Diritto Dell’informatica
La Privacy
ORIGINE DEL TERMINE
Privacy come concetto giuridico nasce nel 1890 opera di due studiosi
statunitensi:
Warren
Brandeis
Che pubblicano sulla rivisita Harward Law Review l’articolo “The right to
Privacy”
Si tratta di un concetto estremamente innovativo per l’epoca, molto
ancorato a quello che era la realtà di allora.
Il loro concetto di riservatezza è un concetto molto fisico, legato alla tutela
di uno spazio privato.
Individuano in questo “The right to Privacy” il diritto di essere lasciati soli.
Nel loro modo di vedere la vita ai tempi si lamentavano delle possibili
intrusioni in uno spazio fisico privato da parte della stampa, fotografi e
quelli che loro chiamano dispostivi moderni di registrazione e
riproduzione di scene e suoni.
Il problema che loro risolvevano all’interno di questo articolo è che ci
fossero dei fotografi particolarmente intraprendenti, che entravano
nelle proprietà private dei cittadini, scattavano foto e poi le
pubblicavano. Questo è il problema giuridici che lor o volevano
affrontare.
Per farlo, individuano questo Right to Privacy (diritto di essere lasciati
soli), e inventano il nucleo fondamentale di quello che oggi chiameremmo
Il diritto alla Riservatezza
Nel 1950 il Right to Privacy ha avuto il riconoscimento al livello
normativo.
Quindi c’è un intervento di diritto positivo, nello specifico del diritto
internazionale, all’interno della convenzione europea dei diritti
dell’uomo.
ARTICOLO 8
“Ogni persona ha diritto al rispetto della propria vita privata e familiare,
del proprio domicilio e della propria corrispondenza.”
Come si può notare da questo articolo, la tutela della privacy è ancora
strettamente fisica perché si parta di domicilio, di posta ecc.
Anno 2000...
Ancora una volta viene copiato e incollato questo articolo, stavolta
all’articolo 7 della CEDU.
ARTICOLO 7
“ ogni persona ha diritto al rispetto della propria vita privata e familiare, del
proprio domicilio e delle sue comunicazioni.”
Viene cambiata la parola Corrispondenza con la parola Comunicazioni.
LA PRIVACY OGGI
In questi 50 anni, le famose intrusioni di cui avevano
parlato i due ragazzi, hanno cambiato natura, in particolare
hanno tendenzialmente hanno carattere:
Mentale
Decisionale (Cambridge Analitica)
Informazionale
di Autore sconosciuto è
concesso in licenza da
L’INTRUSIONE NELLA PRIVACY
Nelle piattaforme che utilizziamo quotidianamente, la nostra identità
viene plasmata in base a ciò che facciamo.
Privacy =/ protezione dati personali
Quando parliamo di privacy non parliamo necessariamente della
protezione dei dati personali.
I due concetti sono diversi.
Ovviamente i due concetti hanno la stessa radice.
Per esempio, Intrusione nel domicilio fa parte della Privacy, non fa parte
della protezione dei dati personali.
CHE COS’È LA PROTEZIONE DEI DATI PERSONALI?
“È il controllo da parte di un individuo delle informazioni
personali ce lo/la riguardano. È una forma di controllo che
possiamo esercitare nei confronti delle nostre informazioni.”
Nel pratico vuol dire:
avere dei diritti fondamentali inerenti alle nostre informazioni
avere dei principi e delle regole certe che regolano l’utilizzo dei
dati personali
avere delle autorità che sorvegliano il modo in cui le nostre
informazioni che sono trattate e che garantiscono il rispetto di quei
diritti di controllo che noi abbiamo
PROTEZIONE DATI PERSONALI NEL DIRITTO
1. Il primo strumento che troviamo è quello
del 1981 ovvero La Convenzione 108 (la
parte della convenzione d’Europea)
oggi è stato aggiornato ed esiste
una parte che si chiama 108+
2. Nel diritto Europeo (con ricaduta al livello nazionale) abbiamo La
Direttiva 95/46/CE del 24 ottobre 1995
3. Nel diritto Europeo (CEDU), oltre all’articolo 7 (guarda prima),
troviamo l’articolo 8 che ha una tecnica legislativa molto
particolare:
Comma 1: sancisce un principio fondamentale ovvero che “Ogni
Individuo ha diritto alla protezione dei dati di carattere personale che
lo riguardano
Comma 2: dice che tali dati devono essere trattati secondo il
principio di lealtà, per finalità determinate e in base al consenso
della persona interessata o a un altro fondamento legittimo
previsto dalla legge.
Ogni individuo ha il diritto di accedere ai dati raccolti che lo
riguardano e di ottenere la rettifica
Comma 3: dice che il rispetto di tali regole è soggetto al controllo
di un’autorità indipendente
QUALI SONO LE NORME CHE REGOLANO IL TRATTAMENTO
?
DEI DATI PERSONALI OGGI
GDPR (General Data Protection Regulation) ovvero Regolamento
generale sulla protezione dei dati al livello Europeo. È stato
approvato nel 2016 ma che è entrato in vigore 2018 e sostituisce la
normativa del 1995
In Italia in origine avevamo il decreto legislativo 196/2003 che
aveva implementato la normativa nel 1995. Dopo l’entrata del GDPR
il legislatore italiano ha deciso di tenere vivo il decreto legislativo
196/2003 ed eliminare le parti che erano incompatibili.
Il legislatore ha avuto la necessità di introdurre con il decreto
101/2018 alcune novità e che poi è stato modificato nel 2021
con il decreto Capienze che aggiungeva i dati relativi al Covid
GDPR
Gli Elementi Essenziali
Il GDPR (regolamento Eu 2016/679) parla fondamentalmente di:
Definizioni essenziali
Soggetti giuridici coinvolti
Principi Essenziali
basi giuridiche
Fondamenti di Liceità chiamati anche
del trattamento
Attribuisce i diritti dell’interessato
Disciplina le sanzioni e i mezzi di ricorso (autorità)
I DATI
ESISTONO VARIE CATEGORIE DI DATI:
Dati Personali
Special categorie di dati (Dati
Sensibili)
Dati Anonimi
Dati Anonimizzati
Dati Pseudonimizzati
Dataset misti (non gli affronteremo ma sono la combinazione delle
precedenti cinque categorie)
DEFINIZIONE DI “DATO PERSONALE”
“Qualsiasi informazione riguardante una persona fisica identificata o
identificabile (interessato); si considera identificabile la persona fisica
che può essere identificata direttamente o indirettamente con
particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o a uno
o più elementi caratteristici della sua identità fisica, fisiologica, generica,
psichica, economica, culturale o sociale. (art. 4 GDPR)”
Riassumendo:
L’informazione deve essere riferita a una persona fisica
Interessato
Questa persona fisica deve essere identifica o
identificabile
L’identificazione può avvenire direttamente (nome o foto)
oppure indirettamente (codice fiscale che identifica una
persona univocamente)
ESEMPI DI DATI PERSONALI Status Vaccinale
Data di nascita
Nome e cognome
Numero di matricola universitaria
Fotografia
Credo religioso
Indirizzo e-mail
Numero di Patente
Codice fiscale
Targa Automobilistica
Non tutti i dati personali sono uguali, alcuni sono speciali. I dati sensibili
sono una sottocategoria dei dati personali che ricade dentro un numero
chiuso e per essere considerati sensibili devo rivelare uno di questi
elementi:
Origine etnico-raziale
Opinione politica, credo religioso, appartenenza sindacale
Vita e orientamento sessuale
Stato di salute, informazioni genetiche e biometriche-identificanti
DEFINIZIONE DI “DATO SENSIBILE”
“Dati Sensibili sono dati personali che rivelino l’origine razziale o etnica, le
opinioni politiche, le convinzioni religiose o filosofiche o appartenenza sindacale,
nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco
una persona finisca relativi alla salute o alla vita sessuale o all’orientamento
sessuale della persona (art. 9 GDPR)”
Per questi dati vige un divieto assoluto di trattamento! (art 9 comma 2)
DATI RELATIVI A CONDANNE PENALI E REATI
Anche questi dati hanno una tutela particolare, ci
sono elementi molto personali. È uno dei punti in
cui il GDPR apre maglie all’integrazione da parte
degli stati membri. (Art 51 e 52 del GDPR)
di Autore sconosciuto è
concesso in licenza da
DATI ANONIMI VS ANONIMIZZATO VS PSEUDONIMIZZATI
Un dato anonimo è il dato che non è mai stato riferito a una
persona identificata o identificabile
Un dato anonimizzato è un dato che originariamente era riferito a
una persona fisica ma di seguito a delle
azione di anonimizzazione è stato privato
di quelli elementi che lo
classificherebbero come personale.
Un dato pseudonimizzato è un dato
personale che è stato raccolto come dato
personale e al quale sono state applicate
delle tecniche di pseudoanonimizzazione,
e quindi al posto di dati ricondurrebbero a una persona fisica,
abbiamo uno pseudonimo che non collegano più il dato alla persona
fisica.
DISTINZIONE DELLA FONTE DEL DIRITTO
Esiste una distinzione che il GDPR non fa, ma che fanno molti giuristi che
si occupano dei dati, ovvero la distinzione delle fonte del dato.
Secondo questa distinzione, i dati possono essere:
Forniti
Osservati
Derivati
Inferiti
Questa distinzione si basa sulla relazione INDIVIDUO DATO
IL DATO FORNITO è il dato riferito/trasferito a qualcuno
IL DATO OSSERVATO è il dato che viene osservato, registrato, nei
confronti del quale siamo passivi
IL DATO DERIVATO è il dato che viene ottenuto a partire da un
altro dato
IL DATO INFERITO è il dato che viene ottenuto a partire da un altro
dato usando metodi probabilistici, non è certo
Nel 2019 il consiglio d’Europa ha sottolineato molto i Dati Inferiti e ha
detto che ci sono dei rischi per l’autodeterminazione informativa (le
inferenze generate fanno si che ci vengano proposti dei contenuti
personalizzati ma non necessariamente corretti)
IL TRATTAMENTO DEI DATI PERSONALI
Qualsiasi operazione o insieme operazioni compiute con o senza ausilio di
“
processi automatizzati e applicate ai dati personali o insieme dei dati personali”
È una definizione volutamente ampia. Tutto questo lo troviamo all’articolo
4 GDPR.
TRATTAMENTI NON COPERTI DAL GDPR
1) Il primi sono quelli effettuati da una persona fisica per l’esercizio di
un’attività a carattere esclusivamente personale o domestico
Ad Esempio, quando di vuole organizzare una festa di Capodanno e
si crea un gruppo WhatsApp (questo è un trattamento di dati
personali)
2) Quelli effettuati da autorità competenti nell’abito del delitto penale
(Attività di investigazione, misure penali) DIRETTIVA 679/2016
COMUNICAZIONE VS DIFFUSIONE
Questi due elementi sono più delicati.
La comunicazione: ha numero determinato dei destinatari
Per esempio Dm su Instagram
La diffusione: ha un numero indeterminato dei destinatari
Per esempio lo stato su WhatsApp
FIGURE DEL TRATTAMENTO
Le figure essenziali del trattamento sono:
L’interessato
Titolare
Responsabile del trattamento
La persona autorizzata al trattamento
Data Protector Officer (DPO)
Autorità di controllo (o autorità garante) deve esserci sempre
(art.8 GDPR)
INTERESSATO
È la persona fisica a cui si riferiscono i dati personali
NOTA BENE! I minori sono degli interessati per la loro particolare
posizione di vulnerabilità (ART. 8 GDPR)
TITOLARE
È il soggetto giuridico che determina finalità e mezzi del trattamento (es.
Facebook)
Nel momento in cui assume la funzione del titolare fa tre
cose: Può assegnare delle istruzioni (delegare parti del
trattamento a qualcuno)
Deve assumere gli obblighi previsti dal GDPR
Risponde del trattamento quindi può ricevere
sanzioni
ATTENZIONE!!! I titolari possono essere più di uno
Si ha una situazione ci contitolarità, due soggetti giuridici determinano
finalità e mezzi del trattamento. Per fare questo ci deve essere un accordo
(un contratto)
RESPONSABILE DEL TRATTAMENTO
È un soggetto giuridico diverso dal titolare che agisce per nome e per
conto del titolare. È la persona delegata dal titolare.
PERSONA AUTORIZZATA AL TRATTAMENTO
Incaricato che effettua operazioni materiali di trattamento. Agisce sotto
autorità del titolare o del Responsabile.
DATA PROTECTOR OFFICER
È il responsabile per la protezione dei dati personali.
Attenzione! Non è il responsabile del trattamento
CASI IN CUI DEVE ESSERE DESIGNATO
1. Trattamento effettuato da un’autorità pubblica o da un
organismo pubblico
Eccetto le autorità giurisdizionali nell’esercizio delle loro funzioni
2. Trattamenti che richiedono il monitoraggio regolare e sistematico
degli interessati su larga scala
3. Il trattamento riguarda su larga scala dati appartenenti alla
categoria dei dati particolari o relativi a condanne penali e reati
Sono casi di particolare rischio.
Per tutti gli altri casi non è obbligatori designare un responsabile
per la protezione dei dati personali!
CARATTERISTICHE IMPORTANTI DEL DPO (ART 37-38
GDPR)
Il DPO deve avere alcune caratteristiche importanti:
Deve assumere una posizione di indipendenza
Non deve essere in una posizione di conflitto di interessi
Riferisce solo ai vertici gerarchici
Possiede elevate qualità professionali in materia
Funge da punto di contatto con le autorità di controllo e con gli
interessati
I compiti del DPO sono:
Informare e fornire consulenza al titolare del trattamento o al
responsabile del trattamento
Sorvegliare l’osservanza del GDPR
Fornire, se richiesto, un parere in merito alla valutazione d’impatto
sulla protezione dei dati e sorvegliarne lo svolgimento
Cooperare con le autorità di controllo
AUTORITÀ DI CONTROLLO (“AUTORITÀ GARANTE
PRIVACY”)
Autorità pubblica posta a monitoraggio e
sorveglianza dell'applicazione del GDPR
e altre norme poste a tutela dei
delle
dati personali
In Italia, 4 membri eletti da Camera dei
deputati (2) e Senato (2). Elezione di un
Presidente. Durata mandato: 7 anni.
PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI
PERSONALI
L’art.5 del GDPR sancisce i principi applicabili al trattamento dei dati
personali:
liceità, correttezza e trasparenza i dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti
dell’interessato
limitazione per finalità i dati personali devono essere raccolti
per finalità DETERMINATE bisogna individuare all’interno di
diverse possibilità proposte dall’ordinamento le finalità devono
essere ESPLICITE e LEGITTIME si possono riutilizzare i dati una
seconda volta per una finalità diversa che deve essere compatibile
con la prima = archiviazione nel pubblico interesse, ricerca storica,
ricerca scientifica e finalità statistiche
minimizzazione dei dati i dati sono adeguati, pertinenti e
limitati a quanto necessario rispetto alle finalità per le quali sono
trattati
esattezza i dati sono esatti e se necessario aggiornati devono
essere adottate tutte le misure ragionevoli per cancellare o
rettificare tempestivamente i dati inesatti rispetto alle finalità per le
quali sono trattati
limitazione alla conservazione il legislatore ha preso in
considerazione il limite temporale della conservazione la
conservazione deve essere effettuata per un periodo di tempo
determinato e proporzionale alle finalità possono essere
conservati per periodi più lunghi a condizione che siano trattati
esclusivamente a fini di archiviazione nel pubblico interesse, di
ricerca scientifica o storica e finalità statistiche
integrità e riservatezza i dati sono trattati in maniera da
garantire un’adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure tecniche e organizzative adeguate, da
trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione
o dal danno accidentale.
Il rispetto di questi principi deve essere garantito, il titolare del
trattamento deve essere in grado di provare come ha fatto rispettare i
principi al par.1 art.5 PRINCIPIO DI ACCOUNTABILITY
Art.24: Il titolare del trattamento dei dati deve essere in grado di
dimostrare di aver adottato un processo complessivo di misure giuridiche,
organizzative, tecniche per la protezione dei dati personali, anche
attraverso l’elaborazione di specifici modelli organizzativi.
Esempi:
misure di sicurezza, analisi del rischio
registro dei trattamenti
nomina dei responsabili e delle persone autorizzate
privacy by default e privacy by design principi secondo cui la privacy
deve essere messa al primo posto
protocollo Data Breach incidente di sicurezza, intrusione all’intero del
server
Se non si riesce a provare la presenza di queste misure SANZIONI
CONDIZIONI DI LEGITTIMITÀ “BASI GIURIDICHE”
Le condizioni di legittimità, all’art.6, stabil
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Diritto dell'informatica
-
Diritto dell'informatica
-
Diritto penale dell'informatica
-
Contratto telematico, Diritto dell'informatica