NEWS

Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Il recente provvedimento sanzionatorio dell’Autorità Garante per la Protezione dei dati personali (Provv. 10 Febbraio 2022 – registro dei provvedimenti n.50 – doc. web 9751362) emesso nei confronti della società statunitense Clearview AI offre diversi spunti di riflessione sull’applicazione del Regolamento (UE) 2016/679. Tra questi meritevole di attenzione è il tema della titolarità del trattamento di dati.

Una recente sentenza del TAR della Sardegna (sentenza 7 dicembre 2021 - 14 febbraio 2022, n. 99) ha statuito che una comunicazione inviata via pec alla pubblica amministrazione che non va a buon fine perché risulta piena la casella, il cittadino deve attivarsi al fine di far pervenire la propria comunicazione mediante altri strumenti come, ad esempio, l’utilizzo di una raccomandata.

Come previsto dall’articolo 40, paragrafo 6 del Regolamento (UE) 2016/679 l’Autorità Garante ha pubblicato sul proprio sito istituzionale il registro dei codici di condotta. Come noto l’art. 40 del Regolamento prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in specifici settori di attività e che tali codici devono essere approvati dall’autorità di controllo competente e pubblicati.

Come noto, ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento UE 2016/679 (Gdpr), e tra questi troviamo il principio di integrità e riservatezza secondo il quale i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Il tema della sicurezza dei trattamenti è strettamente connesso con quello della information security.

Il Regolamento UE 679/2016 si fonda sul concetto di “responsabilizzazione” (accountability), ossia, sull’adozione da parte dei Titolari e Responsabili del trattamento di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina in materia di protezione dei dati personali. Si tratta di un obiettivo perseguibile a condizione che venga implementato un modello organizzativo che sia espressione di un adeguato sistema di gestione in materia di protezione dei dati personali.

Tre recenti provvedimenti del Garante per la privacy (Provv. 25 novembre 2021 [9737185], [9736961], [9738356]) ci consentono di tornare sul tema delle liste consensate nel marketing e richiamare il principio per cui chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati.

Il Regolamento UE 679/2016 considera anonimo un dato quando non si riferisce a una persona fisica identificata o identificabile o se il dato personale è reso sufficientemente anonimo da impedire o da non consentire più l'identificazione dell'interessato (Vedi Considerando n.26).  Per determinare se una persona è identificabile si devono esaminare i mezzi che possono essere ragionevolmente utilizzati dal titolare o da un terzo.

Da quando nel 2006 Clive Humby, data scientist e matematico inglese, coniò la celebre affermazione: “I dati sono il nuovo petrolio” (Data is the new oil), il mercato ha visto svilupparsi vari modelli di commercializzazione dei dati personali fondati su servizi di “infomediation”. Si tratta di business model nati negli Stati Uniti, dove gli erogatori del servizio (c.d. data companies o “infomediari”) mirano ad acquisire, in favore e per conto degli interessati, grandi quantità di dati personali presso aziende che li hanno raccolti a vario titolo (ad es. un supermercato che gestisce i dati personali acquisiti tramite le fidelity card), al fine di monetizzare questo patrimonio ed ottenere una remunerazione sia per l’interessato che per se stessi.

L’evoluzione tecnologica in generale e la crescita della intelligenza artificiale negli ultimi anni hanno reso più facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche. L‘ampia diffusione dei social network e degli e-commerce, consultabili in ogni momento attraverso device, sempre più performanti hanno trasformato internet in un bacino di informazioni e di dati personali, dal quale è possibile la determinazione, l’analisi e la previsione di aspetti della personalità, del comportamento, degli interessi e delle abitudini di una persona.

Quando si parla di trattamenti di dati personali che presentano un rischio elevato per i diritti e le libertà fondamentali delle persone è necessario condurre una valutazione di impatto privacy non solo per gestire al meglio il rischio inerente il trattamento, ma anche per dimostrare di aver adottato misure tecniche e organizzative adeguate.

Prev123...567Next
Pagina 5 di 7

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy