Category Archives: Privacy e dati personali

GDPR: non facciamoci prendere dal panico

Due parole, molto pratiche, sul GDPR e sul perché non farsi prendere dal panico, dallo sconforto.
Come tutti sappiamo, il 25 maggio prossimo dovremo essere OK con la nuova disciplina del Regolamento europeo sulla privacy 2016/679 (il GDPR o GDPR2018).
Ma cosa c’è da fare? La risposta non è così immediata, tuttavia alcuni paletti si possono porre subito.
Iniziamo col dire che anche i più piccoli devono fare qualcosa. Non è vero che le realtà ristrette (un singolo professionista, un piccolo commerciante, magari ditta individuale) non devono fare nulla. Vero, è, però, che molto spesso gli adempimenti sono realmente pochi e vale la pena di, appunto, adempiere (non foss’altro che evitare sanzioni non certo lievi).
E’ parimenti vero che anche le realtà no profit devono aggiornarsi alle nuove regole, sicuramente con particolare attenzione quando trattano dati sensibili (es.: associazioni che operano nell’ambito sanitario).
Soltanto il privato, se tratta i dati per motivi personali e domestici (es. la rubrica del telefono), è esentato.
Sempre ricordando che un minimo di auditing della situazione deve essere sempre fatto (proprio per capire quali dati si possiedono, come vengono trattati, ecc.), il più delle volte, però, basta un aggiornamento dell’informativa anche del sito Internet e la tenuta del registro dei trattamenti (non sempre obbligatorio, ma vivamente consigliabile, a mio avviso).
Da tempo sono disponibili software per la “messa a norma” con licenze a partire da poche centinaia di euro. Non si può fare di tutta l’erba un fascio, ma un programma non può fare da solo, specie se non si conoscono alcuni concetti fondamentali della materia; che sono proprio il lavoro di un consulente (che non necessariamente costa di più).

Posted in Privacy e dati personali | Tagged , , , | Leave a comment

Pare che (GDPR e depenalizzazione)

Pare che, alla fine, la Commissione per l’adeguamento al GDPR abbia rinunciato non soltanto alla totale abrogazione del Codice privacy vigente (d.lgs. 196/2003), ma anche alla depenalizzazione del reato di Trattamento illecito di dati personali (art. 167 Codice) che ne uscirà rimaneggiato (per adattarsi al GDPR) e affiancato anche ad altre nuove fattispecie.
Sarebbero, invece, abrogati gli art. 169 e 170 del Codice.
Notizie frammentarie, non ufficiali, fondate su alcune bozze che stanno circolando, ma la fonte è abbastanza attendibile.
Vedremo nei prossimi giorni, per sicurezza.

Posted in Privacy e dati personali, Reati informatici | Tagged , , | Leave a comment

“Adeguamento al GDPR: la portata “rivoluzionaria” della depenalizzazione

Sulle pagine di ANORC è uscito un mio breve contributo sulla *rivoluzione* penale conseguente il GDPR.
Che, in parte, tanto rivoluzione non è, anche se è ancora tutto da vedere. C’è molta confusione in giro, malgrado il 25 maggio non sia poi così distante.

Posted in Privacy e dati personali, Reati informatici | Tagged , , | Leave a comment

ADISI e dati personali

A maggio partirà il Corso di aggiornamento professionale “Il diritto alla protezione dei dati personali nel contesto del nuovo regolamento europeo”, dapprima a Rimini, poi si vedrà (Lugano e Milano sono sedi ipotizzate).
Grazie ad ADISI e all’avv. Andrea Sirotti Gaudenzi.

Posted in Privacy e dati personali | Tagged , , | Leave a comment

DataMediaHub > Il Caso Cambridge Analytica Spiegato al di là degli Interessi di Parte

Come da oggetto, a più mani, in differenti prospettive, abbiamo scritto qualcosa a più mani sulla vicenda Facebook > Cambridge Analytica. Vi rimando QUI.

Posted in Data Media Hub, Privacy e dati personali, Social Network | Tagged , , , , | Leave a comment

Autopromozione > Cybercrimes e Processo penale. I reati, le indagini, la difesa – Vasto, 23 marzo 2018

Venerdi sarò ospite del Consiglio dell’Ordine degli Avvocati di Vasto (CH) per un interessante convegno che sarà a “sei mani” (oltre il Presidente).
Vediamo un po’, ci sarà anche una scolaresca, molto interessante…
QUI il programma.

Posted in Blogodiritto, Diritto d'autore, Internet e stampa, Privacy e dati personali, Reati informatici, Sicurezza informatica | Tagged , , | Leave a comment

La PEC è mia e me la gestisco io

Professionisti partita IVA, dunque dotati per legge di PEC. Quanti di voi hanno ricevuto spam (comunicazioni non richieste, eventualmente commerciali) sulla propria casella PEC. E non parlo soltanto di avvocati, ovviamente.
A me ne arrivano anche troppo spesso.
La PEC, per me, è il più importante strumento di lavoro telematico perché è l’unico che, per legge, ha piena validità di comunicazione. Dunque, non me la puoi intasare anche se l’indirizzo è riportato in un elenco pubblico (registro pubblico INI-PEC o anche gli albi).
Il Garante ha appena detto la sua con il provvedimento n. 52 del 1° febbraio 2018 vietando l’invio (e, ancora prima, la raccolta) di messaggi promozionali a quegli indirizzi. Ovviamente, la stessa conclusione sarebbe stata raggiunta per le email normali. Giusto per dirlo.

Posted in Avvocati, Privacy e dati personali | Tagged , | Leave a comment

Agendadigitale.eu > Sulla “Cookie Law”

(da Agendadigitale.eu dell’8 giugno 2015)
Ho scritto una cosa per Agendadigitale.eu, sui cookie, visto che se ne parla molto insistentemente.
Un primo abbozzo di idee, con la consapevolezza di non poter toccare tutti i punti nevralgici.
La mia prima impressione è stata che molti dei critici in realtà non hanno letto la “Cookie Law”, preferendo arrovellarsi su questioni tecniche francamente ultronee nel più classico degli italici atteggiamenti: quello del lamento.
In realtà, pur con certi chiarimenti del Garante che hanno reso le cose un po’ fumose, la “Cookie Law” è molto più semplice di quanto si creda.
Stiano tranquilli i blogger se la loro attività è per fini personali (il Codice della privacy stesso ci dice che non è applicabile se il trattamento è fatto a fini personali). Chi, invece, effettua un trattamento per fini imprenditoriali si adegui, magari affidandosi ad un consulente che abbia fondate cognizione giuridiche in materia.
Ecco il pezzo, originariamente QUI. Dando per scontato che i lettori di questo blog sappiano di cosa stiamo parlando.

Tutti contro la “Cookie Law”. Fioccano articoli (ovviamente critici) e, addirittura, petizioni online perché venga meno l’obbligo di dare informativa per l’uso dei cookie ed inserire il relativo banner.

Ed è un moltiplicarsi di sedicente perseguitati, prevalentemente tra le fila dei blogger (o quelli che sono sopravvissuti ai social network).

In realtà, si scopre che non è tutto così nero come sembra, sebbene la materia sia in parte ostica (ma proprio per questo occorrerebbe lasciarla a chi se ne intende) e lo spauracchio delle sanzioni colpisca non poco.

Diciamo, anzitutto, che la “Cookie Law” non è un’invenzione del Garante italiano. Dietro ci sono fonti europee (una direttiva specifica) e italiane (un paio di decreti).

Dunque, il nostro Garante non ha potuto che adattarsi con un provvedimento (ed altri documenti) tutto sommato abbastanza ampio e chiaro, dando un congruo preavviso per gli adeguamenti (ben un anno), malgrado si intravvedano, all’orizzonte, ulteriori chiarimenti ufficiali (che, al momento, lasciano ragionevolmente pensare che non ci saranno immediati controlli e sanzioni).

Ma scendiamo nei particolari.

I cookie sono piccoli file che, all’atto della visita di un sito, si installano, eventualmente, nel dispositivo (quindi, anche sullo smartphone) del visitatore.

Servono per tante finalità e si distinguono in due grandi categorie: tecnici e di profilazione. Poi, capiremo la differenza, ma sin d’ora va detto che quelli di profilazione possono farsi molti (anzi troppi) affari nostri, donde la necessità di una certa disciplina a tutela dei dati personali (o privacy, se vogliamo usare questo termine).

Per proteggere chi, in un certo qual modo, può essere tenuto “sotto osservazione”, si è deciso, con la “Cookie Law” (locuzione oramai usata per comprendere tutte le norme sull’argomento), di imporre determinate formalità. Si valuti, almeno, questa tutela prima di scandalizzarsi.

Approfondendo, si parla della eventualità di dover inserire, sui siti Internet, un banner e/o un’informativa. Ma, in realtà, l’obbligo non vale per tutte le realtà del Web. Stiano tranquilli i più ansiosi.

E’ ovvio, anzitutto, che se il sito non utilizza cookie non si deve fare alcun adeguamento.

Tuttavia se i cookie ci sono un’informativa va sempre data; anche se essi sono utilizzati per mere questioni tecniche (es.: per il login automatico, per tenere traccia del carrello, ecc.). Ma qui credo sia inevitabile affidarsi a chi conosce la materia.

Ma c’è qualcosa che sembra spaventare di più, perché comporta adempimenti tecnici non alla portata di tutti. Insomma, non basta il copia e incolla dell’informativa (pratica che, personalmente, sconsiglio comunque perché le sanzioni ci sono e sbagliare è un attimo).

Si tratta del famigerato banner che, proprio nei giorni a ridosso dell’entrata in vigore della nuova disciplina, è comparso su tanti siti.

Piccola parentesi: a cosa serve il banner? Per far dare il consenso al visitatore informandolo contestualmente del trattamento. Quindi, deve possedere dei precisi caratteri formali, non si può navigare a vista sperando nella buona sorte di azzeccarci.

Siccome sopra abbiamo visto che esistono differenti tipi di cookie, riassumibili in due macro-categorie (tecnici e di profilazione), il banner va inserito sempre o soltanto in presenza di alcuni specifici? Fortunatamente, il banner per il consenso informato è necessario esclusivamente quando si fa profilazione, cioè quando si “studia” il comportamento del navigatore, tipicamente per propinargli qualcosa. Ed è il caso, classico, della pubblicità.

Sotto una diversa prospettiva, nasce l’interrogativo su chi debba provvedere agli adempimenti qualora titolare del sito e “profilatore” (chi fornisce la pubblicità, cioè la “terza parte”) non siano la stessa persona.

Certamente, nell’informativa occorre dichiarare che ci sono terzi che forniscono i cookie, ma il punto è se il titolare del sito (non fornitore di cookie) sia in prima persona tenuto ad ottenere il consenso mediante l’inserimento del banner già visto.

Al momento, questo sembra essere uno dei punti più controversi, almeno in attesa di quanto già accennato, ciò è dei probabili chiarimenti del Garante.

Certo è che – come consiglio finale – se uno vuole essere tranquillo, non sbaglia di certo ad inserire banner ed informative complete, ovviamente fatte come si deve.

Posted in Privacy e dati personali | Tagged , | 4 Comments

E il privacy officer?

Gli addetti ai lavori sanno che se ne parla da tempo, nell’àmbito della più vasta discussione, a livello comunitario, riguardante una proposta di regolamento sulla privacy.
Nel frattempo, qualcuno si è già organizzato, si è messo avanti col lavoro, si potrebbe dire “sulla fiducia”.
Ne scrivono Andrea Lisi, Graziano Garrisi ed Enrica Maio, QUI.

Posted in Privacy e dati personali | Tagged , | Leave a comment

Autopromozione > Sans papier… l’identità digitale

Il 14 novembre sarò a Pordenone a parlare di identità digitale e diritto penale.
Come da titolo, l’oggetto del convegno è decisamente più ampio e, soprattutto, ci saranno relatori ben più importanti di me.
Pordenone è una città gradevole, ricca di fervori culturali e questo è l’ennesimo esempio.
Un ringraziamento a tutti i soggetti che organizzano/patrocinano l’evento.
QUI il programma.

Posted in Privacy e dati personali, Reati informatici | Tagged , | Leave a comment