MagNews - Marketing Digitale e Privacy. Cosa sta cambiando? - Privacy Spritz 2012

684 views
625 views

Published on

Un “Privacy Spritz” per condividere le novità introdotte in ambito di gestione della privacy: il decreto "Salva Italia" e il decreto "Semplificazioni".
Come si inquadrano nell'ampia proposta di riforma del nuovo Regolamento Privacy Europeo? Alcuni consigli pratici per un trattamento dei dati personali conforme alla normativa ma anche coerente alle esigenze di business.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
684
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

MagNews - Marketing Digitale e Privacy. Cosa sta cambiando? - Privacy Spritz 2012

  1. 1. Sala conferenze Netcomm, via Sacchi 7, Milano 27 marzo 2012, ore 16.30 Avv. Dr. Paolo BalboniICT Legal Consulting, European Privacy Association e Istituto Italiano Privacy paolo.balboni@ictlegalconsulting.com - www.ictlegalconsulting.com - www.europeanprivacyassociation.eu www.istitutoitalianoprivacy.it - www.paolobalboni.eu
  2. 2. Who is Who? Socio fondatore di ICT Legal Consulting, Direttore dell’European Privacy Association, Cloud Computing Sector Director e Responsabile Affari Esteri dell’Istituto Italiano Privacy, Avvocato del Foro di Milano specializzato in Diritto delle nuove tecnologie e tutela dei dati personali. Svolge attività di consulenza legale, a favore di multinazionali, principalmente in tema di protezione dei dati personali, contratti informatici, commercio elettronico, cloud computing, responsabilità dei fornitori di servizi Web 2.0, responsabilità dei fornitori di contenuti su internet e terminali mobili, firme elettroniche, conservazione sostitutiva, proprietà intellettuale. Assiste altresì persone celebri su questioni relative a privacy e diritti d’autore. Vanta una considerevole esperienza nei settori: IT, media & entertainment, e-Health, moda e bancario. Autore del libro ‘Trustmarks in Ecommerce’, Paolo Balboni è Ricercatore associato presso l’Università di Tilburg (Olanda) dove insegna il corso di master “Liability of Web 2.0 Service Providers”; nonché Assistente alla cattedra di Diritto di internet all’ Università di Bologna (Italia). Consulente legale scelto per i progetti dell’European Network and Information Security Agency (ENISA) su ‘Cloud Computing Risk Assessment’, ‘Security and Resilience in Governmental Clouds’ e ‘Common Assurance Maturity Model – Beyond the Cloud (CAMM)’, Paolo Balboni è spesso coinvolto in studi della Commissione europea relativi a nuove tecnologie e tutela dei dati personali, nonché relatore a convegni internazionali su tali temi. Laureato in giurisprudenza all’Università di Bologna nel 2002, ha conseguito il dottorato (Ph.D.) in Diritto comparato delle nuove tecnologie all’Università di Tilburg nel 2008. Parla correntemente l’italiano, l’inglese e l’olandese ed ha una buona conoscenza di tedesco, francese e spagnolo. paolo.balboni@ictlegalconsulting.com 2
  3. 3. Struttura, obiettivi e aspettative 1. I principi privacy e il marketing online 2. Le novità privacy introdotte dai decreti “Salva Italia e “Semplificazioni” 3. Il nuovo Regolamento Privacy europeo e i suoi impatti concreti 4. Q&A e consigli pratici 3
  4. 4. 1a SEZIONE 4
  5. 5. Glossario• Dato personale• Dato personale sensibile• Interessato• Titolare del trattamento• Responsabile/i del trattamento• Incaricato/i del trattamento• Comunicazione e diffusione• Banca di dati / database• Garante per la protezione dei dati personali 5
  6. 6. Livelli di responsabilità NB: chi pone in essere un trattamento di dati personali deve necessariamente ricadere in una di queste tre categorie. 6
  7. 7. Applicazione Codice PrivacyIl principio generale è sancito all’art. 5 d.lgs. 196/03, che stabilisce appunto che ilCodice Privacy si applica al trattamento di dati personali effettuato da chiunque:- è stabilito nel territorio dello stato italiano, anche se i dati sono detenuti allestero;oppure- è stabilito nel territorio di un Paese non appartenente allUnione europea e impiega,per il trattamento, strumenti situati nel territorio italiano anche diversi da quellielettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dellUnioneeuropea. In questo caso, il Titolare designa un proprio rappresentante stabilito nelterritorio italiano ai fini dellapplicazione della disciplina sul trattamento dei datipersonali. 7
  8. 8. Principi generali: INFORMATIVAL’informativa deve contenere i seguenti elementi ex art. 13: • identificazione delle modalità e della/e finalità del/i trattamento/i; • indicazione dell’obbligatorietà o facoltatività del conferimento dei dati e delle conseguenze dell’eventuale rifiuto del consenso; • indicazione dell’ambito di conoscibilità dei dati (comunicazione, diffusione, accesso da parte di soggetti che fanno parte della struttura del Titolare del trattamento); • diritti dell’Interessato; • identificazione e contatti del Titolare del trattamento e degli eventuali Responsabili. 8
  9. 9. Principi generali: DIRITTI INTERESSATO• Diritti di accertamento• Diritti di operare modifiche sui dati (integrazione, correzione, aggiornamento)• Diritto di porre fine al trattamento e chiedere la cancellazione dei dati• Diritto di opposizione al trattamento. Se il trattamento è finalizzato all’ invio dimateriale pubblicitario o di vendita diretta o per il compimento di ricerche di mercatoo di comunicazione commercial, l’opposizione non necessita di cause giustificative. si esercitano senza alcuna formalitàI diritti vanno soddisfatti dal Titolare entro 15 gg. 9
  10. 10. Principi generali: CONSENSO• opt-in• libero, espresso, specifico e informatoeccezione al consenso ex art. 24.1.b-non è dovuto quando il trattamento è necessario per eseguire obblighiderivanti da un contratto del quale è parte l’interessato e per adempiere,prima della conclusione del contratto, a specifiche richieste del soggetto a cuidati si riferisconoeccezione al consenso ex art. 130.4- non è dovuto in caso di vendita diretta di beni e servizi analoghi a quelli già oggetto di precedente vendita diretta 10
  11. 11. Es.: form di iscrizione per adesione ad unanewsletter promozionale 11
  12. 12. Es.: due trattamenti nella stessa informativaA. Adesione a newsletter promozionale del Titolare e di terzi 12
  13. 13. Es.: due trattamenti nella stessa informativaB. Partecipazione a concorso e profilazione 13
  14. 14. Es.: due trattamenti nella stessa informativaC. Due trattamenti vincolati l’uno all’altro ERRATO! 14
  15. 15. Cookie e Online Behavioural Advertising• Informativa• Consenso• Obbligo di notificazione al Garante (profilazione) 15
  16. 16. 2a SEZIONE 16
  17. 17. La persona giuridica esce dalla tutelaprivacy• Le persone giuridiche, associazioni ed enti non ricadono più nell’applicazione del Codice Privacy• Attenzione all’ ‘abbonato’: il telemarketing su elenchi continua ad essere tutelato, nel senso che la lettera f) dell’art. 4 comma 2 del Codice privacy, che definisce il concetto di ‘abbonato’, è l’unica parte a non essere modificata e la persona giuridica continua a rientrarvi: se letto in combinato con gli artt. 129 e 130 comma 3-bis del Codice privacy, ecco che il regime di opposizione e di iscrizione nel registro continuerà ad applicarsi alle persone giuridiche. Così, se e quando sarà emanato il regolamento attuativo, anche gli invii di posta cartacea agli indirizzi fisici degli abbonati persone giuridiche saranno tutelati.DUBBI:• Le persone giuridiche che siano abbonati, cioè siano parte di un contratto con un fornitore di servizi di comunicazione elettronica (ex art. 4 c.2 lett. f) Codice Privacy), ma il cui numero o indirizzo non sia contenuto negli elenchi, non avranno altra tutela che quella prevista agli artt. 122, in materia di monitoraggio degli utenti nei servizi di comunicazione, e 126, in materia di geolocalizzazione, del Codice Privacy?• Gli abbonati aziende o enti, che non siano dunque “soggetti interessati”, non potranno ricorrere al Garante in caso di violazioni delle norme che continuano a riguardarli: potranno solo adire l’autorità giudiziaria? 17
  18. 18. Abolizione del DPS In riferimento allobbligo, finora previsto, dellaggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), si segnala che il d.l. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”(GU n.33 del 9-2-2012), ha, tra laltro, modificato alcune disposizioni del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS). Pertanto, “salvo che intervengano modifiche da parte del Parlamento, lobbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno.”(Sito Garante Privacy) 18
  19. 19. 3a SEZIONE I T se C nd I i r IS SUE 01 Marzo 2012 C t ti oa n t * mr o Ab g u V DT n 4 ia e o i1 g As r a m d te m 2 2 Mn 0 3 iao 1 l An t e e T :+ 0 8 7 6 e 3 24 3 7 l 9 5 2 NEWS Bx l s r ee u l V dl L e 4 ia ee a 2 l m L d o r na 4 2 Bo a 0 2 og 1 l n Google cambia la Mr a i dd Privacy Policy: contrasto T :+ 0 0 1 4 e 3 5 4 8 l 9 1 9 1 Pi i ag r con la UE Pa a Sv o i L r 1 . S z n aa r na o3 l t e u Secondo Google, la sua Vs i a aa r v 0 8R a 0 6 o 1 m nuova privacy policy fornirà Vn i n e a T :+ 0 9 4 9 e 3 67 2 1 l 9 8 4 * a n l wr s pte a f m r r i agli utenti un servizio migliore; i Garanti europei, temono lo scavalcamento Nuova proposta di Regolamento Europeo in materia di protezione delle regole privacy europee. di dati personali: elementi chiave incaricata di valutare la riforma, ha chiesto a Google Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD). Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on di mettere in stand-by le the free movement of such data (General Data Protection Regulation) nuove regole. Leggi Dopo più di due anni di consultazioni, la Commissione Europea ha proposto il 25 gennaio scorso delle ampie misure di riforma del quadro legislativo europeo sulla protezioni dei dati personali. Europa, USA e Privacy: Ecco alcuni elementi chiave: Obama risponde con il La proposta assumerà la forma di un Regolamento applicabile in tutti gli Stati Consumer Privacy Bill of Rights nazionali. Quale sarà limpatto del nuovo Regolamento privacy europeo? Enorme. Non solo sostituirà la Direttiva 95/46/EC - che fu la direttiva "madre" della privacy nel nostro continente - ma di fatto abrogherà, per incompatibilità, buona parte dei "Codici privacy" nazionali, incluso quello italiano. proposta del nuovo Regolamento privacy UE, esce negli USA un Applicazione a Società con sede UE ed Extra-UE. Oltre che alle Società che hann Regolamento troverà applicazione anche nei confronti delle Società con sede extra UE che: offrono beni o servizi a documento che rafforzerebbe i diritti privacy dei consumatori americani, da sempre meno tutelati degli -stop- UE ma non per Titolari non UE. Il controllo sui Titolari comunitari verrà effettuato d privacy dei partner principale. La previsione del concetto di "stabilimento principale" del titolare, infatti, mira ad evitare che unimpresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato. Inoltre, è previsto il ruolo di "lead authority", in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi -Stato. I Titolari ubicati fuori dalla UE, invece, dovranno designare un Rappresentante in uno degli Stati Membri in cui si Leggi trovano i soggetti interessati cui si riferiscono i dati trattati per fornire loro beni o servizi, ossia il cui comportamento viene monitorato. Tale Rappresentante potrà Nuovo Regolamento Privacy UE: gli USA si possa essere identificato (direttamente o indirettamente) dal Titolare del trattamento. Solo le persone fisiche preparano al cambiamento quando la denominazione della persona giuridica contenga i nomi di persone fisiche. Secondo un sondaggio mediante condotto da Tufin Technologies, leader nel sotto dei 18 anni di età). mercato delle Security Policy Management solutions, i Previsione delle figure dei joint controllers gestori della sicurezza dei responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa network americani temono le ad nuove regole privacy oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile). europee, in particolare le nuove sanzioni. La Trasferimento di dati. Le esistenti restrizioni europee sul trasferimento di dati verso Paesi che non offrono maggioranza di essi si fida di zzando clausole contrattuali standard adottate dalla Commissione Europea o da Autorità garanti e clausole contrattuali ad più dei software automatizzati di verifica degli Corporate Rules (BCRs, norme vincolanti di impresa) è semplificata, e tale regime è esteso anche ai Responsabili adempimenti, che non del controllo umano. originarie deroghe per il trasferimento dei dati a Paesi Terzi, come il consenso, ma aggiunge una nuova deroga per trasferimenti occasionali o limitati, se necessari per legittimo interesse del Titolare. Leggi 19
  20. 20. 4a SEZIONE 20
  21. 21. Grazie per l’attenzione! Avv. Dr. Paolo BalboniICT Legal Consulting, European Privacy Association e Istituto Italiano Privacy paolo.balboni@ictlegalconsulting.com - www.ictlegalconsulting.com - www.europeanprivacyassociation.eu www.istitutoitalianoprivacy.it - www.paolobalboni.eu 21
  22. 22. ICT Legal ConsultingICT Legal Consulting è uno studio legale italiano costituito nel 2011 con sedi a Milano, Bologna e Roma epresente, attraverso studi professionali associati, in altri otto paesi Europei (Austria, Belgio, Francia,Germania, Grecia, Paesi Bassi, Polonia, Regno Unito e Spagna). E’ stato creato da Paolo Balboni e LucaBolognini, che hanno raggruppato un gruppo di fidati professionisti altamente specializzati nel dirittodell’Informazione, delle Comunicazioni, della Privacy e delle Tecnologie.I nostri avvocati, contraddistinti da competenze uniche nell’ICT, svolgono attività di consulenza legale, afavore di multinazionali e di imprese innovative, principalmente in tema di protezione dei dati personali,contratti informatici, e-health, e-commerce, e-marketing, advertising, cloud computing, responsabilità deifornitori di servizi Web 2.0, responsabilità dei fornitori di contenuti su internet e terminali mobili, scommesseonline, giochi di abilità online, firme elettroniche, gestione documentale e conservazione sostitutiva, energierinnovabili. Inoltre forniamo assistenza completa con riferimento alla tutela proprietà intellettuale: dirittod’autore, marchi, design, brevetti, concorrenza sleale, protezione dei consumatori.I nostri professionisti hanno sviluppato una considerevole esperienza nei seguenti settori: comunicazioni,media & entertainment, IT, servizi sanitari, moda, energetico e smart grids, servizi bancari/finanziari ed e-Government, responsabilità amministrativa penale d’impresa (231/01). www.ictlegalconsulting.com 22

×