ius and bit

Il 30 novembre 2010 si è svolta a Brussels la prima conferenza europea su data protection e privacy alla quale ho partecipato per conto del CINFOR – Centro per l’Informatica e l’Innovazione Forense.

Si è trattato di un evento senza dubbio di primaria importanza sia per il momento storico sia per lo spessore dei relatori intervenuti.

Riguardo al momento è senza dubbio importante, posto che si registra un forte cambiamento riguardo soprattutto al rapporto tra privacy e nuove tecnologie. Ciò è maggiormente avvertito a livello europeo, ma c’è fervore anche a livello internazionale. Read the rest of this entry »

Dalla primavera del 2011 in tutti i casinò sarà installato un impianto video di rilevazione biometrica facciale che verrà posizionato di fronte alla porta d’ingresso. Tale impiano consentirà di rilevare i volti di chi accede al casinò ma con garanzia di assoluta riservatezza e, quindi, della tutela dei dati personali. Read the rest of this entry »

La Commissaria Europea Kroes intervenendo all’Université Paris-Dauphine lo scorso 25.11.2010 ha dichiarato quanto sia importante la tematica del cloud computing sottolineando che è più di una semplice sfida tecnica. L’attenzione primaria che viene rivolta a questo nuovo paradigma della rete Internet è costituito dalla tutela dei dati personali e della privacy. Difatti, il rischio che viene spesso paventato è quello che si possa in qualche modo accedere ai dati personali che vengono salvati su server, appunto in clouds, ossia dei quali non si conosce l’effettiva ubicazione.

La Kroes ha sottolineato come il diritto alla protezione dei dati personali sia un diritto fondamentale in Europa.

Di assoluto interesse è stata l’affermazione della Commissioner sul fatto che ci sia necessità di avviare delle ricerche nel campo della evoluzione della privacy e soprattutto di ricercare fondi per approfondire le tematiche della “Privacy by Design” e delle Privacy Enhancing Technologies.

E’ evidente, quindi, come in effetti si possa considerare avviata la svolta in materia di privacy che vedrà concreti cambiamenti nei prossimi 10 anni.

La Kroes ha affermato che ogni utente europeo del cloud computing dovrebbe essere in grado di sapere due cose:

a) che il provider protegge i propri dati personali in modo efficiente, essendo in linea con le norme UE sulla protezione dei dati personali,

b) che tutti i Governi di tutti i paesi in cui si trovano server in cloud devono avere un quadro giuridico che garantisca un’adeguata protezione dei dati e della privacy. Ci possono essere limitate eccezioni per ragioni di ordine pubblico e sicurezza nazionale, ma queste devono essere governate dallo Stato di diritto.

Sulla protezione dei dati personali la Kroes ha dichiarato che è necessario modificare le norme sulla privacy che è diritto fondamentale, rispondendo alle seguenti domande:

• How do we ensure transparency in the processing of personal data? People should be aware of what they are signing up to. They should have the possibility to review their choice in a user-friendly manner at any time.
• Data minimisation: what can be done to ensure that just the right amount of personal data is collected, and nothing more?
• The “right to be forgotten” – how can that work in practice? Here I want to pass my personal thanks to Nathalie Kosciusko-Morizet whose relentless work on this subject has been very valuable. Let me be clear: in my view, the issue is not merely about deleting all data. Just like in real life, when you present yourself on the net, you cannot assume no records exist of your past actions. What matters is that in those cases any data records are made irreversibly anonymous before further use is made of them.
• Data portability. This is all about freedom of choice: the right for you to change your mind and preference about the services you need. Freedom of choice is only possible when a user can easily and freely transfer his or her data to him or herself and then possibly to another service provider.
• Efficient use of the resources invested in data protection is important – both for the supervisory authorities and for the industry complying with it. Unnecessary administrative burdens should be removed where possible.

Con una lettera datata 19.11.2010 e indirizzata alla Vice Presidente della Commissione EU e Commissaria Viviane Reding, l’Art. 29 Working Party esprime il proprio parere in ordine all’accordo generale tra Europa e Stati uniti in ordine alla protezione dei dati personali quando trasferiti e trattati ai fini della prevenzione, ricerca, accertamento o repressione di reati, compreso il terrorismo, nel quadro della cooperazione di polizia e cooperazione giudiziaria in materia penale.

L’Art. 29 WP dapprima si lamenta di non essere stato assolutamente coinvolto nel processo connesso con il negoziato che ha posto le basi di questo accordo generale.

Tuttavia, dopo una serie di precisazioni in ordine alla protezione dei dati personali, esprime apprezzamento per il lavoro svolto, ma lancia un monito preciso per il quale si ritiene di riportare integralmente il testo che sicuramente rende meglio della traduzione:

It therefore urges the Commission, the Council and the European Parliament to ensure a strict and far reaching negotiating mandate, to obtain a high level of data protection. Coherence is needed in light of current developments, including the review of the EU data protection legal framework and the proposed negotiations with the US on a new PNR agreement.

As mentioned before, the Working Party recognises the importance of this agreement as one of the most important steps in data protection to be taken in the coming years. The European Data Protection Authorities therefore respectfully request to be given a role in developing the future agreement and to be given regular updates on the state of play. This would enable the Working Party, also given its role as an official advisory body of the Commission on data protection issues, to recommend possible solutions should difficulties arise.

Ad Arezzo, il 12.11.2010, si è tenuto il “Privacy Day”, evento interamente riservato alla privacy e alla protezione dei dati personali.

Questi i relatori ed i loro interventi: Dott. Andrea Chiozzi – “Privacy in azienda: elementi fondamentali per essere in regola con la normativa vigente”, Avv. Nicola Fabiano – “I furti d’identità nel web 2.0: dalle PETs alla Privacy by Design”, Dott.ssa Beatrice Rubni (CRIF) – “Metodi e strumenti per difendersi dal furto di identità”, Avv. Valentina Frediani – “Il nuovo provvedimento generale sulla videosorveglianza”, Dott. Luca Bolognini – “e-marketing nella comunità del terzo millennio”, Dott. Giuseppe Chiaravalloti (Vice Presidente del Garante Privacy) – “Le funzioni del Garante per la protezione dei dati personali  a tutela della comunità”, Dott. M.Giovanni Buttarelli (Garante Europeo Aggiunto) – intervento in collegamento telefonico sulle questioni più attuali in tema di privacy a livello europeo, Avv. Rosario Imperiali – “Le implicazioni della normativa sulla privacy nel rapporto di lavoro subordinato”, Avv. Michele Iaselli – “Il cittadino e la privacy: Il diritto fondamentale alla riservatezza dei propri dati personali”, Avv. Luca Giacopuzzi – “La biometria in azienda: regime giuridico e implicazioni operative”, Avv. Vittorio Lombardi – “Privacy & Detective: Poteri e limiti posti dalla legge nelle attività investigative”, Col. Umberto Rapetto (GATT – Nucleo Antifrodi Informatiche della Guardia di Finanza) – “Sicurezza sul Web, perchè è di fondamentale importanza”.

Senza dubbio molto interessanti gli interventi istituzionali, e precisamente del Vice Presidente del Garante, Dott. Giuseppe Chiaravalloti, e del Garante Europeo Aggiunto, Dott. Giovanni Buttarelli. Il Dott. Chiaravalloti ha presentato il ruolo e le competenze dell’Autorità, sottolineando l’indipendenza del Garante per la protezione dei dati personali che svolge la sua attività in assoluta autonomia a tutela della collettività, specie con riguardo alle nuove tecnologie in continua evoluzione.

Di particolare importanza è stato l’intervento del Garante Europeo, il quale ha confermato, così come anticipato dalla Commissione Europea con il comunicato del 4.11.2010 e con l’avvio della consultazione pubblica, che si sta lavorando su tutti i fronti per la riforma della normativa europea in materia di privacy, non solo con riferimento alla direttiva 1995/46/CE, ma anche riguardo alla Convenzione 108 del 28.1.1981 che sarà oggetto di revisione. Lo stesso Dott. Buttarelli ha anche evidenziato l’importanza di quanto discusso recentemente in seno alla 32 Conferenza Mondiale dei Garanti che si è tenuta a Gerusalemme, la quale ha, peraltro, adottato la risoluzione sulla Privacy by Design proposta dalla Commissioner dell’Ontario (Canada), Dr. Ann Cavoukian. In buona sostanza è emerso come a livello europeo ed internazionale gli attori e gli operatori, anche istituzionali, abbiamo preso coscienza del fatto che sia in corso un cambiamento epocale in materia di privacy e dati personali. Diventa, pertanto rilevante il ruolo di tutti i players, anche istituzionali, per contribuire ad una adeguata modifica degli attuali assetti.

Il mio intervento era volto a sottolineare il fenomeno del furto d’identità per l’utente del web, nonché le risorse che possono favorire la tutela della privacy e dei dati personali. Difatti, ho evidenziato proprio il ruolo delle Privacy Enhancing Technologies (PET), ossia delle soluzioni tecnologiche che migliorano la privacy che rappresentano – a mio personale avviso – il passaggio intermedio verso le soluzioni da adottare nel prossimo futuro secondo gli schemi della Privacy by Design. Infatti, quale PbD Ambassador, non potevo tralasciare la privacy by design che va considerata una pietra miliare per la privacy, poiché rappresenta il punto di snodo verso il futuro della privacy.

L’evento è stato patrocinato da numerose organizzazioni, tra cui anche il CINFOR che ha ritenuto opportuno supportare un’iniziativa di così alto spessore.

L’evoluzione tocca anche il settore della privacy rispetto alla tradizionale e primaria configurazione con il riferimento alle PET (acronimo di Privacy Enhancing Technologies) che costituiscono le tecnologie utilizzate per migliorare il diritto alla privacy. Ovviamente tali tecnologie vengono considerate in maniera neutra, ovvero senza alcuna connessione con specifiche fattispecie. Tale espressione fu utilizzata per la prima volta nel report pubblicato nel 1995 dal tiolo “Privacy-enhancing technologies: the path to anonymty”, della Data Protection Authority olandese in collaborazione con il Commissario dell’Ontario (Canada).

Sul piano puramente pratico, il riferimento alle PET era rivolto a qualsiasi risorsa tecnologica che potesse ridurre i rischi di uso illecito dei dati personali. Peraltro, proprio a livello europeo il Seventh Framework Program (FP7), il programma europeo di finanziamenti per la ricerca e lo sviluppo tecnologico per il periodo 2007-2013, ha evidenziato l’importanza di adottare soluzioni tecnologiche per la protezione della privacy. Su questo fronte è chiara la voce del Garante europeo P. Hustinx che ha rilevato, invece, una mancanza di azione su questo fronte anche riguardo all’uso pratico delle PET in settori importanti.

Tuttavia, dalle PET negli anni ’90 il Commissario Privacy dell’Ontario ha iniziato a parlare di un nuovo concetto denominato “Privacy by Design” che costituisce, in estrema sintesi, l’evoluzione delle PET senza abolirle, tant’è che si parla di PET Plus. In realtà, il profilo più delicato sul piano della riservatezza è costituito proprio dall’intero sistema IT e dalle comunicazioni mediante Internet. Privacy by Design si riferisce alla filosofia e all’approccio di considerare la privacy nelle specifiche di progettazione delle varie tecnologie.

In buona sostanza il concetto di Privacy by Design trova spazio nella trilogia di applicazioni: 1) IT systems; 2) accountable business practices; and 3) physical design and infrastructure”. In sostanza:

1)    Tecnologia dell’informazione;

2)    Pratiche commerciali responsabili;

3)    Progettazione delle strutture.

In particolare, con riferimento alla tecnologia dell’informazione si afferma, come già evidenziato, che la tecnologia non può costituire una minaccia per la privacy, ma un ausilio per la riduzione dei rischi. Per le pratiche commerciali responsabili, viene evidenziato come la privacy non va interpretata come un onere, un costo che appesantisce l’attività imprenditoriale ma, al contrario, come un vantaggio per una migliore competitività. Infine, l’elemento della progettazione delle strutture assume rilevanza – secondo il Commissario dell’Ontario – poiché molto spesso siamo costretti a vedere esposti i dati personali in aree pubbliche mal progettate come, ad esempio, le sale d’attesa degli ospedali o degli uffici, ove è possibile che vengano – illecitamente – divulgate le informazioni personali.

Fermo il contesto rappresentato dai tre punti precedenti, la Privacy by Design si fonda su sette principi:

1. Proactive not Reactive; Preventative not Remedial: l’approccio alla PbD è di tipo proattivo piuttosto che reattivo; l’obiettivo è quello di anticipare gli eventi e non attendere che essi si verifichino per proporre rimedi alle soluzioni.
2. Privacy as the Default: questo principio consiste nella salvaguardia del soggetto poiché il bene “privacy” va considerato a priori; in sostanza, nessuna azione è richiesta all’interessato per proteggere la propria privacy, perché i dati personali vengono protetti automaticamente in ogni sistema IT o commerciale, anche se il soggetto non fa nulla.
3. Privacy embedded into Design: la PbD è incorporata nell’architettura dei sistema e delle pratiche commerciali e non costituisce un quid pluris, un elemento da apporre successivamente: si tratta di una componente essenziale del sistema che non incide sulla sua funzionalità.
4. Full Functionality – Positive-Sum, not Zero-Sum: la PbD mira a conciliare tutti gli interessi legittimi e gli obiettivi in una somma positiva del tipo “win-win” dove sono inutili i compromessi e non attraverso un approccio datato del tipo “zero-sum”; in sostanza in un contesto tradizionale, un soggetto vince ed uno perde, mentre nella PbD tutte le parti devono risultare vincenti. Inoltre, “Privacy by Design avoids the pretense of false dichotomies, such as privacy vs. security, demonstrating that it is possible to have both”.
5. End-to-End Lifecycle Protection: incorporati i dati all’inizio non c’è rischio sino alla fine del processo di trattamento dei dati, con la sicurezza che, all’esito, tutti i dati saranno distrutti tempestivamente in modo sicuro. Così, la PbD assicura dalla culla alla tomba la gestione dell’intero ciclo vitale delle informazioni, “end-to-end”.
6. Visibility and Transparency: PbD garantisce che tutti i soggetti interessati, indipendentemente dalla prassi aziendale o dalla tecnologia, potranno in qualsiasi momento effettuare le verifiche più opportune in assoluta trasparenza.
7. Respect of user privacy: al di là di tutto, la PbD richiede agli operatori che gli interessi dei soggetti siano preminenti e quindi offrendo misure come una forte privacy di default, informazioni appropriate e potenziando opzioni di facile utilizzo; il tutto con un approccio user-centric.

Come si può notare si tratta di una vera e propria rivoluzione della privacy che non concerne soltanto le misure tecniche per assicurare adeguata sicurezza ai dati personali, ma una serie di concetti innovativi che prescindono dall’assolutizzare la protezione dei dati personali per giungere alla considerazione che la sicurezza delle informazioni è insita nel concetto stesso di privacy.

Ad avviso di chi scrive ciò rappresenta l’evoluzione ulteriore del concetto già affermato con le PETs (Privacy Enhancing Technologies), che può determinare l’ambito operativo e di azione della privacy 3.0. In effetti, sebbene si tratti di questioni che contengono profili futuristici, il processo evolutivo è già in atto da tempo e si attesta in questi tempi con la presa di coscienza della necessità di un approccio nuovo alle questioni attinenti i dati personali.

Non si tratta soltanto di una questione nominale o teorica, poiché numerosi sono i riflessi pratici della Privacy by Design.

Il D.P.R. 7 settembre 2010 n. 178, recante “Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all’utilizzo del proprio numero telefonico per vendite o promozioni commerciali“, pubblicato sulla Gazzetta Ufficiale n. 256 del 2 Novembre 2010, ha istituito il registro pubblico degli abbonati che non intendono essere contattati per operazioni di telemarketing.

Il citato decreto entrerà in vigore il 17 novembre 2010.

E’ stata adottata la soluzione del c.d. “opt-out” piuttosto che quella dell’opt-in. Che cosa vuol dire ?

In sostanza chi è stanco di ricevere telefonate promozionali di telemarketing potrà porre fine chiedendo la registrazione del proprio numero telefonico nel citato registro pubblico degli abbonati ed in questo modo non verrà più contattato. La differenza rispetto all’opt-in consiste nel fatto che spetta al soggetto interessato avanzare la richiesta, piuttosto che al contrario; con il sistema dell’opt-in, infatti, le attività di telemarketing erano inibite di default e chi voleva essere contattato avrebbe dovuto chiederlo.

In ogni caso, è necessario attendere i tempi tecnici affinché il Ministero dello Sviluppo adotti le opportune procedure per la concreta funzionalità del sistema. In particolare, l’art. 4, comma 1, dispone: “1. Il Ministero dello sviluppo economico provvede alla realizzazione e gestione del registro anche affidandone la realizzazione e la gestione a soggetti terzi che ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio…“; pertanto, dovrà essere stabilito preventivamente quale sarà il o i soggetto/i terzo/i che provvederà alla realizzazione e alla gestione del registro.

Sono interessanti i commi 2 e 3 del citato art. 4 perché dispongono:

2. La concreta realizzazione ed il funzionamento del registro devono essere garantiti entro novanta giorni dalla data di pubblicazione del presente regolamento anche in caso di affidamento a terzi. A tale fine il Ministero dello sviluppo economico o il soggetto affidatario del contratto di servizio: a) trenta giorni dal predetto termine iniziale provvede allo svolgimento e conclusione della consultazione dei principali operatori; b) sessanta giorni dal predetto termine iniziale provvede, anche sulla base dell’esito della consultazione di cui alla lettera a), alla predisposizione e attivazione delle modalita’ tecniche ed operative di funzionamento ed accesso al registro da parte degli operatori; c) novanta giorni dal predetto termine iniziale provvede alla predisposizione ed attivazione delle modalita’ tecniche ed operative di iscrizione al registro da parte degli abbonati. 3. Ai sensi dell’articolo 20-bis, comma 2, del decreto-legge 25 settembre 2009, n. 135, convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166, il registro e’ istituito con il completamento di tutte le fasi della procedura descritta nel comma 2.

In buona sostanza, la realizzazione ed il funzionamento devono essere garantiti nel termine di 90 giorni dal 2.11.2010 e cioè entro il 31.01.2011. Il registro dovrà risultare istituito entro il 31.1.2011 a conclusione delle fasi indicate alle lettere a), b) e c) del comma 2.

Il sistema per l’iscrizione è molto semplice: l’utente, ai sensi dell’art. 7,  dovrà effettuare questa operazione mediante il proprio gestore che si farà carico di predisporre gli opportuni sistemi (mediante modulo elettronico, chiamata, lettera raccomandata o fax) per eseguire la richiesta.

Per coloro che, invece, non richiederanno l’iscrizione nel registro in questione, il gestore sarà obbligato a far identificare il numero dal quale chiama (art. 9), dovrà rendere l’informativa per la privacy (art. 10), avrà l’obbligo nei riguardi degli abbonati di “…favorire la piena consapevolezza dei loro diritti e delle modalita’ di opposizione al trattamento di dati per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’impiego del telefono …“.

Il regolamento in questione prevede il controllo da parte del Garante privacy (art. 12) e la tutela dell’abbonato (art. 13)  secondo le norme del codice privacy (artt. 141 e seguenti).

Con un comunicato stampa del 4 novembre scorso la Commissione Europea ha annunciato di aver presentato una strategia per la protezione dei dati personali e della privacy in Europa.

In particolare si riportano i passi del comunicato stampa che indicano gli obiettivi dell’azione:

- rafforzare i diritti delle persone di modo che la raccolta e l’utilizzo dei dati personali siano limitati allo stretto necessario. Gli interessati devono essere informati in modo chiaro e trasparante su come, perché e da chi i loro dati sono raccolti e utilizzati. Essi dovrebbero essere in grado di esprimere un consenso informato al trattamento, ad esempio quando surfano in internet, e avere il “diritto all’oblio” quando i propri dati non sono più necessari o se vogliono farli cancellare;

- rafforzare la dimensione “mercato interno” tramite la riduzione degli oneri amministrativi per le società e assicurando condizioni di parità effettive. Le differenze esistenti nell’attuazione delle norme di protezione dei dati dell’UE e la scarsa chiarezza in merito alla normativa nazionale applicabile ostacolano la libera circolazione dei dati personali in tutta l’UE e fanno aumentare i costi;

- rivedere le norme di protezione dei dati nell’ambito della cooperazione di polizia e giudiziaria in materia penale in modo da assicurare anche in questi settori la protezione dei dati a carattere personale. In forza del trattato di Lisbona, l’UE ha ora la possibilità di definire norme generali e coerenti di protezione dei dati per tutti i settori, compresa la cooperazione di polizia e giudiziaria in materia penale, le cui esigenze specifiche saranno ovviamente prese in considerazione. Stando alla revisione, i dati conservati a fini di contrasto dovrebbero essere coperti dal nuovo quadro giuridico. La Commissione ha avviato la revisione anche della direttiva sulla conservazione dei dati del 2006, secondo la quale le società devono conservare i dati relativi al traffico delle comunicazioni per un periodo compreso tra sei mesi e due anni;

- garantire un alto livello di protezione per i dati trasferiti al di fuori dell’UE grazie a procedure migliori e semplificate per i trasferimenti internazionali di dati. L’UE dovrebbe perseguire uno stesso livello di protezione in cooperazione con i paesi terzi e promuovere elevati standard internazionali di protezione dei dati;

- attuare più efficacemente le norme rafforzando e armonizzando ulteriormente il ruolo e le competenze delle autorità di protezione dei dati. Una cooperazione e un coordinamento rafforzati sono assolutamente necessari anche per assicurare un’applicazione più coerente delle norme di protezione dei dati nel mercato unico.

Si tratta senza dubbio di un annuncio importante, anche perché viene aperta congiuntamente una consultazione pubblica disponibile qui: http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm

Nel 2011 la Commissione presenterà, quindi, “le sue proposte per un nuovo quadro giuridico generale sulla protezione dei dati che dovrà essere negoziato e adottato dal Parlamento europeo e dal Consiglio”.

Tra gli aspetti più rilevanti emergono: a) il proposito di rafforzare il diritto delle persone assicurando un maggiore controllo dei dati personali anche in ordine alla eventualità di deciderne la cancellazione (diritto all’oblio); b) l’apertura alle questione sulla conservazione dei dati; c) il problema dei dati trasferiti extra UE; c) maggiori competenze alle Authority. La Commissione sembra aver preso coscienza con un’azione specifica di quanto sia importante garantire a ciascun soggetto il diritto di controllare ed utilizzare i propri dati personali. In quest’ottica, il soggetto diventa elemento centrale e primario rispetto a qualsiasi altro aspetto, con la conseguenza che deve essere garantita una tutela preventiva rispetto al processo che riguarda il trattamento dei dati. Ciò costituisce un approccio molto più evoluto rispetto a quello tradizionale che risulta peraltro compatibile con la risoluzione sulla Privacy by Design (96) adottata di recente dalla 32^ Conferenza Mondiale dei Garanti. A parere di chi scrive si può ben dire che si sta attuando il processo evolutivo della privacy, tanto da poter parlare – come per il web – addirittura in termini di privacy 3.0.

Sarà, quindi, opportuno – come primo step – partecipare alla consultazione pubblica ed attendere gli ulteriori sviluppi.