AltroConsumo · 2017. 10. 23. · 3. Il trattamento di dati personali effettuato da persone fisiche...
Transcript of AltroConsumo · 2017. 10. 23. · 3. Il trattamento di dati personali effettuato da persone fisiche...
Prof. Vincenzo Franceschelli
AltroConsumo 20 ottobre 2017
-PolicyPrivacy e protezione dei
dati personali del consumatore -
Prof. Vincenzo Franceschelli
Art. 1. Diritto alla protezione dei dati
personali
Chiunque ha diritto alla
protezione dei dati
personali che lo
riguardano.
Prof. Vincenzo Franceschelli
Garante per la
protezione dei
dati personali
Prof. Vincenzo Franceschelli
Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) - che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria 95/46/CE - e oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196).
Prof. Vincenzo Franceschelli
Il Garante si occupa di
tutti gli ambiti, pubblici
e privati, nei quali
occorre assicurare il
corretto trattamento
dei dati e il rispetto dei
diritti delle persone
connessi all'utilizzo
delle informazioni
personali.
Prof. Vincenzo Franceschelli
GENERAL
CONCEPTS
Prof. Vincenzo Franceschelli
1891 Samuel D. Warren;
Louis D. Brandeis
The Right to
Privacy,
Harvard Law
Review, Vol. 4, No.
5. (Dec. 15, 1890),
pp. 193-220.
Prof. Vincenzo Franceschelli
THAT the individual
shall have full
protection in person
and in property is a
principle as old as the
common law; but it
has been found
necessary from time to
time to define anew
the exact nature and
extent of such
protection ……
Prof. Vincenzo Franceschelli
1949
First British Edition,
1949
Prof. Vincenzo Franceschelli
1973
Elaboratori
elettronici e
controllo
sociale
Stefano Rodotà
Il mulino, 1973
Prof. Vincenzo Franceschelli
1980
Prof. Vincenzo Franceschelli
1983 Time Magazine
indica il
computer
come «uomo
dell’anno»
Prof. Vincenzo Franceschelli
1997
Prof. Vincenzo Franceschelli
Nel marzo 1997 è
stato eletto
Presidente
dell'organo
collegiale del
Garante per la
protezione dei dati
personali, carica
che ha mantenuto
fino al 2005.
Prof. Vincenzo Franceschelli
2017
Prof. Vincenzo Franceschelli
–Ecosistema
digitale-
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Come
comunicavamo in
passato?
Prof. Vincenzo Franceschelli
Let’s start with a
question:
How do we
communicate in
the present
world????
Prof. Vincenzo Franceschelli
Circa un terzo della popolazione mondiale
usa attivamente ogni giorno i Social Network We Are Social, 2016
L'importanza dei Social Network…. un po' di numeri
Prof. Vincenzo Franceschelli
| 22 Hogan Lovells
• il 76% di utenti web ha almeno 1 account social
• 109 minuti al giorno sui social
• 1/5 del tempo online è sui
social
L'importanza dei Social Networks…. un po' di numeri
Prof. Vincenzo Franceschelli
• L'80% delle aziende investe sulle strategie di marketing sui social
• Entro il 2020, il 24% del budget totale per le attività di marketing sarà destinato alle piattaforme Social
L’importanza che i Social Media hanno
per la brand awareness
Prof. Vincenzo Franceschelli
Cos’è un #?
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Regolazione
Prof. Vincenzo Franceschelli
Le FONTI
• Convenzione di Strasburgo (Convenzione del Consiglio d’Europa del 28 gennaio 1981 per la protezione delle persone in relazione all’elaborazione automatica dei dati personali)
• Direttiva CE n. 46 del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali
• Legge 31 dicembre 1996 n. 675
• Codice in materia di protezione dei dati personali, di cui al D.L. 30 giugno 2003 n. 196
Prof. Vincenzo Franceschelli
Convenzione del Consiglio di Europa
del 28 gennaio 1981 (Convenzione di
Strasburgo)
• Scopo della Convenzione è garantire ad
ogni persona fisica il rispetto dei suoi
diritti e delle sue libertà fondamentali, e
in particolare del diritto alla vita privata,
in relazione all’elaborazione automatica
dei dati a carattere personale che la
riguardano
Prof. Vincenzo Franceschelli
D I R E T T I V A C E del Parlamento Europeo
e del Consiglio
24 ottobre 1995 n. 46 relativa alla tutela delle
persone fisiche con riguardo
al trattamento dei dati personali,
nonché alla libera
circolazione di tali dati
Prof. Vincenzo Franceschelli
LEGGE
31 DICEMBRE
1996 N. 675
TUTELA DELLE PERSONE
E DI ALTRI SOGGETTI
RISPETTO AL TRATTAMENTO DEI
DATI PERSONALI
Prof. Vincenzo Franceschelli
“CODICE IN MATERIA DI
PROTEZIONE DEI DATI
PERSONALI”
decreto legislativo n. 196 del
30 giugno 2003
Prof. Vincenzo Franceschelli
“Codice in materia di protezione dei dati personali”
• Entrato in vigore il 1 gennaio 2004
• Il Codice riunisce in unico contesto la legge
675/1996 e gli altri decreti legislativi,
regolamenti e codici deontologici che si sono
succeduti in questi anni, e contiene anche
importanti innovazioni tenendo conto della
“giurisprudenza” del Garante e della direttiva
Ue 2000/58 sulla riservatezza nelle
comunicazioni elettroniche
Prof. Vincenzo Franceschelli
Il Codice è diviso in tre parti
• la prima è dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
• la seconda è la parte speciale dedicata a specifici settori.
• la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.
Prof. Vincenzo Franceschelli
La tutela della riservatezza nell’ambito della nuova disciplina
• La Parte I contiene i principi generali, con le finalità (art. 1 e 2),
• le definizioni (art. 4);
• i diritti dell’interessato (Titolo II),
• le regole generali per il trattamento dei dati (Titolo III);
• i principi in materia di sicurezza (Titolo V);
• l’ambito di applicazione (art.5, e Titolo VII);
• il trattamento di dati per fini esclusivamente personali (art.5, ultimo comma);
• l’estensione della disciplina al trattamento di dati svolto senza l’ausilio di mezzi elettronici (art. 35).
Prof. Vincenzo Franceschelli
La tutela della riservatezza nell’ambito della nuova disciplina
• La Parte II raccoglie le disposizioni relative a specifici settori (ambito giudiziario; forze di polizia, difesa e sicurezza dello stato; trattamenti in ambito pubblico; ambito sanitario; istruzione; scopi storici, statistici o scientifici; lavoro e previdenza sociale; sistema bancario, finanziario ed assicurativo; comunicazioni elettroniche; libere professioni; investigazione privata; giornalismo; opere letterarie ed artistiche; marketing.
Prof. Vincenzo Franceschelli
La tutela della riservatezza nell’ambito della nuova disciplina
• La Parte III tratta della tutela
dell’interessato, sia dinanzi al Garante
che in relazione alla tutela
giurisdizionale.
• La IV ed ultima Parte raccoglie le
disposizioni modificative, abrogative,
transitorie e finali.
Prof. Vincenzo Franceschelli
Il Codice
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
Art. 1. Diritto alla protezione dei dati
personali
Chiunque ha diritto alla
protezione dei dati
personali che lo
riguardano.
Prof. Vincenzo Franceschelli
Art. 2
(FINALITÀ)
• 1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle liberta' fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità' personale e al diritto alla protezione dei dati personali.
• 2. Il trattamento dei dati personali e' disciplinato assicurando un elevato livello di tutela dei diritti e delle liberta' di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalita' previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento.
Prof. Vincenzo Franceschelli
Prof. Vincenzo Franceschelli
AMBITO
DI
APPLIC
AZIONE
Prof. Vincenzo Franceschelli
Ambito di applicazione (art.5)
• la legge si applica al
trattamento dei dati personali
da chiunque effettuato nel
territorio dello Stato anche
se i dati personali sono
detenuti all’estero (art. 5).
Prof. Vincenzo Franceschelli
2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il
trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso
di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul
trattamento dei dati personali.
Prof. Vincenzo Franceschelli
3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una
comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Prof. Vincenzo Franceschelli
DIRITTI
DELL’INTERESSATO
Prof. Vincenzo Franceschelli
DIRITTO DI
ACCESSO
(art.7)
Prof. Vincenzo Franceschelli
Art. 7. Diritto di accesso ai dati
personali ed altri diritti
1. L'interessato ha diritto di ottenere la
conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non
ancora registrati, e la loro comunicazione
in forma intelligibile
Prof. Vincenzo Franceschelli
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante
designato nel territorio dello Stato, di responsabili o incaricati.
Prof. Vincenzo Franceschelli
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione
in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
Prof. Vincenzo Franceschelli
4. L'interessato ha diritto di opporsi, in tutto
o in parte:
a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché
pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo
riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di
comunicazione commerciale.
Prof. Vincenzo Franceschelli
Esercizio
dei DIRITTI
(art.8)
Prof. Vincenzo Franceschelli
Art. 8. Esercizio dei diritti
1. I diritti di cui all'articolo 7 sono esercitati
con richiesta rivolta senza formalità al
titolare o al responsabile, anche per il
tramite di un incaricato, alla quale è fornito
idoneo riscontro
senza ritardo.
Prof. Vincenzo Franceschelli
2. I diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo 145, se i trattamenti di dati personali sono
effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di
riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive
modificazioni, in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria
e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento
delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un
pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero
della giustizia;
h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.
Prof. Vincenzo Franceschelli
Modalità di
Esercizio
(art.9/10)
Prof. Vincenzo Franceschelli
Art. 9. Modalità di esercizio
1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo
sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in
tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.
Prof. Vincenzo Franceschelli
Art. 10. Riscontro all'interessato
1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che
riguardano singoli interessati identificati o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.
Prof. Vincenzo Franceschelli
DIRITTI
DELL’INTERESSATO
INFORMATIVA
Prof. Vincenzo Franceschelli
Art. 13. Informativa 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
Prof. Vincenzo Franceschelli
3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della
registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
Prof. Vincenzo Franceschelli
5-bis. L'informativa di cui al comma 1 non è
dovuta in caso di ricezione di curricula
spontaneamente trasmessi dagli interessati
ai fini dell'eventuale instaurazione di un
rapporto di lavoro. Al momento del primo
contatto successivo all'invio del curriculum,
il titolare è tenuto a fornire all'interessato,
anche oralmente, una informativa breve
contenente almeno gli elementi di cui al
comma 1, lettere a), d) ed f).
Prof. Vincenzo Franceschelli
MODALITA’ DI
TRATTAMENTO
Prof. Vincenzo Franceschelli
Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
Prof. Vincenzo Franceschelli
Cessazione
del
trattamento
Prof. Vincenzo Franceschelli
Art. 16. Cessazione del trattamento 1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.
2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti.
Prof. Vincenzo Franceschelli
Responsabilità
per danni
Prof. Vincenzo Franceschelli Art. 15
(Danni cagionati per effetto del
trattamento)
• 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
• 2. Il danno non patrimoniale e' risarcibile anche in caso di violazione dell'articolo 11.
Prof. Vincenzo Franceschelli
• La fattispecie richiamata è quella della responsabilità per esercizio di attività pericolose di cui all’art. 2050.
• Si opera, in sostanza, l’inversione dell’onere della prova cosicché l’interessato, per ottenere il risarcimento, dovrà provare il trattamento e il danno, ma non il dolo o la colpa.
• Secondo i principi, resta, ovviamente, a carico del danneggiato di provare l’esistenza di un nesso causale tra il trattamento e l’evento dannoso. Sarà il titolare del trattamento che, per evitare il risarcimento del danno, dovrà provare di avere adottato tutte le misure idonee ad evitarlo.
Prof. Vincenzo Franceschelli
Sicurezza
Prof. Vincenzo Franceschelli
Sicurezza dei dati e dei sistemi.
Responsabilità per danni derivanti
dal trattamento
• I dati personali oggetto di trattamento
devono, ai sensi dell’art. 31, essere
custoditi e controllati.
• Custoditi, per impedire che un terzo vi
acceda;
• controllati, per preservarne la veridicità.
Prof. Vincenzo Franceschelli
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Prof. Vincenzo Franceschelli
Art. 33. Misure minime
1. Nel quadro dei più generali obblighi di
sicurezza di cui all'articolo 31, o previsti da
speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad
adottare le misure minime individuate nel
presente capo o ai sensi dell'articolo 58,
comma 3, volte ad assicurare un livello
minimo di protezione dei dati personali.
Prof. Vincenzo Franceschelli
Trattamento
con o senza
sistemi
elettronici
Prof. Vincenzo Franceschelli
Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività
organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e recontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro
Prof. Vincenzo Franceschelli
Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
Prof. Vincenzo Franceschelli
Trattamenti
particolari:
Soggetti
pubblici –
polizia
Prof. Vincenzo Franceschelli
Trattamento da parte di soggetti
pubblici
• Il Codice fissa particolari
regole per il trattamento di
dati da parte di soggetti
pubblici (Capo II della Parte
I, art. da 18 a 22)
Prof. Vincenzo Franceschelli
TITOLO II
TRATTAMENTI DA PARTE DI
FORZE DI POLIZIA
• . Al trattamento di dati personali effettuato dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalita' di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento,
Prof. Vincenzo Franceschelli
TITOLO II
TRATTAMENTI DA PARTE DI
FORZE DI POLIZIA
• non si applicano le seguenti disposizioni
del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22,
37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
Prof. Vincenzo Franceschelli
Privacy e
consumatori
Il caso delle
telefonate
indesiderate
Prof. Vincenzo Franceschelli
Cosa dice il Garante? Marketing e privacy: imprese avvertite, consumatori tutelati
Le regole del Garante per offerte commerciali a prova di privacy
«A chi può chiedere aiuto un utente esasperato dalle telefonate indesiderate? Si può monitorare il comportamento di un consumatore on-line? Come evitare che una promozione commerciale si trasformi in un boomerang per l'immagine di un'impresa? Quali sono le regole che deve rispettare un'azienda per contattare i potenziali clienti sui social network?»
Prof. Vincenzo Franceschelli
COS’È IL REGISTRO PUBBLICO DELLE OPPOSIZIONI (RPO)?
È un registro istituito a tutela degli abbonati telefonici che non vogliono ricevere chiamate pubblicitarie, ma che al tempo stesso desiderano rimanere sugli elenchi telefonici ed essere reperibili per le comunicazioni interpersonali. Iscrivendosi al Regi stro un abbonato esercita il diritto “ad opporsi al trattamento” dei suoi dati personali a fini promozionali previsto dal Codice della privacy.
Deve essere l’utente a
iscriversi nel
Registro Pubblico
delle Opposizioni
nel caso non desideri
essere disturbato.
Prof. Vincenzo Franceschelli
CHI PUÒ ISCRIVERSI
AL REGISTRO?
Al Registro (RPO) può
iscriversi solo
l’intestatario di
un’utenza (fissa o
mobile, privata o
aziendale) pubblicata
negli elenchi telefonici.
L’iscrizione al Registro
è gratuita.
Prof. Vincenzo Franceschelli
VII Privacy e
consumatori
Internet e i
cookie
Prof. Vincenzo Franceschelli
SE UN SITO INTERNET UTILIZZA DEI COOKIE, DEVE AVVISARE L’UTENTE?
Sì. Le società che fanno uso di cookie per profilare l’utente, per attività di marketing o di profilazione,
devono avvisare l’utente che accede al proprio sito.
In particolare, quando un navigatore accede alla home page o ad un’altra pagina di un sito web deve immediatamente veder comparire un banner ben
visibile, in cui sia indicato chiaramente se viene fatto uso di cookie per monitorare l’utente e per inviargli pubblicità mirata e se tali dati vengono condivisi con altri soggetti.
L’UTENTE PUÒ RIFIUTARE L’INSTALLAZIONE DI UN COOKIE DI PROFILAZIONE ?
Sì. Il breve avviso (banner) del sito deve riportare anche un link che indirizzi a una informativa più ampia sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione.
Deve anche riportare l’indicazione che, proseguendo nella navigazione (ad esempio accedendo ad un’altra area del sito o selezionando un’immagine o un link), l’utente presta il consenso all’uso dei cookie.
Prof. Vincenzo Franceschelli
VIII Privacy e
consumatori
Internet, cookie
e spam Una decisione del
Garante
Prof. Vincenzo Franceschelli
Trattamento per
finalità di marketing di
dati personali raccolti
mediante un sito web -
20 luglio 2017
Registro dei
provvedimenti
n. 324 del 20 luglio
2017
Shopping on line: acquisti in rete liberi dallo spam
Il Garante vieta a una società di utilizzare una banca dati per l'invio di pubblicità indesiderata
Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.
Prof. Vincenzo Franceschelli
Questa la decisione del Garante della privacy [doc. web n. 6955363] presa in seguito alla segnalazione di alcuni utenti che si lamentavano per la ricezione di pubblicità indesiderata da parte di una società di shopping on line e per il mancato rispetto del diritto di opposizione al trattamento dei loro dati.
Dai riscontri raccolti dall'Autorità, anche grazie all'attività ispettiva effettuata in collaborazione con il Nucleo Speciale Privacy della Guardia di finanza, è emerso che gli utenti che desideravano accedere alle sezioni del sito web gestito dalla società di e-commerce, ed eventualmente acquistare i prodotti in vetrina, erano prima obbligati a registrarsi e ad accettare (barrando un'apposita casella) i termini e le condizioni e la privacy policy del sito.
Con l'adesione alla policy, con un unico click, l'utente acconsentiva che i propri dati venissero utilizzati non solo per le finalità connesse ai servizi offerti on line, ma anche per finalità di promozione commerciale, sia della società stessa sia dei suoi partner commerciali.
Una mole ingente di indirizzi e-mail e altri dati raccolti in questo modo venivano dunque registrati in una banca dati per l'invio di pubblicità non richiesta.
Prof. Vincenzo Franceschelli
Nel provvedimento, il Garante ha ricordato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell'invio di comunicazioni promozionali. Non si può quindi obbligare una persona a ricevere pubblicità solo per avere accesso alla "vetrina online" di un sito.
I dati richiesti dalla società in fase di registrazione, tra l'altro, spesso non erano necessari per la navigazione nel sito e neppure per l'acquisto dei prodotti reclamizzati, in violazione dei principi di minimizzazione e di necessità previsti dal Codice della privacy.
Il Garante ha quindi vietato alla società di utilizzare per attività di marketing i dati personali raccolti.
Il Nucleo Speciale Privacy ha già attivato un autonomo procedimento sanzionatorio relativo alla violazione accertata.
Prof. Vincenzo Franceschelli
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 143, comma 1, lett. b) e c), 144, 154, comma 1, lett. c) e d) del Codice, vieta a Dalani s.r.l. l'ulteriore trattamento per finalità di marketing dei dati personali raccolti mediante il sito www.dalani.it, in violazione dei principi di minimizzazione dei dati personali, necessità e correttezza di cui agli artt. 3 e 11, comma 1, lett. d) ed a), del Codice, nonché in assenza di un previo consenso manifestato liberamente e specificamente ai sensi dell'art. 130, commi 1 e 2, del Codice (punti 3.1 e 3.2).
Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 20 luglio 2017
Prof. Vincenzo Franceschelli
IX Privacy e
consumatori
L’ultima difesa
Prof. Vincenzo Franceschelli
Le persone fisiche che
subiscono spam o
altre attività di
marketing indesiderato
possono rivolgersi al
Garante presentando
una
SEGNALAZIONE
(che può essere
inviata via e-mail
senza particolari
formalità).
Se intendono invece esercitare gli specifici diritti riconosciuti dal Codice della privacy (ad esempio diritto di accesso, di aggiornamento dei dati, di opposizione al trattamento), possono rivolgersi al titolare dei dati (cioè la società o altro soggetto che ha inviato il messaggio pubblicitario), anche avvalendosi del modello standard pubblicato sul sito www.garanteprivacy.it
In caso di mancato o inidoneo riscontro da parte del titolare dei dati, l’interessato può presentare
RICORSO
al Garante (seguendo le indicazioni riportate sul sito web dell’Autorità) o rivolgersi all’Autorità giudiziaria ordinaria
Prof. Vincenzo Franceschelli
Un caso famoso
Il caso
Peppermint
Prof. Vincenzo Franceschelli
• Peppermint cita in via d’urgenza la
Telecom Italia chiedendo l’ostensione
(si, l’ostensione) dei dati necessari
all’identificazione dei fruitori di brani
musicali in evasione dei diritti d’autore,
e vince.
• Vince cinque volte a Roma, con le
ordinanze 18 agosto 2006, 9 febbraio
2007, 5 aprile 2007, 20 aprile 2007 e 26
aprile 2007.
Prof. Vincenzo Franceschelli
• La massima, più o meno eguale per le cinque ordinanze, recita:
• “Il titolare di diritti d’autore ha diritto d’ottenere in via d’urgenza ex art. 156 bis L.d.A. dal provider, in capo al quale sussiste la legittimazione passiva nel relativo procedimento, l’ostensione dei dati anagrafici degli assegnatari di indirizzi IP che sulla base dei dati raccolti in Rete appaiono autori di condotte illecite attraverso piattaforme di peer to peer.
• L’esercizio di tale diritto non è precluso dalla vigente disciplina in materia di privacy e trattamento dei dati personali. E’ applicabile alla fattispecie l’art. 24 del Codice Privacy che consente il trattamento dei dati personali senza il consenso dell’interessato quando sia necessario per far valere o difendere un diritto in sede giudiziaria.
Prof. Vincenzo Franceschelli
• Nella controversia interviene il Garante per la protezione dei dati personali.
• In un Comunicato, il Garante afferma:
• Internet - Caso Peppermint: il Garante privacy si costituisce in giudizio
• Con riferimento alla vicenda degli utenti italiani, ai quali la società Peppermint ha chiesto un risarcimento danni per aver condiviso via Internet file musicali nei siti cosiddetti "peer to peer" (P2P), l'Autorità ha deciso di costituirsi in giudizio presso il Tribunale di Roma nelle cause intentate dalla Peppermint nei confronti di gestori telefonici allo scopo di identificare alcune migliaia di utenti.
• La decisione del Garante nasce dalla volontà di verificare se nella vicenda siano stati rispettati tutti i diritti di protezione dei dati personali.
• Nei mesi scorsi diversi utenti italiani che utilizzano sistemi di file sharing si sono visti recapitare, dopo che l'autorità giudiziaria aveva imposto ad alcuni gestori telefonici la comunicazione dei loro dati identificativi, raccomandate da parte della casa discografica Peppermint con richieste di risarcimento del danno per violazione del diritto d'autore.
• L'Autorità Garante ha inoltre deciso di richiedere a diverse società interessate e a gestori telefonici tutti gli elementi utili per una piena valutazione del caso.
• Roma, 18 maggio 2007
Prof. Vincenzo Franceschelli
• L’intervento del Garante ha un ruolo decisivo nella decisione della controversia.
• Il Tribunale di Roma, melius re perpensa, muta avviso e, con decisione 14 luglio 2007, così decide:
• “Il titolare di diritti d’autore non ha diritto d’ottenere dal provider ex art. 156 bis L.d.A. l’ostensione dei dati anagrafici degli assegnatari di indirizzi IP che sulla base dei dati raccolti in Rete appaiono autori di condotte illecite attraverso piattaforme di peer to peer.
Prof. Vincenzo Franceschelli
• Il Tribunale di Roma, melius re perpensa, muta avviso e, con decisione 14 luglio 2007, così decide:
• L’esercizio di tale diritto è precluso dalla vigente disciplina in materia di privacy e trattamento dei dati personali in base alla quale è illecita, in assenza di idonea informativa all’interessato, acquisizione del consenso e notifica al Garante per il trattamento dei dati personali, la raccolta di indirizzi IP. Conseguentemente, ex art. 11 Codice Privacy, devono ritenersi inutilizzabili nel procedimento di ostensione i dati raccolti, senza che sia invocabile l’art. 24 del Codice Privacy, inapplicabile alla fattispecie. In ogni caso sul diritto all’ostensione del titolare del diritto d’autore prevarrebbe il diritto alla privacy dell’utente.