fbpx
Home Blog

Corso Avanzato per DPO – VICENZA 11-13 MARZO – SESSIONE IN PRESENZA

0

Venticinque professionisti tra esperti IT, consulenti, social media manager e avvocati di tutta Italia si sono ritrovati a Vicenza per affrontare la grande finale del Corso Avanzato di DPO organizzato da noi di Privacy Academy e patrocinato dal Garante Privacy. L’evento dall’11 al 13 marzo 2022, a conclusione delle precedenti 90 ore in webinar svoltesi da settembre a dicembre, ha rappresentato un’importante occasione di incontro per condividere, imparare e divertirsi.

Durante il corso i partecipanti, uniti in team, si sono immedesimati in realtà aziendali e hanno brillantemente affrontato le varie esercitazioni pratiche su informative, nomine, registri di trattamento, notificazioni di Data breach, etc., assegnate al fine di creare quel piccolo dossier documentale che è stato poi attenzionato dai relatori in una simulazione finale di ispezione dell’Autorità Garante per la Protezione dei Dati personali. Con tanto di scrivania da Commissione d’esami i diversi team si sono sottoposti agli approfondimenti e quesiti degli Ispettori.

Tra le ore 14.00 e le 17.00 di venerdì 11 marzo i partecipanti sono giunti all’hotel Viest di Vicenza, ritrovandosi in sala meeting per la presentazione dei lavori e l’illustrazione delle prove.

Alla fine dei lavori i partecipanti si sono congedati, per darsi appuntamento a cena “Al Ritrovo”, un’osteria in Piazzetta Duomo a Vicenza.

Dalle ore 10.00 di sabato 12 marzo sono proseguiti i lavori e la messa a punto delle varie esercitazioni che ciascun team si è impegnato a completare in vista della simulazione di ispezione finale. I partecipanti che avevano già completato i lavori hanno invece potuto concedersi il meritato relax in sauna o in vasca idromassaggio nella Spa dell’hotel.

Dopo il Light Lunch delle 13.00, i partecipanti si sono ritrovati alle 15.00 in sala meeting per affrontare la prova conclusiva.

Durante la simulazione di ispezione ciascun team, a turno, si è presentato davanti alla Commissione per rispondere a domande puntuali inerenti agli elaborati consegnati e alla gestione della privacy nella aziende rappresentate.

Valutata la capacità di rispondere lucidamente alle domande che venivano poste in relazione soprattutto ai ruoli che i partecipanti avevano all’interno dei team (ad es. titolare o responsabile del trattamento, DPO, piuttosto che responsabile IT, del personale, o della comunicazione) nonché l’esposizione nel complesso, la Commissione si è riunita per formulare i propri giudizi e assegnare le premiazioni.

Le diverse premiazioni e la consegna degli attestati sono avvenute in sala meeting nella mattinata di domenica.

Siamo veramente soddisfatti della buona riuscita dell’evento e ringraziamo ciascun partecipante per aver reso i momenti insieme ricchi di stimoli e di piacevoli riflessioni.

Avv. Monica Gobbato
Avv. Daniele Minotti
Dott. Andrea Albanese
Avv. Giulia Scarpino
Dott. Giacomo De Simio

Microsoft sempre più potente nel gaming grazie all’acquisto di Activision Blizzard

0

Activision Blizzard è stata acquisita da Microsoft al costo di 68,7 miliardi di dollari. Si tratta del gigante dei videogiochi con al suo attivo titoli come Call of DutyWorld of Warcraft o Diablo. Questa acquisizione renderà Microsoft la terza società di videogiochi più grande al mondo, dopo la cinese Tencent e la giapponese Sony.

“Oggi, il gioco è la categoria più dinamica ed eccitante dell’intrattenimento su tutte le piattaforme e avrà un ruolo chiave nello sviluppo delle piattaforme per il metaverso”  ha esordito Satya Nadella, presidente e amministratore delegato Microsoft.

Grazie a questo acquisto Microsoft otterrà l’accesso ai 390 milioni di utenti mensili di Activision, da aggiungere ai 25 milioni di abbonati di Xbox, e la possibilità di inserire nel suo catalogo Xbox pass i grandi titoli come Call of Duty e Warcraft.

Come è noto il mercato dei videogame è estremamente redditizio e anche in crescita visto che ad oggi vale oltre 200 miliardi di dollari.

Come abbiamo avuto modo di approfondire nella giornata sul gaming al nostro corso avanzato per dpo, solo nel 2021, il numero totale di nuovi titoli è aumentato del 64% rispetto al 2020 e ad oggi i giocatori nel mondo sono circa 3 miliardi, in crescita costante e con un avanzamento della fascia di età che non riguarda più solo giovanissimi.

Google aprirà il suo primo negozio permanente questa estate a New York City

0

Lo Store, nel campus del gigante tecnologico di Chelsea, mostrerà e riparerà telefoni Pixel, termostati Nest e dispositivi indossabili Fibit

Di Matt Grossman

Google aprirà il suo primo negozio al dettaglio permanente a New York City nelle prossime settimane, una scommessa basata sull’idea che una presenza fisica al dettaglio possa aiutare a mostrare e vendere i prodotti mentre la pandemia si attenua.

Il negozio, che si trova nel quartiere Chelsea di Manhattan, aprirà questa estate e venderà articoli come i telefoni Pixel di Google, i termostati intelligenti Nest e i dispositivi indossabili Fitbit, ha affermato la società giovedì in un post sul blog . Il negozio ospiterà anche workshop sull’utilizzo dei prodotti Google e fornirà servizi di riparazione e risoluzione dei problemi.

Il negozio farà parte del campus esistente di Google nel quartiere . Nel 2018, Google ha acquistato l’edificio del Chelsea Market di 1,2 milioni di piedi quadrati per oltre $ 2 miliardi, dall’altra parte della strada rispetto al suo edificio per uffici ancora più grande al 111 Eighth Ave.

“Google è a New York da 20 anni e consideriamo il negozio come una naturale estensione del nostro impegno di lunga data per la città”, ha detto nel post del blog Jason Rosenthal, vicepresidente dei canali diretti e dei membri dell’azienda.

Google di Alphabet Inc. ha gestito temporaneamente negozi pop-up a New York e Chicago in passato, ma il sito di Chelsea sarebbe il suo primo luogo permanente per gli acquirenti. New York City è la seconda più grande base di dipendenti di Google dopo la sua sede centrale a Mountain View, in California.

Ricerca potenziata dei provvedimenti

0

del Garante per la protezione dei dati personali

Da qualche mese il nostro vicepresidente avv. Massimiliano Nicotra (nonchè mio socio in QUBIT LAW FIRM) in collaborazione con Roberto Alma ha realizzato un ottimo motore di ricerca per i Provvedimenti del Garante Privacy.

Il motore si chiama GPDPSEARCH ED è A questo link https://gpdpsearch.it/

Vi consiglio di utilizzarlo perchè funziona davvero benissimo!

Privacy Academy lo mette a disposizione dei suoi associati e Utenti.

Webinar Per DPO – Lezione 7 La Privacy Nella PA

0

Continuano i nostri corsi per Data Protection Officer (DPO). Il 20 aprile alle ore 17.00 ci sarà la settima giornata del percorso per DPO per gli iscritti di Privacy Academy.

Si affronteranno le peculiarità proprie della Pubblica Amministrazione nell’applicazione delle regole previste dal GDPR (Regolamento Europeo per la Protezione dei Dati Personali) con particolare riferimento alla designazione obbligatoria del DPO, alle modalità dell’informativa, ai diritti degli interessati e soprattutto il diritto di accesso e la trasparenza.
Importante sarà illustrare la “trasparenza” come intesa dal GDPR e quella disciplinata dal d.lgs. 33/2013.

Al termine dell’incontro il fantastico disegnatore e fumettista Fabio Leonardi eseguirà le tavole delle relazioni, semplificando importanti norme giuridiche in facili mappe concettuali, sotto forma di divertenti fumetti.

Infine il solito test Kahoot per valutare l’apprendimento dei partecipanti.

Biglietti gratuiti per i soci e di 12 euro per i non soci (che potranno però usare questa cifra come anticipo sui 35 euro di quota associativa annuale). QUI il LINK di EventBRITE

SLIDES ART AND TECH – 18 MARZO 2021 – MDW

0

QUI LE SLIDES DELLA PRESENTAZIONE ALLA MILANO DIGITAL WEEK

ART and TECH nella Milano Digital Week

0

Scopri “Art and Tech – Digital Week” su Eventbrite!

Data: gio, mar 18 • 17:00 CET

https://www.eventbrite.com/e/biglietti-art-and-tech-digital-week-145003221539?aff=eand

Questo evento è gratuito per 20 soci Privacy Academy che si iscriveranno prima
Per il resto è a pagamento nell’ambito della Milano Digital week

Art and Tech 17 Febbraio 2021

0

Il giorno 17 Febbraio 2021 ci sarà la 2 giornata del percorso Legal Innovation di Privacy Academy dal Titolo Art and Tech. Sempre alle ore 17.00 e mediante zoom. Le Modalità di iscrizione sono visibili su EventBrite ed è accessibile anche ai NON Soci Privacy Academy.

L’evento è fatto in collaborazione con la Casa d’Arte San Lorenzo e riprenderà tematiche già affrontate all’Eprivacy del 2019 e descritte nell’articolo di Agenda Digitale

Si affronterà il tema del valore dell’opera e dei criteri per determinarlo, di blockchain e tokenizzazione e di nuove modalità di autenticazione digitale. Tutto questo solo dopo una bellissima introduzione sull’attuale mondo dell’arte fatta da Roberto Milani, tra i Titolari di Casa d’Arte San Lorenzo.

I relatori sono il gallerista e socio di Casa d’arte San Lorenzo Roberto Milani, l’avv. Adriana Augenti e l’avv. Monica Gobbato.

Al termine il fantastico disegnatore e fumettista Fabio Leonardi farà le tavole delle relazioni, come già fatto nell’ambito della giornata di STRUMENTI E SANZIONI del 27 Gennaio 2021.

“La tecnologia blockhain può rivoluzionare il mercato delle opere d’arte attraverso l’impiego dei token. Perché le opere d’arte si possono tokenizzare, con vantaggi per i collezionisti e i quadri stessi, che aumenteranno di valore: attraverso la tecnologia blockchain è possibile ampliare il mercato dell’arte, tradizionalmente molto chiuso, aprendolo anche a piccoli galleristi che così potranno possedere quote di un famoso dipinto. Il primo esperimento in questo senso è del 2018, con un’opera di Andy Warhol. Vediamo nel dettaglio come la tecnologia interviene nel mercato dell’arte”.

#ArtandTech sarà l’hashtag della giornata.

Crypto Coinference Bologna 2022

0

Indice

Cos’è la Cryptocoinference?
Il programma ufficiale
Gli argomenti trattati
Bitcoin e Crypto
Crypto Trading
NFT e Metaverso
Crypto e Tasse
Crypto Crime

LawBoat – Ottobre 2022 |
Corso Avanzato per DPO 2nd Ed.
Gallery delle foto


Cos’è la Cryptocoinference?

La Crypto Coinference è un appuntamento annuale a tema Crypto e Blockchain. Una conferenza formativa che fa da riferimento per la trattazione di tematiche sul digitale estremamente nuove, che hanno la necessità di essere spiegate con contenuti di qualità e all’interno di un luogo fisico dove, oltre ad apprendere le nozioni di base e gli orientamenti futuri, è possibile incontrare altri appassionati, professionisti, player, aziende e istituzioni che operano nella c.d. finanza decentralizzata (DeFI): un ponte tra le realtà aziendali e gli enti regolatori, da un lato, e investitori e utenti finali, dall’altro.

Ideata nel 2017, gli organizzatori Federico Lagni, Co-Founder & Event Director di Crypto Coinference, CEO di Enerev e Presidente di Tesla Club Italy e Francesco Redaelli, Co-Founder & CEO at Horizone Group, Co-Founder & Managing Director at Moneywide hanno realizzato, con la prima edizione di Milano 2018, quello che prima non c’era: un evento che aggregasse quante più entità possibili operanti nella DeFI, per crescere insieme e imparare gli uni dagli altri; andare oltre il mero profitto speculativo e trasferire conoscenze e consapevolezze affinché possa compiersi quel “next step” funzionale all’adozione di massa di certi sistemi.

Superata l’emergenza sanitaria da Covid19, che ha costretto in casa gli italiani per più di un anno, la Cryptocoinference è tornata per la sua terza edizione, quella di Bologna 2022, svoltasi nelle giornate del 5 e 6 maggio.

Il programma ufficiale

Il programma dell’evento e tutti i relatori
https://www.cryptocoinference.com/bologna-2022/

Gli argomenti trattati

Nonostante la crescita e il conseguente potenziale che le criptovalute stanno dimostrando negli ultimi anni, sia in termini finanziari che tecnologici, ci si scontra spesso con la scarsa conoscenza generale di questo settore. Ecco perché si vivrà un’evoluzione sempre più orientata all’incentivazione dell’educazione sull’industria degli assets digitali. È il senso dell’alfabetizzazione sul mondo Crypto: organizzare learning events e workshop per creare, con gli strumenti della decentralizzazione, un ecosistema operativo di sviluppatori, business e financial managers. Un ecosistema che guarda alla nuova generazione come la risorsa necessaria per fare cose nuove che fino ad oggi non si potevano fare. L’ascesa delle DeFi istituzionale porta infatti con sé nuovi scenari ed opportunità. Sempre più soggetti istituzionali si stanno approcciando alla DeFi, alla ricerca di rendimenti ormai impossibili da raggiungere nella finanza tradizionale.

I principi di trasparenza, tracciabilità e decentralizzazione propri della Blockchain pongono le fondamenta per un approccio rivoluzionario ai modelli di governance, finanziamento e sostegno economico. Grazie a strumenti come le DAO (Decentralized Autonomous Organization), realtà anche molto diverse fra loro, come singoli individui, professionisti, start-up, corporation e sovranità nazionali, possono creare o partecipare ad organizzazioni distribuite, ed accedere a modalità di supporto economico inedite e più immediate, fondate sulla partecipazione condivisa e paritaria di tutti gli attori coinvolti. Ma è davvero tutto oro ciò che luccica?

La rapida ascesa dei Digital Asset sta cambiando il panorama economico globale, creando sia opportunità che potenziali punti di attenzione per i business nuovi ed esistenti. Sostenuto dalla tecnologia Blockchain, questo nuovo paradigma richiede l’evoluzione dei modelli di business esistenti. Dalla compravendita e dalla custodia di asset digitali, passando per le FinTech e le banche tradizionali che offrono questa tipologia di asset alla clientela, oggi si osserva un mercato con una capitalizzazione superiore a 2 trilioni di dollari. Le nuove applicazioni del Web 3.0 stanno dimostrando il potenziale innovativo dei token non fungibili (NFT) in vari settori, unito all’automazione di processi di business per mezzo di smart contract fino ad arrivare alla tokenizzazione di strumenti finanziari (Security Token) e allo sviluppo di monete digitali di Banca Centrale (CBDC). Nei prossimi anni vedremo gli impatti crescenti di queste applicazioni in diversi settori di business.

Relatori:

– Andrea Ferrero, CEO at Young Platform
– Diego D’Aquilio, CEO & Co-Founder at Anubi Digital
– Fabrizio Tonelli, President at Decentra
– Stefano Rossi, Manager PwC Italia
– Vincenzo Rana, Co-Founder e CEO di KNOBS

Bitcoin e Crypto

I normali processi della finanza tradizionale mal si conciliano con le peculiarità del mondo crypto. Per soddisfare la crescente domanda di questa nuova asset class sono necessari paradigmi di cyber security radicalmente nuovi, e nuove competenze di crypto wealth management.

Trascorsi oltre 13 anni dalla nascita della rete Bitcoin, il mercato delle valute digitali ha subito una rapida evoluzione. L’uso di Bitcoin come sistema di pagamento, e del suo principale layer 2, si sta diffondendo molto rapidamente, anche nel B2B. È quindi importante per le aziende comprendere qual è l’identikit del “crypto-consumatore” tipo e come un gateway di pagamento può rendere plug and play intercettarlo.

Grazie a Bitcoin, i concetti di disintermediazione e decentralizzazione sono divenuti aspetti fondamentali nello scenario della nuova finanza. Occorre pertanto individuare tempestivamente quali saranno gli scenari e le dinamiche del futuro della finanza, in cui conviveranno criptovalute, token e valute digitali emesse da banche centrali.

Relatori:

– Ferdinando M. Ametrano, CoFounder at CheckSig
– Christian Miccoli, Co-Founder & Co-CEO at Conio | Former President & CEO at CheBanca!
– Daniele Pregnolato,CEO di tinkl.it, il Bitcoin Payment Processor italiano, controllato dalla Digital Rock Holding SPA.

Crypto Trading

È possibile fare trading con le crypto non solo tutelandosi durante le fasi di ribasso dei mercati, ma anche sfruttandole a proprio vantaggio, abbattendo al minimo il rischio di perdite finanziarie. Asset Allocation: esporsi in crypto a rischio controllato. La Crypto Spread Trading è una strategia che potenzialmente permetterà di abbattere non solo al minimo il rischio della perdita, affrontando al meglio le fasi di bear market, ma permetterà anche di imparare a sfruttare a proprio vantaggio le fasi di ribasso dei mercati. Creando delle posizioni definite market neutrali è possibile rimanere coperti dai ribassi dei mercati. Spesso ci si concentra troppo su cosa e quando acquistare. Ma per controllare il potenziale di rischio occorre fare un passo indietro: comprendere quanto sia più importante l’allocazione strategica del proprio capitale e la sua gestione attiva.

Relatori:

– Mauro Caimi, Youtuber at Tradingon, Financial Quantitative Trader & Financial Advisor, Crypto Enthusiast, Crypto Trainer, Founder of Tradingon Academy
– Luca Boiardi, Founder at The Crypto Gateway | Youtuber

NFT e Metaverso

Il 2021 è stato l’anno in cui è esploso il fenomeno degli NFT, che pongono sfide completamente nuove anche sotto il profilo fiscale per creatori, commercianti ed investitori. Nel campo delle cryptovalute tradizionali, dopo la risposta all’interpello 788/2021 pubblicata a novembre dalla Agenzia delle Entrate, il quadro complessivo è ormai abbastanza chiaro per quanto riguarda le attività “classiche” di investimento e trading. Le attività di mining, staking, lending, e la DeFi in generale, fino ad ora non hanno ricevuto altrettanta attenzione.

La crescita del Web 3 e l’entusiasmo per NFT e Metaverso porteranno a una evoluzione positiva in ambito sociale? I nuovi paradigmi di posizionamento e valorizzazione degli NFT consentono il loro utilizzo per incrementare il capitale sociale delle società di capitali e per accedere a nuove forme giuridiche di natura finanziaria come la “proprietà” nel metaverso. A partire dalla CryptoArte e con il mercato dei collectibles, ormai divenuto mainstream, si aprono nuovi utilizzi per gli NFT, non solo per la moda e per il design. E in questo scenario, giocheranno un ruolo di assoluto rilievo le community green. Gli NFT: una nuova specie di CryptoAsset. Da oggetti di collezione al play-to-earn, gli NFT offrono incredibili opportunità: possono essere impiegate come carte da collezione, carte da gioco, strumenti di marketing… con significativi vantaggi per le aziende tradizionali che decidono di includerli nel proprio ecosistema.

Relatori:

– Giorgio D’Amico, Dott. Commercialista
– Alessandro Brunello, Founder & Director at WrongTheory.xyz | Co-Founder & President at Mirai Labs
– Avv. Sergio Oliveri, Legal Advisor di Seven Art srl, Blockchain Advisor ed esperto in diritto delle nuove tecnologie, Michele Patti, CEO URBAN THEORY
– Avv. Andrea Conso, Co-Founder Annunziata&Conso, Membro dell’Advisory Board di Cryptovalues e Avv. Antonio Di Giorgio, Partner Annunziata&Conso.
– Modera: Vittorio Carlini, giornalista de Il Sole 24ore – Cesare Florio, Founder at Coin of Champions, Simone di Sabato, CMO at Coin of Champions

Crypto e Tasse

L’aspetto fiscale è quello sicuramente più preoccupante dell’investimento in criptovalute e viene affrontato anche nell’ambito di questa conferenza. Naturalmente non ci si dimentica che il contribuente italiano possa essere soggetto a rischi di pesanti sanzioni. Il tema legato alla dichiarazione ed alla tassazione su criptovalute è più attuale che mai, ma c’è ancora molta incertezza normativa che domina questa materia in Italia. Il dottor D’Amico illustra i riscontrati dubbi sulla compilazione del quadro RW ed RT ed evidenzia che c’è solo una cosa certa: è fondamentale essere in grado di ricostruire la storia delle proprie Crypto e dimostrarne la provenienza al momento del cashout. È importante capire la differenza tra Dichiarazione ed Imposizione, e come usare la tecnologia per completare il proprio tax report; qual è il modo migliore per fare cashout e quali sono gli errori da evitare per spendere i propri cripto proventi, mettendosi al riparo dal fisco italiano.

Nell’incertezza normativa, è necessario farsi affiancare da professionisti e avere strumenti che aiutino gli utenti e le aziende nella compilazione dei documenti necessari per le dichiarazioni al fisco e per i bilanci. Attraverso l’uso di software specializzati è possibile automatizzare i calcoli e di rendicontare le criptovalute. CryptoBooks è un crypto tax software e portfolio tracker, consentire di connettere Exchanges, Wallets, DeFi protocols, CeFi accounts, NFTs, in un‘unica soluzione, per tenere sotto controllo tutte le cripto valute ed essere conforme alle leggi e alle disposizioni fiscali del proprio Paese. Calcolare stock e plusvalenze, creare e scaricare report pronti per l’uso.

Relatori:

– Vincenzo Pone, Co-Founder at MoneyViz e Paolo Luigi Burlone, Founder Coinlex
– Gianluca Massini Rosati, Presidente di Soluzione Tasse e Supporting Member di Xriba Association
– Federico Pacilli, CEO di CryptoBooks e Co-Founder di Xriba

Crypto Crime

La continua crescita e sviluppo del mondo cripto ha prodotto la nascita anche di nuove forme d’illecito e problematiche da affrontare con tecniche complesse d’indagine forense e sequestro giudiziario, nonché di nuovi aspetti regolatori in tema di antiriciclaggio. La tecnologia Blockchain può essere impiegata per identificare le tendenze e le opportunità del settore e mitigare i rischi dell’adozione della criptovaluta. Il Cryptocurrency Crime Report del 2022 contiene un’analisi approfondita di come i criminali utilizzano la criptovaluta per attività illecite e gli strumenti disponibili per combattere il crypto crime.

Relatori:

– Marco Severi, Head of Private Sector Med at Chainalysis, ulteriori relatori in definizione
– Col. Ivan Bixio, Comandante Provinciale della Guardia di Finanza Reggio Emilia – consulente della Commissione Parlamentare d’inchiesta sul sistema bancario e finanziario,
– Paolo Dal Checco, Consulente Informatico Forense.


LawBoat – Ottobre 2022 | Corso Avanzato per DPO 2nd Ed. – Settembre 2022

Monica Gobbato, Presidente di Privacy Academy, ha partecipato all’evento, registrando un diffuso interesse per le questioni trattate e per le modalità di svolgimento della conferenza, ricca di contenuti e professionalità da conoscere (ivi compresi i più giovani youtuber e influencer che spopolano sui social network come Instagram e TikTok – tra i quali il mitico JakiDale)

Di Crypto si parlerà anche nella crociera di Ottobre – LawBoat
ed all’interno della seconda edizione del Corso Avanzato per DPO di Privacy Academy che inizierà a settembre!

Link alla seconda edizione disponibile a breve


Gallery delle Foto


Avv. Monica Gobbato
Giacomo De Simio

LAWBOAT by PRIVACY ACADEMY

0

PRIVACY ACADEMY PRESENTA “LAWBOAT”
#SiamoTuttiSullaStessaBarca

Abbiamo organizzato il primo “Corso On Board” in Data Protection“Saibber” ed Evoluzione Digitale, su MSC Poesia, dal 26 al 29 Ottobre 2022.

10 ore di Lezioni Frontali (3 sessioni da 1/4 ore) svolte nelle pause delle discese a terra.
L’occasione ideale per staccare dalla routine quotidiana e provare un’esperienza di viaggio arricchita da un corso di formazione.

L’itinerario:
Genova – Barcellona – Marsiglia – Genova

Il corso
Le giornate di formazione sono strutturate in modo da fornire suggerimenti pratici anche mediante esercitazioni da effettuarsi in gruppi di massimo 4 persone.
L’approccio multidisciplinare (informatico, tecnologico e legale) permetterà di mettere in atto da subito le competenze acquisite.
Le diverse sessioni avranno l’obiettivo di approfondire:

Data Protection
Le novità del 2022 del GDPR, anche alla luce della Relazione del Garante Privacy e provvedimenti emanati quest’anno. Inoltre vuole illustrare le particolarità del ruolo di DPO e le sue responsabilità.

Cybersecurity
Ormai I cyber-attacchi sono all’ordine del giorno e continuano a crescere numericamente e farsi sempre più aggressivi, la cybersecurity sta diventando un tema assolutamente imprescindibile relativamente alla tutela di dati, reti e dispositivi. E questo vale per le aziende di qualsiasi dimensione, ma anche per i professionisti e per le persone che utilizzano gli strumenti messi oggi a disposizione dall’Internet delle Cose.
Si affronterà la terminologia della cybersecurity, unitamente al riconoscimento degli incidenti informatici, nonche dei data breach e le modalità di comunicazione degli stessi.
Largo spazio sarà dato anche alle procedure di sicurezza informatica

Evoluzione Digitale
Le tecnologie e le innovazioni devono (sempre di più) essere progettate sapendo rispettare l’uomo, i suoi valori e i suoi diritti. Per questo le grandi potenzialità dell’Intelligenza Artificiale potranno rivelarsi utili e preziose solo dopo lunghe riflessioni sulle loro implicazioni di carattere etico e in materia di privacy personale.
Si illustreranno le novità in ambito digitale come il metaverso, gli nft e il mondo cripto, con attenzione soprattutto alla possibile consulenza che professionisti come i soci di Privacy Academy possano fornire.

* Per rimanere costantemente aggiornati sulla materia, comunicheremo i nomi dei relatori per ciascuna delle tematiche sopraindicate unitamente al programma definitivo dell’evento

Cabine Interne

CABINA SINGOLA INTERNA + CORSO
Cabina doppia uso singola interna – all inclusive + corso
500,00€
3 disponibli 

CABINA DOPPIA INTERNA + CORSO (x 1 persona)
Quota per due persone in cabina doppia interna – all inclusive + corso per una persona
750,00€
12 disponibili

CABINA DOPPIA INTERNA + CORSO (x 2 persone)
Quota per due persone in cabina doppia interna – all inclusive + corso per due persone
850,00€
12 disponibili

Cabine Esterne

SINGOLA ESTERNA + CORSO
Cabina doppia uso singola con oblò vista mare – all inclusive più corso
600,00€
3 disponibli 

CABINA DOPPIA ESTERNA + CORSO ( x 1 persona)
Quota per due persone in cabina doppia con oblò vista mare- all inclusive e corso per una persona.
850,00€
2 disponibili

Cabine Balcone

CABINA SINGOLA BALCONE + CORSO
Cabina doppia uso singola con balcone.
700,00€
3 disponibili 

CABINA DOPPIA BALCONE + CORSO (x 1 persona)
Quota per due persone in cabina doppia con balcone – all inclusive e corso per una persona.
950,00€
12 disponibili 

CABINA DOPPIA BALCONE + CORSO (x 2 persone)
Quota per due persone in cabina doppia con balcone – all inclusive e corso per due persone.
1050,00€
12 disponibili 

Cabine senza corso

Possibilità di partecipare alla crociera di gruppo anche senza iscriversi al corso:

CABINA INTERNA DOPPIA
650,00 €  tot a cabina
CABINA ESTERNA DOPPIA
750,00 € tot a cabina
CABINA BALCONE DOPPIA
850,00 € tot a cabina

Le quote comprendono quanto indicato nell’apposita sezione + l’iscrizione annuale a Privacy Academy per il 2023.

Terzo & Quarto letto

SU RICHIESTA
SUPPLEMENTO 3/4 LETTO ADULTO 
da verificare disponibilità e riconfermare prezzo. Terzo e/o quarto letto in cabina a scelta con trattamento di all inclusive – senza corso
300,00€
SUPPLEMENTO 3/4 LETTO BAMBINO 2-17
da verificare disponibilità e riconfermare prezzo. Terzo e/o quarto letto bambino in cabina a scelta con trattamento di all inclusive
200,00€


Modalità di prenotazione

FASE 1

  • Selezionare dal calendario l’unica data disponibile, ovvero il 26/10/2022
  • Inserire il numero di persone che partecipano all’evento
  • Cliccare su prenota ora
  • Inserire i dati dell’intestatario della prenotazione sul lato destro della schermata
  • Lasciare selezionato il ‘Paga Dopo‘ come modalità di pagamento e concludere l’acquisto.

FASE 2

  • Verrete ricontattati da Sofia per la riconferma della vostra cabina e l’inserimento di tutti i dati passeggeri necessari
  • Pagherete l’acconto di 100€ direttamente a Privacy Academy. Effettuerete poi il saldo 30 giorni pre partenza.

FASE 3

  • Vi invieremo i documenti di viaggio e tutte le info utili 7 giorni pre imbarco

Le modalità di prenotazione si riferiscono, in particolare, ai non associati; gli associati per l’anno 2022 potranno accordarsi direttamente con l’Associazione, contattandoci all’indirizzo email privacycorsi@gmail.com
Desideriamo inoltre informarvi che la partecipazione all’evento in crociera darà diritto al 10% di sconto per la seconda edizione del Corso Avanzato per DPO e Data Specialist


Include

  1. Quota Crociera in cabina a scelta
  2. Corso Privacy Academy
  3. Pensione completa e bevande all inclusive
  4. Quote di servizio obbligatorie
  5. Tasse portuali
  6. Piano protezione covid
  7. Assicurazione medica

Non Include

  • Assicurazione annullamento (facoltativa)
  • Escursioni (facoltative)
  • Extra personali

L’acconto di 100€, da versare direttamente a Privacy Academy per bloccare la prenotazione della cabina, è così composto:

– 50€ a fondo perduto
– 50€ all’Associazione (pertanto non recuperabili, ma riutilizzabili nell’ambito delle attività dell’Associazione in caso di recesso)


Prenota subito

#MyDigitalTravelAgency è un’agenzia di viaggi digitale, smart e tascabile: una start-up femminile e under 30 che vuole rinfrescare la concezione classica di agenzia di viaggi in chiave moderna e futuristica.

Ti aspettiamo a bordo!

Avv. Monica Gobbato

Articolo 132 del codice privacy: Arlecchino servitore di due padroni?

0

Andrea Rossi

Le continue modifiche alla data retention nazionale

Commentare l’articolo 132 del Codice in materia di protezione dei dati personali è una questione complicata dalla sua anomala e tormentata variabilità testuale: dalla sua pubblicazione nella Gazzetta ufficiale della Repubblica, infatti, non sono passati neanche 19 anni e le note a margine dell’ultima versione dell’articolo evidenziano già 6 modifiche, a cui vanno aggiunte quelle intervenute in sede di conversione di alcuni decreti legge, i regimi temporanei non più in vigore e le variazioni concernenti norme strettamente collegate.
Il motivo di questa peculiarità, che richiama alla mente la celebre commedia di Goldoni che vede Arlecchino protagonista, risiede nelle opposte esigenze da bilanciare all’interno della disposizione: sicurezza – che implica necessità di avere ampio e rapido accesso ad informazioni utili all’accertamento delle responsabilità ed alla prevenzione degli illeciti – e tutela dei dati personali. Si è così assistito ad una legislazione a “strappi”, con l’alternarsi di prescrizioni normative finalizzate alla tutela della riservatezza con altre, invece, orientate a garantire maggiori strumenti a disposizione degli apparati investigativi e di sicurezza. A monte, incombe la produzione normativa dell’Unione europea declinata attraverso numerose ed incisive pronunce della Corte di giustizia dell’Unione (la più recente delle quali ha ribadito lo scorso 4 aprile i limiti entro cui è ammessa la conservazione dei metadati, dichiarando l’invalidità di talune disposizioni irlandesi del 2011 ritenute non conformi al diritto dell’Unione).
In ultima analisi, un approfondimento sulla data retention rischia concretamente di essere valido pochi mesi o addirittura pochi giorni e per questo motivo ho atteso un po’ prima di fare il punto della situazione, interessata negli ultimi tre mesi del 2021 da ben quattro provvedimenti normativi (2 decreti legge con le relative leggi di conversione, l’ultima delle quali datata 3 dicembre 2021.

La pronuncia della Corte di giustizia dell’UE sul potere di acquisizione del pubblico ministero estone

Se l’ultima modifica in ordine cronologico dell’art 132 del Codice privacy ha riguardato solo il tipo di provvedimento con il quale il Garante prescrive le misure e gli accorgimenti da adottare nella conservazione dei dati esterni alle comunicazioni, ben più incisivo è quanto prescrive il decreto-legge n. 132/2021, in vigore dal 30 settembre 2021, poi convertito, con modificazioni, dalla legge 23 novembre 2021, n. 178.
Come di frequente accade in materia di privacy, tale intervento del legislatore è strettamente connesso a quanto enunciato dalla Grande Sezione della C.G.U.E. nella sentenza del 2 marzo 2021, causa C-746/18, con la quale si è ribadito che:

  • in linea generale, il diritto dell’Unione è contrario ad una conservazione generalizzata e indifferenziata dei dati di traffico, a tutela del principio di riservatezza;
  • è ammissibile una deroga a tale principio solo per salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica e per finalità di lotta contro la criminalità grave (oltre all’uso non autorizzato del sistema di comunicazione elettronica);
  • l’accesso delle autorità nazionali competenti ai dati conservati deve essere subordinato ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente, a garanzia della legittimità dell’acquisizione.

Si tratta di un filo logico seguito dalla Corte a partire dalla dichiarazione di invalidità nel 2014 della Direttiva 2006/24/CE (conosciuta anche come Data retention directive o Direttiva Frattini) con una importante estensione della sua portata con la successiva sentenza del 21 dicembre 2016 Tele2 Sverige/Watson.
Quest’ultima, infatti, è incentrata, essendo caduta la Direttiva Frattini, sulla precedente Direttiva 2002/58/CE: lì però è assente la limitazione, nell’accesso ai dati esterni conservati, alla sola criminalità “grave” che caratterizzava, invece, proprio la direttiva invalidata, ma la Corte ne ribadisce la sussistenza al di là del dato testuale, giustificandola genericamente con la “gravità dell’ingerenza nei diritti fondamentali che tale accesso determina”.
Fatta questa premessa, nella sentenza relativa alla causa C-746/18 la Corte, nel passare al vaglio alcune disposizioni normative dell’Estonia, approfondisce un aspetto che in precedenza era stato oggetto solo di indicazioni di carattere generale, cioè la competenza del pubblico ministero ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico ai fini di un’istruttoria penale.
Il requisito dell’indipendenza, in questo contesto, implica che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale; secondo la Corte il pubblico ministero estone, che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale, non ha queste caratteristiche.
La circostanza che il pubblico ministero sia tenuto a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente a conferirgli lo status di terzo e, pertanto, la Corte non ha ritenuto compatibili con la normativa europea le disposizioni legislative dell’Estonia che regolano l’autorizzazione all’accesso di un’autorità pubblica ai dati relativi al traffico.

La pronuncia della Corte di giustizia dell’UE C-746/18 e i riflessi sull’accesso ai metadati in Italia

L’esito della causa non poteva non interessare anche il nostro assetto normativo, che prevede un potere di accesso ai dati conferito proprio al pubblico ministero, cosicché, pochi giorni dopo la pronuncia, in un procedimento aperto presso il Tribunale di Rieti per delitti contro il patrimonio in cui erano stati acquisiti dati ricavati da tabulati telefonici, le difese ne hanno eccepito l’inutilizzabilità processuale.
Va segnalato che la nostra Corte di Cassazione aveva già esaminato in precedenza la questione della legittimità del potere attribuito al pubblico ministero ed ha sempre ravvisato la compatibilità della disciplina italiana di acquisizione dei tabulati rispetto alla normativa sovranazionale fissata con le direttive n.2002/58/CE e 2006/24/CE in tema di tutela della privacy, per come interpretate dalla giurisprudenza della Corte di Giustizia dell’Unione Europea.
Il Tribunale di Rieti, oltre a richiamare il citato indirizzo della Corte di Cassazione, ha sottolineato alcune sostanziali differenze tra le due figure di p.m., ma ha ravvisato una possibile assimilazione “funzionale” tra il pubblico ministero estone e quello italiano e, pertanto, ha proposto una questione pregiudiziale alla Corte di Giustizia dell’Unione europea per chiarire se il p.m., come disegnato dall’ordinamento italiano, offra sufficienti garanzie di giurisdizionalità per continuare ad essere titolare in proprio del potere di acquisizione dei tabulati.
Ben presto si è intuito che non era opportuno aspettare la pronuncia sulla questione pregiudiziale, con il rischio di conseguenze negative sui numerosissimi procedimenti penali in corso caratterizzati da tabulati acquisiti a seguito di decreto del p.m., anche perché era presente un ulteriore elemento di evidente contrasto con indicazioni della Corte di giustizia europea; la legislazione italiana infatti non limitava l’acquisizione dei dati esterni alle comunicazioni alle sole finalità di lotta contro la criminalità grave, prevedendo solo un prolungato periodo di conservazione (rectius: di acquisizione) per alcune più gravi tipologie di reato.

Il nuovo testo dell’art. 132 comma 3 del codice privacy

Si è così giunti a riformulare con d.l n. 132/2021 e la sua legge di conversione, il comma 3 dell’art. 132, che attualmente statuisce:
“3. Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’ articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l’accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private”.
È stata inoltre inserita al comma 3-bis una procedura d’urgenza, ovvero la possibilità per il pubblico ministero, quando ricorrono ragioni di urgenza, di disporre l’acquisizione dei dati con decreto motivato comunicato entro quarantotto ore al giudice competente per il rilascio dell’autorizzazione in via ordinaria.
Nel complesso, le nuove modalità di acquisizione non sono molto dissimili da quelle previste per le intercettazioni, anche se, in virtù della più penetrante intrusione nella sfera privata dell’interessato, queste ultime riguardano un più ristretto novero di fattispecie, sono ammesse solo in presenza di gravi indizi di reato (invece dei “sufficienti indizi” richiesti per l’acquisizione) e le intercettazioni devono essere assolutamente indispensabili ai fini della prosecuzione delle indagini (invece che solo “rilevanti per l’accertamento dei fatti.”).

Il tipo di provvedimento adottato dal GIP ai sensi dell’art 132 co. 3 codice privacy e la sua comunicazione al fornitore dei servizi telefonici e telematici

La formula adottata in sede di conversione ha chiarito che il provvedimento del giudice è di tipo autorizzatorio, teso quindi a rimuovere un limite ad un potere di acquisizione che viene esercitato nei confronti del fornitore dei servizi direttamente dal pubblico ministero o dal difensore con autonoma richiesta; con essa è da escludere la notifica in forma integrale del decreto autorizzativo emesso dal G.I.P., il cui contenuto potrebbe rivelare ai dipendenti del fornitore dei servizi telefonici e telematici l’identità degli indagati e le attività investigative in corso ed, anzi, è da ritenersi sufficiente la mera indicazione del numero del provvedimento autorizzatorio del G.I.P.
Le critiche alla soluzione adottata per rendere conforme l’acquisizione dei metadati al quadro normativo comunitario come interpretato dalla Corte di giustizia dell’UE.
Non sono mancate critiche alla soluzione adottata dal legislatore, sia per un vizio di costituzionalità per mancanza di omogeneità del nuovo decreto-legge, sia per l’aggravio di procedura che inevitabilmente deriva dalla modifica introdotta, dettata, come affermato nel preambolo del provvedimento, proprio allo scopo rispettare i principi enunciati dalla Grande Sezione della C.G.U.E. nella sentenza C-746/18 del 2 marzo 2021, che forse dovevano essere vagliati con maggiore attenzione. La Corte, infatti, anche in questa occasione ha messo in primo piano la tutela della riservatezza, sottovalutando l’esigenza di sicurezza ed il ruolo cruciale di questi dati per l’accertamento delle responsabilità, al punto che, pur seguendo argomentazioni formalmente rigorose, si è trovata a tutelare la privacy del malvivente, individuato grazie ai tabulati telefonici acquisiti dal p.m., invece che quella della sua vittima (che pure aveva subito un danno rilevante a seguito del trattamento illecito dei dati personali della propria carta di credito).Peraltro, la delimitazione alla sola criminalità “grave” delle ipotesi in cui è possibile acquisire i dati esterni alle comunicazioni non riduce affatto il numero di dati conservati e gli interessati a cui si riferiscono (non possono prevedersi in anticipo i legami reato – comunicazione e i soggetti coinvolti, dovranno conseguentemente essere conservati i metadati di tutte le comunicazioni) e quindi non ci sono minori rischi di perdita o trattamento illecito; la capacità di ricerca della prova, invece, viene considerevolmente ridotta e, con essa, la possibilità di individuazione del responsabile della violazione.
Fattispecie qualificabili come “criminalità grave” e criticità conseguenti ai limiti di acquisizione dei dati esterni alle comunicazioni.
Ad ogni modo, per circoscrivere nel nostro ordinamento le fattispecie da qualificarsi “criminalità grave” è stato utilizzato, in primo luogo, un criterio qualitativo che fa riferimento al tipo di pena prevista – ergastolo o reclusione – ed, in seconda battuta, un criterio quantitativo, relativo alla durata della reclusione – non inferiore nel massimo a tre anni. Sono state fatte due eccezioni per fattispecie che sarebbero rimaste altrimenti escluse utilizzando i criteri generali: si tratta dei reati di minaccia (un delitto che nella forma grave è sanzionato con un massimo di un anno di reclusione) e della contravvenzione di cui all’art. 660 c.p., cioè la molestia o il disturbo alle persone col mezzo del telefono, solo però quando la minaccia, la molestia e il disturbo sono gravi.
Chiarito dal legislatore il criterio di distinzione da utilizzare, è possibile approfondire quali conseguenze comporta l’esclusione di molte fattispecie dalla possibilità di accesso ai dati.
In primo luogo, a causa della diversa tipologia di sanzione che le caratterizza (arresto o ammenda) è evidente che non sono più ammessi tabulati per accertamenti concernenti le contravvenzioni, con la sola parziale eccezione dell’art 660 c.p. sopra citato. Ad esse vanno poi aggiunti diversi delitti: si tratta di un cospicuo numero di condotte per le quali l’individuazione del responsabile diventa sicuramente più complessa o, più realisticamente, è un’ipotesi remota se ci si è avvalsi della rete, come spesso accade, per realizzare la violazione.
Emblematico è il caso di un trattamento di dati personali illecito per eccellenza, cioè la sostituzione di persona, vera e propria fattispecie spia in Internet di ulteriori reati in corso di preparazione: la nuova formulazione dell’art. 132 cod privacy farà sì che innumerevoli violazioni all’art 494 c.p., come quelle relative di profili o account a nome altrui, saranno destinate quasi certamente a rimanere impunite, a meno che il responsabile utilizzi ulteriormente i dati di terzi in un contesto criminoso che presenti i requisiti minimi per acquisire i tabulati.
Ritengo particolarmente grave l’impossibilità di ottenere i metadati in caso di accesso intenzionale e senza giustificato motivo a materiale pornografico realizzato utilizzando minori degli anni diciotto (Art. 600-quater comma 2), in quanto la possibilità di ottenerli ipotizzando anche la presenza della più grave fattispecie prevista dal primo comma, per quanto in alcuni casi sia realistica, non può certo ricorrere in ogni occasione.
Argomentazioni analoghe possono essere fatte per molti delitti che vedono nella rete il principale terreno d’azione, come le rivelazioni colpose di segreti d’ufficio realizzate, per esempio, inviando informazioni a soggetto di cui non si è vagliata con attenzione la reale identità (art. 326, comma 2 c.p.) o quelle dolose se il fine è un ingiusto profitto non patrimoniale o il cagionare un danno ingiusto (art. 326 comma 3), il rifiuto o l’omissione di atti d’ufficio (art. 328 c.p.), l’interruzione di un servizio pubblico o di pubblica necessità (art. 331) le diffamazioni non aggravate di cui all’art. 595 c.p. (ad es. attraverso l’invio di mail a più destinatari), la diffusione di programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (l’art. 615-quinquies c.p.).
L’elenco delle fattispecie interessate è ampio ed include perfino delitti contro la personalità dello Stato come la rivelazione colposa di notizie di cui sia stata vietata la divulgazione (art.262 c.p.) o l’assistenza ai partecipi di cospirazione o di banda armata (art. 307 c.p.).

Quali modalità di acquisizione per le subscriber information?

È stato ipotizzato che esulino dal novero dei dati di traffico tutti i dati che consentono di risalire alla mera identificazione dell’utente registrato che ha generato quell’attività sulla rete e che, a questi ultimi, non si applichi la nuova disciplina in materia di acquisizione di tabulati dettata dall’art. 132 D.Lgs. n. 196/2003, con la conseguenza che l’acquisizione dei files di log IP sia tuttora consentita al P.M. mediante l’emanazione di un semplice decreto di esibizione ex art. 256 c.p.p. Si tratterebbe delle subscriber information che consentono di rintracciare e identificare il soggetto registrato presso un servizio di accesso o di comunicazione e la fonte da cui han avuto origine una comunicazione (identificativo unico, indirizzo di protocollo interne IP, numero telefonico assegnato, nome e indirizzo dell’abbonato o dell’utente, data e ora del log-in). A tal proposito, la C.G.U.E. ha precisato, in più occasioni (compresa la sentenza 2 marzo 2021, causa C-746/18, H.K., che ha dato origine alla riforma dell’art. 132 D.Lgs. n. 196/2003 ad opera proprio del D.L. n.132/2021) che «le misure legislative riguardanti il trattamento dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica come tali, e segnatamente la conservazione di tali dati e l’accesso agli stessi, al solo scopo di identificare l’utente interessato, e senza che tali dati possano essere associati ad informazioni relative alle comunicazioni effettuate, possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale, al quale fa riferimento l’articolo 15, paragrafo 1, prima frase, della Direttiva 2002/58.”
Se tuttavia si vuole risalire all’identità di un utilizzatore di un servizio di accesso o di comunicazione nella quasi totalità dei casi si avrà a disposizione un IP “dinamico” – cioè un ip assegnato ad ogni accesso in maniera casuale tra quelli di cui dispone il provider – ed inevitabilmente, per conoscere l’identità dell’utente in questione, sarà necessario far riferimento ad una determinata comunicazione alla quale è stato abbinato l’IP, con l’ovvia conseguenza che, ricorrendone i presupposti, sarà necessario un provvedimento autorizzatorio del GIP per l’acquisizione. Soltanto se all’abbonato sia stato assegnato un ip “fisso”, non modificabile quindi ad ogni connessione, sarà ammissibile una semplice decreto del p.m. per conoscere il relativo intestatario. Un’altra ipotesi in cui non sarà necessario ricorrere alla procedura indicata dall’articolo 132 del codice privacy, sarà quella in cui si voglia acquisire i nominativi di uno o più contraenti di un provider che fornisce accesso alla rete; ad ogni modo, in entrambi i casi si tratta di informazioni raramente determinanti in ambito investigativo.

Il diverso indirizzo interpretativo della Corte di giustizia dell’UE a tutela delle vittime di violazioni in materia di diritto d’autore

Una volta chiariti i ristretti limiti in cui è ammessa l’acquisizione, ne consegue che, come chiarito in un provvedimento del Garante Privacy del 19 settembre 2007, i fornitori di servizi su una rete pubblica di comunicazione non dovranno dar corso a richieste relative a dati esterni alle comunicazioni, anche se provenienti da un’autorità giudiziaria, volte a perseguire ulteriori scopi, quali quelli legati ad esigenze probatorie nel processo civile, del lavoro, amministrativo e tributario.
Pur considerando le ulteriori possibilità di conservazione di cui all’art 123 cod. privacy, queste limitazioni hanno un notevole impatto negativo in un mondo che vede un continuo ampliamento delle comunicazioni digitali, a tal punto che la stessa CGUE già dal 2017 ha sostanzialmente modificato la sua tendenza ad una rigorosa difesa della privacy al fine di tutelare più efficacemente le vittime di violazioni in materia di diritto d’autore, arrivando, più di recente, a ribaltare il divieto di monitoraggio da parte dei privati e l’impossibilità di acquisizione dai provider di dati personali (migliaia di indirizzi IP dinamici clienti di un access provider che avevano condiviso illegittimamente, su una rete peer-to-peer, film facenti parte del proprio catalogo).
Si tratta di un notevole passo in direzione di valutazioni più equilibrate delle esigenze di utilizzo dei metadati, tuttavia in materia è sempre più sentita l’esigenza di una nuova direttiva europea atta a sgomberare le incertezze derivanti da interpretazioni limitate alle singole questioni poste all’esame della CGUE e ad evitare difformità nelle normative nazionali.

Andrea Rossi

Esempi sulla notifica di un Data Breach – Infografiche sui casi da 1 a 5 delle Linee Guida 1/2021, EDPB

0

Regole generali

Prendendo le mosse dalla definizione di Data Breach contenuta all’art. 4(12) GDPR, si definisce “Personal Data Breach” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione di dati personali può riguardare tanto la confidenzialità, l’integrità o la disponibilità, quanto una combinazione di queste.

In caso di violazione, il titolare del trattamento è tenuto alla notifica all‘Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza – a meno che sia  improbabile che la violazione dei dati personali possa presentare un rischio per i diritti e le  libertà delle persone fisiche. Nei casi di alto rischio il titolare è tenuto inoltre a darne comunicazione agli interessati, con i mezzi più idonei, e indicare le contromisure da adottare per mitigare gli effetti negativi della violazione. Quando si valuta il rischio di una violazione occorre considerare la probabilità che  si verifichi l’evento e la gravità delle conseguenze (Cons. 75 e 76 GDPR).

Unitamente alla notifica, il Titolare comunica all’Autorità Garante:

  • La natura della violazione (comprese, ove possibili, le categorie e il numero approssimativo degli interessati);
  • Contatti del DPO o di altro soggetto a cui è possibile chiedere  informazioni più precise in merito alla violazione;
  • Descrizione delle probabili conseguenze della violazione;
  • Descrizione delle misure adottate o di quelle da adottare per far fronte  alla violazione.

Esempi di Casi Particolari

Di seguito alcune infografiche inerenti a esempi di Data Breach proposti dall’EDPB all’interno delle lineeguida 1/2021, consultabili al link:
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_en

Avv. Monica Gobbato
Giacomo De Simio

NFT del quadro di De Mucci Rosalba n. 1

0