Smau Bologna 2014 - Le "App.": tra progettazione, trattamento dei dati person...
Btc 2014 monica gobbato privacy e social
1. LA CORRETTA GESTIONE
LEGALE DEL WEB
MARKETING
tra Social Media e
Diritto all'Oblio
Avv. Monica Gobbato
Privacy Officer - TUV
Facebook – MonicaGobbato5
Twitter – @Monicagobbato
avv.monicagobbato@gmail.com
Www.Relatore
assodigitale.it Legge digitale
2. IILL CCOODDIICCEE PPRRIIVVAACCYY
DISCIPLINA,
una attività: il TRATTAMENTO
compiuta da alcuni SOGGETTI
ed avente ad oggetto DATI PERSONALI
Trattamento E’ qualunque
attività si compia sul dato
I Soggetti sono:
Il Titolare
Il Responsabile
L’Incaricato
DATI PERSONALI:
qualunque informazione relativa a persona fisica,
identificata/identificabile,
anche indirettamente,
mediante riferimento a qualsiasi altra informazione.
avv.monicagobbato@gmail.com
3. Il codice impone quattro ruoli :
Il titolare del trattamento
• Il responsabile del trattamento
• Gli incaricati al trattamento
• L’interessato al trattamento
4. I dati personali si dividono
in quattro categorie:
• Dati comuni
• Dati sensibili
• Dati giudiziari
Dati particolari
5. Le recenti definizioni di “dato personale”
e di “interessato”
L’a Legge 22/12/2011 n. 214 ha escluso dall’ambito di
applicazione della normativa privacy i trattamenti dei dati
relativi alle persone giuridiche, enti o associazioni
Infatti, la norma ha eliminato i riferimenti a questi soggetti
dalle definizioni di “dato personale” e di “interessato” [art. 4,
co. 1, lett. b) ed i)], stabilendo in via generale che la disciplina
riguarda esclusivamente le persone fisiche.
avv.monicagobbato@gmail.com
6. Art. 130. Comunicazioni indesiderate*
1. ...omissis … l'uso di sistemi automatizzati di chiamata o di
comunicazione di chiamata senza l'intervento di un operatore per
l'invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale è
consentito con il consenso del contraente o utente. (articolo modificato
dal d. lgs. 69/2012)
“La parola CONTRAENTE o utente ha sostituito la parola abbonato”.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni
elettroniche, effettuate per le finalità ivi indicate, mediante posta
elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging
Service) o Sms (Short Message Service) o di altro tipo.
avv.monicagobbato@gmail.com
7. 3.(1) omissis ...
3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati
di cui all'articolo 129, comma 1, mediante l'impiego del telefono e della
posta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b), è
consentito nei confronti di chi non abbia esercitato il diritto di
opposizione, con modalità semplificate e anche in via telematica,
mediante l'iscrizione della numerazione della quale è intestatario e
degli altri dati personali di cui all'articolo 129, comma 1 in un registro
pubblico delle opposizioni.(3)
avv.monicagobbato@gmail.com
8. Tali modifiche consentono di chiarire
espressamente che la disciplina delle
comunicazioni indesiderate prevista dal
Codice trova applicazione anche alle persone
giuridiche.
LO SPAM ALLE IMPRESE
CONTINUA AD ESISTERE
avv.monicagobbato@gmail.com
10. Effetto Diluvio
ORA BIG DATA
Da tempo stiamo assistendo ad un cosiddetto “effetto
diluvio”, con un continuo aumento della quantità di dati
personali esistenti, elaborati e ulteriormente trasferiti. Questo
fenomeno è favorito sia dai progressi tecnologici, vale a dire lo
sviluppo dei sistemi di informazione e di comunicazione, sia
dalla crescente capacità degli utenti di impiegare le tecnologie e
interagire con esse. Con l’aumento della quantità di dati
trasferiti in tutto il mondo, aumentano anche i rischi di abuso
Il principio di Responsabilità
Parere 3/2010
del Gruppo ex art. 29
adottato il 13 luglio 2010 (wp 173)
11. I dati di geolocalizzazione sono
una fonte potenziale di reddito
Parere 5/2005 Gruppo Garanti Europei
WP 115 adottato il 25 novembre 2005
Alla prima fase ne è seguita una
seconda caratterizzata da servizi
a valore aggiunto
che non si basano più sulla localizzazione
delle persone su
loro richiesta (utenti che
desiderano avvalersi di un servizio)
ma sul fatto di localizzarle
(su richiesta di terzi).
GGeeoollooccaalliizzzzaazziioonnee
Il valore delle info aumenta
quando è collegato ad una
posizione
avv.monicagobbato@gmail.com
16. Considerazioni
• In Italia la penetrazione e utilizzo dei social
media è molto superiore alla media mondiale
( 58% e 42% vs 26%)
• Il dato risalta di più se confrontato con altri
paesi con maggiore penetrazione Internet
avv.monicagobbato@gmail.com
17. Social Media
Italia
Germania
Penetrazione Internet: 84%
Utilizzo dei Social Media: 36%
Penetrazione Internet: 58%
Utilizzo dei Social Media: 42%
18. RRaappppoorrttoo ee LLiinneeee--GGuuiiddaa iinn mmaatteerriiaa ddii pprriivvaaccyy nneeii
Rapporto e Linee-Guida in mmaatteerriiaa ddii pprriivvaaccyy nneeii
sseerrvviizzii ddii ssoocciiaall nneettwwoorrkk ((**))
""MMeemmoorraanndduumm ddii RRoommaa""
sseerrvviizzii ddii ssoocciiaall nneettwwoorrkk ((**))
""MMeemmoorraanndduumm ddii RRoommaa""
AAddoottttaattoo iinn ooccccaassiioonnee ddeell 4433mmoo iinnccoonnttrroo,,
AAddoottttaattoo iinn ooccccaassiioonnee ddeell 4433mmoo iinnccoonnttrroo,,
33--44 mmaarrzzoo 22000088,, RRoommaa
33--44 mmaarrzzoo 22000088,, RRoommaa
PPaarreerree 55//22000099 ssuuii
ssoocciiaall nneettwwoorrkk oonn--
lliinnee aaddoottttaattoo iill 1122
ggiiuuggnnoo 22000099
SSoocciiaall NNeettwwoorrkk
30ma Conferenza internazionale
delle Autorità di protezione dei dati Stasburgo,
15 - 17 ottobre 2008
Risoluzione sulla tutela della privacy
nei servizi di social network
19. I rischi sinora individuati in rapporto all'utilizzo di servizi
di social network sono i seguenti:
● 1) Niente oblio su
Internet. Il concetto di
oblio non esiste su Internet. I
dati, una volta pubblicati,
possono rimanerci
letteralmente per sempre –
anche se la persona
interessata li ha cancellati
dal sito "originario",
possono esisterne copie
presso soggetti terzi.
● 2) L'idea ingannevole di
"comunità". Molti fornitori
affermano di trasferire le strutture
comunicative dal mondo "reale" al
cyberspazio. Un'affermazione
frequente è che non ci sarebbero
problemi, per esempio, a
pubblicare dati (personali) su
queste piattaforme, perché è come
se si condividessero informazioni
con un gruppo di amici nel mondo
reale.
● 3) "Gratis" non sempre
significa "a costo zero".
In realtà, molti dei servizi di
social network fanno
"pagare" gli utenti
attraverso il riutilizzo dei
dati contenuti nei profili
personali da parte dei
fornitori di servizio, ad
esempio per attività (mirate)
di marketing.
● 4) La raccolta di
dati di traffico da
parte dei fornitori
di servizi di s. n. i
quali hanno gli
strumenti tecnici
per registrare
ogni singolo
passo dell'utente
sul loro sito .
● 5) Utilizzo improprio dei
profili utente da parte di
soggetti terzi.A seconda
della configurazione (di
default) disponibile, le
informazioni contenute
nel profilo (comprese
immagini, che possono
ritrarre sia il singolo
interessato, sia altri
soggetti) diventano
accessibili all'intera
6) Rivelare più
informazioni personali
di quanto si creda.
20. PER SEMPRE… O QUASI
Quando inserisci i tuoi dati personali su un
sito di social network, ne perdi il
controllo. I dati possono essere
registrati da tutti i tuoi contatti e dai
componenti dei gruppi cui hai
aderito, rielaborati, diffusi, anche a
distanza di anni. A volte, accettando di
entrare in un social network, concedi
all’impresa che gestisce il servizio la
licenza di usare senza limiti di tempo il
materiale che inserisci on-line… le tue
foto, le tue chat, i tuoi scritti, i tuoi
pensieri.
LE LEGGI
APPLICATE
Il problema del
diritto all'Oblio
AVVISO AI NAVIGANTI L
21. Potenziare il marketing
senza intaccare la privacy
La legge 166/2009 e il regolamento che
disciplina il «Registro pubblico delle
opposizioni» (cosiddetta «robinson list»)
NOVITA'
Dall'Opt in si
passa all'oopptt oouutt
23. Registro delle Opposizioni contro le
chiamate indesiderate
Si tratta di un registro che raccoglie
tutti i numeri degli italiani che non
intendono più ricevere a casa, o sul
cellulare, telefonate indesiderate
Entrata in vigore del provvedimento:
17/11/2010
Legge 20 novembre
2009, n. 166
24. TARIFFA (Iva esclusa)
A 1.500* € 45
B 50.000* € 1.500
C 300.000* € 9.000
D 1.000.000* € 23.000
E 5.000.000* € 105.000
F 10.000.000* € 150.000
G 15.000.000* € 195.000
H 25.000.000* € 245.000
DIMENSIONI "PACCHETTO
DI NUMERAZIONI" avv.monicagobbato@gmail.com
25. No Consenso salvo non sia
iscritto nel Registro
Opposizioni
E Finalità medesima
No Consenso se Finalità è
medesima di quella per cui è stato
reso dato pubblico
Sempre Consenso preventivo
Social Network Aperti
(tipo twitter pubb o
Linkedin o FB p.)
Sempre Consenso
Sempre Consenso preventivo
preventivo
Social Network Chiusi (FB
Chiuso o Twitter Chiuso)
No Consenso
Clienti/Consumatori
Con presistenti
rapporti contrattuali
No Consenso salvo non
sia iscritto nel Registro
Opposizioni
E Finalità medesima
No Consenso se Finalità è
medesima di quella per cui è
stato reso dato pubblico
Sempre Consenso preventivo
Web Siti Istituzionali
Web Siti non Istituzionali
Telefono/Posta
Ordinaria
E Mail
SMS
Luogo di reperimento
del dato
No Consenso
26. Violazioni Amministrative
La modifiche dell’importo delle ammende
Tipologia Importo Codice Importo attuale
€ 10.000 a 60.000 Da 20000 a 120000
Pubblicaz.ordinanza
Omessa, incompleta
Notificazione
€ 4.000 a 24.000 Da 10000 a 60000 Omessa informazione
esibizione Garante
€ 5.000 a 30.000
Cessione Dati in
violazione
disposizioni Codice
Da 6000 a 36000
E aumento fino al
quadruplo
D.C. € 3.000 a 18.000
D.S. € .5.000 a
30.000
Aumento triplo
Omessa, inidonea
informativa
Fino a a 60000
27. Reati Informatici E Responsabilità
Civile
applicabili al Web Marketing
Identità digitale falsa
Ingiuria
Diffamazione
Trattamento Illecito di Dati
Qualsiasi Violazione Privacy
da cui scaturisca un Danno
28. Autenticazione tramite Social
Grandi Trasferimenti di dati
Possibili Identità Fasulle
Utilizzo dei Big Data per svariate
finalità, spesso imprevedibili
29. Recensioni
Tribunale di Milano Sez. I del 25 maggio
2013 ha stabilito che “ I gestori dei motori
di ricerca – la cui attività è riconducibile a
quella di host provider ai sensi dell’art. 16
d.lg. n. 70 del 2003 – che non si limitino a
fornire passivamente servizi di ospitalità di
contenuti altrui, ma svolgano attività
ulteriori, non meramente automatiche e
necessarie per la sola trasmissione o
raccolta dei contenuti stessi, perdono la
posizione di passività e neutralità cui è
legata l’esenzione da responsabilità ai sensi
degli art. 15 e 16, d.lg. n. 70 del 2003, con la
conseguenza che, nei loro confronti,
l’eventuale responsabilità deve essere
accertata alla luce degli ordinari criteri di
cui all’art. 2043 c.c.”
Tripadvisor avrebbe dichiarato di fare
un controllo preventivo sui
post/recensioni mediante un team
di 200 persone per evitare
irregolarità
Quindi è un soggetto attivo.
Applicabilita del 2043 c.c.
Difficile in sede civile perché qui l’host
garantisce la riservatezza dei dati
personali e quindi l’anonimato nei
confronti dei terzi per cui da un lato
l’identificazione sarà un’impresa
ardua, visto che non sussiste, in tale
ambito, l’obbligo di rendere noto al
danneggiato il nome dell’autore del
giudizio/recensione pubblicati
Non si è considerato però il trattamento
Illecito dei dati Personale ex art. 169
Codice Privacy. I dati di Valutazione
(recensioni) sono ANCHE dati
personali del valutato
32. RREEGGOOLLAAMMEENNTTOO EEUU PPRRIIVVAACCYY
EEmmeennddaammeennttoo aarrttiiccoolloo 22
Art. 2 Campo di applicazione materiale
1. Il presente regolamento si applica al trattamento interamente
o parzialmente automatizzato di dati personali e al
trattamento non automatizzato di dati personali contenuti in
un archivio o destinati a figurarvi.
33. REGOLAMENTO EU PRIVACY
Emendamento articolo 4
(3 bis) «profilazione»: qualsiasi forma di trattamento automatizzato di
dati personali destinata a valutare taluni aspetti della personalità
di una persona fisica o ad analizzarne o prevederne in particolare
il rendimento professionale, la situazione economica, l'ubicazione,
lo stato di salute, le preferenze personali, l'affidabilità o il
comportamento;
(4) «archivio»: qualsiasi insieme strutturato di dati personali
accessibili secondo criteri determinati, indipendentemente dal
fatto che tale insieme sia centralizzato, decentralizzato o ripartito in
modo funzionale o geografico;
avv.monicagobbato@gmail.com
34. Finalità di "profilazione" della clientela
L'attività di profilazione riguardante singoli individui o gruppi può
essere svolta, in diversi casi, disponendo solo di dati (pseudo)anonimi o
non identificativi (ad esempio, un codice numerico), senza una relazione
tra i dati che permettono di individuare gli interessati e le indicazioni
analitiche relative alla loro sfera personale (gusti, preferenze, abitudini,
bisogni e scelte di consumo). Se la finalità può essere perseguita con tali
modalità (specie per quanto riguarda la profilazione della clientela per
categorie omogenee), non è lecito utilizzare -e tanto meno conservare- dati
personali o identificativi.
Negli altri casi, le informazioni che si intende acquisire (sia all'atto
dell'adesione del cliente all'iniziativa, sia per effetto dell'eventuale
registrazione di singoli beni e servizi accessori), e le modalità del loro
trattamento, devono essere pertinenti e non eccedenti rispetto alla tipologia
dei beni commercializzati o dei servizi resi. 'Fidelity card' e garanzie per i
consumatori. Le regole del
Garante per i programmi di
fidelizzazione
- 24 febbraio 2005