo di raccolta di dati o che è svolto nell’ambito di una strategia.

Alcuni esempi di attività che possono configurare un monitoraggio regolare e sistematico di interessati secondo il WP29, fra gli altri, sono:
la gestione di una rete di telecomunicazioni,
la prestazione di servizi di telecomunicazioni;
il reindirizzamento di messaggi di posta elettronica (email retargeting);
attività di marketing basate sull’analisi dei dati raccolti;
profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
tracciamento dell’ubicazione, ad esempio da parte di app su dispositivi mobili;
programmi di fidelizzazione;
pubblicità comportamentale;
monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
utilizzo di telecamere a circuito chiuso;
dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, etc.

La nomina del DPO è obbligatoria anche nel caso in cui le attività principali di un organizzazione consistono nel trattamento, su larga scala, di “categorie particolari di dati” ai sensi dell’art. 9 del GDPR (e cioè dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di “dati relativi a condanne penali e a reati” ai sensi dell’art. 10 del GDPR, considerati dall’ordinamento meritevoli di maggior tutela.

La nomina volontaria del DPO
Si segnala che il WP29 incoraggia comunque la nomina del DPO, anche quando il GDPR non la richiede espressamente.
Bisogna tener conto che, in caso di designazione di un DPO su base volontaria, si applicheranno comunque gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti, come se la nomina fosse stata obbligatoria.