Chi è il Responsabile della Protezione dei Dati (RPD-DPO)
Requisiti e/o qualifiche particolari del DPO
Quali compiti possono essere affidati al DPO
Indicazioni e raccomandazioni nella designazione del DPO
Gestione dei dati di contatto del DPO
L’AUDIT e il compito di sorveglianza del DPO
2. 2
DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in
materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di
sviluppare attività di studio, ricerca e approfondimento nell'ambito delle
tematiche di interesse comune per il mondo giuridico e informatico
Web site: www.diricto.it
3. 3
ICT for Law and Forensics è il laboratorio di Informatica Forense del
Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari.
Aree di interesse: e-commerce e contrattazione telematica, la tutela
giuridica dei domain names, privacy e protezione dei dati personali nel
mondo telematico, cyber crimes, digital forensics
Web site: ict4forensics.diee.unica.it
4. 4
SOMMARIO
4
Chi è il
Responsabile
della
Protezione dei
Dati
(RPD-DPO)
Requisiti e/o
qualifiche
particolari
del DPO
Quali compiti
possono
essere affidati
al DPO
Indicazioni e
raccomandazio
ni nella
designazione
del DPO
Gestione dei
dati di contatto
del DPO
L’AUDIT e il
compito di
sorveglianza
del DPO
5. 5
Chi è il
Responsabile
della Protezione
dei Dati
(RPD-DPO) ?
DPO = FACILITATORE
Titolare del
trattamento
Personale
autorizzato al
trattamento
Interessati
Autorità
Garante
6. 6
Quando deve
essere designato
il DPO?
Titolari e
Responsabili
del trattamento
Designazione
obbligatoria
Art. 37 GDPR
Nessuna
designazione
Motivazione
(accountability)
Designazione
facoltativa
Segue le regole
degli artt. 37,
38 e 39 GDPR
7. 7
Quando deve
essere designato
il DPO?
… e da chi?
Quando deve essere designato (art. 37, par. 1):
a) il trattamento è effettuato da un’autorità pubblica o da un
organismo pubblico, ad eccezione delle autorità giurisdizionali quando
esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del
trattamento consistono in trattamenti che, per loro natura, ambito di
applicazione e/o finalità, richiedono il monitoraggio regolare e
sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del
trattamento consistono nel trattamento, su larga scala, di categorie
particolari di dati personali: dati «sensibili» e dati «giudiziari»
(rispettivamente art. 9 e art. 10).
Chi designa: il Titolare e/o il Responsabile del trattamento. Qualora sia
nominato un DPO da entrambe, le due figure sono tenuti alla reciproca
collaborazione
8. 8
La nomina
obbligatoria
del DPO…
… in ambito pubblico
• Amministrazioni dello Stato, anche con ordinamento
autonomo
• Enti pubblici non economici nazionali, regionali e locali
• Regioni e gli Enti locali
• Università
• Camere di commercio, industria, artigianato e
agricoltura
• Aziende del Servizio sanitario nazionale
• Autorità indipendenti
• …
Fortemente raccomandato: soggetti privati che
esercitano funzioni pubbliche (in qualità, ad esempio, di
concessionari di servizi pubblici)
9. 9
… in ambito privato
• Istituti di credito, Sistemi di informazione creditizia
• Imprese assicurative, Società finanziarie
• Società di informazioni commerciali
• Società di revisione contabile
• Società di recupero crediti
• Istituti di vigilanza
• Partiti e movimenti politici, sindacati, caf e patronati
• Società operanti nel settore delle "utilities"
(telecomunicazioni, distribuzione di energia elettrica o gas)
• Imprese di somministrazione di lavoro e ricerca del
personale
• Società operanti nel settore della cura della salute, della
prevenzione/diagnostica sanitaria quali ospedali privati,
terme, laboratori di analisi mediche e centri di riabilitazione
La nomina
obbligatoria
del DPO…
11. 11
Art. 37, par. 5 GDPR
«Il responsabile della protezione dei dati è designato in funzione delle qualità
professionali, in particolare della conoscenza specialistica della normativa
e delle prassi in materia di protezione dei dati, e della capacità di assolvere i
compiti di cui all'articolo 39.»
1) informare e fornire consulenza in merito agli obblighi derivanti
dal presente regolamento nonché da altre disposizioni dell'Unione o
degli Stati membri relative alla protezione dei dati
2) sorvegliare l'osservanza del regolamento, di altre disposizioni
dell'Unione o degli Stati membri relative alla protezione dei dati
nonché delle politiche del titolare del trattamento o del responsabile
del trattamento in materia di protezione dei dati personali, compresi
l'attribuzione delle responsabilità, la sensibilizzazione e la
formazione del personale
3) fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo
svolgimento;
4) cooperare con l'autorità di controllo e fungere da punto di contatto.
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
12. 12
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
Competenze
trasversali
Comp.
Giuridiche in
materia di
privacy
Comp.
Giuridiche
specifiche
del settore di
riferimento
Comp.
Informatiche
e sulla
sicurezza
Audit
13. 13
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
NON sono
richiesti
Attestazioni
formali
Partecipazione
a corsi di
formazione
Iscrizione in
albi
professionali
Certificazioni
come
Auditor/Lead
Auditor ISO
14. 14
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287
Il ricorrente espone che, con tale ultimo decreto, rilevata l’assenza tra i
dipendenti di una figura professionale corrispondente al profilo
richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio,
di un esperto di normativa e prassi in materia di protezione dei dati […]
Infine, riguardo ai requisiti di partecipazione alla selezione, l’avviso
(paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del
diploma di laurea in Informatica o Ingegneria Informatica, ovvero in
Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead
Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni
secondo la norma ISO/IEC/27001. […]
5. Venendo al merito dell’impugnazione, ritiene il Collegio che essa
sia manifestamente fondata in relazione alla contestata
individuazione della certificazione di Auditor/Lead Auditor
ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva
[…]
15. 15
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287
Sul punto va rilevato che la predetta certificazione non costituisce,
come eccepito dal ricorrente, un titolo abilitante ai fini
dell’assunzione e dello svolgimento delle funzioni di responsabile
della sicurezza dei dati […]
Ne consegue che la certificazione, indicata nell’avviso, di per sé non può
costituire requisito di ammissione alla selezione in esame (né tanto
meno assurgere a titolo equipollente al richiesto diploma di laurea),
proprio perché essa non coglie (o non coglie appieno) la specifica
funzione di garanzia insita nell’incarico conferito, il cui precipuo
oggetto non è costituito dalla predisposizione dei meccanismi volti ad
incrementare i livelli di efficienza e di sicurezza nella gestione delle
informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del
diritto fondamentale dell’individuo alla protezione dei dati personali
indipendentemente dalle modalità della loro propagazione e dalle forme,
ancorché lecite, di utilizzo.
P.Q.M.
Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia
(Sezione Prima), definitivamente pronunciando sul ricorso, come in
epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in
motivazione.
16. 16
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
Art. 38, par. 6 GDPR
«Il responsabile della protezione dei dati può svolgere altri compiti e funzioni.
Il titolare del trattamento o il responsabile del trattamento si assicura che tali
compiti e funzioni non diano adito a un conflitto di interessi.»
• non devono comportare la definizione di finalità e modalità
del trattamento dei dati
• non dovrebbero sottrarre al DPO il tempo necessario per
adempiere ai principali compiti affidati
Suggerimento
Nelle fasi precedenti alla designazione, e all’atto della stessa, il
DPO dovrebbe verificare quali compiti sono stati affidati dal
Titolare o dal Responsabile del trattamento.
Se necessario, prima di formalizzare la designazione, il DPO
invita il Titolare o il Responsabile a modificare eventuali compiti
affidati.
17. 17
Formazione al personale
• Non comporta conflitti di
interesse; è assimilabile ai
compiti di informazione e
consulenza tipici del DPO.
Assistenza nella tenuta del
registro delle attività di
trattamento
• Purché si tratti di mera tenuta del
registro, finalizzata ad esercitare
la sorveglianza sul Titolare
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
18. 18
Procedere alla mappatura dei processi e
trattamenti
•Attività tipica del Titolare, preordinata all’adeguamento. Il DPO
deve verificare che siano stati mappati tutti i processi e
trattamenti
Gestire il registro delle attività di trattamento sotto la
responsabilità del titolare o del responsabile ed
attenendosi alle istruzioni impartite
•La gestione è più della semplice tenuta. Si tratta di adempimento
del Titolare che il DPO deve verificare. Inoltre, il DPO non può
agire su istruzioni del Titolare (Art. 38, par. 3 GDPR)
Gestire il registro delle violazioni di
sicurezza e relativa modulistica
• La compilazione del registro delle violazioni è
obbligo del Titolare che il DPO deve verificare.
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
19. 19
Fornire ausilio al titolare nella individuazione
formale di responsabili ed incaricati del
trattamento
•Rischioso attribuire tale compito in quanto potrebbe sfociare in
attività tipiche del Titolare. Non vi è motivo di specificarlo, in
quanto il DPO fornisce consulenza e informazione.
Fornire supporto tecnico-giuridico al Social
media manager in relazione ai trattamenti
operati sui Social Media e/o Network
•«Supporto tecnico» significa definizione di mezzi e modalità
del trattamento (tipici del Titolare).
Svolgere, se necessario, la valutazione di impatto
sulla protezione dei dati
•Il DPO può intervenire per indicare: se condurre o meno la DPIA,
quale metodologia adottare per condurre la DPIA, quali
salvaguardie adottare per attenuare i rischi per i diritti
dell’interessato. Infine, il DPO valuta se la DPIA è stata svolta
correttamente.
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
20. 20
Coadiuvare il titolare nello studio e redazione dello schema
di regolamento interno avente ad oggetto modalità
organizzative, misure procedimentali e regole di dettaglio
•Il regolamento interno non è adempimento obbligatorio. Se inteso
come strumento per impartire istruzioni e organizzare i
trattamenti, è attività tipica del Titolare (definizione delle politiche
di trattamento) che il DPO dovrà verificare.
Realizzare gli ulteriori compiti contenuti nella
convezione di conferimento dell’incarico
•Accade quando il DPO è esterno. Compito generico che
potrebbe far riferimento ad attività incompatibili con il ruolo
del DPO
Garantire che il Titolare si conformi e rispetti in
maniera totale le nuove disposizioni
•Spetta al titolare o al responsabile del trattamento garantire ed
essere in grado di dimostrare che le operazioni di trattamento
siano conformi alle disposizioni del regolamento stesso (art. 24,
par. 1).
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
21. 21
Indicazioni e
raccomandazioni
nella designazione
del DPO
Contenuti essenziali dell’atto di designazione del DPO
(procedura selettiva interna o esterna, gara, altro)
•Prevedere requisiti di partecipazione alla selezione rapportati alle competenze
richieste
Requisiti di partecipazione
•Conoscenza specialistica della normativa e delle prassi in materia di protezione dei
dati personali
•Competenze specifiche per la P.A. (trasparenza, accesso documentale,
amministrazione digitale)
•Valutazione in relazione ai dati (qualità e quantità) e i trattamenti specifici
•Competenze in materia di sicurezza delle informazioni (eventuale)
Competenza/esperienza richiesta (art. 37-39 GDPR)
•Determinazione delle modalità per favorire il supporto attivo del DPO da parte del
vertice del Titolare e viceversa (supporto del DPO al vertice)
Fattore supporto
22. 22
Contenuti essenziali dell’atto di designazione del DPO
(procedura selettiva interna o esterna, gara, altro)
•Il tempo deve essere sufficiente per l’espletamento dei compiti affidati al DPO.
DPO interno: contratto di lavoro full-time/part-time. Se DPO esterno: piano di
lavoro (numero di audit, presenza presso la struttura del Titolare);
Fattore tempo
•supporto adeguato in termini di risorse finanziarie, infrastrutture (sede,
attrezzature, strumentazione) e, ove opportuno, personale
Fattore risorse
•accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.)
così da fornire al DPO supporto, informazioni e input essenziali;
Fattore accesso
•comunicazione ufficiale della nomina del DPO a tutto il personale, in modo da
garantire che la sua presenza e le sue funzioni siano note all’interno
dell’azienda/ente
Fattore comunicazione
Indicazioni e
raccomandazioni
nella designazione
del DPO
23. 23
Contenuti essenziali dell’atto di designazione del DPO
(procedura selettiva interna o esterna, gara, altro)
•I DPO devono avere la possibilità di curare il proprio aggiornamento con riguardo
agli sviluppi nel settore della protezione dati: partecipazione a corsi di formazione
su materie attinenti alla protezione dei dati e ad altre occasioni di
professionalizzazione;
Fattore formazione permanente
•Considerate le dimensioni e la struttura dell’azienda/ente, può risultare necessario
costituire un ufficio o un gruppo di lavoro DPO.
Fattore organizzazione
•Individuazione dei compiti del DPO (se prevista la creazione di un team del DPO,
ripartizione dei compiti nel team e individuazione del soggetto designato DPO
Compiti del DPO
Indicazioni e
raccomandazioni
nella designazione
del DPO
24. 24
"Dati di
contatto", un
concetto
difficile?
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
ATTENZIONE !
• Non confondere il Responsabile del trattamento con il
Responsabile della Protezione dei Dati
• Non si indicano i dati identificativi del DPO nelle informative,
è sufficiente indicare indirizzo email e/o numero di telefono (dato
di CONTATTO)
o non è obbligatorio il nome e cognome, è un trattamento dati non
adeguato e limitato rispetto alla finalità!
o se cambia il DPO, si dovranno modificare tutte le informative!
25. 25
"Dati di
contatto", un
concetto
difficile?
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
ATTENZIONE !
• Utilizzare indirizzi email impersonali (dpo@azienda.it oppure
rpd@azienda.it)
• Il DPO è una figura destinata a permanere nel tempo. Potrà
cambiare la persona fisica, ma la funzione resta. È opportuno,
quindi, mantenere uno storico delle comunicazioni inviate e
ricevute dall’ufficio del DPO.
• L’uso di caselle personali con nome.cognome equivale a
comunicare i dati identificativi del DPO, come nel caso
precedente.
26. 26
La casella
email del
DPO…
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
…qualche consiglio
La casella deve essere controllata e resa accessibile
direttamente dal DPO
Credenziali di autenticazione comunicate personalmente al
DPO e cambio password
Se è impostato l’inoltro dei messaggi su casella personale del
DPO, ricordarsi di lasciare sempre la copia nella webmail.
27. 27
La casella
email del
DPO…
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
…perché è così importante
• È lo strumento che consente al DPO di esercitare le proprie
funzioni di «facilitatore»
• Il Titolare può scrivere al DPO per richiedere informazioni e/o
consulenza
• Gli Autorizzati (dipendenti del Titolare) possono contattare il
DPO per richiedere consulenza e informazioni
• Gli interessati possono contattare il DPO per tutte le questioni
relative al trattamento dei loro dati personali e all'esercizio dei
loro diritti (art. 38, par. 4 GDPR)
28. 28
I compiti di
informazione
e consulenza
del DPO
Titolare o Responsabile del Trattamento
Dipendenti che eseguono il trattamento (autorizzati)
nei confronti di….
obblighi GDPR
Obblighi derivanti da altre disposizioni relative alla
protezione dei dati
in merito a…
D. Lgs. 196/2003 e s.m.i., D. Lgs. 101/2018, D. Lgs. 33/2013 e
s.m.i., L. 241/1990, L. 300/1970, Provvedimenti dell’Autorità
Garante (videosorveglianza, amministratore di sistema,
trasparenza, ecc…)
29. 29
Il compito di
sorveglianza
del DPO
osservanza del GDPR, delle altre disposizioni
relative alla protezione dei dati
attribuzione delle responsabilità (autorizzazioni e
istruzioni, responsabili del trattamento, contitolarità)
in merito a….
sensibilizzazione e formazione del personale
Audit
in che modo?
30. 30
Il compito di
sorveglianza
del DPO
Articolo - titolo Versione in italiano Versione in inglese
Art. 28 Responsabile del trattamento
Art. 28 Processor
attività di revisione,
comprese le ispezioni
contribute to audits,
including inspections
Art. 39 Compiti del Responsabile della
protezione dei dati
Art. 39 Tasks of the data protection
officer
sorvegliare [...] la
formazione del
personale che
partecipa ai
trattamenti e alle
connesse attività di
controllo
to monitor [...] the
training of staff
involved in
processing
operations, and the
related audits
Art. 47 Norme vincolanti di impresa
Art. 47 Binding corporate rules
verifiche sulla
protezione dei dati
data protection audit
Art. 58 Poteri (dell’autorità di
controllo)
Art. 58 Powers (supervisory authority)
Condurre indagini
sotto forma di attività
di revisione sulla
protezione dei dati
to carry out
investigations in the
form of data
protection audits
Un problema di traduzione…
31. 31
Art. 24 GDPR
«1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per
i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto
misure tecniche e organizzative adeguate per garantire, ed essere in grado di
dimostrare, che il trattamento è effettuato conformemente al presente
regolamento. Dette misure sono riesaminate e aggiornate qualora
necessario.
[…] le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in
materia di protezione dei dati da parte del titolare del trattamento»
Il compito di
sorveglianza
del DPO
Misure tecniche e
organizzative
Verifica di conformità
al GDPR
(AUDIT 1)
Riesame e
aggiornamento
(AUDIT 2)
32. 32
Il compito di
sorveglianza
del DPO
Gli elementi comuni di ogni audit
Audit
Definizione: processo sistematico, indipendente e documentato
per ottenere evidenze dell’audit e valutare con obiettività, al fine
di stabilire in quale misura i criteri dell’audit sono stati
soddisfatti
UNI EN ISO 19011:2018
Linee guida per gli audit di sistemi di gestione
OGGETTO: ossia il modello di riferimento (es. best practices,
linee guida, norme ISO, capitolati, ecc)
CAMPO DI APPLICAZIONE: un’organizzazione o alcune parti di
essa
SCOPO: verifica dello stato dell’arte dell’organizzazione rispetto ai
requisiti del modello di riferimento oggetto dell’audit. Verifica se i
criteri dell’audit sono stati soddisfatti
33. 33
Il compito di
sorveglianza
del DPO
L’audit del DPO
OGGETTO: modello di riferimento: Regolamento
(UE) 679/2016, D. Lgs. 196/2003 e altre
disposizioni relative alla protezione dei dati
CAMPO DI APPLICAZIONE: l’organizzazione del
Titolare o del Responsabile del trattamento
SCOPO: verifica dello stato dell’arte
dell’organizzazione del Titolare o del Responsabile
rispetto delle norme del Regolamento (UE)
679/2016, D. Lgs. 196/2003 e altre disposizioni
relative alla protezione dei dati
34. 34
Il compito di
sorveglianza
del DPO
L’audit del DPO
I principi dell’audit che deve osservare il DPO
Integrità: requisito posto a fondamento della professionalità (onestà,
diligenza, competenza e imparzialità)
Imparzialità: elaborazione di report veritieri e accurati.
Le risultanze devono riportare fedelmente e accuratamente le attività svolte
Professionalità: applicazione di diligenza e di giudizio nel corso
dell’attività di audit
Livello di attenzione adeguato all’importanza del compito.
Riservatezza: sicurezza delle informazioni
Discrezione nell’utilizzo e nella protezione delle informazioni acquisite
Indipendenza: Autonomia e assenza di conflitto di interessi
Approccio basato sull’evidenza: il metodo razionale per
raggiungere conclusioni efficaci
Le evidenze si basano su un campione di informazioni disponibili
35. 35
Il compito di
sorveglianza
del DPO
L’audit del DPO
Conduzione delle attività: la riunione di apertura
Obiettivi:
1. Presentazione delle attività del DPO
2. Valutazione complessiva dello stato dell’arte
3. Richieste di informazioni e consulenze specifiche al DPO
Partecipanti:
Soggetti privati – Direzione, Amministrazione, Resp.
Uffici/Aree maggiormente coinvolte nel trattamento dei dati
Soggetti pubblici – Direzione Generale, Sindaco, Segretario
Comunale, Resp. Uffici/Aree
Costituzione di un «Gruppo privacy»
36. 36
Il compito di
sorveglianza
del DPO
L’audit del DPO
Il DPO deve raccogliere evidenze oggettive, ovverosia
informazioni verificabili, inconfutabili, supportate da
documentazione, registrazioni, dichiarazioni, osservazioni
Cosa
comprende
Quando può
avvenire
Audit: raccolta
delle evidenze
Programmato
periodicamente
Verifica
documentale
Interviste al
personale coinvolto
nei trattamenti dei
datiIn seguito a
segnalazione/data
breach o altre
anomalie
37. 37
Il compito di
sorveglianza
del DPO
L’audit del DPO
Informative
privacy,
richieste di
consenso
Istruzioni al
personale
Procedure/Policy
interne: es.
gestione delle
istanze
dell’interessato,
gestione dei data
breach, uso della
posta elettronica e
strumenti
informatici
aziendali
Registri dei
trattamenti,
registri delle
violazioni
Verifica documentale
38. 38
Il compito di
sorveglianza
del DPO
L’audit del DPO
Valutazione
del livello di
sicurezza
Verifica sul
recepimento
delle
procedure
Verifica dei
luoghi ove si
svolgono i
trattamenti di
dati personali
Controlli sulle
modalità
operative e
accountability
Interviste al personale
40. 40
Grazie per l’attenzione
Ci sono domande?
Non dimenticare di segnarti le nostre email:
gianluca@gianlucasatta.it, massimo@massimofarina.it
info@diricto.it
…e i nostri siti web:
http://www.diricto.it
http://ict4forensics.diee.unica.it
http://www.marcafoto.it
41. 41
Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0)
Internazionale
o Tu sei libero di:
Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo
materiale con qualsiasi mezzo e formato;
Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza
Alle seguenti condizioni:
Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se
sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con
modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.
Non commerciale. Non puoi usare il materiale per fini commerciali.
Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la
stessa licenza del materiale originario.
o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti
dei vincoli giuridici su quanto la licenza consente loro di fare.
o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi
in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge
o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad
esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi
sul materiale.