Archivio per Categoria News

DiLuca

PRIVACY BY NIGHT – ALRIGHT!!!

Lunedì 20 Dicembre 2021 – ore 16.00

presso il Laboratorio Aperto Rimini Tiberio – Via dei Cavalieri, 22 – 47921 Rimini (RN)

Programma:

16.00 – Saluti istituzionali

16.15 – Ci incontreremo per parlare delle nuove regole dei cookie insieme a Carmine Andrea Trovato,

Consigliere giuridico della Vicepresidente dell’ Autorità Garante per la protezione dei dati personali

16.45 – CONSEGNA DELLA PERGAMENA 2021 al Dott. Giuseppe Giuliano Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dati personali.

17.15 – I saluti e le testimonianze dei soci per un anno trascorso insieme

18.00 – LA PRIVACY NON È UN GIOCO: INDOVINA L’ARTICOLO!
Iscrivendosi all’evento, riceverai il link per partecipare ad un momento di festa e divertimento assicurato!

19.00 – SALUTI E SCAMBIO DEGLI AUGURI

Per tutti gadget e piccoli doni di natale.

Iscrizione obbligatoria:

https://attendee.gotowebinar.com/register/9176029684188961550?source=Sito

DiLuca

Al via i corsi di formazione a pagamento

Clicca qui per scaricare la locandina!

    Calendario corsi:

    6 Dicembre - DATA PROTECTION IN AMBITO BANCARIO. L’ACCESO AI DATI BANCARI: TIPOLOGIA, DECISIONI ABF (ARBITRO BANCARIO FINANZIARIO) ED I PROVVEDIMENTI DEL GARANTE CHE INDIRIZZANO SIFFATTE PROCEDURE16 Dicembre – L’IMPATTO PRIVACY SULLE NUOVE TECNOLOGIE IN AMBITO SANITARIO19 Gennaio – COME GESTIRE UN AUDIT ED INTERFACCIARSI CON IL TITOLARE ED IL RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI

    Al fine di formalizzare l'iscrizione al corso, è necessario compilare tutti i campi sotto riportati:

    Dati partecipante

    SINO




    Dati fatturazione








    - € 150,00 iva esclusa per i soci dell’ Associazione Protezione Diritti e Libertà Privacy
    - € 200,00 iva esclusa per i non associati ad Associazione Protezione Diritti e Libertà Privacy
    Per eventuali adesioni https://www.associazionedirittiprivacy.it/domanda-di-ammissione/ (quota associativa € 25,00 con validità annuale)

    Pagamento tramite:
    - Bonifico Bancario Associazione Protezione Diritti e Libertà Privacy IBAN: IT 16 Y 08995 24211 000000079495 - Riviera Banca – Filiale Gros Rimini

    Informazioni sul trattamento dei dati ai sensi dell’art. 13 del Regolamento Europeo (UE) 2016/679(GDPR)"]
    ASSOCIAZIONE PROTEZIONE DIRITTI E LIBERTA’ PRIVACY, nella qualità di Titolare del trattamento, la informa che i Suoi dati
    personali sono trattati, sia in forma cartacea che con strumenti elettronici, per garantire l’espletamento della richiesta ricevuta
    ed il conferimento degli stessi è obbligatorio. In ogni momento Lei potrà chiedere l’accesso, la rettifica, la cancellazione (ove
    applicabile), la limitazione, dei suoi dati, in riferimento agli art. da 15 a 22del GDPR, nonché proporre reclamo all'autorità di
    controllo competente art. 77 del GDPR. I contatti che può utilizzare sono, Tel 0541 1795431 – Fax 0541 1794118,
    email: info@associazionedirittiprivacy.it

    Il/la sottoscritto/a
    DICHIARA
    - di inviare la distinta di pagamento della quota associativa tramite bonifico bancario intestato ad Associazione
    Protezione Diritti e Libertà Privacy - IBAN: IT 16 Y 08995 24211 000000079495 Banca RIVIERA BANCA Filiale di Rimini.

    L'informativa privacy completa è disponibile sul sito www.associazionedirittiprivacy.it nella sezione “Privacy Policy”


    Leggi tutto

    DiLuca

    NO PRIVACY, NO MONEY! IL VALORE ECONOMICO DEI DATI PERSONALI IN AMBITO BANCARIO

    Mercoledì 17 Novembre 2021

    Ore 15.30 – 18.30

    Relatori:
    • Gloriamaria Paci, Consulente in materia di privacy – Data Protection Officer – Presidente Associazione protezione diritti e libertà privacy
    • Luca Di Leo, Consulente in materia di privacy – Data Protection Officer – Vice Presidente Associazione protezione diritti e libertà privacy
    • Francesco Modafferi – Dirigente Autorità Garante per la protezione dei dati personali – Dipartimento realtà economiche e produttive
    • Valentino Notarangelo, UO Data Protection Officer del Gruppo Bancario Cooperativo Iccrea presso Iccrea Banca S.p.A.
    • Anna Clementi, Consulente in materia di privacy – Data Protection Officer, già dirigente di compliance di Bancoposta – Avv. di Codacons e Dpo di Tivù Srl
    • Gianluca Di Ascenzo – Presidente Codacons
    • Mario Mosca – BNPP PARIBAS GROUP – Italy Data Protection Officer
    • Francesca Santilli, Ufficio Consulenza Legale e Societaria Associazione Bancaria Italiana

    Clicca qui per visualizzare il programma!

    – Riconosciuti crediti formativi Ordine dei Dottori Commercialisti
    – Riconosciuti crediti formativi Ordine dei Dottori Commercialisti ed Esperti Contabili di San Marino
    – Riconosciuti crediti formativi Ordine degli Avvocati di Rimini

     

    Iscrizione obbligatoria:
    https://attendee.gotowebinar.com/register/5373222483794061835?source=Web

    DiLuca

    GREEN PASS E PRIVACY

    La Presidente dell’ Associazione, Dott.ssa Gloriamaria Paci, Mercoledì 20 Ottobre alle ore 18.00 parteciperà all’evento “Green Pass e Privacy” assieme al Dott. Antonio Carmine Didona.

    DiLuca

    SMART WORKING E L’IMPATTO SUI LAVORATORI: I PROFILI DELLA PROTEZIONE, IL CONTROLLO E LA SICUREZZA DEI DATI

    Mercoledì 13 Ottobre 2021  – Ore 15.30 – 17.30

     

    Relatori:

    GLORIAMARIA PACI, Consulente in materia di privacy Data Protection Officer – Presidente Associazione Protezione Diritti e Libertà Privacy

    ELENA PESARESI, Dipartimento realtà pubbliche Garante per la protezione dei dati personali

    LUCA DI LEO, Consulente in materia di privacy – Data Protection Officer – Vice Presidente Associazione Protezione Diritti e Libertà Privacy

    BEATRICE NEPOTI, Data Protection Officer di Lepida Scpa

    FABIO MALAGNINO, Coordinatore ufficio stampa Consiglio Regionale del Piemonte e professore a contratto presso l’Università di Torino

    Iscrizione obbligatoria attraverso il seguente link:

    https://attendee.gotowebinar.com/register/7182700863848359184?source=Web

    DiLuca

    EventiPrivacy.it il sito degli eventi privacy in Italia e all’estero

     

    Un progetto dell’ Associazione Protezione Diritti e Libertà Privacy. 🐞

    Ringraziamo tutti per la collaborazione che potrete fornirci per promuovere il sito che vuole facilitare la ricerca e la partecipazione a tutti gli eventi dedicati alla sicurezza e protezione dei dati personali

    www.eventiprivacy.it

    DiLuca

    IL SOTTILE CONFINE TRA SICUREZZA E SORVEGLIANZA DI MASSA

    Seminario Formativo Gratuito Online

    Giovedì 30 Settembre 2021 – ore 09.00/12.00

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/3155690048764438031?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Green Pass: il punto di equilibrio tra esigenze di sanità pubblica e diritto alla protezione dei dati personali

    In attesa della pubblicazione sulla Gazzetta Ufficiale del Decreto Legge che dal 15 Ottobre estenderà a tutti i lavoratori pubblici e privati l’obbligo dell’esibizione del Green Pass, Giovedì 23 Settembre, dalle ore 11.00 ne parleremo insieme in occasione della diretta con Pa Social.

    Vi aspettiamo!

    DiLuca

    IL DIGITALE E’ DI STRADA INCONTRA RIMINI. L’Associazione fra i partner che hanno organizzato l’evento

    COMUNICATO 31 AGOSTO 2021

    IL DIGITALE E’ DI STRADA INCONTRA RIMINI

    Il progetto “Il Digitale è di Strada” è un tour che porta in strada – e per la prima volta in spiaggia a Rimini – gratuitamente a disposizione di tutti un team di professionisti del digitale ed è organizzato dall’associazione IL DIGITALE È DI STRADA in collaborazione con ECOROMAGNA per la tappa di Rimini.

    La seconda edizione partita il 28 agosto da Piazza Vittorio, Roma e passerà per: Piazza Matteotti a Ferentino (FR), Piazza Monumento a Termoli, Piazza Salotto a Pescara, Piazza del Mare a Giulianova (TE), Giardino di Liburni a San Marino e terminerà il 5 settembre a nella spiaggia di Rimini al BAGNO 49-50.

    Il team di esperti del digitale tratteranno in presentazioni specifiche tematiche di attualità relative alle nuove tecnologie quali blockchain e robotica, diritti e privacy e sovranità digitale con un occhio ai lavori del futuro, ovvero le figure lavorative che nasceranno nei prossimi anni e di cui ci sarà forte richiesta sul mercato.

    La possibilità di comprendere la tecnologia e gli strumenti che utilizziamo quotidianamente permette di migliorare la qualità della vita grazie ad un nuovo alfabetismo digitale che ci abilita ad un uso consapevole delle tecnologie legata alla TOKENOMICS.

    L’obiettivo è quello di condividere queste competenze digitali anche con i cittadini di Rimini e della Romagna per comprendere quali siano i rischi di un uso sfrenato del digitale e le opportunità di crescita e lavorative nate negli ultimi anni grazie a questo settore sempre più presente nella vita di tutti.

    Ogni tappa prevede l’intervento da parte di esperti del settore tech e legal e robotica, i quali saranno poi disponibili a rispondere anche alle domande dei partecipanti: il tema della tappa di Rimini sarà “IL DIGITALE E LA CURA DEI DATI”

    Nel rispetto delle nuove misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali ed economiche (GU Serie Generale n.175 del 23-07-2021) l’organizzazione Il Digitale È di Strada e ECOROMAGNA in partnership con LeSpiagge di Rimini e la Cooperativa Bagnini di Rimini richiede ai partecipanti di prenotare gratuitamente l’iscrizione online tramite questa piattaforma

    https://www.eventbrite.it/e/biglietti-il-digitale-e-di-strada-incontra-rimini-168929393363

    e l’invio del modulo di partecipazione all’evento “IL DIGITALE È DI STRADA INCONTRA RIMINI” 5 settembre 2021 protocollo ANTI COVID-19 che potete scaricare da questo link:

    https://mega.nz/file/fkM0URAJ#Wb6DUNevWMMyTV2eEdBkURKZ3xO4JGatu9Nbgf-EtQs

    CON IL PATROCINIO DEL COMUNE DI RIMINI 

    PROGRAMMA

    “IL DIGITALE E LA CURA DEI DATI”

    IN PARTNERSHIP CON

    ECOROMAGNA

    INNOVABILITA

    Le Spiagge Rimini

    Cooperativa Bagnini di Rimini

    Happy coaching & counseling

    Associazione Protezione Diritti e Libertà Privacy

    BITCHAIN RIMINI

    VOLONTARIMINI

    HTROBOTICS

    COOPERATIVA LUPPOLI ITALIANI

    ZIENTA DI BORG

    MAKERN

    DISPENSO

    Media Partner

    RomagnaRadio 

    IL DIGITALE È DI STRADA

    Le Spiagge di Rimini e Primo Olivieri

    in collaborazione  con la cooperativa bagnini di Rimini

    danno il benvenuto alla delegazione dell’Associazione

    Il Digitale è di Strada e le istituzioni locali e ringrazia i partner che saranno

    a disposizione delle persone presenti per networking e Q&A diretto

     

    DOMENICA 5 SETTEMBRE 2021

    DALLE ORE 18:00

    {PRESENTAZIONI DI MASSIMO 14 MINUTI} 

    APERITIVO DIGITALE 

    LA DELEGAZIONE DELL’ASSOCIAZIONE

    IL DIGITALE E’ DI STRADA INCONTRA I RAPPRESENTANTI ISTITUZIONALI E ASSOCIAZIONI E AZIENDE INNOVATIVE LOCALI

     

    MUSICA D’ASCOLTO

    STAFF ECOROMAGNA

    in collaborazione con ROMAGNARADIO

     

    Conduce il Presidente dell’associazione

    Il Digitale è di Strada

    Avvocato Alessandro Ghiani

     

    Tematiche

    Il Bitcoin, la nuova libertà finanziaria

    a cura di

    BLOC LawTech Firm

    Alessandro Ghiani

    Il futuro degli NFT in Italia

    a cura

    di Digital Oracles

    con Sara Simeone

     

    Influencer nell’era on life

    a cura di Michele Capuozzo

    Il Digitale come strumento sociale

    a cura di INNOVABILITA con Fabrizio Fantini

    PANEL 1

    l’ALBERO DELLE IDENTITA’ 4.0

    a cura di Happy coaching & counseling con Stefano Battiato

    PANEL 2

    I nostri dati: un bene da proteggere a cura dell’Associazione Protezione Diritti e Libertà Privacy con Gloria Paci

    PANEL 3

    Esperienze digitali della tokenomics a cura diBITCHAINRIMINIECOROMAGNA con Alessandro Polverelli

    PANEL 4

    ECONOMIA ROBOTICA  a cura diHTROBOTICS con Paolo Bertello

    PANEL 5

    ESPERIENZE IN ITALIA  DI ROBOTICA EDUCATIVA e STAMPA 3D a cura di

    VOLONTARIMINI

    MAKERN

    DISPENSO

    con Luca Berardi

    PANEL 6

    ESPERIENZE DI DATI DI VALORE DEL MADE IN ITALY 

    IL LUPPOLO E I DATI DI VALORE DELLE FILIERE DEL MADE IN ITALY

    INTERVENTO DI MICHELA NATI PRESIDENTESSA COOPERATIVA LUPPOLI ITALIANI

    PRESENTAZIONE PROGRAMMA REGIONALEPROHOPSMARTCHAIN

    FILIERA PROFESSIONALE E DIGITALIZZATA DEL LUPPOLO MADE IN ITALY:

    IN COLLABORAZIONE CONINNOVABILITAXFARM,POSTI,G!USTA

     

    PANEL 7

    APPLICAZIONI DIGITALI PER CONTRASTARE  

    LA VIOLENZA PSICOLOGICA 

    a cura diEvey

    con Marco Galli e Sara Stefanelli

    _______________________________________________________________________________

    I partecipanti potranno interagire e confrontarsi con esperti del settore digitale

    per scoprire insieme quali sono le opportunità e i rischi del web nel 2021.

    Nel rispetto delle nuove misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali

    ed economiche (GU Serie Generale n.175 del 23-07-2021) l’organizzazione

    Il Digitale È di Strada e ECOROMAGNA in partnership con LeSpiagge di Rimini

    e la Cooperativa Bagnini di Rimini richiede ai partecipanti di prenotare

    gratuitamente l’iscrizione online:

    https://www.eventbrite.it/e/biglietti-il-digitale-e-di-strada-incontra-rimini-168929393363

    e la sottoscrizione del modulo di partecipazione all’evento

    “IL DIGITALE È DI STRADA INCONTRA RIMINI” 5 settembre 2021 protocollo ANTI COVID-19 da inviare via email afabrizio@ecoromagna.com

    oppure da consegnare all’entrata scaricabile qui:

    https://mega.nz/file/fkM0URAJ#Wb6DUNevWMMyTV2eEdBkURKZ3xO4JGatu9Nbgf-EtQs

    CI INCONTRIAMO IN UN LUOGO PUBBLICO PER PARLARE DI DIGITALE PER IL NOSTRO BENE!

    Condividete l’evento tra gli utenti del social network più famoso nel mondo occidentale che utilizza i nostri dati digitali in modo poco autorevole:

    https://fb.me/e/2raIzr2gy

     

    DEGUSTAZIONE PRODOTTI LOCALI OFFERTA DACOOPERATIVA LUPPOLI ITALIANI ECOROMAGNA IN COLLABORAZIONE CONLE SPIAGGE DI RIMINI

    PER INFORMAZIONI DETTAGLIATE

    O RICHIESTE SPECIFICHE INVIARE MESSAGGIO Afabrizio@ecoromagna.com

    CI INCONTRIAMO IN UN LUOGO PUBBLICO PER PARLARE DI DIGITALE

    PER IL NOSTRO BENE!

     

    #ILDIGITALEEDISTRADA

    #ECOROMAGNA

    #LESPIAGGERIMINI

    #RIMINIDIGITALE

    #ildigitaleedistrada #ECOROMAGNA #RIMINIDIGITALE #HAPPYCOCO

    https://digitaledistrada.it

    FABRIZIO FANTINI

    REFERENTE AREA ROMAGNA

    DiLuca

    Green Pass e protezione dei dati

    Che cos’è il Green Pass?

    DECRETO-LEGGE 22 aprile 2021, n. 52

    DECRETO-LEGGE 23 luglio 2021, n. 105

    PROVVEDIMENTI DELL’ AUTORITA GARANTE

    – Garante per la protezione dei dati personali
    Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52
    (23 aprile 2021)

    Garante per la protezione dei dati personali
    Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19
    (25 maggio 2021)

    Garante per la protezione dei dati personali
    Provvedimento del 3 giugno 2021 (app Mitiga)
    (3 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO
    (9 giugno 2021)

    Garante per la protezione dei dati personali
    Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass
    (9 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento del 16 giugno 2021 (App IO)
    (16 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento recante garanzie per l’utilizzo dell’App IO per recuperare le certificazioni verdi Covid-19
    (17 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19
    (18 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento del 22 luglio 2021 (Avvertimento alla Regione Sicilia)
    (22 luglio 2021)

     

    AUDIZIONI E ALTRI DOCUMENTI DELL’ AUTORITA’ GARANTE

    – Garante per la protezione dei dati personali
    Memoria del Presidente del Garante per la protezione dei dati personali – Profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS-COV2
    (8 aprile 2021)

    – Garante per la protezione dei dati personali
    Audizione informale del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione sulle tematiche relative alla certificazione verde Covid-19
    (6 maggio 2021)

    – Garante per la protezione dei dati personali
    Documento di indirizzo – Vaccinazione nei luoghi di lavoro indicazioni generali per il trattamento dei dati personali
    (13 maggio 2021)

    – Garante per la protezione dei dati personali
    Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziali
    (14 maggio 2021)

    – Garante per la protezione dei dati personali
    Relazione tecnica sulle interazioni dell’App IO con i servizi di Google, Mixpanel e Instabug
    (10 giugno 2021)

    – Garante per la protezione dei dati personali
    Nota del Presidente del Garante per la protezione dei dati personali
    Trattamenti di dati personali effettuati nell’ambito dell’emissione, del rilascio e della verifica delle certificazioni verdi di cui al decreto legge n. 52/2021
    (21 giugno 2021)

    – Garante per la protezione dei dati personali
    Risposta a un quesito sull’identificazione degli intestatari del Green Pass
    (10 agosto 2021)

     

    COMUNICATI STAMPA DELL’ AUTORITA’ GARANTE

    – Garante per la protezione dei dati personali
    Covid: Garante privacy, no a “pass vaccinali” per accedere a locali o fruire di servizi senza una legge nazionale
    (Comunicato stampa del 1° marzo 2021)

    – Garante per la protezione dei dati personali
    “Decreto riaperture”: gravi criticità per i pass vaccinali. Il Garante privacy invia un avvertimento formale al Governo
    (23 aprile 2021)

    – Garante per la protezione dei dati personali
    “Coronapass Alto Adige”: il Garante privacy apre un’istruttoria
    (30 aprile 2021)

    – Garante per la protezione dei dati personali
    Green pass: no a iniziative locali che violano la normativa privacy. Il Garante invia un avvertimento formale alla Regione Campania
    (26 maggio 2021)

    – Garante per la protezione dei dati personali
    Il Garante privacy blocca l’app Mitiga
    (4 giugno 2021)

    – Garante per la protezione dei dati personali
    Certificazioni verdi: via libera del Garante, con adeguate garanzie. Disposto il blocco provvisorio per l’App IO
    (10 giugno 2021)

    – Garante per la protezione dei dati personali
    App IO: il Garante mette a disposizione la relazione tecnica
    (11 giugno 2021)

    – Garante per la protezione dei dati personali
    App IO: PagoPA adotterà le misure richieste dal Garante privacy a tutela degli utenti
    (16 giugno 2021)

    – Garante per la protezione dei dati personali
    Garante privacy: ok all’uso di App IO per le certificazioni verdi. Parere favorevole dopo le modifiche apportate da PagoPA
    (18 giugno 2021)

    Garante per la protezione dei dati personali
    Covid 19: Il Garante privacy “avverte” la Regione Sicilia
    (22 luglio 2021)

    Garante per la protezione dei dati personali
    Green pass: Garante privacy risponde a Regione Piemonte
    (10 agosto 2021)

     

    INTERVISTE E INTERVENTI COMPONENTI DELL’ AUTORITA’ GARANTE

     

    DOCUMENTI DELL’EDPB E DI ALTRE ISTITUZIONI

    – Comitato europeo per la protezione dei dati – EDPB e European Data Protection Supervisor – EDPS
    EU data protection authorities adopt joint opinion on the Digital Green Certificate Proposals
    (6 aprile 2021)

    – GPA-Global Privacy Assembly
    GPA Executive Committee joint statement on the use of health data for domestic or international travel purposes
    (31 marzo 2021)

    – GPA-Global Privacy Assembly
    Using COVID-19 health data as travel requirement calls for ‘privacy by design’ approach
    (16 aprile 2021)

     

     

    Fonte:

    Garante Privacy

    DiLuca

    Privacy On The Road 31 – Luglio 2021

    La privacy si tinge di rosa in occasione dell’evento più famoso della Riviera Romagnola: La Notte Rosa! 🎆

    Vi invitiamo Sabato 31 Luglio 2021 alla prima festa dedicata alla protezione dei dati personali!

    Tante le attività in programma!⬇️
    Ore 16.30 Caccia ad un nuovo tesoro: i tuoi dati
    Ore 18.30 Aperiprivacy
    Ore 21.00 Rimini Valley

    Partecipazione gratuita

    Per motivi organizzativi si chiede di effettuare l’iscrizione ai singoli eventi, grazie!

    https://www.eventbrite.it/e/biglietti-privacy-on-the-road-161060256563

    Clicca qui per visualizzare la locandina!

     

    DiLuca

    PA Social Day 2021. Martedì 8 giugno in tutta Italia

    12:40 Marche – Ancona – Privacy e partecipazione

    In diretta da: sede della Provincia di Ancona

     

     

     

     

     

     

    Marco Porcu

    Marco Porcu

    Coordinatore PA Social Marche

    Luigi Cerioni

    Luigi Cerioni

    Presidente della Provincia di Ancona

    Gloria Maria Paci

    Gloria Maria Paci

    Consulente in materia di privacy, Data Protection Officer, Presidente Associazione Protezione Diritti e libertà privacy

    Saverio Concetti

    Saverio Concetti

    DPO Comune di Ancona

    Francesco Cardinali

    Francesco Cardinali

    Docente di comunicazione e advertising all’Università di Macerata

    DiLuca

    SocializziAmo: Un progetto di PA Social a cui collabora l’ Associazione

    Social network e minori – Presentazione del progetto “SocializziAmo”, iniziativa di informazione visiva per un uso consapevole e corretto dei social network da parte dei minori.

    Progetto ideato e curato da PA Social.

     

     

     

     

     

     

     

     

     

     

    DiLuca

    La Dott.ssa Gloriamaria Paci, partecipa a Innovazione digitale: bene comune

    L’Associazione Protezione Diritti e Libertà Privacy, nella persona della Dott.ssa Gloriamaria Paci, partecipa a Innovazione digitale: bene comune

    Guardare al digitale come uno strumento democratico, inclusivo, prioritario e indispensabile per lo sviluppo sostenibile.

    È questo l’obiettivo che si pone Innovazione digitale: bene comune, la serie di “laboratori di cittadinanza digitale ” che affrontano le nuove sfide lanciate dall’ Agenda Digitale della Regione Emilia-Romagna ADER “Data Valley Bene Comune ” sui temi della cittadinanza digitale in tutti i suoi aspetti.

    Undici talk rivolti alla comunità riminese per informare e sensibilizzare tutti i cittadini sull’importanza fondamentale dell’ADER quale strumento strategico e indispensabile per diffondere le competenze digitali, trasformare la pubblica amministrazione e i settori produttivi, connettere il territorio e contrastare marginalità geografiche e di genere.

    Ogni talk affronterà una differente tematica per cogliere una delle otto “sfide” al cambiamento, comprendere come affrontarla e individuare strumenti, metodi e strategie per poterla superare e vincere.

    “Innovazione digitale: bene comune” rientra come contributo “ispirazionale”, in materia di digitale, all’interno processo di attualizzazione del Patto per il Lavoro e il Clima Regionale del territorio provinciale di Rimini.

    Tutti i talk saranno trasmessi live streaming sulla pagina Facebook e sul canale YouTube del Laboratorio Aperto Rimini Tiberio.

    Per informazioni: laboratorioaperto@comune.rimini.it

    Programma:

    mercoledì 26 maggio | 17.30 – 18.30

    Presentazione dell’ADER “Data Valley Bene Comune”

    • Maurizio Ermeti – Presidente Piano Strategico di Rimini
    • Eugenia Rossi di Schio – Assessore all’Innovazione digitale, ricerca e sviluppo, servizi civici del Comune di Rimini
    • Paola Salomoni – Assessore Scuola, Università, Ricerca e Agenda Digitale Regione Emilia-Romagna

     

    mercoledì 9 giugno| 17.30 – 18.30

    Trasformazione digitale e sviluppo sostenibile

    • Andrea Orlando – Capo Gabinetto Presidenza Giunta Regionale Emilia-Romagna
    • Valentina Ridolfi – Coordinatrice progetti Piano Strategico di Rimini
    • Sergio Duretti – Direttore divisione welfare digitale Lepida
    • Giovanna Sissa – Ricercatrice dell’Università di Genova sulla sostenibilità ambientale del digitale

     

    lunedì 14 giugno | 17.30 – 18.30

    Educare alla cittadinanza digitale attiva

    • Nicolò Pranzini – Referente ART-ER Area S3 Rimini  
    • Massimiliano Tarozzi – Centro di ricerca sulla Global Citizenship Education – Università di Bologna – Campus di Rimini
    • Massimo Fustini – Referente Agenda Digitale della Regione Emilia-Romagna

     

    mercoledì 16 giugno | 17.30 – 18.30

    Digitale e tecnologie emergenti

    • Massimo Carnevali – Cluster Manager Clust-ER Innovazione nei servizi
    • Francesco Fullone – Direttore del Founder Istitute, business designer, mentor e investitore in aziende tecnologiche
    • Massimo Fustini – Referente Agenda Digitale della Regione Emilia-Romagna

     

    lunedì 21 giugno | 17.30 – 18.30

    Digitale e contrasto al gendar gap

    • Barbara Santi – Referente Agenda Digitale della Regione Emilia-Romagna
    • Valentina Bazzarin – Ricercatrice, formatrice e data-feminist

     

    mercoledì 23 giugno 2021 | 17.30 – 18.30

    I pericoli del digitale

    • Gloriamaria Paci – Consulente in materia di privacy – DPO e Presedente Associazione Diritti e Libertà Privacy
    • Arturo Di Corinto – Psicologo cognitivo, docente universitario e giornalista, esperto di Internet, tecnologie e comportamenti sociali

     

    lunedì 28 giugno | 17.30 – 18.30

    La Trasformazione digitale delle imprese

    • Morena Diazzi – Dirigente generale economia della conoscenza, del lavoro e dell’impresa Regione Emilia- Romagna
    • Roberto Albonetti – Segretario generale della Camera di Commercio della Romagna Forlì-Cesena e Rimini

     

    mercoledì 30 giugno | 17.30 – 18.30

    La trasformazione digitale della PA

    • Francesco Frieri – Direttore Generale alle Risorse, Europa, Innovazione e Istituzioni della Regione Emilia-Romagna  
    • Gianluca Mazzini – Direttore Generale Lepida

     

    lunedì 5 luglio | 17.30 – 18.30

    L’impatto del 5G, dell’IoT e delle tecnologie emergenti sui nuovi servizi pubblici

    • Francesco Frieri – Direttore Generale alle Risorse, Europa, Innovazione e Istituzioni della Regione Emilia-Romagna
    • Marco Chiani – Professore CNIT – Università di Bologna, esperto di 5G e nuove tecnologie

     

    mercoledì 7 luglio | 17.30 – 18.30

    Le community digitali

    • Dimitri Tartari – Coordinatore Agenda Digitale della Regione Emilia-Romagna
    • Marina Silverii – Direttore operativo ART-ER

     

    lunedì 12 luglio | 17.30 – 18.30

    Diritti e doveri digitali

    • Stefania Sparaco – Regione Emilia-Romagna Centro di Competenza per la trasformazione digitale
    • Ernesto Belisario – Avvocato studio legale E-Lex, esperto di diritto delle nuove tecnologie

     

    DiLuca

    Un anniversario speciale intervista con il Dott. Antonello Soro

    In occasione del terzo anniversario della piena applicazione al Reg. UE 2016/679, e cinque anni dell’entrata in vigore, facciamo un bilancio insieme al Dott. Antonello Soro, che ha presieduto l’Autorità Garante da giugno del 2012 a luglio del 2020.

     

    DiLuca

    PUBBLICHE AMMINISTRAZIONI SENZA PRIVACY

    Seminario Formativo Gratuito Online

    In collaborazione con Lepida Scpa

    Martedì 25 Maggio 2021 – ore 15.30/17.30

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/2317135408520878860?source=Web

    Clicca qui per visualizzare il programma!

     

    DiLuca

    Vaccinazioni a prova di privacy? Si, grazie!

    Seminario Formativo Gratuito Online

    Lunedì 3 Maggio 2021 – ore 15.00/18.00

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/6978069651530741776?source=Web

    Clicca qui per visualizzare il programma!

    Concesso patrocinio gratuito dalla camera di Commercio della Romagna, l’ Assemblea Legislativa Regione Emilia-Romagna e Ausl Romagna.

    DiLuca

    Cyberbullo a chi? Il valore dei dati e della vita privata

    Seminario Formativo Gratuito Online

    Venerdì 30 Aprile 2021 – ore 09.00/12.30

    • Prima Sessione rivolta a dirigenti scolastici, docenti, studenti terza media – scuole superiori

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/1208790303015145999?source=Web

    Venerdì 30 Aprile 2021 – ore 20.45/22.30

    • Seconda sessione rivolta a genitori, educatori, professionisti del settore sanitario e legale

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/5174030554519623183?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Privacy, marketing e comunicazione: la morale è sempre quella, solo guai a chi si ribella

    Seminario Formativo Gratuito Online

    Giovedì 22 Aprile 2021 – ore 09.30/12.30

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/3555686877386508815?source=Web

    Riconosciuti crediti formativi ordine degli avvocati!
    Riconosciuti crediti formativi ordine dei giornalisti!

    Clicca qui per visualizzare il programma!

    DiLuca

    “Dilemmi di sprivacy”

    Inaugurata la rubrica settimanale "Dilemmi di Sprivacy"

    Un appuntamento con video brevissimi dei relatori che hanno partecipato alle attività dell’ Associazione.

    Piccole perle di saggezza da condividere con tutti voi!

    25° Puntata - 23.07.2021

    24° Puntata - 16.07.2021

    23° Puntata - 09.07.2021

    22° Puntata - 02.07.2021

    21° Puntata - 25.06.2021

    20° Puntata - 18.06.2021

    19° Puntata - 11.06.2021

    18° Puntata - 04.06.2021

    17° Puntata - 28.05.2021

    16° Puntata - 21.05.2021

    15° Puntata - 14.05.2021

    14° Puntata - 07.05.2021

    13° Puntata - 30.04.2021

    12° Puntata - 23.04.2021

    11° Puntata - 16.04.2021

    10° Puntata - 09.04.2021

    9° Puntata - 02.04.2021

    8° Puntata - 26.03.2021

    7° Puntata - 19.03.2021

    6° Puntata - 12.03.2021

    5° Puntata - 05.03.2021

    4° Puntata - 26.02.2021

    3° Puntata - 19.02.2021

    2° Puntata - 12.02.2021

    1° Puntata - 05.02.2021

    DiLuca

    La tutela dei dati in ambito sanitario: il contributo dei mezzi di comunicazione

    Un nuovo seminario formativo online gratuito che si svolgerà Martedì 9 Marzo 2021.

    Ci si soffermerà per la prima volta sull’impatto negativo derivante da un’ errata diffusione sui dati della salute.

    Iscrizione obbligatoria: https://attendee.gotowebinar.com/register/6953675885214926094?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Cinque punti di condivisione per genitori e figli

    Apri l’articolo per poter scaricare la locandina!

    Prima imparare per poi insegnare

    1. SOCIAL MEDIA
    2. ALLARME CHALLENGE
    3. OCCHIO AI CAMBIAMENTI
    4. LA CHAT DI CLASSE UTILE SE..
    5. AVVOCATO PER UN GIORNO

    Clicca qui per scaricare il file!

    DiLuca

    Annuncio

    ANNUNCIO

    CERCASI INTERESSATI CHE VOGLIONO RISPETTARE LA NORMATIVA PRIVACY!!!
    RISCHIO EVITATO CON IL BIGLIETTO CLICCATO!

    REGOLAMENTO EUROPEO

    2016/679

    AMBITO DI APPLICAZIONE

    DEL. REG. EU 2016/679

    INFORMAZIONI SUL TRATTAMENTO

    ARTT. 13/14 DEL REG. EU 2016/679

    REGISTRO ATTIVITÁ DEL TRATTAMENTO

    ART. 30 DEL REG. EU 2016/679

    ANALISI DEI RISCHI

    ARTT. 25/32 DEL REG. EU 2016/679

    VALUTAZIONE D'IMPATTO

    ART. 35 DEL REG. EU 2016/679

    VIOLAZIONI (DATA BREACH)

    ART. 33 DEL REG. EU 2016/679

    ATTIVITÁ FORMATIVA

    ART. 29 DEL REG. EU 2016/679
    ART. 2 QUATERDECIES D.LGS 196/03

    ACCOUNTABILITY

    ARTT. 5/24 DEL REG. EU 2016/679

    IMPIANTO SANZIONATORIO

    DiLuca

    NON C’E’ SCUOLA SENZA PRIVACY

    RIFLESSIONI, SPUNTI ED INIZIATIVE PER PROTEGGERE I DIRITTI E LE LIBERTA’ FONDAMENTALI DEGLI INTERESSATI

    Seminario Formativo Gratuito Online dedicato interamente alle scuole.

    Approfondimenti sul cyberbullismo.

    Venerdì 5 Marzo 2021 – ore 9.00

    Clicca qui per visualizzare il programma!

    Iscrizione:

    Prima sessione: Dirigenti scolastici, studenti di terza media e scuole superiori
    https://attendee.gotowebinar.com/register/3987675099544194064?source=Web

    Seconda sessione: Docenti
    https://attendee.gotowebinar.com/register/873503027427232271?source=Web

    Terza sessione: Genitori ed educatori
    https://attendee.gotowebinar.com/register/1884795339748674575?source=Web

    DiLuca

    Esonero dal Ministero dell’Istruzione per il personale scolastico – “Non c’è scuola senza privacy”

    Considerato il particolare interesse che l’argomento trattato riveste e avuto riguardo a quanto disposto dall’art. 453 del D. L.vo 297/94, così come modificato ed integrato dall’art. 26, comma 11, della L.

    23.12.1998 n. 448, tenute presenti le disposizioni della C.M. n. 166 prot. n. 11497/308/BD datata 23.5.1981, nonché delle disposizioni contenute all’art. 64 del CCNL Comparto Scuola, si consente in

    via straordinaria che gli interessati all’evento suddetto, compatibilmente con le esigenze di servizio e nel rispetto dell’esigenza di continuità dell’insegnamento, vi partecipino a proprie spese e senza alcun

    onere né responsabilità a carico dell’amministrazione scolastica, con esonero dall’obbligo di servizio nel giorno sopraindicato.

    Si ritiene opportuno ricordare che, nel corso di uno stesso anno scolastico, il periodo di assenza per partecipare a congressi e a convegni non può superare i 5 giorni per ciascun dipendente e che in nessun

    caso si può procedere alla nomina di supplenti in sostituzione dei docenti interessati. Al rientro in sede gli interessati presenteranno all’autorità scolastica competente la dichiarazione di

    partecipazione rilasciata dai responsabili dell’iniziativa.

    https://www.miur.gov.it/convegni-e-seminari

    Vi ricordiamo che  “Non c’è scuola senza privacy”, è un seminario formativo gratuito on line che si svolgerà Venerdì 5 Marzo 2021 a partire dalle ore 9,00.

     Suddiviso in tre diverse sessioni per favorire la partecipazione ed il coinvolgimento del maggior numero di Dirigenti scolatici, studenti, docenti e genitori/educatori, l’evento si presenta come una vera e propria staffetta in cui i partecipanti, accompagnati dai relatori,  si confronteranno e  rifletteranno su tematiche di grande attualità.

    Quale relatore parteciperà anche la Dott.ssa Antonietta D’Amato, in qualità di Responsabile per la protezione dei dati personali del Ministero dell’Istruzione e porterà i saluti istituzionali in rappresentanza del Ministro la Dott.ssa Gianna Barbieri, Direttore Generale della Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica.

    Il seminario formativo vuole essere un momento di confronto e riflessione costruttiva fra chi vive la scuola e chi si fa portavoce di promuovere e sensibilizzare la cultura della normativa sulla protezione dei dati.

    Ad oggi abbiamo avviato un sondaggio anonimo I giovani e la rete: condividiamo le esperienze”. Questo il link per partecipare al sondaggio https://forms.gle/YZsZYokbNi4jQZ746

    Dieci domande di carattere generale sulla rete, pensate per i ragazzi delle scuole medie e superiori, finalizzate a comprendere il rapporto fra i giovani e la rete. Le informazioni raccolte, rigorosamente anonime ed elaborate su un campione rappresentativo di scuole ubicate su tutto il territorio nazionale, saranno presentate in occasione del seminario formativo gratuito on line https://www.associazionedirittiprivacy.it/non-ce-scuola-senza-privacy/

     

    Per partecipare al seminario formativo del 5 marzo 2021 iscrizione obbligatoria:  

     Prima Sessione: Dirigenti ScolasticiStudenti Classi di Terza media e Superiori

    https://attendee.gotowebinar.com/register/3987675099544194064?source=Mail

     

    Seconda Sessione: Docenti

    https://attendee.gotowebinar.com/register/873503027427232271?source=Mail

     

    Terza Sessione: Genitori ed educatori

    https://attendee.gotowebinar.com/register/1884795339748674575?source=Mail

     

    DiLuca

    Non c’è scuola senza privacy. Il sondaggio sui giovani e la rete

    Egregio Dirigente Scolastico,

    con la presente sono a chiedere la disponibilità a supportarci nella somministrazione del sondaggio anonimo I giovani e la rete: condividiamo le esperienzepromosso dall’Associazione protezione diritti e libertà privacy. Per accedere al sondaggio https://forms.gle/YZsZYokbNi4jQZ746

     

    Dieci domande di carattere generale sulla rete, pensate per i ragazzi delle scuole medie e superiori, finalizzate a comprendere il rapporto fra i giovani e la rete.

     

    Le informazioni raccolte, rigorosamente anonime ed elaborate su un campione rappresentativo di scuole ubicate su tutto il territorio nazionale, saranno presentate in occasione del seminario formativo gratuito on line “Non c’è scuola senza privacy” che si svolgerà Venerdì 5 Marzo 2021 a partire dalle ore 9,00  https://www.associazionedirittiprivacy.it/non-ce-scuola-senza-privacy/

     

    Per partecipare al seminario iscrizione obbligatoria:  

    Prima Sessione:Dirigenti Scolastici ~ Studenti Terza Media e Superiori

    https://attendee.gotowebinar.com/register/3987675099544194064?source=Mail

     

    Seconda Sessione: Docenti

    https://attendee.gotowebinar.com/register/873503027427232271?source=Mail

     

    Terza Sessione: Genitori ed educatori

    https://attendee.gotowebinar.com/register/1884795339748674575?source=Mail

     

     

    Quale riconoscimento e ringraziamento a tutti gli studenti che hanno aderito all’iniziativa, l’esito del sondaggio sarà illustrato proprio da un alunno delle scuole superiori che ha contribuito fattivamente alla predisposizione delle domande nonché alla sensibilizzazione dei coetanei ad aderire alla ricerca.

     

    I risultati del sondaggio, con l’indicazione degli Istituti Scolastici che hanno contribuito,  saranno altresì pubblicati sul sito dell’Associazione e messi a disposizione del Ministero per l’Istruzione che a sua discrezione, potrà utilizzare o meno per individuare azioni di miglioramento per i bisogni e le esigenze mutevoli dei giovani rispetto all’utilizzo della rete.

    Per ringraziare della preziosa collaborazione fornita, ogni Istituto Scolastico riceverà un’attestazione per aver contribuito al sondaggio.

    Per partecipare al sondaggio, se possibile sollecitati e/o supportati dal docente individuato quale Referente del cyberbullismo nonché dall’Animatore digitale, è necessario collegarsi al link https://forms.gle/YZsZYokbNi4jQZ746

     

    A disposizione per chiarimenti, ringraziando per la collaborazione, porgo cordiali saluti.

    Buone cose.

    Gloria Paci

    DiLuca

    Minori e web, il Garante della privacy a Leggo: «Possiamo bloccare i social ma il primo controllore è il genitore»

    Lunedì 1 Febbraio 2021

    Allarme challenge. Cresce il numero di minori coinvolti in sfide estreme sui social. Il Garante per la protezione dei dati personali ha preso misure per TikTok e ha aperto fascicoli per Facebook e Instagram.

    Pasquale Stanzione, giurista, presidente dell’Autorità garante dal 29 luglio scorso, cosa sta succedendo?
    «Il Garante ha ritenuto indifferibile esigere dalle piattaforme il rispetto di alcuni obblighi essenziali a tutela dei minori, primo tra tutti il dovere di verificare l’età degli utenti. I social devono predisporre sistemi che riescano davvero a garantire che chi apra un profilo abbia l’età per farlo: almeno 14 anni in Italia».

    Quali le misure attuali per contrastare i rischi per i minori sui social?
    «Oltre all’age verification, occorre tutelarli dai contenuti illeciti, tramite l’ineludibile controllo dei genitori in via preventiva e, in via successiva, l’intervento di magistratura, polizia, in particolare postale, ma anche Garante, soprattutto rispetto al cyberbullismo».

    Come si verifica l’età senza violare la privacy?
    «Le possibilità sono diverse purché si coniughi la necessità di accertamento univoco dell’età con l’esigenza di evitare di fare, di ogni social, una sorta di anagrafe mondiale della popolazione».

    Non teme che, imposte tali verifiche ai social, i ragazzi trovino altri modi, senza controllo, per sfidarsi in Rete?
    «Purtroppo la tecnica, se sorretta da intenti illeciti, rende possibile eludere quasi ogni norma. Non è esclusa l’eventualità che le sfide illecite si perseguano in altri canali, più sfuggenti alla regolamentazione. Ma non è un buon motivo per rinunciare a disciplinare. Anzi, tale possibilità deve indurre a rafforzare i controlli, giungendo anche ai livelli della Rete più nascosti».

    I minori, ora, sono spesso connessi, pure per la Dad, come si gestisce la nuova mole di rischio?
    «Vanno garantite la sicurezza dei canali in cui i dati, specie dei minori, transitano e un’adeguata formazione digitale dei ragazzi, che li renda consapevoli di opportunità e rischi della Rete».

    I social impongono interventi a livello internazionale.
    «La cooperazione a livello europeo è intensa e costante, ma va estesa a livello globale: la protezione dei dati deve assurgere a diritto universalmente tutelato».

    E se i social non rispetteranno le misure?
    «L’inosservanza di provvedimenti individuali inibitori determina responsabilità amministrativa e persino penale, ma confido che la persuasione faccia più della coercizione».

    © RIPRODUZIONE RISERVATA

    Fonte: Leggo

     

    DiLuca

    Giornata Europea della Privacy – 28 Gennaio 2021.

    La nostra storia.

    I nostri traguardi raggiunti grazie a tutti voi. 💕

    Giornata Europea della Privacy – 28 Gennaio 2021.

    “Privacy Social Therapy” il progetto cresce e dà vita al gruppo “Sei abile o disabile se…”,

    come dice Vanni Oddera, insieme si raggiungono traguardi impensati!

     

    DiLuca

    Giornata Europea della Privacy

    Giovedì 28 Gennaio 2021

    Giornata Europea della Privacy

     

    Il campione di Free style motocross Vanni Oddera partecipa e promuove il progetto della Privacy Social Therapy:

     

     

    “Privacy Social Therapy” il progetto cresce e dà vita al gruppo “Sei abile o disabile se…”,

    come dice Vanni Oddera, insieme si raggiungono traguardi impensati!

    DiLuca

    Lunedì 28 Dicembre alle ore 17.00 cerimonia di consegna online della “Pergamena 2020” al Prof. Francesco Pizzetti e al Dott. Antonello Soro

    Un ambito riconoscimento che l’ Associazione Protezione Diritti e Libertà Privacy riconoscerà ogni anno a chi si è adoperato per favorire i diritti e le libertà fondamentali delle persone con particolare riguardo ai dati personali.

    Partecipazione gratuita

    Iscrizione obbligatoria: https://attendee.gotowebinar.com/register/3031702514661741327?source=Web

    Clicca qui per visualizzare la locandina!

    Vi Aspettiamo!

    DiLuca

    Associazione Protezione Diritti e Libertà Privacy incontra gli studenti dell’ Università “La Sapienza” di Roma

    Luca Di Leo – Vicepresidente dell’ Associazione Protezione Diritti e Libertà Privacy viene intervistato dagli studenti del corso di laurea in comunicazione delle scienze biomediche dell’ Università “La Sapienza” di Roma.

    All’interno del questionario realizzato per la campagna vaccinazione antinfluenzale 2020 Luca Di Leo, ha illustrato gli aspetti relativi alla normativa privacy nel mondo sanitario.

    DiLuca

    Sicurezza dei dati e sicurezza sul lavoro

    Seminario Formativo Gratuito Online

    Lunedì 21 Dicembre 2020 – Ore 15.00

    Iscrizione obbligatoria attraverso il seguente link:

    https://attendee.gotowebinar.com/register/99154369656856332?source=Sito+web

     

    DiLuca

    Linee Guida dell’EDPB: esercizio di stile o strumento d’aiuto alla corretta applicazione del GDPR

    19 Novembre 2020

    Le Linee Guida dell’EDPB, così come le raccomandazioni e le migliori prassi, dovrebbero avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per la migliore attuazione alla normativa sulla protezione dei dati personali, ma non sempre è così. Proviamo a fare un po’ di chiarezza

    Negli ultimi mesi l’European Data Protection Board (EDPB) ha pubblicato ben tre Linee Guida su temi di estrema rilevanza poiché riguardano:

    1. la relazione tra il Regolamento 2016/679/UE (nel seguito “GDPR”) e la Direttiva 2015/2366/EU c.d. PSD2;
    2. i ruoli di Titolare, CO-Titolare e Responsabile del trattamento;
    3. il rapporto tra i diversi soggetti che agiscono nel mondo dei social e della promozione on-line.

    Si tratta davvero di ambiti molto importanti che presentano numerosi aspetti che richiederebbero una visione che riesca non solo a coordinare differenti normative con rilevanti ambiti di sovrapposizione ma che, ponendosi nell’ottica dei destinatari (Titolari, Co-Titolari e Responsabili), sia in grado di costituire un ausilio concreto e pragmatico.

    Linee Guida dell’EDPB: quale dovrebbe essere il loro ruolo

    D’altra parte, se guardiamo ai compiti dell’EDPB ex art. 70 del GDPR in diverse lettere del comma 1 viene riportata la seguente previsione: “pubblica linee guida, raccomandazioni e migliori prassi”.

    Ora senza voler fare l’esegesi della terminologia utilizzata sembra potersi evincere che le linee guida, le raccomandazioni e le migliori prassi dovrebbero, sostanzialmente, avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per dare la migliore attuazione alla normativa sulla protezione dei dati personali.

    Purtroppo, a parere di chi scrive, sembra che in luogo di tali obiettivi, le Linee Guida contribuiscano a rendere ancora più confusa e complessa l’applicazione della normativa anche perché, in diversi casi, sembrano contenere delle “prescrizioni” ulteriori rispetto a quelle del GDPR, andando quasi a costituire una fonte di diritto secondaria, anziché preoccuparsi di chiarire quelle già rinvenibili nella normativa.

    EDPB e sentenze della Corte di Giustizia Europea: manca un approccio critico

    Altro aspetto estremamente importante che, in particolare nelle ultime due linee guida poste in consultazione emerge, è quello relativo allo svilimento del ruolo che l’EDPB dovrebbe svolgere come faro illuminante anche nei confronti delle altre Istituzioni comunitarie: ci riferiamo in particolare alla posizione assunta nei confronti delle sentenze della Corte di Giustizia Europea (CJEU) ed alle valutazioni da quest’ultima espresse rispetto alle quali ci si sarebbe aspettato un approccio critico frutto della specifica competenza sui temi della protezione dei dati personali.

    E invece nulla di tutto questo è accaduto tant’è che nella seconda e terza delle Linee Guida in parola l’EDPB ha fatto proprie le valutazioni della CJEU che nella Sentenza Jehovah’s Witnesses, C-25/17 ha ritenuto che l’Associazione religiosa dei Testimoni di Geova e le singole persone fisiche che, avendo aderito a questa religione, agiscano per diffondere il loro credo e fare proselitismo, debbano essere considerati “Co-Titolari del trattamento” relativamente al trattamento dei dati dei soggetti che vengono contattati, molte volte con il porta a porta e con postazioni site nelle strade delle nostre città.

    Una tale valutazione appare davvero bizzarra poiché mette sullo stesso piano l’Associazione religiosa e il singolo credente che si attiva per fare proseliti andando a stabilire che entrambi definiscono le “finalità e gli strumenti” con i quali vengono raccolti e trattati i dati: crediamo che sia davvero difficile ritenere tale statuizione della CJEU condivisibile poiché non solo non rappresenta la realtà oggettiva che vede l’Associazione religiosa dei Testimoni di Geova, nel suo complesso e attraverso la propria struttura gerarchica, essere l’unico soggetto che determina le finalità e le modalità di trattamento lasciando alle singole persone fisiche che svolgono l’attività di proselitismo il ruolo di “autorizzato al trattamento” e questo a voler tacere della circostanza che nelle fasi di proselitismo, sia porta a porta che con le postazioni nelle strade, appare davvero difficile ritenere che vi sia un vero e proprio trattamento di dati personali che, eventualmente, potrebbe realizzarsi solo successivamente nella fase di pre-adesione/adesione al credo religioso.

    L’EDPB ha, quindi, non solo ritenuto di non dover esprimere una propria posizione rispetto a quanto affermato dalla CJEU, ma ha fatto propria tale indicazione richiamandola ripetutamente nelle citate linee guida come un importante riferimento.

    Il caso della linea guida sul targeting dei social media

    In un altro caso, sentenza CJEU 210/16 Wirtschaftsakademie, la Corte specifica che “la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «Titolare del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46” e anche che “il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network” e che solo in determinate circostanze sia possibile considerare che l’amministratore di una pagina su Facebook possa essere considerato “Titolare del trattamento” e ciò quando, ad esempio consente a Facebook di installare sulla propria pagina i cookies di quest’ultima ovvero relativamente all’acceso alla propria pagina di utenti che non siano anche registrati sulla piattaforma di Facebook.

    Anche con riferimento a questa sentenza l’EDPB non solo si è limitato a condividerla ma ha anche eliminato l’inciso che “solo in determinate circostanze” il gestore della pagina Facebook possa essere considerato “Co-Titolare” del trattamento.

    Vale la pena di sottolineare che, vigente la Direttiva 95/46, che sostanzialmente individuava solo in capo al “Titolare del trattamento” l’onere del risarcimento per i danni cagionati all’Interessato, la Corte considera che la presenza di Co-Titolari possa accrescere la possibilità di un ristoro dei danni subiti, valutazione che appare non tenere in debita considerazione che se i distinti soggetti agiscono quali autonomi “Titolari del trattamento” le tutele e le prerogative degli interessati mantengono lo stesso livello di garanzia.

    Queste valutazioni hanno condotto ad affermare che, si veda l’esempio 1) della Linea Guida sul targeting dei social media, il soggetto che “compra” una campagna pubblicitaria (Targeter) per il semplice fatto che indichi le caratteristiche dei destinatari ai quali intende di far pervenire il suo messaggio pubblicitario debba essere considerato “Co-Titolare” del trattamento con il Social Media che è il soggetto che ha raccolto i dati in qualità di Titolare del trattamento e l’eventuale consenso al loro utilizzo per finalità di marketing diretto.

    Una tale posizione non tiene in nessuna considerazione non solo la complessità che tale previsione impone dovendosi predisporre accordi di Co-Titolarità anche per una campagna one-shoot, con un aggravio di attività per la quale non se ne comprendono gli eventuali benefici in capo all’Interessato.

    Infatti, l’accordo di Co-Titolarità da solo non sarebbe sufficiente alla compliance poiché, almeno, dovrebbe essere predisposta una Informativa ex art. 13 e 14 del GDPR che andrebbe data all’Interessato al momento della raccolta dei dati mentre, in un caso del genere, avverrebbe successivamente e, in molti casi, a notevole distanza di tempo.

    Inoltre, ci si domanda quando dovrebbe essere fornita tale Informativa che modifica le previsioni inizialmente comunicate in fase di raccolta dei dati personali.

    Tale valutazione risulta, a parere di chi scrive, del tutto non condivisibile anche tenendo conto dell’eventuale trasmissione al Targeter, da parte del Social Media, di un report “statistico” contenente i numeri dei destinatari nonché, ad esempio, l’indicazione del numero dei soggetti che hanno “letto” la comunicazione: non vi è nessuna comunicazione di dati personali in un report statistico volto a dare evidenza dell’efficacia della campagna di comunicazione.

    Il semplice fatto che il Targeter abbia indicato le caratteristiche dei soggetti ai quali intende far pervenire la propria comunicazione promozionale non può essere considerato come la definizione delle finalità e, tantomeno, delle modalità con le quali viene effettuato il trattamento che continuano ad essere quelle indicate dal social media nell’informativa fornita all’Interessato al momento della raccolta dei dati personali.

    Inoltre, relativamente all’esempio 1), sembra essere chiaro che la finalità del trattamento è il “marketing diretto” mentre la scelta dei destinatari verso i quali indirizzare la comunicazione possa essere, più correttamente, considerata come una attività strumentale al perseguimento della citata finalità e non una ulteriore finalità.

    Altri aspetti che sollevano numerosi interrogativi sono contenuti nei punti da 44 a 46 delle Linee Guida in commento laddove sembra ricavarsi il possibile impiego, come base giuridica per le attività indicate nell’esempio 1) del “legittimo interesse” di cui all’art. 6 c1 lett. f) del GDPR.

    Questa indicazione appare non del tutto in linea con le prescrizioni contenute nelle Linee Guida sui “cookies” pubblicata dall’EDPB a maggio di quest’anno. In quelle Linee Guida, infatti, viene indicato come la base legale per l’utilizzo dei cookies con finalità di marketing diretto sia solo ed esclusivamente, il consenso “esplicito ed informato”: come è possibile avere un consenso esplicito ed informato nel caso in cui, dopo aver raccolto i dati ed il consenso, sottoscrivo un accordo di Co-Titolarità per effettuare una campagna di marketing diretto per conto di un soggetto distinto dal quello che lo aveva inizialmente raccolto?

    Le Linee Guida EDPB e il rischio di indicazioni inapplicabili

    A tal riguardo, peraltro, si riporta il testo del punto 69 delle Linee Guida che, ancora una volta, fornisce indicazioni che risultano del tutto inapplicabili “The EDPB also recalls that in a case where the consent sought is to be relied upon by multiple (joint) controllers or if the data is to be transferred to or processed by other controllers who wish to rely on the original consent, these organisations should all be named”: come è possibile indicare nell’Informativa il nome di un soggetto con il quale stabilirò un rapporto commerciale per una campagna di marketing diretto solo successivamente.

    Sono interrogativi ai quali le Linee Guida non forniscono riscontro limitandosi, purtroppo, a dare indicazioni di fatto inapplicabili.

    Negli esempi 2) e 3) delle Linee Guida sul targeting e social media l’EDPB si focalizza sul fatto che nel momento in cui la banca “comunica” i dati al Social Media inizia la condizione di “Co-Titolarità” tra i due soggetti ma non si preoccupa di fornire indicazioni circa le basi legali per rendere tale “comunicazione” legittima ai sensi del GDPR, aspetto che sarebbe molto più rilevante, visti i flussi di dati di internet, e che ha ampi margini di indeterminatezza che sarebbe molto utile chiarire.

    Per quanto riguarda le Linee Guida su Titolare, Co-Titolare e Responsabile valgono le stese riflessioni già sopra riportate alle quali ne va sicuramente aggiunta una di carattere generale che riguarda proprio l’esigenza di fornire utili esemplificazioni al fine di aiutare alla corretta valutazione del ruolo “agito” nell’ambito del trattamento dei dati personali, esigenza estremamente sentita ma alla quale sono state forniti davvero pochi riscontri.

    L’EDPB ritiene che “The concepts of controller and processor are functional” e anche “The concepts of controller and processor are also autonomous concepts in the sense that, although external legal sources can help identifying who is a controller, it should be interpreted mainly according to EU data protection law” ma nel documento non sviluppano in modo pratico tali affermazioni.

    Venendo agli esempi relativi al ruolo di Titolare presenti nel documento non si capisce perché nell’Example: Bank payments si considera il ruolo della Banca che fornisce i servizi bancari a favore di una Società Alfa per il pagamento degli stipendi dei dipendenti quello di Titolare mentre, avendo a riferimento l’Example: Market research, se la stessa Società Alfa decide di utilizzare i servizi della Società Beta per una “ricerca di mercato” fornendo una lista di domande e ricevendo solo un report complessivo debba essere considerata Titolare e la Società Beta designata Responsabile del trattamento senza alcuna valutazione delle caratteristiche del servizio in parola.

    Ed infatti se la configurazione Alfa-Titolare e Beta Responsabile può essere corretta nel caso in cui l’analisi di mercato riguardi i Clienti di Alfa, che quindi fornisce oltre alle indicazioni sui temi da analizzare anche la lista dei soggetti da intervistare, non appare condivisibile quando la Società Beta contatta un panel che potrebbe aver precedentemente selezionato e i cui dati personali acquisiti, quindi, nella veste di Titolare del trattamento.

    Relativamente alla sezione delle Linee Guida dedicate alla Co-Titolarità si confermano i dubbi già sopra espressi circa l’approccio che vede l’EDPB, partendo dalle decisioni della CJEU commentate, considerare applicabile tale modello in una numerosa casistica che in molti casi si fa davvero fatica a condividere.

    In particolare relativamente all’Example: Headhunters appare davvero poco condivisibile che l’Headhunter e la società che commissiona la ricerca di personale debbano essere considerati Co-Titolari nel momento in cui, nella conduzione della ricerca, l’Headhunter, che utilizza un proprio DB costituito da CV raccolti in qualità di Titolare procedere ad elaborare anche i CV ricevuti direttamente dalla società che ha commissionato la ricerca: a parte la problematicità già sopra evidenziata relativamente ai CV raccolti dall’Headhunter sulla base di una propria informativa quale Titolare del trattamento che richiederebbe, quindi, il rilascio di un aggiornamento dell’informativa in precedenza prestata resta il fatto che tale impostazione creerebbe una proliferazione di accordi di Co-Titolarità “necessari” alla gestione di ogni singola ricerca di personale senza che da tale modello possa derivarne alcun beneficio concreto per il Candidato e, nemmeno, per la protezione dei dati personali.

    Quando le Linee Guida dell’EDPB vanno oltre il dettato del GDPR

    Per quanto riguarda, poi, la sezione delle Linee Guida dedicata al Responsabile del trattamento sembra potersi confermare che l’EDPB in luogo di perseguire il fine di offrire chiarimenti ed indicazioni esplicative atte ad indirizzare correttamente le operatività di questi ultimi, intende utilizzare tale strumento per formulare ulteriori e più stringenti prescrizioni andando ben oltre quello che è il dettato dell’art. 28 del GDPR.

    Innanzitutto l’EDPB non sembra voler tenere in alcuna considerazione la realtà fattuale del contesto nel quale la normativa deve essere calata laddove, in modo abbastanza semplicistico, afferma che “the imbalance in the contractual power of a small data controller with respect to big service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law, nor can it discharge the controller from its data protection obligations” poiché è davvero poco accettabile che, pur consapevoli “that the contract and its detailed terms of business are prepared by the service provider rather than by the controller” si scarichi sullo “small controller” l’onere di farsi carico di “obbligare” il proprio interlocutore, in molti casi soggetti con un elevato potere economico, ad accettare modifiche agli Atti di designazione a Responsabile del trattamento da questi ultimi predisposti.

    Per contro sarebbe, invece, auspicabile che la Commissione Europea e le DPA nazionali, con il supporto dell’EDPB, definiscano le Standard Contractual Cluses previste dai commi 7 e 8 dell’art. 28 proprio al fine di ribilanciare i differenti pesi specifici dei soggetti.

    Appare poi un inutile aggravio la previsione che oltre a dover sottoscrivere un atto formale per regolare la designazione a Responsabile del trattamento che contenga tutte le indicazioni e prescrizioni dell’art. 28 del GDPR venga richiesto di allegare anche procedure, la descrizione delle misure di sicurezza proposte dal Responsabile, il dettaglio delle procedure che regolano l’assistenza verso il Titolare nella gestione delle richieste degli Interessa eccetera.

    Peraltro, viene anche sottolineato come si debba anche tener conto del contesto, della tipologia dei dati trattati, del rischio relativo e, aggiungiamo, anche delle caratteristiche del Titolare e/o del Responsabile anche dal punto di vista economico, ma di indicazioni concrete a tal riguardo non ve ne è traccia.

    Invece, sembra che si voglia anche mettere in dubbio una delle significative novità introdotte dal GDPR che ha equiparato il Titolare ed il Responsabile dal punto di vista della “accountability” e di conseguenza delle responsabilità connesse al proprio operato, quando da una parte si afferma che Titolare e Responsabile hanno degli obblighi “autonomi ed individuali” che discendono dalle prescrizioni dell’art. 32 salvo poi affermare che “The contract needs to include or reference information as to the security measures to be adopted, an obligation on the processor to obtain the controller’s approval before making changes, and a regular review of the security measures so as to ensure their appropriateness with regard to risks, which may evolve over time” e questo dopo avere affermato “the requirement that the processor itself adopts adequate security measures, where the processing operations of the processor fall within the scope of the GDPR, they remain two distinct obligations, since one refers to the processor’s own measures and the other refers to the controller’s”, il tutto con l’unico risultato di rendere confusi anche quegli aspetti del GDPR che sembravano essere sufficientemente chiari e condivisi.

    La posizione dell’EDPB sulla Direttiva PSD2

    Concludiamo queste nostre riflessioni sulle Linee Guida relative all’interworking tra il GDPR e la Direttiva 2015/2366/EU (nel seguito “PSD2”) che, dopo la consultazione, dovrebbero essere quasi pronte per esser pubblicate.

    Vale la pena di partire da una risposta che a luglio 2018 l’EDPB aveva fornito sul tema della PSD2 ad una richiesta di una deputata del Parlamento Europeo che segnalava come vi fossero dubbi interpretativi circa il “consenso”, più volte richiamato nella PSD2 come condizione imprescindibile per dare correttamente avvio ad un pagamento elettronico, ed il consenso di cui all’art. 6 c. 1 lett. a) del GDPR quale base giuridica per il trattamento dei dati personali.

    Nel formulare il riscontro il Board aveva, giustamente, chiarito come si trattasse di due piani distinti: il primo riguardava la conclusione di un contratto ed aveva lo scopo di conseguire la consapevolezza del soggetto che effettuava la transazione, come richiesto dall’art. 94 (2) della PSD2, mentre il consenso del GDPR è una delle basi giuridiche sulla quali può poggiare il trattamento dei dati personali e, nell’ambito di una transazione economica, quindi di fatto nell’ambito dell’esecuzione di un “contratto”, è questa la base giuridica per il trattamento dei dati personali (art. 6 c. 1 lett. b)).

    Nelle Linee Guida in commento l’EDPB, anche alla luce delle Linee Guida 2/2019, riaffronta il tema della base giuridica del trattamento in ambito servizi di pagamento elettronici sottolineando l’esigenza che vi sia una attenta valutazione delle finalità perseguite evidenziando come sia imprescindibile che il Titolare garantisca che il trattamento sia “‘Necessary for performance’ clearly requires something more than a contractual clause”.

    Questo richiamo ricorre in numerosi passaggi del documento quasi a testimoniare che l’EDPB ritenga il servizio attraverso il quale un soggetto richiede al proprio fornitore di strumenti di pagamento elettronico, non possa essere sempre considerato un “contratto”, ad esecuzione immediata, con il quale viene dato seguito, appunto, ad un ordine di pagamento spingendosi ad affermare che potrebbe non essere valido nemmeno “for taking relevant pre-contractual steps at the request of the data subject”: davvero una simile posizione appare non condivisibile e, soprattutto, foriera di dubbi applicativi sulla corretta scelta della base giuridica che, sarebbe auspicabile, le Linee Guida contribuissero ad indirizzare nel modo più semplice e corretto.

    Paradossale appare, poi, la posizione pilatesca espressa dall’EDPB che, circa l’applicabilità dell’art. 6 c .4 del GDPR relativamente alle finalità di trattamento che discendono in capo agli AISP (Account Information Services Provider) o ai PISP (Payment Initation Services Providers) dalla Direttiva 2015/849/UE ai fini del contrasto delle attività di riciclaggio e di finanziamento del terrorismo, ci informa come “Note that a thorough examination of the question whether the anti-money laundering directive meets the standard of Art. 6 (4) GDPR falls outside of the scope of this document”!

    Appare, inoltre, davvero poco comprensibile che “the EDPB highlights that the payment service user must be able to choose whether or not to use the service and cannot be forced to do so”: in che modo il PISP, che riceve un ordine di pagamento da parte del payment service user potrebbe forzalo ad effettuare una transazione visto che il suo intervento avviene a valle della libera decisione dell’user di comprare un prodotto o un servizio, o di effettuare un pagamento, al solo fine di consentire il trasferimento di una somma a favore di un terzo.

    Ancora meno comprensibile l’enfasi che l’EDPB pone sulla figura del destinatario di un pagamento, il c.d. Silent Party, e sul relativo trattamento dei dati personali dedicando all’argomento una serie di riflessioni che davvero si fa fatica a condividere.

    Qual è la differenza tra un pagamento effettuato presso lo sportello fisico di un Istituto Bancario nel quale il Cliente dispone un bonifico nei confronti di un soggetto e quello realizzato mediante un PISP relativamente al trattamento dei dati personali del destinatario del pagamento?

    Come mai tale attenzione emerge solo oggi visto che i servizi bancari datano al 1400 e tale aspetto non è stato sino ad oggi ritenuto rilevante ai sensi della direttiva 96/45/UE?

    Perché il PISP dovrebbe invocare il proprio “legittimo interesse” quale base giuridica per dare seguito ad una “richiesta di pagamento” effettuata dal payment service user: il PISP si limita a dare esecuzione a quanto gli è stato richiesto sulla base di un “contratto” che, attraverso la richiesta di transazione formulata dall’user si è impegnato ad eseguire.

    Anche gli aspetti relativi alla “eventuale” presenza di dati particolari ricavabili più o meno direttamente dalle transazioni e alla necessità di garantire il rispetto delle prescrizioni ex art. 9 del GDPR sembra dimostrare poca dimestichezza sul funzionamento del “servizio” al quale ci si riferisce.

    È davvero difficile comprendere come a fronte di una richiesta del payment service user di procedere ad effettuare un pagamento e, tenuto conto del contesto nel quale questo avviene che spazia dall’utilizzo di un POS presso un punto vendita “fisico” ad una transazione completamente virtuale collegata ad un acquisto effettuato su di un sito di e-commerce e che vede, in ambedue i casi, l’intervento del PISP come soggetto esterno alla transazione commerciale con il solo ruolo di procedere al trasferimento di denaro dall’acquirente verso il venditore, questi sia tenuto a raccogliere un consenso al trattamento dei dati particolari eventualmente e, in ogni caso, solo indirettamente rinvenibili nella transazione.

    Per poter avere contezza della tipologia dei dati personali coinvolti nella transazione il PISP dovrebbe effettuare delle analisi di dettaglio sulle caratteristiche dei beni acquistati per i quali interviene come soggetto che garantisce il pagamento.

    Paradossalmente il PISP, seguendo le indicazioni delle Linee Giuda, viene spinto a dover raccogliere ed elaborare una quantità di dati indispensabile a poter valutare la presenza di dati particolari: questa indicazione appare quantomeno essere non del tutto in linea con i principi di “privacy by design e by default” poiché tali dati aggiuntivi non sarebbero indispensabili ad effettuare il trattamento richiesto ai fini del perfezionamento della transazione.

    In una tale ipotesi il PISP dovrebbe analizzare il contenuto descrittivo della transazione, ove questo fosse presente, per valutare se da tali informazioni sia inferibile che questa ha ad oggetto dati personali particolari.

    Nella realtà l’intervento del PISP si limita, nel caso del POS fisico, alla lettura della banda magnetica della carta di pagamento ed all’associazione con il PIN, mentre nelle transazioni on-line al payment service user viene presentata un form dove inserire i dati dello strumento di pagamento e il PISP riceve, di norma, solo tali informazioni.

    È vero che in funzione del punto fisico di presenza del POS ovvero del sito di e-commerce, si possa indirettamente inferire su una potenziale presenza di dati particolari, es. se acquisto presso un sexy-shop fisico o on-line, ma che in tale circostanza debba essere il PISP a farsi carico della raccolta del consenso appare davvero non solo impraticabile ma senza senso.

    Tali trattamenti sarebbero da considerare “strumentali” ad una richiesta dell’Interessato – payment service user – il quale volontariamente, coscientemente e liberamente decide di procedere all’acquisto e, di conseguenza, anche nel caso in cui vi fosse la presenza di dati particolari, ”il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato, come recita l’art. 9 c. 2 lett. e) del GDPR ma una tale valutazione richiederebbe, da parte dell’EDPB, una pragmaticità che, purtroppo, non sembra esser rinvenibile nelle Linee Guida.

    Un’ultima necessaria considerazione riguarda il Silent Party per il quale, anche rispetto al trattamento dei dati particolari, l’EDPB ha ritenuto indispensabile fornire adeguati caveat circa la necessità di raccogliere un eventuale consenso salvo non preoccuparsi in alcun modo di valutare se sia davvero possibile dare applicazione ad una simile previsione.

    Peraltro, non si capisce il perché sarebbe necessario un consenso se chi riceve il pagamento è il “proprietario-gestore” del sito di e-commerce dove è avvenuta la transazione e, quindi, è ben consapevole di cosa ha venduto mentre, nel caso di una transazione avente a destinatario un partito politico, un sindacato, una associazione religiosa o culturale, non si capisce il senso del riferimento al trattamento di dati particolari visto la loro connotazione univoca.

    Conclusioni

    Dalla lettura dei documenti in commento si rileva una significativa distanza tra l’EDPB ed il contesto reale e concreto delle esigenze dei destinatari che sono chiamati a dare puntuale applicazione al GDPR.

    Manca la capacità di cogliere il reale meccanismo di funzionamento che sottende il trattamento dei dati personali nel sempre più complesso mondo dei big data che ci circonda.

    Al tempo stesso le Linee Guida che, nelle indicazioni rinvenibili nei Considerando e nell’art. 70 del GDPR, dovrebbero svolgere una funzione di aiuto e ausilio per i diversi soggetti (Titolari, Co-Titolari e Responsabili) che a vario titolo effettuano il trattamento dei dati personali nella corretta applicazione della normativa, non solo non sembrano conseguire tale scopo ma, al contrario, creano ulteriori incertezze introducendo vincoli e indicazioni, fornendo esemplificazioni e valutazioni, che non sembrano essere rinvenibili nella normativa che dovrebbero contribuire a far applicare in modo corretto.

    Inoltre, anche il meccanismo di funzionamento della “consultazione pubblica” appare carente poiché non si capisce come mai, a seguito delle consultazioni, i documenti finali mantengano, sostanzialmente, gli stessi contenuti iniziali nonostante in molti casi, e chi scrive ha in diverse occasioni inviato contributi, le tematiche affrontate presentavano aspetti rilevanti che hanno sicuramente stimolato i diversi soggetti interessati.

    A tal riguardo, proprio nell’ottica della trasparenza tante volte citata nei documenti in parola, sarebbe auspicabile che l’EDPB fornisse visibilità sui contenuti e commenti ricevuti e spiegasse le ragioni del loro mancato accoglimento.

    Luciano Delli Veneri
    DPO, consulente compliance organizzativa e privacy, Privacy Officer certificato TUV
    Gloria Marcoccio
    DPO, consulente security&privacy, Privacy Officer certificato TUV, ISO27001 Lead Auditor
    Fonte:

    Cybersecurity 360

    DiLuca

    Giornata Internazionale delle Persone con Disabilità

    Il giorno 3 dicembre, come ogni anno, si celebra la “Giornata Internazionale delle Persone con Disabilità”, con lo scopo di promuovere i diritti e sostenere la piena inclusione delle persone con disabilità in ogni ambito della vita, ma anche di allontanare ogni forma di discriminazione e violenza.
    In occasione di tale ricorrenza, alle ore 16 si svolgerà il webinar “Dalla parte delle persone con disabilità ai tempi del Covid”, organizzato dall’ Ufficio Relazioni con il Pubblico e il Comitato Consultivo Misto del Policlinico di Bari – Giovanni XXIII.

    Per collegarsi al webinar: https://bit.ly/35S4MZN

     

     

    DiLuca

    Diffondiamo un articolo scritto dal Dott. Luciano Delli Veneri, componente del Comitato Scientifico

    Le nuove clausole contrattuali standard per il trasferimento di dati personali extra UE in consultazione pubblica: alcuni spunti di riflessione per non perdere di vista la realtà

    14.11.2020

    Gloria Marcoccio, Luciano Delli Veneri

    Le standard contractual clauses(SCC)  sul trasferimento dati personali extra EU, sottoposte dalla Commissione Europea a consultazione pubblica dal 12 novembre al 10 dicembre 2020, purtroppo ben rappresentano il livello di confusione, complessità e contraddittorietà delle attuali normative in materia di privacy, che contrariamente ai propositi della Commissione, potrebbero avere come principali effetti quelli di scoraggiare le realtà imprenditoriali, sia europee che extra europee, dall’operare in accordo a tale norme, e di aumentare il livello di sfiducia dei cittadini nei riguardi di ciò che sulla carta è propagandato a tutela dei loro diritti e libertà fondamentali.

    Certamente non ha giovato alle problematiche di trasferimento di dati personali extra EU la decisione della Corte di Giustizia Europea del 16 luglio 2020 che non solo ha invalidato il Privacy Shield ma, di fatto, ha creato uno sconfortante clima di incertezza sull’effettiva applicabilità delle attuali SCC (in particolare quelle da esportatore Titolare ad importatore Responsabile – Decisione 2010/87/EU) richiedendo in ultima analisi a queste realtà imprenditoriali di svolgere analisi e valutare se un paese terzo rispetto la UE abbia in vigore leggi che rispettano l’essenza dei diritti e delle libertà fondamentali e non eccedono quanto è necessario e proporzionato in una società democratica.

    Le conseguenti reazioni, spesso in ordine sparso, dei vari Garanti privacy europei nonostante quanto in materia pubblicato dall’EDPB, incluse le ultime arrivate: le recentissime ‘Recommendations 02/2020 on the European Essential Guarantees for surveillance measures adopted on 10 November 2020’ del EDPB, non fanno ben presagire se le nuove SCC andranno in onda così come sono, inclusi i diversi riferimenti al consultare/comunicare…riferiti alle Autorità di protezione dati personali nazionali (Autorità) di volta in volta competente per un caso di trasferimento di dati all’estero.

    Auspicabile, ovviamente, che la consultazione pubblica possa recepire le critiche costruttive, le considerazioni, le proposte che certamente non tarderanno ad arrivare alla Commissione, perché la voce delle varie realtà imprenditoriali e degli esperti del settore che risponderanno alla consultazione, saranno espressione, ancora una volta, delle reali difficoltà nell’operare, che non possono sempre essere tacciate di insofferenza delle aziende verso un qualunque obbligo imposto dalle leggi specie in ambito privacy.

    Qui di seguito alcuni dei possibili spunti di riflessione sul testo delle nuove SCC sottoposte a consultazione.

    Zero attenzione verso le SME

    Prima di tutto ed ancora una volta, nonostante il proposito più volte espresso nel Reg. EU 2016/679 (GDPR) di tenere conto delle esigenze delle piccole e medie imprese, queste SCC richiedono capacità, impegni e responsabilità che, e non è sempre detto, possono di fatto avere solo le grandi imprese, dotate di capacità economiche e competenze specifiche, indispensabili per poter interpretare ed applicare nel concreto e nel continuo quanto previsto dalle SCC. Si prenda ad esempio quanto riportato nella Sezione II OBLIGATIONS OF THE PARTIES ‘Clause 2 Local laws affecting compliance with the Clauses’ laddove si richiede alle Parti di garantire di ‘… non avere motivo di ritenere che le leggi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, inclusi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano i dati importatore dall’adempimento dei propri obblighi ai sensi delle presenti clausole.’ e di fornire tali garanzie tenendo ‘…in debito conto in particolare i seguenti elementi: i) le circostanze specifiche del trasferimento, compreso il contenuto e la durata del contratto; l’entità e la regolarità dei trasferimenti; la lunghezza della catena di elaborazione, il numero di attori coinvolti e i canali di trasmissione utilizzati; il tipo di destinatario; lo scopo del trattamento; la natura dei dati personali trasferiti; qualsiasi esperienza pratica pertinente con casi precedenti o l’assenza di richieste di divulgazione da parte delle autorità pubbliche ricevute dall’importatore di dati per il tipo di dati trasferiti; (ii) le leggi del paese terzo di destinazione pertinenti alla luce delle circostanze del trasferimento, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o l’autorizzazione all’accesso da parte di tali autorità, nonché le limitazioni e le garanzie applicabili; (iii) eventuali garanzie aggiuntive rispetto a quelle previste dalle presenti Clausole, comprese le misure tecniche e organizzative applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.’

    E’ forse il caso di ricordare che tale complesso di valutazioni può di volta in volta fornire risultati diversi a parità di condizioni (stesso paese estero, stesso contesto di trasferimento, …) a seconda della profondità, completezza e disponibilità di risorse nel condurre le analisi, ferma restando una ‘soggettività’ di vedute che non si può mai escludere. E cosa accadrà se, a giudizio di una Autorità o di una associazione no profit che opera ai sensi del GDPR Art 80(1), l’esito della valutazione verrà considerato errato?

    Da ricordare poi che la Commissione nel condurre analoghe analisi allo scopo di concedere a certi Paesi Terzi le utilissime ‘Adequacy Decision’ ai sensi del GDPR Art 45, impiega a volte molti anni: come può un’azienda svolgere in tempo utile per il proprio business, e magari in un quadro complesso di concorrenza, simili valutazioni.

    Forse sarebbe utile pensare meccanismi che vedano protagoniste le Autorità/enti controllati dalle Autorità stesse che forniscano elementi valutativi oggettivi vincolanti, che liberino le imprese dalla responsabilità di porre in essere simili complesse analisi, soprattutto per le SME.

    Ruoli privacy considerati: tra le varie… ed i Contitolari?

    Le nuove SCC prendono in esame ben 4 tipologie di relazioni: 1) Titolare->Titolare, 2) Titolare -> Responsabile, 3) Responsabile -> (Sub) Responsabile e 4) Responsabile->Titolare.  Di certo, per quanto riguarda le relazioni 2) e 3), si deve certamente apprezzare l’approccio seguito nel considerare le SCC comprensive anche dell’accordo che deve essere posto in essere ai sensi del GDPR Art 28: è stato ed è tutt’ora infatti inutilmente dispersivo e operativamente complesso avere separati accordi, uno per il contratto con il ruolo Responsabile e l’altro per il trasferimento di dati all’estero. In tale contesto è però assolutamente imperativo che le nuove SCC incorporino tutti gli obblighi previsti in GDPR Art 28(3): non facile nell’attuale testo ritrovare l’obbligo del Responsabile di supportare il Titolare riguardo le misure di sicurezza commensurate ai rischi (Art 32) e Valutazione di Impatto (Artt 35 e 36).

    Si evidenzia però, in termini di completa rappresentazione di tutte le possibili relazioni tra ruoli privacy anche in contesto di trasferimento di dati all’estero, la mancanza di una seppur minima menzione al caso dei Contitolari, che difficilmente su può considerare coperto dall’attuale caso 1): il rapporto tra Contitolari è ben più stretto, se non altro per quanto riguarda le responsabilità e gli impegni a loro richiesti quando l’interessato esercita i suoi diritti privacy ‘..nei confronti e contro ciascun contitolare’. Anche un riferimento all’accordo ex GDPR Art 26(1) dovrebbe essere presente, seppur in modo più conciso rispetto a quanto presente nelle nuove SCC per l’accordo ex GDPR Art 28 per i Responsabili.

    Converrà ancora ricorrere alle BCR per i gruppi internazionali?

    Le nuove SCC sono pensate per essere siglate da più Parti, e nulla vieta che queste siano tutte interne ad un Gruppo internazionale. Inoltre sono già predisposte per contemplare più tipologie di relazioni privacy, inclusi i termini per l’accordo ex GDPR Art 28, (vedasi punto precedente) ed appendici per documentare i trattamenti-trasferimenti in oggetto e le classi di misure di sicurezza a protezione dei dati. Probabilmente con non moltissimi apporti aggiuntivi, l’impalcatura contrattuale derivante potrebbe essere presa in considerazione da Gruppi internazionali per disciplinare al proprio interno (…e non solo) i ruoli privacy e gli obblighi da osservare per i trasferimenti dati personali intragruppo tra legal entity europee ed extra-europee: per definizione sarebbero presenti tutte le caratteristiche che concorrono a tutelare i diritti e le libertà fondamentali degli interessati in relazione al trattamento dei loro dati personali. Tenendo presente la complessità e durata (e costi) dell’attuale iter da seguire per veder approvate e poter cominciare ad utilizzare le BCR -Norme vincolanti di impresa ai sensi del GDPR Art 47, un Gruppo internazionale potrebbe essere almeno tentato di analizzare il trad-off tra le due possibili soluzioni: BCR vs le nuove SCC opportunamente integrate.

    Obblighi di notifica di Violazione dati personali quando l’Importatore è Titolare: davvero si può pretendere? E a cosa serve?

    Nella ‘Clause 1 Data protection safeguards’ -modulo relativo alla relazione Titolare ->Titolare, al punto 1.5 dedicato alla sicurezza nel trattamento è riportato che ‘…Se è probabile che una violazione dei dati comporti effetti negativi significativi, l’importatore di dati lo notifica senza indebito ritardo sia all’esportatore di dati sia all’autorità di controllo competente…’. Non è facile capire quale possa essere il razionale di una simile previsione, invece ben chiaro nel contesto della relazione Titolare->Responsabile ai sensi del GDPR Art 28(2), quando il trattamento dei dati è fatto per conto del Titolare. Nel caso di Importatore Titolare, evidentemente, il trattamento è svolto da questi per proprie finalità e determinando i mezzi del trattamento: una volta che i dati sono stati trasferiti ed è iniziato il trattamento da parte dell’Importatore cosa mai puoi fare e per quale motivo deve essere coinvolto il Titolare Esportatore quando presso l’Importatore Titolare avviene una violazione dati personali? Per gli stessi motivi sfugge il coinvolgimento anche dell’Autorità competente nei riguardi dell’Esportatore. Teniamo inoltre presente che la legge vigente presso il paese estero di stabilimento per il Titolare Importatore potrebbe già prevedere obblighi di notifica alle autorità nazionali per incidenti di sicurezza, dunque in tali casi sarebbe ulteriormente incomprensibile l’obbligo di notificare in Europa sia all’Esportatore che all’Autorità europea competente. Sarebbe dunque raccomandabile eliminare una simile previsione, salvo che non vengano chiarite dalla Commissione quali ulteriori reali e concrete tutele potrebbero derivarne per gli Interessati.

     Esportatore estero soggetto al GDPR: cosa farne delle SCC

    La ‘Clause 9 Supervision’ di pagina 22 fa nascere l’attenzione su un contesto particolare, ossia quando ‘…esportatore di dati non è stabilito in uno Stato membro, ma rientra nell’ambito di applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 2’. Ora, se da una parte è vero che un tale soggetto debba operare in conformità al GDPR, la sua condizione che lo porta ad essere, in casi particolari, un Esportatore dovrebbe essere analizzata ed affrontata in modo più specifico e puntuale in riferimento alla realtà operativa. Facciamo un esempio: il gestore di un sito web estero che offre beni e servizi anche a persone fisiche che si trovano nella Unione Europea, se si avvale di fornitori di servizi che si trovano nel suo stesso paese e che in funzione di tali servizi trattano dati personali, dovrà davvero allegare al contratto di servizi con essi le SCC stabilite dalla UE?

    Fonte: https://www.linkedin.com/pulse/standard-contracual-clauses-alcuni-spunti-dal-mondo-reale-marcoccio/

    DiLuca

    Cooperative Sociali

    Seminario Formativo Gratuito Online

    Venerdì  13 Novembre 2020 – ore 10.30/13.00

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/1933342073723550475?source=Siti+Web

    Clicca qui per visualizzare il programma!

    Nel rispetto del nuovo DPCM del 18 Ottobre u.s., il seminario formativo potrà esser svolto solo in modalità online!

    DiLuca

    La Dott.ssa Gloriamaria Paci illustra il seminario formativo del 29 Ottobre in TV!

    Finalmente ci siamo!🐞 Oggi pomeriggio si terrà il seminario formativo “LA V DIRETTIVA E L’IMPATTO SUI DATI PERSONALI ANCHE ALLA LUCE DELLE RIFORME IN MATERIA DI CAPTAZIONE INFORMATICA”. Potete riguardare l’intervista rilasciata dalla Dott.ssa Gloriamaria Paci.
    Fino all’inizio dell’evento è possibile iscriversi attraverso il link: https://attendee.gotowebinar.com/register/7910059683187172367?source=Web

    DiLuca

    La V direttiva: il Quadro normativo di riferimento

    Il Decreto legislativo n. 125 del 2019 (AG 95) ha recepito la V direttiva antiriciclaggio (2018/843/UE) che modifica la direttiva 2015/849/UE, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Da molto tempo i legislatori nazionale e comunitario si concentrano sulle tematiche del riciclaggio di denaro, soprattutto al fine di contrastare la criminalità organizzata e il terrorismo internazionale. Vedi qui il dossier.

    Link: Descrizione:
    La V direttiva”: DIRETTIVA (UE) 2018/843 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 30 maggio 2018
    che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di
    riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE/td>
    Il decreto legislativo di recepimento della V direttiva n.125 del 4/10/2019 – Modifiche ed integrazioni ai decreti legislativi
    25 maggio 2017, n. 90 e n. 92, recanti attuazione della direttiva (UE) 2015/849, nonche’ attuazione della
    direttiva (UE) 2018/843 che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema
    finanziario ai fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE.
    Dato Il dossier del 15 Luglio 2019 della Camera e del Senato per la V direttiva Prevenzione dell’uso del sistema finanziario
    a fini di riciclaggio o di finanziamento del terrorismo

     

    DiLuca

    Nuove tecnologie ed impatto sui dati personali. Sinergie operative per il contrasto al riciclaggio ed alle infiltrazioni mafiose

    Ripartono i Seminari Formativi Gratuiti Online

    Giovedì  29 Ottobre 2020 – ore 15.30/18.30

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/7910059683187172367?source=Web

    Clicca qui per visualizzare il programma!

    Nel rispetto del nuovo DPCM del 18 Ottobre u.s., il seminario formativo potrà esser svolto solo in modalità online!

    DiLuca

    Seminario Formativo Gratuito Online – Venerdì 26 Giugno

    Seminario Formativo Gratuito Online

    Venerdì  26 Giugno 2020 – ore 09.30/12.00

    L’emergenza sanitaria rappresenta  una sfida per le Pubbliche Amministrazioni che dovranno mettere a regime e rendere sistematiche le misure adottate nella fase emergenziale al fine di rendere il lavoro agile lo strumento primario nell’ottica del potenziamento dell’efficacia e dell’efficienza dell’azione amministrativa.

    Una rivoluzione che comporterà una riorganizzazione non solo nella gestione del lavoro ma anche nell’implementazione di programmi di investimento nelle tecnologie informatiche, nello sviluppo delle competenze attraverso attività formative. Il tutto al fine di garantire servizi pubblici sempre più efficienti da assicurare alla collettività.

    I relatori, al fine di supportare i referenti della P.A. a gestire i trattamenti dati e le attività da porre in essere per individuare gli aspetti organizzativi da migliorare, forniranno suggerimenti e documentazione utile da poter utilizzare per raggiungere questo ambito traguardo.

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/5075236130300602383?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Attivazione area riservata per i soci

    Non sei autorizzato ad accedere a questa pagina.