SlideShare a Scribd company logo

#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue

EuroPrivacy
EuroPrivacy

Le Slide dell'intervento di Stefano Tagliabue alla giornata #Ready4EUdataP organizzata da Europrivacy

Law
1 of 10
Download to read offline
Profilazione vs. Anonimizzazione STEFANO TAGLIABUE Milano, 29 GENNAIO 2016 #READY4EUDATAP
#READY4EUDATAP Profilazione Profiling: “any form of automated processing of personal data consisting of using those data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements” [Art. 4.3(aa)] Adempimenti  Applicazione delle norme del Regolamento (basi legali per il trattamento, principi privacy, ecc.), con specifiche misure di salvaguardia (es. PIA) [Recital 58a]  Informativa per gli interessati, anche su logiche applicate al trattamento dei dati e possibili conseguenze [Recital 48, Art. 14(h)]  Diritti di accesso (es. conoscere logiche, finalità e possibili conseguenze del trattamento dei propri dati) [Recital 51, Art. 15(h)] e diritto di opposizione, in base alla situazione dell’interessato [Art. 19]  Data protection impact assessment, in caso di sistematica ed estensiva valutazione di aspetti personali basata su trattamenti automatizzati, inclusa la profilazione, che costituisce la base per decisioni aventi effetti legali o impatti significativi su un individuo [Recital 71, Art. 33.2(a)] NOTA: le presenti slide fanno riferimento al “compromise text” di GDPR, emerso dal trilogo tra CE, PE e Consiglio ed inviato dal Consiglio il 15 dicembre 2015
#READY4EUDATAP Profilazione “Automated individual decision making, including profiling” [Recital 58, Art. 20]  ammesso solo se (in alternativa): a) necessario ai fini di un contratto stipulato con l’interessato; b) autorizzato dalla legge di uno Stato membro; c) basato sul consenso dell’interessato (“explicit” vs. “unambiguous” consent).  Misure idonee a proteggere i diritti degli interessati, compreso il diritto di ottenere un intervento umano, di esprimere i propri punti di vista e di contestare le decisioni automatizzate.  Di norma non ammesso per dati sensibili (salute, opinioni politiche, orientamento sessuale, ecc.) Possibili in futuro linee guida del EDPS [Art. 66.1(ba)]
#READY4EUDATAP Anonimizzazione Anonymous information: “information which does not relate to an identified or identifiable natural person or to data rendered anonymous in such a way that the data subject is not or no longer identifiable”  Il Regolamento non si applica al trattamento di informazioni anonime  Per stabilire se l’interessato sia identificabile, occorre tenere conto di “all the means reasonably likely to be used”, tenendo conto dei relativi costi, tempi e tecnologie disponibili [Recital 23] Pro: Il trattamento di informazioni anonime non è soggetto al Regolamento Contro: Impossibilità oggettiva di correlare i dati relativi allo stesso soggetto (anonimo) (es. è possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”) Possibili metodi: cancellazione di tutte le informazioni identificative, cifratura e distruzione della relativa chiave, … Attenzione al rischio di re-identificazione
#READY4EUDATAP Use case: Trentino Open Living Data Overview Analisi di flussi di dati derivati da CDR (traffico telefonico e navigazione internet) anonimizzati, utilizzati per varie finalità, quali correlazione tra picchi di traffico e determinati eventi, stima delle aree di provenienza dei visitatori di una mostra, ecc. (Parte di un più ampio progetto di creazione di una piattaforma di raccolta, analisi e condivisione dei dati di un territorio, es. consumi di energia, traffico veicolare, traffico telefonico, per supportare decisioni di aziende e istituzioni, offrire servizi ai cittadini, monitorare fenomeni sociali, ecc.) Principali misure di privacy e protezione dei dati  Struttura dedicata (Laboratorio SKIL), separata organizzativamente e fisicamente dalle funzioni di TI.  I CDR sono anonimizzati (es. cancellando i numeri chiamanti e chiamati) nei sistemi di TI, prima dell’invio allo SKIL.  Solo dati già raccolti e trattati da TI sono anonimizzati e inviati allo SKIL (i dati non sono raccolti apposta per il progetto).  Finalità limitate alla individuazione di trend e correlazioni nei dati, senza alcun effetto su singoli individui. Solo informazioni statistiche, aggregate e anonime, sono communicate a terzi.  Dopo la trasmissione allo SKIL, i CDR anonimizzati sono cancellati dai sistemi di TI.  Misure di sicurezza per la protezione dei dati durante la trasmissione e il trattamento.
#READY4EUDATAP Pseudonimizzazione Pseudonymisation: “the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non- attribution to an identified or identifiable person” [Art. 4.3b] Considerazioni generali:  I dati pseudonimizzati, che possono essere riattribuiti ad un individuo con l’uso di informazioni aggiuntive, devono essere considerati dati personali [Recital 23]  La pseudonimizzazione può ridurre i rischi per gli interessati ed aiutare a rispettare i requisiti privacy [Recital 23a]  Conservazione separata delle informazioni aggiutive che consentirebbero di riattribuire i dati pseudonimizzati [Recital 23c]  Una delle misure applicabili per realizzare i requisiti di privacy by design [Recital 61, Art. 23] e di sicurezza dei dati [Art. 30]  “Unauthorized reversal of pseudonymisation”: elemento da considerare nella valutazione dei rischi privacy [Recital 60a] e possibile causa di data breach [Recital 67]
#READY4EUDATAP Pseudonimizzazione Ruolo nel trattamento dei dati personali:  Elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse da quelle per cui erano stati inizialmente raccolti (es. Big Data analytics) [Art. 6,3a] Pro: Possibilità di correlare i dati relativi ad uno stesso soggetto (sconosciuto) (es. è possibile rispondere a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”) Contro: Il trattamento rientra nel campo di applicazione della normativa privacy, con i relativi vincoli Possibili metodi: crittografia unidirezionale (algoritmi di hashing), … Requisiti di separazione funzionale
#READY4EUDATAP Use case: Matrici O/D Overview Analisi di dati presenti nella rete mobile, per realizzare matrici origine/destinazione (O/D), cioè tabelle che descrivono la mobilità della popolazione in una data area, ad esempio per supportare enti che gestiscono infrastrutture di trasporto, strade, trasporti pubblici, ecc. Principali misure di privacy e protezione dei dati  Crittografia unidirezionale (hashing) per sostiture i dati identificativi (es. IMSI) con codici irreversibili.  Trattamenti limitati ad analisi aggregated, senza alcun effetto su singoli individui.  I dati grezzi non sono mai comunicati a terzi.  Non sono raccolti dati ulteriori rispetto a quelli già presenti nei nodi della rete cellulare (es. non sono utilizzate le funzionalità di localizzazione attiva della rete).  Le chiavi di inizializzazione dell’algoritmo di hash sono cambiate periodicamente.  Particolare cura per escludere gli attributi rari (es.traiettorie da/verso case isolate): 1) aree e intervalli di tempo sufficientemente ampi, 2) cancellazione dalla matrice dei valori corrispondenti ad un solo spostamento. Il Garante Privacy non ha rilevato particolari criticità, dall’esame della documentazione del progetto.
#READY4EUDATAP WP 29 Opinions L’Article 29 Working Party raggruppa le Data Protection Authorities degli Stati membri della UE. I suoi pareri, pur non avendo carattere cogente, rappresentano importanti riferimenti per l’interpretazione e l’applicazione della normativa privacy. Opinion 3/2013 sulla limitazione delle finalità Riguardo i Big Data, sono descritti due possibili scenari:  quando l’analisi mira a prevedere preferenze personali, comportamenti e attitudini dei singoli clienti, al fine di informare misure o decisioni prese verso di loro, è necessario il relativo consenso (opt-in);  quando l’analisi mira solo ad individuare trend e correlazioni nelle informazioni, senza effetti su singoli individui, il concetto di separazione funzionale gioca un ruolo chiave. A tal fine, dovrebbero essere adottate misure, quali l’anonimizzazione, per garantire che i dati non siano disponibili per supportare misure o decisioni verso gli individui. Opinion 5/2014 sulle tecniche di anonimizzazione  Dettagliata analisi, sotto il profilo privacy, delle differenti tecniche di anonimizzazione  Indicazioni per la corretta applicazione delle tecniche di anonimizzazione e per limitare il rischio di re- identificazione  La pseudonimizzazione è considerata un’utile misura di sicurezza ma non un metodo di anonimizzazione.
#READY4EUDATAP Facci una domanda sul Blog Contattaci su Twitter

Recommended

#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 

Recommended

#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...Barbieri & Associati Dottori Commercialisti - Bologna
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 

More Related Content

What's hot

SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 

What's hot (17)

SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 

Similar to #Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue

MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | GeotaggingSmau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | GeotaggingSMAU
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides GdprAndrea Gandini
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Digital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliDigital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliFederico Costantini
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
 

Similar to #Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue (20)

MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | GeotaggingSmau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides Gdpr
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacy
 
Digital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliDigital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personali
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
 

More from EuroPrivacy

5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - planEuroPrivacy
 
Meeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusMeeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusEuroPrivacy
 
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...EuroPrivacy
 
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...EuroPrivacy
 

More from EuroPrivacy (6)

5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan
 
Meeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusMeeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - status
 
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
 
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
 

#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue

  • 1. Profilazione vs. Anonimizzazione STEFANO TAGLIABUE Milano, 29 GENNAIO 2016 #READY4EUDATAP
  • 2. #READY4EUDATAP Profilazione Profiling: “any form of automated processing of personal data consisting of using those data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements” [Art. 4.3(aa)] Adempimenti  Applicazione delle norme del Regolamento (basi legali per il trattamento, principi privacy, ecc.), con specifiche misure di salvaguardia (es. PIA) [Recital 58a]  Informativa per gli interessati, anche su logiche applicate al trattamento dei dati e possibili conseguenze [Recital 48, Art. 14(h)]  Diritti di accesso (es. conoscere logiche, finalità e possibili conseguenze del trattamento dei propri dati) [Recital 51, Art. 15(h)] e diritto di opposizione, in base alla situazione dell’interessato [Art. 19]  Data protection impact assessment, in caso di sistematica ed estensiva valutazione di aspetti personali basata su trattamenti automatizzati, inclusa la profilazione, che costituisce la base per decisioni aventi effetti legali o impatti significativi su un individuo [Recital 71, Art. 33.2(a)] NOTA: le presenti slide fanno riferimento al “compromise text” di GDPR, emerso dal trilogo tra CE, PE e Consiglio ed inviato dal Consiglio il 15 dicembre 2015
  • 3. #READY4EUDATAP Profilazione “Automated individual decision making, including profiling” [Recital 58, Art. 20]  ammesso solo se (in alternativa): a) necessario ai fini di un contratto stipulato con l’interessato; b) autorizzato dalla legge di uno Stato membro; c) basato sul consenso dell’interessato (“explicit” vs. “unambiguous” consent).  Misure idonee a proteggere i diritti degli interessati, compreso il diritto di ottenere un intervento umano, di esprimere i propri punti di vista e di contestare le decisioni automatizzate.  Di norma non ammesso per dati sensibili (salute, opinioni politiche, orientamento sessuale, ecc.) Possibili in futuro linee guida del EDPS [Art. 66.1(ba)]
  • 4. #READY4EUDATAP Anonimizzazione Anonymous information: “information which does not relate to an identified or identifiable natural person or to data rendered anonymous in such a way that the data subject is not or no longer identifiable”  Il Regolamento non si applica al trattamento di informazioni anonime  Per stabilire se l’interessato sia identificabile, occorre tenere conto di “all the means reasonably likely to be used”, tenendo conto dei relativi costi, tempi e tecnologie disponibili [Recital 23] Pro: Il trattamento di informazioni anonime non è soggetto al Regolamento Contro: Impossibilità oggettiva di correlare i dati relativi allo stesso soggetto (anonimo) (es. è possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”) Possibili metodi: cancellazione di tutte le informazioni identificative, cifratura e distruzione della relativa chiave, … Attenzione al rischio di re-identificazione
  • 5. #READY4EUDATAP Use case: Trentino Open Living Data Overview Analisi di flussi di dati derivati da CDR (traffico telefonico e navigazione internet) anonimizzati, utilizzati per varie finalità, quali correlazione tra picchi di traffico e determinati eventi, stima delle aree di provenienza dei visitatori di una mostra, ecc. (Parte di un più ampio progetto di creazione di una piattaforma di raccolta, analisi e condivisione dei dati di un territorio, es. consumi di energia, traffico veicolare, traffico telefonico, per supportare decisioni di aziende e istituzioni, offrire servizi ai cittadini, monitorare fenomeni sociali, ecc.) Principali misure di privacy e protezione dei dati  Struttura dedicata (Laboratorio SKIL), separata organizzativamente e fisicamente dalle funzioni di TI.  I CDR sono anonimizzati (es. cancellando i numeri chiamanti e chiamati) nei sistemi di TI, prima dell’invio allo SKIL.  Solo dati già raccolti e trattati da TI sono anonimizzati e inviati allo SKIL (i dati non sono raccolti apposta per il progetto).  Finalità limitate alla individuazione di trend e correlazioni nei dati, senza alcun effetto su singoli individui. Solo informazioni statistiche, aggregate e anonime, sono communicate a terzi.  Dopo la trasmissione allo SKIL, i CDR anonimizzati sono cancellati dai sistemi di TI.  Misure di sicurezza per la protezione dei dati durante la trasmissione e il trattamento.
  • 6. #READY4EUDATAP Pseudonimizzazione Pseudonymisation: “the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non- attribution to an identified or identifiable person” [Art. 4.3b] Considerazioni generali:  I dati pseudonimizzati, che possono essere riattribuiti ad un individuo con l’uso di informazioni aggiuntive, devono essere considerati dati personali [Recital 23]  La pseudonimizzazione può ridurre i rischi per gli interessati ed aiutare a rispettare i requisiti privacy [Recital 23a]  Conservazione separata delle informazioni aggiutive che consentirebbero di riattribuire i dati pseudonimizzati [Recital 23c]  Una delle misure applicabili per realizzare i requisiti di privacy by design [Recital 61, Art. 23] e di sicurezza dei dati [Art. 30]  “Unauthorized reversal of pseudonymisation”: elemento da considerare nella valutazione dei rischi privacy [Recital 60a] e possibile causa di data breach [Recital 67]
  • 7. #READY4EUDATAP Pseudonimizzazione Ruolo nel trattamento dei dati personali:  Elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse da quelle per cui erano stati inizialmente raccolti (es. Big Data analytics) [Art. 6,3a] Pro: Possibilità di correlare i dati relativi ad uno stesso soggetto (sconosciuto) (es. è possibile rispondere a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”) Contro: Il trattamento rientra nel campo di applicazione della normativa privacy, con i relativi vincoli Possibili metodi: crittografia unidirezionale (algoritmi di hashing), … Requisiti di separazione funzionale
  • 8. #READY4EUDATAP Use case: Matrici O/D Overview Analisi di dati presenti nella rete mobile, per realizzare matrici origine/destinazione (O/D), cioè tabelle che descrivono la mobilità della popolazione in una data area, ad esempio per supportare enti che gestiscono infrastrutture di trasporto, strade, trasporti pubblici, ecc. Principali misure di privacy e protezione dei dati  Crittografia unidirezionale (hashing) per sostiture i dati identificativi (es. IMSI) con codici irreversibili.  Trattamenti limitati ad analisi aggregated, senza alcun effetto su singoli individui.  I dati grezzi non sono mai comunicati a terzi.  Non sono raccolti dati ulteriori rispetto a quelli già presenti nei nodi della rete cellulare (es. non sono utilizzate le funzionalità di localizzazione attiva della rete).  Le chiavi di inizializzazione dell’algoritmo di hash sono cambiate periodicamente.  Particolare cura per escludere gli attributi rari (es.traiettorie da/verso case isolate): 1) aree e intervalli di tempo sufficientemente ampi, 2) cancellazione dalla matrice dei valori corrispondenti ad un solo spostamento. Il Garante Privacy non ha rilevato particolari criticità, dall’esame della documentazione del progetto.
  • 9. #READY4EUDATAP WP 29 Opinions L’Article 29 Working Party raggruppa le Data Protection Authorities degli Stati membri della UE. I suoi pareri, pur non avendo carattere cogente, rappresentano importanti riferimenti per l’interpretazione e l’applicazione della normativa privacy. Opinion 3/2013 sulla limitazione delle finalità Riguardo i Big Data, sono descritti due possibili scenari:  quando l’analisi mira a prevedere preferenze personali, comportamenti e attitudini dei singoli clienti, al fine di informare misure o decisioni prese verso di loro, è necessario il relativo consenso (opt-in);  quando l’analisi mira solo ad individuare trend e correlazioni nelle informazioni, senza effetti su singoli individui, il concetto di separazione funzionale gioca un ruolo chiave. A tal fine, dovrebbero essere adottate misure, quali l’anonimizzazione, per garantire che i dati non siano disponibili per supportare misure o decisioni verso gli individui. Opinion 5/2014 sulle tecniche di anonimizzazione  Dettagliata analisi, sotto il profilo privacy, delle differenti tecniche di anonimizzazione  Indicazioni per la corretta applicazione delle tecniche di anonimizzazione e per limitare il rischio di re- identificazione  La pseudonimizzazione è considerata un’utile misura di sicurezza ma non un metodo di anonimizzazione.
  • 10. #READY4EUDATAP Facci una domanda sul Blog Contattaci su Twitter