bto 2015 | marketing e profilazione nell'era della privacy | monica gobbato
TRANSCRIPT
MARKETING E PROFILAZIONE Nell'ERA DELLA
PRIVACY
Avv. Monica Gobbato
Bto Firenze 2015
@MonicaGobbato
6
Tutti i dati dall'inizio della storia dell'uomo al 2003 ora li produciamo in 24/48 ore ma la
QUALITA' non e' la stessa.
14
I dati di geolocalizzazione sono una fonte potenziale di reddito
Parere 5/2005 Gruppo Garanti Europei WP 115 adottato il 25 novembre 2005
Alla prima fase ne è seguita una seconda caratterizzata da servizi
a valore aggiunto che non si basano più sulla localizzazione
delle persone su
loro richiesta (utenti che desiderano avvalersi di un servizio)
ma sul fatto di localizzarle (su richiesta di terzi).
Il valore delle info aumenta quando è collegato ad una
posizione
Geolocalizzazione
Da tempo stiamo assistendo ad un cosiddetto “effetto diluvio”, con un continuo aumento della quantità di dati personali esistenti, elaborati e ulteriormente trasferiti. Questo fenomeno è favorito sia dai progressi tecnologici, vale a dire lo sviluppo dei sistemi di informazione e di comunicazione, sia dalla crescente capacità degli utenti di impiegare le tecnologie e interagire con esse. Con l’aumento della quantità di dati trasferiti in tutto il mondo, aumentano anche i rischi di abuso
Effetto Diluvio ORA BIG DATA
Il principio di Responsabilità Parere 3/2010
del Gruppo ex art. 29 adottato il 13 luglio 2010 (wp 173)
Misure basate sulla profilazione
1. Chiunque ha il diritto di non essere sottoposto a una
m i s u r a c h e p r o d u c a e f f e t t i g i u r i d i c i o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le p re fe renze pe r sona l i , l ’ a f f idab i l i t à o i l comportamento.
Recensioni Tribunale di Milano Sez. I del 25 maggio 2013 ha stabilito che “ I gestori dei motori di ricerca – la cui attività è riconducibile a quella di host provider ai sensi dell’art. 16 d.lg. n. 70 del 2003 – che non si limitino a fornire passivamente servizi di ospitalità di contenuti altrui, ma svolgano attività ulteriori, non meramente automatiche e necessarie per la sola trasmissione o raccolta dei contenuti stessi, perdono la posizione di passività e neutralità cui è legata l’esenzione da responsabilità ai sensi degli art. 15 e 16, d.lg. n. 70 del 2003, con la conseguenza che, nei loro confronti, l’eventuale responsabilità deve essere accertata alla luce degli ordinari criteri di cui all’art. 2043 c.c.”
l Tripadvisor avrebbe dichiarato di fare un controllo preventivo sui post/recensioni mediante un team di 200 persone per evitare irregolarità l Quindi è un soggetto attivo. Applicabilita del 2043 c.c. l Difficile in sede civile perché qui l’host garantisce la riservatezza dei dati personali e quindi l’anonimato nei confronti dei terzi per cui da un lato l’identificazione sarà un’impresa ardua, visto che non sussiste, in tale ambito, l’obbligo di rendere noto al danneggiato il nome dell’autore del giudizio/recensione pubblicati l Non si è considerato però il trattamento Illecito dei dati Personale ex art. 169 Codice Privacy. I dati di Valutazione (recensioni) sono ANCHE dati personali del valutato
Autenticazione tramite Social Grandi
Trasferimenti di dati
Possibili Identità
Fasulle Utilizzo dei Big
Data per svariate finalità, spesso imprevedibili
REGOLAMENTO HA UNA SUA RATIO
Applicabile contemporaneamente in tutti gli Stati membri
Non ha bisogno di legge di recepimento
Non solo Europa Norma extraterritoriale. Si applica a tutti i flussi informativi verso residenti UE
ACCOUNTABILITY art.22 Responsabilita' del Titolare
IL Titolare mediante misure adeguate deve DIMOSTRARE che il suo trattamento è conforme al presente Regolamento
Le misure adeguate comprendono:
1) conservazione della documentazione
2) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33;
3) il rispetto dei requisiti di autorizzazione preventiva o di consultazione
4) la designazione di un privacy officer
PRINCIPIO DI TRASPARENZA CONSENSO DEVE ESSERE ESPLICITO
TRASPARENZA REALE nn burocrazia ed eccesso di info. Occorre sintesi fondata sul reale censimento dei trattamenti
Trovare modalità semplici
NELL'AMBITO DEI DIRITTI DELL'INTERESSATO
Occorrono soluzioni organizzative e tecnologiche affinchè la richiesta sia agevole
DIRITTO ALLA RETTIFICA E ALL'OBLIO
DIRITTO ALLA PORTABILITA' DEI DATI Può essere chiesta a qualunque Titolare
PORTABILITA' DEI DATI
Art 18 L’interessato ha il diritto
quando i dati sono trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere dal responsabi le del trattamento copia dei dati trattati in un formato strutturato che sia di uso comune e gli consenta di farne ulteriore uso.
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Art. 23 Al momento di determinare i mezzi
del trattamento e all’atto del trattamento stesso, il responsabile del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, mette in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato
PRIVACY OFFICER Rientra nella nuova definizione dei Ruoli
Dubbi se abbia un ruolo di vigilanza o garanzia
Formazione, esperienza e certificazione
NOTIFICA DELLE VIOLAZIONI
Ogniqualvolta si verifichi una violazione di sicurezza occorre notificarlo PRIMA Al Garante
Poi all'interessato
CERTIFICAZIONI
Si incoraggia
l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati garantito dai responsabili del trattamento e dagli incaricati del trattamento
VALUTAZIONI D'IMPATTO
Art.33 Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del t rattamento ef fettua una valutazione dell’impatto del trattamento previsto sulla protezione deidati personali.
la valutazione sistematica e globale di aspetti della personalità dell’interessato
il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche o indagini su malattie mentali o infettive
il trattamento di dati personali in archivi su larga scala riguardanti minori, datigenetici o dati biometrici