Smart Cities e trattamento di dati personali: dal Codice della Privacy al Regolamento Europeo

DirICTo

Smart Cities e trattamento

di dati personali: daldi dati personali: dal

Codice della Privacy al

Regolamento Europeo

Relatore: Massimo Farina

http://www.massimofarina.ithttp://www.diricto.it

PREMESSA

“Ogni grande evento tecnologico, che impatti sulle a bitudini di vita

Smart Cities e trattamento di dati personali: dal Codice della Privacy al

Regolamento Europeo


“Ogni grande evento tecnologico, che impatti sulle a bitudini di vita dell’essere umano, ha delle implicazioni di natura g iuridica e ciò impegna il giurista nello studio delle nuove fattis pecie al fine di

inquadrare la disciplina, ad esse applicabile”

La prima grande rivoluzione tecnologica è stata il web, ovvero lamigrazione di tutti i servizi via rete telematica e, ovviament e, la nascitadi nuove applicazioni (per es. le chat) e il potenziamento di qu elleesistenti prima del web (per es. la posta elettronica).

La seconda rivoluzione è stata quella del Web 2.0, ovvero dei blog, di

I TRE GRANDI PERIODI DELLA RETE


Regolamento Europeo


La seconda rivoluzione è stata quella del Web 2.0, ovvero dei blog, di wikipedia e , più in generale, del web partecipativ o che poi ha portato ai social network (Twitter, Facebook e così via).

Oggi, si prefigura quella che viene già chiamata “la terza onda ” ( thethird wave ), ovvero un nuovo salto nell’utilizzo delle reti telematich e,che viene comunemente denominato “ Internet of Thing ” (IoT) o“Internet degli Oggetti” o, ancora, “Internet delle Cose”.

la presenza di pochi produttori (siti web) si incontrava con i moltifruitori (utenti)

Nel periodo successivo, invece, si è determinato un notevole aumento

CARATTERISTICHE PECULIARI DI CIASCUN PERIODO


Regolamento Europeo


Nel periodo successivo, invece, si è determinato un notevole aumento del numero dei produttori (per es. i blogger etc) p er i, già molti, fruitori (utenti)

la nuova era è caratterizzata da aumento esponenziale di entram bi isoggetti (produttori e fruitori) ma i primi stanno mutando p arzialmenteidentità; si sta infatti già imponendo una nuova moltitudin e diproduttori costituita da “macchine” o, meglio, da “sensori co nnessi adInternet”: per questo motivo si parla di “Internet of Things ”.


Regolamento Europeo


Si aprono tantissimi scenari, che partono dalla semplice automazione (controllo remotodi qualcosa), alla rilevazione automatica (traffico), all’intrattenimento (giochi), allasicurezza, ai processi delle imprese.

Luogo in cui l'utilizzo pianificato e sapiente delle risorse umanee naturali, opportunamente gestite e integrate mediante lenumerose tecnologie ICT già disponibili, consente la creazionedi un ecosistema capace di utilizzare al meglio le risorse e difornire servizi integrati e sempre più intelligenti (cioè il cuivalore è maggiore della somma dei valori delle parti che licompongono).

Avere oggetti che sianoIDENTIFICABILI E LOCALIZZABILI ,solleva delle problematiche afferential trattamento dei dati personali edalla tutela degli interessati ai quali leinformazioni si riferiscono. Daglioggetti, sarà possibile RISALIRE all'ingresso della metropolitana un sensore

ESEMPIO: quell’oggetto oltrepassa unabarriera che lo rileva e, dunque, siacquisisce l’informazione che l’oggetto (e,dunque, la persona) è in un certo luogo.


Regolamento Europeo


ALLE PERSONE ed, in particolare,alla POSIZIONE di queste ultime.

all'ingresso della metropolitana un sensorerilevasse la presenza del cellulare di Tizio (giàpossibile quando il Bluetooth è acceso e ilcellulare è “visibile”) si potrebbe sapere che egli(o, meglio, il suo cellulare) a quell’ora erapresente in quel dato luogo; che, poi,successivamente è salito sull’autobus per poidirigersi verso il supermercato e così via. I dirittidegli utenti potrebbero risultare ancor piùcompressi se si pensa allo sviluppo di sistemi dimonitoraggio della salute

Si tratta di un vero e proprioTRACCIAMENTO degli individui

una volta che si saranno sviluppati sensori capaci di esseresupportati da vettori delle dimensioni di granelli di polvere, saràpossibile creare delle medicine realmente “smart” , chedialogheranno con la confezione riguardo i dosaggi da assumere, adesempio segnalando eventuali sovradosaggi, o direttamente con ilfarmacista, avvisando la necessità di un nuovo acquisto.

Possibile applicazione al settore farmaceutico

DATI SENSIBILI


Regolamento Europeo


INOLTRE --------------> NEL PROSSIMO FUTUROI medicinali, una volta nel corpo del paziente potranno “dialogare”anche tra loro, riconoscendo autonomamente se risultanoincompatibili l’uno con l’altro, ed evitando dunque di attivare i propriprincipi attivi al fine di evitare rischi molto seri per la salute delpaziente. Altre applicazioni si possono avere in caso di danni giàarrecati alla salute del paziente, poiché identificare le sostanzepresenti nel corpo sarà molto più facile e veloce, ed eventualmente lestesse sostanze potranno fornire indicazioni immediate sull’antidotocapace di neutralizzarle .

SOGGETTITITOLARE TITOLARE

RESPONSABILE RESPONSABILE


Regolamento Europeo


ADEMPIMENTI


INTERESSATO

NOTIFICAZIONE NOTIFICAZIONE

CONSENSO CONSENSO

INFORMATIVA INFORMATIVA

GARANTE


Art. 37, co. 1, lett. a): dati genetici, biometrici o dati cheindicano la posizione geografica di persone od oggettimediante una rete di comunicazione elettronica;

Art. 163: Chiunque, essendovi tenuto, non provvedetempestivamente alla notificazione ai sensi degli articoli 37 e38, ovvero indica in essa notizie incomplete, è punito con lasanzione amministrativa del pagamento di una somma da


Regolamento Europeo


CONSENSO CONSENSO

sanzione amministrativa del pagamento di una somma daventimila euro a centoventimila euro

Art. 23, co. 4: Il consenso è manifestato in forma scrittaquando il trattamento riguarda dati sensibili.

Art. 167. […] è punito, se dal fatto deriva nocumento, con lareclusione da sei a diciotto mesi o, se il fatto consiste nellacomunicazione o diffusione, con la reclusione da sei aventiquattro mesi.

INFORMATIVAINFORMATIVA

Art. 13 L'interessato o la persona presso la quale sonoraccolti i dati personali sono previamente informati oralmenteo per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;


Regolamento Europeo


INFORMATIVAINFORMATIVAc) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito didiffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro .

INTERPELLOINTERPELLO


Regolamento Europeo


Per i trattamenti di dati di localizzazione che possonopresentare rischi specifici per i diritti e le libertàfondamentali , nonché per la dignità degli interessati èsempre possibile sottoporsi a verifica preliminare aisensi dell'art. 17, comma 2 del Codice.


Art. 37, co. 1, lett. d): d) dati trattati con l'ausilio di strumentielettronici volti a definire il profilo o la personalitàdell'interessato, o ad analizzare abitudini o scelte di consumo,ovvero a monitorare l'utilizzo di servizi di comunicazioneelettronica […];

Art. 163: Chiunque, essendovi tenuto, non provvedetempestivamente alla notificazione ai sensi degli articoli 37 e38, ovvero indica in essa notizie incomplete, è punito con lasanzione amministrativa del pagamento di una somma


Regolamento Europeo


CONSENSO CONSENSO

sanzione amministrativa del pagamento di una sommada ventimila euro a centoventimila euro

Art. 23, co. 4: Il consenso è manifestato in forma scrittaquando il trattamento riguarda dati sensibili.

Art. 167. […] è punito, se dal fatto deriva nocumento, con lareclusione da sei a diciotto mesi o, se il fatto consiste nellacomunicazione o diffusione, con la reclusione da sei aventiquattro mesi.

INFORMATIVAINFORMATIVA

Art. 13 L'interessato o la persona presso la quale sonoraccolti i dati personali sono previamente informati oralmenteo per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;


Regolamento Europeo


INFORMATIVAINFORMATIVAc) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito didiffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro .

INTERPELLOINTERPELLO


Regolamento Europeo


Per i trattamenti di dati di localizzazione che possonopresentare rischi specifici per i diritti e le libertàfondamentali , nonché per la dignità degli interessati èsempre possibile sottoporsi a verifica preliminare aisensi dell'art. 17, comma 2 del Codice.

TITOLARE TITOLARE


Possibile disgiunzione di ruoli tra chi raccogli e i dati e chi offre e gestisce il servizio di raccolta


Regolamento Europeo


DATI SENSIBILIMISURE DI

SICUREZZA

Risoluzione del Parlamento Europeo: si afferma che l’Internetdelle cose debba viaggiare in parallelo con la tutela della

Pubblicata una Comunicazione della Commissione alParlamento Europeo, al Consiglio, al Comitato economico esociale europeo e al Comitato delle regioni, intitolata"L'internet degli oggetti - Un piano d'azione per l'Europa "

(COM(2009) 278 def. COM(2009) 278 final).

2009 2009


Regolamento Europeo


delle cose debba viaggiare in parallelo con la tutela dellaprivacy degli utenti, oltre che con un generale stato disicurezza sui possibili effetti negativi sulla salute . In talsenso, i campi d’azione sui quali l’Unione Europea vuoleessere protagonista sono: governance , privacy e protezionedei dati , diritto al “silenzio dei chip” , rischi emergenti,risorse vitali, standardizzazione, ricerca, partnership trapubblico e privato, innovazione, consapevolezza delleistituzioni, dialogo internazionale, ambiente, statistica,evoluzione.

2010 2010

Gerusalemme, 27-29 Ottobre 2010:La 32^ Conferenza internazionaledei Garanti privacy ha adottatouna risoluzione sulla PrivacybyDesign proposta dalla D.ssa AnnCavoukian (Information &Privacy Commissioner Ontario,Canada)

Encourage the adoption of Privacy by Design’s Foundational Principles, such as those set out below as guidance to establishing privacy as an organization’s default mode of operation…

PANORAMA INTERNAZIONALEPANORAMA INTERNAZIONALE


Regolamento Europeo


Privacy by Design:The Foundational Principles

�Proactive not Reactive; Preventative not Remedial�Privacy as the Default�Privacy Embedded into Design�Full Functionality: Positive-Sum, not Zero-Sum�End-to-End Lifecycle Protection�Visibility and Transparency�Respect for User Privacy

1. Proattivo non reattivo; prevenire non correggereL’approccio alla Privacy by Design (PbD) è caratterizzato da interventi di tipo proattivo piuttosto che reattivo .Esso anticipa e previene gli eventi invasivi della privacy prima che essi accadano. La PbD non attende che i rischi della privacy si concretizzi no , né offre rimedi per risolvere le violazioni della privacy una volta occorse – ha lo scopo di prevenirli dal verificarsi. In breve, la Privacy by Design viene prima del fatto e non dopo.

I sette principi fondazionali


Regolamento Europeo


2. Privacy come impostazione di defaultPossiamo tutti essere certi di una cosa - la regola di base ! La Privacy by Design cercadi realizzare il massimo livello di privacy assicurando che i dati personali sianoautomaticamente protetti in un qualunque sistema IT o di pra tica commerciale . Seun individuo non agisce, la sua privacy rimane ancora intatta. Non è richiesta alcunaazione da parte dell’individuo per proteggere la propria privacy - è incorporata nelsistema per default.

3. Privacy incorporata nella progettazioneLa PbD è incorporata nella progettazione e nell’architettura dei si stemi IT e dellepratiche commerciali . Non è agganciata come un’aggiunta, dopo il fatto. Il risultato èche la privacy diventa un componente essenziale per la realizzazione del nucleofunzionale. La privacy è integrata nel sistema, senza diminuirne la funzionalità.



Regolamento Europeo


4. Massima funzionalità − Valore positivo, non valor e zeroLa Privacy by Design mira a conciliare tutti gli interessi coinvolti e gli obiettivi con modalità di valore positivo “vantaggioso per tutti”, non attraverso un approccio datato di valore zero, dove sono inutili i compromessi.La Privacy by Design evita la pretesa di false dicotomie , come la privacy contro la sicurezza, dimostrando che è possibile avere entrambi .

5. Sicurezza fino alla fine − Piena protezione del cic lo vitale La Privacy by Design essendo stata incorporata nel sistema prioritariamente rispetto allaacquisizione del primo elemento di informazione, si estende in modo sicuroattraverso l’intero ciclo vitale dei dati - solidi interventi di sicurezza sono essenzialiper la privacy, dall’inizio alla fine. Questo assicura che tutti i dati sono conservati concura, e poi distrutti in modo sicuro alla fine del processo, in maniera opportuna.Pertanto, la Privacy by Design assicura dalla culla alla tomba, un’intera e sicuragestione delle informazioni, fino alla fine .



Regolamento Europeo


6. Visibilità e trasparenza − Mantenere la trasparen za La Privacy by Design cerca di assicurare che tutti i soggetti interessati , qualunque sia la prassi aziendale o tecnologia utilizzata, è di fatto, operativa secondo promesse ed obiettivi stabiliti, soggetti a verifica indipendente .I suoi componenti e operazioni restano visibili e trasparen ti sia agli utenti sia ai fornitori. Si ricorda di fidarsi ma di verificare.

7. Rispetto per la privacy dell’utente − Centralità dell’utente Al di là di tutto, la Privacy by Design richiede ai progettisti e agli operatori di considerareprioritari gli interessi degli individui offrendo efficaci interventi di default dellaprivacy , informazioni appropriate e potenziando opzioni di facile utilizzo per l’utente. Si



Regolamento Europeo


privacy , informazioni appropriate e potenziando opzioni di facile utilizzo per l’utente. Siraccomanda la centralità dell’utente.

La nuova proposta europea di riforma della privacy introduce, rispetto alla Direttiva 95/46/EC, unn Riferimento a “data protection by design and by default” (articolo 23 del Regolamento e articolon 19 della Direttiva).• La Commissione europea ha preferito descrivere le funzioni del responsabile del trattamento invece di impostare lo status giuridico della

IL FUTURO REGOLAMENTO

EUROPEO

IL FUTURO REGOLAMENTO

EUROPEO


Regolamento Europeo


trattamento invece di impostare lo status giuridico della“data protection by design and by default”.E’ fondamentale chiarire il significato ditale concetto, concentrandosi sul vero senso di questi termini.


Regolamento Europeo


La Pubblica Amministrazione riveste ruoli importanti in questo scenario essendo:promotore di interventi coordinandone lo sviluppo, svolge compiti di integrazione dellediverse iniziative, detentore di dati ed informazioni rilevanti in quantità e qualità, utente


Regolamento Europeo


diverse iniziative, detentore di dati ed informazioni rilevanti in quantità e qualità, utentequalificato dei servizi offerti dalle comunità intelligenti, soggetto finanziatore di servizi edelle infrastrutture a loro supporto, fino a possibile partner degli operatori del settore.

Da parte di molte Amministrazioni, quali soprattutto gli Enti Locali e le realtà collegate, èemerso l’interesse per una migliore comprensione delle problematiche tecnologiche,organizzative, economiche e legali legate all’adozione di modelli e servizi di comunitàintelligenti e smart city.

Aspetti negoziali : i contratti per l’erogazione dei servizi


Regolamento Europeo


Diritto alla salute : il silenzio dei chip

ecc

DigitPA ha costituito un Gruppo di Lavoro con l’obiettivo di condurre l’analisi dello stato dell’arte,i modelli di servizi e competenze, le necessità di regolazione e normativa e gli eventuali rischi legatial paradigma delle Smart city e comunità intelligenti, con particolare attenzione ai requisiti dellaPubblica Amministrazione, al fine di proporre un documento di sintesi ed una serie diraccomandazioni per le Amministrazioni.


Regolamento Europeo


raccomandazioni per le Amministrazioni.

Partecipano al Gruppo di Lavoro rappresentanti nominati dal Ministero dell’Istruzione, dell’Università e della Ricerca Scientifica, del CNR, dell’ Arma dei Carabinieri, dell’Autorità Garante perla Protezione dei Dati Personali, della RAI, e rappresentanti nominati dagli operatori di mercatocome Assintel, IBM, Telecom Italia, CapGemini, CISCO, Technolabs ed altri.

Lo schema di documento è stato sottoposto a consultazione pubblica durante il mese di agosto2012. Sono state ricevute diverse osservazioni che, sono state valutate e recepite nel testo. Il 2ottobre 2012 il Gruppo di lavoro ha fatto proprie all’unanimità le modifiche del testo e lo ha propostoalla Agenzia per l’emanazione e pubblicazione.

Il risultato della consultazione è un documento che si chiama:

“Architetture informative per le Comunità Intelligenti: vi sione concettualee raccomandazioni alla pubblica amministrazione ”


Regolamento Europeo


•Architettura di riferimento del modellodelle Comunità Intelligenti e Smart

City;•individuazione, classificazione estratificazione tra sorgenti informative;•aggregazione e distribuzione delleinformazioni;•livelli di interfacce standard dadefinire.

la legge di conversione del d.l. 179/2012ha recepito le indicazioni contenute neldocumento che definisce il contesto diriferimento per la costruzione dellaPiattaforma nazionale delle comunitàintelligenti (art.20, comma 9 del d.l.179/2012) e fornisce elementi utili per unavisione integrata e coerente del paradigmaSmart City.

Grazie per l’attenzione

http://www.massimofarina.it

http://www.diricto.it


Regolamento Europeo


http://www.diricto.it

[email protected]

Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5

� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o

recitare l'opera � di creare opere derivate � Alle seguenti condizioni:

LICENZA


Regolamento Europeo


� Alle seguenti condizioni:� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza

di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste

condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Smart Cities e trattamento di dati personali: dal Codice della Privacy al Regolamento Europeo

Presentations & Public Speaking

Transcript of Smart Cities e trattamento di dati personali: dal Codice della Privacy al Regolamento Europeo