SlideShare ist ein Scribd-Unternehmen logo

Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro

ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

Intervento dell'Avv. Sarah Ungaro al convegno organizzato dall'Associazione Forense di Lecce il 1 dicembre 2016 sul tema: Il commercio elettronico nella società dell'informazione

Recht
1 von 32
Downloaden Sie, um offline zu lesen
Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale www.anorc.it mail: segreteria@anorc.it Trattamento dei dati personali nelle attività di marketing e profilazione on line Avv. Sarah Ungaro Digital & Law Department – Studio legale Lisi Vice Presidente ANORC Professioni IL COMMERCIO ELETTRONICO NELLA SOCIETÀ DELL’INFORMAZIONE
Spesso l’attività di marketing promozionale si scontra con la riservatezza degli individui (utenti e consumatori) e trovare un giusto equilibrio non è così semplice! Il web non è un Far Web, anzi è sempre più un mondo regolamentato nel minimo dettaglio
- Vademecum marketing e privacy 2015 - Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013 - Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014 - Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015 Provvedimenti e documenti dell’Autorità garante per la protezione dei dati personali in tema di marketing, profilazione on line e pagamenti da remoto
Ruolo del Garante: bilanciamento fra diritti e libertà fondamentali Diritti utenti e interessati  In particolare: diritto alla privacy, diritto alla protezione dei dati personali, diritti del consumatore a scelte consapevoli in quanto ben informate (Codice privacy, Codice Consumo) VS  Iniziativa economica e libertà d’impresa di imprenditori individuali o in forma collettiva come società (41 Cost.; art. 16 Carta Nizza; Trattati CE, etc…)
i principi fondamentali TRATTAMENTO DEI DATI PERSONALI: Diritto alla protezione dei dati personali Principio di necessità del trattamento dei dati Principio di finalità Principio di autodeterminazione informativa Principio di correttezza Principio di precauzione
Audit e limiti al trattamento dei dati  Principi fondamentali di finalità, proporzionalità e non eccedenza, necessità del trattamento dei dati (art. 3-11 Codice)  Misure minime di sicurezza  Tutela diritti fondamentali dell’interessato: - informativa idonea ex art. 13 - Diritto di opposizione e gli altri diritti ex art. 7 ss del Codice in forma agevole e gratuita  Va fatto salvo, nel bilanciamento, il «nocciolo duro» (l’essenza) dei diritti in gioco (es. diritto all’identità e dignità della persona) Cfr. orientamento costante Corte Cost.: non ci sono diritti fondamentali assoluti, vanno ragionevolmente contemperati fra loro (e possono anche sopportare un pregiudizio ragionevole) alla ricerca di un possibile equilibrio che ne faccia salva l’essenza
Art. 11. D.Lgs. 196/2003 Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
 Trasparenza delle operazioni;  Responsabilizzazione degli operatori;  Tracciabilità dei procedimenti;  Controllo dei sistemi informativi. Dal punto di vista organizzativo è importante regolamentare e formalizzare le corrette procedure per il trattamento dei dati personali garantendo: Il legislatore ha imposto precise regole di comportamento e un nuovo modello organizzativo: al vertice di questo modello, oltre al Titolare, vi è la figura del Responsabile (o meglio di Responsabili a più livelli).
Occorre definire un organigramma privacy, che riporti: • Responsabile/i • Incaricati interni • Incaricati esterni • Incaricati con particolari compiti (amministratore di sistema) • Terze parti (autonomi titolari, co-titolari, responsabili esterni, ecc.).
Eventuali violazioni delle disposizioni in tema di informativa sono sanzionate in sede amministrativa (art. 161, da 6.000 a 36.000 euro). N.B. OBBLIGO DI RENDERE L’INFORMATIVA EX ART. 13 DEL Codice privacy (D.Lgs. 196/2003)
 Il consenso deve essere “determinato”  vale a dire: riferito a una specifica finalità  Nel CRM, convivono varie finalità  Marketing diretto  Profilazione  Fidelizzazione  Cessione dati a terzi  Per marketing diretto e profilazione  Occorrono due consensi distinti  Per la fidelizzazione, non occorre consenso Requisiti del consenso Consenso: quando è obbligatorio
Linee guida in materia di attività promozionale e contrasto allo spam Finalità: - assicurare l’uniforme applicazione della normativa e l’osservanza del fondamentale principio di certezza del diritto; - chiarire alcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali; - inquadrare alcune nuove forme di spam, con l’intento di limitare i rischi connessi all’utilizzo delle novità tecnologiche. Analizziamo alcuni passaggi fondamentali delle nuove Linee Guida:  le persone giuridiche, gli enti e le associazioni (seppur tutelate dallo spam), poiché non rientrano nella definizione di “interessato”, non possono azionare gli ordinari strumenti di tutela previsti dal Codice Privacy, ma possono procedere presso l’autorità giudiziaria ordinaria, mediante l’azione inibitoria e/o l’azione di risarcimento del danno (o, se ricorrono i presupposti di cui all’art. 167 del Codice Privacy, mediante denuncia-querela);
Semplificazioni Garante Linee Guida del 4 luglio 2013  Unico consenso per tutte le finalità del 130 comma 1 Codice  Unico consenso per modalità tradizionali e modalità automatizzate di cui all’art. 130, commi 1 e 2  Unico consenso per la comunicazione/cessione dei dati raccolti a tutti i terzi (anche se numerosi per numero di soggetti o categorie)
Alcune indicazioni del Garante tratte da “Linee guida in materia di attività promozionale e contrasto allo spam “(4 luglio 2013) • indirizzi di posta elettronica aziendale (nome.cognome@società.com): vanno considerati indirizzi "personali" di posta elettronica e i loro rispettivi assegnatari come "interessati", con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele; • necessità di fornire un’informativa chiara e completa, specificando le modalità che saranno utilizzate per il trattamento dati (di cui all'art. 130, commi 1 e 2) e le finalità del trattamento; • garanzia che le persone presenti in mailing list hanno ricevuto un’informativa privacy veritiera ed efficace e hanno rilasciato il consenso; • ai fini della legittimità della comunicazione promozionale effettuata, il titolare del trattamento non può – con la prima comunicazione inviata – avvisare l’utente o il contraente della possibilità di opporsi a ulteriori invii, né può essere considerato lecito chiedere, con il primo messaggio promozionale, il consenso al trattamento dei dati per finalità promozionali; • senza il consenso preventivo non è possibile inviare comunicazioni promozionali “neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque” (compreso gli indirizzi di PEC contenuti nell’ “Indice nazionale degli indirizzi pec delle imprese e dei professionisti”);
• per l’invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale non è necessario un consenso specifico per ciascuna di esse, in quanto le suddette attività “sono funzionali a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare l’acquisizione di un unico consenso”; • il consenso deve essere libero, informato, specifico e “documentato per iscritto” (sebbene ciò non significhi necessariamente il conferimento in “forma scritta”, potendo gli operatori del settore ritenersi liberi di scegliere il metodo organizzativo più opportuno per fornire la prova della sua acquisizione); • possibilità di beneficiare dell’eccezione del “soft spam” (art. 130, comma 4, del Codice) quale causa di esonero dall’acquisizione del consenso; • il consenso per la comunicazione e/o cessione a terzi dei dati personali ai fini promozionali, deve essere distinto da quello richiesto dal medesimo Titolare per svolgere esso stesso attività promozionale; • nell’informativa – per la cessione a terzi - occorre indicare ciascuno dei terzi o, in alternativa, le categorie (economiche o merceologiche) di appartenenza degli stessi;
• nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti all'interessato anche gli altri elementi previsti all’art. 13 del Codice relativi al trattamento che verrà da questi svolto, non sarà necessario che i predetti soggetti rilascino agli interessati un'ulteriore informativa in quanto la stessa “può non comprendere gli elementi già noti alla persona che fornisce i dati”; • se la richiesta di consenso non è accompagnata da un’informativa con tali requisiti, i terzi (art. 13, comma 4, del Codice) potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa che contenga anche l’origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento; • le suddette regole si applicano anche quando i soggetti terzi (ai quali si intenda comunicare o cedere i dati raccolti per finalità di marketing) siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati; • i soggetti appartenenti al medesimo gruppo societario, al fine di adempiere all’obbligo del consenso, devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti.
 i provider di posta elettronica devono assicurare la mutua autenticazione dei rispettivi server al fine di garantire agli utenti il livello più elevato possibile di protezione anti-spam (occorre utilizzare filtri per prevenire lo spam e al contempo garantire la riservatezza degli interessati);  l’operatore può contattare telefonicamente il contraente (presente negli elenchi telefonici o pubblici e che non sia iscritto nel registro delle opposizioni) per chiedere il suo consenso a ricevere comunicazioni promozionali;  il consenso del contraente/utente deve essere specifico per ciascuna eventuale finalità perseguita, compresa la comunicazione a terzi dei suoi dati per l’invio di loro comunicazioni promozionali. Pertanto, il Titolare deve acquisire un consenso specifico e distinto a seconda del perseguimento di finalità di: - marketing, - profilazione, - comunicazione a terzi. NB Le caselline non devono essere già preselezionate (violazione dell’art. 162 co. 2 bis)
Marketing e Profilazione Marketing : art. 130, comma 1. Codice Privacy Art. 130. Comunicazioni indesiderate 1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Profilazione : l’elaborazione aggregata di dati, scelte di consumo e abitudini, al fine di proporre un marketing personalizzato o comunque mirato sugli effettivi gusti, interessi e abitudini dell’interessato Quest’ultima presenta vantaggi sia per le imprese, che abbattono i costi di una pubblicità indiscriminata, sia per il cliente, che, destinatario di una pubblicità mirata, è facilitato nella ricerca del prodotto.
PROFILAZIONE: REGOLE E LIMITI Quali sono i limiti di liceità ? L’attività di profilazione (e nello specifico l’analisi di gusti e preferenze dell’interessato) a scopo di marketing è un’attività lecita (ed è anche utile) ma deve rispettare i seguenti limiti (principi) del Codice: 1) l’obbligo di informativa idonea ai sensi del 13 del Codice, cioè l’utente deve essere chiaramente informato al momento della raccolta dei suoi dati personali che questi ultimi verranno utilizzati (anche o solo) per la finalità di profilazione; 2) L’obbligo del consenso specifico ex art. 23 del Codice per tale finalità; Consenso che quindi deve essere distinto e ulteriore rispetto a quello necessario per la mera attività promozionale o a quello necessario per la comunicazione a terzi per le loro finalità promozionali; 3) Anche per il marketing e per la profilazione, come per ciascun altro trattamento di dati, vanno rispettati i fondamentali principi di finalità, necessità, non eccedenza e proporzionalità (cfr. 3-11 Codice), con riferimento anche a tempi e modalità di conservazione dei dati personali in questione; 4) È obbligatorio procedere alla notificazione (art. 37 Codice) al Garante Privacy.
Social spam Al riguardo il Garante Privacy afferma che: - l'agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari. - i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130. - la medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi tipo quelli offerti da Skype, WhatsApp, Viber, Messanger, etc..* Linee guida in materia di attività promozionale e contrasto allo spam (4 luglio 2013) * Per questi, si ricorda il rischio di proliferazione dello spam dato che tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart- phone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l'accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali.
Nell’ambito del Social spam rientra il c.d. spam mirato cioè lo spam basato sulla profilazione degli utenti. Linee guida in materia di attività promozionale e contrasto allo spam Inoltre, la tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre più semplificate, nonché la tendenza all’unificazione dei profili sui diversi servizi resi dalle medesime piattaforme, consente di pervenire a una conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni. Lo Spam mirato agevola il rapporto commerciale tra produttore e consumatore (riducendo sia i costi di marketing, sia i costi di ricerca del prodotto) ma può causare all'interessato che viene profilato a dispetto della sua volontà, oltre alla ricezione dello spam, anche la compressione della sua libertà di fruizione dei servizi della società dell'informazione. Le SANZIONI previste per tale attività possono variare dalla omessa o inidonea informativa e mancata acquisizione del consenso (artt. 161 e 162, comma 2-bis del Codice Privacy) sino ad arrivare alla configurazione di un vero e proprio reato (perseguibile d’ufficio) rilevante sotto il profilo penale, qualora emergano i presupposti di un possibile trattamento illecito di dati personali (art. 167 del Codice Privacy).
APP e Privacy • mancanza di TRASPARENZA nelle modalità e nelle finalità di raccolta dei dati; • incapacità o impossibilità da parte degli interessati di esercitare o recuperare il CONTROLLO sui propri dati e sul modo in cui essi vengono comunicati a terzi; • elementi tecnici di SICUREZZA INFORMATICA Pertanto è necessario garantire: - obblighi di informativa (contenente l’identità del fornitore, il tipo di dati raccolti, lo scopo del trattamento e la possibilità di comunicazione a terzi) e consenso riguardo all’archiviazione di informazioni sui terminali degli utenti, nonché per l’utilizzo da parte delle applicazioni di dati di localizzazione o delle rubriche dei contatti (consenso per carte di credito, navigazione in rete, dati biometrici); - modalità per revocare il consenso ad alcuni trattamenti (che non rientrino tra quelli obbligatori e necessari ad eseguire il servizio a regola d’arte) e disinstallare le app; - impiego (per i developer) di “identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti” e predeterminare un termine di inattività decorso il quale l’account dell’utente scade e non è più utilizzabile; - previsione (per i developer) di precisi tempi di conservazione dei dati i e l’impiego di icone user friendly per segnalare che specifici trattamenti di dati sono in corso
Adempimenti organizzativi:  fornire agli utenti/utilizzatori una completa informativa ex art. 13 che contenente l’identità del fornitore/proprietario della app, il tipo di dati raccolti, lo scopo del trattamento e la possibilità di comunicazione a terzi, la garanzia e descrizione circa le principali misure di sicurezza adottate e, infine, le modalità su come esercitare i diritti di cui all’art. 7 d.lgs. 196/2003;  acquisire il consenso per l’eventuale tracciamento delle operazioni compiute in rete dall’interessato, per l’archiviazione di informazioni sul suo dispositivo e per l’utilizzo di dati di geolocalizzazione;  indicazione, se avviene il tracciamento dell’interessato e del tempo di conservazione di tali informazioni;  esclusione dall’utilizzo delle app. per i minori di età;  ridurre (ma non eliminare) il rischio di tracciamento degli utenti;  stabilire tempi di conservazione certi (nel rispetto del principio di finalità, pertinenza e non eccedenza: tali dati – compreso gli identificativi non persistenti e l’eventuale tracciamento degli utenti – devono essere cancellati venute meno le esigenze di conservazione).
OBBLIGHI PER GLI SVILUPPATORI DI APP  Rispettare gli obblighi previsti per il titolare del trattamento dei dati, sia verso gli utenti, sia verso gli eventuali fornitori responsabili del trattamento  Chiedere il consenso per il trattamento dei dati prima che l’app inizi a ricevere informazioni (ad. es. prima dell’installazione)  trattare il minor numero possibile di dati personali  fornire all’utente un’informativa privacy completa  dare all’utente la possibilità di revocare liberamente il consenso al trattamento dei suoi dati personali in caso di disinstallazione dell’app  implementare le misure di sicurezza richieste dalla legge  fornire un contatto unico per le esigenze privacy degli utenti  conservare i dati solo per un periodo di tempo ragionevole e prevedere un periodo di inattività oltre il quale l’account verrà disattivato
Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014 - Le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l'interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l'accesso al mercato digitale) devono essere in regola con il provvedimento generale varato dal Garante privacy nel maggio 2014. - In particolare, gli utenti che acquistano beni digitali devono essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto. I loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all'indirizzo IP di collegamento) possono essere conservati al massimo per 6 mesi e non possono essere usati per altre finalità, come l'invio di pubblicità o analisi delle abitudini senza uno specifico consenso. L'indirizzo IP degli utenti dove essere cancellato dal venditore una volta terminata la procedura di acquisto.
Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014 - Precise misure di sicurezza devono essere adottate per garantire la riservatezza delle persone e impedire l'integrazione delle diverse tipologie di dati a disposizione dell'operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione "incrociata" dell'utenza a meno che non venga espresso uno specifico consenso informato dell'utente. - I venditori, a garanzia della riservatezza delle transazioni dei clienti, possono trasmettere all'operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.
Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015 - Consenso obbligatorio, revocabile in ogni momento. - Chi opera su Internet deve fornire agli utenti informazioni chiare e complete, richiedere ed ottenere il consenso degli interessati, revocabile in ogni momento, e offrire concrete tutele anche a chi non dispone di uno specifico account per accedere ai servizi offerti. - Le regole delle Linee guida armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di "profili" di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate. - Devono essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali motori di ricerca, posta elettronica, mappe on line, social network, pagamenti elettronici, cloud computing.
Ecco in sintesi le regole previste nelle Linee guida: Tutele per ogni utente Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l'utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line. Informativa L'informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito. Essa costituisce il presupposto per consentire agli interessati medesimi di esprimere o meno il consenso all'uso dei propri dati per fini di profilazione ed è preferibile che sia strutturata su più livelli, per renderne più facile la lettura: un primo livello immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio l'indicazione dei trattamenti e dei dati oggetto di trattamento); un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti. Conservazione dati Dovranno essere definiti tempi certi di conservazione dei dati, sulla base delle norme del Codice privacy, proporzionati alle specifiche finalità perseguite.
Consenso Qualunque attività di trattamento dei dati personali dell'utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell'utente. Questo obbligo si applica dunque alla profilazione per finalità promozionali comunque effettuata: sia quella sui dati relativi all'uso della posta elettronica, sia quella basata sull'incrocio dei dati personali raccolti in relazione all'utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.), sia infine quella fondata sull'impiego di strumenti di identificazione diversi dai cookie (che costruisce profili dell'utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo). Attraverso modalità semplificate, gli utenti potranno scegliere in modo attivo e consapevole se acconsentire alla profilazione. All'utente dovrà comunque essere sempre pienamente garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo dovrà essere predisposto un link, sempre ben visibile.
Diritti degli interessati (conoscitivi e di controllo)  Potenziamento dei contenuti obbligatori dell’informativa e obbligo per tutti i titolari del trattamento di integrare le proprie informative fornite agli interessati;  Definizione di idonee modalità di acquisizione e revoca del consenso nei vari contesti (es. sito web), nonché di fornire la relativa prova (dimostrazione dell’acquisizione del consenso);  Introduzione – oltre a tutto quanto già previsto dal vecchio Codice privacy – dei nuovi diritti alla limitazione del trattamento, alla portabilità dei dati e del diritto a una cancellazione estesa (“oblio”), nonché diritto a conoscere eventuali violazioni di dati personali causati da chi detiene la titolarità sui dati (c.d. data braches), che fa sorgere conseguentemente un dovere per i titolari del trattamento di renderli effettivi nei confronti degli interessati che ne facciano richiesta. In relazione a tali novità, è importante integrare e revisionare tutte le informative e creare delle procedura ad hoc per il riscontro delle richieste in caso di esercizio dei propri diritti da parte degli interessati. Novità del Regolamento Generale sulla protezione dei dati personali n. 679/2016
COSA FARE  Revisione di tutte le informative e privacy policy del sito web Social Media policy  Linee Guida e-marketing  Regolamenti aziendali interni e corretta responsabilizzazione degli incaricati
Avv. Sarah Ungaro email: sarahungaro@studiolegalelisi.it D&L Department – Studio Legale Lisi

Empfohlen

GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
Le novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOLe novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOGiorgio Piccolotto
 
Privacy e recupero crediti il vademecum
Privacy e recupero crediti il vademecumPrivacy e recupero crediti il vademecum
Privacy e recupero crediti il vademecumat MicroFocus Italy ❖✔
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketingBrioWeb
 

Empfohlen

GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
Le novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOLe novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOGiorgio Piccolotto
 
Privacy e recupero crediti il vademecum
Privacy e recupero crediti il vademecumPrivacy e recupero crediti il vademecum
Privacy e recupero crediti il vademecumat MicroFocus Italy ❖✔
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketingBrioWeb
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Pasquale Lopriore
 
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...Angelo Vozza
 
GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018Simone Chiarelli
 
Privacy e telemarketing
Privacy e telemarketing Privacy e telemarketing
Privacy e telemarketing Giovanni Maria Riccio
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Privacy ed email marketing B2B
Privacy ed email marketing B2BPrivacy ed email marketing B2B
Privacy ed email marketing B2Bbancomail
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?Andrea Battistella
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDACarlo Riganti
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...Contactlab
 
Nuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei DatiNuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei DatiANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...
Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...
Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Digital voice sulla fatturazione elettronica
Digital voice sulla fatturazione elettronicaDigital voice sulla fatturazione elettronica
Digital voice sulla fatturazione elettronicaANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Raccomandazioni e-commerce
Raccomandazioni e-commerce Raccomandazioni e-commerce
Raccomandazioni e-commerce Fondazione Mondo Digitale
 
Il rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitali
Il rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitaliIl rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitali
Il rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitaliANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
I modelli di governance e le competenze digitali
I modelli di governance e le competenze digitali I modelli di governance e le competenze digitali
I modelli di governance e le competenze digitali ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...
Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...
Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Il commercio elettronico nella società dell'informazione - dr.ssa Chiara Pascali
Il commercio elettronico nella società dell'informazione - dr.ssa Chiara PascaliIl commercio elettronico nella società dell'informazione - dr.ssa Chiara Pascali
Il commercio elettronico nella società dell'informazione - dr.ssa Chiara PascaliANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 

Weitere ähnliche Inhalte

Was ist angesagt?

La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Pasquale Lopriore
 
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...Angelo Vozza
 
GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Privacy ed email marketing B2B
Privacy ed email marketing B2BPrivacy ed email marketing B2B
Privacy ed email marketing B2Bbancomail
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDACarlo Riganti
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...Contactlab
 

Was ist angesagt? (14)

Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010
 
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
Invito_INVESTIRE IN BELLEZZA_Art Bonus e Regime fiscale dimore storiche_Milan...
 
GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
 
Privacy e telemarketing
Privacy e telemarketing Privacy e telemarketing
Privacy e telemarketing
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
Privacy ed email marketing B2B
Privacy ed email marketing B2BPrivacy ed email marketing B2B
Privacy ed email marketing B2B
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection ...
 

Andere mochten auch

Quinta lezione definitiva1
Quinta lezione definitiva1Quinta lezione definitiva1
Quinta lezione definitiva1gemma64
 
Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Franco Marra
 
Registrarsi sui siti Internet
Registrarsi sui siti InternetRegistrarsi sui siti Internet
Registrarsi sui siti InternetFranco Marra
 
Internet la ricerca
Internet la ricercaInternet la ricerca
Internet la ricercaFranco Marra
 
Product placement - Suor orsola benincasa
Product placement - Suor orsola benincasaProduct placement - Suor orsola benincasa
Product placement - Suor orsola benincasaAdele Savarese
 
Lo stato dell'arte dell'AdBlocking in Italia
Lo stato dell'arte dell'AdBlocking in ItaliaLo stato dell'arte dell'AdBlocking in Italia
Lo stato dell'arte dell'AdBlocking in ItaliaHuman Highway
 
Uso del sistema operativo 2
Uso del sistema operativo 2Uso del sistema operativo 2
Uso del sistema operativo 2Franco Marra
 

Andere mochten auch (20)

Nuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei DatiNuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei Dati
 
Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...
Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...
Il commercio elettronico nella società dell'informazione - Avv. Giuseppe Chia...
 
Digital voice sulla fatturazione elettronica
Digital voice sulla fatturazione elettronicaDigital voice sulla fatturazione elettronica
Digital voice sulla fatturazione elettronica
 
Raccomandazioni e-commerce
Raccomandazioni e-commerce Raccomandazioni e-commerce
Raccomandazioni e-commerce
 
Il rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitali
Il rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitaliIl rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitali
Il rapporto tra archivisti e tecnologie per la sicurezza delle memorie digitali
 
I modelli di governance e le competenze digitali
I modelli di governance e le competenze digitali I modelli di governance e le competenze digitali
I modelli di governance e le competenze digitali
 
Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...
Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...
Donato Antonio Limone_Il modello di governance digitali: la PA incontra il me...
 
Il commercio elettronico nella società dell'informazione - dr.ssa Chiara Pascali
Il commercio elettronico nella società dell'informazione - dr.ssa Chiara PascaliIl commercio elettronico nella società dell'informazione - dr.ssa Chiara Pascali
Il commercio elettronico nella società dell'informazione - dr.ssa Chiara Pascali
 
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
 
Alibaba Group
Alibaba GroupAlibaba Group
Alibaba Group
 
Il modello di governance digitali: la PA incontra il mercato _Andrea Lisi
Il modello di governance digitali: la PA incontra il mercato _Andrea LisiIl modello di governance digitali: la PA incontra il mercato _Andrea Lisi
Il modello di governance digitali: la PA incontra il mercato _Andrea Lisi
 
Informatica Base Windows
Informatica Base WindowsInformatica Base Windows
Informatica Base Windows
 
Quinta lezione definitiva1
Quinta lezione definitiva1Quinta lezione definitiva1
Quinta lezione definitiva1
 
Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"
 
Registrarsi sui siti Internet
Registrarsi sui siti InternetRegistrarsi sui siti Internet
Registrarsi sui siti Internet
 
Internet la ricerca
Internet la ricercaInternet la ricerca
Internet la ricerca
 
Product placement - Suor orsola benincasa
Product placement - Suor orsola benincasaProduct placement - Suor orsola benincasa
Product placement - Suor orsola benincasa
 
Il commercio elettronico nella società dell'informazione - Avv. Andrea Lisi
Il commercio elettronico nella società dell'informazione - Avv. Andrea LisiIl commercio elettronico nella società dell'informazione - Avv. Andrea Lisi
Il commercio elettronico nella società dell'informazione - Avv. Andrea Lisi
 
Lo stato dell'arte dell'AdBlocking in Italia
Lo stato dell'arte dell'AdBlocking in ItaliaLo stato dell'arte dell'AdBlocking in Italia
Lo stato dell'arte dell'AdBlocking in Italia
 
Uso del sistema operativo 2
Uso del sistema operativo 2Uso del sistema operativo 2
Uso del sistema operativo 2
 

Ähnlich wie Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro

Smau Napoli 2014 Aicel
Smau Napoli 2014 AicelSmau Napoli 2014 Aicel
Smau Napoli 2014 AicelSMAU
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazionefestival ICT 2016
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiQuotidiano Piemontese
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfNOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfMarco Krogh
 
I dati personali in ambito bancario
I dati personali in ambito bancarioI dati personali in ambito bancario
I dati personali in ambito bancarioPietroBilotta
 
Smau Milano 2014 Massimo Farina - privacy
Smau Milano 2014 Massimo Farina - privacySmau Milano 2014 Massimo Farina - privacy
Smau Milano 2014 Massimo Farina - privacySMAU
 
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...Massimo Farina
 
Informativa simpatizzanti PATT
Informativa simpatizzanti PATTInformativa simpatizzanti PATT
Informativa simpatizzanti PATTPATT Trento
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Web marketing e privacy
Web marketing e privacyWeb marketing e privacy
Web marketing e privacyGiorgio Trono
 
Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...
Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...
Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...Massimo Farina
 

Ähnlich wie Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro (20)

Smau Napoli 2014 Aicel
Smau Napoli 2014 AicelSmau Napoli 2014 Aicel
Smau Napoli 2014 Aicel
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfNOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
I dati personali in ambito bancario
I dati personali in ambito bancarioI dati personali in ambito bancario
I dati personali in ambito bancario
 
Smau Milano 2014 Massimo Farina - privacy
Smau Milano 2014 Massimo Farina - privacySmau Milano 2014 Massimo Farina - privacy
Smau Milano 2014 Massimo Farina - privacy
 
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
 
Informativa simpatizzanti PATT
Informativa simpatizzanti PATTInformativa simpatizzanti PATT
Informativa simpatizzanti PATT
 
Privacy GDPR
Privacy GDPRPrivacy GDPR
Privacy GDPR
 
Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio
Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio
Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio
 
Privacy e social networks
Privacy e social networksPrivacy e social networks
Privacy e social networks
 
Privacy Sanità
Privacy SanitàPrivacy Sanità
Privacy Sanità
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Web marketing e privacy
Web marketing e privacyWeb marketing e privacy
Web marketing e privacy
 
Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...
Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...
Privacy e Comunicazioni Commerciali: le linee guida in materia di attività pr...
 

Mehr von ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

Mehr von ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale (20)

L’esperienza sul campo di INAIL - Stefano Tomasini
L’esperienza sul campo di INAIL - Stefano Tomasini L’esperienza sul campo di INAIL - Stefano Tomasini
L’esperienza sul campo di INAIL - Stefano Tomasini
 
Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...
Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...
Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...
 
I processi di Fatturazione Elettronica - Paolo A. Catti
I processi di Fatturazione Elettronica - Paolo A. CattiI processi di Fatturazione Elettronica - Paolo A. Catti
I processi di Fatturazione Elettronica - Paolo A. Catti
 
Paperless Italy - avv. Andrea Lisi
Paperless Italy - avv. Andrea LisiPaperless Italy - avv. Andrea Lisi
Paperless Italy - avv. Andrea Lisi
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni VenetoConvegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
“Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica” “Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica”
 
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
 
“Identificazione elettronica e SPID”
“Identificazione elettronica e SPID”“Identificazione elettronica e SPID”
“Identificazione elettronica e SPID”
 
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
 
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
 
“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...
“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...
“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...
 
Intervento apertura dei lavori
Intervento apertura dei lavoriIntervento apertura dei lavori
Intervento apertura dei lavori
 
La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
 

Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro

  • 1. Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale www.anorc.it mail: segreteria@anorc.it Trattamento dei dati personali nelle attività di marketing e profilazione on line Avv. Sarah Ungaro Digital & Law Department – Studio legale Lisi Vice Presidente ANORC Professioni IL COMMERCIO ELETTRONICO NELLA SOCIETÀ DELL’INFORMAZIONE
  • 2. Spesso l’attività di marketing promozionale si scontra con la riservatezza degli individui (utenti e consumatori) e trovare un giusto equilibrio non è così semplice! Il web non è un Far Web, anzi è sempre più un mondo regolamentato nel minimo dettaglio
  • 3. - Vademecum marketing e privacy 2015 - Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013 - Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014 - Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015 Provvedimenti e documenti dell’Autorità garante per la protezione dei dati personali in tema di marketing, profilazione on line e pagamenti da remoto
  • 4. Ruolo del Garante: bilanciamento fra diritti e libertà fondamentali Diritti utenti e interessati  In particolare: diritto alla privacy, diritto alla protezione dei dati personali, diritti del consumatore a scelte consapevoli in quanto ben informate (Codice privacy, Codice Consumo) VS  Iniziativa economica e libertà d’impresa di imprenditori individuali o in forma collettiva come società (41 Cost.; art. 16 Carta Nizza; Trattati CE, etc…)
  • 5. i principi fondamentali TRATTAMENTO DEI DATI PERSONALI: Diritto alla protezione dei dati personali Principio di necessità del trattamento dei dati Principio di finalità Principio di autodeterminazione informativa Principio di correttezza Principio di precauzione
  • 6. Audit e limiti al trattamento dei dati  Principi fondamentali di finalità, proporzionalità e non eccedenza, necessità del trattamento dei dati (art. 3-11 Codice)  Misure minime di sicurezza  Tutela diritti fondamentali dell’interessato: - informativa idonea ex art. 13 - Diritto di opposizione e gli altri diritti ex art. 7 ss del Codice in forma agevole e gratuita  Va fatto salvo, nel bilanciamento, il «nocciolo duro» (l’essenza) dei diritti in gioco (es. diritto all’identità e dignità della persona) Cfr. orientamento costante Corte Cost.: non ci sono diritti fondamentali assoluti, vanno ragionevolmente contemperati fra loro (e possono anche sopportare un pregiudizio ragionevole) alla ricerca di un possibile equilibrio che ne faccia salva l’essenza
  • 7. Art. 11. D.Lgs. 196/2003 Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
  • 8.  Trasparenza delle operazioni;  Responsabilizzazione degli operatori;  Tracciabilità dei procedimenti;  Controllo dei sistemi informativi. Dal punto di vista organizzativo è importante regolamentare e formalizzare le corrette procedure per il trattamento dei dati personali garantendo: Il legislatore ha imposto precise regole di comportamento e un nuovo modello organizzativo: al vertice di questo modello, oltre al Titolare, vi è la figura del Responsabile (o meglio di Responsabili a più livelli).
  • 9. Occorre definire un organigramma privacy, che riporti: • Responsabile/i • Incaricati interni • Incaricati esterni • Incaricati con particolari compiti (amministratore di sistema) • Terze parti (autonomi titolari, co-titolari, responsabili esterni, ecc.).
  • 10. Eventuali violazioni delle disposizioni in tema di informativa sono sanzionate in sede amministrativa (art. 161, da 6.000 a 36.000 euro). N.B. OBBLIGO DI RENDERE L’INFORMATIVA EX ART. 13 DEL Codice privacy (D.Lgs. 196/2003)
  • 11.  Il consenso deve essere “determinato”  vale a dire: riferito a una specifica finalità  Nel CRM, convivono varie finalità  Marketing diretto  Profilazione  Fidelizzazione  Cessione dati a terzi  Per marketing diretto e profilazione  Occorrono due consensi distinti  Per la fidelizzazione, non occorre consenso Requisiti del consenso Consenso: quando è obbligatorio
  • 12. Linee guida in materia di attività promozionale e contrasto allo spam Finalità: - assicurare l’uniforme applicazione della normativa e l’osservanza del fondamentale principio di certezza del diritto; - chiarire alcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali; - inquadrare alcune nuove forme di spam, con l’intento di limitare i rischi connessi all’utilizzo delle novità tecnologiche. Analizziamo alcuni passaggi fondamentali delle nuove Linee Guida:  le persone giuridiche, gli enti e le associazioni (seppur tutelate dallo spam), poiché non rientrano nella definizione di “interessato”, non possono azionare gli ordinari strumenti di tutela previsti dal Codice Privacy, ma possono procedere presso l’autorità giudiziaria ordinaria, mediante l’azione inibitoria e/o l’azione di risarcimento del danno (o, se ricorrono i presupposti di cui all’art. 167 del Codice Privacy, mediante denuncia-querela);
  • 13. Semplificazioni Garante Linee Guida del 4 luglio 2013  Unico consenso per tutte le finalità del 130 comma 1 Codice  Unico consenso per modalità tradizionali e modalità automatizzate di cui all’art. 130, commi 1 e 2  Unico consenso per la comunicazione/cessione dei dati raccolti a tutti i terzi (anche se numerosi per numero di soggetti o categorie)
  • 14. Alcune indicazioni del Garante tratte da “Linee guida in materia di attività promozionale e contrasto allo spam “(4 luglio 2013) • indirizzi di posta elettronica aziendale (nome.cognome@società.com): vanno considerati indirizzi "personali" di posta elettronica e i loro rispettivi assegnatari come "interessati", con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele; • necessità di fornire un’informativa chiara e completa, specificando le modalità che saranno utilizzate per il trattamento dati (di cui all'art. 130, commi 1 e 2) e le finalità del trattamento; • garanzia che le persone presenti in mailing list hanno ricevuto un’informativa privacy veritiera ed efficace e hanno rilasciato il consenso; • ai fini della legittimità della comunicazione promozionale effettuata, il titolare del trattamento non può – con la prima comunicazione inviata – avvisare l’utente o il contraente della possibilità di opporsi a ulteriori invii, né può essere considerato lecito chiedere, con il primo messaggio promozionale, il consenso al trattamento dei dati per finalità promozionali; • senza il consenso preventivo non è possibile inviare comunicazioni promozionali “neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque” (compreso gli indirizzi di PEC contenuti nell’ “Indice nazionale degli indirizzi pec delle imprese e dei professionisti”);
  • 15. • per l’invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale non è necessario un consenso specifico per ciascuna di esse, in quanto le suddette attività “sono funzionali a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare l’acquisizione di un unico consenso”; • il consenso deve essere libero, informato, specifico e “documentato per iscritto” (sebbene ciò non significhi necessariamente il conferimento in “forma scritta”, potendo gli operatori del settore ritenersi liberi di scegliere il metodo organizzativo più opportuno per fornire la prova della sua acquisizione); • possibilità di beneficiare dell’eccezione del “soft spam” (art. 130, comma 4, del Codice) quale causa di esonero dall’acquisizione del consenso; • il consenso per la comunicazione e/o cessione a terzi dei dati personali ai fini promozionali, deve essere distinto da quello richiesto dal medesimo Titolare per svolgere esso stesso attività promozionale; • nell’informativa – per la cessione a terzi - occorre indicare ciascuno dei terzi o, in alternativa, le categorie (economiche o merceologiche) di appartenenza degli stessi;
  • 16. • nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti all'interessato anche gli altri elementi previsti all’art. 13 del Codice relativi al trattamento che verrà da questi svolto, non sarà necessario che i predetti soggetti rilascino agli interessati un'ulteriore informativa in quanto la stessa “può non comprendere gli elementi già noti alla persona che fornisce i dati”; • se la richiesta di consenso non è accompagnata da un’informativa con tali requisiti, i terzi (art. 13, comma 4, del Codice) potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa che contenga anche l’origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento; • le suddette regole si applicano anche quando i soggetti terzi (ai quali si intenda comunicare o cedere i dati raccolti per finalità di marketing) siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati; • i soggetti appartenenti al medesimo gruppo societario, al fine di adempiere all’obbligo del consenso, devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti.
  • 17.  i provider di posta elettronica devono assicurare la mutua autenticazione dei rispettivi server al fine di garantire agli utenti il livello più elevato possibile di protezione anti-spam (occorre utilizzare filtri per prevenire lo spam e al contempo garantire la riservatezza degli interessati);  l’operatore può contattare telefonicamente il contraente (presente negli elenchi telefonici o pubblici e che non sia iscritto nel registro delle opposizioni) per chiedere il suo consenso a ricevere comunicazioni promozionali;  il consenso del contraente/utente deve essere specifico per ciascuna eventuale finalità perseguita, compresa la comunicazione a terzi dei suoi dati per l’invio di loro comunicazioni promozionali. Pertanto, il Titolare deve acquisire un consenso specifico e distinto a seconda del perseguimento di finalità di: - marketing, - profilazione, - comunicazione a terzi. NB Le caselline non devono essere già preselezionate (violazione dell’art. 162 co. 2 bis)
  • 18. Marketing e Profilazione Marketing : art. 130, comma 1. Codice Privacy Art. 130. Comunicazioni indesiderate 1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Profilazione : l’elaborazione aggregata di dati, scelte di consumo e abitudini, al fine di proporre un marketing personalizzato o comunque mirato sugli effettivi gusti, interessi e abitudini dell’interessato Quest’ultima presenta vantaggi sia per le imprese, che abbattono i costi di una pubblicità indiscriminata, sia per il cliente, che, destinatario di una pubblicità mirata, è facilitato nella ricerca del prodotto.
  • 19. PROFILAZIONE: REGOLE E LIMITI Quali sono i limiti di liceità ? L’attività di profilazione (e nello specifico l’analisi di gusti e preferenze dell’interessato) a scopo di marketing è un’attività lecita (ed è anche utile) ma deve rispettare i seguenti limiti (principi) del Codice: 1) l’obbligo di informativa idonea ai sensi del 13 del Codice, cioè l’utente deve essere chiaramente informato al momento della raccolta dei suoi dati personali che questi ultimi verranno utilizzati (anche o solo) per la finalità di profilazione; 2) L’obbligo del consenso specifico ex art. 23 del Codice per tale finalità; Consenso che quindi deve essere distinto e ulteriore rispetto a quello necessario per la mera attività promozionale o a quello necessario per la comunicazione a terzi per le loro finalità promozionali; 3) Anche per il marketing e per la profilazione, come per ciascun altro trattamento di dati, vanno rispettati i fondamentali principi di finalità, necessità, non eccedenza e proporzionalità (cfr. 3-11 Codice), con riferimento anche a tempi e modalità di conservazione dei dati personali in questione; 4) È obbligatorio procedere alla notificazione (art. 37 Codice) al Garante Privacy.
  • 20. Social spam Al riguardo il Garante Privacy afferma che: - l'agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari. - i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130. - la medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi tipo quelli offerti da Skype, WhatsApp, Viber, Messanger, etc..* Linee guida in materia di attività promozionale e contrasto allo spam (4 luglio 2013) * Per questi, si ricorda il rischio di proliferazione dello spam dato che tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart- phone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l'accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali.
  • 21. Nell’ambito del Social spam rientra il c.d. spam mirato cioè lo spam basato sulla profilazione degli utenti. Linee guida in materia di attività promozionale e contrasto allo spam Inoltre, la tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre più semplificate, nonché la tendenza all’unificazione dei profili sui diversi servizi resi dalle medesime piattaforme, consente di pervenire a una conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni. Lo Spam mirato agevola il rapporto commerciale tra produttore e consumatore (riducendo sia i costi di marketing, sia i costi di ricerca del prodotto) ma può causare all'interessato che viene profilato a dispetto della sua volontà, oltre alla ricezione dello spam, anche la compressione della sua libertà di fruizione dei servizi della società dell'informazione. Le SANZIONI previste per tale attività possono variare dalla omessa o inidonea informativa e mancata acquisizione del consenso (artt. 161 e 162, comma 2-bis del Codice Privacy) sino ad arrivare alla configurazione di un vero e proprio reato (perseguibile d’ufficio) rilevante sotto il profilo penale, qualora emergano i presupposti di un possibile trattamento illecito di dati personali (art. 167 del Codice Privacy).
  • 22. APP e Privacy • mancanza di TRASPARENZA nelle modalità e nelle finalità di raccolta dei dati; • incapacità o impossibilità da parte degli interessati di esercitare o recuperare il CONTROLLO sui propri dati e sul modo in cui essi vengono comunicati a terzi; • elementi tecnici di SICUREZZA INFORMATICA Pertanto è necessario garantire: - obblighi di informativa (contenente l’identità del fornitore, il tipo di dati raccolti, lo scopo del trattamento e la possibilità di comunicazione a terzi) e consenso riguardo all’archiviazione di informazioni sui terminali degli utenti, nonché per l’utilizzo da parte delle applicazioni di dati di localizzazione o delle rubriche dei contatti (consenso per carte di credito, navigazione in rete, dati biometrici); - modalità per revocare il consenso ad alcuni trattamenti (che non rientrino tra quelli obbligatori e necessari ad eseguire il servizio a regola d’arte) e disinstallare le app; - impiego (per i developer) di “identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti” e predeterminare un termine di inattività decorso il quale l’account dell’utente scade e non è più utilizzabile; - previsione (per i developer) di precisi tempi di conservazione dei dati i e l’impiego di icone user friendly per segnalare che specifici trattamenti di dati sono in corso
  • 23. Adempimenti organizzativi:  fornire agli utenti/utilizzatori una completa informativa ex art. 13 che contenente l’identità del fornitore/proprietario della app, il tipo di dati raccolti, lo scopo del trattamento e la possibilità di comunicazione a terzi, la garanzia e descrizione circa le principali misure di sicurezza adottate e, infine, le modalità su come esercitare i diritti di cui all’art. 7 d.lgs. 196/2003;  acquisire il consenso per l’eventuale tracciamento delle operazioni compiute in rete dall’interessato, per l’archiviazione di informazioni sul suo dispositivo e per l’utilizzo di dati di geolocalizzazione;  indicazione, se avviene il tracciamento dell’interessato e del tempo di conservazione di tali informazioni;  esclusione dall’utilizzo delle app. per i minori di età;  ridurre (ma non eliminare) il rischio di tracciamento degli utenti;  stabilire tempi di conservazione certi (nel rispetto del principio di finalità, pertinenza e non eccedenza: tali dati – compreso gli identificativi non persistenti e l’eventuale tracciamento degli utenti – devono essere cancellati venute meno le esigenze di conservazione).
  • 24. OBBLIGHI PER GLI SVILUPPATORI DI APP  Rispettare gli obblighi previsti per il titolare del trattamento dei dati, sia verso gli utenti, sia verso gli eventuali fornitori responsabili del trattamento  Chiedere il consenso per il trattamento dei dati prima che l’app inizi a ricevere informazioni (ad. es. prima dell’installazione)  trattare il minor numero possibile di dati personali  fornire all’utente un’informativa privacy completa  dare all’utente la possibilità di revocare liberamente il consenso al trattamento dei suoi dati personali in caso di disinstallazione dell’app  implementare le misure di sicurezza richieste dalla legge  fornire un contatto unico per le esigenze privacy degli utenti  conservare i dati solo per un periodo di tempo ragionevole e prevedere un periodo di inattività oltre il quale l’account verrà disattivato
  • 25. Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014 - Le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l'interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l'accesso al mercato digitale) devono essere in regola con il provvedimento generale varato dal Garante privacy nel maggio 2014. - In particolare, gli utenti che acquistano beni digitali devono essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto. I loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all'indirizzo IP di collegamento) possono essere conservati al massimo per 6 mesi e non possono essere usati per altre finalità, come l'invio di pubblicità o analisi delle abitudini senza uno specifico consenso. L'indirizzo IP degli utenti dove essere cancellato dal venditore una volta terminata la procedura di acquisto.
  • 26. Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014 - Precise misure di sicurezza devono essere adottate per garantire la riservatezza delle persone e impedire l'integrazione delle diverse tipologie di dati a disposizione dell'operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione "incrociata" dell'utenza a meno che non venga espresso uno specifico consenso informato dell'utente. - I venditori, a garanzia della riservatezza delle transazioni dei clienti, possono trasmettere all'operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.
  • 27. Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015 - Consenso obbligatorio, revocabile in ogni momento. - Chi opera su Internet deve fornire agli utenti informazioni chiare e complete, richiedere ed ottenere il consenso degli interessati, revocabile in ogni momento, e offrire concrete tutele anche a chi non dispone di uno specifico account per accedere ai servizi offerti. - Le regole delle Linee guida armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di "profili" di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate. - Devono essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali motori di ricerca, posta elettronica, mappe on line, social network, pagamenti elettronici, cloud computing.
  • 28. Ecco in sintesi le regole previste nelle Linee guida: Tutele per ogni utente Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l'utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line. Informativa L'informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito. Essa costituisce il presupposto per consentire agli interessati medesimi di esprimere o meno il consenso all'uso dei propri dati per fini di profilazione ed è preferibile che sia strutturata su più livelli, per renderne più facile la lettura: un primo livello immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio l'indicazione dei trattamenti e dei dati oggetto di trattamento); un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti. Conservazione dati Dovranno essere definiti tempi certi di conservazione dei dati, sulla base delle norme del Codice privacy, proporzionati alle specifiche finalità perseguite.
  • 29. Consenso Qualunque attività di trattamento dei dati personali dell'utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell'utente. Questo obbligo si applica dunque alla profilazione per finalità promozionali comunque effettuata: sia quella sui dati relativi all'uso della posta elettronica, sia quella basata sull'incrocio dei dati personali raccolti in relazione all'utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.), sia infine quella fondata sull'impiego di strumenti di identificazione diversi dai cookie (che costruisce profili dell'utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo). Attraverso modalità semplificate, gli utenti potranno scegliere in modo attivo e consapevole se acconsentire alla profilazione. All'utente dovrà comunque essere sempre pienamente garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo dovrà essere predisposto un link, sempre ben visibile.
  • 30. Diritti degli interessati (conoscitivi e di controllo)  Potenziamento dei contenuti obbligatori dell’informativa e obbligo per tutti i titolari del trattamento di integrare le proprie informative fornite agli interessati;  Definizione di idonee modalità di acquisizione e revoca del consenso nei vari contesti (es. sito web), nonché di fornire la relativa prova (dimostrazione dell’acquisizione del consenso);  Introduzione – oltre a tutto quanto già previsto dal vecchio Codice privacy – dei nuovi diritti alla limitazione del trattamento, alla portabilità dei dati e del diritto a una cancellazione estesa (“oblio”), nonché diritto a conoscere eventuali violazioni di dati personali causati da chi detiene la titolarità sui dati (c.d. data braches), che fa sorgere conseguentemente un dovere per i titolari del trattamento di renderli effettivi nei confronti degli interessati che ne facciano richiesta. In relazione a tali novità, è importante integrare e revisionare tutte le informative e creare delle procedura ad hoc per il riscontro delle richieste in caso di esercizio dei propri diritti da parte degli interessati. Novità del Regolamento Generale sulla protezione dei dati personali n. 679/2016
  • 31. COSA FARE  Revisione di tutte le informative e privacy policy del sito web Social Media policy  Linee Guida e-marketing  Regolamenti aziendali interni e corretta responsabilizzazione degli incaricati
  • 32. Avv. Sarah Ungaro email: sarahungaro@studiolegalelisi.it D&L Department – Studio Legale Lisi