rischi e tutele sull’uso dei wearable device

43
MILAN november 28 th /29 th , 2014 RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE http://www.diricto.it/ http://www.massimofarina.it/ [email protected] Massimo Farina http://ict4forensics.diee.unica.it/

Upload: massimo-farina

Post on 16-Jul-2015

936 views

Category:

Education


2 download

TRANSCRIPT

MILAN november 28 th/29th, 2014

RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE

http://www.diricto.it/http://www.massimofarina.it/[email protected]

Massimo Farina

http://ict4forensics.diee.unica.it/

MILAN november 28 th/29th, 2014 - Speaker’s name

"WEARABLE DEVICE “:dispositivi tecnologici indossabili

occhiali

braccialetti scarpe

abiti

cinture

orologi

MILAN november 28 th/29th, 2014 - Speaker’s name

sistemi di monitoraggio a distanza dei pazienti , archiviazione dei parametri vitali e/o delle calorie degli alimenti della propria dieta,

“SETTORI INTERESSATI“

cronometri, contapassi, contavasche (per il nuoto), cardiofrequenzimetri e contachilometri personaliSPORTIVO

MEDICO

MILAN november 28 th/29th, 2014 - Speaker’s name

“SETTORI INTERESSATI“

TECNOLOGIA INVESTIGATIVA

INTRATTENIMENTO

MILAN november 28 th/29th, 2014 - Speaker’s name

Dispositivi capaci di raccogliere di informazioni e che necessitano di essere connessi ad un pc per poterle elaborare, arc hiviare e condividere

Dispositivi che per essere operativi (anche per la semplice raccolta di informazioni) dipendono da un pc o da uno smartphon e

Dispositivi autonomi

CATEGORIE DI DISPOSITIVI

MILAN november 28 th/29th, 2014 - Speaker’s name

ASPETTI RILEVANTI(nessuna novità)

GEOLOCALIZZAZIONEINTERNET

CLOUD COMPUTING

CLOUD COMPUTING

Comunità social

Combinazione di aspetti già noti

MILAN november 28 th/29th, 2014 - Speaker’s name

�L’antenna GPS inserita nella visiera localizza geograficamente e in tempo reale il corridore

�il modulo Bluetooth permette la connessione ad Internet (tramite cellulare) per archiviare automaticamente i dati raccolti (velocità, calorie bruciate, etc...)

�il cloud storage consente di avere tali dati disponibili su qualunque computer da qualunque parte del mondo e

�Il social network permette di condividere l'esperienza on-line

Per esempioUn corridore che utilizza una mascherina (intelligente) per gli occhi può tenere traccia dei propri allenamenti, rielaborare il percorso fatto, misurare i tempi di percorrenza di particolari circuiti ecc.

MILAN november 28 th/29th, 2014 - Speaker’s name

TUTELA E SICUREZZA TUTELA DELLA PERSONA

TUTELA DEL DATO PERSONALE

TUTELA CONTRATTUALE

MILAN november 28 th/29th, 2014 - Speaker’s name

Quando gli oggetti sono IDENTIFICABILI E LOCALIZZABILI , sorgono problematiche afferenti al trattamento dei dati personali ed alla tutela degli interessati ai quali le informazioni si riferiscono. Dagli oggetti è possibile RISALIRE ALLE PERSONE ed, in particolare, alla POSIZIONE di queste ultime

ESEMPIO: quell’oggetto oltrepassa una barriera che lo rileva e, dunque, si acquisisce l’informazione che l’oggetto (e, dunque, la persona) è in un certo luogo. Si tratta di un vero e proprio

TRACCIAMENTO degli individui

IL TRACCIAMENTO DELLE COSE ………E DELLE PERSONE

MILAN november 28 th/29th, 2014 - Speaker’s name

CONTESTO NAZIONALE

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione dei dati

Decreto legislativo 30 giugno 2003, n. 196

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Contesto normativo di riferimento

MILAN november 28 th/29th, 2014 - Speaker’s name

SOGGETTISOGGETTI

ADEMPIMENTIADEMPIMENTI

TITOLARETITOLARE

RESPONSABILE RESPONSABILE

INTERESSATO

NOTIFICAZIONENOTIFICAZIONE

CONSENSOCONSENSO

INFORMATIVA INFORMATIVA

GARANTE

Impatto con la disciplina attualmente vigente(adempimenti)

MISURE DI SICUREZZA MISURE DI SICUREZZA

MILAN november 28 th/29th, 2014 - Speaker’s name

NOTIFICAZIONENOTIFICAZIONE

CONSENSOCONSENSO

Art. 37, co. 1, lett. a): dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

Art. 163: Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro

Art. 23, co. 4: Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Art. 167. […] è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

MILAN november 28 th/29th, 2014 - Speaker’s name

INFORMATIVAINFORMATIVA

Art. 13 L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro .

MILAN november 28 th/29th, 2014 - Speaker’s name

TITOLARE TITOLARE

RESPONSABILE RESPONSABILE

Possibile disgiunzione di ruoli tra chi raccoglie i dati e chi offre e gestisce il servizio di raccolta

Impatto con la disciplina attualmente vigente(aspetti soggettivi)

NON SEMPRE IL PRODUTTORE DEL DEVICE HA UN RUOLO PREMINENTE

Può capitare che gli intermediari (per es PROVIDERS) abbiano una forza che li sottrae al controllo del produttore

CONSIDERANDO 47 DELLA DIRETTIVA 95/46/CE: TITOLARI (controllers) SUPPLEMENTARI PER LA FORNITURA DEL SERVIZIO DI COMUNICAZIONI ELETTRONICH E

Difficoltà di seguire il modello titolare/responsabile in quanto risulta, di fatto, assai complicato (praticamente impossibile) nominare i providers (o i sub-providers), quali responsabili esterni del trattamento

MILAN november 28 th/29th, 2014 - Speaker’s name

Assenza di un quadro normativo dedicato al

cloud computing

la normativa europea sulla protezione dei dati risale al 1995.

d.lgs. 69 e 70 / 2012, recepimentodelle direttive 2009/136/EC “in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche”, e 2009/140/C “in materia di reti e servizi di comunicazione elettronica”

Nuovo obbligo, per le società telefoniche e gli internet provider:

-notificare alle rispettive Authority tutte le violazioni di sicurezza relative ai dati personali;

- la notifica va effettuata anche agli utenti “quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona”.

Il prossimo futuro??(entro il 2014??)

approvazione del nuovo Regolamento europeo sulla protezione dei dati che sostituirà il Codice della Privacy

MILAN november 28 th/29th, 2014 - Speaker’s name

WEARABLE DEVICE e cloud di informazioni sullo stato di salute

L’oggetto del trattamento sono i “dati sensibili”(art. 4, lett. d) d.lgs. n.

196/2003)

L’oggetto del trattamento sono i “dati sensibili”(art. 4, lett. d) d.lgs. n.

196/2003)

12-18 maggio 2014SWEEP DAY (“indagine a tappeto") sulle app mediche da parte del Global Privacy Enforcement Network (GPEN), per verificare la conformità del trattamento alla normativa

FINALITÀ DELL’INIZIATIVA : accrescere la consapevolezza della necessità di proteggere i dati personali; favorire il rispetto delle norme a salvaguardia degli utenti; sviluppare azioni di sensibilizzazione e formazione del pubblico sull'uso delle applicazioni mobili; promuovere iniziative globali sulla privacy.

MILAN november 28 th/29th, 2014 - Speaker’s name

Una su due app esaminate non fornisce agli utenti un 'informativa prima del download o chiede dati eccessivi rispetto alle funzionalità o fferte

Serve più trasparenza nell'uso dei dati degli utenti che scaricano app mediche in Italia […] anche nel nostro Paese gli utenti non sono adeguatamente tutelati e troppe volte non sono messi in grado di esprimere un consenso libero e informato

La scelta tutta italiana di analizzare app del settore medico o di wellness è in linea con le preoccupazioni manifestate dall'Europa su questo tema.

La Commissione Europea ha di recente avviato una consultazione sulla Mobile Health e ha pubblicato il Libro Verde sulle applicazioni sanitarie mobili (Green Paper on Mobile Health).

Risultati dell’indagine 10 settembre 2014

MILAN november 28 th/29th, 2014 - Speaker’s name

A seguito dell'esito dell'indagine, il Garante sta valutando le azioni da intraprendere, anche al fine di possibili intervent i prescrittivi o sanzionatori.

A livello internazionale, l'iniziativa ha fatto crescere le preoccupazioni sulle app, che offrono funzionalità che vanno dai giochi al meteo, dalle news ai servizi bancari. I risultati dell'indagine hanno mostrato come vi sia una scarsa attenzione alla tutela degli utenti e la necessità che questi software, che raccolgono un'ingente mole di informazioni personali, rendano piùtrasparente e chiaro l'uso delle stesse.

Su un totale di oltre 1200 applicazioni esaminate, appena il 15% risulta dotato di un'informativa privacy realmente chiara. Nel 59% dei casi è stato difficile per le Autorità di protezione dati reperire un'informativa privacy prima dell'installazione.

Risultati dell’indagine 10 settembre 2014

MILAN november 28 th/29th, 2014 - Speaker’s name

�Sistematizzazione delle infrastrutture

�Riorganizzazione dei flussi informativi e migliore fruibilità dei dati

�Razionalizzazione dei costi (servizi più moderni, più efficienti e più funzionali)

MILAN november 28 th/29th, 2014 - Speaker’s name

�Circolazione dei dati sanitari

�Esternalizzazione e Delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati

�Conservazione dei dati in luoghi geografici differenti

MILAN november 28 th/29th, 2014 - Speaker’s name

• D.lgs. 196/03, art. 22, co. 1: I dati sanitari non possono essere diffusi, ossia essere resi disponibili a soggetti indeterminati;

• D.lgs. 196/03, All. B) n. 24: I dati sanitari possono essere comunicati a soggetti determinati o trasmessi (es., dal titolare al responsabile), ma il trasferimento deve avvenire in forma cifrata;

• Provv. Garante Privacy, Linee guida sul referto online, 25 giugno 2009: 1. in caso di trasmissione dei dati tra server del titolare di trattamento e client dell'interessato, è stato

specificato che essa deve avvenire attraverso protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identità dei sistemi che erogano il servizio in rete (es. protocolli https ssl – Secure Socket Layer);

2. è stato previsto per la trasmissione di documenti allegati contenenti dati sanitari (referto on-line) l'utilizzo di password o di chiavi crittografiche per l'apertura del file;

3. nella trasmissione occorre evitare l'acquisizione non autorizzata del dato durante eventuale caching, a tal fine adottando tecniche idonee

4. Necessità di individuazione sicura del destinatario della comunicazione (interessato o responsabile esterno) mediante l'utilizzo di idonei sistemi di autenticazione informatica (credenziali o, preferibilmente, tramite procedure di “strong authentication” (indicato come meramente preferenziale); per es. per l’invio del referto on-line via e-mail al paziente è richiesto quantomeno che si proceda alla “convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line”.

Circolazione dei dati sanitari

MILAN november 28 th/29th, 2014 - Speaker’s name

Il trasferimento dei dati sanitari all’interno della UE e dei paesi dello “Spazio Economico Europeo” è disciplinato dalle medesime regole sopraccitate

Attualmente risultano in questa condizione: Andorra, Argentina, Australia, Canada, Guernsey, Isola di Man, Isole Faroe, Israele, Jersey, Nuova Zelanda, Principato di Monaco, Svizzera, Uruguay.Per gli stati uniti si applica l’accordo SafeHarbor (art.44, co. 1, lett. b, CdP)

Nel caso di diverso paese di destinazione??

È necessario verificare che il livello di protezione dei dati personali sia adeguato a quello vigente in ambito UE

Nel caso non vi sia giudizio di adeguatezza, affinché il trasferimento sia consentito occorre invece fare riferimento a particolari cautele/strumenti

Ottenere il consenso dall’interessato,salvo

i casi di esonero, espressamente

disciplinati

Adottare modelli contrattuali che vincolano il soggetto ricevente i dati al

rispetto del livello adeguato di tutela dei dati personali

TRASFERIMENTO IN AMBITO EXTRA UE

MILAN november 28 th/29th, 2014 - Speaker’s name

MISURE MINIME DI SICUREZZA

MISURE MINIME DI SICUREZZA

�Il titolare dei dati deve assicurarsi che:siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole.

•Il cliente (cd. interessato) dovrebbe, ad esempio, potersi accertartare che i dati siano sempre “disponibili” (che possa cioè sempre accedere ai propri dati) e “riservati” (che l’accesso cioè sia consentito solo a chi ne ha diritto).Nota: Per garantire che i dati siano al sicuro, non sono importanti solo le modalità con cui sono conservati, ma anche quelle con cui sono trasmessi (ad esempio utilizzando tecniche di cifratura).

MISURE IDONEE DI SICUREZZA

MISURE IDONEE DI SICUREZZA

MILAN november 28 th/29th, 2014 - Speaker’s name

I contratti per l’erogazione dei servizi connessi ai wearable device

Contratti atipici misti

Sviluppo: software housing

hostingLicenza d’uso

mautenzione

MILAN november 28 th/29th, 2014 - Speaker’s name

un’indagine preliminare su

•Luogo in cui si trovano i soggetti coinvolti nel trattamento

•Luogo in cui si trovano le infrastrutture nelle qua li si trattano i dati

•Presenza di altri soggetti (intermediari) tra titol are e interessato (produttore e cliente) e luogo di ubicazione degli intermediari e delle loro infrastrutture

•Luogo in cui risiedono fisicamente i dati

•Metodo di raccolta e trattamento dei dati del clien ti e dei suoi

•Sorte dei dati dopo la cessazione del rapporto contrattuale

Per realizzare un buon contratto è necessaria

MILAN november 28 th/29th, 2014 - Speaker’s name

INFORMATIVAINFORMATIVA

Art. 13 L'interessato o la persona presso la quale sono raccoltii dati personali sono previamente informati oralmente o per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.

MILAN november 28 th/29th, 2014 - Speaker’s name

Gerusalemme, 27-29 Ottobre:Risoluzione sulla “Privacy byDesign” adottata durante la 32^ Conferenza internazionale dei Garanti privacy

25 gennaioProposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

Contesto INTERNAZIONALE

MILAN november 28 th/29th, 2014 - Speaker’s name

Gerusalemme, 27-29 Ottobre:La 32^ Conferenza internazionale dei Garanti privacy ha adottato una risoluzione sulla Privacy byDesign

Encourage the adoption of Privacy byDesign’s Foundational Principles, suchas those set out below as guidance toestablishing privacy as anorganization’s default mode of operation…

Privacy by Design:The Foundational Principles

�Proactive not Reactive; Preventative not Remedial�Privacy as the Default�Privacy Embedded into Design�Full Functionality: Positive-Sum, not Zero-Sum�End-to-End Lifecycle Protection�Visibility and Transparency�Respect for User Privacy

SETTORI IINTERESSATI� Sistemi IT�Pratiche commerciali corrette(responsabili) – la privacy non èfinalizzata a se stessa�Progettazione fisica (costruzioni)

CONTESTO INTERNAZIONALE

MILAN november 28 th/29th, 2014 - Speaker’s name

1. Proattivo non reattivo; prevenire non correggereL’approccio alla Privacy by Design (PbD) è caratterizzato da interventi di tipo proattivo piuttosto che reattivo.Esso anticipa e previene gli eventi invasivi della privacy prima che essi accadano. La Privacy by Design non attende che i rischi della privacy si concretizzano, né offre rimedi per risolvere le violazioni della privacy una volta occorse – ha lo scopo di prevenirli dal verificarsi . In breve, la Privacy by Design viene prima del fatto e non dopo.

I sette principi fondamentali (fondazionali)

2. Privacy come impostazione di defaultPossiamo tutti essere certi di una cosa - la regola di base ! La Privacy by Design cerca di realizzare il massimo livello di privacy assicurando che i dati personali sono automaticamente protetti in un qualunque sistema IT o di pratica commerciale. Se un individuo non fa nulla, la sua privacy rimane ancora intatta. Non è richiesta alcunaazione da parte dell’individuo per proteggere la propria privacy - è incorporata nel sistema per default.

MILAN november 28 th/29th, 2014 - Speaker’s name

3. Privacy incorporata nella progettazioneLa Privacy by Design è incorporata nella progettazione e nell’architettura dei sistemi IT e delle pratiche commerciali . Non è agganciata come un’aggiunta, dopo il fatto. Il risultato è che la privacy diventa un componente essenziale per la realizzazione del nucleo funzionale. La privacy è integrata nel sistema, senza diminuirne la funzionalità.

4. Massima funzionalità − Valore positivo, non valore zeroLa Privacy by Design mira a conciliare tutti gli intere ssi legittimi e gli obiettivi con modalità di valore positivo “vantaggioso per tutti ”, non attraverso un approccio datato di valore zero, dove sono inutili i compromessi.La Privacy by Design evita la pretesa di false dicotomie , come la privacy contro la sicurezza, dimostrando che è possibile avere entrambi.

I sette principi fondamentali (fondazionali)

MILAN november 28 th/29th, 2014 - Speaker’s name

5. Sicurezza fino alla fine − Piena protezione del ciclo vitale La Privacy by Design essendo stata incorporata nel sistema prioritariamente rispetto alla acquisizione del primo elemento di informazione, si estende in modo sicuro attraverso l’intero ciclo vitale dei dati - solidi interventi di sicurezza sono essenziali per la privacy, dall’inizio alla fine. Questo assicura che tutti i dati sono conservati con cura, e poi distrutti in modo sicuro alla fine del processo , in maniera opportuna. Pertanto, la Privacy by Design assicura dalla culla alla tomba , un’intera e sicura gestione delle informazioni, fino alla fine.

6. Visibilità e trasparenza − Mantenere la trasparenza La Privacy by Design cerca di assicurare che tutti i soggetti interessati, qualunque sia la prassi aziendale o tecnologia utilizzata, è di fatto, operativa secondo promesse ed obiettivi stabiliti, soggetti a verifica indipenden te.I suoi componenti e operazioni restano visibili e trasparenti sia agli utenti sia ai fornitori . Si ricorda di fidarsi ma di verificare.

I sette principi fondamentali (fondazionali)

MILAN november 28 th/29th, 2014 - Speaker’s name

7. Rispetto per la privacy dell’utente − Centralità dell’utente Al di là di tutto, la Privacy by Design richiede ai progettisti e agli operatori di considerare prioritari gli interessi degli individui offrendo efficaci interventi di default della privacy, informazioni appropriate e potenziando opzioni di facile utilizzo per l’utente. Si raccomanda la centralità dell’utente .

I sette principi fondamentali (fondazionali)

MILAN november 28 th/29th, 2014 - Speaker’s name

(15 giugno) Risoluzione del Parlamento d'Europa che dispone che l’Internet delle cose debba viaggiare in parallelo con la tutela della privacy degli utenti, oltre che con un generale stato di sicurezza sui possibili effetti negativi sulla salute . In tal senso, i campi d’azione sui quali l’Unione Europea vuole essere protagonista sono: governance , privacy e protezione dei dati , diritto al “silenzio dei chip” , rischi emergenti, risorse vitali, standardizzazione, ricerca, partnership tra pubblico e privato, innovazione, consapevolezza delle istituzioni, dialogo internazionale, ambiente, statistica, evoluzione.

pubblicata una Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, intitolata "L'internet degli oggetti - Un piano d'azione per l'Europa" (COM(2009) 278 def. COM(2009) 278 final).

MILAN november 28 th/29th, 2014 - Speaker’s name

1. Having regard to the state of the art and the cost of implementation, the controller shall , both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

2. The controller shall implement mechanisms for ensuring that, by default , only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected or retained beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals.

3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures and mechanisms referred to in paragraph 1 and 2, in particular for data protection by design requirements applicable across sectors, products and services.

4. The Commission may lay down technical standards for the requirements laid down in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87.

IL PROSSIMO REGOLAMENTO EUROPEOARTICLE 23 – DATA PROTECTION BY DESIGN AND BY DEFAUL T

MILAN november 28 th/29th, 2014 - Speaker’s name

introduce, uno specifico riferimento a

“data protection (NON PRIVACY) by design and by default ” (articolo 23).

E’ NECESSARIO STANDARDIZZARE

Agosto 2014 – L’Ente di certificazione internazionale ISO ha pubblicato uno standard per i fornitori di servizi di cloud computing.

ISO 27018: costruito sugli standards ISO 27001 e 27002 per garantire il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE, da parte dei providers di public cloud

NOTA: è costruito sugli standards ISO 27001 e 27002

MILAN november 28 th/29th, 2014 - Speaker’s name

PRIVACY SICUREZZA

Il rispetto della privacy presuppone sicurezza

Il perseguimento della sola sicurezza non garantisc e la privacy

MILAN november 28 th/29th, 2014 - Speaker’s name

Aspetti principali dello standard ISO 27018 (1/2)

• l’interessato deve avere la possibilità di esercitare i propri diritti nei confronti del Titolare, anche se i suoi dati sono trattati da unresponsabile esterno (cloud provider) e in una nuvola informatica. Lo standard obbliga il fornitore ad offrire al Titolare del trattamento, suo cliente, dei tools appropriati che assicurino l’esercizio dei diritti da parte dei soggetti cui i dati si riferiscono.

• il trattamento è esattamente rispondente a quanto indicato nella policy(informativa) resa nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un mutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne sia prontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto.

• i dati personali in cloud non sono trattati per ragioni di marketing diretto o pubblicitarie, a meno che non vi sia l’esplicito consenso dell’interessato, ma in ogni caso ciò non può mai costituire una precondizione posta dal fornitore al cliente per la fornitura del servizio.

MILAN november 28 th/29th, 2014 - Speaker’s name

Aspetti principali dello standard ISO 27018• i clienti hanno il diritto, fin da subito di conoscere i nomi degli

eventuali sub-processors (intermediari del cloud provider), e il luogo di stabilimento degli stessi, con diritto di opporsi ad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento. Può anche essere prevista l’opzione di risolvere il contratto a fronte di tali mutamenti.

• i clienti hanno diritto di ricevere notizia tempestiva delle violazioni di dati personali (data breaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agli interessati) nei tempi previsti dalla legge.

• siano disciplinate le modalità di restituzione dei dati personali al cliente una volta terminato il contratto (cd. transfer back).

• i suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, di cui sia fornita evidenza ai clienti.

• tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti di riservatezza (non disclosure agreements) e riceva adeguata formazione.

MILAN november 28 th/29th, 2014 - Speaker’s name

Diritto alla salute : health by design????

-il silenzio dei chip possibilità di disattivarli (dati personali)

-Impatto delle onde elettromagnetiche sulla salute (diritto alla salute e integrita fisica)

MILAN november 28 th/29th, 2014 - Speaker’s name

Grazie per l’attenzione

http://www.massimofarina.it

http://www.diricto.it

http://ict4forensics.diee.unica.it

[email protected]

MILAN november 28 th/29th, 2014 - Speaker’s name

Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5

� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o

recitare l'opera � di creare opere derivate � Alle seguenti condizioni:

� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza

di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste

condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

LICENZA

MILAN november 28 th/29th, 2014 - Speaker’s name

MILAN november 28 th/29th, 2014 - Speaker’s name