Il Referente interno

Mansioni riservate alla persona di riferimento e collegamento, tra il Responsabile della Protezione Dati ed il Titolare.

Al Referente Privacy sono attribuite almeno le seguenti mansioni:

  • Esaminare gli aggiornamenti della normativa, segnalati dal DPO
  • Ricevere qualsiasi richiesta di consulenza da parte delle persone autorizzate al Trattamento (ex incaricati) e del Titolare e, a seconda della complessità del quesito, trasmetterla immediatamente al DPO, o rispondere direttamente;
  • Coadiuvare le funzioni competenti nella gestione dei diritti degli interessati, qualora una richiesta presenti alcune problematiche e/o difficoltà, che non richiedono l’intervento del DPO;
  • Sovraintendere il processo di selezione e nomina dei Responsabili esterni e informare il DPO sullo svolgimento della procedura;
  • Coadiuvare il DPO nello svolgimento della valutazione di impatto sulla protezione dei dati DPIA;
  • Organizzare corsi di formazione in ambito Privacy in linea con il piano approvato dal DPO;
  • Curare l’implementazione della documentazione e della normativa interna in materia di Privacy;
  • Partecipare attivamente allo svolgimento delle analisi di Privacy by Design, assicurando il rispetto della metodologia predisposta dal DPO, aggiornare costantemente il DPO e coinvolgerlo qualora risulti necessario;
  • Aggiornare il Registro dei trattamenti del Titolare, assicurando che siano sempre indicate informazioni complete e aggiornate;
  • Effettuare verifiche periodiche con report documentati presso i Responsabili esterni del Titolare, eventualmente avvalendosi delle risultanze delle Funzioni di Controllo e informare il DPO sugli esiti delle verifiche. Nel caso in cui il processo di verifica evidenzi una criticità, ivi inclusa una qualsiasi forma di inadempimento da parte del fornitore, coinvolgere immediatamente il DPO;
  • Gestire e aggiornare l’elenco dei Responsabili esterni, assicurando che siano sempre indicati tutti i Responsabili esterni nominati;
  • Ricevere ed eseguire ogni comunicazione del DPO, ivi inclusa la trasmissione delle istruzioni del DPO alle funzioni coinvolte;

Misure di sicurezza: come valutare, quantificare e mitigare il rischio di utilizzo di un fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di titolare del trattamento deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (fornitori e responsabili). Ecco le best practice.

Sono sempre di più le organizzazioni che subiscono incidenti di sicurezza e violazioni di dati personali a causa di attacchi ai loro fornitori. Gli attaccanti, prendendo di mira un anello della catena di fornitura, possono raggiungere anche i clienti del target causando all’organizzazione ingenti danni reputazionali e perdite economiche- finanziarie. L’organizzazione colpita potrebbe subire anche sanzioni, per esempio da parte dell’Autorità Garante per la protezione dei dati personali per mancata adozione di misure di sicurezza adeguate o verifica dei requisiti di idoneità del proprio fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di Titolare deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (“Fornitori”, “Responsabili”).

Fondamentale per l’efficacia di tale strategia è che essa definisca da una parte i criteri di valutazione ex ante dei fornitori, dall’altra preveda modelli di contratto comprensivi di Annex tecnici (istruzioni operative per individuare gli adempimenti in materia di protezione dei dati personali) e processi periodici di controllo dei fornitori, i c.d. Audit.

La scelta dei fornitori in un’ottica “risk-based”

La scelta di esternalizzare servizi come la conservazione, la trasmissione o elaborazione di dati su sistemi eterogenei e spesso distribuiti può impattare significativamente sulle valutazioni di rischio che il Titolare del trattamento è tenuto a svolgere per ottemperare, in particolare, a quanto richiesto dall’art. 32 del GDPR: infatti, le minacce correlate al contesto complessivo del trattamento cosi come la modalità e la probabilità di concretizzarsi delle stesse potrebbero aumentare o diminuire alla luce del coinvolgimento di terze parti.

I vantaggi e i rischi correlati all’attività di esternalizzazione devono quindi essere presi in considerazione al fine di valutare se i fornitori offrono garanzie sufficienti a mitigare i rischi per i diritti e le libertà degli interessati o se, al contrario, potrebbero introdurne di ulteriori difficilmente mitigabili se non interrompendo il contratto di fornitura.

In quest’ottica, il Titolare non può ricorrere ad un Responsabile qualsiasi ma solamente a Responsabili che presentino «garanzie sufficienti» a soddisfare i requisiti del GDPR tutelando, in particolare, i diritti degli interessati (art. 28.1).

Tenuto conto della sensibilità, del volume e del valore di tutti i sistemi coinvolti nei servizi, processi o attività esternalizzate, la scelta deve quindi ricadere su un soggetto che – in termini di conoscenza specialistica, affidabilità e risorse – garantisca la messa in atto misure di sicurezza tecniche ed organizzative adeguate ai rischi derivanti dall’accordo stesso e dalla tipologia di dati trattati. In caso contrario, il Titolare potrebbe essere chiamato a rispondere per «culpa in eligendo».

I requisiti di sicurezza da richiedere ai fornitori

I fattori da considerare nell’individuazione delle misure tecniche e organizzative da richiedere al fornitore per attenuare i rischi ad un livello accettabile sono molteplici: costi di implementazione delle misure di sicurezza, natura delle minacce, probabilità di accadimento, requisiti di riservatezza, integrità disponibilità ed autenticità dei dati e via dicendo.

Si precisa che, secondo le Linee guida del WP29 in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679: “un rischio residuo elevato inaccettabile include casi in cui gli interessati possano subire conseguenze significative, o addirittura irreversibili, che non possono superare (ad esempio: accesso illegittimo a dati che comportano una minaccia per la vita degli interessati, un loro licenziamento, un rischio finanziario) e/o quando appare evidente che il rischio si verificherà (ad esempio: poiché non si è in grado di ridurre il numero di persone che accedono ai dati a causa delle loro modalità di condivisione, utilizzo o distribuzione o quando non si può porre rimedio a una vulnerabilità ben nota)”.

La scelta delle misure di sicurezza dovrebbe basarsi su standard e best practice di settore applicabili al contesto di fornitura. I requisiti di sicurezza devono essere:

  • chiari, precisi, azionabili e misurabili;
  • coerenti con il mercato ovvero sostenibili e che permettano di mantenere sotto controllo l’evoluzione delle minacce seguendo, anche lo sviluppo delle tecnologie di protezione;
  • integrati con i requisiti di sicurezza di business o requisiti di sicurezza di altre normative vigenti;
  • coerenti con servizi aventi rischi analoghi.

Il ricorso, da parte del Responsabile, a codici di condotta o meccanismi di certificazione o omologazione rilasciate da appositi organismi qualificati e indipendenti può essere visto come indice di garanzia ed affidabilità.

Ulteriori elementi di garanzia e affidabilità sono la proattività del Responsabile nella valutazione delle istruzioni ricevute dal Titolare così come l’eventuale segnalazione al Titolare di istruzioni che a suo parere, violino il GDPR o altre disposizioni, nazionali o comunitarie relative alla protezione dei dati.

Occorre quindi che tra Titolare e Responsabile si instauri un circolo virtuoso. Entrambi dovrebbero  perseguire  gli  stessi  obiettivi  di  sicurezza  attraverso  la  definizione,

l’implementazione e l’aggiornamento periodico del processo di gestione della sicurezza delle informazioni.

Un approccio comune alla sicurezza è fondamentale per garantire, nel tempo, gli obiettivi di disponibilità delle informazioni e dei servizi, l’appropriato livello di confidenzialità delle informazioni assicurando anche l’autenticità e l’integrità dei dati, delle transazioni, delle comunicazioni.

Il Titolare deve, inoltre, mantenere una rappresentazione dei servizi, delle applicazioni e delle infrastrutture utilizzate a supporto delle attività di trattamento comprese quelle affidate a terze parti.

Tale rappresentazione, se affiancata ad un efficace processo di Asset Management, favorisce il rispetto dei principi di security e privacy by design/by default nell’ambito di processi quali sviluppo sicuro del software, gestione dei cambiamenti, hardening fino alla gestione delle identità e della tracciabilità delle operazioni.

In particolare, un processo di tracciabilità delle informazioni che veda coinvolti l’impresa e i suoi fornitori è fondamentale per identificare e prevenire comportamenti abusivi o illegittimi compiuti non solo da utenti esterni all’azienda ma anche da dipendenti, collaborati e fornitori aventi accesso ai sistemi informatici messi a disposizione dall’azienda.

Le verifiche di adeguatezza dei fornitori

Le responsabilità del Titolare non si esauriscono nella scelta di fornitori adeguati. Il Titolare è tenuto a verificare nel tempo l’effettivo soddisfacimento delle garanzie di sicurezza previste contrattualmente. A seguito di esplicita richiesta formulata al Responsabile, il Titolare deve avere la possibilità di ottenere evidenza delle misure di sicurezza adottate dal Responsabile e da eventuali Sub-responsabili.

Sebbene al Responsabile del trattamento possa essere attribuito un certo margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi, è opportuno che queste siano conosciute e approvate dal Titolare.

Per avere evidenza del livello complessivo di adeguatezza e conformità con la normativa vigente, oltre alla richiesta di esibizione della nomina conferita dal Responsabile ai Sub-responsabili del Trattamento, si ritiene opportuno che il Titolare verifichi, con il supporto di esperti con competenze legali che di sicurezza delle informazioni:

  • la presenza di un processo di gestione della sicurezza delle informazioni integrato con gli aspetti di data protection previsti dalle normative vigenti;
  • la definizione di ruoli e responsabilità in ambito data protection;
  • il rispetto dei requisiti di sicurezza definiti contrattualmente e/o dell’eventuale piano di mitigazione concordato tra le parti, in particolare in          merito alla qualità dei dati, alla minimizzazione, cifratura e anonimizzazione dei dati personali;
  • le modalità di gestione degli adempimenti richiesti dalla normativa in particolare per quanto concerne la gestione delle richieste degli interessati e la gestione violazioni di dati personali;
  • l’adozione di un processo che permetta l’avviso tempestivo di qualsiasi anomalia, vulnerabilità, sospetto incidente o incidente e più in generale non conformità rilevate durante le attività di controllo e monitoraggio;
  • l’adozione di un processo di governance dei sub-responsabili, al fine di verificare che anch’essi rispettino le stesse misure di sicurezza o misure equivalenti a quelle applicate al fornitore.

L’attività di verifica può anche essere eseguita da una terza parte in accordo con il Titolare.

La documentazione prodotta deve essere archiviata dal Titolare insieme a tutta la documentazione contrattuale. Una mancata attività di verifica, in caso di inadempimenti da parte del Responsabile, potrebbe comportare una “culpa in vigilando” in capo al Titolare, il quale è tenuto pertanto a verificare se i suoi Fornitori agiscono in modo difforme o contrario rispetto alle legittime istruzioni impartite.

Nominare un DPO, 15 buoni motivi.

Il nuovo Regolamento Europeo introduce la figura del Responsabile della Protezione dei Dati, il DPO, sapere perchè e quando nominarlo è importante. Ecco dei buoni motivi.

Attraverso il suo lavoro, le sue competenze, il GDPR si amplia, si fa consuetudine, per diventare parte integrante del lavoro quotidiano di chi si affida al DPO.

Ma quali sono le ragioni più evidenti per usufruire al meglio di questa figura, vediamole riassumendole in alcuni punti.

  1. La nomina di un DPO riduce il rischio legale;
  2. La nomina di un DPO contribuisce alla riduzione delle formalità;
  3. La  nomina  di  un  DPO  consente  a  un’organizzazione  di  beneficiare  di  un  rapporto privilegiato con il Garante Privacy, con contatti dedicati;
  4. La nomina di un DPO consente a un’organizzazione di implementare il trattamento dei dati personali più rapidamente;
  5. La nomina di un DPO migliora l’immagine del marchio dell’organizzazione;
  6. La  nomina  di  un  DPO  può  contribuire  a  migliorare  il  clima  sociale  (gestione  della sorveglianza informatica);
  7. La nomina di un DPO promuove l’implementazione di un approccio di qualità alla gestione delle informazioni all’interno dell’organizzazione (mappatura dei processi);
  8. La nomina di un DPO aiuta a migliorare la politica di sicurezza IT dell’organizzazione;
  9. La  nomina  di  un  DPO  aiuta  a  ridurre  i  costi  di  elaborazione  delle  informazioni (razionalizzazione del trattamento, cancellazione dei dati obsoleti);
  10. La nomina di un DPO aiuta a ridurre i costi di gestione del cliente (esercizio del diritto di accesso, gestione del contenzioso);
  11. La nomina di un DPO permette di individuare, e quindi controllare, i costi già sostenuti per il rispetto delle normative informatiche e di libertà;
  12. La designazione di un DPO consente una migliore valutazione del patrimonio informativo;
  13. La nomina di un DPO facilita l’implementazione di nuovi servizi online;
  14. La nomina di un DPO aiuta a sviluppare la collaborazione e le sinergie tra i dipartimenti (legale, IT, marketing, ecc.);
  15. La  nomina  di  un  DPO  rafforza  il  rapporto  fiduciario  con  clienti,  fornitori,  finanziatori, collaboratori ecc.

I rischi dei social network, dal pishing al cyber bullismo: come difendersi.

I social network celano rischi sui quali è fondamentale informarsi per evitare spiacevoli conseguenze.

Non bisogna sottovalutare che Internet è un mondo virtuale ma con pericoli reali, sebbene le azioni vengano percepite come impersonali e non arrecanti danni a sé o agli altri. In particolare, è bene conoscere i rischi legati ai social network, per capire  come evitarli: phishing, sextortion, cyberbullismo sono fenomeni puniti dalla legge, a proposito dei quali è necessario informare gli utenti, soprattutto i più giovani.

Internet in Italia: i dati

Oltretutto, il web fa parte della quotidianità. Internet fornisce l’accesso a molti servizi e contenuti, le comunicazioni e le informazioni avvengono in tempo reale senza limiti territoriali, l’uso di Internet e dei social network è agevole e alla portata di tutti sia sotto il profilo tecnico sia sotto il profilo economico.

Inoltre, i social network consentono di mantenere ed incrementare i rapporti interpersonali, semplificando i contatti.

Tutti questi vantaggi sono apprezzati e confermati dalle statistiche visto e considerato che, ogni anno, il numero di italiani che trascorrono del tempo online è in costante crescita. Si è stimato che gli italiani in media navigano ogni giorno circa 6 ore da diversi dispositivi. Mentre è di circa 35 milioni il numero di italiani attivi sui social network, di cui circa 31 milioni ne fa uso da un device mobile, la media giornaliera del tempo che una persona passa sui

social network è di circa 1 ora e 51 minuti.

Stando alle statistiche di Digital 2019, gli utenti attivi in Italia su ciascuna piattaforma risultano essere:

  • 31 milioni su Facebook;
  • 19 milioni su Instagram;
  • 12 milioni su LinkedIn;
  • 2,50 milioni su Snapchat;
  • 2,35 milioni su Twitter.

Per quanto riguarda i minori da un’indagine svolta da Save The Children è emerso che è sempre più precoce l’età in cui si accede ad Internet.

La percentuale di bambini dai 6 ai 10 anni che si connette ad Internet è del 54%, percentuale che arriva al 94% nella fascia di età tra i 15 ed i 17 anni.

I rischi dei social network

In considerazione della sempre più precoce età di utilizzo dei social è necessario non sottovalutare i potenziali rischi. Ciò che si scrive e le immagini che si pubblicano sui social network  hanno  quasi  sempre  un  impatto  a  breve  ed  a  lungo  termine  sulla  vita reale quotidiana e nei rapporti con le persone con le quali si interagisce ogni giorno. Bisogna tenere presente che ogni volta che si inseriscono i nostri dati personali su un sito su un social network se ne perde il controllo, spesso si concede automaticamente al fornitore del servizio la licenza di utilizzare il materiale che si inserisce foto, chat, opinioni.

Ogni volta che si utilizza una carta di credito/debito, che si inserisce una password per accedere a determinati servizi, che si utilizza una carta fedeltà o una tessera di sconto messa a disposizione dalle grandi catene commerciali, che si fa un acquisto online o una ricerca tramite un qualsiasi browser, si compie inevitabilmente una piccola cessione di sovranità. Stessa cosa avviene quando si installano sul nostro smartphone o sul nostro tablet delle app,  i programmi di queste applicazioni a volte possono richiedere l’accesso alla nostra rubrica, alle nostre foto o contenuti multimediali che nulla hanno a che vedere con la funzionalità della APP stessa.

Inoltre, ciò che si inserisce può essere copiato e registrato dagli altri utenti del social e non sempre per fini leciti.

Tutto ciò che si scrive e posta, poi, contribuisce a rivelare a terzi chi siamo, cosa facciamo, le nostre abitudini, le nostre condizioni di salute, il nostro tenore di vita, i nostri interessi, le nostre   opinioni   politiche,   religiose,   il   nostro   orientamento    sessuale:    insomma, tutte informazioni che consentono di creare un nostro profilo che servirà alle aziende commerciali per un marketing più mirato (basta cliccare un “mi piace” su una pagina di un social o su un commento per essere analizzati e etichettati).

Ogni volta che condividiamo qualcosa, dobbiamo pensare a chi potrà leggere (datore di lavoro o potenziale datore di lavoro, insegnante dei nostri figli, vicino di casa, conoscente) e dobbiamo valutarne l’opportunità chiedendoci, anche, se ciò che pubblichiamo ci potrà piacere tra qualche anno.

È notizia recente, a tal proposito, l’obbligo per i richiedenti un visto per entrare negli Stati

Uniti a fornire i dettagli dei profili social utilizzati in modo da permettere i controlli da parte delle Autorità.

Benché la diminuzione della privacy sia insita nell’uso di Internet e dei social network vi sono rischi ben più gravi, dal punto di vista delle conseguenze che possono causare ad esempio:

  • furto di identità;
  • diffusione illecita di immagini;
  • pedopornografica, sextortion, sexting e grooming;
  • cyberbullismo;
  • dipendenza da Internet (IAD – Internet Addiction Disorder)

Furto d’identità

l fianco dell’identità personale, si sono create le identità digitali che possono essere oggetto di furto.

Utilizzando procedimenti di social engineering, gli utenti ignari vengono indotti ad eseguire azioni finalizzate al furto delle credenziali di accesso oppure all’ottenimento delle informazioni e dei dati di natura personale da utilizzare per l’accesso a sistemi informatici, sostituendosi, di fatto, alla vittima.

Pur non essendo materialmente una sostituzione di persona, il nostro ordinamento ha equiparato tale fattispecie al reato di cui all’art. 494 c.p. relativo alla sostituzione di persona, secondo il quale: “chiunque, al fine di procurare a sé o ad altri un ingiusto vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una

qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino ad un anno”.

Per la configurazione della fattispecie criminosa è richiesto il dolo specifico, quindi la volontà del reo di indurre qualcuno in errore ed il comportamento deve essere tale da procurare a sé o ad altri un vantaggio (patrimoniale e non) o arrecare danno al soggetto a cui è stata sottratta l’identità.

Phishing: il furto di identità digitale

L’attività attraverso la quale si può procedere al furto dell’identità digitale è il phishing. Con tale attività, un soggetto cerca di appropriarsi di informazioni quali: numeri di carte di credito, informazioni relative ad account, password o altre informazioni di natura personale, convincendo l’utente a fornirle mediante falsi pretesti, come ad esempio l’invio di posta che sembra provenire da siti web noti o fidati come il sito della propria banca o della società di emissione della carta di credito.

Il phishing è il cyber attacco più utilizzato perché è quello più economico e più efficace, basta che l’utente “si fidi” ed inserisca i dati.

Tale condotta integra, in primo luogo, il reato di trattamento illecito di dati personali di cui all’art. 167 del codice privacy che, a seconda della gravità, prevede diverse sanzioni. In secondo luogo, tale fattispecie è punibile ai sensi dell’art. 630-ter c.p. comma 3 che, per la prima volta ha inserito nel codice penale il concetto di identità digitale.

Il legislatore per il reato di “frode informatica commessa con sostituzione di identità digitale” ha previsto la pena della reclusione da due a sei anni e la multa da 600 euro a 3.000 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti; per tale delitto è prevista la querela della persona offesa salvo che ricorra l’ipotesi di cui al II o III comma dell’art. 640-ter ovvero altra circostanza aggravante.

Diffusione illecita di immagine

Sempre più spesso si verifica che le informazioni personali e le immagini degli utenti diventino di pubblico dominio, perché accessibili ad un vasto numero di soggetti e che quindi vengano utilizzate per scopi differenti rispetto a quelli per i quali sono state pubblicate, quasi sempre senza autorizzazione degli stessi titolari.

La natura dell’immagine – quale raffigurazione di una persona – nel nostro ordinamento, figura come un diritto della personalità, irrinunciabile, che può essere fatto valere da chiunque, inteso come il diritto della persona a che la propria immagine non venga divulgata o che tale divulgazione venga da questi controllata.

Tale diritto infatti ha contenuto sia non patrimoniale, se inteso come manifestazione tipica del diritto alla riservatezza, sia patrimoniale, che può derivare dal suo sfruttamento economico dell’immagine.

Il mezzo più immediato ed efficace attraverso il quale un soggetto ha la possibilità di gestire la propria immagine è il cosiddetto “consenso”: questo è infatti il requisito essenziale ed imprescindibile per l’utilizzo dell’immagine altrui ed ha origini ovviamente molto precedenti rispetto alla nascita di Internet.

Il consenso, infatti, viene introdotto nel nostro ordinamento il 22 aprile del 1941 con la legge

n. 633 la quale, all’art. 96 recita appunto “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa”.

È possibile però che questa regola possa subire qualche eccezione ad esempio nei casi in cui vi sia una situazione di necessità, giustizia, polizia, scopi scientifici didattici e culturali e quando l’immagine ritragga una persona nota.

Ovviamente la “notorietà” della persona non può da sola giustificare qualunque riproduzione dell’immagine, è pur sempre necessario che vi sia un’esigenza di informazione pubblica e che venga garantita la privacy dei personaggi famosi ritratti.

Inoltre, in caso di utilizzo abusivo della nostra immagine il nostro ordinamento ci mette a disposizione due strumenti, l’azione c.d. inibitoria ed il risarcimento del danno.

L’azione inibitoria è la forma di tutela idonea a prevenire e/o limitare la lesione dei diritti della persona, essa infatti consiste nell’azione preventiva finalizzata a porre fine al comportamento lesivo già in essere, non consentendone la continuazione, né tanto meno la ripetizione. Questa tutela è stata tipizzata nel nostro ordinamento per alcuni diritti della personalità, uno su tutti il diritto all’immagine (art. 10 c.c.). L’art. 10 del codice civile, prevede espressamente che, nel caso in cui sia stata pubblicata una nostra foto, o la foto di un nostro parente ed affine, al di fuori dei casi previsti dalla legge che abbiamo visto in precedenza, potremmo rivolgerci all’autorità giudiziaria che disporrà la cessazione dell’abuso e di conseguenza il risarcimento dei danni (patrimoniali e non patrimoniali).

Spesso l’utilizzo abusivo dell’immagine oltre al danno patrimoniale, che è di più immediata identificazione, può determinare una lesione dell’identità personale dando quindi diritto all’interessato di vedersi risarcire il danno non patrimoniale.

Per identità personale si intende l’immagine sociale, cioè l’insieme di valori politici, intellettuali, morali, professionali e religiosi della persona e il diritto della stessa alla loro intangibilità, in questo caso la lesione è ravvisabile quando detta immagine risulti distorta provocando agli occhi di terzi inesatte o non volute rappresentazioni della realtà.

Le ripercussioni in questi casi potrebbero essere molteplici, come le difficoltà d’inserimento nell’ambito dei rapporti sociali, con conseguente diminuzione del proprio prestigio, della propria credibilità, determinando inoltre il venir meno di opportunità ed utilità valutabili anche economicamente.

Risulta essere un problema di non secondaria rilevanza, l’individuazione dei soggetti sui quali gravi la responsabilità per il fatto illecito commesso; la proposizione dell’azione nei confronti di coloro che abbiano materialmente provveduto alla pubblicazione di immagini in rete, nella maggior parte dei casi, risulta impossibile perché spesso e volentieri i responsabili sono soggetti tutt’altro che sprovveduti davanti ad un computer e raggiungerli, venendo a conoscenza della loro reale identità, si rileva attività tutt’altro che semplice.

Visto che con Internet le immagini possono essere reperibili in ogni parte del mondo, ai fini della tutela giuridica si è stabilito che l’obbligazione risarcitoria sorge dove si produce il danno; pertanto, al tal fine, non si considera il luogo dove è installato il server su cui viene caricato il contenuto diffamatorio, ma quei luoghi in cui viene effettivamente consumata l’illecita lesione del diritto all’immagine, ovvero il domicilio della persona offesa, poiché è nell’ambiente in cui vive, tra la “cerchia” delle sue conoscenze che il danno ha un risalto maggiore.

Pedo-pornografica, sextortion, sexting e grooming

Tra i rischi che conseguono all’uso dei social network si ha quello di incontrare persone che presentandosi con un profilo diverso da quello reale fanno in modo di carpire la fiducia e di seguito una maggiore intimità con la “vittima” prescelta.

Purtroppo, la maggioranza delle vittime in questi casi sono i minori che sottovalutano le conseguenze di determinate azioni.

Spesso tali atteggiamenti possono sfociare in casi di:

  • pedopornografia: qualora vi sia il tentativo da parte di adulti, anche attraverso l’uso di identità false, di ottenere favori sessuali da parte dell’adolescente o pre- adolescente, sia soltanto virtuali (es. invio di immagini, video) sia come incontri reali (in tal caso si può incorrere nel reato di atti sessuali con minori). Cosa nota che buona parte delle immagini e video, apparentemente innocenti, che vengono scambiati tra i pedofili provengono da profili social di persone inconsapevoli, per questo è sempre bene non pubblicare mai foto di minori. Nel 2018 il numero delle foto a sfondo pedopornografico rinvenute dalla Polizia ammonta a 3.053.317 rispetto a 2.196.470 del 2017.
  • sextortion: si ha quando si utilizzano informazioni, foto o video compromettenti minacciando di pubblicarle o comunicarle al fine di ottenere favori sessuali o semplicemente denaro. Si tratta di una vera e propria sesso-estorsione.
  • sexting: consiste nell’invio di messaggi, foto, video a sfondo sessuale in chat o in un social network, a volte il sexting ha come conseguenza la micro prostituzione laddove si compiono le attività descritte in cambio di denaro, ricariche telefoniche o altri regali.
  • grooming: si tratta di una tecnica particolare messa in atto da adulti che, mediante lusinghe carpiscono la fiducia dei minori per mettere in atto delitti di sfruttamento sessuale o di violenza. Il termine “grooming” deriva dall’inglese “to groom” significa curare. “Grooming”, in senso letterale, rappresenta il gesto di “accarezzare il pelo” degli animali. Da qui il “child grooming” ovvero l’insieme di comportamenti volontariamente intrapresi da un adulto per suscitare la simpatia, carpire la fiducia e stabilire un rapporto emozionale con un minore, in modo da abbassarne le difese per poi realizzare un’attività di tipo sessuale o di sfruttamento. Nel nostro ordinamento il reato di “grooming” è stato introdotto con la legge 172 del primo ottobre 2012. L’articolo 609-undecies c.p. (adescamento del minore in rete) punisce “qualsiasi atto volto a carpire la fiducia del minore attraverso artifici, lusinghe o minacce posti in essere anche mediante l’utilizzo della rete internet o di altre reti o mezzi di comunicazione” (si punisce anche il solo “tentativo”). Gli strumenti utilizzati sono diversi e moderni: i social network in primis, WhatsApp e poi SMS, MMS, le chat room, i programmi di messaggistica istantanea, forum, i giochi online, e, più in generale gli spazi in cui, attraverso i profili compilati dagli utenti, sia  possibile ottenere informazioni quali l’età, il sesso o altro in relazione alla vittima scelta. Dall’indagine svolta da Save The Children è emerso che le ragazze condividono maggiormente rispetto ai ragazzi foto o video personali sui profili e fatto grave è che non si rendono conto della pericolosità di inviare e/o ricevere messaggi con riferimenti sessuali, lo ritengono un comportamento diffuso tra gli amici e pertanto privo di pericolosità. Inoltre, è emerso che molte ragazze si sono iscritte in modo autonomo su Instagram o WhatsApp, all’insaputa dei genitori ed alcune falsificando l’età ove necessario.

Cyberbullismo

Bullismo e cyberbullismo tendono spesso a colpire gli stessi ragazzi: tra quanti hanno riportato di aver subìto ripetutamente azioni offensive attraverso i nuovi canali comunicativi una o più volte al mese, ben l’88% ha subìto altrettante vessazioni anche in altri contesti del vivere quotidiano. Spesso gli atti di sopraffazione che avvengono nella realtà vengono video-ripresi ed inseriti in rete amplificando così le conseguenze psicologiche a danno delle vittime, oppure i commenti negativi, gli insulti, le discriminazioni vengono ripetute anche sui social e nelle chat. Vi è inoltre un rischio maggiore per i più giovani rispetto agli adolescenti, circa il 7% dei bambini tra 11 e 13 anni è risultato vittima di prepotenze tramite cellulare o Internet una o più volte al mese, mentre la quota scende al 5,2% tra i ragazzi da 14 a 17 anni. Non ci addentriamo nella disamina della legge 29 maggio 2017, n. 71, recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo”, osserviamo soltanto che il legislatore, ha preferito porre l’attenzione sull’individuazione di strumenti preventivi di carattere educativo.

Apprezzabile l’iniziativa di affrontare il cyberbullismo in un’ottica di prevenzione, un ruolo da protagonista in questo senso è riservato alla scuola in quanto è prevista l’introduzione della figura del referente per il cyberbullismo in ogni istituto scolastico con il compito di avviare corsi di formazione per gli insegnanti. Un aiuto per le vittime è dato dalla applicazione “You Pol” pensata dalla Polizia di Stato per contrastare il fenomeno del bullismo e dello spaccio di stupefacenti soprattutto tra i più giovani. Questa applicazione permette all’utente di interagire con la Polizia di Stato inviando segnalazioni (immagini o testo)  relative  a episodi di bullismo e  di  spaccio  di sostanze stupefacenti. Immagini e testo vengono trasmessi all’ufficio di Polizia e sono geolocalizzate consentendo di conoscere in tempo reale il luogo degli eventi: è possibile anche l’invio e la trasmissione in un momento successivo con l’inserimento dell’indirizzo del luogo in cui si è verificato l’evento.

Consigli pratici per evitare i rischi dei social network

    Poiché in ambito di sicurezza informatica, l’anello debole della catena è sempre l’uomo a tutela della propria persona e dei minori si consiglia di:

  • non pubblicare foto altrui senza il consenso dell’interessato o dei genitori in caso si vogliano pubblicare foto di minori;
  • non pubblicare dati personali quali: numeri di telefono, indirizzi di residenza o foto che potrebbero adattarsi ed essere utilizzate per un documento di identità;
  • cambiare spesso la password (che deve avere caratteristiche precise – n. 8 caratteri alfanumerici, caratteri speciali, lettera maiuscola) e non utilizzare la stessa password per diversi account;
  • modificare le impostazioni privacy dei social e renderle più restrittive (controllare chi ci può contattare, chi può leggere quello che scriviamo, chi può condividere post sul nostro diario chi può condividere i nostri post), soprattutto se, benché sconsigliabile, si intende accettare l’amicizia di persone non conosciute realmente;
  • non accedere ai profili social, non effettuare acquisti  online  o  operazioni bancarie utilizzando Wi-Fi pubblici e aperti;
  • se si accede al proprio profilo social o all’account della nostra banca, da un pc pubblico od utilizzato da altri non salvare mai la password ed effettuare sempre il logout;
  • attivare il tutti gli strumenti messi a disposizione per effettuare il parental control (ad esempio: Safe Search di Google Chrome, Safety Family di Microsoft e software appositamente creati) al fine di controllare le attività al cellulare o al computer dei minori.

Dipendenza da Internet

Proprio in seguito alla diffusione dei nuovi mezzi di comunicazione e di Internet in genere, si sta assistendo al diffondersi di fenomeni psicopatologici collegati ad un uso eccessivo o inadeguato della rete che si manifesta con una sintomatologia simile a quella che si osserva in soggetti dipendenti da sostanze psicoattive. Un vero e proprio disturbo patologico, causato dall’abuso nell’utilizzo di Internet.

I principali sintomi che caratterizzano l’I.A.D. sono generici e possono essere riscontrati in tutte le Dipendenze da Internet:

  1. bisogno di trascorrere un tempo sempre maggiore navigando in rete per sentirsi soddisfatti;
  2. accedere alla rete per periodi più lunghi di quelli pianificati;
  3. incapacità di percepire e valutare i rischi derivata da un uso incontrollato di Internet;
  4. impossibilità di interrompere volontariamente o controllare l’uso di Internet, anche sul lavoro;
  5. agitazione psicomotoria, ansia, depressione, pensieri ossessivi su cosa accade on- line dopo la sospensione o la diminuzione dell’uso della rete, sintomi tipici da astinenza;
  6. mentire a familiari o terapeuti riguardo l’uso di Internet;
  7. continuare a utilizzare Internet nonostante la consapevolezza di problemi fisici, sociali, lavorativi o psicologici recati dalla rete;
  8. a livello fisico (emicrania, stress oculare, iper-sudorazione, tachicardia, tensioni, crampi  e/o  dolori  muscolari,  a  causa  delle  numerose  ore  passate  davanti  al computer, forte stanchezza);
  9. associazione ad altre tipologie di dipendenza connotate dall’utilizzo disfunzionale del web.
  10. La caratteristica costante che fa da sfondo ad ogni dipendenza da Internet è la capacità della rete di rispondere (o illudere di rispondere) a molti bisogni umani, consentendo di sperimentare dei vissuti importanti per la costruzione del sé e di vivere delle emozioni sentendosi, al contempo, protetti.
  11. Il rovescio della medaglia è che i dialoghi in questi luoghi virtuali possono danneggiare psicologicamente soggetti già fragili, basti pensare al  fenomeno degli haters, l’aggressione verbale è più facile davanti ad una tastiera, ma con effetti potenzialmente più pericolosi perché amplificati; inoltre, non trovandosi fisicamente il l’interlocutore davanti, gli haters non si possono frenare, come potrebbe avvenire nella realtà, nel caso in cui si rendano conto che l’interlocutore si è sentito offeso o umiliato.
  12. Nel mondo virtuale molte barriere sono abbattute si può sperimentare la propria identità in tutte le sue sfumature, cambiando l’età, la professione e perfino il sesso di appartenenza, ascoltando le reazioni degli altri e maturando delle convinzioni, attraverso il confronto con altre personalità più o meno reali.
  13. Non bisogna sottovalutare poi il fatto che nei social network i numeri dei “like” ai post o foto pubblicati ed il numero di amici o dei “followers” è per molti il segno del successo sociale. Si tende sempre maggiormente a curare la propria identità virtuale rispetto a quella reale.
  14. Per i più giovani in età di sviluppo e per alcuni soggetti predisposti, il rischio è:
    • che l’abuso della rete per comunicare crei confusione nella distinzione tra reale e virtuale (soprattutto nel senso di sé);
    • che non sia più facile comprendere cosa fa parte di sé realmente e cosa è possibile sperimentare solo virtualmente, poiché ciò che è concesso in rete non ha le stesse conseguenze che si produrrebbero nella realtà.
  15. In considerazione di ciò, soprattutto i bambini e i giovani dovrebbero limitare il tempo trascorso su Internet ed integrare delle esperienze di comunicazione reale, al fine di evitare di sviluppare delle abilità emotive e sociali prevalentemente attraverso questo strumento tecnologico che, in questo caso, risulterebbero estremamente limitate o deformate rispetto a quelle poi richieste per adattarsi nella vita reale.

Conclusione

Come approcciarsi quindi ad Internet, ai social network e qualunque piattaforma di condivisione? Semplicemente mantenendo comportamenti similari a quelli che useremmo nella realtà perché similari sono le regole ed i diritti applicabili.

Alla base di questo discorso è importante comprendere come sostanzialmente esista un parallelismo tra le due sfere, offline e online, come adottiamo tutele ed accorgimenti perproteggere  il  nostro  mondo  reale  allo  stesso  modo  dobbiamo  adottare  tutele  ed accorgimenti per proteggere la realtà virtuale.

Glossario GDPR

Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni, che in alcuni casi si vanno a sovrapporre a quelle esistenti nel nostro Codice Privacy. Per adeguarsi nel modo corretto è tuttavia necessario comprendere i concetti basilari della normativa

Ecco un glossario delle voci più importanti della legge europea.

Archivio

Raccolta   di    dati    personali   organizzati   in    un    insieme   ordinato   e   indicizzato (indipendentemente dal fatto che sia elettronico o manuale).

Sono oggetto della normativa tutti i dati personali presenti in ARCHIVI ORGANIZZATI e INDICIZZATI, sia automatizzati che manuali. L’ordine è quindi l’elemento essenziale; il dato non ordinato (es. un appunto sulla scrivania) non viene preso in esame dalla normativa

Autorità di controllo

Una o più autorità pubbliche indipendenti che hanno il compito di assicurarsi il rispetto delle nuove norme sulla privacy, in ogni paese membro.

In Italia l’autorità di controllo pubblica è il Garante per la protezione dei dati personali (Garante Privacy); in Francia è il CNIL (Commission nationale de l’informatique et des libertés); in Spagna è l’AEPD (Agonica Spatola de Protección de Datos).

Autorità di controllo capofila

Nel caso di trattamento transfrontaliero, è l’autorità di controllo dove ha sede il titolare o il responsabile del trattamento, alla quale viene trasferita la competenza sul trattamento stesso rispetto ad altre autorità di controllo (definite “autorità interessate”). Seguendo un “principio di sportello unico”, quindi, per ogni trattamento transfrontaliero, il controllo viene svolto sotto la direzione di una sola autorità capofila. In queste ipotesi, l’attribuzione della competenza va quindi valutata, perché ci possono essere diversi casi, come ad esempio quello in cui una multinazionale ha la sede dell’amministrazione centrale in un paese, e in un altro paese ha uno stabilimento che assume decisioni autonome su finalità e mezzi di uno specifico trattamento.

Ad esempio

La sede centrale di una banca si trova a Francoforte, e tutti i trattamenti connessi all’attività bancaria sono gestiti da tale sede; tuttavia, l’ufficio assicurazioni della banca ha sede a Vienna. Se lo stabilimento situato a Vienna dispone dell’autorità per decidere su tutti i trattamenti connessi ad attività assicurative e ordinare l’esecuzione delle relative decisioni sull’intero territorio dell’UE, allora (come previsto dall’articolo 4, punto 16, del regolamento) sarà l’autorità di controllo austriaca a fungere da autorità capofila rispetto al trattamento transfrontaliero di dati personali per finalità assicurative, mentre le autorità tedesche (in questo caso, l’autorità di controllo del Land Assia) avranno il compito di monitorare il trattamento di dati personali per finalità bancarie ovunque si collochi la clientela.

Autorità di controllo interessata

Nel caso di trattamento transfrontaliero, è l’autorità di controllo (diversa dall’autorità capofila) che può avere una delle seguenti caratteristiche:

  • è l’autorità di controllo dello Stato membro dove è stabilito il titolare o il responsabile del trattamento;
  • è l’autorità di controllo dello Stato membro dove gli interessati residenti sono effettivamente o potenzialmente influenzati in modo sostanziale dal trattamento;
  • è l’autorità di controllo di uno Stato membro a cui è stato proposto un reclamo sul trattamento personale.

Tale autorità interviene nei confronti dell’autorità capofila al fine di tutelare gli interessati del proprio territorio.

Ad esempio

Una società di marketing il cui stabilimento principale è situato a Parigi, lancia un prodotto per persone che risiedono in Portogallo. In questo caso, poiché il trattamento produce effetti esclusivamente locali (ossia gli interessati sono solo nel Portogallo) l’autorità di controllo francese (capofila) e l’autorità di controllo portoghese (interessata) possono decidere di come accordo chi debba occuparsi del caso, e quindi anche l’autorità portoghese potrebbe aver diritto di chiedere al Titolare del trattamento di fornire chiarimenti rispetto agli accordi societari in essere.

Comitato

Il   Comitato   europeo   per   la   protezione   dei   dati   è   un   organismo   dell’UE   incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. È composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante europeo della protezione dei dati o dai loro rappresentanti. Può fare da consulente alla Commissione europea in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione.

Per capire meglio

Possiamo definire questo organismo l’erede del “Gruppo Ex Art. 29”, istituito appunto dall’art. 29 della Direttiva 95/46, la cui attività, consultiva e indipendente, è stata principalmente quella di assicurarsi che le autorità di controllo nazionali seguissero interpretazioni comuni della normativa europea in materia di privacy.

Consenso dell’interessato

“Atto positivo inequivocabile ed esplicito” che manifesta la volontà dell’interessato a dare il proprio assenso al trattamento dei suoi dati personali, dopo che è stato preventivamente informato circa le finalità, le modalità e qualsiasi altro aspetto tramite l’informativa. Il consenso deve essere fornito per ogni finalità di trattamento, altrimenti non è valido.

Per capire meglio

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche richieste dal GDPR (libero, specifico, informato e inequivocabile). In caso contrario, il Garante si raccomanda di adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).

Dati Biometrici

Categorie particolari di dati personali, ottenuti da tecnologie in grado di rilevare in modo automatizzato una o più caratteristiche biologiche e/o comportamentali (biometria) di una persona fisica. Tra  le  caratteristiche fisiologiche: l’altezza, l’immagine  facciale,  le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina, la forma dell’orecchio, la vascolarizzazione. Tra le caratteristiche comportamentali: l’impronta vocale, la scrittura grafica, la firma, i dati dattiloscopici, lo stile di battitura sulla tastiera, i movimenti del corpo.

Per capire meglio

Elemento fondamentale è la presenza di un processo automatizzato di analisi biometrica, tramite una tecnologia informatica. Ad esempio, le fotografie saranno considerati dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione di una persona fisica.

Dati genetici

Tutti quei dati personali relativi alle caratteristiche genetiche (ereditarie o acquisite) che risultino dall’analisi di un campione biologico della persona fisica in questione.

Ad esempio

Analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), a qualsiasi altro elemento che consenta di ottenere informazioni equivalenti.

Dati Personali

Un dato personale è qualsiasi informazione che identifica (o rende identificabile) direttamente o indirettamente una persona fisica.

Ad esempio

Qualsiasi dato che riconduce ad una persona fisica è un dato personale: nome e cognome (quindi anche la email aziendale se composta da nome.cognome@azienda.it), cellulare, foto, ecc.

Dati relativi a condanne penali e giudiziari

Dati personali che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. Il Regolamento UE 2016/679, all’articolo 10, ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Ad esempio

I provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione.

Dati personali “particolari” (ex categoria dati sensibili)

Sono dati personali per i quali sono richieste particolari cautele. Possono rilevare l’identità della persona attraverso elementi biometrici o genetici, oppure attraverso la sua posizione (dati geolocalizzati) oppure sono legati ad altri aspetti quali: l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati relativi alla salute

Tutti i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Ad esempio

Le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati.

Destinatario

Qualsiasi soggetto  (pubblico o privato) che riceve comunicazione di dati personali. Vige l’obbligo di comunicare all’interessato l’eventuale comunicazione a Destinatari, a meno che ciò non rappresenti uno sforzo spropositato (Considerando 61 e 62) oppure il destinatario sia un’autorità pubblica.

Per capire meglio

Il regolamento europeo prevede un’eccezione in merito ossia:

le autorità pubbliche, a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell’esercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari, qualora ricevano dati personali che sono necessari per svolgere una specifica indagine nell’interesse generale, conformemente al diritto dell’Unione o degli Stati membri.(Considerando nr 31)

Diritto alla portabilità

L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti. Il GDPR promuove lo sviluppo di formati interoperabili (ad esempio strumenti per il download dei dati e automatismi di trasferimento online) da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Vieta ai titolari di creare ostacoli alla trasmissione dei dati.

Per capire meglio

In realtà si tratta di un doppio diritto in quanto sancisce:

il diritto di ricevere dati personali (in un formato strutturato, di uso comune e leggibile meccanicamente) e di memorizzarli su un dispositivo per un successivo utilizzo personale, senza necessariamente doverli trasferire a un diverso titolare (ad esempio un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti o ascoltati, detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale)”.

“ il diritto a trasmettere i propri dati personali da un titolare del trattamento a un altro, senza impedimenti”. Si tratta di un diritto che facilita la circolazione, la copia o il trasferimento di dati personali da un ambiente informatico all’altro.

Diritto alla rettifica

L’interessato ha la possibilità di richiedere, in qualsiasi momento, la modifica dei propri dati personali qualora questi risultino inesatti.

Dati alla cancellazione (c.d. all’oblio)

L’interessato ha la possibilità di richiedere la totale cancellazione dei propri dati personali presso un determinato titolare del trattamento. Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento. In virtù dell’articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione. In ogni caso è il titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta.

Per capire meglio

Ricevuta la richiesta, il titolare ha l’obbligo di cancellare i dati personali, senza ingiustificato ritardo, qualora la richiesta rientri nei casi previsti dall’articolo stesso (ad esempio se i dati sono trattati illecitamente se è venuta meno la finalità per cui sono stati trattati). Se poi tali dati sono stati resi pubblici dal titolare stesso, questi ha l’obbligo di informare tutti i soggetti che stanno trattando i dati personali, della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali, adottando misure ragionevoli in base ai costi e alla tecnologia disponibile.

Diritto di accesso

L’interessato ha il diritto di richiedere e ottenere, al titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, con una descrizione esatta delle modalità e finalità. L’accesso al dato può avvenire da remoto oppure chiedere una copia.

Per capire meglio

I titolari del trattamento possono creare un sistema per consentire all’interessato l’accesso da remoto (protetto con utenza e password) a un sistema sicuro che gli permetta di verificare direttamente i propri dati. Oppure, il titolare deve fornire queste informazioni il prima possibile (al massimo entro un mese), a titolo gratuito e in forma scritta.

Diritto di opposizione

L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.

Per capire meglio

In caso di attività di marketing diretto, questo diritto può essere esercitato senza addurre motivazioni. Nel caso di operazioni che si svolgono prevalentemente online o comunque elettroniche (es. invio newsletter o sms promozionali) sarebbe opportuno che il titolare predisponesse a monte un meccanismo automatizzato che consenta all’interessato di esercitare l’opt-out.

Gruppo imprenditoriale

Gruppo di imprese costituito da un’impresa controllante e dalle sue controllate, là dove l’impresa controllante dovrebbe essere quella che può esercitare un’influenza dominante sulle controllate, in forza, ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare le norme in materia di protezione dei dati personali. Un’impresa che controlla quindi il trattamento dei dati personali in imprese a essa collegate viene detta gruppo imprenditoriale insieme alle dette imprese collegate.

Impresa

L’impresa  è  un’attività  economica  esercitata  da  una  persona  fisica  o  giuridica, professionalmente organizzata al fine della produzione o dello scambio di beni o servizi.  

Per micro, piccola e media impresa si considera a ogni entità, a prescindere dalla forma giuridica rivestita, che eserciti un’attività economica, in particolare sono considerate tali le entità che esercitano un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che esercitino un’attività economica.

Informativa

La comunicazione che fornisce tutte le informazioni utili che l’interessato deve sapere nel momento in cui decide di dare il suo consenso al trattamento dei dati personali.

Per capire meglio

Deve avere forma concisa, trasparente, intelligibile per l´interessato e facilmente accessibile; per questo, occorre utilizzare un linguaggio chiaro e semplice. Il regolamento supporta il concetto di informativa “stratificata” e ammette anche l’utilizzo di icone per presentare i contenuti dell´informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa; queste icone dovranno essere identiche in tutta l´Ue (si pensi a quelle già in vigore per la videosorveglianza) e saranno definite prossimamente dalla Commissione europea.

Interessato

Persona fisica a cui si riferiscono i dati personali oggetto del trattamento, che può essere identificata o identificabile (cioè può essere identificata anche in modo indiretto) attraverso il trattamento stesso.

Per capire meglio

L’interessato diventa identificabile tramite informazioni oppure caratteristiche rilevabili oppure l’incrocio di più dati personali. L’interessato deve essere necessariamente una persona fisica, pertanto le imprese e gli enti non possono essere considerati interessati al trattamento.

Limitazione di trattamento

Sospensione temporanea (che può trasformarsi in permanente) del trattamento dei dati in corso, per i quali è consentita solo la conservazione. Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

Per capire meglio

Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere inaccessibili i dati personali selezionati agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web.

Meccanismo di coerenza

Viene adottato quando un’autorità di controllo intende prendere delle misure, con riguardo ad attività di trattamento, che abbiano effetti giuridici su un numero significativo di interessati in vari Stati membri oppure può essere messo in atto quando un’autorità di controllo interessata o la Commissione chieda che tale questione sia trattata nell’ambito del meccanismo di coerenza, proprio per garantire un trattamento uniforme nei vari Stati.

Per capire meglio

Il meccanismo di coerenza rientra nella parte relativa alla cooperazione tra le autorità di controllo degli stati membri che, al fine di contribuire all’applicazione coerente del Regolamento in tutta l’Unione, cooperano tra loro e, nel caso, con la Commissione Europea mediante appunto il meccanismo di coerenza. Può essere utilizzato anche per favorire un’applicazione coerente delle sanzioni amministrative pecuniarie. Qualora ci siano divergenze, alla fine, il Comitato emette una decisione vincolante a cui tutti gli stati membri dovranno uniformarsi

Norme vincolanti d’impresa

Dette anche BCR (Binding Corporate Rules) sono uno strumento che ha il fine di consentire il

trasferimento di dati personali verso Paesi terzi extra UE tra società facenti parti dello stesso gruppo d’impresa. In pratica consistono in un documento contenente una serie di clausole

(rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

Per capire meglio

Le BCR devono essere esaminate e approvate dall’autorità di controllo nazionale o europea, che deve verificare la sussistenza dei contenuti minimi espressamente previsti dal regolamento.

Obiezione pertinente e motivata

È un concetto riguardante il trattamento transfrontaliero e riguarda i rapporti di cooperazione tra autorità di controllo capofila e autorità interessate. Quando l’autorità capofila trasmette alle  autorità  interessate  un  progetto  di  decisione,  queste  possono opporre  allo  stesso un’obiezione  pertinente  (quindi  che  riguardi  il  progetto  comunicato)  e  motivata  (che contenga le motivazioni dell’obiezione sollevata). Nel caso in cui la capofila non tenga conto di questa obiezione o la ritenga non pertinente e non motivata dà avvio al cosiddetto meccanismo di  coerenza. Se, invece, la capofila tiene conto dell’obiezione allora rivede il progetto di decisione e lo rimanda nuovamente a tutte le autorità interessate.

Organizzazione internazionale

Un’organizzazione  e  gli  organismi di diritto   internazionale  pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Profilazione

Raccolta di informazioni su un individuo al fine di effettuarne una valutazione automatizzata, attraverso l’analisi delle sue caratteristiche comportamentali e l’inserimento dello stesso in categorie o gruppi. Nel profilare le persone, si va infatti ad integrare il dato personale generico (nome, cognome, indirizzo, mail, ecc) con informazioni aggiuntive, spesso dedotte dalle attività svolte dalla persona stessa tramite un sistema. La profilazione si configura come un trattamento aggiuntivo automatizzato che analizza l persona per effettuarne valutazioni e/o previsioni su aspetti che riguardano il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.

Ad esempio

Alcune applicazioni mobile forniscono servizi di localizzazione che consentono all’utente di trovare ristoranti nelle vicinanze, ad esempio che offrono sconti. Tuttavia, i dati raccolti in questa fase vengono anche utilizzati per costruire un profilo sull’interessato più preciso e per scopi di marketing, come identificare le sue preferenze alimentari o lo stile di vita. L’interessato si aspetta così che i suoi dati vengano utilizzati per trovare ristoranti, ma in realtà riceve pubblicità per la “consegna della pizza a casa” in quanto l’app ha rilevato il suo comportamento (es. “arriva a casa tardi”) e identifica come utente potenzialmente interessato a questo servizio. Questo ulteriore utilizzo dei dati potrebbe quindi non essere compatibile con gli scopi iniziali per i quali i dati dell’utente sono stati raccolti, e per questo richiede il consenso esplicito dell’interessato.

Pseudonimizzazione

Detta anche cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica per non permetterne l’identificazione diretta, se non utilizzando informazioni aggiuntive. I dati personali sono quindi conservati in una modalità che impedisce l’identificazione di una persona fisica senza l’utilizzo di informazioni aggiuntive.

Per capire meglio

Può essere di due tipi: simmetrica o asimmetrica. Simmetrica: quando si utilizza una sola chiave per mascherare i dati. Asimmetrica: quando si utilizzano due chiavi diverse: una per cifrare il dato, l’altra per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

Rappresentante

Quando il titolare o il responsabile del trattamento non è stabilito nell’Unione ma tratta dati personali di persone che risiedono in uno stato membro UE, questi devono nominare per iscritto una persona fisica o giuridica, stabilita nell’Unione, che funga da interlocutore con le autorità di controllo e con gli interessati e lo rappresenti per tutti gli obblighi derivanti dal regolamento europeo.

Responsabile del trattamento

Qualsiasi soggetto che tratta i dati personali del Titolare del trattamento in suo nome e conto.

Ad esempio

La società che sviluppa un software in cloud per gestire l’invio di email, dovrà essere nominata quale Responsabile del trattamento per i dati gestiti per conto del Titolare, in quanto questi memorizza i dati personali raccolti sul sistema terzo, ma ne decide pienamente le modalità di gestione.

Responsabile della protezione dei dati (DPO)

L’RPD o DPO (Data Protection Officer) è una figura (obbligatoriamente prevista solo in alcuni casi) che svolge il ruolo di supervisionare i processi relativi al trattamento dei dati personali. Può essere una persona fisica oppure un team di persone,  interne o esterne.  Coopera  con l’autorità, per questo motivo, quando viene nominato, il suo nominativo va comunicato al Garante.

Sono tenute alla nomina di un DPO:

Nel settore pubblico: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, ecc. Nel settore privato: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, ecc.

Servizio della società dell’informazione

Qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. S’intende:

  1. «a distanza»: un servizio fornito senza la presenza simultanea delle parti;
  2. «per via elettronica»: un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici;
  3. «a richiesta individuale di un destinatario di servizi»: un servizio fornito mediante trasmissione di dati su richiesta individuale.

Stabilimento principale

Lo stabilimento principale di un titolare del trattamento nell’Unione corrisponde al luogo in cui ha sede la sua amministrazione centrale nell’Unione; se le decisioni sulle finalità e i mezzi del trattamento di dati personali sono adottate in un altro stabilimento del titolare del trattamento nell’Unione, tale altro stabilimento viene lo stabilimento principale.

Terzo

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia

l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Titolare del trattamento

È il proprietario dei dati personali, ed è colui che ne definisce le modalità di trattamento, decidendo tutte le misure tecniche e organizzative.

Per capire meglio

Il titolare è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) e non una delle singole persone fisiche che vi operano (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

Trattamento

Si definisce come trattamento qualunque operazione svolta sui dati personali con o senza l’ausilio di strumenti elettronici, che riguarda la raccolta dei dati, la registrazione, organizzazione, la conservazione, la consultazione, l’elaborazione, il blocco, la modifica, l’utilizzo, l’interconnessione, la comunicazione, la diffusione, la cancellazione, la distruzione, la selezione, l’estrazione, il raffronto dei dati personali degli interessati.

Trattamento transfrontaliero

Per trattamento transfrontaliero si intende

  • trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione oppure
  • trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Violazione dei dati personali

Detta anche data breach, è una violazione dei dati personali presenti in un determinato database, perché copiati, trasmessi, consultati o utilizzati da soggetti non autorizzati a farlo. Si tratta di un evento che può comportare diversi livelli di rischio per gli interessati, in base alla tipologia di dato oggetto della violazione e alle libertà personali che possono essere compromesse. In base alla gravità dell’evento, può essere necessario fare o meno una comunicazione al Garante.

Ad esempio

  1. Una società di hosting web individua un errore nel codice che controlla l’accesso da parte degli utenti. L’anomalia comporta che qualunque utente possa accedere ai dettagli dell’account di qualsiasi altro utente;
  2. Una e-mail di marketing diretto viene inviata ai destinatari nel campo “a:” o “cc:”, consentendo così a ciascun destinatario di visualizzare l’indirizzo di posta elettronica di altri destinatari;
  3. Durante un cyber-attacco al sito web vengono rubati dati personali.

S