SlideShare a Scribd company logo
1 of 68
La gestione dei dati personali
nel GeoTagging: profili
privacy presenti e futuri
Avv. Andrea Michinelli – Studio legale d’Ammassa &
Associati
Avv. Stefano Ricci – Studio legale Meda Preti Ricci
Milano - 27 ottobre 2016
Perché ci interessa
Perché ci interessa
Perché ci interessa
Perché ci interessa
Cercando una definizione…
Designed by Freepik
Cercando una definizione…
 Geolocalizzazione = deter-
minazione (anche approssimativa)
dell’ubicazione spaziale di una
persona fisica (es. indirizzo,
nome/immagine di un luogo,
latitudine & longitudine, altitudine,
velocità, ecc.), anche tramite oggetti
a essa riconducibili – tracciamento /
posizionamento
 Geotagging = geolocalizzazione
mediante abbinamento di
determinati dati/contenuti (foto,
video, siti web, messaggi, tweet,
ecc.) a un’etichetta informatica con
dati geografici (come metadata del
file, nelle proprietà dello stesso)
SCOPI
• per scopi personali / commerciali /
lavoro → es. sharing via social
network
• per finalità di ricerca e
organizzazione archivi → perlopiù a
opera degli stessi utenti o dei loro
dispositivi
• per finalità di profilazione
commerciale → perlopiù a opera dei
fornitori di hardware & software o dei
loro dispositivi
• per il rispetto di legge e contratti →
a opera dei titolari/fornitori di servizi
onde garantire la fruizione dei diritti
licenziati nei soli territori concessi
Da dove?
DATI GENERABILI:
a) automaticamente dal dispositivo, sulla base di funzioni predeterminate
dal produttore del OS e/o dispositivo o dal relativo fornitore di telefonia
mobile (es. dati di geolocalizzazione, impostazioni di rete, indirizzo IP) –
IoT (Internet of Things!);
b) dall'utente volontariamente mediante app (liste di contatti, appunti, foto),
inserimento manuale;
c) dalla app mediante il suo funzionamento (ad es. cronologia di
navigazione)
d) da terzi mediante incrocio di più dati
ACCESSIBILI anche da terzi (per es. una rete pubblicitaria che accede ai
dati di geolocalizzazione del dispositivo per fornire pubblicità
comportamentali)
Cosa rischia l’interessato
► Localizzazione “occulta” di persone/cose
► Combinazione di pochi dati di geolocalizzazione con altri (big
data), oltre che con servizi di più parti
► Maggiore disponibilità nel mercato di geo-search (v.
cybercasing = uso di strumenti online per ricavare dati di
localizzazione)
► Metadata sempre più disponibili in social network
► Privacy paradox = gli utenti, se interpellati, manifestano
grande preoccupazione per la propria privacy ma attuano
poco o nulla per contrastarla (contraddizione)
Players
a) Sviluppatori OS
b) API per accesso a contenuti geo: Flickr, YouTube, Twitter, Craiglist
→ dunque disponibilità dei dati anche a sviluppatori terzi
c) Servizi location-based: servizi forniti sulla base dell’attuale
localizzazione dell’utente (es. Google maps) da parte di terzi
d) Portali Internet
v. Google+, Yahoo!, Foursquare, Yowza!!, SimpleGeo, Instagram,
Facebook, Twitter, Flickr…
• YouTube: estrae di default geo-info dai video caricati, richiede opt-out;
Flickr: richiede opt-in esplicito
• iPhone Apple: di default geotaggava foto e video realizzati, richiedeva opt-
out; Android: richiede opt-in
Designed by Freepik
Strumenti di geolocalizzazione
 GPS (Global Positioning System) =
segmenti spaziali (satellite) +
controllo (dispositivi terrestri) +
azione utente; GNSS; AGPS; ecc.
 Triangolazione celle telefono mobile
/ hotspot Wifi (→ incrocio dati su
intensità segnale con hotspot noti –
ogni hotspot segnala proprio MAC
address e nome di rete)
 Incrocio di dati, inferenza (es.
comparazione immagine con quella
di Google StreetView),
crowdsourcing
 Hardware & software in genere (es.
browser, etichette RFID,
comunicazioni NFC - M2M - IMES,
Bluetooth – ultrasonic beacon, ecc.)
 Formato EXIF (specifico per foto di
fotocamere digitali, file in formato
JPEG, TIFF, RIFF, ecc.),
registrazioni, software editing (es.
foto) → possono lasciare
thumbnails dell’immagine o file
originario (EXIF, Word, Pdf, ecc.)
→ si trovano metadata EXIF in blog
e siti web!
IDENTIFICAZIONE: può essere
immediata o successiva alla raccolta
del dato (es. incrocio marca
temporale con log di un ricevitore
GPS, ecc.)
Privacy oggi
FONTI (principali)
• Codice Della Privacy (CDP) - D.Lgs. 196/2003 (v. Allegati: codici deontologici,
misure minime di sicurezza) dalla Direttiva 95/46/UE
• Provvedimenti Garante Della Privacy (GDP) (es. autorizzazioni generali, linee
guida, vademecum, ecc.) e del Gruppo di lavoro art. 29 (WP 29)
DATO DI LOCALIZZAZIONE:
 è un dato personale
 può essere dato sensibile (può rivelare stato salute, orientamenti sessuali,
religiosi, politici, ecc.) – es. visite in ospedale, luogo di culto, sindacati, partiti,
ecc. → consenso scritto + notifica Garante + autorizzazione preventiva del
Garante (tranne casi predeterminati in autorizzazioni generali)
 può essere dato “quasi” sensibile = presenta rischi per diritti, libertà e dignità
dell’interessato (a seconda della natura del dato, della modalità e degli effetti del
trattamento) → rispetto di misure a tutela dell’interessato, se prescritte dal
Garante + interpello di verifica preventiva al Garante
Privacy Italia/UE: concetti di base (in pillole)
◊ Dato personale = dato di una persona
fisica identificata/identificabile (anche in
correlazione con altri dati) – es. email,
immagine, numero di telefono, indirizzo
IP, ecc. → ubicazione!
◊ Trattamento = qualsiasi operazione
compiuta con il dato personale – es.
raccolta, modifica, incrocio,
cancellazione, ecc.
◊ Interessato = persona fisica a cui si
riferisce il dato personale
◊ Titolare = persona fisica/giuridica che
decide circa il trattamento dei dati
◊ Responsabile = persona fisica/giuridica
nominata dal Titolare per compiere
determinati trattamento in suo conto
◊ Informativa = informazioni (previe) sul
trattamento all’interessato
◊ Consenso = assenso (informato) al
trattamento dei dati dell’interessato
◊ Misure di sicurezza = misure tecnico-
organizzative adottate dal titolare per la
tutela del trattamento – minime Allegato
B CDP (sistemi di autenticazione,
autorizzazione, liste di incaricati,
aggiornamenti software, backup,
antivirus, gestione supporti, certificazioni
di fornitori, misure per trattamenti
cartacei, ecc.) + eventuali misure
adeguate ulteriori (v. provv. Garante)
(v. anche Guidelines ENISA, es. per app
developers 2011)
Privacy: principi di base
Privacy: principi di base (in pillole)
a) Necessità = configurazione dei
sistemi informativi e informatici
riducendo al minimo l’utilizzazione di
dati personali, così da escludere il
trattamento se le finalità possono
essere perseguite mediante dati
anonimi o identificando l’interessato
solo in caso di necessità
b) Finalità (pertinenza e non
eccedenza) = dati raccolti e registrati
per scopi: determinati (devono
esserci degli scopi), espliciti
(informazione all’interessato),
legittimi, coerenti con i presupposti
della raccolta
c) Legittimità (correttezza, traspa-
renza) = i dati personali trattati in
violazione della disciplina rilevante
in materia di trattamento dei dati
personali NON possono essere
utilizzati; è necessaria base
giuridica a supporto del rapporto
d) Proporzionalità = modalità di
trattamento e dati: pertinenti (alle
funzioni derivanti dall’attività
svolta), completi, NON eccedenti le
finalità (qualitativamente e
quantitativamente); → termine
temporale: una volta perseguite
tali finalità, NON conservare più i
dati → anonimizzazione o
cancellazione
Dato “quasi” sensibile
= dato personale che presenta rischi per i diritti, le libertà e la
dignità dell’interessato
• secondo la natura dei dati, la modalità di trattamento, gli effetti
del trattamento
→ categoria aperta, a valutazione del Garante
(es. lesione diritti d’immagine, provvedimenti disciplinari, assistenza
sociale, sondaggi d’opinione, dati biometrici, dati finanziari della
centrale rischi, situazione economica-finanziaria)
→ è necessario il rispetto di misure a garanzia dell’interessato, se
prescritte dal Garante
→ (art. 17 CDP) interpello di VERIFICA PREVENTIVA al GDP
Dato di ubicazione (Dir. 2002/58/CE in art. 126 CDP)
= trattato da una rete comunicazione
elettronica che indichi (anche
potenzialmente) la posizione
geografica del terminale dell’utente di
un servizio di comunicazione
elettronica accessibile al pubblico
(=trasmissione di segnali su reti)
ADEMPIMENTI:
• Consenso dell’utente /
anonimizzazione dati per quanto
necessario alla fornitura del
servizio a valore aggiunto
• Informativa ad hoc sui dati di
ubicazione: natura dei dati, scopi,
data retention, se trasmissione a
terzi, categorie di incaricati che
verranno a conoscenza dei dati
• Sempre disponibile (gratuitamente)
la facile possibilità tecnica di
revocare il consenso / chiedere la
disattivazione temporanea del
servizio
• Misure di sicurezza appropriate ai
servizi, garantendo la protezione
contro: la distruzione anche
accidentale, la perdita o alterazione
anche accidentale e la
archiviazione, il trattamento,
l’accesso o la divulgazione non
autorizzati o illeciti
Responsabile del trattamento
= la persona fisica o giuridica (la società, l'ente, l'associazione,
l'organismo, ecc.) cui il titolare affida (→ interagisce con interessati
e GDP) compiti di gestione e controllo del trattamento dei dati,
per esperienza, capacità, affidabilità (→ verifica preventiva, NO
automatismi)
• fornendo idonea garanzia del pieno rispetto
– della normativa in materia di dati personali e
– della sicurezza dei dati
• attenendosi alle istruzioni (anche orali) impartite dal titolare
→ lettera di incarico con compiti analiticamente distinti e accettati
Informativa al trattamento
Informativa al trattamento
= le informazioni (= dichiarazione) che il titolare/responsabile del
trattamento
• deve fornire PREVIAMENTE (salvo ambito sanitario)
– verbalmente (→ problemi probatori…)
– o per iscritto (→ anche in clausole o allegati contrattuali,
pubblicazione sul web accessibile con un solo click in home page, ecc.)
• quando i dati sono raccolti presso l'interessato
 Aggiornamenti/modifiche/sostituzioni (ius variandi): necessariamente ri-
notificata agli interessati, che dovranno – se necessario – esprimere di
nuovo il consenso
 NON comprende i dati già noti all’interessato (es. precedente informativa)
→ NO informativa a ogni contatto
 Clausola contrattuale di richiamo: NON è vessatoria ex art. 1341-1342 c.c.
Informativa (sintetica e colloquiale):
• gli scopi (per ogni trattamento
distinto, es. contrattuale,
promozionale, ecc.);
→ NO indicazioni generiche;
• le modalità (cartacea, elettronica,
incrocio dati per profilazione, ecc.)
di trattamento;
• se l'interessato è obbligato o meno
a fornire i dati; quali sono le
conseguenze se i dati non vengono
forniti, a seconda dei distinti scopi;
• a chi e come possono essere
comunicati/divulgati/diffusi i dati
(interni ed esterni); sufficienti: a)
categorie soggetti altri titolari terzi;
b) ruolo incaricati e responsabili; c)
ambito di diffusione;
• chi sono il titolare e l'eventuale
responsabile del trattamento e
dove sono raggiungibili; anche il
rappresentante italiano se titolare
extra-UE;
• (in caso di raccolta presso terzi)
anche le categorie dei dati trattati;
• CASI PARTICOLARI: altre
informazioni (es. diritto di
opposizione nel caso di marketing
diretto) oppure semplificazioni (es.
PMI, videosorveglianza, banner
cookies);
Informativa (sintetica e colloquiale):
• quali sono i diritti riconosciuti
all'interessato (art. 7 CDP):
Es. “I soggetti cui si riferiscono i dati
personali hanno il diritto in qualunque
momento di ottenere la conferma
dell'esistenza o meno dei medesimi
dati e di conoscerne il contenuto e
l'origine, verificarne l'esattezza o
chiederne l'integrazione o
l'aggiornamento, oppure la
rettificazione (articolo 7 del codice in
materia di protezione dei dati personali).
Ai sensi del medesimo articolo si ha il
diritto di chiedere la cancellazione, la
trasformazione in forma anonima o il
blocco dei dati trattati in violazione di
legge, nonché di opporsi in ogni caso,
per motivi legittimi, al loro trattamento”
• Se dati raccolti presso terzi (es.
archivi, albi pubblici, ecc.) → DOPPIA
informativa: 1) a chi li fornisce, al
momento della raccolta; 2)
all’interessato, alla registrazione dei dati
o alla prima comunicazione ad altri terzi
(tranne che in casi di legge, ad es.
previsti dal Garante se manifesta
sproporzione con prescrizione di
eventuali misure compensative
adeguate)
Consenso
Designed by Freepik
Consenso
• = libera manifestazione di volontà dell‘Interessato, con cui questi accetta
espressamente un determinato trattamento dei suoi dati personali
→ preventiva informativa (salvo eccezioni di legge) da chi ha un potere
decisionale sul trattamento (= uno dei titolari)
Requisiti:
• Espresso (= NO implicito/tacito)
• Specifico del trattamento in esame – distinguendo a seconda delle varie
finalità nelle fasi del trattamento; ad es. consenso obbligatorio (per eseguire un
contratto) da quello facoltativo (per invio di materiale promozionale, per i
contatti, per la newsletter)
→ se muta una finalità → va prestato nuovo consenso specifico
Consenso
• Libero:
consapevole e senza pressioni, raggiri, pratiche leganti, pre-compilazioni,
conseguenze negative significative;
con opzioni “Accetto □ Nego □ il consenso al trattamento”
• Scritto?
– documentato (annotato, trascritto, riportato dal titolare / responsabile /
incaricato del trattamento su un registro o un atto o un verbale) per
iscritto
es. trascrizione orale o avviso di conferma ricezione e-mail
– (in caso di dati sensibili) manifestato all’origine (reso per iscritto)
Consenso
Corretta scansione degli adempimenti
Diritto di accesso
Designed by Kjpargeter - Freepik.com
Diritto di accesso
= necessaria procedura del titolare per dare riscontro agli interessati,
con accentramento della gestione nella figura del responsabile (se
presente)
• RICHIESTA:
a) di informazione: diritti ex art. 7.1, 7.2 CDP (= origine, finalità,
modalità, criteri informatici di elaborazione, esistenza, comunicazione)
b) di intervento: diritti ex art. 7.3 CDP (= aggiornamento, rettifica,
blocco, cancellazione, integrazione, trasformazione anonima,
attestazione a terzi)
rivolta al titolare o al responsabile (anche tramite incaricato formato)
Misure di sicurezza
Designed by Freepik
Misure di sicurezza
= tutti gli accorgimenti tecnici ed
organizzativi, i dispositivi
elettronici o i programmi
informatici utilizzati per garantirsi
contro i rischi, ovvero che:
 i dati trattati siano correttamente
custoditi e controllati
 i dati NON vadano distrutti o persi,
anche in modo accidentale
 solo le persone autorizzate
possano avere accesso ai dati
 NON siano effettuati trattamenti
contrari alla legge o diversi da
quelli per cui i dati erano stati
raccolti
• Distinzione delle misure di
sicurezza ai sensi del CDP:
a) MISURE MINIME = le misure di
sicurezza ai sensi dell’Allegato B al
CDP e dal CDP stesso (= artt. 31-
36 CDP + Allegato B)
b) MISURE IDONEE = le ulteriori
misure di sicurezza, previste dal
Garante oppure idonee a seconda
del progresso tecnologico
disponibile
GDP (http://www.garanteprivacy.it)
A) Notifica al Garante
= comunicazione al Garante
• da parte del titolare del trattamento
• del trattamento di dati sensibili / “quasi” sensibili nei casi ex CDP
• per uno o più trattamenti con finalità correlate
• Telematica + firma digitale (anche attraverso soggetti autorizzati
convenzionati)
• Costo: € 150 per diritti di segreteria
• Si deve effettuare una tantum (→ prima di dare inizio al trattamento)
→ e prima della cessazione
• NON va ripetuta se non si modificano le caratteristiche del
trattamento → da modificare se cambiano ad es. le finalità del
trattamento o cambia la ragione sociale del titolare
A) Notifica al Garante (esempio casistica)
A) Notifica al Garante (modulistica)
A) Notifica: art. 37 CDP + esenz. GDP n. 1/2004
GEOLOCALIZZAZIONE
= rilevamento della presenza in
determinati luoghi
• mediante reti di comunicazione
elettronica
• accessibili dal titolare
→ da indicare in informativa al
trattamento
(es. registrazione di ingressi/uscite,
rilevazione di immagini/suoni,
lettura di carte elettroniche per
fornire beni o servizi, GPS, etichette
tracciamento RFID)
→ da NOTIFICARE se:
1) permette l’individuazione conti-
nuativa dell’ubicazione
2) consente l’identificazione (anche
indirettamente, attraverso appositi
codici)
TRANNE se (alternativamente):
– solo per fini di sicurezza del
trasporto
– rilevazione NON continuativa
B) Verifica preliminare del Garante
In caso di dati «quasi» sensibili:
• “il trattamento di dati diversi da quelli sensibili e giudiziari
• che presenta rischi specifici per i diritti e le libertà fondamentali,
nonché per la dignità dell'interessato,
• in relazione alla natura dei dati o alle modalità del trattamento o agli
effetti che può determinare,
• è ammesso nel rispetto di misure ed accorgimenti a garanzia
dell’interessato,
• ove prescritti
• […] dal Garante […]
• nell'ambito di Una verifica preliminare all'inizio del trattamento,
– effettuata anche in relazione a determinate categorie di titolari o di trattamenti,
– anche a seguito di un interpello del titolare.”
C) Autorizzazione del Garante
= richiesta al Garante (che dunque dovrà autorizzare
espressamente)
– da parte del titolare del trattamento
– di dati sensibili / giudiziari
– (tranne nei casi delle Autorizzazioni generali del Garante)
• Costo: € 500 per diritti di segreteria (€ 150 in casi particolari)
• decisione del Garante entro 45 gg. (silenzio-rigetto)
→ può prescrivere misure particolari
• Si deve effettuare prima del trattamento
• NO se si rientra in Autorizzazioni Generali GDP (v. 1/2014, 5/2014)
→ da modificare se cambiano i caratteri del trattamento
≠ NOTIFICAZIONE (= segnalazione preventiva di trattamento, non
comporta replica)
Provv. GDP per rapp. lavoratori (4/10/2011)
GEOLOCALIZZAZIONE lecita se:
 motivazione chiara e comprensibile;
 identificato il software installato nel dispositivo mobile;
 il software deve permettere al dipendente di attivarlo e disattivarlo;
 app facilmente identificabile;
 app NON si avvia in automatico;
 l’invio dei dati di localizzazione NON deve essere continuo - NO storicizzazione!;
 (consigliabile) canale criptato di trasmissione;
 gli addetti all’accesso ai dati individuati ed autorizzati → elenco pubblicato di
questi addetti;
 tutte le attività di gestione del sistema: registrate, con accesso disciplinato
(bilanciamento degli interessi tra datore e dipendenti);
 ecc.
Working Party art. 29 (= tutti i GDP)
Designed by Evening_tao - Freepik.com
Pareri WP29 nn. 13/2011 e 2/2013
• Utente: se condivide dati tramite
un’app (es. divulgando informazioni a
un numero indefinito di persone
mediante social network) → è
trattamento dati personali, diventa
titolare (perché NON è solo uso
personale)
• Applicazione norme UE:
se almeno nominato Responsabile
uno dei soggetti coinvolti
+ nazionalità UE o strumenti in
territorio UE del Responsabile/Titolare
Definire i ruoli dei soggetti coinvolti, con
adempimenti relativi
Es. se app sfrutta GPS e geolocalizzazione
dell’OS → Soggetti coinvolti: infrastrutture
geolocalizzazione / sviluppatori OS / app
store / sviluppatore dell’app / terzo =
Responsabile o Titolare
• INFORMATIVA e CONSENSO specifici per
la privacy PRE-installazione
• prevedere possibilità di negare e bloccare
l’installazione
• mancato intervento dell’utente nelle
impostazioni = NO consenso prestato
liberamente
• Avvertire costantemente della
geolocalizzazione in corso (es. icona)
Pareri WP29 nn. 13/2011 e 2/2013
• (Raccomandazione) rinnovo dei consensi dopo un adeguato
periodo di tempo - ricordare agli utenti il trattamento
• Meglio consenso «granulare» = distinto per ciascun tipo/categoria
di dati a cui la app vuole accedere
• Facile possibilità tecnica per l’utente di cancellare definitivamente i
dati
• In caso di diritto d’accesso: informazioni leggibili (es. località
geografiche, NO codici astratti) - NO richiesta di dati personali
aggiuntivi per identificare
• Data retention: entro le finalità dichiarate in informativa, poi
cancellazione / anonimizzazione definitiva (NO
pseudonimizzazione)
Pareri WP29 nn. 13/2011 e 2/2013
Es. un'applicazione fornisce informazioni
sui ristoranti nelle vicinanze
 sviluppatore: per accedere ai dati
→ chiedere consenso
separatamente (es. durante
l'installazione o prima di accedere
alla geolocalizzazione)
 consenso specifico = limitato allo
scopo specifico
 solo quando l'utente utilizza
l'applicazione a tale scopo → NO
raccogliere costantemente dati
sull'ubicazione dal dispositivo
 può essere associato all'utilizzo di
icone, immagini, video e audio,
nonché notifiche contestuali in
tempo reale quando l’app accede
alla rubrica o alle foto
→ icone significative (= chiare,
autoesplicative e inequivocabili)
→ anche onere del produttore di OS
 Se lo sviluppatore di applicazioni
consente l'accesso di terzi ai dati
dell'utente (es. una rete pubblicitaria
che accede ai dati per fornire
pubblicità comportamentali)
→ requisiti applicabili UE
Interludio: Privacy USA: tutto più semplice?
Common
law:
precedente
giudiziario
Location
protection act
2014
Privacy bill
of rights act
2015
Consolidated
appropriations
act 2015
Geolocation
privacy and
surveillance
act
Online
communications
& geolocation
protection act
Cybersecurity
act 2012
Privacy 2.0 domani: GDPR e norme UE
Designed by Creativeart - Freepik.com
Privacy 2.0 domani: GDPR e norme UE
• Regolamento 679/2016/UE (applicabile dal 25 maggio 2018) –
(GDPR - General Data Protection Regulation)
• Direttiva 2002/58/CE (già recepita in CDP) su fornitura di servizi di
comunicazione elettronica su reti pubbliche di comunicazione e
cookie law
• Provvedimenti Commissione UE, GDP, Comitato Europeo per la
protezione dei dati (certificazioni, linee guida, best practice, ecc.)
• Provvedimenti nazionali (norme, CCNL, CDP, GDP)?
→ emanati, emanandi, con abrogazione implicita o espressa…
• Direttiva 2016/1148/UE livello comune di sicurezza delle reti e dei
sistemi informativi UE (recepimento entro 9 maggio 2018)
Privacy 2.0 domani: GDPR e norme UE
DATO DI LOCALIZZAZIONE =
 è dato personale
 può essere dato “particolare” (= “sensibile” ex CDP)
• Trattamento = automatizzato / dati in archivio o destinati ad archivio
• Archivio = insieme strutturato di dati personali accessibili secondo criteri
predeterminati
• Titolare = CONTROLLER
• Responsabile = PROCESSOR
• Interessato = DATA SUBJECT
• Destinatario = chi riceve comunicazione dei dati
• Autorizzato = “incaricato” ex CDP
• Profilazione = trattamento automatizzato per valutare aspetti personali
dell’interessato (es. ubicazione)
Privacy 2.0 domani: Considerando (71) GDPR
• “L'interessato dovrebbe avere il
diritto di non essere sottoposto a
una decisione, che possa
includere una misura, che valuti
aspetti personali che lo
riguardano, che sia basata
unicamente su un trattamento
automatizzato e che produca
effetti giuridici che lo riguardano o
incida in modo analogo
significativamente sulla sua
persona, quali il rifiuto automatico
di una domanda di credito online o
pratiche di assunzione elettronica
senza interventi umani. Tale
trattamento comprende la
«profilazione», che consiste in una
forma di trattamento automatizzato
dei dati personali che valuta aspetti
personali concernenti una persona
fisica, in particolare al fine di
analizzare o prevedere aspetti
riguardanti il rendimento
professionale, la situazione
economica, la salute, le preferenze
o gli interessi personali, l'affidabilità
o il comportamento, l'ubicazione o
gli spostamenti dell'interessato,
ove ciò produca effetti giuridici che
la riguardano o incida in modo
analogo significativamente sulla sua
persona”.
Privacy 2.0 domani: Considerando (71) GDPR
• “Tuttavia, è opportuno che sia
consentito adottare decisioni sulla
base di tale trattamento, compresa
la profilazione, se ciò è
espressamente previsto dal diritto
dell'Unione o degli Stati membri cui è
soggetto il titolare del trattamento,
anche a fini di monitoraggio e
prevenzione delle frodi e dell'evasione
fiscale secondo i regolamenti, le
norme e le raccomandazioni delle
istituzioni dell'Unione o degli
organismi nazionali di vigilanza e a
garanzia della sicurezza e
dell'affidabilità di un servizio fornito
dal titolare del trattamento, o se è
necessario per la conclusione o
l'esecuzione di un contratto tra
l'interessato e un titolare del
trattamento, o se l'interessato ha
espresso il proprio consenso
esplicito. In ogni caso, tale
trattamento dovrebbe essere
subordinato a garanzie adeguate,
che dovrebbero comprendere la
specifica informazione all'in-
teressato e il diritto di ottenere
l'intervento umano, di esprimere la
propria opinione, di ottenere una
spiegazione della decisione
conseguita dopo tale valutazione e
di contestare la decisione. Tale
misura non dovrebbe riguardare un
minore”.
Privacy 2.0 domani: Considerando (75) GDPR
• “I rischi per i diritti e le libertà delle
persone fisiche, aventi probabilità e gravità
diverse, possono derivare da trattamenti di
dati personali suscettibili di cagionare un
danno fisico, materiale o immateriale, in
particolare: se il trattamento può
comportare discriminazioni, furto o
usurpazione d'identità, perdite finanziarie,
pregiudizio alla reputazione, perdita di
riservatezza dei dati personali protetti da
segreto professionale, decifratura non
autorizzata della pseudonimizzazione, o;
qualsiasi altro danno economico o
sociale significativo se gli interessati
rischiano di essere privati dei loro diritti e
delle loro libertà o venga loro impedito
l'esercizio del controllo sui dati personali
che li riguardano; se sono trattati dati
personali che rivelano l'origine razziale o
etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, l'appartenenza
sindacale, nonché dati genetici, dati relativi
alla salute o i dati relativi alla vita sessuale
o a condanne penali e a reati o alle relative
misure di sicurezza; in caso di valutazione
di aspetti personali, in particolare mediante
l'analisi o la previsione di aspetti riguardanti
il rendimento professionale, la situazione
economica, la salute, le preferenze o gli
interessi personali, l'affidabilità o il
comportamento, l'ubicazione o gli
spostamenti, al fine di creare o utilizzare
profili personali; se sono trattati dati
personali di persone fisiche vulnerabili, in
particolare minori; se il trattamento
riguarda una notevole quantità di dati
personali e un vasto numero di
interessati”.
Privacy 2.0 domani: novità (in pillole)
Valutazione del
rischio del
trattamento
Misure di sicurezza
adeguate al rischio
Audit Privacy by default
Privacy by design
Consultazione
preliminare al GDP
DPIA(Data
Protection Impact
Assessment)
Norme vincolanti
d’impresa
Registri dei
trattamenti
Accountability
(responsabilizzazione)
Data breach DPO(Data
Protection Officer)
Codici etici e
certificazioni
Portabilità dei dati
Diritto all’oblio /
cancellazione ...
Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
Responsabi-
lizzazione
(accountability)
Minimizzazione
Limitazione al
trattamento
Limitazione alla
conservazione
Integrità e
riservatezza
Limitazione
delle finalità
Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)
 Limitazione delle finalità = scopi
determinati, espliciti e legittimi; NO
trattamenti incompatibili con finalità
originarie
 Minimizzazione = dati adeguati,
pertinenti e limitati strettamente alle
finalità
 Limitazione al trattamento = se
contestazione dell’interessato, per il
periodo di accertamento
 Limitazione alla conservazione =
data retention NON oltre le finalità
 Integrità e riservatezza = idonee
misure di sicurezza
 Responsabilizzazione (accoun-
tability) = titolare deve poter
comprovare rispetto dei principi
► NO notifica GDP
► NO autorizzazioni (generali o
preventive) GDP
► NO verifica preliminare GP (dati
«quasi» sensibili)
 Applicazione territoriale: a
CONTROLLER / PROCESSOR
stabilito in UE oppure NON stabilito
ma che riguarda interessati UE
Privacy 2.0: categorie “particolari” di dati
NO trattamento di tali dati personali (“sensibili” CDP + biometrici, genetici, di
salute) TRANNE SE:
 consenso esplicito per finalità specifiche;
 necessario per assolvere obblighi e diritti in diritto del lavoro/sicurezza
sociale;
 tutela di un interesse vitale dell’interessato o terzi se incapacità
dell’interessato al consenso;
 resi manifestamente pubblici dall’interessato;
 per accertare / esercitare / difendere un diritto in sede giudiziaria;
 per fini di medicina preventiva/del lavoro, valutazione della capacità
lavorativa del lavoratore, servizi sanitari o sociali, ecc.;
 archiviazione nel pubblico interesse, ricerca scientifica o storica o fini
statistici
 ecc.
Privacy 2.0: es. integrazione dell’informativa
 Adatta al destinatario e al mezzo di comunicazione (v. minori)
 (Eventuali) legittimi interessi del titolare o terzi
 Data retention (se NON possibile: i criteri per determinarla)
 Diritto di revocare il consenso in qualsiasi momento
 Diritto di reclamo ad autorità di controllo (GDP)
 (Se applicabile) l’intenzione del titolare di trasferire i dati a Paese
terzo ≠ UE
 Se avviene processo decisionale automatizzato (es.
profilazione) + logica utilizzata + importanza e conseguenze del
trattamento
 (Se raccolti presso terzi): fonte da cui hanno origine i dati (anche
accessibili al pubblico)
 Ecc.
Privacy 2.0: consenso/legittimo interesse
Legittimità del trattamento solo se:
 Consenso dell’interessato (libero, specifico, comprovabile da
parte del titolare, revocabile); oppure
 Legittimo interesse del titolare (v. es. Considerando GDPR:
relazione pertinente e prevedibile tra interessato-titolare;
fine di prevenzione delle frodi; marketing diretto; sicurezza
delle reti e dell’informazione (cybersecurity)
 Possibile utilizzo dei dati per finalità ulteriori ma solo se
compatibili con quelle iniziali o necessarie per queste
→ valutazione caso per caso
Privacy 2.0: misure di sicurezza “adeguate”
CONTROLLER e PROCESSOR:
misure di protezione tecniche +
legali + organizzative adeguate
per garantire un livello di sicurezza
adeguato al rischio, tenendo conto:
a) dello stato dell'arte e dei costi di
attuazione;
b) della natura, dell'oggetto, del
contesto e delle finalità del
trattamento;
c) del rischio di varia probabilità e
gravità per i diritti e le libertà delle
persone fisiche.
Comprendono - tra le altre - se del
caso:
pseudonimizzazione / anonimizza-
zione + cifratura dei dati
personali/archivi;
assicurare su base permanente la
riservatezza, l'integrità, la disponibilità
e la resilienza dei sistemi e dei servizi;
la capacità di ripristinare
tempestivamente la disponibilità e
l'accesso dei dati(data recovery);
una procedura per testare, verificare
e valutare regolarmente l'efficacia
delle misure → (ex ante + ex post)
Privacy 2.0: by design & by default
• PRIVACY BY DEFAULT = rispetto del
GDPR come impostazione di base dalla
fase di informativa-consenso alla
raccolta del dato (ad es. in registrazione
a servizi, stipula di contratti) al suo
utilizzo → opt-in! – valutare: ammontare
di dati, l’estensione del trattamento,
data retention, l’accessibilità, ecc.
→ App: l’interessato deve attivare la
relativa funzione per avere
localizzazione
• PRIVACY BY DESIGN = rispetto del
GDPR deve essere considerato sin dalla
fase di progettazione di prodotti / servizi
(es. informatici/telematici);
→ Se utilizzati prodotti/servizi altrui:
necessaria garanzia dal fornitore
Relative MISURE DI SICUREZZA:
►MINIMIZZAZIONE (= uso dei dati
identificativi solo quando necessario –
v. pseudonimizzazione)
►TRASPARENZA (es. informativa sempre
disponibile, garantire diritto di accesso)
► FINALITÀ
► ACCURATEZZA
► AGGIORNAMENTO
► DATA RETENTION (= conforme alle
finalità)
► INTERESSE PUBBLICO/LEGITTIMO
► DPIA
Designed by Pressfoto- Freepik.com
Privacy 2.0: valutazione impatto privacy (DPIA)
Solo se il trattamento può presentare
un rischio elevato per i diritti e le
libertà delle persone fisiche (in
particolare se uso di nuove
tecnologie) / casi di legge
Considerati (in valutazione rischi):
 la natura
 il campo di applicazione
 il contesto
 le finalità del trattamento
A cura del CONTROLLER,
chiedendo un parere al DPO
(se designato)
• Obbligatoria se:
a) valutazione sistematica e
globale di aspetti personali
relativi a persone fisiche, basata
sul trattamento automatizzato
(compresa la profilazione) e da cui
discendono decisioni che hanno
effetti giuridici o incidono allo
stesso modo significativamente
su dette persone fisiche;
b) su larga scala, trattamento di dati
sanitari / giudiziari;
c) su larga scala, la sorveglianza
sistematica di una zona
accessibile al pubblico
Privacy 2.0: contenuto DPIA
 descrizione sistematica dei
trattamenti previsti e delle
finalità del trattamento;
 valutazione della necessità e
proporzionalità;
 una valutazione dei rischi per i
diritti e le libertà degli
interessati;
 le misure previste per
affrontare i rischi
 CONSULTAZIONE
PREVENTIVA (PRIMA di
procedere al trattamento) = al
GDP se DPIA indica un rischio
elevato in assenza di misure
adottate dal CONTROLLER per
attenuare il rischio;
→ l'autorità di controllo (entro
un periodo di 8 settimane dalla
richiesta - prorogabile), se
ritiene che il trattamento NON
sia conforme a GDPR →
fornisce una consulenza per
iscritto al CONTROLLER
Privacy 2.0: registro dei trattamenti
Ogni CONTROLLER / suo
rappresentante tiene un
registro delle attività di
trattamento svolte sotto la
propria responsabilità –
contiene, tra l’altro, le seguenti
informazioni ad es.:
 il nome e i dati di contatto del
CONTROLLER e (ove
applicabile) del contitolare, del
PROCESSOR e del DPO;
 le finalità del trattamento;
una descrizione delle categorie
di interessati e delle categorie di
dati personali;
le categorie di destinatari a cui i
dati personali sono stati o
saranno comunicati;
(ove applicabile) i trasferimenti
di dati personali verso un Paese
terzo;
(ove possibile) i termini ultimi
previsti per la cancellazione
delle diverse categorie di dati;
ecc.
Privacy 2.0: portabilità dei dati
= interessato ha diritto a ricevere i suoi dati:
• in formato strutturato
• di uso comune
• leggibili da dispositivo automatico
 SOLO SE (alternativamente):
a) trattamento basato su consenso / l’esecuzione di contratto
b) trattamento con mezzi automatizzati
 Diretta trasmissione da titolare a titolare, se: richiesto dall’interessato +
tecnicamente fattibile
 NO lesione del diritto di terzi (= NO dati di terzi associati a quelli del
richiedente)
Privacy 2.0: art. 22 GDPR
NO decisione sull’interessato basata unicamente sul trattamento
automatizzato – compresa la profilazione – che:
 produca effetti giuridici;
 incida significativamente sulla persona
TRANNE SE:
a) decisione necessaria per conclusione / esecuzione del contratto;
b) decisione autorizzata dalla legge (nazionale/UE);
c) consenso esplicito dell’interessato
→ nec. titolare attui misure appropriate per tutelare i legittimi interessi
dell’interessato
→ se dati “particolari”: sì solo se consenso esplicito / interesse pubblico
rilevante
Es. audit per il titolare del geotagging
 Finalità: uso dei dati appropriato?
 Minimizzazione: il dato necessario
è ridotto al minimo indispensabile?
 Controllo dell’utente: privacy by
default? Possibilità dell’utente di
cambiare settaggi? Quali dati
l’utente fornisce direttamente e quali
no? L’utente sa quali dati sono
trattati e può monitorare il log? Può
sempre interpellare il titolare per
ogni esigenza, con procedure di
accesso prestabilite?
 Informativa: l’utente ha avuto e ha
sempre accesso alle chiare
condizioni di trattamento?
 Consenso: è richiesto
specificamente, granularmente? è
adottato l’opt-in? Può sempre
essere revocato?
 Terzi: le informazioni sono
comunicate a terzi? In che modo e
perché? L’utente ne ha
cognizione?
 Data retention: adottate marche
temporali ai dati per poter
cancellare/anonimizzare i dati al
termine? Esplicitata in informativa?
 Aggregazione dati: è facilitata dal
trattamento? Può creare degli
identificatori persistenti?
Riflessioni finali per affrontare il geotagging
 Rapporti con i terzi → utilizzo o licenza/cessione di dati dalla
geolocalizzazione o con cui ottenerla → a cura del titolare
 Condizioni contrattuali & informativa privacy →
consapevolezza, informazione, rapporti con l’utente → a cura
del titolare
 Privacy settings → a cura dell’utente + a cura del titolare
(privacy by design & default)
 Condivisione ragionata (es. profilo pubblico social network)
→ a cura dell’utente
→ Per il titolare: censimento dati trattati - revisione
informative/procedure interne – formazione personale –
trasparenza verso l’utente
Perché ci interessa: http://app.teachingprivacy.com
Perché ci interessa: http://app.teachingprivacy.com
Grazie per l’attenzione
Avv. Andrea Michinelli
Studio Legale d’Ammassa & Associati
Avv. Stefano Ricci
Studio Legale Meda Preti Ricci
Bologna - Milano
tel 051/9841927 – 02/48014829
fax 02/700504722
mail a.michinelli@dammassa.com
Milano - viale Bianca Maria n. 21
tel 02/87064410 - fax 02/87064416
mail stefano.ricci@mpravvocati.com

More Related Content

Similar to Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging

Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Elisabetta Parodi
 
Tutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legaleTutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legaleEmilio Curci
 
2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianzaMarzio Vaglio
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Digital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliDigital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliFederico Costantini
 
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSmau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Cittadini e mondo digitale.pdf
Cittadini e mondo digitale.pdfCittadini e mondo digitale.pdf
Cittadini e mondo digitale.pdfssuser965f2f
 
Trattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legaleTrattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legalePietro Calorio
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksRoberto Stefanetti
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webVincenzo Calabrò
 

Similar to Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging (20)

Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
 
Tutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legaleTutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legale
 
2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianza
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Digital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personaliDigital transformation: Smart Working, sicurezza e dati personali
Digital transformation: Smart Working, sicurezza e dati personali
 
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSmau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
Cittadini e mondo digitale.pdf
Cittadini e mondo digitale.pdfCittadini e mondo digitale.pdf
Cittadini e mondo digitale.pdf
 
Trattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legaleTrattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legale
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & Links
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul web
 

More from SMAU

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...SMAU
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorSMAU
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 |  Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 |  Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
 

More from SMAU (20)

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 |  Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 |  Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
 

Recently uploaded

Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoQuotidiano Piemontese
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 

Recently uploaded (10)

Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 Torino
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 

Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Geotagging

  • 1. La gestione dei dati personali nel GeoTagging: profili privacy presenti e futuri Avv. Andrea Michinelli – Studio legale d’Ammassa & Associati Avv. Stefano Ricci – Studio legale Meda Preti Ricci Milano - 27 ottobre 2016
  • 7. Cercando una definizione…  Geolocalizzazione = deter- minazione (anche approssimativa) dell’ubicazione spaziale di una persona fisica (es. indirizzo, nome/immagine di un luogo, latitudine & longitudine, altitudine, velocità, ecc.), anche tramite oggetti a essa riconducibili – tracciamento / posizionamento  Geotagging = geolocalizzazione mediante abbinamento di determinati dati/contenuti (foto, video, siti web, messaggi, tweet, ecc.) a un’etichetta informatica con dati geografici (come metadata del file, nelle proprietà dello stesso) SCOPI • per scopi personali / commerciali / lavoro → es. sharing via social network • per finalità di ricerca e organizzazione archivi → perlopiù a opera degli stessi utenti o dei loro dispositivi • per finalità di profilazione commerciale → perlopiù a opera dei fornitori di hardware & software o dei loro dispositivi • per il rispetto di legge e contratti → a opera dei titolari/fornitori di servizi onde garantire la fruizione dei diritti licenziati nei soli territori concessi
  • 8. Da dove? DATI GENERABILI: a) automaticamente dal dispositivo, sulla base di funzioni predeterminate dal produttore del OS e/o dispositivo o dal relativo fornitore di telefonia mobile (es. dati di geolocalizzazione, impostazioni di rete, indirizzo IP) – IoT (Internet of Things!); b) dall'utente volontariamente mediante app (liste di contatti, appunti, foto), inserimento manuale; c) dalla app mediante il suo funzionamento (ad es. cronologia di navigazione) d) da terzi mediante incrocio di più dati ACCESSIBILI anche da terzi (per es. una rete pubblicitaria che accede ai dati di geolocalizzazione del dispositivo per fornire pubblicità comportamentali)
  • 9. Cosa rischia l’interessato ► Localizzazione “occulta” di persone/cose ► Combinazione di pochi dati di geolocalizzazione con altri (big data), oltre che con servizi di più parti ► Maggiore disponibilità nel mercato di geo-search (v. cybercasing = uso di strumenti online per ricavare dati di localizzazione) ► Metadata sempre più disponibili in social network ► Privacy paradox = gli utenti, se interpellati, manifestano grande preoccupazione per la propria privacy ma attuano poco o nulla per contrastarla (contraddizione)
  • 10. Players a) Sviluppatori OS b) API per accesso a contenuti geo: Flickr, YouTube, Twitter, Craiglist → dunque disponibilità dei dati anche a sviluppatori terzi c) Servizi location-based: servizi forniti sulla base dell’attuale localizzazione dell’utente (es. Google maps) da parte di terzi d) Portali Internet v. Google+, Yahoo!, Foursquare, Yowza!!, SimpleGeo, Instagram, Facebook, Twitter, Flickr… • YouTube: estrae di default geo-info dai video caricati, richiede opt-out; Flickr: richiede opt-in esplicito • iPhone Apple: di default geotaggava foto e video realizzati, richiedeva opt- out; Android: richiede opt-in Designed by Freepik
  • 11. Strumenti di geolocalizzazione  GPS (Global Positioning System) = segmenti spaziali (satellite) + controllo (dispositivi terrestri) + azione utente; GNSS; AGPS; ecc.  Triangolazione celle telefono mobile / hotspot Wifi (→ incrocio dati su intensità segnale con hotspot noti – ogni hotspot segnala proprio MAC address e nome di rete)  Incrocio di dati, inferenza (es. comparazione immagine con quella di Google StreetView), crowdsourcing  Hardware & software in genere (es. browser, etichette RFID, comunicazioni NFC - M2M - IMES, Bluetooth – ultrasonic beacon, ecc.)  Formato EXIF (specifico per foto di fotocamere digitali, file in formato JPEG, TIFF, RIFF, ecc.), registrazioni, software editing (es. foto) → possono lasciare thumbnails dell’immagine o file originario (EXIF, Word, Pdf, ecc.) → si trovano metadata EXIF in blog e siti web! IDENTIFICAZIONE: può essere immediata o successiva alla raccolta del dato (es. incrocio marca temporale con log di un ricevitore GPS, ecc.)
  • 12. Privacy oggi FONTI (principali) • Codice Della Privacy (CDP) - D.Lgs. 196/2003 (v. Allegati: codici deontologici, misure minime di sicurezza) dalla Direttiva 95/46/UE • Provvedimenti Garante Della Privacy (GDP) (es. autorizzazioni generali, linee guida, vademecum, ecc.) e del Gruppo di lavoro art. 29 (WP 29) DATO DI LOCALIZZAZIONE:  è un dato personale  può essere dato sensibile (può rivelare stato salute, orientamenti sessuali, religiosi, politici, ecc.) – es. visite in ospedale, luogo di culto, sindacati, partiti, ecc. → consenso scritto + notifica Garante + autorizzazione preventiva del Garante (tranne casi predeterminati in autorizzazioni generali)  può essere dato “quasi” sensibile = presenta rischi per diritti, libertà e dignità dell’interessato (a seconda della natura del dato, della modalità e degli effetti del trattamento) → rispetto di misure a tutela dell’interessato, se prescritte dal Garante + interpello di verifica preventiva al Garante
  • 13. Privacy Italia/UE: concetti di base (in pillole) ◊ Dato personale = dato di una persona fisica identificata/identificabile (anche in correlazione con altri dati) – es. email, immagine, numero di telefono, indirizzo IP, ecc. → ubicazione! ◊ Trattamento = qualsiasi operazione compiuta con il dato personale – es. raccolta, modifica, incrocio, cancellazione, ecc. ◊ Interessato = persona fisica a cui si riferisce il dato personale ◊ Titolare = persona fisica/giuridica che decide circa il trattamento dei dati ◊ Responsabile = persona fisica/giuridica nominata dal Titolare per compiere determinati trattamento in suo conto ◊ Informativa = informazioni (previe) sul trattamento all’interessato ◊ Consenso = assenso (informato) al trattamento dei dati dell’interessato ◊ Misure di sicurezza = misure tecnico- organizzative adottate dal titolare per la tutela del trattamento – minime Allegato B CDP (sistemi di autenticazione, autorizzazione, liste di incaricati, aggiornamenti software, backup, antivirus, gestione supporti, certificazioni di fornitori, misure per trattamenti cartacei, ecc.) + eventuali misure adeguate ulteriori (v. provv. Garante) (v. anche Guidelines ENISA, es. per app developers 2011)
  • 15. Privacy: principi di base (in pillole) a) Necessità = configurazione dei sistemi informativi e informatici riducendo al minimo l’utilizzazione di dati personali, così da escludere il trattamento se le finalità possono essere perseguite mediante dati anonimi o identificando l’interessato solo in caso di necessità b) Finalità (pertinenza e non eccedenza) = dati raccolti e registrati per scopi: determinati (devono esserci degli scopi), espliciti (informazione all’interessato), legittimi, coerenti con i presupposti della raccolta c) Legittimità (correttezza, traspa- renza) = i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali NON possono essere utilizzati; è necessaria base giuridica a supporto del rapporto d) Proporzionalità = modalità di trattamento e dati: pertinenti (alle funzioni derivanti dall’attività svolta), completi, NON eccedenti le finalità (qualitativamente e quantitativamente); → termine temporale: una volta perseguite tali finalità, NON conservare più i dati → anonimizzazione o cancellazione
  • 16. Dato “quasi” sensibile = dato personale che presenta rischi per i diritti, le libertà e la dignità dell’interessato • secondo la natura dei dati, la modalità di trattamento, gli effetti del trattamento → categoria aperta, a valutazione del Garante (es. lesione diritti d’immagine, provvedimenti disciplinari, assistenza sociale, sondaggi d’opinione, dati biometrici, dati finanziari della centrale rischi, situazione economica-finanziaria) → è necessario il rispetto di misure a garanzia dell’interessato, se prescritte dal Garante → (art. 17 CDP) interpello di VERIFICA PREVENTIVA al GDP
  • 17. Dato di ubicazione (Dir. 2002/58/CE in art. 126 CDP) = trattato da una rete comunicazione elettronica che indichi (anche potenzialmente) la posizione geografica del terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico (=trasmissione di segnali su reti) ADEMPIMENTI: • Consenso dell’utente / anonimizzazione dati per quanto necessario alla fornitura del servizio a valore aggiunto • Informativa ad hoc sui dati di ubicazione: natura dei dati, scopi, data retention, se trasmissione a terzi, categorie di incaricati che verranno a conoscenza dei dati • Sempre disponibile (gratuitamente) la facile possibilità tecnica di revocare il consenso / chiedere la disattivazione temporanea del servizio • Misure di sicurezza appropriate ai servizi, garantendo la protezione contro: la distruzione anche accidentale, la perdita o alterazione anche accidentale e la archiviazione, il trattamento, l’accesso o la divulgazione non autorizzati o illeciti
  • 18. Responsabile del trattamento = la persona fisica o giuridica (la società, l'ente, l'associazione, l'organismo, ecc.) cui il titolare affida (→ interagisce con interessati e GDP) compiti di gestione e controllo del trattamento dei dati, per esperienza, capacità, affidabilità (→ verifica preventiva, NO automatismi) • fornendo idonea garanzia del pieno rispetto – della normativa in materia di dati personali e – della sicurezza dei dati • attenendosi alle istruzioni (anche orali) impartite dal titolare → lettera di incarico con compiti analiticamente distinti e accettati
  • 20. Informativa al trattamento = le informazioni (= dichiarazione) che il titolare/responsabile del trattamento • deve fornire PREVIAMENTE (salvo ambito sanitario) – verbalmente (→ problemi probatori…) – o per iscritto (→ anche in clausole o allegati contrattuali, pubblicazione sul web accessibile con un solo click in home page, ecc.) • quando i dati sono raccolti presso l'interessato  Aggiornamenti/modifiche/sostituzioni (ius variandi): necessariamente ri- notificata agli interessati, che dovranno – se necessario – esprimere di nuovo il consenso  NON comprende i dati già noti all’interessato (es. precedente informativa) → NO informativa a ogni contatto  Clausola contrattuale di richiamo: NON è vessatoria ex art. 1341-1342 c.c.
  • 21. Informativa (sintetica e colloquiale): • gli scopi (per ogni trattamento distinto, es. contrattuale, promozionale, ecc.); → NO indicazioni generiche; • le modalità (cartacea, elettronica, incrocio dati per profilazione, ecc.) di trattamento; • se l'interessato è obbligato o meno a fornire i dati; quali sono le conseguenze se i dati non vengono forniti, a seconda dei distinti scopi; • a chi e come possono essere comunicati/divulgati/diffusi i dati (interni ed esterni); sufficienti: a) categorie soggetti altri titolari terzi; b) ruolo incaricati e responsabili; c) ambito di diffusione; • chi sono il titolare e l'eventuale responsabile del trattamento e dove sono raggiungibili; anche il rappresentante italiano se titolare extra-UE; • (in caso di raccolta presso terzi) anche le categorie dei dati trattati; • CASI PARTICOLARI: altre informazioni (es. diritto di opposizione nel caso di marketing diretto) oppure semplificazioni (es. PMI, videosorveglianza, banner cookies);
  • 22. Informativa (sintetica e colloquiale): • quali sono i diritti riconosciuti all'interessato (art. 7 CDP): Es. “I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettificazione (articolo 7 del codice in materia di protezione dei dati personali). Ai sensi del medesimo articolo si ha il diritto di chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento” • Se dati raccolti presso terzi (es. archivi, albi pubblici, ecc.) → DOPPIA informativa: 1) a chi li fornisce, al momento della raccolta; 2) all’interessato, alla registrazione dei dati o alla prima comunicazione ad altri terzi (tranne che in casi di legge, ad es. previsti dal Garante se manifesta sproporzione con prescrizione di eventuali misure compensative adeguate)
  • 24. Consenso • = libera manifestazione di volontà dell‘Interessato, con cui questi accetta espressamente un determinato trattamento dei suoi dati personali → preventiva informativa (salvo eccezioni di legge) da chi ha un potere decisionale sul trattamento (= uno dei titolari) Requisiti: • Espresso (= NO implicito/tacito) • Specifico del trattamento in esame – distinguendo a seconda delle varie finalità nelle fasi del trattamento; ad es. consenso obbligatorio (per eseguire un contratto) da quello facoltativo (per invio di materiale promozionale, per i contatti, per la newsletter) → se muta una finalità → va prestato nuovo consenso specifico
  • 25. Consenso • Libero: consapevole e senza pressioni, raggiri, pratiche leganti, pre-compilazioni, conseguenze negative significative; con opzioni “Accetto □ Nego □ il consenso al trattamento” • Scritto? – documentato (annotato, trascritto, riportato dal titolare / responsabile / incaricato del trattamento su un registro o un atto o un verbale) per iscritto es. trascrizione orale o avviso di conferma ricezione e-mail – (in caso di dati sensibili) manifestato all’origine (reso per iscritto)
  • 28. Diritto di accesso Designed by Kjpargeter - Freepik.com
  • 29. Diritto di accesso = necessaria procedura del titolare per dare riscontro agli interessati, con accentramento della gestione nella figura del responsabile (se presente) • RICHIESTA: a) di informazione: diritti ex art. 7.1, 7.2 CDP (= origine, finalità, modalità, criteri informatici di elaborazione, esistenza, comunicazione) b) di intervento: diritti ex art. 7.3 CDP (= aggiornamento, rettifica, blocco, cancellazione, integrazione, trasformazione anonima, attestazione a terzi) rivolta al titolare o al responsabile (anche tramite incaricato formato)
  • 31. Misure di sicurezza = tutti gli accorgimenti tecnici ed organizzativi, i dispositivi elettronici o i programmi informatici utilizzati per garantirsi contro i rischi, ovvero che:  i dati trattati siano correttamente custoditi e controllati  i dati NON vadano distrutti o persi, anche in modo accidentale  solo le persone autorizzate possano avere accesso ai dati  NON siano effettuati trattamenti contrari alla legge o diversi da quelli per cui i dati erano stati raccolti • Distinzione delle misure di sicurezza ai sensi del CDP: a) MISURE MINIME = le misure di sicurezza ai sensi dell’Allegato B al CDP e dal CDP stesso (= artt. 31- 36 CDP + Allegato B) b) MISURE IDONEE = le ulteriori misure di sicurezza, previste dal Garante oppure idonee a seconda del progresso tecnologico disponibile
  • 33. A) Notifica al Garante = comunicazione al Garante • da parte del titolare del trattamento • del trattamento di dati sensibili / “quasi” sensibili nei casi ex CDP • per uno o più trattamenti con finalità correlate • Telematica + firma digitale (anche attraverso soggetti autorizzati convenzionati) • Costo: € 150 per diritti di segreteria • Si deve effettuare una tantum (→ prima di dare inizio al trattamento) → e prima della cessazione • NON va ripetuta se non si modificano le caratteristiche del trattamento → da modificare se cambiano ad es. le finalità del trattamento o cambia la ragione sociale del titolare
  • 34. A) Notifica al Garante (esempio casistica)
  • 35. A) Notifica al Garante (modulistica)
  • 36. A) Notifica: art. 37 CDP + esenz. GDP n. 1/2004 GEOLOCALIZZAZIONE = rilevamento della presenza in determinati luoghi • mediante reti di comunicazione elettronica • accessibili dal titolare → da indicare in informativa al trattamento (es. registrazione di ingressi/uscite, rilevazione di immagini/suoni, lettura di carte elettroniche per fornire beni o servizi, GPS, etichette tracciamento RFID) → da NOTIFICARE se: 1) permette l’individuazione conti- nuativa dell’ubicazione 2) consente l’identificazione (anche indirettamente, attraverso appositi codici) TRANNE se (alternativamente): – solo per fini di sicurezza del trasporto – rilevazione NON continuativa
  • 37. B) Verifica preliminare del Garante In caso di dati «quasi» sensibili: • “il trattamento di dati diversi da quelli sensibili e giudiziari • che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, • in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, • è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, • ove prescritti • […] dal Garante […] • nell'ambito di Una verifica preliminare all'inizio del trattamento, – effettuata anche in relazione a determinate categorie di titolari o di trattamenti, – anche a seguito di un interpello del titolare.”
  • 38. C) Autorizzazione del Garante = richiesta al Garante (che dunque dovrà autorizzare espressamente) – da parte del titolare del trattamento – di dati sensibili / giudiziari – (tranne nei casi delle Autorizzazioni generali del Garante) • Costo: € 500 per diritti di segreteria (€ 150 in casi particolari) • decisione del Garante entro 45 gg. (silenzio-rigetto) → può prescrivere misure particolari • Si deve effettuare prima del trattamento • NO se si rientra in Autorizzazioni Generali GDP (v. 1/2014, 5/2014) → da modificare se cambiano i caratteri del trattamento ≠ NOTIFICAZIONE (= segnalazione preventiva di trattamento, non comporta replica)
  • 39. Provv. GDP per rapp. lavoratori (4/10/2011) GEOLOCALIZZAZIONE lecita se:  motivazione chiara e comprensibile;  identificato il software installato nel dispositivo mobile;  il software deve permettere al dipendente di attivarlo e disattivarlo;  app facilmente identificabile;  app NON si avvia in automatico;  l’invio dei dati di localizzazione NON deve essere continuo - NO storicizzazione!;  (consigliabile) canale criptato di trasmissione;  gli addetti all’accesso ai dati individuati ed autorizzati → elenco pubblicato di questi addetti;  tutte le attività di gestione del sistema: registrate, con accesso disciplinato (bilanciamento degli interessi tra datore e dipendenti);  ecc.
  • 40. Working Party art. 29 (= tutti i GDP) Designed by Evening_tao - Freepik.com
  • 41. Pareri WP29 nn. 13/2011 e 2/2013 • Utente: se condivide dati tramite un’app (es. divulgando informazioni a un numero indefinito di persone mediante social network) → è trattamento dati personali, diventa titolare (perché NON è solo uso personale) • Applicazione norme UE: se almeno nominato Responsabile uno dei soggetti coinvolti + nazionalità UE o strumenti in territorio UE del Responsabile/Titolare Definire i ruoli dei soggetti coinvolti, con adempimenti relativi Es. se app sfrutta GPS e geolocalizzazione dell’OS → Soggetti coinvolti: infrastrutture geolocalizzazione / sviluppatori OS / app store / sviluppatore dell’app / terzo = Responsabile o Titolare • INFORMATIVA e CONSENSO specifici per la privacy PRE-installazione • prevedere possibilità di negare e bloccare l’installazione • mancato intervento dell’utente nelle impostazioni = NO consenso prestato liberamente • Avvertire costantemente della geolocalizzazione in corso (es. icona)
  • 42. Pareri WP29 nn. 13/2011 e 2/2013 • (Raccomandazione) rinnovo dei consensi dopo un adeguato periodo di tempo - ricordare agli utenti il trattamento • Meglio consenso «granulare» = distinto per ciascun tipo/categoria di dati a cui la app vuole accedere • Facile possibilità tecnica per l’utente di cancellare definitivamente i dati • In caso di diritto d’accesso: informazioni leggibili (es. località geografiche, NO codici astratti) - NO richiesta di dati personali aggiuntivi per identificare • Data retention: entro le finalità dichiarate in informativa, poi cancellazione / anonimizzazione definitiva (NO pseudonimizzazione)
  • 43. Pareri WP29 nn. 13/2011 e 2/2013 Es. un'applicazione fornisce informazioni sui ristoranti nelle vicinanze  sviluppatore: per accedere ai dati → chiedere consenso separatamente (es. durante l'installazione o prima di accedere alla geolocalizzazione)  consenso specifico = limitato allo scopo specifico  solo quando l'utente utilizza l'applicazione a tale scopo → NO raccogliere costantemente dati sull'ubicazione dal dispositivo  può essere associato all'utilizzo di icone, immagini, video e audio, nonché notifiche contestuali in tempo reale quando l’app accede alla rubrica o alle foto → icone significative (= chiare, autoesplicative e inequivocabili) → anche onere del produttore di OS  Se lo sviluppatore di applicazioni consente l'accesso di terzi ai dati dell'utente (es. una rete pubblicitaria che accede ai dati per fornire pubblicità comportamentali) → requisiti applicabili UE
  • 44. Interludio: Privacy USA: tutto più semplice? Common law: precedente giudiziario Location protection act 2014 Privacy bill of rights act 2015 Consolidated appropriations act 2015 Geolocation privacy and surveillance act Online communications & geolocation protection act Cybersecurity act 2012
  • 45. Privacy 2.0 domani: GDPR e norme UE Designed by Creativeart - Freepik.com
  • 46. Privacy 2.0 domani: GDPR e norme UE • Regolamento 679/2016/UE (applicabile dal 25 maggio 2018) – (GDPR - General Data Protection Regulation) • Direttiva 2002/58/CE (già recepita in CDP) su fornitura di servizi di comunicazione elettronica su reti pubbliche di comunicazione e cookie law • Provvedimenti Commissione UE, GDP, Comitato Europeo per la protezione dei dati (certificazioni, linee guida, best practice, ecc.) • Provvedimenti nazionali (norme, CCNL, CDP, GDP)? → emanati, emanandi, con abrogazione implicita o espressa… • Direttiva 2016/1148/UE livello comune di sicurezza delle reti e dei sistemi informativi UE (recepimento entro 9 maggio 2018)
  • 47. Privacy 2.0 domani: GDPR e norme UE DATO DI LOCALIZZAZIONE =  è dato personale  può essere dato “particolare” (= “sensibile” ex CDP) • Trattamento = automatizzato / dati in archivio o destinati ad archivio • Archivio = insieme strutturato di dati personali accessibili secondo criteri predeterminati • Titolare = CONTROLLER • Responsabile = PROCESSOR • Interessato = DATA SUBJECT • Destinatario = chi riceve comunicazione dei dati • Autorizzato = “incaricato” ex CDP • Profilazione = trattamento automatizzato per valutare aspetti personali dell’interessato (es. ubicazione)
  • 48. Privacy 2.0 domani: Considerando (71) GDPR • “L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona”.
  • 49. Privacy 2.0 domani: Considerando (71) GDPR • “Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell'Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell'evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell'Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell'affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, o se l'interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all'in- teressato e il diritto di ottenere l'intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore”.
  • 50. Privacy 2.0 domani: Considerando (75) GDPR • “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o; qualsiasi altro danno economico o sociale significativo se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
  • 51. Privacy 2.0 domani: novità (in pillole) Valutazione del rischio del trattamento Misure di sicurezza adeguate al rischio Audit Privacy by default Privacy by design Consultazione preliminare al GDP DPIA(Data Protection Impact Assessment) Norme vincolanti d’impresa Registri dei trattamenti Accountability (responsabilizzazione) Data breach DPO(Data Protection Officer) Codici etici e certificazioni Portabilità dei dati Diritto all’oblio / cancellazione ...
  • 52. Privacy 2.0: GDPR nuovi/vecchi principi (in pillole) Responsabi- lizzazione (accountability) Minimizzazione Limitazione al trattamento Limitazione alla conservazione Integrità e riservatezza Limitazione delle finalità
  • 53. Privacy 2.0: GDPR nuovi/vecchi principi (in pillole)  Limitazione delle finalità = scopi determinati, espliciti e legittimi; NO trattamenti incompatibili con finalità originarie  Minimizzazione = dati adeguati, pertinenti e limitati strettamente alle finalità  Limitazione al trattamento = se contestazione dell’interessato, per il periodo di accertamento  Limitazione alla conservazione = data retention NON oltre le finalità  Integrità e riservatezza = idonee misure di sicurezza  Responsabilizzazione (accoun- tability) = titolare deve poter comprovare rispetto dei principi ► NO notifica GDP ► NO autorizzazioni (generali o preventive) GDP ► NO verifica preliminare GP (dati «quasi» sensibili)  Applicazione territoriale: a CONTROLLER / PROCESSOR stabilito in UE oppure NON stabilito ma che riguarda interessati UE
  • 54. Privacy 2.0: categorie “particolari” di dati NO trattamento di tali dati personali (“sensibili” CDP + biometrici, genetici, di salute) TRANNE SE:  consenso esplicito per finalità specifiche;  necessario per assolvere obblighi e diritti in diritto del lavoro/sicurezza sociale;  tutela di un interesse vitale dell’interessato o terzi se incapacità dell’interessato al consenso;  resi manifestamente pubblici dall’interessato;  per accertare / esercitare / difendere un diritto in sede giudiziaria;  per fini di medicina preventiva/del lavoro, valutazione della capacità lavorativa del lavoratore, servizi sanitari o sociali, ecc.;  archiviazione nel pubblico interesse, ricerca scientifica o storica o fini statistici  ecc.
  • 55. Privacy 2.0: es. integrazione dell’informativa  Adatta al destinatario e al mezzo di comunicazione (v. minori)  (Eventuali) legittimi interessi del titolare o terzi  Data retention (se NON possibile: i criteri per determinarla)  Diritto di revocare il consenso in qualsiasi momento  Diritto di reclamo ad autorità di controllo (GDP)  (Se applicabile) l’intenzione del titolare di trasferire i dati a Paese terzo ≠ UE  Se avviene processo decisionale automatizzato (es. profilazione) + logica utilizzata + importanza e conseguenze del trattamento  (Se raccolti presso terzi): fonte da cui hanno origine i dati (anche accessibili al pubblico)  Ecc.
  • 56. Privacy 2.0: consenso/legittimo interesse Legittimità del trattamento solo se:  Consenso dell’interessato (libero, specifico, comprovabile da parte del titolare, revocabile); oppure  Legittimo interesse del titolare (v. es. Considerando GDPR: relazione pertinente e prevedibile tra interessato-titolare; fine di prevenzione delle frodi; marketing diretto; sicurezza delle reti e dell’informazione (cybersecurity)  Possibile utilizzo dei dati per finalità ulteriori ma solo se compatibili con quelle iniziali o necessarie per queste → valutazione caso per caso
  • 57. Privacy 2.0: misure di sicurezza “adeguate” CONTROLLER e PROCESSOR: misure di protezione tecniche + legali + organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto: a) dello stato dell'arte e dei costi di attuazione; b) della natura, dell'oggetto, del contesto e delle finalità del trattamento; c) del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Comprendono - tra le altre - se del caso: pseudonimizzazione / anonimizza- zione + cifratura dei dati personali/archivi; assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati(data recovery); una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure → (ex ante + ex post)
  • 58. Privacy 2.0: by design & by default • PRIVACY BY DEFAULT = rispetto del GDPR come impostazione di base dalla fase di informativa-consenso alla raccolta del dato (ad es. in registrazione a servizi, stipula di contratti) al suo utilizzo → opt-in! – valutare: ammontare di dati, l’estensione del trattamento, data retention, l’accessibilità, ecc. → App: l’interessato deve attivare la relativa funzione per avere localizzazione • PRIVACY BY DESIGN = rispetto del GDPR deve essere considerato sin dalla fase di progettazione di prodotti / servizi (es. informatici/telematici); → Se utilizzati prodotti/servizi altrui: necessaria garanzia dal fornitore Relative MISURE DI SICUREZZA: ►MINIMIZZAZIONE (= uso dei dati identificativi solo quando necessario – v. pseudonimizzazione) ►TRASPARENZA (es. informativa sempre disponibile, garantire diritto di accesso) ► FINALITÀ ► ACCURATEZZA ► AGGIORNAMENTO ► DATA RETENTION (= conforme alle finalità) ► INTERESSE PUBBLICO/LEGITTIMO ► DPIA Designed by Pressfoto- Freepik.com
  • 59. Privacy 2.0: valutazione impatto privacy (DPIA) Solo se il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (in particolare se uso di nuove tecnologie) / casi di legge Considerati (in valutazione rischi):  la natura  il campo di applicazione  il contesto  le finalità del trattamento A cura del CONTROLLER, chiedendo un parere al DPO (se designato) • Obbligatoria se: a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato (compresa la profilazione) e da cui discendono decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche; b) su larga scala, trattamento di dati sanitari / giudiziari; c) su larga scala, la sorveglianza sistematica di una zona accessibile al pubblico
  • 60. Privacy 2.0: contenuto DPIA  descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;  valutazione della necessità e proporzionalità;  una valutazione dei rischi per i diritti e le libertà degli interessati;  le misure previste per affrontare i rischi  CONSULTAZIONE PREVENTIVA (PRIMA di procedere al trattamento) = al GDP se DPIA indica un rischio elevato in assenza di misure adottate dal CONTROLLER per attenuare il rischio; → l'autorità di controllo (entro un periodo di 8 settimane dalla richiesta - prorogabile), se ritiene che il trattamento NON sia conforme a GDPR → fornisce una consulenza per iscritto al CONTROLLER
  • 61. Privacy 2.0: registro dei trattamenti Ogni CONTROLLER / suo rappresentante tiene un registro delle attività di trattamento svolte sotto la propria responsabilità – contiene, tra l’altro, le seguenti informazioni ad es.:  il nome e i dati di contatto del CONTROLLER e (ove applicabile) del contitolare, del PROCESSOR e del DPO;  le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; (ove applicabile) i trasferimenti di dati personali verso un Paese terzo; (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; ecc.
  • 62. Privacy 2.0: portabilità dei dati = interessato ha diritto a ricevere i suoi dati: • in formato strutturato • di uso comune • leggibili da dispositivo automatico  SOLO SE (alternativamente): a) trattamento basato su consenso / l’esecuzione di contratto b) trattamento con mezzi automatizzati  Diretta trasmissione da titolare a titolare, se: richiesto dall’interessato + tecnicamente fattibile  NO lesione del diritto di terzi (= NO dati di terzi associati a quelli del richiedente)
  • 63. Privacy 2.0: art. 22 GDPR NO decisione sull’interessato basata unicamente sul trattamento automatizzato – compresa la profilazione – che:  produca effetti giuridici;  incida significativamente sulla persona TRANNE SE: a) decisione necessaria per conclusione / esecuzione del contratto; b) decisione autorizzata dalla legge (nazionale/UE); c) consenso esplicito dell’interessato → nec. titolare attui misure appropriate per tutelare i legittimi interessi dell’interessato → se dati “particolari”: sì solo se consenso esplicito / interesse pubblico rilevante
  • 64. Es. audit per il titolare del geotagging  Finalità: uso dei dati appropriato?  Minimizzazione: il dato necessario è ridotto al minimo indispensabile?  Controllo dell’utente: privacy by default? Possibilità dell’utente di cambiare settaggi? Quali dati l’utente fornisce direttamente e quali no? L’utente sa quali dati sono trattati e può monitorare il log? Può sempre interpellare il titolare per ogni esigenza, con procedure di accesso prestabilite?  Informativa: l’utente ha avuto e ha sempre accesso alle chiare condizioni di trattamento?  Consenso: è richiesto specificamente, granularmente? è adottato l’opt-in? Può sempre essere revocato?  Terzi: le informazioni sono comunicate a terzi? In che modo e perché? L’utente ne ha cognizione?  Data retention: adottate marche temporali ai dati per poter cancellare/anonimizzare i dati al termine? Esplicitata in informativa?  Aggregazione dati: è facilitata dal trattamento? Può creare degli identificatori persistenti?
  • 65. Riflessioni finali per affrontare il geotagging  Rapporti con i terzi → utilizzo o licenza/cessione di dati dalla geolocalizzazione o con cui ottenerla → a cura del titolare  Condizioni contrattuali & informativa privacy → consapevolezza, informazione, rapporti con l’utente → a cura del titolare  Privacy settings → a cura dell’utente + a cura del titolare (privacy by design & default)  Condivisione ragionata (es. profilo pubblico social network) → a cura dell’utente → Per il titolare: censimento dati trattati - revisione informative/procedure interne – formazione personale – trasparenza verso l’utente
  • 66. Perché ci interessa: http://app.teachingprivacy.com
  • 67. Perché ci interessa: http://app.teachingprivacy.com
  • 68. Grazie per l’attenzione Avv. Andrea Michinelli Studio Legale d’Ammassa & Associati Avv. Stefano Ricci Studio Legale Meda Preti Ricci Bologna - Milano tel 051/9841927 – 02/48014829 fax 02/700504722 mail a.michinelli@dammassa.com Milano - viale Bianca Maria n. 21 tel 02/87064410 - fax 02/87064416 mail stefano.ricci@mpravvocati.com