Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


La Protezione della Privacy: Diritto Fondamentale e Sicurezza dei Dati Personali, Appunti di Informatica Giuridica

Il concetto di privacy come diritto fondamentale per entità fisiche e giuridiche, discutendo i quattro tipi di diritti fondamentali e la relazione tra essi e lo status di persona. Inoltre, esplora il concetto di persona in ambito giuridico, la necessità di una efficace protezione dei dati personali in UE e i nuovi diritti di privacy introdotti dal regolamento. Il documento conclude discutendo la responsabilità dell'uso inappropriato dei dati personali e la definizione di dati personali.

Tipologia: Appunti

2018/2019

Caricato il 24/09/2021

ise-ise
ise-ise 🇮🇹

4

(1)

4 documenti

1 / 8

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
22/11/2019
Introduzione
Privacy → diritto delle persone sia fisiche sia giuridiche
Ferrajoli→ 4 tipi di diritti fondamentali: umani, politici, pubblici, civili; sosteneva che i diritti fondamentali nascono in
relazione al possesso o non di 3 status: persona, capacità di agire e cittadino. Sono diritti universali ma non nel
senso assoluto, ma in senso logico, come appartenenza ad una classe → status più ampio è lo status di persona
(naturale). Diritti universali in capo a soggetti con status di persona naturale = diritti umani
Termine persona in ambito giuridico ≠ uso quotidiano → la persona in ambito giuridico non è
l’individuo/uomo/entità biologica; un individuo (riconosciuto come persona dal → punto di vista giuridico) è inteso
come capacità giuridica, non come capacità di agire (status deriva da norme giuridiche che stabiliscono la maggiore
età).
Privacy
Diritti riguardanti la privacy sono diritti che fanno capo a soggetti giuridici, anche se si tratta di soggetto che
non possiede i 3 status (persona, cap. di agire e cittadinanza).
Si tratta di diritti umani? I diritti umani sono collegati alla persona naturale in quanto tale.; sono definiti
come diritti universali, primari (hanno rilevanza diversa in relazione ad altri diritti).
Diritti riguardanti la privacy sono diritti recenti, che ancora non sono completamente tutelati e che non
hanno ancora una collocazione chiara. Ferraioli aveva trattato anche di garanzie dei diritti, che consistono in
aspettative positive o negative (diritti di privacy consistono in entrambi?).
Privacy= coniato in ambito giuridico e politico quando in ragione dell’evoluzione tecnologica si è iniziato a
vedere che i dati personali degli individui cominciavano ad entrare in una sfera generale in cui erano fuori
controllo dai titolari stessi di questi dati. Si è visto come le persone mettono in ambito pubblico i propri
dati, a volte senza nemmeno rendersi conto ciò che questo implica. Problematiche nate con la diffusione di
strumenti elettronici.
Tutela diritti di privacy? I dati che noi “cediamo” a internet sono dati sensibili e con forma elettronica. Come
faccio a controllare i soggetti che trattano questi miei dati personali? Come posso tutelarli affinché non ci
sia un’attività di hackeraggio che li usi in modo scorretto (furto, divulgazione, …).
Sono dati importanti a cui il mercato tende per esserne in possesso; dati che vengo profilati in base a
ricerche e abitudini inseriti e captati dai dispositivi elettronici/da internet. Noi sulla rete abbiamo dei
prodotti apparentemente gratuiti, che in realtà non lo sono, nel modo più assoluto: servizi forniti
gratuitamente che utilizzano i nostri dati come beni di scambio, senza esserne consapevoli.
Il diritto alla privacy c’era in qualche modo anche in passato perché nelle sfere dei diritti delle persone si
faceva introdurre alle persone un certo diritto alla riservatezza, in riferimento alle preferenze sessuali,
religiose, politiche, sessuali, ecc. Da qui si ha la tendenza di sottoporre al controllo del diritto penale la
diffusione di dati di soggetti nella sfera pubblica. → è cambiata l’intensità della tutela di questi diritti
(sempre più fondamentali). Prima la possibilità di entrare in possesso di determinati dati era molto più
complesso (ambito molto più ristretto). Questo tipo di diritti possono essere oggetto di violazione non solo
in ambito nazionale ma anche in ambito internazionale, e hanno come fonte atti compiuti all’interno di un
determinato stato.
Diritto all’oblio= persona iscritta a diverse piattaforme e muore → alcune piattaforme (es: facebook) offre la
possibilità di nominare qualcuno che in caso di necessità possa occuparsi di tali piattaforme. Oggi se non si
prevedono forme di un certo tipo per tutelare questo aspetto, ovvio che ci sono delle difficoltà.
pf3
pf4
pf5
pf8

Anteprima parziale del testo

Scarica La Protezione della Privacy: Diritto Fondamentale e Sicurezza dei Dati Personali e più Appunti in PDF di Informatica Giuridica solo su Docsity!

Introduzione Privacy → diritto delle persone sia fisiche sia giuridiche Ferrajoli→ 4 tipi di diritti fondamentali: umani, politici, pubblici, civili; sosteneva che i diritti fondamentali nascono in relazione al possesso o non di 3 status: persona, capacità di agire e cittadino. Sono diritti universali ma non nel senso assoluto, ma in senso logico, come appartenenza ad una classe → status più ampio è lo status di persona (naturale). Diritti universali in capo a soggetti con status di persona naturale = diritti umani Termine persona in ambito giuridico ≠ uso quotidiano → la persona in ambito giuridico non è l’individuo/uomo/entità biologica; un individuo (riconosciuto come persona dal → punto di vista giuridico) è inteso come capacità giuridica, non come capacità di agire (status deriva da norme giuridiche che stabiliscono la maggiore età). Privacy Diritti riguardanti la privacy sono diritti che fanno capo a soggetti giuridici, anche se si tratta di soggetto che non possiede i 3 status (persona, cap. di agire e cittadinanza). Si tratta di diritti umani? I diritti umani sono collegati alla persona naturale in quanto tale.; sono definiti come diritti universali, primari (hanno rilevanza diversa in relazione ad altri diritti). Diritti riguardanti la privacy sono diritti recenti, che ancora non sono completamente tutelati e che non hanno ancora una collocazione chiara. Ferraioli aveva trattato anche di garanzie dei diritti, che consistono in aspettative positive o negative (diritti di privacy consistono in entrambi?). Privacy= coniato in ambito giuridico e politico quando in ragione dell’evoluzione tecnologica si è iniziato a vedere che i dati personali degli individui cominciavano ad entrare in una sfera generale in cui erano fuori controllo dai titolari stessi di questi dati. Si è visto come le persone mettono in ambito pubblico i propri dati, a volte senza nemmeno rendersi conto ciò che questo implica. Problematiche nate con la diffusione di strumenti elettronici. Tutela diritti di privacy? I dati che noi “cediamo” a internet sono dati sensibili e con forma elettronica. Come faccio a controllare i soggetti che trattano questi miei dati personali? Come posso tutelarli affinché non ci sia un’attività di hackeraggio che li usi in modo scorretto (furto, divulgazione, …). Sono dati importanti a cui il mercato tende per esserne in possesso; dati che vengo profilati in base a ricerche e abitudini inseriti e captati dai dispositivi elettronici/da internet. Noi sulla rete abbiamo dei prodotti apparentemente gratuiti, che in realtà non lo sono, nel modo più assoluto: servizi forniti gratuitamente che utilizzano i nostri dati come beni di scambio, senza esserne consapevoli. Il diritto alla privacy c’era in qualche modo anche in passato perché nelle sfere dei diritti delle persone si faceva introdurre alle persone un certo diritto alla riservatezza, in riferimento alle preferenze sessuali, religiose, politiche, sessuali, ecc. Da qui si ha la tendenza di sottoporre al controllo del diritto penale la diffusione di dati di soggetti nella sfera pubblica. → è cambiata l’intensità della tutela di questi diritti (sempre più fondamentali). Prima la possibilità di entrare in possesso di determinati dati era molto più complesso (ambito molto più ristretto). Questo tipo di diritti possono essere oggetto di violazione non solo in ambito nazionale ma anche in ambito internazionale, e hanno come fonte atti compiuti all’interno di un determinato stato. Diritto all’oblio= persona iscritta a diverse piattaforme e muore → alcune piattaforme (es: facebook) offre la possibilità di nominare qualcuno che in caso di necessità possa occuparsi di tali piattaforme. Oggi se non si prevedono forme di un certo tipo per tutelare questo aspetto, ovvio che ci sono delle difficoltà.

Regolamento 2016, relativo ai dati delle persone fisiche Libera circolazione di tali dati all’interno dell’UE. Condizioni per efficace protezione dei dati personali in tutta UE → presupposto: rafforzamento discipline precedenti. Obblighi di coloro che effettuano il trattamento dei dati personali, per assicurare il rispetto delle norme in questo ambito. Questo regolamento (ha determinato che in ambito UE si chieda sempre il consenso di attivazione di determinati servizi) è servito per garantire il corretto trattamento dei dati personali in ambito UE: definizione modalità con cui le persone possono esercitare i propri diritti su dati personali. Si è accentuato soprattutto l’aspetto dell’effettività dei diritti concernenti la privacy→ attribuire questo diritto ad alcuni titolari non implica di per sé la sua tutela, perché non c’è un rapporto immediato tra riconoscimento di un diritto e la sua garanzia, la quale deve essere resa valida da un approccio burocratico o dalla presenza di norme attuative di un diritto che rendono non usufruibile un diritto. Con questo regolamento si è cercato di rendere responsabili i paesi dell’UE in ambito di diritti di privacy. Altro aspetto regolato da regolamento: introduzione nuovi diritti di privacy: diritto all’oblio, diritto ad abbandonare le piattaforme online che gestiscono i nostri dati, portabilità, ecc… Ambito in continua trasformazione/evoluzione: 25 anni fa pensare a certe questioni che noi oggi vediamo chiaramente era impossibile. Disciplina statica/ferma non sarebbe in grado di cogliere aspetti che un domani saranno diversi. Accountability = responsabilità → questo concetto va adeguato ai nuovi tempi, ci permette di riprendere in mano il problema dell’effettività. Con il regolamento si cerca di abbandonare la dimensione puramente burocratica della privacy affinché i titolari dei diritti siano effettivamente tutelati. Attraverso obblighi e divieti si tutela il titolare. Abbiamo il dovere di sottoporre il trattamento dei nostri dati a sicurezza, a coloro che devono proteggerlo, i quali devono fare in modo di evitare che cadano in mano a terzi che ne facciano un uso scorretto. Senza le adeguate garanzie siamo titolari di diritti “di carta”. La disciplina per prima ha l’obbligo di proteggere e tutelare i nostri dati e dovrebbe adeguarsi alle trasformazioni che si verificano in ambito informatico. Ambito della validità temporale = il concetto di privacy ha costretto il legislatore a prendere in considerazione una disciplina in continua trasformazione. Ci troviamo di fronte a degli strumenti che mettono a repentaglio i nostri dati e a trovarci dinnanzi a svariate forme di tutela. Uso che si pretende dagli stati membri di certe procedure. A volte il linguaggio non scritto, sono i segni che più facilmente ottengono il risultato previsto. Dovrebbe avere informazione per consultare i nostri dati quando vogliamo. Il titolare del trattamento dei dati personali ha obblighi precisi e responsabilità specifiche. 06/12/ Disciplina europea in ambito di privacy Come garantire i diritti delle persone? Vi è una tendenza da parte della dottrina giuridica e politica ad identificare i diritti con le garanzie; se c'è il diritto istituito con una disposizione giuridica o se è costituzionalmente garantito, con questo mero fatto si ottiene il risultato effettivo, portando quindi all'identificazione tra garanzie e diritti. Questo ci porta a credere che l'essere titolari del diritto, ci fa godere di benefici ricollegabili ad esso, ma Ferrajoli ci ricorda che tra diritti e garanzia non abbiamo un rapporto di identificazione. NON abbiamo unità tra diritti e garanzie.

Privacy (principio,ne siamo titolari ma non ne godiamo i benefici) Cosa succede quando i nostri dati vengono rubati? A chi possiamo chieder conto? La responsabilità è solo nostra perchè l'uso che noi si fa dei dati personali non è propriamente adeguato.. Affinchè noi si possa curare la presenza dei nostri dati sulla rete, non ci creano le condizioni da parte del soggetto a metterci i condizione di usare maggiormente il nostro diritto Quindi i diritti sono norme regole o norme principi? Il diritto è un ordinamento coattivo formato da prescrizioni e si impongono determinate cose ai soggetti (sia in senso positivo che in senso negativo); si espone mediante prescrizioni o disposizioni prescrittive (fai questo o non fai questo ad es). La previsione di una sanzione che si porrà sempre coattivamente da parte dello stato si ha se l'individuo non segue la azione coattiva. Concerne i diritti soggettivi, per i quali noi si intende una posizione di un soggetto nei confronti di altri soggetti secondo la quale si può far valere il soggetto di partenza un proprio interesse; tutto questo è disciplinato da norme giuridiche. Una persona titolare di diritto soggettivo quindi occupa una posizione determinata nei confronti di qualcuno dal quale si pretende o un comportamento o un non comportamento. Quindi per diritto soggettivo si intende che se qualcuno è titolare di un diritto di qualsiasi tipo altri soggetti hanno obblighi nei confronti di questo titolare. In questa linea di pensiero diritto fondamentali e diritti soggettivi son assimilabili a regole obbligatorie e non a principi. Un determinato servizio di cui godiamo ha bisogno dei nostri dati personali. Il diritto alla privacy si accomuna alla tutela dei dati sensibili e vengono visti come principi; se le cose fossero legate alla teoria per cui quello di tutelare i dati non è un obbligo ma un suggerimento di cui tener conto avremmo dei problemi. Fortunatamente non è così. Il problema è quando ci si lega ad una sfera personale. Il regolamento europeo sulla privacy non è operativo negli stati nazionali finchè gli stati stessi non aderiscono mediante le leggi di attuazione legandosi così ad una legislazione sovranazionale. Così si vedono quindi i diritti come regola ma allo stesso modo possono diventare principi quando non c'è oppure può non esserci l'effettiva tutela e garanzia di qualcuno come destinatario specifico di qualche determinato obbligo. Nessuno ha interesese a tutelare e custodire i nostri dati quindi nei loro confronti deve esserci la forza coattiva del diritto, quindi una forza che obblighi loro a mettere noi come utenti di determinati servizi a curare individualmente i nostri dati. La privacy è un concetto che è entrato recentemente nella cultura giuridica. Siamo in un periodo storico nel quale i nostri dati sono a rischio per via dell'evoluzione continua della società. Siamo “sotto assedio” da agenzie statali e private che mettono a repentaglio la nostra privacy. Si è iniziato a parlare di privacy quando in Italia la connessione internet era di 14kb\s. La diffusione degli apparecchi elettronici facilita comunque in ogni caso la vita in tutti gli ambiti,anche in quello giuridico (trovare sentenze ecc..). Diritto all'informazione e alla trasparenza degli atti pubblici si lega comunque a quelli che sono i dati personali Definizione di dati personali: Noi per dati personali si intende le informazioni che rendono identificabile, direttamente o indirettamente, una persona fisica e che possano fornire informazioni sulle sue caratteristiche, le sue abitudini

I dati che permettono l'identificazione diretta – come i dati anagrafici, le immagini ecc... - e i dati che permettono l'identificazione indiretta come un numero di identificazione (vedi indirizzo ip). Si è soggetti di diritti quando si ha la capacità giuridica I dati rientranti in particolari categorie si tratta dei cd. Dati sensibili che rivelano l'origine razziale od etnica. Il regolamento UE 2016\679 ha incluso nella nozione anche i dati genetici, i dati biometrici (vedi impronte digitali o riconoscimento facciale) e quelli relativi all'orientamento sessuale. Una persona giuridica è invece una figura giuridica attraverso la quale si nomina un soggetto di diritti fondato sulla collettività; Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche e quelli che consentono la geolocalizzazione. Interessato è la persona fisica alla quale si riferiscono i dati personali; Titolare è la persona fisica, pubblica autorità, impresa, ente pubblico o privato, associazione, ecc... che adotta le decisioni sugli scopi e le modalità del trattamento; Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati del regolamento UE 2016\679. Il regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un antro soggetto sub- responsabile. 13/12/ Tutela amministrativa/giudiziaria -art 77 regolamento (diritto di proporre “reclamo” alla autorità di controllo competente → cioè al garante per quanto riguarda i trattamenti svolti da soggetti pubblici o autorità pubbliche: vedi art 55 (2) RGPD) -artt seguenti, in particolare diritto al risarcimento per danno materiale o immateriale (art 79, art 82), responsabilità solidale di titolare e responsabile. → necessaria armonizzazione tra sfera nazionale e sfera internazionale (si potrebbero creare antinomie che vanno risolte). Si può ricorrere a giurisdizione nazionale, ma anche internazionale. La sicurezza dei trattamenti nel nuovo regolamento europeo → Diverse accezioni di sicurezza:  Sicurezza pubblica, a livello nazionale ma anche internazionale, in ambito sanitario, sociale e lavorativo  Sicurezza delle reti e dell’informazione  Sicurezza dei servizi  Servizi di sicurezza  Sicurezza informatica  Sicurezza dei dati personali  Sicurezza del trattamento  Misure di sicurezza  Violazione di sicurezza Considerando 39 → i dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento

42), codice utilizzato come elemento per dimostrare la conformità ai requisiti citati nel primo paragrafo dell’art 30. Codice di condotta = ci dovrebbe essere un codice stabilito sui comportamenti da tenere in determinate situazioni; è prevalentemente un insieme di raccomandazioni che possono essere prese sul serio ma il più delle volte non sono visti come regole di condotta. Meccanismo di certificazione = un ente esterno certifica che la tutela dei dati sia realmente garantita, ma chi certifica i certificatori??? Il codice di condotta deve poter limitare al minimo le problematiche che permetta una valutazione. Pseudonimizzazione = minimizzare ma anche separare il più possibile i dati → il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (art 4 GDPR). Cifratura = tecnica di protezione crittografica dei dati rilevanti Working party art 29 = parere 05/2014 sulle tecniche di anonimizzazione adottato (a livello europeo) il 10 aprile 2014 Valori da tutelare con misure di sicurezza (tecniche e organizzative) adeguate: riservatezza (applicazione del principio del “need to know” – sistemi di autenticazione e di autorizzazione) – integrità e disponibilità (procedure di data/disaster recovery e ridondanza dei dati) – resilienza dei sistemi e dei servizi di trattamento (tecniche di gestione della “fault tolerance”). Misure minime di sicurezza: mancato aggiornamento – obsolescenza tecnologica – criminalizzazione del problema della sicurezza dei dati → necessità del diritto positivo di adeguamento alle trasformazioni (delitti informatici che non potevano essere previsti negli anni ’30, ovvero quando è stato creato l’attuale codice penale, riformatosi improntato a quella cultura sociale-politica; al diritto positivo si chiede un adeguamento alla sfera dei comportamenti umani qualificati leciti o illeciti). Misure minime di sicurezza ICT per le PP.AA.: linee-guida emanate da AglD. Nel nuovo regolamento europeo vengono meno i riferimenti alle cd misure minime di sicurezza → possibilità che il garante reintroduca con propri provvedimenti o linee-guida focalizzate su determinati settori o tipi di trattamento alcuni obblighi aggiuntivi relativi a misure di sicurezza minime ma aggiornate. Minimizzazione dei rischi: sicurezza intesa come percorso, metodo e non come obiettivo tecnico assoluto. L’adeguatezza delle misure di sicurezza rispetto ai rischi incombenti sui dati. Richiamo alla ragionevolezza delle misure anche sulla base di considerazioni di carattere tecnico ed economico (“tenendo conto dello stato dell’arte (cioè la continua trasformazione) e dei costi di attuazione”). Gestione del rischio residuo:  Mitigazione  Assicurazione del rischio (se succede come rispondi?)  Misure di remediation (come poni rimedio a ciò che succede) Minimizzazione dei dati: principio enunciato all’art 5 del regolamento → “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”; meno dati = meno

rischi per sé e per gli interessati (non solo per coloro che favoriscono del trattamento ma anche per coloro che devono conservare i dati). Le analisi dei rischi : è propedeutica alla valutazione delle misure da intraprendere e non è una misura nuova, essendo stata prevista per anni come obbligo e addirittura come “misura minima di sicurezza”, nell’ambito del documento programmatico sulla sicurezza (DPS). Deve essere svolta nell’ambito della valutazione d’impatto sulla protezione dei dati (data protection impact assessment) prevista dall’art. 35 del nuovo regolamento UE: paragrafo 7→ la valutazione deve contenere una descrizione sistematica dei trattamenti previsti e delle relative finalità – una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità – una valutazione dei rischi per i diritti e le libertà degli interessati – le misure previste per affrontare i rischi, includendo garanzie e misure di sicurezza. Data breach= violazione dei dati personali: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art 4, definizione 12). La violazione può essere determinata da accesso abusivo ai sistemi informatici, ovvero da sottrazione o perdita di dati e supporti di memorizzazione.