fbpx
Home Blog

Google aprirà il suo primo negozio permanente questa estate a New York City

0

Lo Store, nel campus del gigante tecnologico di Chelsea, mostrerà e riparerà telefoni Pixel, termostati Nest e dispositivi indossabili Fibit

Di Matt Grossman

Google aprirà il suo primo negozio al dettaglio permanente a New York City nelle prossime settimane, una scommessa basata sull’idea che una presenza fisica al dettaglio possa aiutare a mostrare e vendere i prodotti mentre la pandemia si attenua.

Il negozio, che si trova nel quartiere Chelsea di Manhattan, aprirà questa estate e venderà articoli come i telefoni Pixel di Google, i termostati intelligenti Nest e i dispositivi indossabili Fitbit, ha affermato la società giovedì in un post sul blog . Il negozio ospiterà anche workshop sull’utilizzo dei prodotti Google e fornirà servizi di riparazione e risoluzione dei problemi.

Il negozio farà parte del campus esistente di Google nel quartiere . Nel 2018, Google ha acquistato l’edificio del Chelsea Market di 1,2 milioni di piedi quadrati per oltre $ 2 miliardi, dall’altra parte della strada rispetto al suo edificio per uffici ancora più grande al 111 Eighth Ave.

“Google è a New York da 20 anni e consideriamo il negozio come una naturale estensione del nostro impegno di lunga data per la città”, ha detto nel post del blog Jason Rosenthal, vicepresidente dei canali diretti e dei membri dell’azienda.

Google di Alphabet Inc. ha gestito temporaneamente negozi pop-up a New York e Chicago in passato, ma il sito di Chelsea sarebbe il suo primo luogo permanente per gli acquirenti. New York City è la seconda più grande base di dipendenti di Google dopo la sua sede centrale a Mountain View, in California.

Ricerca potenziata dei provvedimenti

0

del Garante per la protezione dei dati personali

Da qualche mese il nostro vicepresidente avv. Massimiliano Nicotra (nonchè mio socio in QUBIT LAW FIRM) in collaborazione con Roberto Alma ha realizzato un ottimo motore di ricerca per i Provvedimenti del Garante Privacy.

Il motore si chiama GPDPSEARCH ED è A questo link https://gpdpsearch.it/

Vi consiglio di utilizzarlo perchè funziona davvero benissimo!

Privacy Academy lo mette a disposizione dei suoi associati e Utenti.

Webinar Per DPO – Lezione 7 La Privacy Nella PA

0

Continuano i nostri corsi per Data Protection Officer (DPO). Il 20 aprile alle ore 17.00 ci sarà la settima giornata del percorso per DPO per gli iscritti di Privacy Academy.

Si affronteranno le peculiarità proprie della Pubblica Amministrazione nell’applicazione delle regole previste dal GDPR (Regolamento Europeo per la Protezione dei Dati Personali) con particolare riferimento alla designazione obbligatoria del DPO, alle modalità dell’informativa, ai diritti degli interessati e soprattutto il diritto di accesso e la trasparenza.
Importante sarà illustrare la “trasparenza” come intesa dal GDPR e quella disciplinata dal d.lgs. 33/2013.

Al termine dell’incontro il fantastico disegnatore e fumettista Fabio Leonardi eseguirà le tavole delle relazioni, semplificando importanti norme giuridiche in facili mappe concettuali, sotto forma di divertenti fumetti.

Infine il solito test Kahoot per valutare l’apprendimento dei partecipanti.

Biglietti gratuiti per i soci e di 12 euro per i non soci (che potranno però usare questa cifra come anticipo sui 35 euro di quota associativa annuale). QUI il LINK di EventBRITE

SLIDES ART AND TECH – 18 MARZO 2021 – MDW

0

QUI LE SLIDES DELLA PRESENTAZIONE ALLA MILANO DIGITAL WEEK

ART and TECH nella Milano Digital Week

0

Scopri “Art and Tech – Digital Week” su Eventbrite!

Data: gio, mar 18 • 17:00 CET

https://www.eventbrite.com/e/biglietti-art-and-tech-digital-week-145003221539?aff=eand

Questo evento è gratuito per 20 soci Privacy Academy che si iscriveranno prima
Per il resto è a pagamento nell’ambito della Milano Digital week

Art and Tech 17 Febbraio 2021

0

Il giorno 17 Febbraio 2021 ci sarà la 2 giornata del percorso Legal Innovation di Privacy Academy dal Titolo Art and Tech. Sempre alle ore 17.00 e mediante zoom. Le Modalità di iscrizione sono visibili su EventBrite ed è accessibile anche ai NON Soci Privacy Academy.

L’evento è fatto in collaborazione con la Casa d’Arte San Lorenzo e riprenderà tematiche già affrontate all’Eprivacy del 2019 e descritte nell’articolo di Agenda Digitale

Si affronterà il tema del valore dell’opera e dei criteri per determinarlo, di blockchain e tokenizzazione e di nuove modalità di autenticazione digitale. Tutto questo solo dopo una bellissima introduzione sull’attuale mondo dell’arte fatta da Roberto Milani, tra i Titolari di Casa d’Arte San Lorenzo.

I relatori sono il gallerista e socio di Casa d’arte San Lorenzo Roberto Milani, l’avv. Adriana Augenti e l’avv. Monica Gobbato.

Al termine il fantastico disegnatore e fumettista Fabio Leonardi farà le tavole delle relazioni, come già fatto nell’ambito della giornata di STRUMENTI E SANZIONI del 27 Gennaio 2021.

“La tecnologia blockhain può rivoluzionare il mercato delle opere d’arte attraverso l’impiego dei token. Perché le opere d’arte si possono tokenizzare, con vantaggi per i collezionisti e i quadri stessi, che aumenteranno di valore: attraverso la tecnologia blockchain è possibile ampliare il mercato dell’arte, tradizionalmente molto chiuso, aprendolo anche a piccoli galleristi che così potranno possedere quote di un famoso dipinto. Il primo esperimento in questo senso è del 2018, con un’opera di Andy Warhol. Vediamo nel dettaglio come la tecnologia interviene nel mercato dell’arte”.

#ArtandTech sarà l’hashtag della giornata.

COOKIE TRA MARKETING E NORMATIVE PER LA PROTEZIONE DEI DATI

0

Ogni giorno, navigando in Internet, al primo accesso su un sito web, ci viene chiesto di accettare o meno i c.d. “Cookie”. La richiesta è necessaria affinché il sito web sia compliant rispetto alle recenti normative; la richiesta deve permettere all’utente di impostare le proprie preferenze in merito alle informazioni che è chiamato condividere – ad eccezione dei c.d. “Cookie Tecnici”, necessari cioè al corretto funzionamento del sito e che non richiedono consenso.

I Cookies sono semplici stringhe di testo, informazioni che un Server può installare sul dispositivo (Pc, Smartphone o Tablet) dell’utente quando si visitano siti web o si utilizzano Social Networks. Il server che li ha trasmessi, poi, può leggere e registrare le informazioni presenti sul dispositivo e ottenere informazioni di vario tipo.

Grazie anche allo sviluppo del Digital Marketing, ci si è resi conto dell’importanza dei cookie, soprattutto per quelle aziende che, sapendo analizzare correttamente dette informazioni, sanno rilevare le abitudini degli utenti. Tramite Cookies c.d. di “Profilazione”, per i quali è sempre necessario il consenso dell’utente, le aziende possono, tra le altre cose, implementare strategie di Data Monetization: lo scambio dei dati dell’utente finale verso un’altra organizzazione dietro compenso, con accordi commerciali che hanno ad oggetto proprio i dati ceduti dall’utente finale. Il dato ceduto, e le informazioni in esso contenute, diventa quindi il valore di scambio.

Sono diverse le tipologie di cookie se si intende compiere una classificazione.

Come chiarito anche dal Garante per la Protezione dei Dati Personali, nel Provvedimento dell’8 maggio 2014: “nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare“.

Recentemente anche l’EDPB, nella sua funzione di favorire l’applicazione omogenea all’interno dell’Unione Europea delle norme in materia di protezione dati, ha emanato le “Guidelines 8/2020 on the targeting of social media users” con l’obbiettivo di regolamentare i cookie presenti nei social media.

Il 26 novembre 2020, l’Autorità Garante ha emanato le “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”

Per approfondire il tema, alla luce delle più recenti determinazione dell’Autorità Garante della Privacy: Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021… – Garante Privacy. E la relativa SCHEDA DI SINTESI – LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO – SCHEDA DI… – Garante Privacy

La Quinta sessione del CORSO AVANZATO per DPO, promosso e organizzato dall’associazione PRIVACY ACCADEMY, previsto tra settembre e dicembre 2021 dalla durata di 120 ORE (90 ore in Webinar e 30 ore in Presenza) sarà dedicata a “il MARKETING, il TARGETING e gli adempimenti del settore.  Approfondimento sui social form, dopo i nuovi COOKIE e le informative per il web. Esame del Regolamento ePrivacy”

Per maggiori informazioni e per iscriversi al corso:          
https://www.privacyacademy.it/corso-avanzato-per-dpo/


Dott. Benedetto Fucà   
Dott. Giacomo De Simio

DIGITAL HEALTH, UNA SANITA’ “CONNESSA”: UN’OCCASIONE DA NON PERDERE

0

La Digital Health è il mondo dove confluiscono assistenza sanitaria e innovazione tecnologica, indubbiamente è il futuro della medicina, un terreno fertile dove le competenze prevalentemente informatiche, mediche e tecnologiche interagiscono per dar vita a strumenti digitali utilizzati per monitorare, prevenire o assistere nella cura delle patologie e quindi in grado di migliorare i servizi sanitari per pazienti e medici.

Come ogni cosa, anche le innovazioni tecnologiche mutuano il proprio valore in base all’uso che se ne fa, il settore dell’assistenza sanitaria è di per sé molto delicato e perciò necessità di maggiori tutele e garanzie.

La pandemia indubbiamente ha spinto la diffusione di strumenti digitali nel settore sanitario accelerandone anche la conoscenza, è evidente la percezione generale degli addetti al settore di come questa sfida della “sanità digitale” sia un occasione da non perdere, infatti la destinazione di parte delle risorse previste dal PNRR riguarda proprio questo settore e la gestione e valorizzazione dei dati sanitari è tra le priorità indicate.

Il processo di digitalizzazione del sistema sanitario è ancora frammentato e disomogeneo. Affinché le innovazioni tecnologiche in ambito sanitario possano determinare uno sviluppo su larga scala e possano essere sfruttate appieno occorre che siano soddisfatti determinati requisiti:

a) Sicurezza e certificazione degli strumenti tecnologici utilizzati, in modo che possa esserne garantita l’affidabilità, il rischio di malfunzionamento potrebbe essere causa di gravi danni per i pazienti. Infatti i sistemi di AI incorporati in dispositivi medici rientrano nella classificazione di sistemi ad alto rischio ai sensi dell’art. 6 par. 1 della proposta di Regolamento europero sull’Intelligenza artificiale.

b) Informazione e formazione dei professionisti sanitari e dei pazienti. É necessario che si crei un clima di fiducia nei confronti dei dispositivi digitali da parte degli operatori coinvolti e tale fiducia non può non prescindere da un’adeguata informazione e formazione. Occorre che vi sia la conoscenza dello strumento in questione, in primis da parte del professionista sanitario che lo utilizzerà, il quale, dovrà acquisirne la necessaria familiarità (ad esempio il medico dovrà conoscere come funzionano la Cartella Clinica Elettronica, gli strumenti di Telemedicina o le Terapie Digitali); il professionista avrà poi il compito di coinvolgere i pazienti e di agevolare il superamento della loro diffidenza iniziale dovuta dall’interfacciarsi con dispositivi all’apparenza freddi ed impersonali, dovrà rafforzare la loro fiducia in questi strumenti e metodi innovativi, compito non sempre facile visto che spesso (per le patologie di cui trattasi) i pazienti sono per lo più anziani e non sempre hanno dimestichezza con la tecnologia. Sarà compito del professionista sanitario inoltre, essere in grado di fornire tutte le informazioni che il paziente necessita, garantirsi che siano corrette, comprensibili e rassicuranti, infine dovrà tenere conto delle esigenze dei pazienti più timorosi e bisognosi di calore umano.

c) Qualità dei dati, protezione e l’importanza delle conoscenze specialistiche del DPO. Un problema da non sottovalutare riguarda la “qualità del dato”. L’aumento delle informazioni che circolano influisce sulla qualità delle stesse, più informazioni vengono inserite maggiore è il margine di errore ad esse relativo, occorre quindi prestare la massima attenzione nell’inserimento delle informazioni sanitarie, informazioni inesatte possono essere causa di gravi danni alla salute. L’accuratezza dei dati rileva maggiormente in ambito di intelligenza artificiale e del machine learning, tanto più i dati utilizzati sono corretti, tanto più sarà efficace la prestazione dell’algoritmo di apprendimento. La qualità del dato può essere garantita dai seguenti criteri: trasparenza nel contenuto, accessibilità, aggiornamento e correzione del dato, autorevolezza del provider dell’informazione, privacy e protezione dati, affidabilità.

Le prestazioni sanitarie e la loro regolamentazione di per sé coinvolgono una pluralità di soggetti (medici, pazienti, organizzazione sanitaria, DPO) ed una considerevole mole di dati, con l’introduzione degli strumenti tecnologici e dell’interoperabilità dei sistemi sanitari (ovvero la capacità dei dispositivi medici di scambiarsi informazioni ed utilizzarle) inevitabilmente aumentano le possibilità di accesso e trattamento delle informazioni idonee a rivelare lo stato di salute e conseguentemente aumentano le probabilità di violazione dei dati siano esse accidentali o intenzionali, è fondamentale pertanto assicurarsi che il trattamento dei dati personali avvenga nel rispetto delle norme vigenti in materia (GDPR – Codice Privacy), soprattutto in considerazione del carattere sensibile dei dati sanitari, particolare importanza in questo contesto rivestono il principio della limitazione delle finalità del trattamento e di minimizzazione del dato.

Ruolo fondamentale in questo senso è quello svoto dal DPO le cui competenze dovranno crescere ed andare di pari passo con le innovazioni tecnologiche che impattano sull’attività svolta dall’organizzazione per la quale svolge la funzione. Proprio in virtù di questo importante ruolo e della continua necessità di aggiornamento professionale l’Associazione Privacy Academy ha organizzato un corso avanzato per DPO il cui scopo è quello di fornire delle conoscenze specialistiche, un corso denso di contenuti che ha il pregio di avere relatori qualificati tra i quali alcuni funzionari dell’Autorità Garante che sapranno fornire delle informazioni utili e di taglio pratico anche in materia di sanità digitale. Tutti i dettagli sono consultabili al seguente link

Avv. Daniela Di Leo

Il Registro dei Trattamenti

0

L’art. 30 del Reg. (UE) 679/2016 GDPR impone a ogni titolare di trattamento, o al suo rappresentante, di tenere un registro delle attività svolte sotto la propria responsabilità. Le attività di trattamento come raccolta, registrazione, elaborazione, trasmissione o comunicazione, archiviazione, cancellazione o distruzione, di dati personali deve essere documentate e documentabili.

Il registro deve contenere le seguenti informazioni:

  • il nome e i dati di contatto del titolare, dell’eventuale contitolare, del suo rappresentante e del responsabile del trattamento;
  • le finalità del trattamento;
  • categorie di interessati;
  • categorie di destinatari a cui i dati personali sono stati o saranno comunicati:
  • trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
  • termini ultimi previsti per la conservazione/cancellazione;
  • rischi e misure di sicurezza adottate, organizzative e tecniche

Il registro è tenuto in forma scritta, anche in formato elettronico. Su richiesta, il titolare del trattamento, o il responsabile, mettono il registro a disposizione dell’Autorità di controllo. Tra le informazioni non obbligatorie rientrano l’indicazione della motivazione del livello scelto e i c.d. contenuti ulteriori, su cui annotare le particolarità dell’operazione di trattamento.

Ogni responsabile del trattamento è tenuto a indicare chiaramente quali categorie di trattamenti sono da lui effettuati per conto di ogni titolare.

L’obbligo del registro non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, o che il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, par. 1, o i dati personali relativi a condanne penali e a reati di cui all’art. 10.

Tenere il registro dei trattamenti ordinato e aggiornato è segno di “Accoutability”, elemento tramite cui è possibile valutare la buona fede e trasparenza del titolare che espleta le sue operazioni di trattamento. L’associazione Privacy Academy, durante il CORSO AVANZATO per DPO, previsto tra settembre e dicembre 2021 dalla durata di 120 ORE (90 ore in Webinar e 30 ore in Presenza), approfondirà il tema nella terza sessione. Unitamente a fornire bozze di modelli, verrà spiegato come effettuare l’analisi dei rischi e a predisporre le adeguate misure di sicurezza, nonché come vengono poi effettuate le modalità di ispezione sui registri stessi.

INFO E ISCRIZIONI: privacycorsi@gmail.com

INFO E ISCRIZIONI: privacycorsi@gmail.com

RELAZIONE GARANTE PRIVACY 2020

0

L’Annuale e importantissimo Incontro con il Garante Privacy Italiano per verificare i dati 2020 della disciplina per la Protezione dei Dati Personali, il 2 luglio, in diretta streaming.

CORSO AVANZATO PER DPO

0

CORSO SPECIALISTICO AVANZATO PER DATA PROTECTION OFFICER

L’associazione Privacy Academy presenta il CORSO AVANZATO per DPO, un corso specialistico rivolto ai professionisti della privacy e patrocinato dall’Autorità Garante per la Protezione dei dati personali. QUI TUTTE LE INfO!

Il corso è composto da 10 SESSIONI:

*** Ogni sessione prevede un TEST FINALE ed è previsto un ESAME CONCLUSIVO

Il CORSO, ha durata di 120 ORE90 ore effettuate via Webinar e 30 ore in Presenza. Le ore in presenza si svolgeranno in un agriturismo della Toscana e saranno maggiormente dedicate a esercitazioni e prove pratiche. Sarà comunque possibile seguire le prove pratiche da remoto per coloro che non potranno essere presenti fisicamente in agriturismo.

LOCANDINA E PROGRAMMA

*** il corso si svolgerà nei giorni del mercoledì pomeriggio/venerdì o venerdì/sabato come da locandina

AMMISSIONE AL CORSO

Sono ammessi al corso professionisti e interessati all’evoluzione della privacy e della protezione dei dati personali, dal GDPR alla normativa complementare, e che già posseggono conoscenze pregresse nella materia. Poiché è un corso avanzato, a chi si è approcciato di recente alla materia è richiesto di aver:

  1. eseguito corsi con Privacy Academy in modalità registrata E
  2. eseguito un test preliminare – generabile su richiesta sulla piattaforma Kahoot OPPURE
  3. Dimostrare di aver conseguito un attestato di partecipazione a un corso sulla privacy di almeno 40 ore.

*** Il numero massimo di iscritti è di 50.

COSTI E MODALITÀ DI ISCRIZIONE

Il pagamento del corso va effettuato sul conto IBAN seguente ed invio della ricevuta a Privacycorsi@gmail.com:
IT32A0623032121000030143393.

Gli acconti versati come da blocchi non verranno restituiti in caso di ritiro dell’iscritto o mancata partecipazione al corso, ma varranno come iscrizione a Privacy Academy per tutto il 2022, nonché consentiranno l’accesso ai contenuti e ai materiali messi a disposizione dall’Associazione.

Per le iscrizioni ed ulteriori informazioni, scrivere all’email: privacycorsi@gmail.com.
Da detta email verrà inviato anche il modulo di iscrizione da compilare.

Ogni sessione è di 9 ore. 4 ore e mezza a giornata, pausa compresa.
Le 30 ore in presenza presso l’agriturismo, il cui luogo sarà definito nei prossimi giorni, si considerano con un totale di circa 10 ore al giorno per 3 giorni in cui ci saranno:
*Esercitazioni pratiche e

*simulazioni di attività (data breach training, ispezioni ecc)

*soluzione compiti e networking.

In caso di non partecipazione all’agriturismo, il costo sarà scontato di 120 euro sui totali come da locandina. È prevista la possibilità di acquistare anche solo 5 sessioni – a scelta del richiedente (“componi il tuo corso”) senza agriturismo e con pagamento entro il 20 settembre di 400€, con acconto di 150 euro. È possibile ottenere un 10% di sconto se si porta un amico a iscriversi al corso.

Il corso sarà confermato appena  raggiunti 15 Iscritti

PATROCINATO DAL GARANTE PRIVACY

Associazione PRIVACY ACADEMY
Piazza IV Novembre 4,
20100 Milano

www.privacyacademy.it
privacycorsi@gmail.com

LA RISERVATEZZA DELLE TELECOMUNICAZIONI NELL’EUROPA DEL GDPR E DEL REGOLAMENTO ePRIVACY

0

Indice

FRAMEWORK
RISULTATI STORICI
IL REGOLAMENTO ePRIVACY

La proposta. Abrogazione della Dir. 2002/58/CE
Oggetto e definizioni
Ambito di applicazione
Dati, metadati e contenuto
Dati in transito o archiviati? Conservazione e cancellazione
Trattamento consentito

CONCLUSIONI


FRAMEWORK

Dalle prime intuizioni di Luigi Galvani sul flusso della corrente elettrica all’invenzione della pila di Alessandro Volta, dai primi messaggi in codice Morse trasmessi con un pantelegrafo alla disputa sulla paternità del telefono (attribuita a Antonio Meucci grazie alle battaglie di Basilio Catania), sono trascorsi appena due secoli e i mezzi di telecomunicazione si sono profondamente evoluti. Si pensi alle opportunità offerte da internet e da tutte le nuove tecnologie. L’archetipica necessità dell’uomo di comunicare, anche a distanza, è stata motore per la trasformazione di reti e linee per la telecomunicazione, motore di innovazione di processi e di prodotti.

Negli ultimi anni, in particolare, si è assistito a una progressiva sovrapposizione di mercati, che prima erano ben distinti. Da un lato gli operatori di telecomunicazioni (c.d. Tel.Co.), che gestiscono le infrastrutture tecnologiche necessarie per consentire l’accesso alla rete; dall’altro le aziende provenienti dal mondo dell’informatica (ICT), che offrono servizi innovativi come ad es. networks di telecomunicazione pubblici e privati. Ci sono poi gli operatori c.d. Over The Top (OTT), fornitori di servizi, contenuti o applicazioni che innovano la comunicazione al di là della mera trasmissione di contenuti (testo, voce) come sinora avvenuto con gli operatori tradizionali: tramite i social-networks è possibile infatti condividere contenuti audio, foto e video con una pluralità indistinta di altri profili iscritti alla medesima piattaforma, in tempo reale o in differita.  Gli OTT non forniscono l’accesso a internet, se ne servono per offrire i propri prodotti o servizi.

La strategia europea per il mercato unico digitale, e la libera circolazione di dati, apparecchiature e servizi di comunicazione elettronica, costituisce il contesto storico, culturale e normativo da cui scaturiscono i più recenti Regolamenti: il GDPR sulla protezione delle persone fisiche in materia di trattamento dei dati personali e il Reg. ePrivacy sul rispetto della vita privata e tutela delle comunicazioni elettroniche.

RISULTATI STORICI

Alcune tappe storiche da menzionare lungo il percorso verso l’attuazione della strategia europea per il mercato unico digitale, prima di passare al contenuto delle tutele previste in materia di comunicazioni elettroniche, sono:

  • Progressiva abolizione delle tariffe di roaming

Le prime disposizioni europee relative al roaming – ossia agli accordi tra operatori di telefonia mobile tramite cui l’utente può chiamare e accedere ai servizi internet, a prezzi accessibili, anche quando si trova temporaneamente in altro Stato e non c’è il fornitore di servizi equivalente – sono previste nel Reg. 2007/717/CE. Con Reg. 2012/531/UE si sono fissati massimali. Oggi si persegue invece il concetto “ROAM LIKE AT HOME” (RLAH) per abolire le tariffe;

  • Portabilità transfrontaliera dei contenuti online

Sottoscrivendo accordi contrattuali per la prestazione di servizi di contenuti online, l’utente deve poter accedere a detti servizi anche quando si trova in un altro Stato e deve essere garantito della fruizione indipendentemente dal fatto che sia per motivi di svago, lavoro, studio;

  • Fine dei blocchi geografici ingiustificati

I blocchi geografici sono una pratica discriminatoria che impedisce agli utenti di accedere e acquistare prodotti o servizi con un operatore che ha sede in un altro Stato membro. Il 27 febbraio 2018  il Consiglio ha adottato un regolamento che vieta i blocchi geografici ingiustificati nel mercato interno.[1] Il regolamento ha l’obiettivo di eliminare i blocchi al commercio elettronico che sono basati ad esempio sulla nazionalità del cliente, il luogo di connessione, il metodo di pagamento o il luogo di consegna di un prodotto;

  • Normativa in materia di protezione dei dati

Accertata la centralità dei servizi di comunicazione elettronica nell’economia digitale, l’utilizzo di mezzi e metodi di trattamento dei dati, che avviene sulle piattaforme di comunicazione online, impone al legislatore europeo la previsione di idonee tutele per le persone fisiche: da un lato, garantendo il libero accesso alla rete internet come servizio essenziale, da erogare a tutti i consociati indipendentemente dalla loro collocazione geografica sul territorio e a prezzi accessibili e non discriminatori, affinché tutti possano godere dei vantaggi offerti dall’economia digitale; dall’altro, deve prevedere tutele come quelle del GDPR, Regolamento Generale sulla protezione dei dati a baluardo dei diritti di un interessato coinvolto nel trattamento di dati, e come quelle previste dal Reg. ePrivacy, a presidio dei trattamenti di dati, metadati e contenuti scambiati durante comunicazione elettronica su piattaforme accessibili al pubblico (lex specialis rispetto al GDPR).

IL REGOLAMENTO ePRIVACY

La proposta. Abrogazione della Dir. 2002/58/CE

Il 10 gennaio 2017 la Commissione Europea ha presentato la proposta di Regolamento ePrivacy e, dopo un iter di quattro anni, si è ottenuto dal Consiglio Europeo il parere favorevole sulla versione finale. La proposta di Reg. è stata resa necessaria dal fatto che allo stato attuale la normativa in materia di comunicazione elettroniche risulta ancora frammentata e disomogenea: a regolare la materia a livello europeo è infatti la Dir. 2002/58/CE, che presenta importanti lacune e criticità. La Direttiva è ormai inidonea a regolamentare l’impattato che la trasformazione digitale ha avuto, negli ultimi decenni, sul mercato dei servizi di comunicazione elettronica e sulla loro fruizione da parte degli utenti finali. Inoltre, la scelta di un Regolamento (a sostituzione di una direttiva) è evidentemente tesa ad armonizzare il quadro giuridico applicabile a livello europeo, sottolineando così l’esigenza di superare i particolarismi applicativi.

Il Reg. ePr. intende riesaminare la materia oggetto della Dir. 2002/58/CE, per assicurare la riservatezza e la sicurezza delle comunicazioni elettroniche, nonché l’integrità delle informazioni contenute nei dispositivi. Accrescere la fiducia nei servizi digitali e non abbassare il livello di protezione offerto dall’attuale direttiva. Garantire coerenza, integrare il GDPR e abrogare la Dir. 2002/58/CE.

Oggetto e definizioni  

Il Regolamento prevede norme a tutela dei diritti e delle libertà fondamentali delle persone fisiche e giuridiche coinvolte nella fornitura o nell’utilizzo di servizi di comunicazione elettronica con l’obiettivo di dare un quadro normativo armonizzato per la disciplina delle reti, dei servizi di comunicazione elettronica, nonché delle risorse e dei servizi correlati.

Un servizio di comunicazione elettronica è un servizio fornito di norma a pagamento su reti di comunicazioni (sistemi di trasmissione di segnali): può comprendere il servizio di accesso a internet, il servizio di comunicazione interpersonale o di trasmissione di segnali. Per garantire la riservatezza della comunicazione è necessario proteggere i dati, i metadati e i contenuti da qualsivoglia interferenza (es. ascolto, registrazione, conservazione, monitoraggio, scansione o altri tipi di sorveglianza), a prescindere che siano o meno dati personali. La “privacy” intesa come “protezione dei dati” ai sensi del GDPR, è infatti un concetto diverso: la c.d. Data Protection comprende anche altri meccanismi di tutela come il diritto di accesso ai propri dati, il diritto alla rettifica o alla cancellazione, di ricevere idonee informative… oltre a imporre obblighi specifici al titolare del trattamento.

Ambito di applicazione   

Il Regolamento si applica ai trattamenti effettuati in relazione alla fornitura di un servizio di comunicazione elettronica, nonché all’invio di comunicazioni di marketing diretto. Tutela gli utenti finali stabiliti all’interno del territorio europeo e le informazioni connesse alle loro apparecchiature. Non si applica a servizi di comunicazione elettronica non disponibili al pubblico; alle attività extra UE; alle attività di politica estera e sicurezza comune; alle attività di prevenzione, accertamento, indagine e perseguimento di reati.

Il limite all’applicazione del Regolamento è dato dalla potenziale fuoriuscita dei dati in networks potenzialmente aperti a un numero indefinito di persone: l’utente esposto ai network pubblici trova le tutele previste dal Regolamento. Non si applica quindi agli home/corporte netwoks (che hanno un pre-definito numero di utenti) né ai networks utilizzati per finalità interne di comunicazione in una Pubblica Amministrazione. Si applica agli “Home Assistant”[2].

Dati, metadati e contenuto    

I dati delle comunicazioni elettroniche sono l’insieme di metadati e di contenuti. I metadati sono i dati trattati in una rete di comunicazione elettronica per trasmettere, distribuire o scambiare il contenuto delle comunicazioni, compresi i dati usati per tracciare e identificare la fonte e il destinatario, i dati relativi alla localizzazione, alla data, all’ora e durata della comunicazione. Il contenuto rappresenta invece il messaggio in sé (quale testo, voce, video, immagini o suono).

I metadati possono avere natura di dati personali laddove includono ad esempio i numeri chiamati, i siti web visitati, la geolocalizzazione, etc., poiché consentono di trarre conclusioni precise sulla vita privata delle persone coinvolte nella comunicazione (Cons. 2 del Reg. ePravacy). In effetti ci si è accorti che è proprio dai metadati che le Big del Tech possono trarre maggior profitto[3]: «Instead of analyzing the content of user lists such as favorite TV show, activities and music they learned that simple meta data – such us the amount of information shared – turned out to be much more useful and predictive than the original raw data». [4]

Dati in transito o archiviati? Conservazione e cancellazione   

I dati in transito sono i dati trasmessi tra due o più terminali (device o server) per mezzo di una rete di comunicazione elettronica; i dati archiviati, quei dati che vengono conservati a seguito della trasmissione e che devono essere cancellati o anonimizzati dal fornitore del servizio di comunicazione elettronica dopo che il o i destinatari previsti hanno ricevuto il contenuto della comunicazione.

Ai sensi dell’art. 7 del Reg. Pr. Il fornitore cancella o rende anonimi i contenuti e i metadati quando non più necessario per le finalità del trattamento. Mentre, quando il trattamento di metadati è effettuato per scopi di fatturazione, i metadati significativi possono essere conservati fino a quando la fattura non può essere legalmente impugnata.

Il diritto europeo o quello degli Stati membri possono prevedere misure di conservazione dei metadati, che rispettino le libertà fondamentali e che siano necessarie e proporzionate per la salvaguardia dell’ordine pubblico e sicurezza comune – ad esempio a fini di indagine, prevenzione, accertamento e perseguimento di reati.

Trattamento consentito

I fornitori di servizi/networks possono trattare dati solo se è necessario per la fornitura di un servizio, per mantenerne o ripristinarne la sicurezza; se è necessario per prevenire rischi o attacchi alle apparecchiature degli utenti finali; o se è necessario per adempiere a obblighi di legge. I dati possono essere trattati per la durata necessaria al
raggiungimento dello scopo e una parte terza non può trattare i dati a meno che non sia nominata Responsabile del trattamento e ai sensi dell’art. 28 GDPR.

I fornitori di servizi/networks possono trattare contenuti solo se L’utente ha prestato il proprio consenso e sono tenuti ad effettuare una valutazione di impatto (DPIA) laddove fosse necessario per via dei rischi a cui sono esposte le persone fisiche.

I fornitori di servizi/networks possono trattare metadati solo se è necessario per scopi tecnici (gestione e ottimizzazione) del servizio/network o se è necessario per dare esecuzione al contratto in cui l’utente finale è parte. Se l’utente ha prestato il proprio consenso o se è necessario per proteggere un interesse vitale di natura personale.

i fornitori di servizi di comunicazioni elettroniche devono trattare i metadati solo con il consenso dell’utente. Ma se poi si ammette che il trattamento dei metadati possa essere effettuato quando ciò è necessario per la fornitura dei servizi che sono basati su un contratto ci si può porre il problema della corretta individuazione della base giuridica su cui fondare i trattamenti. Pensare di individuare la base giuridica nel contratto aprirebbe brecce pericolose. Il consenso andrebbe sempre esplicitato se si ragiona secondo i principi di liceità correttezza e trasparenza.

È in ogni caso possibile non richiedere nuovamente il consenso laddove il trattamento ulteriore è compatibile con la finalità con cui l’informazione è stata precedentemente raccolta ed è permesso trattare i metadati per scopi di ricerca scientifica e statistica con le idonee misure di sicurezza della pseudonimizzazione o cifratura, senza pertanto compiere attività di profilazione.

CONCLUSIONI

Viviamo ormai in un’economia che ha fondato sull’utilizzo dei dati l’innovazione di processi e prodotti, mentre assistiamo alla compenetrazione dell’ICT nella società civile con la produzione di grandi quantità di dati – i c.d. Big Data caratterizzati da eterogeneità e accuratezza, in cui l’insieme dei dati e metadati, trattati ed elaborati, acquisisce un senso autonomo e ulteriore rispetto alle singole informazioni. Non va quindi trascurato che, l’attività di raccolta e di elaborazione dei dati, così come la produzione di dati informativi, sono “Core Activities”, che acquisiscono un valore autonomo, assumendo queste attività stesse una connotazione imprenditoriale (Data Analytics).[5]

In siffatto scenario le maggiori opportunità, anche proprio in termini di finanziamenti stanziati dall’Europa per rendersi essa stessa più competitiva nel mercato mondiale, sono per start-up e PMI, oltre che per le aziende più consolidate, che aggiudicandosi e gestendo progetti innovativi, coerenti con la strategia per il mercato unico digitale europeo, offrono al pubblico prodotti e servizi fortemente scalabili.

Associazione PRIVACY ACADEMY
CORSO DI AGGIORNAMENTO PER DPO
Dott. Giacomo De Simio

26 Maggio 2021


[1] https://data.consilium.europa.eu/doc/document/PE-64-2017-INIT/en/pdf

[2] https://www.cyberlaws.it/2020/smart-assistant-privacy/

[3] Shoshana Zuboff on surveillance capitalism | VPRO Documentary:      
https://www.youtube.com/watch?v=hIXhnWUmMvw&ab_channel=vprodocumentary

[44] Shoshana Zuboff, “The Age of Surveillance Capitalism. The Fight for the Future at the New Frontier of Power”, New York, Public Affairs, 2019

[5] Il Regolamento e-Privacy tra principi giuridici e impatti sull’economia digitale, Istituto Italiano per la Privacy https://www.istitutoitalianoprivacy.it/wp-content/uploads/2018/03/Paper-IIP_ePrivacy_2018_ITA.pdf