Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


GDPR - informatica giuridica, Appunti di Informatica Giuridica

GDPR - informatica giuridica di Monica Palmirani

Tipologia: Appunti

2020/2021

In vendita dal 21/05/2021

claudiageorgiana
claudiageorgiana 🇮🇹

8 documenti

1 / 11

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
DIRITTO ALLA RISERVATEZZA e diritto alla protezione dei dati personali sono DIVERSI
Privacy nasce collegata al concetto d riservatezza per poi attaccarsi al concetto di dati personali al giorno
d’oggi.
Riservatezza: the right to privacy, giornale che illustra questo diritto.
Art. 8 convenzione europea dei diritti dell’uomo (1950): ogni persona ha diritto
La corte di cassazione lo definisce come: la tutela di quelle situazioni personali o familiari.
Io – fortezza: il dar protegge tutto quello collocato nella nostra fortezza e nessuno vi può rientrare dentro.
A un certo punto le porte del castello vengono aperte, le apriamo ad es. interagendo nel web tramite le
piattaforme social.
Da questa prospettiva nasce il diritto alla protezione dei dati, non è un diritto a es cludere ma a controllare,
seguire le mie informazioni. Ad essere informato della circolazione delle mie info.
È collegato all’identità personale dell’individuo.
Autodeterminazione informativa: siamo noi a definire quali info riguardano noi.
L’attuale q uadro giuridico
Norme di riferimento di due livelli: uno comunitario e uno nazionale.
Comunitario: reg 679/2016. Non una direttiva. Un regolamento: sfruttare i dati non personali, sono come
delle materie prime.
Codice privacy rivisto alla luce dell’impatto del regolamento nell’ambito nazionale.
Il regolamento stabilisce norme alla protezione delle persone fisiche e dei loro dati personali che si
riferiscono alla persona fisica. Il dato personale si riferisce ad un individuo, non alla persona giuridica.
Dato personale: qualsiasi info riguardante una persona fisica identificata o identificabile, chiamata
“interessato”.
L’immagine è un dato personale se la persona è identificabile o identificata.
Dato anonimo: dato senza la persona.
Il concetto di anoni mia del dato è relativo, suscettibile di evolversi nel tempo. Dato pseudonimizzato è
frutto di un procedimento particolare, pseudonimizzazione: trattamento sui dati personali in modo che non
possano essere attribuibili a un interessato specifico. Sempre un dato personale, necessità di info
aggiuntive conservate a parte e protette per essere riconducibile ad una persona.
Trattare dati personali: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di
processi automatizzati (computer) e applicate ai dati personali.
Comunicazione: dare conoscenza di dati personali a uno o più soggetti determinati.
Diffusione: dare conoscenza di dati personali a soggetti indeterminati.
Quali sono i soggetti previsti dalla trattativa dei dati personali?
Interessato
Titolare del trattamento
Responsabile del trattamento
pf3
pf4
pf5
pf8
pf9
pfa

Anteprima parziale del testo

Scarica GDPR - informatica giuridica e più Appunti in PDF di Informatica Giuridica solo su Docsity!

DIRITTO ALLA RISERVATEZZA e diritto alla protezione dei datipersonali sono DIVERSI Privacy nasce collegata al concetto d riservatezza per poi attaccarsi al concetto di datipersonali al giorno d’oggi. Riservatezza: the right to privacy, giornale che illustra questo diritto. Art. 8 convenzione europea dei dirittidell’uomo (1950): ogni persona ha diritto – La corte di cassazione lo definisce come: la tutela di quelle situazioni personali o familiari. Io – fortezza: il dar protegge tutto quello collocato nella nostra fortezza e nessuno vi può rientrare dentro. A un certo punto le porte del castello vengono aperte, le apriamo ad es. interagendo nel web tramite le piattaforme social. Da questa prospettiva nasce il diritto alla protezione dei dati, non è un diritto a es cludere ma a controllare, seguire le mie informazioni. Ad essere informato della circolazione delle mie info. È collegato all’identità personale dell’individuo. Autodeterminazione informativa: siamo noi a definire quali info riguardano noi. L’attuale q uadro giuridico Norme di riferimento di due livelli: uno comunitario e uno nazionale. Comunitario: reg 679/2016. Non una direttiva. Un regolamento: sfruttare i datinon personali, sono come delle materie prime. Codice privacy rivisto alla luce dell’impatto del regolamento nell’ambito nazionale. Il regolamento stabilisce norme alla protezione delle persone fisiche e dei loro datipersonali che si riferiscono alla persona fisica. Il dato personale si riferisce ad un individuo, non alla persona giuridica. Dato personale: qualsiasi info riguardante una persona fisica identificata o identificabile, chiamata “interessato”. L’immagine è un dato personale se la persona è identificabile o identificata. Dato anonimo: dato senza la persona. Il concetto di anoni mia del dato è relativo, suscettibile di evolversi nel tempo. Dato pseudonimizzato è frutto di un procedimento particolare, pseudonimizzazione: trattamento sui datipersonali in modo che non possano essere attribuibili a un interessato specifico. Sempre un dato personale, necessità di info aggiuntive conservate a parte e protette per essere riconducibile ad una persona. Trattare datipersonali: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati(computer) e applicate ai datipersonali. Comunicazione: dare conoscenza di datipersonali a uno o più soggettideterminati. Diffusione: dare conoscenza di datipersonali a soggettiindeterminati. Quali sono i soggetti previsti dalla trattativa dei dati personali? Interessato Titolare del trattamento Responsabile del trattamento

Soggetto autorizzato al trattamento Responsabile della protezione dei dati personali o data protecion officer (DPO) Autorità di controllo (garante per la protezione dei dati personali) Il soggetto interessato La persona fisica cui si riferiscono i dati personali. Es. studente dell’università; quando compriamo un bene su amazon. Il soggetto titolare È definito dall’art.1 GDPR come la persona fisica, giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi di trattamento dei dati personali. Es. l’università. Chiarimento: nel caso in cui il titolare sia un soggetto complesso (persona giuridica, pubblica amministrazione) come ad es. l’università, la qualifica di titolare è l’entità nel suo complesso e non le persone fisiche che concorrono alla sua volontà. Es. l’università e non il rettore. Il responsabile del trattamento È la persona giuridica o fisica, l’autorità pubblica, il servizio o altro organismo che tratta dei dati personali per conto del titolare del trattamento. Es. la società che dà man forte nella gestione del sistema informatico, società che fornisce un servizio di mensa agli universitari. Trattati per conto, come il responsabile viene nominato da parte del titolare del trattamento? I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da un altro atto giuridico a norma del diritto dell’unione --- Il soggetto può svolgere attività per conto mio all’interno di un perimetro, non ci dimentichiamo che il diritto alla protezione dei dati personali è un diritto dell’interessato ad esercitare controllo sui propri dati, deve sapere che cosa accade ai suoi dati. Un titolare che stipula un atto col responsabile, l’atto deve avere un contenuto minimo necessario. Il soggetto autorizzato o designato o incaricato È una persona fisica che pone in essere singole operazioni di trattamento per conto del responsabile del trattamento o per il titolare. Art.2 quaterdecies (codice privacy) Chi è il responsabile per la protezione dei dati (RPD/DPO)? 3 ipotesi nelle quali è obbligatoria la nomina del DPO, art.36 regolamento La figura del DPO deve avere una posizione di indipendenza rispetto al titolare, anche ove il DPO fosse individuato fra dipendenti del titolare, questa dipendenza dev’essere tutelata da salvaguardie che lo rendano non attaccabile dal punto di vista del datore di lavoro. Dev’essere nominato dal titolare o dal responsabile qualora i soggetti si trovino in determinate situazioni.

  1. Il titolare del trattamento è un soggetto pubblico. Es. comune, università, ospedale.
  2. Il titolare o il responsabile del trattamento. Quando l’attività è il monitoraggio (controllare un individuo) su larga scala.

non lo ha fatto perché avrebbe cancellato un pezzo di storia però ha riconosciuto il diritto all’interessato di scrivere affianco al suo nominativo nel registro di non appartenere più alla fede cattolica.

  1. principio alla limitazione della conservazione, i dati sono conservati per un arco di tempo strettamente necessario.
  2. integrità e riservatezza. Il titolare deve fare una valutazione e verificare i rischi a cui sono sottoposti i dati, deve decidere le misure adeguate per garantire l’integrità e la riservatezza dei dati.
  3. responsabilizzazione: il soggetto titolare deve essere in grado di comprovare di aver rispettato i principi fondamentali precedenti. Il titolare deve valutare la situazione e determinare le misure adeguate per la protezione. Dopo dirà l’autorità garante se avrà fatto bene o no. Il titolare ha l’obbligo di mettersi nelle condizioni di dimostrare di aver fatto quello che dichiarava. Il registro del trattamento: registro predisposto e conservato anche in formato elettronico con il quale il titolare o il responsabile tiene traccia di tutte le attività di trattamento svolte. Il registro permette al titolare di avere una propria mappa di tutte le attività di trattamento che pone in essere, ogni valutazione deve presupporre di sapere quale attività compie il titolare. Non è sempre obbligatorio, lo è per le realtà che impiegano +250 dipendenti o meno se compiono attività che possono presentare rischi per i dati, in questo caso è un obbligo. Se qualcuno ritiene di farlo in modo facoltativo è libero di farlo. Categorie particolari di dati personali: A volte questi dati si nascono dietro dati che crediamo siano semplici. Le basi giuridiche/condizioni di liceità si distinguono in base alla tipologia di dati come oggetto di trattamento. Ci sono tre tipologie: dati personali comuni, dati personali di natura particolare o genetici e i dati relativi a condanne penali o reati. Il legislatore ha distinto le basi giuridiche in base all’oggetto del trattamento. Liceità: il trattamento è lecito se rispetta la base giuridica o condizione di liceità. Art.6 GDPR come basi giuridiche per i dati non particolari/comuni: il trattamento è lecito solo se decorre almeno una delle seguenti condiziono:
    1. Se l’interessato ha espresso il consenso al trattamento dei dati personali per una o più finalità. (l’obbligo di informare l’interessato si collega al principio generale di trasparenza).
    2. Se il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
    3. Se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.
    4. Se il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica. Es. persona che arriva ferita al pronto soccorso.
    5. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri i cui è investito il titolare del trattamento.
    6. Se il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è minore. Art.9 per i dati particolari:
    7. Il consenso
    8. Per assolvere obblighi specifici del titolare
    9. Per tutelare l’interesse dell’interessato o di un’altra persona fisica
    10. Quando il trattamento è effettuato da una fondazione, associazione o altra Art.7 condizioni affinché il consenso dell’interessato sia un consenso valido
  1. Il titolare dev’essere in grado di dimostrare che l’interessato abbia espresso il consenso al trattamento dei dati personali.
  2. Se il consenso è prestato nel contesto di una dichiarazione scritta --- Art.8 consenso per i minori Se il minore ha fra i 14 (In Italia, 16 per il GDPR) e i 18 anni, può esprimere autonomamente il consenso al proprio trattamento dei dati personali. Se il minore ha meno di 14 anni allora il consenso dev’essere espresso dalla potestà genitoriale. L’INFORMATIVA Intelligibile: in grado di saperla leggere Occorre distinguere tra: … il titolare ha l’interessato al quale chiede i dati e li riceve. … raccolta dati presso terzi: es. impresa di campagna di marketing che si rivolge a un social network per chiedere i profili degli studenti universitari, non li chiede direttamente agli studenti. Art. LEZIONE 16/04/ ATTIVITA GIORNALISTICA Operazione di trattamento: diffusione dei tratti personali (trasmissione di dati a una moltitudine indeterminata di persone) che può avere anche un risvolto internazionale. La libertà giornalistica ha protezione a livello costituzionale con l’art. 21. Protezione nei confronti di un’attività che diffonde i dati e l’attività si giustifica con l’esercizio di libertà di espressione e stampa. Tra le due il regolamento comunitario non dice chi prevale, lascia spazio all’ordinamento nazionale. L’ordinamento nazionale italiano interviene col codice privacy, art.137 del codice che prevede un meccanismo di deroga rispetto al consenso dell’interessato. Il consenso si verifica solo se c’è una condizione: il trattamento si deve svolgere nel rispetto dei limiti dei diritti di cronaca e riservatezza. Altrimenti prevale la tutela dei dati personali dell’individuo. TRASFERIMENTO DI DATI ALL’ESTERO Si intende il trasferimento di dati all’esterno dell’UE. Può accadere ad es. utilizzando un servizio come il cloud computing erogato da un provider che ha sede in Cina o negli USA. G.suit tools permette di vedere il transito di un pacchetto da un posto ad un altro. L’intenzione di trasferire i dati all’estero deve manifestarsi all’interno dell’informativa. Non è possibile porre vincoli alla circolazione dei dati all’interno dello spazio europeo, i dati circolano tranquillamente. I dati possono uscire dallo spazio europeo ma al verificarsi di certe condizioni altrimenti il trasferimento è vietato:

soggetto nonostante siano passati tanti anni e quei dati non necessariamente coincidono più alla realtà. Gonazles chiede la cancellazione del dato dal motore di ricerca e dal sito che era un quotidiano. La cancellazione di quelle notizie dalle pagine del quotidiano: il garante afferma che non si possono cancellare articoli di quotidiani perché esiste la storia ma si possono inserire certi contenuti datati all’interno di archivi online e integrare gli articoli con tutto ciò che avviene successivamente, indicizzare le pagine dal motore di ricerca (google fa un indice in base alle parole cercate e le presenta). Google è tenuta a deindicizzare, togliere dai propri indici, quelle informazioni in quanto titolare del trattamento e perché viene imposta una condotta particolare di cancellazione che è la deindicizzazione. Articolo rimane pubblicato sul quotidiano ma non può essere tracciato dai motori di ricerca, sparisce dalla ricerca ma non dalla storia. L’esattezza del dato deve rispettare il principio temporale. Art.18 diritto alla limitazione del trattamento Limitare le attività di trattamento, si ha un divieto temporaneo di trattamento del dato se non ai veri fini della loro conservazione. Diritto alla portabilità dei dati art. Si configura quando il trattamento dei dati è basato sul consenso o su un contratto fra titolare ed interessato e se il trattamento è effettuato con strumenti e mezzi automatizzati. È il diritto di ricevere i dati personali che riguardano l’interessato e che l’interessato ha fornito al titolare. I dati devono essere in formato strutturato, di uso comune, leggibili da un dispositivo automatico > fine di consentire il reimpiego dei dati da parte dell’interessato. Implica anche il diritto di trasmettere i dati a un altro titolare e il diritto a trasmettere direttamente i dati da un titolare ad un altro. Diritto di opposizione art. Per contrastare le attività di marketing è molto usato. Ci si oppone a specifici trattamenti decisionali, tecniche di intelligenza artificiale per assumere decisioni. L’interessato ha il diritto ad esprimere l’opinione e contestare la decisione assunta dal sistema ed ottenere l’intervento umano del titolare del trattamento. DIRITTO ALL’OBLIO SENTENZA GOOGLE SPAIN VS GONZALES L’identità digitale di un soggetto è il riflesso in rete di quella che è la realtà offline, fuori dal contesto di internet. Criticità: questi dati restituiti dalla rete vengono restituiti in forma bruta. Si trovano in rete in maniera decontestualizzata. I motori di ricerca funzionano attraverso l’indicizzazione dei siti (inserimento di un sito nel database del motore di ricerca). Per indicizzare un sito il motore di ricerca utilizza strumenti per vedere se un determinato sito esiste già. Database nelle quali sono memorizzate le pagine scansionate e che sono presenti in rete. Vengono restituiti all’utente una serie di record di siti. La restituzione e posizionamento dei vari siti tra primi e ultimi dipende dai parametri di algoritmo ranking che dipende dai motori di ricerca che analizzano la query e con una serie di parametri, viene restituito il risultato più pertinente rispetto alla query. In EU l’utente medio non va oltre la seconda pagina dei risultati ottenuti. Il problema è che dalla restituzione può essere ricostruita una identità digitale ma per la decontestualizzazione si determina una assimetria tra identità reale e quella digitale e può comportare conseguenze negative in termini di immagine e reputazione > sul lavoro scartano candidati per le info trovate online. Dovrebbe essere vietato ma accade.

Sono nati i reputation cleaner che sono soggetti, un team di soggetti che ripuliscono la nostra reputazione online attraverso una serie di azioni mirate informatiche (immissione di contenuti positivi del soggetto che facciano scorrere le info negative nelle pagine più lontane) e giuridiche. Dove non si arriva con l’azione informatica ci sono legali che chiedono l’eliminazione di alcuni contenuti dalla rete attraverso anche l’esercizio del diritto all’oblio. Il diritto all’oblio nasce ad opera della giurisprudenza. Ci sono due accezioni per interpretarlo:

  • Diritto alla cancellazione art.17 regolamento europeo
  • Diritto del soggetto ad essere tutelato da divulgazione e permanenza in rete di informazioni nocive che non sono più di interesse per la comunità. È stato elaborato in diversi provvedimenti nazionali e internazionali con accezioni diverse. Diritto all’oblio nel GDPR art.17: codifica il diritto dell’interessato a richiedere la cancellazione di dati personali che lo riguardano. Le condizioni per esercitare questo diritto sono elencate nell’art. La richiesta di cancellazione si presenta al titolare del trattamento che deve eseguirla entro un mese in maniera gratuita. Si può rifiutare se la richiesta è infondata o eccessiva, se si rifiuta però dovrà sempre dare una motivazione per giustificarne il rifiuto. Dovrà procedere con la cancellazione dei dati o la loro anonimatizzazione per non ricollegarli al soggetto iniziale. Il diritto all’oblio nella seconda accezione è stata collegata dai provvedimenti giudiziari in tre accezioni:
  1. Non diritto a non vedere nuovamente pubblicate notizie
  2. Diritto alla contestualizzazione
  3. Diritto alla deindicizzazione: richiedere al fornitore del motore di ricerca di cancellare dai link informazioni personali Il bilanciamento Il diritto alla protezione dei dati personali non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e contemperato con altri diritti fondamentali. Tutti diritti che devono essere bilanciati. Nella prima accezione del diritto all’oblio si vede come il giusto interesse di una persona di non restare esposta ai danni – Diritto all’oblio come diritto di esercitare un controllo delle info in rete che riguardano un soggetto. Provvedimento 2004 del garante per la protezione dei dati personali. Il garante da una parte dice che i provvedimenti devono rimanere pubblicati sul sito della agicom per trasparenza ma suggerisce di spostarli in una sezione specifica dell’agicom per non essere indicizzati. Provvedimenti online sul sito dell’autorità ma in una sezione non memorizzata dal motore di ricerca. Sentenza cassazione 5525 Diritto all’oblio come diritto che salvaguarda la protezione speciale dell’identità personale. C’è anche l’interesse pubblico alla conoscenza di info di carattere storico e culturale. Se queste finalità storiche giustificano la permanenza in rete delle notizie, d’altra parte essendoci dati personali questi devono essere trattati con i principi dei dati personali. Le informazioni devono essere aggiornate così rimangono in rete in modo corretto.

Criticata perché si cerca di rifiutare le richieste di deindicizzazione. Si deve avere una neutralità del giudice. A seguito della sentenza sono state emanate delle linee guida. Non dev’essere limitata la deindicizzazione solo ai confini europei perché negli altri stati si vedranno le informazioni personali dei soggetti. 7 luglio 2020 linee guida per la protezione dei dati personali che aiutano i destinatari di una richiesta di rimozione. Deindicizzazione globale. L’autorità garante francese denuncia google per deindicizzare tutti i motori di ricerca, google rifiuta la sanzione e l’autorità francese si appella alla corte di giustizia europea. 3 tipi di accesso: civico > facoltà di ciascuno senza motivo e interesse di chiedere informazione se sono soggetto di obbligo di pubblicazione civico generalizzato > la privacy blocca spesso l’open data e il foia perché blocca l’accesso ai dati. L’open data è per sempre una volta che è stato pubblciato. I dati invece pubblciati nell’amministrazione trasparente hanno una scadenza, massimo 5 anni. Se invece la carica decade, il tempo si limita a 3 anni. L’ammnistrazione trasparente concede anche una pubblicazione di dati personali, alcuni per legge ma limitatmente ad un arco temporale. Nell’open data è fatto divieto esplicito di pubblicare dati personali. Progetto di prendere i dati energetici del comune che ha accesso alle banche dati dei gestori di energia. Danno accesso al comune perché per legge esso può incrociare dei dati per verificare l’evasione fiscale, vedere ad es. se la casa al mare è intestata al figlio come prima casa anche se lui abita in un altro posto, disgravi IMU. Accedendo ai dati delle bollette si vede se la casa è abitata o no. Non vuol dire che il comune è tutelato giuridicamente a prendere questi dati e pubblicarli perché appartengono ad altri enti. Nella mappa si prendono tutti i consumi dalle imprese che erogano energia e colorare gli edifici a seconda che siano virtuosi o no, dati che non sono del comune. Problemi giuridici: di chi sono i dati messi in open data? Si possono usare? Si espone ad un rischio e si usano dati che non sono del comune. Anomizzazione: tecniche informatiche che trasformano i dati personali in dati non personali. È difficile da ottenere. Pseudonomizzazione: dato dissociato da nome e codice fiscale, separati e non possono identificare la persona. Es. app Immuni. Di chi sono i dati che voglio aprire? Se non sono miei mi fermo o uso la licenza. Dopo come li rilascio? Tramite una licenza, licenze permissive che invece di indicare ciò che non si può fare indicano quello che si può fare.