SlideShare a Scribd company logo

Talk Agostino IHC Padova, 03.08.2018

Download as PPTX, PDF
A
Agostino Pedone

CYBER SECURITY ED INTELLIGENZA ARTIFICIALE: L’OCCHIO VIGILE DEL GDPR SULLE NUOVE SFIDE PER LA PRIVACY

Law
1 of 16
CYBER SECURITY ED INTELLIGENZA ARTIFICIALE: L’OCCHIO VIGILE DEL GDPR SULLE NUOVE SFIDE PER LA PRIVACY Realizzato dal Dott. Agostino Pedone
IL DIRITTO ALLA PRIVACY: L’ORIGINE «The Right to Privacy»: saggio scritto dagli avvocati Samuel Warren e Loius Brandeis e pubblicato dalla Harvard Law Review il 15 dicembre 1890. – RIPRODUZIONE PER FINI NON COMMERCIALI
DALLA DIRETTIVA 95/46/CE AL REGOLAMENTO UE 2016/679 La Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è nata agli inizi degli anni 90 del secolo scorso non riuscendo a coprire fenomeni tecnologici comparsi o sviluppatisi solo dopo come quelli di internet, delle app, dei dispositivi portatili, del cloud e dei social network, sino agli attuali scenari dell’Internet of Things, dell’informatica indossabile o, persino, ingeribile. Il GENERAL DATA PROTECTION REGULATION (Regolamento generale sulla protezione dei dati) ha colmato alcune di queste lacune.
GENERAL DATA PROTECTION REGULATION (GDPR) Con l’adozione del nuovo Regolamento generale sulla protezione dei dati (c.d. GDPR), adottato dal Parlamento Europeo e dal Consiglio il 27 aprile 2016, l’UE ha compiuto un passo decisivo nel senso del rafforzamento della protezione dei dati delle persone fisiche nonché dell’agevolazione della libera circolazione dei dati personali nel mercato unico digitale. DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: diritto fondamentale ed inviolabile dei cittadini europei (artt. 8, par. 1 della Carta di Nizza e 16 del TFUE).
LE PRINCIPALI NOVITÀ CONTENUTE NEL REGOLAMENTO • ACCOUNTABILITY (o principio di «responsabilizzazione»); • PRIVACY BY DESIGN E BY DEFAULT (anche conosciuta come Data Protection by Design e by Default); • REGISTRO DEI TRATTAMENTI; • VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (DATA PROTECTION IMPACT ASSESSMENT); • DATA PROTECTION OFFICER (DPO).
CONCETTO DI SICUREZZA NEL GDPR Concetto molto ampio di sicurezza che è possibile cogliere nella duplice accezione inglese di «security» e «safety». • SECURITY: insieme di misure volte a prevenire e contrastare atti di interferenza illecita esterna nei confronti di un sistema; • SAFETY: progettazione, costruzione e manutenzione di un sistema affinché il sistema stesso non pregiudichi l’incolumità o la salute delle persone.
I0T E GDPR: CRITICITÁ E RIMEDI Internet of Things (IoT): capacità di oggetti, di dispositivi, sensori ed altri oggetti che normalmente non sono considerati dei computer, di alloggiare capacità elaborativa di connettersi alla rete internet (definizione data dalla Internet Society nel 2015). Lo sviluppo di sistemi IoT presenta due principali tipologie di rischio: • RISCHI LEGATI ALLA SICUREZZA; • RISCHI LEGATI ALLA PRIVACY.
SICUREZZA E I0T La natura interconnessa dei dispositivi IoT implica che ogni dispositivo non adeguatamente protetto, connesso online, può potenzialmente indebolire la sicurezza e la resilienza di Internet a livello globale. È infatti evidente che dispositivi e servizi IoT non adeguatamente protetti possono servire come potenziali punti di ingresso per attacchi informatici, esporre l’utente a furti di dati o, peggio, comprometterne la sicurezza e la salute. Esempi di noti attacchi cyber nell’Internet delle cose: - Nel mese di luglio 2015, la rivista WIRED ha riportato la notizia di un dirottamento perpetrato a Jeep Cherokee. Infatti, i due hacker sono stati capaci di regolare a distanza l’aria condizionata, controllare la radio e i tergicristalli, e addirittura guidare l’automobile al posto del conducente. Gli hacker hanno sfruttato la connessione Internet del sistema di infotainment U-Connect del veicolo, attraverso il quale il produttore dell’auto può aggiornare il software via etere. - l’attacco DDoS (distributed denial of service) subìto nell’ottobre 2016 da Dyn, fornitore di servizi DNS (domain name server). Il danno si è tradotto nell’impossibilità per molti utenti nel mondo di accedere a siti web popolari, come Twitter, Spotify, Reddit; Con l’avanzare degli IoT, dunque, il tema della sicurezza si espande dall’immaterialità dei dati alla materialità della vita fisica, reale.
RISCHI PRIVACY E I0T L’adozione di tecnologie IoT accresce le preoccupazioni circa la possibilità di una maggiore sorveglianza e monitoraggio dei cittadini, oppure quelle circa la possibilità di tracciare dei dettagliati «ritratti digitali», contenenti oltre ai dati personali, anche abitudini di vita e di consumo, dati sanitari, spostamenti e stili di vita. Il GDPR detta per la prima volta in sede comunitaria una disciplina di tutela applicabile anche ai dati eventualmente raccolti e trasmessi dagli IoT: - pseudonimizzazione e cifratura dei dati (art. 32 GDPR); - Principio della minimizzazione dei dati (considerando n. 39 e art. 5, lett. c GDPR). Sul fronte della ricerca teorica, è interessante citare il progetto SPECIAL, oggetto di studio da parte della Commissione Europea, relativo alle «Sticky Policies» (politiche adesive).
INTELLIGENZA ARTIFICIALE « L'intelligenza artificiale (IA) è una disciplina appartenente all'informatica che studia i fondamenti teorici, le metodologie e le tecniche che consentono la progettazione di sistemi hardware e sistemi di programmi software capaci di fornire all’elaboratore elettronico prestazioni che, a un osservatore comune, sembrerebbero essere di pertinenza esclusiva dell’intelligenza umana.» (Marco Somalvico) Breve ricostruzione storica dell’Intelligenza Artificiale: - TEST DI TURING, 1950; - Dartmouth Summer Research Project on Artificial Intelligence (1956), universalmente considerato come l’evento che diede origine all’Intelligenza Artificiale; - ELIZA, creato tra il 1964 e il 1966 da Joseph Weizenbaum (elaborazione del linguaggio naturale); - La STANZA CINESE di John Searle, 1980; - IL PARADOSSO DI MORAVEC, 1988;
IA E TRATTAMENTO DEI DATI Trattamenti decisionali effettuati in via automatizzata: - art. 22 GDPR: «l’interessato ha diritto a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo significativo sulla sua persona». Qualunque macchina robotica o apparecchio che opera nell’ambito dell’Intelligenza Artificiale (strumenti biometrici, elaboratori di linguaggio naturale-antispam-phishing, machine e deep learning e automazione) è destinata ad assumere decisioni automatizzate che possono incidere non solo sui trattamenti dei dati personali dell’interessato, ma sulla sua stessa persona. VISIONE QUASI PROPRIETARIA DEL DATO  all’interessato viene attribuito un duplice potere: potere di controllo dei propri dati accanto a quello del consenso (par. 2 e 3, art. 22).
RAPPORTO TRA L’AGIRE UMANO E LE MOLTEPLICI FORME DI IA Le «tre leggi della robotica» di Isaac Asimov: 1. Un robot non può recare danno ad un essere umano né può permettere che, a causa del proprio mancato intervento, un essere umano subisca un danno; 2. Un robot deve obbedire agli ordini impartiti dagli essere umani, purché tali ordini non contravvengano alla Prima Legge; 3. Un robot deve proteggere la propria esistenza, purché questa autodifesa non contrasti con la Prima o con la Seconda Legge. Legge Suprema, c.d. «Legge Zero»: un robot non può recare danno all’umanità, né può permettere che, a causa del proprio mancato intervento, l’umanità riceva danno. Tentativi di ricostruzione della responsabilità per i danni causati dall’utilizzo dell’Intelligenza Artificiale: - In campo civilistico  RESPONSABILITÁ PER I VIZI DELLA COSA o ESISTENZA DI UNA POSIZIONE DI GARANZIA; - In campo penalistico  MODELLI DI HALLEVY: riconoscimento di un’autonoma personalità giuridica in capo alle forme di Intelligenza Artificiale.
IL DIRITTO AL CONTROLLO DELLE PERSONE SUI DATI CHE LI RIGUARDANO Considerando 7 del GDPR: «è opportuno che le persone fisiche abbiano il controllo dei dati che li riguardano». Cambiamento di prospettiva del Regolamento 2016/679 rispetto alla Direttiva 95/46 e al Codice privacy italiano (d. lgs. 196/2003)  dal principio, di matrice tedesca, dell’autodeterminazione informativa (dati personali oggetto di un diritto proprietario della persona) al principio del controllo delle persone sui propri dati personali. Rimane una visione proprietaria del dato per tutti i trattamenti dei dati personali basati sul consenso dell’interessato (artt. 6.1, 7, 8, 9 GDPR).
LA PERSONA FISICA COME CENTRO E PERNO DEL REGOLAMENTO Il Regolamento UE 2016/679 abbandona l’impostazione tradizionale che mette al centro del sistema regolatorio i due concetti di dato personale e di trattamento. Nuova impostazione, nell’evoluzione in atto della società digitale, basata sui Big Data, sulla Data Analysis e sull’Intelligenza Artificiale centro e perno del Regolamento è la PERSONA FISICA e la tutela dei propri dati personali intesi come «oggetto» e come «prodotto» di un trattamento. VISIONE «DINAMICA» DELLA TUTELA, legata ai RISCHI per i diritti e le libertà delle persone.
RIFLESSIONI CONCLUSIVE • La nostra vita digitale entra sempre più anche in quella reale; • Cammino verso una maggiore consapevolezza da parte degli individui, considerati l’anello debole della catena della sicurezza, relativamente all’importanza dei dati e delle proprie azioni digitali; • Ricerca di un giusto equilibrio tra le promesse ed i rischi di un trattamento automatizzato su larga scala dei dati; • Rendere le nuove tecnologie una risorsa e non un pericolo per le libertà ed i diritti degli individui.
GRAZIE PER L’ATTENZIONE

Recommended

Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
festival ICT 2016
 
Proteggere il business nell'era digitale
Proteggere il business nell'era digitaleProteggere il business nell'era digitale
Proteggere il business nell'era digitale
Andrea Maggipinto [+1k]
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
SMAU
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
Andrea Maggipinto [+1k]
 
Hr paradigma
Hr paradigmaHr paradigma
Hr paradigma
Salvo Reina
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Massimo Farina
 
D.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informaticiD.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informatici
Mataloni Romano
 

Recommended

Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
festival ICT 2016
 
Proteggere il business nell'era digitale
Proteggere il business nell'era digitaleProteggere il business nell'era digitale
Proteggere il business nell'era digitale
Andrea Maggipinto [+1k]
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
SMAU
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
Andrea Maggipinto [+1k]
 
Hr paradigma
Hr paradigmaHr paradigma
Hr paradigma
Salvo Reina
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Massimo Farina
 
D.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informaticiD.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informatici
Mataloni Romano
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
Paolo Calvi
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
EuroPrivacy
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
AmmLibera AL
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
EuroPrivacy
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
Ict in sanità_-_panorama_europeo_riccardo_abeti_r00
Ict in sanità_-_panorama_europeo_riccardo_abeti_r00Ict in sanità_-_panorama_europeo_riccardo_abeti_r00
Ict in sanità_-_panorama_europeo_riccardo_abeti_r00
Riccardo Abeti
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'azienda
Giovanni Fiorino
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
Council of Europe
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Giorgio Spedicato
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Andrea Ballandino
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali
Manuel Salvi
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacy
Alessandro Bonu
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
Raffaella Brighi
 
DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY
SMAU
 
Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...
Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...
Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...
Centro Produttività Veneto
 
[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6
Andrea Praitano
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
SMAU
 
Smau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSmau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - Sanità
SMAU
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
Data Driven Innovation
 
Digital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliDigital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personali
Federico Costantini
 
Smau Milano 2014 Massimo Farina - Smart City
Smau Milano 2014 Massimo Farina - Smart CitySmau Milano 2014 Massimo Farina - Smart City
Smau Milano 2014 Massimo Farina - Smart City
SMAU
 

More Related Content

What's hot

La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
AmmLibera AL
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
Council of Europe
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY
SMAU
 

What's hot (20)

sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Ict in sanità_-_panorama_europeo_riccardo_abeti_r00
Ict in sanità_-_panorama_europeo_riccardo_abeti_r00Ict in sanità_-_panorama_europeo_riccardo_abeti_r00
Ict in sanità_-_panorama_europeo_riccardo_abeti_r00
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'azienda
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacy
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY
 
Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...
Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...
Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le re...
 
[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 
Smau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSmau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - Sanità
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
 

Similar to Talk Agostino IHC Padova, 03.08.2018

20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...
20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...
20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...
Federico Costantini
 
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
ALESSIA PALLADINO
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacy
peste
 
SPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CADSPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CAD
Gianluca Satta
 
Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
Marco Giacomello
 

Similar to Talk Agostino IHC Padova, 03.08.2018 (20)

Digital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliDigital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personali
 
Smau Milano 2014 Massimo Farina - Smart City
Smau Milano 2014 Massimo Farina - Smart CitySmau Milano 2014 Massimo Farina - Smart City
Smau Milano 2014 Massimo Farina - Smart City
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
La Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppLa Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsApp
 
Privacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppPrivacy in Facebook e WhatsApp
Privacy in Facebook e WhatsApp
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
 
20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...
20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...
20181012 Intelligenza artificiale e soggezione all'azione amministrativa: il ...
 
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
 
INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection Officer
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
 
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
 
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacy
 
SPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CADSPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CAD
 
12345
1234512345
12345
 
Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
 

Talk Agostino IHC Padova, 03.08.2018

  • 1. CYBER SECURITY ED INTELLIGENZA ARTIFICIALE: L’OCCHIO VIGILE DEL GDPR SULLE NUOVE SFIDE PER LA PRIVACY Realizzato dal Dott. Agostino Pedone
  • 2. IL DIRITTO ALLA PRIVACY: L’ORIGINE «The Right to Privacy»: saggio scritto dagli avvocati Samuel Warren e Loius Brandeis e pubblicato dalla Harvard Law Review il 15 dicembre 1890. – RIPRODUZIONE PER FINI NON COMMERCIALI
  • 3. DALLA DIRETTIVA 95/46/CE AL REGOLAMENTO UE 2016/679 La Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è nata agli inizi degli anni 90 del secolo scorso non riuscendo a coprire fenomeni tecnologici comparsi o sviluppatisi solo dopo come quelli di internet, delle app, dei dispositivi portatili, del cloud e dei social network, sino agli attuali scenari dell’Internet of Things, dell’informatica indossabile o, persino, ingeribile. Il GENERAL DATA PROTECTION REGULATION (Regolamento generale sulla protezione dei dati) ha colmato alcune di queste lacune.
  • 4. GENERAL DATA PROTECTION REGULATION (GDPR) Con l’adozione del nuovo Regolamento generale sulla protezione dei dati (c.d. GDPR), adottato dal Parlamento Europeo e dal Consiglio il 27 aprile 2016, l’UE ha compiuto un passo decisivo nel senso del rafforzamento della protezione dei dati delle persone fisiche nonché dell’agevolazione della libera circolazione dei dati personali nel mercato unico digitale. DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: diritto fondamentale ed inviolabile dei cittadini europei (artt. 8, par. 1 della Carta di Nizza e 16 del TFUE).
  • 5. LE PRINCIPALI NOVITÀ CONTENUTE NEL REGOLAMENTO • ACCOUNTABILITY (o principio di «responsabilizzazione»); • PRIVACY BY DESIGN E BY DEFAULT (anche conosciuta come Data Protection by Design e by Default); • REGISTRO DEI TRATTAMENTI; • VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (DATA PROTECTION IMPACT ASSESSMENT); • DATA PROTECTION OFFICER (DPO).
  • 6. CONCETTO DI SICUREZZA NEL GDPR Concetto molto ampio di sicurezza che è possibile cogliere nella duplice accezione inglese di «security» e «safety». • SECURITY: insieme di misure volte a prevenire e contrastare atti di interferenza illecita esterna nei confronti di un sistema; • SAFETY: progettazione, costruzione e manutenzione di un sistema affinché il sistema stesso non pregiudichi l’incolumità o la salute delle persone.
  • 7. I0T E GDPR: CRITICITÁ E RIMEDI Internet of Things (IoT): capacità di oggetti, di dispositivi, sensori ed altri oggetti che normalmente non sono considerati dei computer, di alloggiare capacità elaborativa di connettersi alla rete internet (definizione data dalla Internet Society nel 2015). Lo sviluppo di sistemi IoT presenta due principali tipologie di rischio: • RISCHI LEGATI ALLA SICUREZZA; • RISCHI LEGATI ALLA PRIVACY.
  • 8. SICUREZZA E I0T La natura interconnessa dei dispositivi IoT implica che ogni dispositivo non adeguatamente protetto, connesso online, può potenzialmente indebolire la sicurezza e la resilienza di Internet a livello globale. È infatti evidente che dispositivi e servizi IoT non adeguatamente protetti possono servire come potenziali punti di ingresso per attacchi informatici, esporre l’utente a furti di dati o, peggio, comprometterne la sicurezza e la salute. Esempi di noti attacchi cyber nell’Internet delle cose: - Nel mese di luglio 2015, la rivista WIRED ha riportato la notizia di un dirottamento perpetrato a Jeep Cherokee. Infatti, i due hacker sono stati capaci di regolare a distanza l’aria condizionata, controllare la radio e i tergicristalli, e addirittura guidare l’automobile al posto del conducente. Gli hacker hanno sfruttato la connessione Internet del sistema di infotainment U-Connect del veicolo, attraverso il quale il produttore dell’auto può aggiornare il software via etere. - l’attacco DDoS (distributed denial of service) subìto nell’ottobre 2016 da Dyn, fornitore di servizi DNS (domain name server). Il danno si è tradotto nell’impossibilità per molti utenti nel mondo di accedere a siti web popolari, come Twitter, Spotify, Reddit; Con l’avanzare degli IoT, dunque, il tema della sicurezza si espande dall’immaterialità dei dati alla materialità della vita fisica, reale.
  • 9. RISCHI PRIVACY E I0T L’adozione di tecnologie IoT accresce le preoccupazioni circa la possibilità di una maggiore sorveglianza e monitoraggio dei cittadini, oppure quelle circa la possibilità di tracciare dei dettagliati «ritratti digitali», contenenti oltre ai dati personali, anche abitudini di vita e di consumo, dati sanitari, spostamenti e stili di vita. Il GDPR detta per la prima volta in sede comunitaria una disciplina di tutela applicabile anche ai dati eventualmente raccolti e trasmessi dagli IoT: - pseudonimizzazione e cifratura dei dati (art. 32 GDPR); - Principio della minimizzazione dei dati (considerando n. 39 e art. 5, lett. c GDPR). Sul fronte della ricerca teorica, è interessante citare il progetto SPECIAL, oggetto di studio da parte della Commissione Europea, relativo alle «Sticky Policies» (politiche adesive).
  • 10. INTELLIGENZA ARTIFICIALE « L'intelligenza artificiale (IA) è una disciplina appartenente all'informatica che studia i fondamenti teorici, le metodologie e le tecniche che consentono la progettazione di sistemi hardware e sistemi di programmi software capaci di fornire all’elaboratore elettronico prestazioni che, a un osservatore comune, sembrerebbero essere di pertinenza esclusiva dell’intelligenza umana.» (Marco Somalvico) Breve ricostruzione storica dell’Intelligenza Artificiale: - TEST DI TURING, 1950; - Dartmouth Summer Research Project on Artificial Intelligence (1956), universalmente considerato come l’evento che diede origine all’Intelligenza Artificiale; - ELIZA, creato tra il 1964 e il 1966 da Joseph Weizenbaum (elaborazione del linguaggio naturale); - La STANZA CINESE di John Searle, 1980; - IL PARADOSSO DI MORAVEC, 1988;
  • 11. IA E TRATTAMENTO DEI DATI Trattamenti decisionali effettuati in via automatizzata: - art. 22 GDPR: «l’interessato ha diritto a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo significativo sulla sua persona». Qualunque macchina robotica o apparecchio che opera nell’ambito dell’Intelligenza Artificiale (strumenti biometrici, elaboratori di linguaggio naturale-antispam-phishing, machine e deep learning e automazione) è destinata ad assumere decisioni automatizzate che possono incidere non solo sui trattamenti dei dati personali dell’interessato, ma sulla sua stessa persona. VISIONE QUASI PROPRIETARIA DEL DATO  all’interessato viene attribuito un duplice potere: potere di controllo dei propri dati accanto a quello del consenso (par. 2 e 3, art. 22).
  • 12. RAPPORTO TRA L’AGIRE UMANO E LE MOLTEPLICI FORME DI IA Le «tre leggi della robotica» di Isaac Asimov: 1. Un robot non può recare danno ad un essere umano né può permettere che, a causa del proprio mancato intervento, un essere umano subisca un danno; 2. Un robot deve obbedire agli ordini impartiti dagli essere umani, purché tali ordini non contravvengano alla Prima Legge; 3. Un robot deve proteggere la propria esistenza, purché questa autodifesa non contrasti con la Prima o con la Seconda Legge. Legge Suprema, c.d. «Legge Zero»: un robot non può recare danno all’umanità, né può permettere che, a causa del proprio mancato intervento, l’umanità riceva danno. Tentativi di ricostruzione della responsabilità per i danni causati dall’utilizzo dell’Intelligenza Artificiale: - In campo civilistico  RESPONSABILITÁ PER I VIZI DELLA COSA o ESISTENZA DI UNA POSIZIONE DI GARANZIA; - In campo penalistico  MODELLI DI HALLEVY: riconoscimento di un’autonoma personalità giuridica in capo alle forme di Intelligenza Artificiale.
  • 13. IL DIRITTO AL CONTROLLO DELLE PERSONE SUI DATI CHE LI RIGUARDANO Considerando 7 del GDPR: «è opportuno che le persone fisiche abbiano il controllo dei dati che li riguardano». Cambiamento di prospettiva del Regolamento 2016/679 rispetto alla Direttiva 95/46 e al Codice privacy italiano (d. lgs. 196/2003)  dal principio, di matrice tedesca, dell’autodeterminazione informativa (dati personali oggetto di un diritto proprietario della persona) al principio del controllo delle persone sui propri dati personali. Rimane una visione proprietaria del dato per tutti i trattamenti dei dati personali basati sul consenso dell’interessato (artt. 6.1, 7, 8, 9 GDPR).
  • 14. LA PERSONA FISICA COME CENTRO E PERNO DEL REGOLAMENTO Il Regolamento UE 2016/679 abbandona l’impostazione tradizionale che mette al centro del sistema regolatorio i due concetti di dato personale e di trattamento. Nuova impostazione, nell’evoluzione in atto della società digitale, basata sui Big Data, sulla Data Analysis e sull’Intelligenza Artificiale centro e perno del Regolamento è la PERSONA FISICA e la tutela dei propri dati personali intesi come «oggetto» e come «prodotto» di un trattamento. VISIONE «DINAMICA» DELLA TUTELA, legata ai RISCHI per i diritti e le libertà delle persone.
  • 15. RIFLESSIONI CONCLUSIVE • La nostra vita digitale entra sempre più anche in quella reale; • Cammino verso una maggiore consapevolezza da parte degli individui, considerati l’anello debole della catena della sicurezza, relativamente all’importanza dei dati e delle proprie azioni digitali; • Ricerca di un giusto equilibrio tra le promesse ed i rischi di un trattamento automatizzato su larga scala dei dati; • Rendere le nuove tecnologie una risorsa e non un pericolo per le libertà ed i diritti degli individui.