rischi e tutele sull’uso dei wearable device
TRANSCRIPT
MILAN november 28 th/29th, 2014
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE
http://www.diricto.it/http://www.massimofarina.it/[email protected]
Massimo Farina
http://ict4forensics.diee.unica.it/
MILAN november 28 th/29th, 2014 - Speaker’s name
"WEARABLE DEVICE “:dispositivi tecnologici indossabili
occhiali
braccialetti scarpe
abiti
cinture
orologi
MILAN november 28 th/29th, 2014 - Speaker’s name
sistemi di monitoraggio a distanza dei pazienti , archiviazione dei parametri vitali e/o delle calorie degli alimenti della propria dieta,
“SETTORI INTERESSATI“
cronometri, contapassi, contavasche (per il nuoto), cardiofrequenzimetri e contachilometri personaliSPORTIVO
MEDICO
MILAN november 28 th/29th, 2014 - Speaker’s name
“SETTORI INTERESSATI“
TECNOLOGIA INVESTIGATIVA
INTRATTENIMENTO
MILAN november 28 th/29th, 2014 - Speaker’s name
Dispositivi capaci di raccogliere di informazioni e che necessitano di essere connessi ad un pc per poterle elaborare, arc hiviare e condividere
Dispositivi che per essere operativi (anche per la semplice raccolta di informazioni) dipendono da un pc o da uno smartphon e
Dispositivi autonomi
CATEGORIE DI DISPOSITIVI
MILAN november 28 th/29th, 2014 - Speaker’s name
ASPETTI RILEVANTI(nessuna novità)
GEOLOCALIZZAZIONEINTERNET
CLOUD COMPUTING
CLOUD COMPUTING
Comunità social
Combinazione di aspetti già noti
MILAN november 28 th/29th, 2014 - Speaker’s name
�L’antenna GPS inserita nella visiera localizza geograficamente e in tempo reale il corridore
�il modulo Bluetooth permette la connessione ad Internet (tramite cellulare) per archiviare automaticamente i dati raccolti (velocità, calorie bruciate, etc...)
�il cloud storage consente di avere tali dati disponibili su qualunque computer da qualunque parte del mondo e
�Il social network permette di condividere l'esperienza on-line
Per esempioUn corridore che utilizza una mascherina (intelligente) per gli occhi può tenere traccia dei propri allenamenti, rielaborare il percorso fatto, misurare i tempi di percorrenza di particolari circuiti ecc.
MILAN november 28 th/29th, 2014 - Speaker’s name
TUTELA E SICUREZZA TUTELA DELLA PERSONA
TUTELA DEL DATO PERSONALE
TUTELA CONTRATTUALE
MILAN november 28 th/29th, 2014 - Speaker’s name
Quando gli oggetti sono IDENTIFICABILI E LOCALIZZABILI , sorgono problematiche afferenti al trattamento dei dati personali ed alla tutela degli interessati ai quali le informazioni si riferiscono. Dagli oggetti è possibile RISALIRE ALLE PERSONE ed, in particolare, alla POSIZIONE di queste ultime
ESEMPIO: quell’oggetto oltrepassa una barriera che lo rileva e, dunque, si acquisisce l’informazione che l’oggetto (e, dunque, la persona) è in un certo luogo. Si tratta di un vero e proprio
TRACCIAMENTO degli individui
IL TRACCIAMENTO DELLE COSE ………E DELLE PERSONE
MILAN november 28 th/29th, 2014 - Speaker’s name
CONTESTO NAZIONALE
Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione dei dati
Decreto legislativo 30 giugno 2003, n. 196
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Contesto normativo di riferimento
MILAN november 28 th/29th, 2014 - Speaker’s name
SOGGETTISOGGETTI
ADEMPIMENTIADEMPIMENTI
TITOLARETITOLARE
RESPONSABILE RESPONSABILE
INTERESSATO
NOTIFICAZIONENOTIFICAZIONE
CONSENSOCONSENSO
INFORMATIVA INFORMATIVA
GARANTE
Impatto con la disciplina attualmente vigente(adempimenti)
MISURE DI SICUREZZA MISURE DI SICUREZZA
MILAN november 28 th/29th, 2014 - Speaker’s name
NOTIFICAZIONENOTIFICAZIONE
CONSENSOCONSENSO
Art. 37, co. 1, lett. a): dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
Art. 163: Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro
Art. 23, co. 4: Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Art. 167. […] è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
MILAN november 28 th/29th, 2014 - Speaker’s name
INFORMATIVAINFORMATIVA
Art. 13 L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro .
MILAN november 28 th/29th, 2014 - Speaker’s name
TITOLARE TITOLARE
RESPONSABILE RESPONSABILE
Possibile disgiunzione di ruoli tra chi raccoglie i dati e chi offre e gestisce il servizio di raccolta
Impatto con la disciplina attualmente vigente(aspetti soggettivi)
NON SEMPRE IL PRODUTTORE DEL DEVICE HA UN RUOLO PREMINENTE
Può capitare che gli intermediari (per es PROVIDERS) abbiano una forza che li sottrae al controllo del produttore
CONSIDERANDO 47 DELLA DIRETTIVA 95/46/CE: TITOLARI (controllers) SUPPLEMENTARI PER LA FORNITURA DEL SERVIZIO DI COMUNICAZIONI ELETTRONICH E
Difficoltà di seguire il modello titolare/responsabile in quanto risulta, di fatto, assai complicato (praticamente impossibile) nominare i providers (o i sub-providers), quali responsabili esterni del trattamento
MILAN november 28 th/29th, 2014 - Speaker’s name
Assenza di un quadro normativo dedicato al
cloud computing
la normativa europea sulla protezione dei dati risale al 1995.
d.lgs. 69 e 70 / 2012, recepimentodelle direttive 2009/136/EC “in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche”, e 2009/140/C “in materia di reti e servizi di comunicazione elettronica”
Nuovo obbligo, per le società telefoniche e gli internet provider:
-notificare alle rispettive Authority tutte le violazioni di sicurezza relative ai dati personali;
- la notifica va effettuata anche agli utenti “quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona”.
Il prossimo futuro??(entro il 2014??)
approvazione del nuovo Regolamento europeo sulla protezione dei dati che sostituirà il Codice della Privacy
MILAN november 28 th/29th, 2014 - Speaker’s name
WEARABLE DEVICE e cloud di informazioni sullo stato di salute
L’oggetto del trattamento sono i “dati sensibili”(art. 4, lett. d) d.lgs. n.
196/2003)
L’oggetto del trattamento sono i “dati sensibili”(art. 4, lett. d) d.lgs. n.
196/2003)
12-18 maggio 2014SWEEP DAY (“indagine a tappeto") sulle app mediche da parte del Global Privacy Enforcement Network (GPEN), per verificare la conformità del trattamento alla normativa
FINALITÀ DELL’INIZIATIVA : accrescere la consapevolezza della necessità di proteggere i dati personali; favorire il rispetto delle norme a salvaguardia degli utenti; sviluppare azioni di sensibilizzazione e formazione del pubblico sull'uso delle applicazioni mobili; promuovere iniziative globali sulla privacy.
MILAN november 28 th/29th, 2014 - Speaker’s name
Una su due app esaminate non fornisce agli utenti un 'informativa prima del download o chiede dati eccessivi rispetto alle funzionalità o fferte
Serve più trasparenza nell'uso dei dati degli utenti che scaricano app mediche in Italia […] anche nel nostro Paese gli utenti non sono adeguatamente tutelati e troppe volte non sono messi in grado di esprimere un consenso libero e informato
La scelta tutta italiana di analizzare app del settore medico o di wellness è in linea con le preoccupazioni manifestate dall'Europa su questo tema.
La Commissione Europea ha di recente avviato una consultazione sulla Mobile Health e ha pubblicato il Libro Verde sulle applicazioni sanitarie mobili (Green Paper on Mobile Health).
Risultati dell’indagine 10 settembre 2014
MILAN november 28 th/29th, 2014 - Speaker’s name
A seguito dell'esito dell'indagine, il Garante sta valutando le azioni da intraprendere, anche al fine di possibili intervent i prescrittivi o sanzionatori.
A livello internazionale, l'iniziativa ha fatto crescere le preoccupazioni sulle app, che offrono funzionalità che vanno dai giochi al meteo, dalle news ai servizi bancari. I risultati dell'indagine hanno mostrato come vi sia una scarsa attenzione alla tutela degli utenti e la necessità che questi software, che raccolgono un'ingente mole di informazioni personali, rendano piùtrasparente e chiaro l'uso delle stesse.
Su un totale di oltre 1200 applicazioni esaminate, appena il 15% risulta dotato di un'informativa privacy realmente chiara. Nel 59% dei casi è stato difficile per le Autorità di protezione dati reperire un'informativa privacy prima dell'installazione.
Risultati dell’indagine 10 settembre 2014
MILAN november 28 th/29th, 2014 - Speaker’s name
�Sistematizzazione delle infrastrutture
�Riorganizzazione dei flussi informativi e migliore fruibilità dei dati
�Razionalizzazione dei costi (servizi più moderni, più efficienti e più funzionali)
MILAN november 28 th/29th, 2014 - Speaker’s name
�Circolazione dei dati sanitari
�Esternalizzazione e Delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati
�Conservazione dei dati in luoghi geografici differenti
MILAN november 28 th/29th, 2014 - Speaker’s name
• D.lgs. 196/03, art. 22, co. 1: I dati sanitari non possono essere diffusi, ossia essere resi disponibili a soggetti indeterminati;
• D.lgs. 196/03, All. B) n. 24: I dati sanitari possono essere comunicati a soggetti determinati o trasmessi (es., dal titolare al responsabile), ma il trasferimento deve avvenire in forma cifrata;
• Provv. Garante Privacy, Linee guida sul referto online, 25 giugno 2009: 1. in caso di trasmissione dei dati tra server del titolare di trattamento e client dell'interessato, è stato
specificato che essa deve avvenire attraverso protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identità dei sistemi che erogano il servizio in rete (es. protocolli https ssl – Secure Socket Layer);
2. è stato previsto per la trasmissione di documenti allegati contenenti dati sanitari (referto on-line) l'utilizzo di password o di chiavi crittografiche per l'apertura del file;
3. nella trasmissione occorre evitare l'acquisizione non autorizzata del dato durante eventuale caching, a tal fine adottando tecniche idonee
4. Necessità di individuazione sicura del destinatario della comunicazione (interessato o responsabile esterno) mediante l'utilizzo di idonei sistemi di autenticazione informatica (credenziali o, preferibilmente, tramite procedure di “strong authentication” (indicato come meramente preferenziale); per es. per l’invio del referto on-line via e-mail al paziente è richiesto quantomeno che si proceda alla “convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line”.
Circolazione dei dati sanitari
MILAN november 28 th/29th, 2014 - Speaker’s name
Il trasferimento dei dati sanitari all’interno della UE e dei paesi dello “Spazio Economico Europeo” è disciplinato dalle medesime regole sopraccitate
Attualmente risultano in questa condizione: Andorra, Argentina, Australia, Canada, Guernsey, Isola di Man, Isole Faroe, Israele, Jersey, Nuova Zelanda, Principato di Monaco, Svizzera, Uruguay.Per gli stati uniti si applica l’accordo SafeHarbor (art.44, co. 1, lett. b, CdP)
Nel caso di diverso paese di destinazione??
È necessario verificare che il livello di protezione dei dati personali sia adeguato a quello vigente in ambito UE
Nel caso non vi sia giudizio di adeguatezza, affinché il trasferimento sia consentito occorre invece fare riferimento a particolari cautele/strumenti
Ottenere il consenso dall’interessato,salvo
i casi di esonero, espressamente
disciplinati
Adottare modelli contrattuali che vincolano il soggetto ricevente i dati al
rispetto del livello adeguato di tutela dei dati personali
TRASFERIMENTO IN AMBITO EXTRA UE
MILAN november 28 th/29th, 2014 - Speaker’s name
MISURE MINIME DI SICUREZZA
MISURE MINIME DI SICUREZZA
�Il titolare dei dati deve assicurarsi che:siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole.
•Il cliente (cd. interessato) dovrebbe, ad esempio, potersi accertartare che i dati siano sempre “disponibili” (che possa cioè sempre accedere ai propri dati) e “riservati” (che l’accesso cioè sia consentito solo a chi ne ha diritto).Nota: Per garantire che i dati siano al sicuro, non sono importanti solo le modalità con cui sono conservati, ma anche quelle con cui sono trasmessi (ad esempio utilizzando tecniche di cifratura).
MISURE IDONEE DI SICUREZZA
MISURE IDONEE DI SICUREZZA
MILAN november 28 th/29th, 2014 - Speaker’s name
I contratti per l’erogazione dei servizi connessi ai wearable device
Contratti atipici misti
Sviluppo: software housing
hostingLicenza d’uso
mautenzione
MILAN november 28 th/29th, 2014 - Speaker’s name
un’indagine preliminare su
•Luogo in cui si trovano i soggetti coinvolti nel trattamento
•Luogo in cui si trovano le infrastrutture nelle qua li si trattano i dati
•Presenza di altri soggetti (intermediari) tra titol are e interessato (produttore e cliente) e luogo di ubicazione degli intermediari e delle loro infrastrutture
•Luogo in cui risiedono fisicamente i dati
•Metodo di raccolta e trattamento dei dati del clien ti e dei suoi
•Sorte dei dati dopo la cessazione del rapporto contrattuale
Per realizzare un buon contratto è necessaria
MILAN november 28 th/29th, 2014 - Speaker’s name
INFORMATIVAINFORMATIVA
Art. 13 L'interessato o la persona presso la quale sono raccoltii dati personali sono previamente informati oralmente o per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
MILAN november 28 th/29th, 2014 - Speaker’s name
Gerusalemme, 27-29 Ottobre:Risoluzione sulla “Privacy byDesign” adottata durante la 32^ Conferenza internazionale dei Garanti privacy
25 gennaioProposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)
Contesto INTERNAZIONALE
MILAN november 28 th/29th, 2014 - Speaker’s name
Gerusalemme, 27-29 Ottobre:La 32^ Conferenza internazionale dei Garanti privacy ha adottato una risoluzione sulla Privacy byDesign
Encourage the adoption of Privacy byDesign’s Foundational Principles, suchas those set out below as guidance toestablishing privacy as anorganization’s default mode of operation…
Privacy by Design:The Foundational Principles
�Proactive not Reactive; Preventative not Remedial�Privacy as the Default�Privacy Embedded into Design�Full Functionality: Positive-Sum, not Zero-Sum�End-to-End Lifecycle Protection�Visibility and Transparency�Respect for User Privacy
SETTORI IINTERESSATI� Sistemi IT�Pratiche commerciali corrette(responsabili) – la privacy non èfinalizzata a se stessa�Progettazione fisica (costruzioni)
CONTESTO INTERNAZIONALE
MILAN november 28 th/29th, 2014 - Speaker’s name
1. Proattivo non reattivo; prevenire non correggereL’approccio alla Privacy by Design (PbD) è caratterizzato da interventi di tipo proattivo piuttosto che reattivo.Esso anticipa e previene gli eventi invasivi della privacy prima che essi accadano. La Privacy by Design non attende che i rischi della privacy si concretizzano, né offre rimedi per risolvere le violazioni della privacy una volta occorse – ha lo scopo di prevenirli dal verificarsi . In breve, la Privacy by Design viene prima del fatto e non dopo.
I sette principi fondamentali (fondazionali)
2. Privacy come impostazione di defaultPossiamo tutti essere certi di una cosa - la regola di base ! La Privacy by Design cerca di realizzare il massimo livello di privacy assicurando che i dati personali sono automaticamente protetti in un qualunque sistema IT o di pratica commerciale. Se un individuo non fa nulla, la sua privacy rimane ancora intatta. Non è richiesta alcunaazione da parte dell’individuo per proteggere la propria privacy - è incorporata nel sistema per default.
MILAN november 28 th/29th, 2014 - Speaker’s name
3. Privacy incorporata nella progettazioneLa Privacy by Design è incorporata nella progettazione e nell’architettura dei sistemi IT e delle pratiche commerciali . Non è agganciata come un’aggiunta, dopo il fatto. Il risultato è che la privacy diventa un componente essenziale per la realizzazione del nucleo funzionale. La privacy è integrata nel sistema, senza diminuirne la funzionalità.
4. Massima funzionalità − Valore positivo, non valore zeroLa Privacy by Design mira a conciliare tutti gli intere ssi legittimi e gli obiettivi con modalità di valore positivo “vantaggioso per tutti ”, non attraverso un approccio datato di valore zero, dove sono inutili i compromessi.La Privacy by Design evita la pretesa di false dicotomie , come la privacy contro la sicurezza, dimostrando che è possibile avere entrambi.
I sette principi fondamentali (fondazionali)
MILAN november 28 th/29th, 2014 - Speaker’s name
5. Sicurezza fino alla fine − Piena protezione del ciclo vitale La Privacy by Design essendo stata incorporata nel sistema prioritariamente rispetto alla acquisizione del primo elemento di informazione, si estende in modo sicuro attraverso l’intero ciclo vitale dei dati - solidi interventi di sicurezza sono essenziali per la privacy, dall’inizio alla fine. Questo assicura che tutti i dati sono conservati con cura, e poi distrutti in modo sicuro alla fine del processo , in maniera opportuna. Pertanto, la Privacy by Design assicura dalla culla alla tomba , un’intera e sicura gestione delle informazioni, fino alla fine.
6. Visibilità e trasparenza − Mantenere la trasparenza La Privacy by Design cerca di assicurare che tutti i soggetti interessati, qualunque sia la prassi aziendale o tecnologia utilizzata, è di fatto, operativa secondo promesse ed obiettivi stabiliti, soggetti a verifica indipenden te.I suoi componenti e operazioni restano visibili e trasparenti sia agli utenti sia ai fornitori . Si ricorda di fidarsi ma di verificare.
I sette principi fondamentali (fondazionali)
MILAN november 28 th/29th, 2014 - Speaker’s name
7. Rispetto per la privacy dell’utente − Centralità dell’utente Al di là di tutto, la Privacy by Design richiede ai progettisti e agli operatori di considerare prioritari gli interessi degli individui offrendo efficaci interventi di default della privacy, informazioni appropriate e potenziando opzioni di facile utilizzo per l’utente. Si raccomanda la centralità dell’utente .
I sette principi fondamentali (fondazionali)
MILAN november 28 th/29th, 2014 - Speaker’s name
(15 giugno) Risoluzione del Parlamento d'Europa che dispone che l’Internet delle cose debba viaggiare in parallelo con la tutela della privacy degli utenti, oltre che con un generale stato di sicurezza sui possibili effetti negativi sulla salute . In tal senso, i campi d’azione sui quali l’Unione Europea vuole essere protagonista sono: governance , privacy e protezione dei dati , diritto al “silenzio dei chip” , rischi emergenti, risorse vitali, standardizzazione, ricerca, partnership tra pubblico e privato, innovazione, consapevolezza delle istituzioni, dialogo internazionale, ambiente, statistica, evoluzione.
pubblicata una Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, intitolata "L'internet degli oggetti - Un piano d'azione per l'Europa" (COM(2009) 278 def. COM(2009) 278 final).
MILAN november 28 th/29th, 2014 - Speaker’s name
1. Having regard to the state of the art and the cost of implementation, the controller shall , both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.
2. The controller shall implement mechanisms for ensuring that, by default , only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected or retained beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals.
3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures and mechanisms referred to in paragraph 1 and 2, in particular for data protection by design requirements applicable across sectors, products and services.
4. The Commission may lay down technical standards for the requirements laid down in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87.
IL PROSSIMO REGOLAMENTO EUROPEOARTICLE 23 – DATA PROTECTION BY DESIGN AND BY DEFAUL T
MILAN november 28 th/29th, 2014 - Speaker’s name
introduce, uno specifico riferimento a
“data protection (NON PRIVACY) by design and by default ” (articolo 23).
E’ NECESSARIO STANDARDIZZARE
Agosto 2014 – L’Ente di certificazione internazionale ISO ha pubblicato uno standard per i fornitori di servizi di cloud computing.
ISO 27018: costruito sugli standards ISO 27001 e 27002 per garantire il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE, da parte dei providers di public cloud
NOTA: è costruito sugli standards ISO 27001 e 27002
MILAN november 28 th/29th, 2014 - Speaker’s name
PRIVACY SICUREZZA
Il rispetto della privacy presuppone sicurezza
Il perseguimento della sola sicurezza non garantisc e la privacy
MILAN november 28 th/29th, 2014 - Speaker’s name
Aspetti principali dello standard ISO 27018 (1/2)
• l’interessato deve avere la possibilità di esercitare i propri diritti nei confronti del Titolare, anche se i suoi dati sono trattati da unresponsabile esterno (cloud provider) e in una nuvola informatica. Lo standard obbliga il fornitore ad offrire al Titolare del trattamento, suo cliente, dei tools appropriati che assicurino l’esercizio dei diritti da parte dei soggetti cui i dati si riferiscono.
• il trattamento è esattamente rispondente a quanto indicato nella policy(informativa) resa nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un mutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne sia prontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto.
• i dati personali in cloud non sono trattati per ragioni di marketing diretto o pubblicitarie, a meno che non vi sia l’esplicito consenso dell’interessato, ma in ogni caso ciò non può mai costituire una precondizione posta dal fornitore al cliente per la fornitura del servizio.
MILAN november 28 th/29th, 2014 - Speaker’s name
Aspetti principali dello standard ISO 27018• i clienti hanno il diritto, fin da subito di conoscere i nomi degli
eventuali sub-processors (intermediari del cloud provider), e il luogo di stabilimento degli stessi, con diritto di opporsi ad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento. Può anche essere prevista l’opzione di risolvere il contratto a fronte di tali mutamenti.
• i clienti hanno diritto di ricevere notizia tempestiva delle violazioni di dati personali (data breaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agli interessati) nei tempi previsti dalla legge.
• siano disciplinate le modalità di restituzione dei dati personali al cliente una volta terminato il contratto (cd. transfer back).
• i suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, di cui sia fornita evidenza ai clienti.
• tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti di riservatezza (non disclosure agreements) e riceva adeguata formazione.
MILAN november 28 th/29th, 2014 - Speaker’s name
Diritto alla salute : health by design????
-il silenzio dei chip possibilità di disattivarli (dati personali)
-Impatto delle onde elettromagnetiche sulla salute (diritto alla salute e integrita fisica)
MILAN november 28 th/29th, 2014 - Speaker’s name
Grazie per l’attenzione
http://www.massimofarina.it
http://www.diricto.it
http://ict4forensics.diee.unica.it
MILAN november 28 th/29th, 2014 - Speaker’s name
Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5
� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera � di creare opere derivate � Alle seguenti condizioni:
� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
LICENZA