







Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Privacy e normative della privacy
Tipologia: Appunti
1 / 13
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!








Privacy = the right to be alone Il concetto di privacy risale al 1890. Il diritto alla privacy è stato trattato dal saggio “The right to privacy” scritto da Warren e Brandels nel 1890 in occasione di un processo. Gli autori stavano cercando di trovare un “escamotage” legale per istituire il diritto di protezione della privacy degli individui. Nel 1890 la privacy è uno degli argomenti più influenti nella storia della legge americana. In quell’epoca non esisteva la sfera privata. Si sentiva la necessità di proteggere la sfera personale.
Esempi: il diritto di una persona di scegliere la solitudine/isolamento (separarsi dagli altri) dall’attenzione degli altri, il diritto di essere immune da un esame minuzioso o dall’essere osservato nella mia sfera privata, come nella propria casa.
Privacy = limited access La privacy significa limitare l’accesso:
Privacy = control over information Sono gli anni in cui si discute di teoria dell’informazione, nascono i primi supercalcolatori, negli anni 70 i primi minicomputer (predecessori dei personal computer). Si sente la necessità di controllare l’informazione privata.
Altre definizioni:
(Definizione tecnica della privacy)
In America: il diritto di un’ entità (concetto di azienda) di determinare il livello con cui l’entità interagisce con l’ambiente e desidera condividere le informazioni personali con gli altri.
ISO : Il diritto degli individui di controllare o influenzare quali informazioni possono essere raccolte, memorizzate e da chi e a chi possono essere comunicate.
La privacy è l’abilità di una persona di controllare la disponibilità di informazioni su di essa e la possibilità di esporre le informazioni agli altri (esposizione: come queste informazioni sono rilevate). E’ relativo alla capacità di funzionare in una società in maniera anonima includendo diverse definizioni di anonimato: pseudonimi, credenziali di identificazioni nascoste. In questi casi prevale il diritto all’anonimato rispetto ad altri diritti.
La privacy è un argomento importante oggi per due motivi importanti:
La protezione del dato privato soffre di un problema: l’eterogeneità dei sistemi informativi, in modo particolare tra americano ed europeo.
Leggi e regolamentazioni sulla privacy
Non esiste un regolamento generale che regoli in maniera pesante la privacy dei dati (Data Privacy) negli Stati Uniti. Qualora qualcuno raccolga alcuni dati (anche senza permesso), si ritiene che sia titolare del diritto di archiviarli e utilizzarli. Esempio: un’assicurazione sanitaria può raccogliere e utilizzare dati dei clienti, come ad esempio il tipo di automobile, il tipo di abitazione, informazione sugli acquisti, etc.
D’altra parte esistono alcune leggi specifiche, come ad esempio HIPAA, COPPA e FCRA.
E’ una legge che regola i contratti di assicurazione sulla salute. E’ stata istituita dal Congresso degli Stati Uniti nel 1996. Un’azienda che si occupa di sanità deve raccogliere dati affidabili (è un diritto delle persone che l’azienda raccolga dati affidabili).
HIPAA garantisce che l’utilizzo e la divulgazione delle informazioni sanitarie di un individuo siano autorizzate o richieste dall’individuo stesso. Bisogna accertarsi dell’identità del cliente, quindi viene usato un dato di identificazione denominato SSN (Social Security Number). L’SSN è il numero di previdenza sociale, non ci dice nulla sulla persona, ma se capita in mani sbagliate, può permettere di fare molte cose. Le strutture mediche devono richiedere l’SSN per poter semplificare l’atto di correlare le cartelle cliniche con altri documenti (minaccia alla privacy).
COPPA regola la privacy dei minori. Si applica alla raccolta online di informazioni personali da parte di persone o entità sotto la giurisdizione degli Stati Uniti sui minori di 13 anni. Viene descritto tutto ciò che deve essere incluso nella privacy policy di un sito web, quando e in che modo verificare i consensi da parte dei genitori/tutori, quali sono le responsabilità dell’operatore riguardo la protezione e la sicurezza online delle informazioni sui minori. La maggior parte dei siti web, in modo particolare i social media, impediscono ai minori di 13 anni di utilizzare i loro servizi a causa dei costi e del lavoro necessari per rispettare la legge: raccogliere e verificare i consensi, garantire la sicurezza dei dati, etc.
FCRA regola il credit reporting (rapporto di credito), le informazioni di tipo finanziario, informazioni del cittadino americano per accedere ad un mutuo. Le agenzie che si occupano di prestiti e mutui devono accedere ai dati del cliente prima di concedere il credito. La legge stabilisce che i dati raccolti devono essere accurati : se i dati sono basati su notizie
false/inaffidabili (ad esempio il gossip), l’agenzia potrebbe decidere di non erogare il prestito/mutuo ad una persona. La legge garantisce ai cittadini il diritto di accedere ai propri dati , correggerli in caso di errori, contestare e limitare l’utilizzo dei credit report.
1974 - Family Educational Rights and Privacy Act (FERPA) offre ai genitori l’accesso ai registri scolastici dei propri figli. Quando lo studente avrà compiuto 18 anni, l’istituto scolastico dovrà richiedere il consenso allo studente prima della divulgazione dei registri scolastici. E’ rivolto esclusivamente alle agenzie ed istituti di istruzione.
1986 - U.S. Electronic Communications Privacy Act (ECPA) : restrizioni sulle intercettazioni telefoniche, incluse le trasmissioni di dati elettronici via computer, vieta l’accesso alle comunicazioni elettroniche memorizzate (Stored Communication Act), disposizioni pen-trap che consentono il tracciamento delle comunicazioni telefoniche.
1988 - U.S. Video Privacy Protection Act (VPPA) per impedire la divulgazione illecita di noleggio di videocassette o dischi di vendita (materiali audiovisivi).
2001 - U.S. Provide Appropriate Tools Required to Intercept and Obstruct Terrorism Act (PATRIOT Act) è una legge federale statunitense controfirmata dal presidente George W. Bush nel 2001 a seguito dell’attentato delle Torri Gemelle. La norma rafforza il potere dei corpi di polizia e di spionaggio statunitensi, quali CIA, FBI e NSA, con lo scopo di ridurre il rischio di attacchi terroristici negli Stati Uniti, intaccando di conseguenza la privacy dei cittadini: possibilità di effettuare intercettazioni telefoniche, l'accesso a informazioni personali e il prelevamento delle impronte digitali nelle biblioteche. Le organizzazioni della difesa diritti dell'uomo ritengono che questa legge contenga delle limitazioni eccessive delle libertà individuali, in particolare in merito alla diminuzione dei diritti dei cittadini, alla violazione della privacy, alla diminuzione della libertà d'espressione.
Il Canada riconosce la privacy come diritto dei cittadini. E’ un modello che si avvicina a quello europeo. Nel 2001 la legge sulla protezione dei dati personali e sui documenti elettronici ( PIPEDA ) ha consentito al Canada di conformarsi alla legislazione dell’Unione Europea in materia di protezione dei dati. Specifica le regole per la raccolta, l’uso e la divulgazione delle informazioni personali da parte del governo e delle organizzazioni.
Contrariamente agli Stati Uniti, il diritto della data privacy in Europa è fortemente regolamentata.
L’articolo 8 della Convenzione Europea dei Diritti Umani sancisce il rispetto della propria vita privata, vita familiare, la sua corrispondenza e la sua casa.
organizzazione, adattamento o alterazione dei dati, retrieval (ricerca), consultazione, uso, divulgazione, disseminazione o qualsiasi altra operazione che tratta l’allineamento, la combinazione, il blocco, la cancellazione o la distruzione dei dati. → Modifica nel GDPR ● Responsabilità per l’adeguamento dei processi aziendali è sulle spalle del “ controllore ”, persona naturale o organizzazione o agenzia o ente statale da solo o congiuntamente con altri enti, determinati gli scopi e i mezzi per il processamento dei dati personali. → Nessun cambiamento significativo nel GDPR ● Processor : persona legale o naturale, autorità pubblica, agenzia o qualsiasi altro corpo che processa i dati personali in maniera diretta o al posto del controllore. → Nessun cambiamento significativo nel GDPR.
In generale i dati personali non possono essere processati eccetto quando si rispettano i seguenti tre principi:
Trasparenza
I dati possono essere processati solo se almeno uno dei seguenti è vero:
(^1) Adeguato : i dati raccolti devono garantire all’azienda di raggiungere l’obiettivo. (^2) Rilevante allo scopo : qualità dei dati raccolti, ovvero finalizzato allo scopo della raccolta (^3) Non eccessivo : quantità dei dati raccolti, ovvero non bisogna raccogliere più dati di quelli necessari
Proporzionalità
I dati devono essere processati in maniera adeguata, rilevante allo scopo e non eccessiva.
Ogni Stato membro dell’Unione Europea deve istituire un’autorità garante che doveva monitorare il livello di protezione dei dati, dare consigli al governo riguardo le misure e le regolamentazioni amministrative, iniziare procedimenti legali quando le regolamentazioni sulla protezione dei dati erano state violate. Il controllore doveva comunicare all’autorità supervisore le seguenti informazioni: nome, indirizzo, scopo del processamento, descrizione delle categorie del data subject o categorie dei loro dati, i destinatari a cui potrebbero essere comunicati i dati, proposte di trasferimento di dati verso terzi paesi, una generale descrizione delle misure prese per garantire la sicurezza del processamento. Questa informazione è mantenuta in un pubblico registro.
In Italia, la Direttiva 95/46/EC sulla protezione dei dati era stata resa effettiva dal Decreto Legislativo n.196/2003, il quale conteneva il Codice in materia di protezione dei dati personali. In aggiunta, la legge sancisce il Garante per la protezione dei dati personali , il quale si impegnò ad emanare direttive specifiche su molte aree tra cui la videosorveglianza, il trattamento dei dati biometrici, sanitari, notifica in caso di data breach, trattamento di dati bancari, tipologie di dati che devono essere gestiti dagli amministratori di sistema, trattamento dei dati a finalità di marketing, pagamenti mobile, cookies.
Il GDPR è un regolamento (non solo una direttiva) da cui tutti i paesi membri intendono rafforzare e unificare la protezione dei dati per tutti gli individui appartenenti all’Unione Europea. L’obiettivo primario è di restituire ai cittadini e ai residenti il controllo dei loro dati personali e semplificare l’ambiente regolatorio per gli affari internazionali unificando il
che i dati personali siano processati solo quando necessari per quel determinato scopo. L’implementazione è molto complicata perchè non esistono manuali/guide/design pattern su come attuare i principi.
Privacy by Design è un approccio di ingegneria dei sistemi che considera la privacy in tutto il processo ingegneristico. Si basa su 7 principi fondamentali: (1) Un sistema ingegnerizzato deve essere proattivo e non reattivo: approccio preventivo (2) La privacy deve essere impostata di default al massimo livello (3) La privacy deve essere incorporata dal momento in cui si progetta pensando a come garantire la privacy nel servizio (4) Interamente funzionale: si parla di somma-positiva , non somma-zero, ovvero progettare servizi utili tenendo in considerazione la privacy del cittadino. (5) Sicurezza end-to-end (6) Visibilità e trasparenza : mantenere i file sorgenti open, ovvero “aperti”, leggibili. Se conosco il software cosa fa, allora sono più sicuro, mi posso fidare. (7) La progettazione deve essere fatta tenendo al centro la privacy dell’utente: si parla di rispetto per la privacy utente
Il GDPR definisce la pseudo-anonimizzazione come un processo che trasforma i dati personali in modo tale che i dati risultanti non possano essere attribuiti ad un data subject specifico, senza l’uso di informazioni addizionali (cifratura locale dei dati, mantenere le chiavi di decrittazione separate dai dati criptati). Se il dato personale è pseudo-anonimo, con adeguate misure e policy interne, allora è considerato essere effettivamente anonimo e non soggetto a controlli e a penalità dal GDPR. Il regolamento non riguarda il processamento delle informazioni che sono ritenute anonime, inclusi per scopi statistici o di ricerca. Le policy e le misure che rispettano i principi di data protection by design e data protection by default sono considerate adeguate a questo scopo.
Il titolare dei dati deve implementare le misure di data protection by desing e by default per essere conforme al GDPR → è molto complicato perché nel GDPR non è specificato in che modo implementare queste misure, vengono solamente elencate.
Inoltre il titolare dei dati nomina delle persone che hanno il diritto di trattare i dati e la responsabilità su questi dati.
Dal punto di vista aziendale, l’azienda deve implementare misure per garantire l’ accountability , ovvero la capacità del sistema di identificare un singolo utente, di determinarne le azioni e il comportamento all’interno del sistema stesso. Per fare ciò, per ogni operazione eseguita sui dati, il sistema traccia chi ha effettuato l’accesso al dato, quale
operazione è stata eseguita, su quale dato, per quale motivo e quando. Gli individui sono responsabili delle loro azioni all’interno del sistema.
Per garantire la responsability e l’accountability:
Devono inoltre essere messe in atto procedure complesse che prendono il nome di Data Protection Impact Assessments (DPIA). Si tratta della valutazione dell’impatto dei rischi, descrive quali sono i rischi e le contromisure da mettere in atto per prevenire o rimediare ai rischi. E’ obbligatorio in caso di uso massivo di dati personali degli utenti. Non è obbligatorio nel caso in cui si trattano pochi dati che non riguardano la sfera personale, come ad esempio email e password per accedere a servizi. In caso di alto rischio (ad esempio: assicurazioni, banche), le autorità della protezione dei dati personali (in Italia il Garante della Privacy) devono essere sempre avvisate. Bisogna mantenere un registro delle attività del trattamento dove sono descritti quali soggetti sono abilitati a quali trattamenti e su quali dati. Il registro deve essere reso disponibile all’autorità su richiesta.
Il Data Protection Officer (DPO) è una figura che ha competenze in information technology, data security, è in grado di trattare problemi per garantire la continuità dei servizi, conosce le leggi sulla privacy. Assiste il titolare dei dati e gli addetti al trattamento per monitorare che tutto il trattamento venga attuato nel modo corretto. Gli enti pubblici e le aziende che hanno come focus del business il trattamento dei dati devono avere un DPO.
Il titolare del trattamento ha l’obbligo di notificare all’autorità garante in caso si verifichi un data breaches entro e non oltre le 72 ore. Gli utenti devono essere avvisati nel caso in cui si determini un impatto negativo sulla loro privacy. La notifica ai data subject non è richiesta se il titolare del trattamento ha implementato opportune tecniche e misure di protezione che rendano i dati personali indecifrabili a qualsiasi persona che non è autorizzata all’accesso, come un criptaggio. Inoltre è necessario produrre un report da consegnare al DPO. Tutti coloro che trattano i dati devono notificare al titolare il data breach senza ritardi.
Sanzioni in caso di violazione:
E’ un framework per gli scambi transatlantici per scopi di commercio di dati personali tra UE e USA. Uno degli scopi è permettere alle aziende USA di ricevere dati personali dalle entità dell’UE sotto le norme della privacy EU per proteggere i cittadini dell’Unione Europea. La Commissione Europea adottò questo framework a partire dal 12 Luglio 2016 (entrò in vigore). Il presidente Donald Trump firma un ordine esecutivo Enhancing Public Safety nel quale si dichiara che le protezioni della privacy USA non saranno estese ai cittadini o residenti americani. Il futuro dello Scudo della Privacy è a rischio.