L’avvio di una start up rischia di trascurare questioni di compliance legale che rivestono un’importanza primaria, che acquisiranno sempre maggior rilievo in relazione al progresso scientifico e tecnologico cui ogni settore sta andando incontro.
Il seminario si propone, pertanto, di evidenziare i profili giuridici più rilevanti per poter adeguatamente definire le scelte strategiche che contribuiscono alla massimizzazione del profitto, come ad esempio quelle connesse alla costituzione della start up, alla tutela della proprietà intellettuale e alle dinamiche contrattuali. Nel novero delle questioni, la tutela della privacy (tanto degli utenti quanto dei dipendenti) riveste un ruolo fondamentale e di indiscutibile centralità.
Saranno pertanto illustrate le principali questioni giuridiche e individuati alcuni accorgimenti che le startup dovrebbero adottare per evitare di incorrere nelle responsabilità previste in materia dal GDPR e dal d.lgs. 101/2018.
679/2016 cosa cambia - nuovo regolamento europeo privacy
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY COMPLIANCE E ACCORGIMENTI PRATICI
1. Ottenere vantaggi dalla tua
start- up rimanendo a norma:
profili di privacy compliance e
accorgimenti pratici
Alessia Palladino
2. 2
DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in
materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di
sviluppare attività di studio, ricerca e approfondimento nell'ambito delle
tematiche di interesse comune per il mondo giuridico e informatico
Web site: www.diricto.it
3. 3
ICT for Law and Forensics è il laboratorio di Informatica Forense del
Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari.
Aree di interesse: e-commerce e contrattazione telematica, la tutela giuridica
dei domain names, privacy e protezione dei dati personali nel mondo
telematico, cyber crimes, digital forensics
Web site: ict4forensics.diee.unica.it
7. Oggetto (prevalente) delle attività
Produzione di
servizi ICT
Produzione
software
Attività dei
servizi di
informazione
7
È fondamentale implementare una massa critica di utenti/ clienti
8. Il fenomeno delle start up…
Elevato tasso di mortalità, superiore
al 50%.
Cause: Tra le 20 più frequenti
cause di fallimento, ci sono i
problemi legali (CB Insight).
8
9. Le principali questioni
Diritti degli
interessati
Non
conformità
al GDPR
Tutela del
nome/
Domain
name
Proprietà
intellettuale
/ Diritto
d’autore
Tutela dei
dipendenti
9
10. Oggetto (prevalente) delle attività
Produzione di
servizi ICT
Produzione
software
Attività dei
servizi di
informazione
10
È fondamentale implementare una massa critica di utenti/ clienti
11. Il sito come vetrina per la propria attività
Punto di contatto tra i
clienti/utenti
[ad es. mediante il
form “Contattaci”]
Reclutamento di
nuove risorse da
inserire all’interno del
proprio organico
(ad es. mediante il
form c.d. “Lavora con
noi”).
12. I dati nella maggior come
asset fondamentale della startup
Individuazione/M
onitoraggio della
clientela
Individuazione
delle preferenze
dell’utenza
In sintesi:
Conoscere il
cliente
Prevedere le
future scelte
12
13. …effettuare operazioni
di trattamento dati
• Creazione di un
database
• Archiviazione
• Profilazione
• Suddivisione
della clientela
• Operazioni di
marketing (diretto)
• Fidelizzazione
della clientela
• Gestione portale
web
• Invio di
newsletter
Conoscere il
cliente
significa…
13
14. 14
Tipologie di dati (art. 4)
“dato personale”,
(Art. 4, par. 1, n. 1)
«qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona
fisica che può essere identificata, direttamente o indirettamente, con
particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all’ubicazione, un identificativo online o a
uno o più elementi caratteristici della sua identità fisica, fisiologica,
genetica, psichica, economica, culturale o sociale» (C26, C27, C30)
“dati relativi alla salute”
(Art. 4, par. 1, n. 15)
«i dati personali attinenti alla salute fisica o mentale di una persona
fisica, compresa la prestazione di servizi di assistenza sanitaria, che
rivelano informazioni relative al suo stato di salute»
Trattamento
(Art. 4, par. 1, n. 2)
«qualsiasi operazione o insieme di operazioni, compiute con o senza
l'ausilio di processi automatizzati e applicate a dati personali o insiemi
di dati personali, come la raccolta, la registrazione, l'organizzazione, la
strutturazione, la conservazione, l'adattamento o la modifica,
l'estrazione, la consultazione, l'uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l'interconnessione, la limitazione, la
cancellazione o la distruzione»
15. Tipologie di dati (art. 4)
15
Dati
genetici
(art. 4 n.13)
dati personali relativi alle caratteristiche genetiche
ereditarie o acquisite di una persona fisica che
forniscono informazioni univoche sulla fisiologia o
sulla salute di detta persona fisica, e che risultano
in particolare dall'analisi di un campione biologico
della persona fisica in questione;
Dati
Biometrici
(art. 4 n.14)
dati personali ottenuti da un trattamento tecnico
specifico relativi alle caratteristiche fisiche,
fisiologiche o comportamentali di una persona
fisica che ne consentono o confermano
l'identificazione univoca, quali l'immagine facciale
o i dati dattiloscopici;
17. Le affermazioni più frequenti
La mia attività è
di piccole
dimensioni
Gli altri
competitors sul
mercato operano
in tal modo
L’attività da
svolgersi è
troppo
complessa/costosa
Non chiedo dati
personali, ma solo
l’indirizzo email
Ho sempre agito in
tal modo
Mi avvalgo di
terzi per lo
svolgimento
effettivo di tutte le
operazioni sui dati
18. Oggetto e finalità
18
Articolo 1
Oggetto e finalità (C1-14, C170, C172)
1. Il presente regolamento stabilisce norme relative alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla
libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone
fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né
vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali.
GPDR
Protezione delle persone fisiche con riguardo al
trattamento dei dati personali
Libera circolazione dei dati personali delle
persone fisiche
Protezione dei diritti e delle libertà fondamentali delle
persone fisiche, in particolare il diritto alla protezione dei
dati personali
19. Il GDPR inaugura un nuovo approccio…
19
Non si tratta di soluzioni formalistiche!
21. Ad esempio:
Controlli e sanzioni;
Incapacità di processare le richieste degli
interessati;
Incapacità nel saper gestire un data breach;
Gravi rischi reputazionali.
21
L’assenza di conformità al GDPR
espone l’azienda a rischi elevati
.
23. Principi generali – Inquadramento
● Altri
principi(Da art.
6 a art. 11)
23
Artt. 5 - 11
Principi in generale
(art. 5)
Hanno valenza
ricoprente ogni
aspetto della
disciplina
Possono inerire
particolari categorie
di dati/soggetti/ogg.
24. 24
I principi del RGPD
PRINCIPIO DI FINALITÀ o
di limitazione della finalità
(art. 5, par. 1, lett. b)
I DATI PERSONALI DEVONO ESSERE RACCOLTI PER FINALITÀ
DETERMINATE, ESPLICITE E LEGITTIME, E SUCCESSIVAMENTE
TRATTATI IN MODO CHE NON SIA INCOMPATIBILE CON TALI FINALITÀ.
PERTANTO, OGNI ATTIVITÀ DI TRATTAMENTO È CONSENTITA SOLO
SE È ANCORATA AD UNA FINALITÀ (SCOPO) OVVERO SE INERENTE
CON L’ATTIVITÀ PRESTATA
20M
4%
25. 25
I principi del RGPD
LICEITÀ
(art. 5, par. 1, lett. a)
I DATI PERSONALI DEVONO ESSERE TRATTATI IN MODO LECITO,
CORRETTO E TRASPARENTE NEI CONFRONTI DELL’INTERESSATO
I DATI PERSONALI OGGETTO DI TRATTAMENTO DEVONO ESSERE
ADEGUATI, PERTINENTI E LIMITATI A QUANTO NECESSARIO
RISPETTO ALLE FINALITÀ PER LE QUALI SONO TRATTATI
MINIMIZZAZIONE DEI
DATI (Proporzionalità)
(art. 5, par. 1, lett. c)
20M
4%
20M
4%
26. 26
I principi del RGPD
ESATTEZZA
(art. 5, par. 1, lett. d)
I DATI TRATTATI DEVONO ESSERE SEMPRE ESATTI E, SE
NECESSARIO, AGGIORNATI; INOLTRE, DEVONO ESSERE ADOTTATE
TUTTE LE MISURE RAGIONEVOLI PER CANCELLARE O RETTIFICARE
TEMPESTIVAMENTE I DATI INESATTI RISPETTO ALLE FINALITÀ PER LE
QUALI SONO TRATTATI
20M
4%
27. 27
I principi del RGPD
LIMITAZIONE DELLA
CONSERVAZIONE
(art. 5, par. 1, lett. d)
I DATI PERSONALI DEVONO ESSERE CONSERVATI IN UNA FORMA CHE
CONSENTA L’IDENTIFICAZIONE DEGLI INTERESSATI PER UN ARCO DI TEMPO
NON SUPERIORE AL CONSEGUIMENTO DELLE FINALITÀ PER LE QUALI SONO
TRATTATI.
I DATI PERSONALI POSSONO ESSERE CONSERVATI PER PERIODI PIÙ LUNGHI A
CONDIZIONE CHE SIANO TRATTATI ESCLUSIVAMENTE A FINI DI ARCHIVIAZIONE
NEL PUBBLICO INTERESSE, DI RICERCA SCIENTIFICA O STORICA O A FINI
STATISTICI, […] FATTA SALVA L’ATTUAZIONE DI MISURE TECNICHE E
ORGANIZZATIVE ADEGUATE RICHIESTE DAL PRESENTE REGOLAMENTO A
TUTELA DEI DIRITTI E DELLE LIBERTÀ DELL’INTERESSATO
20M
4%
28. 28
I principi del RGPD
INTEGRITÀ E RISERVATEZZA
(art. 5, par. 1, lett. f)
I DATI PERSONALI DEVONO ESSERE TRATTATI IN MANIERA DA
GARANTIRE UN’ADEGUATA SICUREZZA DEI DATI PERSONALI,
COMPRESA LA PROTEZIONE, MEDIANTE MISURE TECNICHE E
ORGANIZZATIVE ADEGUATE, DA TRATTAMENTI NON AUTORIZZATI O
ILLECITI E DALLA PERDITA, DALLA DISTRUZIONE O DAL DANNO
ACCIDENTALI
IL TITOLARE DEL TRATTAMENTO È
COMPETENTE PER IL RISPETTO
DEI PRINCIPI E DEVE ESSERE IN
GRADO DI COMPROVARLO
Responsabilizzazion
e del titolare del
trattamento
20M
4%
29. 29
I principi del RGPD
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione dei dati
personali e dei dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità
che permettano di identificare l’interessato solo in caso di necessità.
PRINCIPIO DI NECESSITÀ (art. 3, D. Lgs. 196/2003)
Data protection by design and by
default
Articolo 25
Protezione dei dati fin dalla progettazione e protezione per
impostazione
predefinita (C75-C78)
10M
2%
30. 30
Data protection by design and by default
Il
Titolar
e
del
trattam
ento
mette
in atto
misure tecniche e
organizzative adeguate, quali
la pseudonimizzazione,
a)volte ad attuare in modo
efficace i principi di
protezione dei dati, quali la
minimizzazione
..tenendo conto dello stato dell’arte e dei
costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e
delle finalità del trattamento, come anche
dei rischi aventi probabilità e gravità diverse
per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di
determinare i mezzi del trattamento sia
all’atto del trattamento stesso
misure tecniche e
organizzative adeguate
b)per garantire che siano
trattati, per impostazione
predefinita, solo i dati
personali necessari per ogni
specifica finalità del
trattamento.
dette misure garantiscono che, per
impostazione predefinita, non siano resi
accessibili dati personali a un numero
indefinito di persone fisiche senza
l’intervento della persona fisica.
31. …prima di porre in essere
un trattamento dati, occorre
porsi le seguenti domande
Ho intenzione di
raccogliere dati per
realizzare servizi di
newsletter?
Dove conserverò i
miei dati?
Per quanto tempo
li conserverò?
Il principio di
privacy by
design…
31
32. Il trattamento che
intendo svolgere è
superfluo?
Questi dati sono
pertinenti alla finalità
che intendo
realizzare?
Per quanto tempo
li conserverò?
Il principio di
privacy by
default…
32
34. ● Necessità di garantire la liceità del
trattamento;
● Quali basi giuridiche?
● Il consenso?
35. 35
Le principali piattaforme social online sono di proprietà di aziende americane le quali sono sottoposte
alla legislazione federale USA, il Children's Online Privacy Protection Act of 1998 (COPPA).
A partire dal 21 aprile 2000 (entrata in vigore) il COPPA ha previsto che nessuna persona giuridica
(tranne gli enti pubblici) può raccogliere dati relativi a minori di 13 anni. Quindi, le principali
piattaforme social americane (ad es. Facebook, WhatsApp) hanno come limite minimo 13 anni.
Servizio della società dell’informazione
Definizione:
In generale sono tutte le attività svolte e i servizi
forniti per via elettronica, online e quindi a
distanza su richiesta di un destinatario delle
attività o dei servizi.
(Cfr. art. 2, D. Lgs. 70/2003 - Codice del commercio
elettronico - Attuazione della direttiva 2000/31/CE e
art. 2 Direttiva (UE) 2015/1535
Il consenso dell’interessato: il minorenne
37. 37
I principali adempimenti del RGPD
• Informativa
• Consenso
• Comunicazione di una violazione di dati
personali (data breach)
ADEMPIMENTI
VERSO GLI
INTERESSATI
• Registro delle attività di trattamento
• Misure tecniche e organizzative per la sicurezza
• La valutazione di impatto sulla protezione dei dati
personali
• Il registro delle violazioni dei dati personali
• Nomina del responsabile della protezione dati
ADEMPIMENTI
INTERNI
• La consultazione preventiva
• Notifica di una violazione dei dati
personali (data breach)
ADEMPIMENTI
VERSO AUTORITÀ
DI CONTROLLO
38. 38
Gli adempimenti interni
• Articolo 30
Registro delle attività di trattamento
• Articolo 32 (valutazione dei rischi)
Misure tecniche e organizzative per la
sicurezza
• Articolo 35
La valutazione di impatto sulla protezione
dei dati personali
• Articolo 33, par. 5
Il registro delle violazioni dei dati personali
• Articolo 37
Nomina del responsabile della protezione
dati (DPO)
39. La predisposizione dell’informativa
Occorre rispettare il contenuto (minimo) richiesto
dagli artt. 13 e 14 [ordine di priorità diverso];
Corrispondenza tra informativa e trattamento;
X Non confondere Informativa e Consenso!
40. Considerando 26:
I cookie sono dati pseudonimi, cioè dati personali dove gli
elementi identificativi sono stati sostituiti da altri elementi (quali
stringhe di testo e numeri). I dati pseudonimi, a differenza di quelli
anonimizzati, sono comunque ritenuti dati personali anche se
soggetti ad una tutela ridotta, perché comunque incrociandoli con
altre informazioni è possibile giungere all'identificazione della
persona, o meglio all’identificazione univoca del dispositivo
utilizzato per l’accesso e la navigazione online.
Il Considerando 26, aggiunge che il GDPR non si applica al
trattamento di informazioni anonime per finalità statistiche e di
ricerca, con ciò riprendendo le esenzioni previste per i cookie di
analytics.
Essendo dati personali i cookie sono soggetti a consenso
Quali?
41. 41
Individuazione delle modalità semplificate per l´informativa e
l´acquisizione del consenso per l´uso dei cookie - 8 maggio 2014
Ai fini della semplificazione dell´informativa, si ritiene che una soluzione efficace, che fa
salvi i requisiti previsti dall´art. 13 del Codice (ndr, art. 13 GDPR) (compresa la descrizione
dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento
successivi (ndr, informativa con icone o informativa stratificata, contemplata anche dal
GDPR)
Nel momento in cui l´utente accede a un sito web, deve essergli presentata una prima
informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra
pagina tramite la quale l´utente può accedere al sito), integrata da un´informativa "estesa",
alla quale si accede attraverso un link cliccabile dall´utente e deve essere linkabile da ogni
pagina del sito.
Richiesta di
consenso
46. 46
…e i nostri siti web:
http://www.diricto.it
http://ict4forensics.diee.unica.it
http://www.marcafoto.it
47. Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0)
Internazionale
o Tu sei libero di:
Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo
materiale con qualsiasi mezzo e formato;
Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza
Alle seguenti condizioni:
Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state
effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire
che il licenziante avalli te o il tuo utilizzo del materiale.
Non commerciale. Non puoi usare il materiale per fini commerciali.
Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa
licenza del materiale originario.
o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei
vincoli giuridici su quanto la licenza consente loro di fare.
o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il
tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge
o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio,
diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.