Il Referente interno

Mansioni riservate alla persona di riferimento e collegamento, tra il Responsabile della Protezione Dati ed il Titolare.

Al Referente Privacy sono attribuite almeno le seguenti mansioni:

  • Esaminare gli aggiornamenti della normativa, segnalati dal DPO
  • Ricevere qualsiasi richiesta di consulenza da parte delle persone autorizzate al Trattamento (ex incaricati) e del Titolare e, a seconda della complessità del quesito, trasmetterla immediatamente al DPO, o rispondere direttamente;
  • Coadiuvare le funzioni competenti nella gestione dei diritti degli interessati, qualora una richiesta presenti alcune problematiche e/o difficoltà, che non richiedono l’intervento del DPO;
  • Sovraintendere il processo di selezione e nomina dei Responsabili esterni e informare il DPO sullo svolgimento della procedura;
  • Coadiuvare il DPO nello svolgimento della valutazione di impatto sulla protezione dei dati DPIA;
  • Organizzare corsi di formazione in ambito Privacy in linea con il piano approvato dal DPO;
  • Curare l’implementazione della documentazione e della normativa interna in materia di Privacy;
  • Partecipare attivamente allo svolgimento delle analisi di Privacy by Design, assicurando il rispetto della metodologia predisposta dal DPO, aggiornare costantemente il DPO e coinvolgerlo qualora risulti necessario;
  • Aggiornare il Registro dei trattamenti del Titolare, assicurando che siano sempre indicate informazioni complete e aggiornate;
  • Effettuare verifiche periodiche con report documentati presso i Responsabili esterni del Titolare, eventualmente avvalendosi delle risultanze delle Funzioni di Controllo e informare il DPO sugli esiti delle verifiche. Nel caso in cui il processo di verifica evidenzi una criticità, ivi inclusa una qualsiasi forma di inadempimento da parte del fornitore, coinvolgere immediatamente il DPO;
  • Gestire e aggiornare l’elenco dei Responsabili esterni, assicurando che siano sempre indicati tutti i Responsabili esterni nominati;
  • Ricevere ed eseguire ogni comunicazione del DPO, ivi inclusa la trasmissione delle istruzioni del DPO alle funzioni coinvolte;
  • Ricevere ogni segnalazione da parte del personale del Titolare su problematiche e criticità riscontrate in materia di protezione dei dati personali e informare prontamente il DPO;
  • Partecipare ad incontri periodici con il DPO;
  • Ricevere ogni segnalazione relativa alla violazione di dati personali relativa al Titolare e informare prontamente il DPO indicando, ove conosciuta, l’origine della violazione;
  • Coinvolgere il DPO qualora la gestione di una richiesta da parte di un interessato presenti particolari problematiche e/o l’interessato abbia richiesto il diretto intervento del DPO;
  • Trasmettere al DPO qualsiasi comunicazione o richiesta del Garante, e informarlo sull’eventuale volontà del Titolare e/o di una delle funzioni aziendali di contattare il Garante per qualsivoglia motivo;
  • Redigere un report annuale indirizzato al DPO e al Consiglio di Amministrazione del Titolare riguardante le attività svolte;
  • Assicurare che tutto il personale che tratta dati personali sia stato appositamente nominata Persona autorizzata al trattamento.

Misure di sicurezza: come valutare, quantificare e mitigare il rischio di utilizzo di un fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di titolare del trattamento deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (fornitori e responsabili). Ecco le best practice.

Sono sempre di più le organizzazioni che subiscono incidenti di sicurezza e violazioni di dati personali a causa di attacchi ai loro fornitori. Gli attaccanti, prendendo di mira un anello della catena di fornitura, possono raggiungere anche i clienti del target causando all’organizzazione ingenti danni reputazionali e perdite economiche- finanziarie. L’organizzazione colpita potrebbe subire anche sanzioni, per esempio da parte dell’Autorità Garante per la protezione dei dati personali per mancata adozione di misure di sicurezza adeguate o verifica dei requisiti di idoneità del proprio fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di Titolare deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (“Fornitori”, “Responsabili”).

Fondamentale per l’efficacia di tale strategia è che essa definisca da una parte i criteri di valutazione ex ante dei fornitori, dall’altra preveda modelli di contratto comprensivi di Annex tecnici (istruzioni operative per individuare gli adempimenti in materia di protezione dei dati personali) e processi periodici di controllo dei fornitori, i c.d. Audit.

La scelta dei fornitori in un’ottica “risk-based”

La scelta di esternalizzare servizi come la conservazione, la trasmissione o elaborazione di dati su sistemi eterogenei e spesso distribuiti può impattare significativamente sulle valutazioni di rischio che il Titolare del trattamento è tenuto a svolgere per ottemperare, in particolare, a quanto richiesto dall’art. 32 del GDPR: infatti, le minacce correlate al contesto complessivo del trattamento cosi come la modalità e la probabilità di concretizzarsi delle stesse potrebbero aumentare o diminuire alla luce del coinvolgimento di terze parti.

I vantaggi e i rischi correlati all’attività di esternalizzazione devono quindi essere presi in considerazione al fine di valutare se i fornitori offrono garanzie sufficienti a mitigare i rischi per i diritti e le libertà degli interessati o se, al contrario, potrebbero introdurne di ulteriori difficilmente mitigabili se non interrompendo il contratto di fornitura.

In quest’ottica, il Titolare non può ricorrere ad un Responsabile qualsiasi ma solamente a Responsabili che presentino «garanzie sufficienti» a soddisfare i requisiti del GDPR tutelando, in particolare, i diritti degli interessati (art. 28.1).

Tenuto conto della sensibilità, del volume e del valore di tutti i sistemi coinvolti nei servizi, processi o attività esternalizzate, la scelta deve quindi ricadere su un soggetto che – in termini di conoscenza specialistica, affidabilità e risorse – garantisca la messa in atto misure di sicurezza tecniche ed organizzative adeguate ai rischi derivanti dall’accordo stesso e dalla tipologia di dati trattati. In caso contrario, il Titolare potrebbe essere chiamato a rispondere per «culpa in eligendo».

I requisiti di sicurezza da richiedere ai fornitori

I fattori da considerare nell’individuazione delle misure tecniche e organizzative da richiedere al fornitore per attenuare i rischi ad un livello accettabile sono molteplici: costi di implementazione delle misure di sicurezza, natura delle minacce, probabilità di accadimento, requisiti di riservatezza, integrità disponibilità ed autenticità dei dati e via dicendo.

Si precisa che, secondo le Linee guida del WP29 in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679: “un rischio residuo elevato inaccettabile include casi in cui gli interessati possano subire conseguenze significative, o addirittura irreversibili, che non possono superare (ad esempio: accesso illegittimo a dati che comportano una minaccia per la vita degli interessati, un loro licenziamento, un rischio finanziario) e/o quando appare evidente che il rischio si verificherà (ad esempio: poiché non si è in grado di ridurre il numero di persone che accedono ai dati a causa delle loro modalità di condivisione, utilizzo o distribuzione o quando non si può porre rimedio a una vulnerabilità ben nota)”.

La scelta delle misure di sicurezza dovrebbe basarsi su standard e best practice di settore applicabili al contesto di fornitura. I requisiti di sicurezza devono essere:

  • chiari, precisi, azionabili e misurabili;
  • coerenti con il mercato ovvero sostenibili e che permettano di mantenere sotto controllo l’evoluzione delle minacce seguendo, anche lo sviluppo delle tecnologie di protezione;
  • integrati con i requisiti di sicurezza di business o requisiti di sicurezza di altre normative vigenti;
  • coerenti con servizi aventi rischi analoghi.

Il ricorso, da parte del Responsabile, a codici di condotta o meccanismi di certificazione o omologazione rilasciate da appositi organismi qualificati e indipendenti può essere visto come indice di garanzia ed affidabilità.

Ulteriori elementi di garanzia e affidabilità sono la proattività del Responsabile nella valutazione delle istruzioni ricevute dal Titolare così come l’eventuale segnalazione al Titolare di istruzioni che a suo parere, violino il GDPR o altre disposizioni, nazionali o comunitarie relative alla protezione dei dati.

Occorre quindi che tra Titolare e Responsabile si instauri un circolo virtuoso. Entrambi dovrebbero  perseguire  gli  stessi  obiettivi  di  sicurezza  attraverso  la  definizione,

l’implementazione e l’aggiornamento periodico del processo di gestione della sicurezza delle informazioni.

Un approccio comune alla sicurezza è fondamentale per garantire, nel tempo, gli obiettivi di disponibilità delle informazioni e dei servizi, l’appropriato livello di confidenzialità delle informazioni assicurando anche l’autenticità e l’integrità dei dati, delle transazioni, delle comunicazioni.

Il Titolare deve, inoltre, mantenere una rappresentazione dei servizi, delle applicazioni e delle infrastrutture utilizzate a supporto delle attività di trattamento comprese quelle affidate a terze parti.

Tale rappresentazione, se affiancata ad un efficace processo di Asset Management, favorisce il rispetto dei principi di security e privacy by design/by default nell’ambito di processi quali sviluppo sicuro del software, gestione dei cambiamenti, hardening fino alla gestione delle identità e della tracciabilità delle operazioni.

In particolare, un processo di tracciabilità delle informazioni che veda coinvolti l’impresa e i suoi fornitori è fondamentale per identificare e prevenire comportamenti abusivi o illegittimi compiuti non solo da utenti esterni all’azienda ma anche da dipendenti, collaborati e fornitori aventi accesso ai sistemi informatici messi a disposizione dall’azienda.

Le verifiche di adeguatezza dei fornitori

Le responsabilità del Titolare non si esauriscono nella scelta di fornitori adeguati. Il Titolare è tenuto a verificare nel tempo l’effettivo soddisfacimento delle garanzie di sicurezza previste contrattualmente. A seguito di esplicita richiesta formulata al Responsabile, il Titolare deve avere la possibilità di ottenere evidenza delle misure di sicurezza adottate dal Responsabile e da eventuali Sub-responsabili.

Sebbene al Responsabile del trattamento possa essere attribuito un certo margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi, è opportuno che queste siano conosciute e approvate dal Titolare.

Per avere evidenza del livello complessivo di adeguatezza e conformità con la normativa vigente, oltre alla richiesta di esibizione della nomina conferita dal Responsabile ai Sub-responsabili del Trattamento, si ritiene opportuno che il Titolare verifichi, con il supporto di esperti con competenze legali che di sicurezza delle informazioni:

  • la presenza di un processo di gestione della sicurezza delle informazioni integrato con gli aspetti di data protection previsti dalle normative vigenti;
  • la definizione di ruoli e responsabilità in ambito data protection;
  • il rispetto dei requisiti di sicurezza definiti contrattualmente e/o dell’eventuale piano di mitigazione concordato tra le parti, in particolare in          merito alla qualità dei dati, alla minimizzazione, cifratura e anonimizzazione dei dati personali;
  • le modalità di gestione degli adempimenti richiesti dalla normativa in particolare per quanto concerne la gestione delle richieste degli interessati e la gestione violazioni di dati personali;
  • l’adozione di un processo che permetta l’avviso tempestivo di qualsiasi anomalia, vulnerabilità, sospetto incidente o incidente e più in generale non conformità rilevate durante le attività di controllo e monitoraggio;
  • l’adozione di un processo di governance dei sub-responsabili, al fine di verificare che anch’essi rispettino le stesse misure di sicurezza o misure equivalenti a quelle applicate al fornitore.

L’attività di verifica può anche essere eseguita da una terza parte in accordo con il Titolare.

La documentazione prodotta deve essere archiviata dal Titolare insieme a tutta la documentazione contrattuale. Una mancata attività di verifica, in caso di inadempimenti da parte del Responsabile, potrebbe comportare una “culpa in vigilando” in capo al Titolare, il quale è tenuto pertanto a verificare se i suoi Fornitori agiscono in modo difforme o contrario rispetto alle legittime istruzioni impartite.

Nominare un DPO, 15 buoni motivi.

Il nuovo Regolamento Europeo introduce la figura del Responsabile della Protezione dei Dati, il DPO, sapere perchè e quando nominarlo è importante. Ecco dei buoni motivi.

Il nuovo Regolamento Europeo introduce la figura del Responsabile della Protezione dei Dati, meglio conosciuto come DPO. Attraverso il suo lavoro, le sue competenze, il GDPR si amplia, si fa consuetudine, per diventare parte integrante del lavoro quotidiano di chi si affida al DPO.

Ma quali sono le ragioni più evidenti per usufruire al meglio di questa figura, vediamole riassumendole in alcuni punti.

  1. La nomina di un DPO riduce il rischio legale;
  2. La nomina di un DPO contribuisce alla riduzione delle formalità;
  3. La  nomina  di  un  DPO  consente  a  un’organizzazione  di  beneficiare  di  un  rapporto privilegiato con il Garante Privacy, con contatti dedicati;
  4. La nomina di un DPO consente a un’organizzazione di implementare il trattamento dei dati personali più rapidamente;
  5. La nomina di un DPO migliora l’immagine del marchio dell’organizzazione;
  6. La  nomina  di  un  DPO  può  contribuire  a  migliorare  il  clima  sociale  (gestione  della sorveglianza informatica);
  7. La nomina di un DPO promuove l’implementazione di un approccio di qualità alla gestione delle informazioni all’interno dell’organizzazione (mappatura dei processi);
  8. La nomina di un DPO aiuta a migliorare la politica di sicurezza IT dell’organizzazione;
  9. La  nomina  di  un  DPO  aiuta  a  ridurre  i  costi  di  elaborazione  delle  informazioni (razionalizzazione del trattamento, cancellazione dei dati obsoleti);
  10. La nomina di un DPO aiuta a ridurre i costi di gestione del cliente (esercizio del diritto di accesso, gestione del contenzioso);
  11. La nomina di un DPO permette di individuare, e quindi controllare, i costi già sostenuti per il rispetto delle normative informatiche e di libertà;
  12. La designazione di un DPO consente una migliore valutazione del patrimonio informativo;
  13. La nomina di un DPO facilita l’implementazione di nuovi servizi online;
  14. La nomina di un DPO aiuta a sviluppare la collaborazione e le sinergie tra i dipartimenti (legale, IT, marketing, ecc.);
  15. La  nomina  di  un  DPO  rafforza  il  rapporto  fiduciario  con  clienti,  fornitori,  finanziatori, collaboratori ecc.

I rischi dei social network, dal pishing al cyber bullismo: come difendersi.

I social network celano rischi sui quali è fondamentale informarsi per evitare spiacevoli conseguenze.

Non bisogna sottovalutare che Internet è un mondo virtuale ma con pericoli reali, sebbene le azioni vengano percepite come impersonali e non arrecanti danni a sé o agli altri. In particolare, è bene conoscere i rischi legati ai social network, per capire  come evitarli: phishing, sextortion, cyberbullismo sono fenomeni puniti dalla legge, a proposito dei quali è necessario informare gli utenti, soprattutto i più giovani.

Internet in Italia: i dati

Oltretutto, il web fa parte della quotidianità. Internet fornisce l’accesso a molti servizi e contenuti, le comunicazioni e le informazioni avvengono in tempo reale senza limiti territoriali, l’uso di Internet e dei social network è agevole e alla portata di tutti sia sotto il profilo tecnico sia sotto il profilo economico.

Inoltre, i social network consentono di mantenere ed incrementare i rapporti interpersonali, semplificando i contatti.

Tutti questi vantaggi sono apprezzati e confermati dalle statistiche visto e considerato che, ogni anno, il numero di italiani che trascorrono del tempo online è in costante crescita. Si è stimato che gli italiani in media navigano ogni giorno circa 6 ore da diversi dispositivi. Mentre è di circa 35 milioni il numero di italiani attivi sui social network, di cui circa 31 milioni ne fa uso da un device mobile, la media giornaliera del tempo che una persona passa sui

social network è di circa 1 ora e 51 minuti.

Stando alle statistiche di Digital 2019, gli utenti attivi in Italia su ciascuna piattaforma risultano essere:

  • 31 milioni su Facebook;
  • 19 milioni su Instagram;
  • 12 milioni su LinkedIn;
  • 2,50 milioni su Snapchat;
  • 2,35 milioni su Twitter.

Per quanto riguarda i minori da un’indagine svolta da Save The Children è emerso che è sempre più precoce l’età in cui si accede ad Internet.

La percentuale di bambini dai 6 ai 10 anni che si connette ad Internet è del 54%, percentuale che arriva al 94% nella fascia di età tra i 15 ed i 17 anni.

I rischi dei social network

In considerazione della sempre più precoce età di utilizzo dei social è necessario non sottovalutare i potenziali rischi. Ciò che si scrive e le immagini che si pubblicano sui social network  hanno  quasi  sempre  un  impatto  a  breve  ed  a  lungo  termine  sulla  vita reale quotidiana e nei rapporti con le persone con le quali si interagisce ogni giorno. Bisogna tenere presente che ogni volta che si inseriscono i nostri dati personali su un sito su un social network se ne perde il controllo, spesso si concede automaticamente al fornitore del servizio la licenza di utilizzare il materiale che si inserisce foto, chat, opinioni.

Ogni volta che si utilizza una carta di credito/debito, che si inserisce una password per accedere a determinati servizi, che si utilizza una carta fedeltà o una tessera di sconto messa a disposizione dalle grandi catene commerciali, che si fa un acquisto online o una ricerca tramite un qualsiasi browser, si compie inevitabilmente una piccola cessione di sovranità. Stessa cosa avviene quando si installano sul nostro smartphone o sul nostro tablet delle app,  i programmi di queste applicazioni a volte possono richiedere l’accesso alla nostra rubrica, alle nostre foto o contenuti multimediali che nulla hanno a che vedere con la funzionalità della APP stessa.

Inoltre, ciò che si inserisce può essere copiato e registrato dagli altri utenti del social e non sempre per fini leciti.

Tutto ciò che si scrive e posta, poi, contribuisce a rivelare a terzi chi siamo, cosa facciamo, le nostre abitudini, le nostre condizioni di salute, il nostro tenore di vita, i nostri interessi, le nostre   opinioni   politiche,   religiose,   il   nostro   orientamento    sessuale:    insomma, tutte informazioni che consentono di creare un nostro profilo che servirà alle aziende commerciali per un marketing più mirato (basta cliccare un “mi piace” su una pagina di un social o su un commento per essere analizzati e etichettati).

Ogni volta che condividiamo qualcosa, dobbiamo pensare a chi potrà leggere (datore di lavoro o potenziale datore di lavoro, insegnante dei nostri figli, vicino di casa, conoscente) e dobbiamo valutarne l’opportunità chiedendoci, anche, se ciò che pubblichiamo ci potrà piacere tra qualche anno.

È notizia recente, a tal proposito, l’obbligo per i richiedenti un visto per entrare negli Stati

Uniti a fornire i dettagli dei profili social utilizzati in modo da permettere i controlli da parte delle Autorità.

Benché la diminuzione della privacy sia insita nell’uso di Internet e dei social network vi sono rischi ben più gravi, dal punto di vista delle conseguenze che possono causare ad esempio:

  • furto di identità;
  • diffusione illecita di immagini;
  • pedopornografica, sextortion, sexting e grooming;
  • cyberbullismo;
  • dipendenza da Internet (IAD – Internet Addiction Disorder)

Furto d’identità

l fianco dell’identità personale, si sono create le identità digitali che possono essere oggetto di furto.

Utilizzando procedimenti di social engineering, gli utenti ignari vengono indotti ad eseguire azioni finalizzate al furto delle credenziali di accesso oppure all’ottenimento delle informazioni e dei dati di natura personale da utilizzare per l’accesso a sistemi informatici, sostituendosi, di fatto, alla vittima.

Pur non essendo materialmente una sostituzione di persona, il nostro ordinamento ha equiparato tale fattispecie al reato di cui all’art. 494 c.p. relativo alla sostituzione di persona, secondo il quale: “chiunque, al fine di procurare a sé o ad altri un ingiusto vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una

qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino ad un anno”.

Per la configurazione della fattispecie criminosa è richiesto il dolo specifico, quindi la volontà del reo di indurre qualcuno in errore ed il comportamento deve essere tale da procurare a sé o ad altri un vantaggio (patrimoniale e non) o arrecare danno al soggetto a cui è stata sottratta l’identità.

Phishing: il furto di identità digitale

L’attività attraverso la quale si può procedere al furto dell’identità digitale è il phishing. Con tale attività, un soggetto cerca di appropriarsi di informazioni quali: numeri di carte di credito, informazioni relative ad account, password o altre informazioni di natura personale, convincendo l’utente a fornirle mediante falsi pretesti, come ad esempio l’invio di posta che sembra provenire da siti web noti o fidati come il sito della propria banca o della società di emissione della carta di credito.

Il phishing è il cyber attacco più utilizzato perché è quello più economico e più efficace, basta che l’utente “si fidi” ed inserisca i dati.

Tale condotta integra, in primo luogo, il reato di trattamento illecito di dati personali di cui all’art. 167 del codice privacy che, a seconda della gravità, prevede diverse sanzioni. In secondo luogo, tale fattispecie è punibile ai sensi dell’art. 630-ter c.p. comma 3 che, per la prima volta ha inserito nel codice penale il concetto di identità digitale.

Il legislatore per il reato di “frode informatica commessa con sostituzione di identità digitale” ha previsto la pena della reclusione da due a sei anni e la multa da 600 euro a 3.000 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti; per tale delitto è prevista la querela della persona offesa salvo che ricorra l’ipotesi di cui al II o III comma dell’art. 640-ter ovvero altra circostanza aggravante.

Diffusione illecita di immagine

Sempre più spesso si verifica che le informazioni personali e le immagini degli utenti diventino di pubblico dominio, perché accessibili ad un vasto numero di soggetti e che quindi vengano utilizzate per scopi differenti rispetto a quelli per i quali sono state pubblicate, quasi sempre senza autorizzazione degli stessi titolari.

La natura dell’immagine – quale raffigurazione di una persona – nel nostro ordinamento, figura come un diritto della personalità, irrinunciabile, che può essere fatto valere da chiunque, inteso come il diritto della persona a che la propria immagine non venga divulgata o che tale divulgazione venga da questi controllata.

Tale diritto infatti ha contenuto sia non patrimoniale, se inteso come manifestazione tipica del diritto alla riservatezza, sia patrimoniale, che può derivare dal suo sfruttamento economico dell’immagine.

Il mezzo più immediato ed efficace attraverso il quale un soggetto ha la possibilità di gestire la propria immagine è il cosiddetto “consenso”: questo è infatti il requisito essenziale ed imprescindibile per l’utilizzo dell’immagine altrui ed ha origini ovviamente molto precedenti rispetto alla nascita di Internet.

Il consenso, infatti, viene introdotto nel nostro ordinamento il 22 aprile del 1941 con la legge

n. 633 la quale, all’art. 96 recita appunto “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa”.

È possibile però che questa regola possa subire qualche eccezione ad esempio nei casi in cui vi sia una situazione di necessità, giustizia, polizia, scopi scientifici didattici e culturali e quando l’immagine ritragga una persona nota.

Ovviamente la “notorietà” della persona non può da sola giustificare qualunque riproduzione dell’immagine, è pur sempre necessario che vi sia un’esigenza di informazione pubblica e che venga garantita la privacy dei personaggi famosi ritratti.

Inoltre, in caso di utilizzo abusivo della nostra immagine il nostro ordinamento ci mette a disposizione due strumenti, l’azione c.d. inibitoria ed il risarcimento del danno.

L’azione inibitoria è la forma di tutela idonea a prevenire e/o limitare la lesione dei diritti della persona, essa infatti consiste nell’azione preventiva finalizzata a porre fine al comportamento lesivo già in essere, non consentendone la continuazione, né tanto meno la ripetizione. Questa tutela è stata tipizzata nel nostro ordinamento per alcuni diritti della personalità, uno su tutti il diritto all’immagine (art. 10 c.c.). L’art. 10 del codice civile, prevede espressamente che, nel caso in cui sia stata pubblicata una nostra foto, o la foto di un nostro parente ed affine, al di fuori dei casi previsti dalla legge che abbiamo visto in precedenza, potremmo rivolgerci all’autorità giudiziaria che disporrà la cessazione dell’abuso e di conseguenza il risarcimento dei danni (patrimoniali e non patrimoniali).

Spesso l’utilizzo abusivo dell’immagine oltre al danno patrimoniale, che è di più immediata identificazione, può determinare una lesione dell’identità personale dando quindi diritto all’interessato di vedersi risarcire il danno non patrimoniale.

Per identità personale si intende l’immagine sociale, cioè l’insieme di valori politici, intellettuali, morali, professionali e religiosi della persona e il diritto della stessa alla loro intangibilità, in questo caso la lesione è ravvisabile quando detta immagine risulti distorta provocando agli occhi di terzi inesatte o non volute rappresentazioni della realtà.

Le ripercussioni in questi casi potrebbero essere molteplici, come le difficoltà d’inserimento nell’ambito dei rapporti sociali, con conseguente diminuzione del proprio prestigio, della propria credibilità, determinando inoltre il venir meno di opportunità ed utilità valutabili anche economicamente.

Risulta essere un problema di non secondaria rilevanza, l’individuazione dei soggetti sui quali gravi la responsabilità per il fatto illecito commesso; la proposizione dell’azione nei confronti di coloro che abbiano materialmente provveduto alla pubblicazione di immagini in rete, nella maggior parte dei casi, risulta impossibile perché spesso e volentieri i responsabili sono soggetti tutt’altro che sprovveduti davanti ad un computer e raggiungerli, venendo a conoscenza della loro reale identità, si rileva attività tutt’altro che semplice.

Visto che con Internet le immagini possono essere reperibili in ogni parte del mondo, ai fini della tutela giuridica si è stabilito che l’obbligazione risarcitoria sorge dove si produce il danno; pertanto, al tal fine, non si considera il luogo dove è installato il server su cui viene caricato il contenuto diffamatorio, ma quei luoghi in cui viene effettivamente consumata l’illecita lesione del diritto all’immagine, ovvero il domicilio della persona offesa, poiché è nell’ambiente in cui vive, tra la “cerchia” delle sue conoscenze che il danno ha un risalto maggiore.

Pedo-pornografica, sextortion, sexting e grooming

Tra i rischi che conseguono all’uso dei social network si ha quello di incontrare persone che presentandosi con un profilo diverso da quello reale fanno in modo di carpire la fiducia e di seguito una maggiore intimità con la “vittima” prescelta.

Purtroppo, la maggioranza delle vittime in questi casi sono i minori che sottovalutano le conseguenze di determinate azioni.

Spesso tali atteggiamenti possono sfociare in casi di:

  • pedopornografia: qualora vi sia il tentativo da parte di adulti, anche attraverso l’uso di identità false, di ottenere favori sessuali da parte dell’adolescente o pre- adolescente, sia soltanto virtuali (es. invio di immagini, video) sia come incontri reali (in tal caso si può incorrere nel reato di atti sessuali con minori). Cosa nota che buona parte delle immagini e video, apparentemente innocenti, che vengono scambiati tra i pedofili provengono da profili social di persone inconsapevoli, per questo è sempre bene non pubblicare mai foto di minori. Nel 2018 il numero delle foto a sfondo pedopornografico rinvenute dalla Polizia ammonta a 3.053.317 rispetto a 2.196.470 del 2017.
  • sextortion: si ha quando si utilizzano informazioni, foto o video compromettenti minacciando di pubblicarle o comunicarle al fine di ottenere favori sessuali o semplicemente denaro. Si tratta di una vera e propria sesso-estorsione.
  • sexting: consiste nell’invio di messaggi, foto, video a sfondo sessuale in chat o in un social network, a volte il sexting ha come conseguenza la micro prostituzione laddove si compiono le attività descritte in cambio di denaro, ricariche telefoniche o altri regali.
  • grooming: si tratta di una tecnica particolare messa in atto da adulti che, mediante lusinghe carpiscono la fiducia dei minori per mettere in atto delitti di sfruttamento sessuale o di violenza. Il termine “grooming” deriva dall’inglese “to groom” significa curare. “Grooming”, in senso letterale, rappresenta il gesto di “accarezzare il pelo” degli animali. Da qui il “child grooming” ovvero l’insieme di comportamenti volontariamente intrapresi da un adulto per suscitare la simpatia, carpire la fiducia e stabilire un rapporto emozionale con un minore, in modo da abbassarne le difese per poi realizzare un’attività di tipo sessuale o di sfruttamento. Nel nostro ordinamento il reato di “grooming” è stato introdotto con la legge 172 del primo ottobre 2012. L’articolo 609-undecies c.p. (adescamento del minore in rete) punisce “qualsiasi atto volto a carpire la fiducia del minore attraverso artifici, lusinghe o minacce posti in essere anche mediante l’utilizzo della rete internet o di altre reti o mezzi di comunicazione” (si punisce anche il solo “tentativo”). Gli strumenti utilizzati sono diversi e moderni: i social network in primis, WhatsApp e poi SMS, MMS, le chat room, i programmi di messaggistica istantanea, forum, i giochi online, e, più in generale gli spazi in cui, attraverso i profili compilati dagli utenti, sia  possibile ottenere informazioni quali l’età, il sesso o altro in relazione alla vittima scelta. Dall’indagine svolta da Save The Children è emerso che le ragazze condividono maggiormente rispetto ai ragazzi foto o video personali sui profili e fatto grave è che non si rendono conto della pericolosità di inviare e/o ricevere messaggi con riferimenti sessuali, lo ritengono un comportamento diffuso tra gli amici e pertanto privo di pericolosità. Inoltre, è emerso che molte ragazze si sono iscritte in modo autonomo su Instagram o WhatsApp, all’insaputa dei genitori ed alcune falsificando l’età ove necessario.

Cyberbullismo

Bullismo e cyberbullismo tendono spesso a colpire gli stessi ragazzi: tra quanti hanno riportato di aver subìto ripetutamente azioni offensive attraverso i nuovi canali comunicativi una o più volte al mese, ben l’88% ha subìto altrettante vessazioni anche in altri contesti del vivere quotidiano. Spesso gli atti di sopraffazione che avvengono nella realtà vengono video-ripresi ed inseriti in rete amplificando così le conseguenze psicologiche a danno delle vittime, oppure i commenti negativi, gli insulti, le discriminazioni vengono ripetute anche sui social e nelle chat. Vi è inoltre un rischio maggiore per i più giovani rispetto agli adolescenti, circa il 7% dei bambini tra 11 e 13 anni è risultato vittima di prepotenze tramite cellulare o Internet una o più volte al mese, mentre la quota scende al 5,2% tra i ragazzi da 14 a 17 anni. Non ci addentriamo nella disamina della legge 29 maggio 2017, n. 71, recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo”, osserviamo soltanto che il legislatore, ha preferito porre l’attenzione sull’individuazione di strumenti preventivi di carattere educativo.

Apprezzabile l’iniziativa di affrontare il cyberbullismo in un’ottica di prevenzione, un ruolo da protagonista in questo senso è riservato alla scuola in quanto è prevista l’introduzione della figura del referente per il cyberbullismo in ogni istituto scolastico con il compito di avviare corsi di formazione per gli insegnanti. Un aiuto per le vittime è dato dalla applicazione “You Pol” pensata dalla Polizia di Stato per contrastare il fenomeno del bullismo e dello spaccio di stupefacenti soprattutto tra i più giovani. Questa applicazione permette all’utente di interagire con la Polizia di Stato inviando segnalazioni (immagini o testo)  relative  a episodi di bullismo e  di  spaccio  di sostanze stupefacenti. Immagini e testo vengono trasmessi all’ufficio di Polizia e sono geolocalizzate consentendo di conoscere in tempo reale il luogo degli eventi: è possibile anche l’invio e la trasmissione in un momento successivo con l’inserimento dell’indirizzo del luogo in cui si è verificato l’evento.

Consigli pratici per evitare i rischi dei social network

    Poiché in ambito di sicurezza informatica, l’anello debole della catena è sempre l’uomo a tutela della propria persona e dei minori si consiglia di:

  • non pubblicare foto altrui senza il consenso dell’interessato o dei genitori in caso si vogliano pubblicare foto di minori;
  • non pubblicare dati personali quali: numeri di telefono, indirizzi di residenza o foto che potrebbero adattarsi ed essere utilizzate per un documento di identità;
  • cambiare spesso la password (che deve avere caratteristiche precise – n. 8 caratteri alfanumerici, caratteri speciali, lettera maiuscola) e non utilizzare la stessa password per diversi account;
  • modificare le impostazioni privacy dei social e renderle più restrittive (controllare chi ci può contattare, chi può leggere quello che scriviamo, chi può condividere post sul nostro diario chi può condividere i nostri post), soprattutto se, benché sconsigliabile, si intende accettare l’amicizia di persone non conosciute realmente;
  • non accedere ai profili social, non effettuare acquisti  online  o  operazioni bancarie utilizzando Wi-Fi pubblici e aperti;
  • se si accede al proprio profilo social o all’account della nostra banca, da un pc pubblico od utilizzato da altri non salvare mai la password ed effettuare sempre il logout;
  • attivare il tutti gli strumenti messi a disposizione per effettuare il parental control (ad esempio: Safe Search di Google Chrome, Safety Family di Microsoft e software appositamente creati) al fine di controllare le attività al cellulare o al computer dei minori.

Dipendenza da Internet

Proprio in seguito alla diffusione dei nuovi mezzi di comunicazione e di Internet in genere, si sta assistendo al diffondersi di fenomeni psicopatologici collegati ad un uso eccessivo o inadeguato della rete che si manifesta con una sintomatologia simile a quella che si osserva in soggetti dipendenti da sostanze psicoattive. Un vero e proprio disturbo patologico, causato dall’abuso nell’utilizzo di Internet.

I principali sintomi che caratterizzano l’I.A.D. sono generici e possono essere riscontrati in tutte le Dipendenze da Internet:

  1. bisogno di trascorrere un tempo sempre maggiore navigando in rete per sentirsi soddisfatti;
  2. accedere alla rete per periodi più lunghi di quelli pianificati;
  3. incapacità di percepire e valutare i rischi derivata da un uso incontrollato di Internet;
  4. impossibilità di interrompere volontariamente o controllare l’uso di Internet, anche sul lavoro;
  5. agitazione psicomotoria, ansia, depressione, pensieri ossessivi su cosa accade on- line dopo la sospensione o la diminuzione dell’uso della rete, sintomi tipici da astinenza;
  6. mentire a familiari o terapeuti riguardo l’uso di Internet;
  7. continuare a utilizzare Internet nonostante la consapevolezza di problemi fisici, sociali, lavorativi o psicologici recati dalla rete;
  8. a livello fisico (emicrania, stress oculare, iper-sudorazione, tachicardia, tensioni, crampi  e/o  dolori  muscolari,  a  causa  delle  numerose  ore  passate  davanti  al computer, forte stanchezza);
  9. associazione ad altre tipologie di dipendenza connotate dall’utilizzo disfunzionale del web.
  10. La caratteristica costante che fa da sfondo ad ogni dipendenza da Internet è la capacità della rete di rispondere (o illudere di rispondere) a molti bisogni umani, consentendo di sperimentare dei vissuti importanti per la costruzione del sé e di vivere delle emozioni sentendosi, al contempo, protetti.
  11. Il rovescio della medaglia è che i dialoghi in questi luoghi virtuali possono danneggiare psicologicamente soggetti già fragili, basti pensare al  fenomeno degli haters, l’aggressione verbale è più facile davanti ad una tastiera, ma con effetti potenzialmente più pericolosi perché amplificati; inoltre, non trovandosi fisicamente il l’interlocutore davanti, gli haters non si possono frenare, come potrebbe avvenire nella realtà, nel caso in cui si rendano conto che l’interlocutore si è sentito offeso o umiliato.
  12. Nel mondo virtuale molte barriere sono abbattute si può sperimentare la propria identità in tutte le sue sfumature, cambiando l’età, la professione e perfino il sesso di appartenenza, ascoltando le reazioni degli altri e maturando delle convinzioni, attraverso il confronto con altre personalità più o meno reali.
  13. Non bisogna sottovalutare poi il fatto che nei social network i numeri dei “like” ai post o foto pubblicati ed il numero di amici o dei “followers” è per molti il segno del successo sociale. Si tende sempre maggiormente a curare la propria identità virtuale rispetto a quella reale.
  14. Per i più giovani in età di sviluppo e per alcuni soggetti predisposti, il rischio è:
    • che l’abuso della rete per comunicare crei confusione nella distinzione tra reale e virtuale (soprattutto nel senso di sé);
    • che non sia più facile comprendere cosa fa parte di sé realmente e cosa è possibile sperimentare solo virtualmente, poiché ciò che è concesso in rete non ha le stesse conseguenze che si produrrebbero nella realtà.
  15. In considerazione di ciò, soprattutto i bambini e i giovani dovrebbero limitare il tempo trascorso su Internet ed integrare delle esperienze di comunicazione reale, al fine di evitare di sviluppare delle abilità emotive e sociali prevalentemente attraverso questo strumento tecnologico che, in questo caso, risulterebbero estremamente limitate o deformate rispetto a quelle poi richieste per adattarsi nella vita reale.

Conclusione

Come approcciarsi quindi ad Internet, ai social network e qualunque piattaforma di condivisione? Semplicemente mantenendo comportamenti similari a quelli che useremmo nella realtà perché similari sono le regole ed i diritti applicabili.

Alla base di questo discorso è importante comprendere come sostanzialmente esista un parallelismo tra le due sfere, offline e online, come adottiamo tutele ed accorgimenti perproteggere  il  nostro  mondo  reale  allo  stesso  modo  dobbiamo  adottare  tutele  ed accorgimenti per proteggere la realtà virtuale.

Glossario GDPR

Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni, che in alcuni casi si vanno a sovrapporre a quelle esistenti nel nostro Codice Privacy. Per adeguarsi nel modo corretto è tuttavia necessario comprendere i concetti basilari della normativa

Ecco un glossario delle voci più importanti della legge europea.

Archivio

Raccolta   di    dati    personali   organizzati   in    un    insieme   ordinato   e   indicizzato (indipendentemente dal fatto che sia elettronico o manuale).

Sono oggetto della normativa tutti i dati personali presenti in ARCHIVI ORGANIZZATI e INDICIZZATI, sia automatizzati che manuali. L’ordine è quindi l’elemento essenziale; il dato non ordinato (es. un appunto sulla scrivania) non viene preso in esame dalla normativa

Autorità di controllo

Una o più autorità pubbliche indipendenti che hanno il compito di assicurarsi il rispetto delle nuove norme sulla privacy, in ogni paese membro.

In Italia l’autorità di controllo pubblica è il Garante per la protezione dei dati personali (Garante Privacy); in Francia è il CNIL (Commission nationale de l’informatique et des libertés); in Spagna è l’AEPD (Agonica Spatola de Protección de Datos).

Autorità di controllo capofila

Nel caso di trattamento transfrontaliero, è l’autorità di controllo dove ha sede il titolare o il responsabile del trattamento, alla quale viene trasferita la competenza sul trattamento stesso rispetto ad altre autorità di controllo (definite “autorità interessate”). Seguendo un “principio di sportello unico”, quindi, per ogni trattamento transfrontaliero, il controllo viene svolto sotto la direzione di una sola autorità capofila. In queste ipotesi, l’attribuzione della competenza va quindi valutata, perché ci possono essere diversi casi, come ad esempio quello in cui una multinazionale ha la sede dell’amministrazione centrale in un paese, e in un altro paese ha uno stabilimento che assume decisioni autonome su finalità e mezzi di uno specifico trattamento.

Ad esempio

La sede centrale di una banca si trova a Francoforte, e tutti i trattamenti connessi all’attività bancaria sono gestiti da tale sede; tuttavia, l’ufficio assicurazioni della banca ha sede a Vienna. Se lo stabilimento situato a Vienna dispone dell’autorità per decidere su tutti i trattamenti connessi ad attività assicurative e ordinare l’esecuzione delle relative decisioni sull’intero territorio dell’UE, allora (come previsto dall’articolo 4, punto 16, del regolamento) sarà l’autorità di controllo austriaca a fungere da autorità capofila rispetto al trattamento transfrontaliero di dati personali per finalità assicurative, mentre le autorità tedesche (in questo caso, l’autorità di controllo del Land Assia) avranno il compito di monitorare il trattamento di dati personali per finalità bancarie ovunque si collochi la clientela.

Autorità di controllo interessata

Nel caso di trattamento transfrontaliero, è l’autorità di controllo (diversa dall’autorità capofila) che può avere una delle seguenti caratteristiche:

  • è l’autorità di controllo dello Stato membro dove è stabilito il titolare o il responsabile del trattamento;
  • è l’autorità di controllo dello Stato membro dove gli interessati residenti sono effettivamente o potenzialmente influenzati in modo sostanziale dal trattamento;
  • è l’autorità di controllo di uno Stato membro a cui è stato proposto un reclamo sul trattamento personale.

Tale autorità interviene nei confronti dell’autorità capofila al fine di tutelare gli interessati del proprio territorio.

Ad esempio

Una società di marketing il cui stabilimento principale è situato a Parigi, lancia un prodotto per persone che risiedono in Portogallo. In questo caso, poiché il trattamento produce effetti esclusivamente locali (ossia gli interessati sono solo nel Portogallo) l’autorità di controllo francese (capofila) e l’autorità di controllo portoghese (interessata) possono decidere di come accordo chi debba occuparsi del caso, e quindi anche l’autorità portoghese potrebbe aver diritto di chiedere al Titolare del trattamento di fornire chiarimenti rispetto agli accordi societari in essere.

Comitato

Il   Comitato   europeo   per   la   protezione   dei   dati   è   un   organismo   dell’UE   incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. È composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante europeo della protezione dei dati o dai loro rappresentanti. Può fare da consulente alla Commissione europea in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione.

Per capire meglio

Possiamo definire questo organismo l’erede del “Gruppo Ex Art. 29”, istituito appunto dall’art. 29 della Direttiva 95/46, la cui attività, consultiva e indipendente, è stata principalmente quella di assicurarsi che le autorità di controllo nazionali seguissero interpretazioni comuni della normativa europea in materia di privacy.

Consenso dell’interessato

“Atto positivo inequivocabile ed esplicito” che manifesta la volontà dell’interessato a dare il proprio assenso al trattamento dei suoi dati personali, dopo che è stato preventivamente informato circa le finalità, le modalità e qualsiasi altro aspetto tramite l’informativa. Il consenso deve essere fornito per ogni finalità di trattamento, altrimenti non è valido.

Per capire meglio

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche richieste dal GDPR (libero, specifico, informato e inequivocabile). In caso contrario, il Garante si raccomanda di adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).

Dati Biometrici

Categorie particolari di dati personali, ottenuti da tecnologie in grado di rilevare in modo automatizzato una o più caratteristiche biologiche e/o comportamentali (biometria) di una persona fisica. Tra  le  caratteristiche fisiologiche: l’altezza, l’immagine  facciale,  le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina, la forma dell’orecchio, la vascolarizzazione. Tra le caratteristiche comportamentali: l’impronta vocale, la scrittura grafica, la firma, i dati dattiloscopici, lo stile di battitura sulla tastiera, i movimenti del corpo.

Per capire meglio

Elemento fondamentale è la presenza di un processo automatizzato di analisi biometrica, tramite una tecnologia informatica. Ad esempio, le fotografie saranno considerati dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione di una persona fisica.

Dati genetici

Tutti quei dati personali relativi alle caratteristiche genetiche (ereditarie o acquisite) che risultino dall’analisi di un campione biologico della persona fisica in questione.

Ad esempio

Analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), a qualsiasi altro elemento che consenta di ottenere informazioni equivalenti.

Dati Personali

Un dato personale è qualsiasi informazione che identifica (o rende identificabile) direttamente o indirettamente una persona fisica.

Ad esempio

Qualsiasi dato che riconduce ad una persona fisica è un dato personale: nome e cognome (quindi anche la email aziendale se composta da nome.cognome@azienda.it), cellulare, foto, ecc.

Dati relativi a condanne penali e giudiziari

Dati personali che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. Il Regolamento UE 2016/679, all’articolo 10, ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Ad esempio

I provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione.

Dati personali “particolari” (ex categoria dati sensibili)

Sono dati personali per i quali sono richieste particolari cautele. Possono rilevare l’identità della persona attraverso elementi biometrici o genetici, oppure attraverso la sua posizione (dati geolocalizzati) oppure sono legati ad altri aspetti quali: l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati relativi alla salute

Tutti i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Ad esempio

Le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati.

Destinatario

Qualsiasi soggetto  (pubblico o privato) che riceve comunicazione di dati personali. Vige l’obbligo di comunicare all’interessato l’eventuale comunicazione a Destinatari, a meno che ciò non rappresenti uno sforzo spropositato (Considerando 61 e 62) oppure il destinatario sia un’autorità pubblica.

Per capire meglio

Il regolamento europeo prevede un’eccezione in merito ossia:

le autorità pubbliche, a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell’esercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari, qualora ricevano dati personali che sono necessari per svolgere una specifica indagine nell’interesse generale, conformemente al diritto dell’Unione o degli Stati membri.(Considerando nr 31)

Diritto alla portabilità

L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti. Il GDPR promuove lo sviluppo di formati interoperabili (ad esempio strumenti per il download dei dati e automatismi di trasferimento online) da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Vieta ai titolari di creare ostacoli alla trasmissione dei dati.

Per capire meglio

In realtà si tratta di un doppio diritto in quanto sancisce:

il diritto di ricevere dati personali (in un formato strutturato, di uso comune e leggibile meccanicamente) e di memorizzarli su un dispositivo per un successivo utilizzo personale, senza necessariamente doverli trasferire a un diverso titolare (ad esempio un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti o ascoltati, detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale)”.

“ il diritto a trasmettere i propri dati personali da un titolare del trattamento a un altro, senza impedimenti”. Si tratta di un diritto che facilita la circolazione, la copia o il trasferimento di dati personali da un ambiente informatico all’altro.

Diritto alla rettifica

L’interessato ha la possibilità di richiedere, in qualsiasi momento, la modifica dei propri dati personali qualora questi risultino inesatti.

Dati alla cancellazione (c.d. all’oblio)

L’interessato ha la possibilità di richiedere la totale cancellazione dei propri dati personali presso un determinato titolare del trattamento. Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento. In virtù dell’articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione. In ogni caso è il titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta.

Per capire meglio

Ricevuta la richiesta, il titolare ha l’obbligo di cancellare i dati personali, senza ingiustificato ritardo, qualora la richiesta rientri nei casi previsti dall’articolo stesso (ad esempio se i dati sono trattati illecitamente se è venuta meno la finalità per cui sono stati trattati). Se poi tali dati sono stati resi pubblici dal titolare stesso, questi ha l’obbligo di informare tutti i soggetti che stanno trattando i dati personali, della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali, adottando misure ragionevoli in base ai costi e alla tecnologia disponibile.

Diritto di accesso

L’interessato ha il diritto di richiedere e ottenere, al titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, con una descrizione esatta delle modalità e finalità. L’accesso al dato può avvenire da remoto oppure chiedere una copia.

Per capire meglio

I titolari del trattamento possono creare un sistema per consentire all’interessato l’accesso da remoto (protetto con utenza e password) a un sistema sicuro che gli permetta di verificare direttamente i propri dati. Oppure, il titolare deve fornire queste informazioni il prima possibile (al massimo entro un mese), a titolo gratuito e in forma scritta.

Diritto di opposizione

L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.

Per capire meglio

In caso di attività di marketing diretto, questo diritto può essere esercitato senza addurre motivazioni. Nel caso di operazioni che si svolgono prevalentemente online o comunque elettroniche (es. invio newsletter o sms promozionali) sarebbe opportuno che il titolare predisponesse a monte un meccanismo automatizzato che consenta all’interessato di esercitare l’opt-out.

Gruppo imprenditoriale

Gruppo di imprese costituito da un’impresa controllante e dalle sue controllate, là dove l’impresa controllante dovrebbe essere quella che può esercitare un’influenza dominante sulle controllate, in forza, ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare le norme in materia di protezione dei dati personali. Un’impresa che controlla quindi il trattamento dei dati personali in imprese a essa collegate viene detta gruppo imprenditoriale insieme alle dette imprese collegate.

Impresa

L’impresa  è  un’attività  economica  esercitata  da  una  persona  fisica  o  giuridica, professionalmente organizzata al fine della produzione o dello scambio di beni o servizi.  

Per micro, piccola e media impresa si considera a ogni entità, a prescindere dalla forma giuridica rivestita, che eserciti un’attività economica, in particolare sono considerate tali le entità che esercitano un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che esercitino un’attività economica.

Informativa

La comunicazione che fornisce tutte le informazioni utili che l’interessato deve sapere nel momento in cui decide di dare il suo consenso al trattamento dei dati personali.

Per capire meglio

Deve avere forma concisa, trasparente, intelligibile per l´interessato e facilmente accessibile; per questo, occorre utilizzare un linguaggio chiaro e semplice. Il regolamento supporta il concetto di informativa “stratificata” e ammette anche l’utilizzo di icone per presentare i contenuti dell´informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa; queste icone dovranno essere identiche in tutta l´Ue (si pensi a quelle già in vigore per la videosorveglianza) e saranno definite prossimamente dalla Commissione europea.

Interessato

Persona fisica a cui si riferiscono i dati personali oggetto del trattamento, che può essere identificata o identificabile (cioè può essere identificata anche in modo indiretto) attraverso il trattamento stesso.

Per capire meglio

L’interessato diventa identificabile tramite informazioni oppure caratteristiche rilevabili oppure l’incrocio di più dati personali. L’interessato deve essere necessariamente una persona fisica, pertanto le imprese e gli enti non possono essere considerati interessati al trattamento.

Limitazione di trattamento

Sospensione temporanea (che può trasformarsi in permanente) del trattamento dei dati in corso, per i quali è consentita solo la conservazione. Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

Per capire meglio

Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere inaccessibili i dati personali selezionati agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web.

Meccanismo di coerenza

Viene adottato quando un’autorità di controllo intende prendere delle misure, con riguardo ad attività di trattamento, che abbiano effetti giuridici su un numero significativo di interessati in vari Stati membri oppure può essere messo in atto quando un’autorità di controllo interessata o la Commissione chieda che tale questione sia trattata nell’ambito del meccanismo di coerenza, proprio per garantire un trattamento uniforme nei vari Stati.

Per capire meglio

Il meccanismo di coerenza rientra nella parte relativa alla cooperazione tra le autorità di controllo degli stati membri che, al fine di contribuire all’applicazione coerente del Regolamento in tutta l’Unione, cooperano tra loro e, nel caso, con la Commissione Europea mediante appunto il meccanismo di coerenza. Può essere utilizzato anche per favorire un’applicazione coerente delle sanzioni amministrative pecuniarie. Qualora ci siano divergenze, alla fine, il Comitato emette una decisione vincolante a cui tutti gli stati membri dovranno uniformarsi

Norme vincolanti d’impresa

Dette anche BCR (Binding Corporate Rules) sono uno strumento che ha il fine di consentire il

trasferimento di dati personali verso Paesi terzi extra UE tra società facenti parti dello stesso gruppo d’impresa. In pratica consistono in un documento contenente una serie di clausole

(rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

Per capire meglio

Le BCR devono essere esaminate e approvate dall’autorità di controllo nazionale o europea, che deve verificare la sussistenza dei contenuti minimi espressamente previsti dal regolamento.

Obiezione pertinente e motivata

È un concetto riguardante il trattamento transfrontaliero e riguarda i rapporti di cooperazione tra autorità di controllo capofila e autorità interessate. Quando l’autorità capofila trasmette alle  autorità  interessate  un  progetto  di  decisione,  queste  possono opporre  allo  stesso un’obiezione  pertinente  (quindi  che  riguardi  il  progetto  comunicato)  e  motivata  (che contenga le motivazioni dell’obiezione sollevata). Nel caso in cui la capofila non tenga conto di questa obiezione o la ritenga non pertinente e non motivata dà avvio al cosiddetto meccanismo di  coerenza. Se, invece, la capofila tiene conto dell’obiezione allora rivede il progetto di decisione e lo rimanda nuovamente a tutte le autorità interessate.

Organizzazione internazionale

Un’organizzazione  e  gli  organismi di diritto   internazionale  pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Profilazione

Raccolta di informazioni su un individuo al fine di effettuarne una valutazione automatizzata, attraverso l’analisi delle sue caratteristiche comportamentali e l’inserimento dello stesso in categorie o gruppi. Nel profilare le persone, si va infatti ad integrare il dato personale generico (nome, cognome, indirizzo, mail, ecc) con informazioni aggiuntive, spesso dedotte dalle attività svolte dalla persona stessa tramite un sistema. La profilazione si configura come un trattamento aggiuntivo automatizzato che analizza l persona per effettuarne valutazioni e/o previsioni su aspetti che riguardano il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.

Ad esempio

Alcune applicazioni mobile forniscono servizi di localizzazione che consentono all’utente di trovare ristoranti nelle vicinanze, ad esempio che offrono sconti. Tuttavia, i dati raccolti in questa fase vengono anche utilizzati per costruire un profilo sull’interessato più preciso e per scopi di marketing, come identificare le sue preferenze alimentari o lo stile di vita. L’interessato si aspetta così che i suoi dati vengano utilizzati per trovare ristoranti, ma in realtà riceve pubblicità per la “consegna della pizza a casa” in quanto l’app ha rilevato il suo comportamento (es. “arriva a casa tardi”) e identifica come utente potenzialmente interessato a questo servizio. Questo ulteriore utilizzo dei dati potrebbe quindi non essere compatibile con gli scopi iniziali per i quali i dati dell’utente sono stati raccolti, e per questo richiede il consenso esplicito dell’interessato.

Pseudonimizzazione

Detta anche cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica per non permetterne l’identificazione diretta, se non utilizzando informazioni aggiuntive. I dati personali sono quindi conservati in una modalità che impedisce l’identificazione di una persona fisica senza l’utilizzo di informazioni aggiuntive.

Per capire meglio

Può essere di due tipi: simmetrica o asimmetrica. Simmetrica: quando si utilizza una sola chiave per mascherare i dati. Asimmetrica: quando si utilizzano due chiavi diverse: una per cifrare il dato, l’altra per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

Rappresentante

Quando il titolare o il responsabile del trattamento non è stabilito nell’Unione ma tratta dati personali di persone che risiedono in uno stato membro UE, questi devono nominare per iscritto una persona fisica o giuridica, stabilita nell’Unione, che funga da interlocutore con le autorità di controllo e con gli interessati e lo rappresenti per tutti gli obblighi derivanti dal regolamento europeo.

Responsabile del trattamento

Qualsiasi soggetto che tratta i dati personali del Titolare del trattamento in suo nome e conto.

Ad esempio

La società che sviluppa un software in cloud per gestire l’invio di email, dovrà essere nominata quale Responsabile del trattamento per i dati gestiti per conto del Titolare, in quanto questi memorizza i dati personali raccolti sul sistema terzo, ma ne decide pienamente le modalità di gestione.

Responsabile della protezione dei dati (DPO)

L’RPD o DPO (Data Protection Officer) è una figura (obbligatoriamente prevista solo in alcuni casi) che svolge il ruolo di supervisionare i processi relativi al trattamento dei dati personali. Può essere una persona fisica oppure un team di persone,  interne o esterne.  Coopera  con l’autorità, per questo motivo, quando viene nominato, il suo nominativo va comunicato al Garante.

Sono tenute alla nomina di un DPO:

Nel settore pubblico: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, ecc. Nel settore privato: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, ecc.

Servizio della società dell’informazione

Qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. S’intende:

  1. «a distanza»: un servizio fornito senza la presenza simultanea delle parti;
  2. «per via elettronica»: un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici;
  3. «a richiesta individuale di un destinatario di servizi»: un servizio fornito mediante trasmissione di dati su richiesta individuale.

Stabilimento principale

Lo stabilimento principale di un titolare del trattamento nell’Unione corrisponde al luogo in cui ha sede la sua amministrazione centrale nell’Unione; se le decisioni sulle finalità e i mezzi del trattamento di dati personali sono adottate in un altro stabilimento del titolare del trattamento nell’Unione, tale altro stabilimento viene lo stabilimento principale.

Terzo

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia

l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Titolare del trattamento

È il proprietario dei dati personali, ed è colui che ne definisce le modalità di trattamento, decidendo tutte le misure tecniche e organizzative.

Per capire meglio

Il titolare è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) e non una delle singole persone fisiche che vi operano (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

Trattamento

Si definisce come trattamento qualunque operazione svolta sui dati personali con o senza l’ausilio di strumenti elettronici, che riguarda la raccolta dei dati, la registrazione, organizzazione, la conservazione, la consultazione, l’elaborazione, il blocco, la modifica, l’utilizzo, l’interconnessione, la comunicazione, la diffusione, la cancellazione, la distruzione, la selezione, l’estrazione, il raffronto dei dati personali degli interessati.

Trattamento transfrontaliero

Per trattamento transfrontaliero si intende

  • trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione oppure
  • trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Violazione dei dati personali

Detta anche data breach, è una violazione dei dati personali presenti in un determinato database, perché copiati, trasmessi, consultati o utilizzati da soggetti non autorizzati a farlo. Si tratta di un evento che può comportare diversi livelli di rischio per gli interessati, in base alla tipologia di dato oggetto della violazione e alle libertà personali che possono essere compromesse. In base alla gravità dell’evento, può essere necessario fare o meno una comunicazione al Garante.

Ad esempio

  1. Una società di hosting web individua un errore nel codice che controlla l’accesso da parte degli utenti. L’anomalia comporta che qualunque utente possa accedere ai dettagli dell’account di qualsiasi altro utente;
  2. Una e-mail di marketing diretto viene inviata ai destinatari nel campo “a:” o “cc:”, consentendo così a ciascun destinatario di visualizzare l’indirizzo di posta elettronica di altri destinatari;
  3. Durante un cyber-attacco al sito web vengono rubati dati personali.

S

Le regole da rispettare per installare sistemi di videosorveglianza

Videosorveglianza: siamo sicuri di avere ben chiaro quali sono le regole, le autorizzazioni, come deve essere fatta l’informativa? Un piccolo promemoria per verificare che tutto sia in linea.

Quali sono le regole per l’installazione di sistema di videosorveglianza

L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.

E’ bene ricordare inoltre che il Comitato europeo per la protezione dei dati (EDPB) ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.

Occorre un’autorizzazione del Garante per installare le telecamere?

No. Non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi. In base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento), spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

Le persone che transitano nelle aree videosorvegliate, devono essere informate della presenza delle telecamere?

Sì. Gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato

In che modo si fornisce l’informativa agli interessati?

L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB, che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Quali sono i tempi dell’eventuale conservazione delle immagini registrate?

Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”).

In via generale, gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni. Tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione. Ad esempio, normalmente il titolare di un piccolo esercizio commerciale si accorgerebbe di eventuali atti vandalici il giorno stesso in cui si verificassero. Un periodo di conservazione di 24 ore è quindi sufficiente. La chiusura nei fine settimana o in periodi festivi più lunghi potrebbe tuttavia giustificare un periodo di conservazione più prolungato.

E’ possibile prolungare i tempi di conservazione delle immagini?

In alcuni casi può essere necessario prolungare i tempi di conservazione delle immagini inizialmente fissati dal titolare o previsti dalla legge: ad esempio, nel caso in cui tale prolungamento si renda necessario a dare seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.

Quali sistemi di videosorveglianza necessitano di valutazione.

La valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento) (per approfondimenti si vedano le “Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per  stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679” – WP248rev.01 del 4 ottobre 2017). Può essere il caso, ad esempio, dei sistemi integrati – sia pubblici che privati – che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

Il datore di lavoro pubblico o privato, può installare un sistema di videosorveglianza nelle sedi di lavoro?

Sì, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 della l. 300/1970).

L’installazione di sistemi di videosorveglianza può essere effettuata da persone fisiche per fini esclusivamente personali, atti a monitorare la proprietà privata?

Sì. Nel caso di videosorveglianza privata, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di propria esclusiva pertinenza, escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, parti comuni delle autorimesse) ovvero a zone di pertinenza di soggetti terzi. È vietato altresì riprendere aree pubbliche o di pubblico passaggio.”

Sul tema si raccomanda la consultazione della scheda informativa che illustra le principali indicazioni per le persone fisiche che intendono installare, in ambito personale o domestico, sistemi di videosorveglianza a tutela della sicurezza di persone o beni.

È necessario in primo luogo che l’istallazione avvenga previa assemblea condominiale, con il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.). È indispensabile inoltre che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato. Valgono al riguardo le osservazioni di cui alla FAQ n. 5. In ambito condominiale è comunque congruo ipotizzare un termine di conservazione delle immagini che non oltrepassi i 7 giorni.

Quali regole per installare un sistema di videosorveglianza condominiale?
È necessario in primo luogo che l’istallazione avvenga previa assemblea condominiale, con il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.). È indispensabile inoltre che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato. Valgono al riguardo le osservazioni di cui alla FAQ n. 5. In ambito condominiale è comunque congruo ipotizzare un termine di conservazione delle immagini che non oltrepassi i 7 giorni.

Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sì. Il trattamento dei dati personali mediante l’uso di telecamere installate nella propria abitazione per finalità esclusivamente personali di controllo e sicurezza, rientra tra quelli esclusi dall’ambito di applicazione del Regolamento. In questi casi, i dipendenti o collaboratori eventualmente presenti (babysitter, colf, ecc.) devono essere comunque informati dal datore di lavoro. Sarà comunque necessario evitare il monitoraggio di ambienti che ledano la dignità della persona (come bagni), proteggere adeguatamente i dati acquisiti (o acquisibili) tramite le smart cam con idonee misure di sicurezza, in particolare quando le telecamere sono connesse a Internet, e non diffondere i dati raccolti.

I Comuni posso utilizzare telecamere per controllare discariche di sostanze pericolose ed “eco piazzole” per monitorare le modalità del loro uso, la tipologia dei rifiuti scaricati e l’orario di deposito?

Sì, ma solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati. In tal caso, l’informativa agli interessati può essere fornita mediante affissione di cartelli informativi nei punti e nelle aree in cui si svolge la videosorveglianza, che contengano anche indicazioni su come e dove reperire un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento (cfr. precedente FAQ n. 4). Non è invece previsto o consentito che tale monitoraggio sia posto in essere da soggetti privati.

Si può utilizzare un sistema di videosorveglianza per trattare categorie particolari di dati?

Se le riprese video sono trattate per ricavare categorie particolari di dati, il trattamento è consentito soltanto se risulta applicabile una delle eccezioni di cui all’art. 9 del Regolamento (ad esempio, un ospedale che installa una videocamera per monitorare le condizioni di salute di un paziente effettua un trattamento di categorie particolari di dati personali).

In via generale, ogniqualvolta si installa un sistema di videosorveglianza si dovrebbe prestare particolare attenzione al principio di minimizzazione dei dati. Pertanto, il titolare del trattamento deve in ogni caso sempre cercare di ridurre al minimo il rischio di acquisire filmati che rivelino altri dati a carattere sensibile, indipendentemente dalla finalità.

Il trattamento di categorie particolari di dati richiede una vigilanza rafforzata e continua su taluni obblighi, ad esempio un elevato livello di sicurezza e una valutazione d’impatto sulla protezione dei dati, ove necessario (cfr. FAQ n. 7).

I sistemi elettronici di rilevamento delle infrazioni inerenti violazione del codice della strada, vanno segnalate da cartello/informativa?

Sì. I cartelli che segnalano tali sistemi sono obbligatori, anche in base alla disciplina di settore. L’utilizzo di tali sistemi è lecito se sono raccolti solo dati pertinenti e non eccedenti per il perseguimento delle finalità istituzionali del titolare, delimitando a tal fine la dislocazione e l’angolo visuale delle riprese. La ripresa del veicolo non deve comprendere (o deve mascherare), per quanto possibile, la parte del video o della fotografia riguardante soggetti non coinvolti nell’accertamento amministrativo (es. eventuali pedoni o altri utenti della strada). Le fotografie o i video che attestano l’infrazione non devono essere inviati al domicilio dell’intestatario del veicolo, ma l’interessato, ossia la persona eventualmente ritratta nelle immagini, può richiederne copia oppure esercitare il diritto di accesso ai propri dati (fermo restando che dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo).

Ci sono casi di videosorveglianza in cui non si applica la normativa in materia di protezione dei dati?

Sì. La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso delle riprese ad alta quota (effettuate, ad esempio, mediante l’uso di droni). Non si applica, inoltre, nel caso di fotocamere false o spente perché non c’è nessun trattamento di dati personali (fermo restando che, nel contesto lavorativo, trovano comunque applicazione le garanzie previste dall’art. 4 della l. 300/1970) o nei casi di videocamere integrate in un’automobile per fornire assistenza al parcheggio (se la videocamera è costruita o regolata in modo tale da non raccogliere alcuna informazione relativa a una persona fisica, ad esempio targhe o informazioni che potrebbero identificare i passanti).

Come esercitare i propri diritti in materia di privacy.

Per esercitare i tuoi diritti, devi contattare direttamente l’organizzazione che detiene i tuoi dati. Ecco quattro tecniche per trovare il punto di contatto che gestirà la tua richiesta di cancellazione, accesso, rettifica, opposizione, ecc.

Caso pratico:

Il tuo nome appare sul sito X. Vuoi che il tuo nome venga rimosso da questo sito.

  1. Trovate i recapiti nella sezione del sito web dell’organizzazione interessata 

Tutte le organizzazioni che utilizzano i tuoi dati personali, sono tenute a fornirti informazioni sui tuoi diritti GDPR. Tali informazioni sono il più delle volte materializzate dalla presenza – in fondo alla home page del sito – di un link che porta ad una pagina intitolata: 

  • ” protezione dati “;
  • ” politica sulla riservatezza “;
  • “dati personali “;
  • “vita privata “;
  • “legge sulla protezione dei dati” o “RGPD”;

Una sezione di questa pagina è normalmente dedicata alle modalità di esercizio dei tuoi diritti, non esitate a leggerla e seguite le istruzioni fornite per una migliore elaborazione della vostra richiesta.

  • Trova i dettagli di contatto del proprio DPO, che l’organizzazione potrebbe aver pubblicato

Dal 25 maggio 2018, decine di migliaia di organizzazioni, tra cui grandi aziende, ministeri ed enti locali, si sono affidate a un Data Protection Officer (DPO) per facilitare l’esercizio dei diritti dei propri clienti/utenti.

  1. Contattare l’organizzazione tramite il metodo di contatto generico

In mancanza di una sezione dedicata all’esercizio dei tuoi diritti GDPR, contatta il servizio clienti o contatta l’organizzazione tramite il form o l’indirizzo di contatto generico. Questi dettagli di contatto si trovano generalmente in una sezione intitolata “Note legali”.

Quali sono le informazioni obbligatorie su un sito web?

  1. Le informazioni obbligatorie per i siti web di Srl, Srls, Spa sono le seguenti:
  2. Ragione sociale;
  3. Sede legale;
  4. Codice Fiscale della società e Partita IVA;
  5. Ufficio del registro delle imprese presso il quale è iscritta la società (esempio “Ufficio delle imprese di…”);
  6. Numero d’iscrizione al REA;
  7. Capitale sociale e quota versata;
  8. Se la Società per Azioni o la Società a Responsabilità Limitata è a socio unico (società uni-personale), bisogna obbligatoriamente indicarlo;
  9. Nel caso di scioglimento della società, va inserito lo stato di liquidazione;
  10. Privacy & Cookie Policy conformi alle linee guida espresse dal Garante della Privacy
  11. L’inserimento della PEC sul sito web ad oggi non è obbligatoria, ma consigliato.

Per praticità e facilità di fruizione è buona norma inserire questi dati nel footer del sito. Vi è comunque la possibilità di inserire nella home page solamente il nome della società, la sede legale e la partita IVA ed indicare le altre informazioni nella pagina dedicata ai termini e condizioni del sito web oppure a quella dedicata alle note legali o ai contatti.

L’importante è che i dati siano tutti presenti e facilmente accessibili per l’utente.

  • Se l’azienda non ha un sito o non indica alcuna coordinata, consulta il registroimprese
  • Oppure su Whois

Chi è Whois.

In Whois trovi directory di nomi di dominio che forniscono informazioni sull’identità degli editori di siti Web.  Generalmente whois mostra solo le informazioni relative all’host, ma in alcuni casi offre anche l’identità e i dati di contatto del titolare, del nome a dominio e quelli del contatto amministrativo.

SUGGERIMENTI AGGIUNTIVI

Cerca sui social media…

Un’organizzazione generalmente fa affidamento su una pagina Facebook o su un account Twitter, YouTube o LinkedIn per comunicare. In alcuni casi (es. cancellarsi da una newsletter), può essere più facile e veloce passare attraverso questi social network, per contattare il responsabile di un sito.

  • Nel motore di ricerca di Facebook, digita “nome sito”
  • In un motore di ricerca, digita “nome del social network + nome del sito”
  • Oppure, su Twitter, messaggio privato o pubblico @sitename

I social network: quali informazioni sono memorizzate e come fare per avere un elenco dettagliato.

La maggior parte dei social network ti offre di scaricare una cartella di archivio contenente le tue vecchie pubblicazioni, messaggi, documenti e informazioni di cui potresti esserti dimenticato. Perché e come utilizzare questa funzione?

Qual è il punto

Alcune piattaforme ti offrono, in pochi click e senza particolari conoscenze tecniche, di scaricare un archivio contenente in tutto o in parte i dati memorizzati su di te.  Queste informazioni possono essere utili per:

  • scoprire quali informazioni ha su di te un servizio dopo diversi anni di utilizzo;
  • vedere se il servizio online sta utilizzando dati che pensavi di aver cancellato;
  • riutilizzare le informazioni per altri usi personali.

Quale formato scegliere

Quando le piattaforme di contenuti inviano set di dati su di te, a volte ti offrono la possibilità di scegliere tra diversi formati, inclusi PDF, JSON, XML, CSV, HTML. Questi formati sono leggibili dalla maggior parte delle macchine, ma alcuni richiedono più conoscenze per essere utilizzati.

  1. Il formato HTML consente di visualizzare i dati sotto forma di una pagina Web interattiva.
  2. Il formato PDF fornisce una panoramica dei dati offerti dalla piattaforma.
  3. I formati JSON , XML e CSV richiedono la conoscenza degli strumenti di manipolazione dei dati (foglio elettronico, database, ecc.) e si rivolgono maggiormente ai professionisti.

Esercita il tuo diritto alla portabilità

Questo nuovo diritto previsto dal GDPR ti consente di ottenere una copia di tutti, o parte dei tuoi dati, in un formato interoperabile (cioè che permette l’interscambio) al fine di riutilizzarli in un altro contesto. Ad esempio, il download dei dati dalla tua agenda online, ti consentirà di riutilizzarli in un’altra agenda o in un contesto completamente diverso. Vediamo come esercitare il tuo diritto alla portabilità. 

Facebook

La procedura

  • Vai alle impostazioni del tuo account;
  • Nella colonna sinistra, clicca su Le tue informazioni su Facebook;
  • Accanto a Scarica le tue informazioni, clicca su Visualizza;
  • Per aggiungere o rimuovere categorie di dati dalla tua richiesta, clicca sulle caselle sul lato destro di Facebook;
  • Seleziona altre opzioni, tra cui:
    • il formato della tua richiesta di download;
    • la qualità di foto, video e altri file multimediali;
    • un intervallo di date specifico per le informazioni. Se non selezioni un intervallo di date, richiedi tutte le informazioni relative alle categorie selezionate;
  • Clicca su Crea il file per confermare la richiesta di download;
  • Quali dati sono a tua disposizione? 
    • Informazioni sul profilo: i tuoi legami familiari, le pagine/gruppi “mi piace” e i luoghi dalla tua registrazione;
    • contatti telefonici a cui Facebook ha avuto accesso;
    • il registro dei tuoi post, testi, commenti, Mi piace, condivisioni e messaggi pubblici dei tuoi amici;
    • le tue foto e i tuoi video;
    • i tuoi amici e amici eliminati o negati;
    • messaggi privati ​​inviati ai tuoi amici ed ex amici;
    • gli eventi a cui hai partecipato.
    • lo stato del tuo account cambia e il corrispondente indirizzo IP;
    • temi pubblicitari associati al tuo profilo;
    • applicazioni installate;
    • luoghi creati.

Instagram

La procedura

  • Connettiti dal tuo computer o vai alla sezione “opzioni” della tua applicazione mobile;
  • Clicca su “download dati” quindi inserisci il tuo indirizzo e-mail e la password del tuo account;
  • Riceverai quindi un’e-mail contenente un collegamento a un archivio da scaricare.

L’archivio non contiene solo foto e video, ma anche messaggi privati, Mi piace, commenti lasciati sotto i video, persone che segui e quelle che hai bloccato. La raccolta e l’invio di questi dati possono richiedere fino a 48 ore.

WhatsApp

La procedura

  • Vai alla tua applicazione WhatsApp;
  • Fare clic su Parametri/Impostazioni > Account > Richiedi informazioni sull’account;
  • Tocca Richiedi rapporto;
  • La richiesta inviata appare sullo schermo;

Il ritardo indicato da WhatsApp è di 3 giorni;

WhatsApp offre una pagina dedicata con informazioni aggiuntive.

Snapchat

La procedura

  • Vai al sito Web dell’app;
  • Fare clic sulla scheda “I miei dati”;
  • Quindi “invia la mia richiesta”;
  • Riceverai un’e-mail contenente il link per il download dell’archivio;

Quali dati sono a tua disposizione?

  • Cronologia degli accessi e informazioni sull’account;
  • Cronologia degli snap (ricevuti/inviati);
  • cronologia chat (ricevuta/inviata);
  • storico acquisti (es. geofiltri);
  • Cronologia del supporto di Snapchat;
  • profilo utente (coinvolgimento, pubblicità con cui hai interagito, interessi, ecc.);
  • amici (richieste inviate, utenti bloccati o cancellati, ecc.); 
  • classifica (numero di storie visualizzate, ecc.);
  • cronologia dell’account (modifiche a password, nickname, ecc.);
  • cronologia delle posizioni;
  • cronologia delle ricerche;
  • storia della condizione;
  • Abbonamenti Bitmoji

Twitter

La procedura

  1. Accedi alle impostazioni del tuo account cliccando sull’icona del profilo in alto a destra nella pagina e selezionando “impostazioni” dal menu a tendina;
  2. Clicca su “Richiedi il tuo archivio”;
  3. Una volta che il download è pronto, riceverai un’e-mail contenente un link per il download;
  4. Fai clic sul pulsante “Scarica ora” per scaricare il file .zip del tuo archivio Twitter;
  5. Decomprimi il file e clicca su index.html per visualizzare l’archivio nel browser che preferisci;

Quali dati sono a tua disposizione?

Solo i tweet sono messi a tua disposizione come utente. Una funzione comunque utile per accedere più facilmente ai tuoi primi tweet o individuare le parole che hai usato nei tuoi vecchi tweet. 

TRUCCO

Su un browser, un documento di testo o un PDF, usa la scorciatoia “Ctrl” + “F” per cercare utilizzando una parola chiave.

Linkedin

La procedura

  • Vai alla pagina delle preferenze e della privacy ;
  • Clicca sulla scheda “Privacy” nella parte superiore della pagina;
  • Nella sezione “Come LinkedIn utilizza i tuoi dati”, fai clic su “modifica” accanto a “carica i tuoi dati”.
  • Seleziona le informazioni desiderate quindi “scarica”.
  • Per motivi di sicurezza, ti potrebbe essere chiesto di identificarti nuovamente.
  • In pochi minuti riceverai un’e-mail con un link per il download.

Quali dati sono a tua disposizione?

Linkedin offre una tabella che riassume le categorie di dati raccolti.

Google (Youtube, Drive, Maps, ecc.)

La procedura

  • Vai al link che porta al servizio “Takeout”;
  • Seleziona i dati da scaricare;
  • Seleziona i formati;
  • Fare clic su “Avanti”;
  • Personalizza il formato dell’archivio (.Zip) e la modalità di invio.
  • Quindi “crea archivio”.

Quali dati sono a tua disposizione?

Tutto dipende dal fatto che la cronologia delle attività sia attivata o meno e dall’utilizzo di determinati servizi aggiuntivi. 

  1. I luoghi visitati;
  2. i siti che hai visitato;
  3. il tuo profilo commerciale articolato per centri di interesse;
  4. video guardati su Youtube;
  5. il tuo calendario se lo sincronizzi regolarmente con i servizi Google;
  6. documenti presenti su Cloud Drive e quelli già cancellati;
  7. email ricevute ed eliminate

Apple

Apple ti consente di ottenere una copia dei tuoi dati, correggerli, disattivare il tuo account ed eliminarli. 

La procedura

  • Vai su https://privacy.apple.com ;
  • Seleziona il tipo di file che desideri ottenere;
  • Quindi scegli la dimensione del tuo file di download;

Per elaborare la tua richiesta è necessario un periodo di circa sette giorni. 

Quali dati sono a tua disposizione? 

  • Dati sull’attività e sull’utilizzo dell’app (formati JSON, CSV, PDF, ecc.);
  • documenti, foto e video archiviati online;
  • elenco contatti, calendario, segnalibri ed e-mail; 
  • cronologia degli acquisti su App Store;
  • supporto cronologia dei contatti;
  • eccetera

La propria immagine online: scopri come richiederne la rimozione ed esercitare i tuoi diritti.

Hai trovato una tua foto oppure un video che ti riproduce e non hai dato il consenso? Ecco come esercitare i tuoi diritti.     

Chi contesta la diffusione della propria immagine su un sito web, può rivolgersi sia al gestore del sito, in applicazione del diritto alla cancellazione previsto dal Regolamento generale sulla protezione dei dati (GDPR), sia al giudice in base ai principi del diritto di immagine (obbligo di ottenere il consenso).

Esistono due procedure, che puoi eseguire in parallelo:

  • se desideri che il gestore dei diritti dell’immagine elimini la tua immagine,
  • se vuoi chiedere al sito di annullare la pubblicazione della tua foto/video.

Chiedi al fotografo di rimuovere una foto in nome dei diritti di immagine

Tipo di situazione:

  1. Assicurati che questa foto ti identifichi
  2. Assicurati di non aver mai acconsentito a questo scatto
    L’autorizzazione all’uso della tua immagine limita la tua possibilità di contestarne la distribuzione o il riutilizzo, a meno che i termini dell’accordo scritto non corrispondano al quadro previsto dalla legge.

Forma dell’accordo scritto: questo “contratto” stipulato tra il fotografo/videografo è il più delle volte un impegno scritto, datato e firmato da parte tua e che richiede il tuo consenso per essere fotografato/filmato e la tua autorizzazione alla distribuzione della tua immagine, in un quadro ben preciso:

  1. Su quale supporto verranno distribuite le foto? 
  2. Quali sono gli obiettivi di questa trasmissione? 
  3. Quanto dura questa autorizzazione?

Nota: nel caso di immagini riprese in luoghi pubblici è necessaria solo l’autorizzazione di persone isolate e riconoscibili.

Tuo figlio è minorenne? Sii particolarmente attento che il fotografo ti chieda l’autorizzazione scritta dei genitori.

Contatta l’autore della trasmissione

Nel caso di un’iniziativa di un individuo, potrebbe essere il fotografo che ha scattato la foto o la persona che ha pubblicato la tua immagine.

In un contesto più professionale (clip musicale, spot pubblicitario, ecc.), potrebbe essere l’organizzazione che utilizza queste immagini per scopi di comunicazione.

Se il fotografo/videografo si rifiuta di annullare/sfocare la tua immagine, hai la possibilità di adire il giudice civile/penale affinché possa sanzionare l’autore della trasmissione contestata. Hai un periodo di 3 anni dalla distribuzione dell’immagine.

 Chiedi al sito di annullare la pubblicazione della tua foto

Tipo di situazione 

  • Non ho dato il mio consenso a farmi fotografare,
  • Ho dato il mio consenso a farmi fotografare, ma non per una trasmissione online….

Assicurati che questa foto ti permetta di essere identificato

Non appena si riferisce a una persona identificata o identificabile, l’immagine di una persona è un dato personale. Per far valere i diritti previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR), devi dimostrare di essere riconosciuto.

Contattare il gestore del sito su cui è pubblicata l’immagine

  • Vai alla pagina informativa riservata all’esercizio dei tuoi diritti sul sito web dell’organizzazione (“privacy policy”,  “nota legale”, ecc.).
  • Scrivi al sito/social network/servizio online chiedendo loro di annullare la pubblicazione dell’immagine. Utilizza come esempio questo modello di posta, senza dimenticare di menzionare gli URL interessati, le informazioni da eliminare e il motivo. 
  1. Allega un documento d’identità se necessario. Se e solo se l’organizzazione ha ragionevoli dubbi sulla tua identità, potrebbe chiederti di allegare qualsiasi documento per provare la tua identità, ad esempio per evitare il furto di identità. D’altra parte, non può chiederti documenti giustificativi che sarebbero abusivi, irrilevanti e sproporzionati rispetto alla tua richiesta.

Nota: il diritto alla cancellazione è un diritto personale! Non puoi in nessun caso esercitare questo diritto per conto di un’altra persona, se non nei casi di rappresentanza di minori o adulti tutelati.

Se la risposta non è soddisfacente

  • Se entro un mese non è stata formulata una risposta soddisfacente dal sito, contattare il Garante Privacy, tramite il suo modulo di reclamo online, ricordandosi di allegare copia dei passaggi effettuati con il sito.
  • Hai anche la possibilità di andare in tribunale.

I limiti del diritto alla cancellazione 

  • Il diritto alla cancellazione è revocato in un numero limitato di casi. Non deve andare contro:
  • l’esercizio del diritto alla libertà di espressione e di informazione;
  • adempimento di un obbligo legale (es. periodo di conservazione di una fattura = 10 anni);
  • l’utilizzo dei Suoi dati se riguarda un interesse pubblico in materia di salute;
  • il loro utilizzo a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici;
  • l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

La violazione dei dati personali.

Tutte le organizzazioni che elaborano i dati personali devono disporre di misure per prevenire violazioni dei dati e rispondere in modo appropriato in caso di incidente. Gli obblighi previsti dal GDPR mirano a evitare che una violazione possa arrecare danno o pregiudizio alle organizzazioni e ai soggetti interessati. 

I nuovi obblighi in materia di data breach previsti dagli articoli 33 e 34 del GDPR, specificano l’obbligo generale di sicurezza che deve essere rispettato dalle organizzazioni che trattano dati personali. 

In base a questo principio essenziale, queste organizzazioni devono mettere in atto misure volte a:

  • prevenire qualsiasi violazione dei dati;
  • reagire adeguatamente in caso di violazione, vale a dire porre fine alla violazione e minimizzarne gli effetti.

Tali disposizioni mirano a preservare sia:

  • titolari del trattamento: al fine di tutelare il proprio patrimonio informativo, in particolare consentendo loro di mettere al sicuro i propri dati;
  • le persone interessate dalla violazione: al fine di evitare che causi loro danno o pregiudizio, in particolare consentendo loro di adottare le precauzioni necessarie in caso di incidente. 

Si raccomanda pertanto alle organizzazioni che trattano i dati personali (titolare o responsabile del trattamento) di pianificare e attuare procedure complete per le violazioni dei dati personali. Tali procedure devono coprire l’intero processo: l’attuazione di misure volte a rilevare immediatamente una violazione, contenerla tempestivamente, analizzare i rischi generati dall’incidente e determinare se sia opportuno avvisare l’autorità di controllo, o anche gli interessati. Tali procedure concorrono quindi alla documentazione della conformità al GDPR.

Che cos’è una violazione dei dati?

L’ articolo 4(12) del GDPR definisce una violazione dei dati personali una violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione accidentale o illecita, la divulgazione non autorizzata dei dati personali trasmessi, archiviati o altrimenti elaborati, o l’accesso non autorizzato a tali dati.

Si tratta di qualsiasi incidente di sicurezza, di origine dannosa o meno e che si verifica intenzionalmente o meno, con la conseguenza di compromettere l’integrità, la riservatezza o la disponibilità dei dati personali.

Esempi:

  • cancellazione accidentale di dati medici detenuti da una struttura sanitaria e non altrimenti sottoposti a backup;
  • perdita di una chiave USB non protetta contenente una copia del database clienti di un’azienda;
  • ingresso dannoso in un database scolastico e modifica dei risultati ottenuti dagli studenti.

Chi è interessato

Tutte le organizzazioni, pubbliche e private, indipendentemente dalle loro dimensioni, sono soggette a questi obblighi non appena trattano dati personali e vengono a conoscenza di una violazione dei dati personali. Non sono più riservati, come prima del GDPR, ai soli fornitori di servizi di comunicazione elettronica. I subappaltatori, che trattano dati personali per conto di un organismo responsabile del trattamento, hanno anche obblighi in materia di violazione: devono in particolare avvisare l’organizzazione di qualsiasi incidente di sicurezza il prima possibile, affinché possano adempiere ai propri obblighi.

Quali sono i principali obblighi di violazione dei dati?

PER GLI INTERESSATI,
LA VIOLAZIONE GENERA:
NESSUN RISCHIOUN RISCHIOALTO RISCHIO
Documentazione interna , nel “Registro delle violazioni”XXX
Notifica alla Garante, entro un massimo di 72 oreXX
Informazione delle persone interessate il prima possibile, salvo casi particolariX

Sono previste esenzioni dall’obbligo di informare gli interessati?

: in caso di violazione che comporti un rischio elevato, sono previste deroghe all’obbligo di informare le persone. Questi sono i seguenti casi:

  • i dati personali interessati dalla violazione in questione, sono protetti da idonee misure di protezione tecnica e organizzativa e risultano quindi incomprensibili a chiunque non sia autorizzato ad accedervi;

(Esempio: i dati sono stati sottoposti ad una misura di cifratura all’avanguardia, la cui chiave non è stata compromessa ed è stata generata in modo tale da non poter essere ritrovati, con nessun mezzo tecnologico esistente, da qualcuno che non sia autorizzato ad usarlo)

  • il responsabile del trattamento ha successivamente adottato misure atte a garantire che l’elevato rischio per i diritti e le libertà delle persone, non sia più probabile che si concretizzi;

(Esempio: le password dei dipendenti con accesso a un database sensibile sono state rubate, ma non sono state utilizzate e sono state reimpostate)

  • comunicare la violazione alle persone colpite richiederebbeuno sforzo sproporzionato;

(Esempio: il titolare del trattamento non dispone di alcuna informazione che consenta di contattare gli interessati: in tal caso deve essere effettuata una comunicazione pubblica, o un provvedimento analogo che consenta di informare gli interessati in modo altrettanto efficace).

Cosa deve contenere il “registro violazione dei dati”

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante, al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Il registro delle violazioni deve contenere in particolare i seguenti elementi:

  • la natura della violazione;
  • le categorie e il numero approssimativo di interessati;
  • le categorie e il numero approssimativo di file interessati;
  • le probabili conseguenze della violazione;
  • le misure adottate per porre rimedio alla violazione e, se necessario, per limitare le conseguenze negative della violazione;
  • ove applicabile, la motivazione dell’assenza di notifica al Garante o di informazione agli interessati.

Cosa deve essere notificato all’autorità di controllo

La notifica avviene tramite un sito dedicato , che guida il dichiarante nel suo approccio.

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Cosa si deve comunicare agli interessati

La comunicazione agli interessati deve almeno contenere ed esporre, in termini chiari e precisi, i seguenti elementi:

  • la natura della violazione;
  • le probabili conseguenze della violazione;
  • i dati di contatto della persona da contattare (DPO o altro);
  • le misure adottate per sanare la violazione e, se necessario, per limitare le conseguenze negative della violazione.

Deve essere integrato, ove necessario, con raccomandazioni alle persone per mitigare i potenziali effetti negativi della violazione e consentire loro di prendere le dovute precauzioni.

Esempi di consigli: cambiare la password degli utenti di un servizio, controllare l’integrità dei dati nel loro account online, salvare questi dati su un supporto personale.

Quando dovresti avvisare il Garante?

La notifica deve essere effettuata il prima possibile e non oltre 72 ore dopo che il titolare del trattamento ne è venuto a conoscenza.

In pratica, il punto di partenza di questo periodo è quando il titolare del trattamento ha un ragionevole grado di certezza che si è verificato un incidente e che ha influito sui dati personali. Ciò implica che ha messo in atto misure per rilevare le violazioni e che conduca indagini il prima possibile per ottenere tale ragionevole certezza. Durante questa fase istruttoria, si ritiene che il titolare del trattamento non sia a conoscenza della violazione.

Esempi di situazioni in cui il titolare del trattamento deve ritenersi informato della violazione:

  1. in caso di smarrimento di una chiavetta USB contenente dati personali, quando si accorge dello smarrimento della chiave;
  2. una terza parte informa il responsabile del trattamento di aver ricevuto un’e-mail con informazioni su un’altra persona e fornisce prova di ciò;
  3. non appena un criminale informatico contatta il titolare del trattamento e gli comunica che potrebbe aver rubato dati dai server dell’azienda, dopo aver verificato tali informazioni.

È necessario disporre di tutte le informazioni per denunciare la violazione

È ovviamente importante garantire, se necessario attraverso le indagini iniziali, che si sia effettivamente verificata una violazione e determinarne il livello di gravità. 

La natura e l’origine dell’incidente devono quindi essere presunte o accertate prima di denunciare la violazione al Garante.

Qualora, invece, il titolare del trattamento non disponga di tutte le informazioni che devono essere portate a conoscenza dell’autorità di controllo, tali informazioni possono essere comunicate al momento in cui ne ha conoscenza.

In pratica, deve fare quanto prima una prima comunicazione al Garante, attraverso il sito Web  messo a disposizione a tal fine, che poi completerà con l’ausilio di una comunicazione aggiuntiva. Ciò gli consentirà di svolgere le ulteriori indagini necessarie per identificare tutte le informazioni. Questa notifica aggiuntiva deve avvenire, se possibile, entro un massimo di 72 ore.

Cosa devo fare se il periodo di notifica di 72 ore viene superato?

Il titolare del trattamento deve comunque segnalare la violazione che comporti un rischio per i diritti e le libertà delle persone. In caso di superamento di tale termine, i motivi che giustificano il ritardo nella notifica, devono essere indicati al Garante.

In pratica, al titolare del trattamento sarà chiesto, direttamente nel servizio di notifica online, di motivare i motivi di tale ritardo.

Qual è il ruolo del responsabile del trattamento in caso di violazione dei dati?

Il responsabile del trattamento è tenuto a notificare al titolare del trattamento qualsiasi violazione dei dati non appena possibile, dopo averne avuto conoscenza. Ciò consente al titolare del trattamento di adempiere ai suoi vari obblighi in materia di violazione dei dati.

In pratica, è opportuno prevedere nel contratto che vincola il subappaltatore al responsabile del trattamento, un obbligo in tal senso a carico del subappaltatore.

L’obbligo di notifica all’autorità di controllo può essere affidato al responsabile del trattamento?

. Il titolare del trattamento può chiedere al responsabile del trattamento di agire per suo conto affinché quest’ultimo notifichi la violazione all’autorità di controllo, se il titolare del trattamento ritiene che la violazione in questione possa presentare un rischio per gli interessati.

Ciò non esclude quindi né l’obbligo imposto al subappaltatore di informare il titolare del trattamento di eventuali violazioni dei dati, né gli obblighi propri del titolare del trattamento: quest’ultimo deve aggiornare il proprio registro delle violazioni e mantenere il controllo sulla decisione di notificare o meno l’autorità di vigilanza (a seconda del livello di rischio stimato).

Come valutare l’assenza di rischio, il rischio e l’alto rischio

Tale valutazione deve essere effettuata caso per caso dal titolare del trattamento e deve tenere conto dei seguenti elementi:

  • il tipo di violazione (che pregiudica l’integrità, la riservatezza o la disponibilità dei dati);
  • la natura, la sensibilità e il volume dei dati personali interessati;
  • la facilità di identificazione delle persone interessate dalla violazione;
  • le possibili conseguenze di questi per le persone;
  • le caratteristiche di queste persone (bambini, persone vulnerabili, ecc.);
  • il volume delle persone interessate;
  • le caratteristiche del titolare del trattamento (natura, ruolo, attività).

Esempi di situazioni in cui non vi è alcun rischio che giustifichi la notifica al Garante o agli interessati: la divulgazione di dati diffusi già resi pubblici; cancellazione dei dati di backup e immediatamente ripristinati; la perdita di dati protetti da un algoritmo di crittografia all’avanguardia, se la chiave di crittografia non viene compromessa e se rimane disponibile una copia dei dati.

Quali sono i poteri del Garante in materia di violazione dei dati

Il Garante ha due missioni principali in termini di violazione dei dati:

  1. un ruolo di supporto ai titolari del trattamento: la finalità della notifica all’autorità di controllo è in particolare quella di consentire di raccogliere dal Garante, eventuali pareri e osservazioni in merito alle misure di sicurezza da attuare, per porre fine alla violazione o per minimizzarne gli effetti; consente inoltre di verificare se sono necessarie informazioni delle persone e, in tal caso, di ottenere indicazioni sulle modalità di tale richiesta.
  2. un ruolo di monitoraggio del rispetto degli obblighi dei titolari del trattamento: Il Garante può vigilare sul rispetto di tutti questi obblighi (registrazione, verifica del livello di rischio, rispetto delle scadenze e del contenuto delle notifiche, ecc.) e, se necessario, sanzionare le organizzazioni interessate. Può inoltre ordinare al titolare del trattamento di comunicare una violazione dei dati agli interessati, qualora lo ritenga necessario.

In entrambi i casi, è probabile che l’esame del Garante riguardi, al di là della sola violazione in questione, il livello di sicurezza generale del trattamento che la violazione può rivelare.