2. Big data – riservatezza della persona
Big Data = massimizzazione dei dati (raccolti?) trattati
VS
Protezione dei dati/riservatezza della persona =
minimizzazione dei dati raccolti e trattati
Disponibilità o accessibilità al dato o all’informazione non
significa libera fruibilità dello stesso
Page 2
3. Principio di necessità
Art. 3: Principio di necessità nel trattamento dei dati
“I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati
personali e di dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare l'interessato
solo in caso di necessità.”
(principio presente anche nella proposta di Regolamento europeo
2012/0011(COD) “Regolamento EU”)
Page 3
4. Principali norme di riferimento
● Direttiva 95/46/EC
● Direttiva 58/2002/EC (ePrivacy Directive)
● D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy)
● Bozza di regolamento europeo 2012/0011 (COD) in materia di
protezione dei dati personali (Regolamento EU)
Page 4
5. Analisi preliminare dei bisogni a fini privacy
● Quale scopo mi prefiggo?
● Quali informazioni mi occorrono?
● Da dove le estraggo o da chi le ottengo?
● Come sono state raccolte, associate ed elaborate tali informazioni?
● Sono riconducibili a una persona fisica o a una persona giuridica, ente
o associazione?
● Potrebbero, anche solo indirettamente mediante associazione con
altre informazioni, da chiunque detenute, consentire con mezzi
ragionevoli di identificare l’interessato?
● L’interessato è consapevole di questo trattamento ed ha consentito?
● Quanto posso manipolarle?
● Cosa devo fare per essere sicuro di poter utilizzare queste
informazioni ed il risultato della loro elaborazione ed analisi?
● Quali sono i rischi ai quali si espone l’azienda nel trattare questi dati
per le finalità e modalità che mi sono prefissato?
Page 5
6. Quando si applicano le norme privacy
● Se c’è stabilimento del titolare in Italia (art. 5 D.Lgs. 196/2003)
● In caso di monitoraggio delle attività di soggetti residenti nell’UE
o di trattamento relativo, o volto, a promuovere nei loro confronti
beni o servizi (Regolamento EU)
Page 6
7. Informazioni rilevanti
a) qualunque informazione relativa a soggetto identificato o identificabile,
anche mediante associazione con informazioni di cui dispone il titolare o
qualunque terzo mediante uso di mezzi ragionevoli (art. 4, comma 1,
lett. b) del Codice Privacy, WP 136 del 20 giugno 2007),
persona fisica (sempre)
persona giuridica, ente, associazione (solo
nel contesto di dati relativi a servizi di
comunicazione elettronica
b) qualunque informazione archiviata nell’apparecchio di un utente
(art. 122 del Codice Privacy e art. 5, comma 3 Direttiva ePrivacy)
Attenzione a dati sensibili, giudiziari, biometrici e in generale idonei ad
accrescere i rischi per gli interessati: limiti e restrizioni normative
Page 7
8. Trasparenza - correttezza
● Informativa chiara e completa
● Rispetto del principio di finalità per cui i dati sono stati raccolti
● Uso che ecceda le finalità originarie, ivi inclusa la
commercializzazione o cessione dei dati a terzi, è un uso illecito e
pertanto quei dati sono inutilizzabili (rischio di nullità del contratto)
Page 8
9. Consenso – autorizzazioni
● Consenso: opt-in, libero, specifico, revocabile dell’interessato (limitate
eccezioni)
● Notifiche
● Autorizzazioni e/o verifiche preliminari da richiedere alle autorità
competenti
In caso di accesso o acquisto di dati da terzi:
● obbligo di verifica conformità dati acquisiti
● obbligo di conformità a normativa privacy applicabile al titolare che
acquisisce i dati
Page 9
10. Profilazione
Nel caso di analisi dei profili singoli o aggregati (se consentono di risalire
all’identità degli interessati) si aggiungono ulteriori limiti e adempimenti.
● Notifica al Garante per la protezione dei dati personali
● Informativa specifica
● Consensi specifici e separati rispetto ad altri consensi
● Specifiche misure di sicurezza
● Probabile necessità di verifica preliminare (art. 17 del Codice Privacy)
Page 10
11. Conservazione dei dati – Misure di sicurezza
● Verifica della data di acquisizione del dato
● Identificazione del periodo massimo di conservazione dei dati
● Misure di sicurezza obbligatorie, parametrate a
tipologia/quantità/qualità dei dati,
● Data breach notification per qualsiasi titolare (Regolamento
EU)
● Sanzioni elevate nel nuovo Regolamento EU (fino al 2% del
fatturato)
● Principio di accountability
Page 11