Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri
Presentazione convenia-8-giugno-2016-1
1. L'ambito di applicazione materiale
del GDPR:
i nuovi parametri territoriali e
le conseguenze sul trattamento dei
dati dei Consumatori
2. Ambito di applicazione materiale 1/3
Art. 2 Regolamento UE 2016/79
- Trattamento interamente o parzialmente automatizzato
- Trattamento non automatizzato di dati personali contenuti in
un archivio o destinato a figurarvi
3. Ambito di applicazione materiale 2/3
ECCEZIONI: trattamenti
a) Effettuati per attività che non rientrano nell'ambito di applicazione del
diritto dell'Unione;
b) effettuati dagli Stati membri nell'esercizio di attività che rientrano
nell'ambito di applicazione del titolo V capo 2, TUE;
c) effettuati da una persona fisica per l'esercizio di attività di carattere
esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione indagine
accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse
la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle
stesse.
4. Ambito di applicazione materiale 3/3
Considerando 12 Dir. 95/46/CE ...che deve essere escluso il trattamento di dati
effettuato da una persona fisica nell'esercizio di attività a carattere esclusivamente
personale o domestico quali la corrispondenza e la compilazione di elenchi di
indirizzi.
Codice Privay art. 5 co. 3: Il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali è soggetto all'applicazione del presente
codice solo se i dati sono destinati ad una comunicazione sistematica o alla
diffusione. Si applicano in ogni caso le disposizioni in tema di responsbailità e di
sicurezza dei dati di cui agli articoli 15 e 31.
Sentenza Corte di Giustizia 6 novembre 2003 procedimento C-101/01 (c.d.
Lindqvist): Tale eccezione deve quindi interpretarsi nel senso che comprende
unicamente le attività che rientrano nell'ambito della vita privata o familiare dei
singoli, il che manifestamente non avviene nel caso del trattamento di dati personali
consistente nella loro pubblicazione su Internet in modo da rendere tali dati
accessibili ad un numero indefinito di persone.
5. a) l’offerta di beni o la prestazione di servizi agli interessati
nell'Unione, indipendentemente dall'obbligatorietà di un
pagamento dell'interessato
Corte di Giustizia 06.09.2012:
“attività diretta” può ritenersi integrata ogniqualvolta il professionista
dimostri la volontà di commercializzare i propri prodotti o servizi in un
determinato Stato membro: es . elementi espressi come l'indicazione dei
Paesi ai quali l'offerta si rivolge, ovvero la possibilità di scegliere
determinati Stati nei form on-line per effettuare l'ordine. Analogamente,
nel caso in cui il sito contenga dei link che rinviino a pagine redatte in
lingue diverse, se ne potrebbe dedurre che il professionista ha inteso
rivolgere la propria offerta anche nei Paesi in cui tali lingue sono parlate.
Ambito di applicazione territoriale 1/2
6. b) il monitoraggio dei loro (interessati) comportamenti nella
misura in cui tale comportamento ha luogo all'interno
dell'Unione
Le persone fisiche possono essere associate a dispositivi, applicazioni, protocolli utilizzati (indirizzi
IP), marcatori temporanei (cookies) che lasciano tracce che, se combinate con identificativi univoci e
altre informazioni riceute dai server, possono essere utilizzate per creare profili delle persone fisiche e
identificarle.
Conclusioni dell'Avvocato Generale SÁNCHEZ-
BORDONA presentate il 12 maggio 2016 nella causa C-582/14:
L'indirizzo IP dinamico deve essere qualificato, per il fornitore di servizi
Internet, come un dato personale, tenuto conto dell'esistenza di un terzo (il
fornitore di accesso alla rete) al quale detto fornitore può ragionevolmente
rivolgersi per ottenere informazioni aggiuntive che, incrociate con tale
dato, consentono l'identificazione di un utente.
Ambito di applicazione territoriale 2/2
7. ...in forma concisa, trasparente, intelleggibile e facilmente
accessibile con un linguaggio semplice e chiaro, in particolare
nel caso di informazioni destinate specificamente a minori.
Informativa 1/3
9. ...Le informazioni sono fornite per iscrittoiscritto o con altri mezzi,
anche se del caso, con mezzi elettronici. Se richiestoSe richiesto
dall'interessatodall'interessato, le informazioni possono essere fornite
oralmente, purche sia comprovata con altri mezzi l'identità del
destinatario.
Informativa 3/3
10. Informativa da fornire qualora i dati personali non
siano stati ottenuti presso l'interessato 1/3
Direttiva 95/46/CE Art. 11: 1. In caso di dati non raccolti presso la persona interessata, gli Stati
membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una
comunicazione dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire
alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne
sia già informata:
a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante,
b) le finalità del trattamento,
c) ulteriori informazioni riguardanti quanto segue:
le categorie di dati interessate,
i destinatari o le categorie di destinatari dei dati,
se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che la riguardano,
nella misura in cui in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali
informazioni siano necessarie per effettuare un trattamento nei confronti della persona interessata.
2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a
scopi statistici, o di ricerca storica o scientifica, l'informazione della persona interessata si rivela
impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per
legge. In questi casi gli Stati membri prevedono garanzie appropriate.
11. Informativa da fornire qualora i dati personali non
siano stati ottenuti presso l'interessato 2/3
Codice Privacy art. 13 comma 4: Se i dati personali non sono raccolti presso l'interessato,
l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo
interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre
la prima comunicazione.
12. Informativa da fornire qualora i dati personali non
siano stati ottenuti presso l'interessato 3/3
Nell'ipotesi di dati non raccolti presso l'Interessato, l’Informativa
presenta, richiede i suindicati ulteriori elementi:
- l’indicazione delle categorie di dati personali;
- le fonti da cui hanno origine i dati e la eventuale provenienza da fonti
accessibili al pubblico.
13. Qualsiasi manifestazione di volontà
libera,
specifica,
informata
inequivocabileinequivocabile dell'interessato,
con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione
positiva inequivocabile che i dati personali che
lo riguardano siano oggetto di trattamento.
Consenso 1/4
15. Considerando 32 ultima parte: il Consenso dell’Interessato è
richiesto attraverso mezzi elettronici, la richiesta rimane chiara e
concisa, ma non dovrebbe interferire immotivatamente con il
servizio per il quale lo stesso Consenso è espresso.
Linee Guida in materia di trattamento di dati personali per
profilazione online del 19 marzo 2015: la menzionata area deve
essere parte integrante di un meccanismo idoneo a consentire
l'espressione di una azione positiva nella quale si sostanzia la
manifestazione del consenso dell'interessato. In altre parole, essa
deve determinare una discontinuità seppure minima, dell'esperienza
di navigazione: il superamento della presenza dell'area visualizzata
deve cioè essere possibile solo mediante un intervento attivo
dell'utente
Consenso 3/4
16. Dimostrazione:
il titolare del trattamento dovrebbe essere in
grado di dimostrare che l'interessato ha
acconsentito al trattamento.
Consenso 4/4
17. Diritto di opposizione: qualora l’interessato si opponga
al trattamento per finalità di marketing diretto, i dati personali
non potranno più essere oggetto di trattamento per tali finalità.
Conseguenze: Marketing 1/2
18. Rapporti con Direttiva 2002/58/CE:
Possibilità di rifiutare che i dati siano trattati anche per scopi commerciali e di tale
opportunità deve essere data continua comunicazione in ogni successivo messaggio a
scopi di commercializzazione diretta. La comunicazione volta all'interruzione del
trattamento per tali finalità deve, inoltre, essere gratuita, ad eccezione degli eventuali
costi relativi alla trasmissione.
“Comunicazioni indesiderate”: il consenso deve essere reso esplicitamente in tutti i
casi nei quali sono utilizzati sistemi automatizzati, che non richiedono l'intervento di
un operatore. Ove le comunicazioni non siano inviate mediante mezzi automatizzati,
i dati raccolti nel contesto della vendita di un prodotto o servizio possono essere
utilizzati anche a fini di marketing diretto senza che sia prestato il consenso, purchè
ai clienti sia offerta in modo chiaro e distinto, al momento della raccolta delle
coordinate elettroniche e ad ogni messaggio, la possibilita di opporsi, gratuitamente
e in maniera agevole, all'uso di tali coordinate elettroniche qualora il cliente non
abbia rifiutato inizialmente tale uso
Conseguenze: Marketing 2/2
19. Per stabilire se un'attività di trattamento sia assimilabile al
controllo del comportamento dell'interessato, è opportuno
verificare se le persone fisiche sono tracciate su Internet.
Conseguenze: Online Tracking 1/1
20. DEFINIZIONE: qualsiasi forma di trattamento automatizzato di
dati personali consistente nell'utilizzo di tali dati personali per
valutare determinati aspetti personali relativi a una persona fisica,
in particolare per analizzare o prevedere aspetti riguardandi il
rendimento professionale, la situazione economica, la salute, le
preferenze personali, gli interessi l'affidabilità il comportamento,
l'ubicazione o gli spostamenti di detta persona fisica.
Conseguenze: Profiling 1/3
22.
Diritto di opposizione alla profilazione;
Diritto dell'interessato di non essere sottoposto a una decisione
basata unicamente sul trattamento automatizzato, compresa la
profilazione, che produca effetti giuridici che lo riguardano o che
incida in modo analogo significativamente sulla sua persona;
Il titolare del trattamento deve limitare il rischio legato alla
profilazione sulla base della quale sono prese decisioni che
producono effetti giuridici o che incidono in modo analogo
significativamente sulle persone fisiche.
Conseguenze: Profiling 3/3
23. Il trattamento di dati personali di minori, in relazione ai servizi
della società dell'informazione, al di sotto dei 16 anni – o, se
previsto dal diritto degli Stati membri, di un'età inferiore ma non
al di sotto di 13 anni – è lecito soltanto se e nella misura in cui
tale consenso è espresso o autorizzato dal titolare della
responsabilità genitoriale sul minore.
CONSEGUENZE: in relazione ai cookies.
Conseguenze:
Trattamento online dei dati dei
minorenni 1/1
24. Conclusioni
Tutele del consumatore estese all'ambito del
trattamento dei dati personali
Dalla forma alla sostanza