Archivio per Categoria News

DiLuca

“Privacy on the road: rivivila con noi”

…Pagina in aggiornamento…

Fotogallery

Video

Gianni Drudi

Skuba Libre

Andrea Cattabriga

Francesco Pizzetti

Con il patrocinio di:

Con la collaborazione di:

Logo_vettoriale
DiLuca

Privacy On The Road 31 – Luglio 2021

La privacy si tinge di rosa in occasione dell’evento più famoso della Riviera Romagnola: La Notte Rosa! 🎆

Vi invitiamo Sabato 31 Luglio 2021 alla prima festa dedicata alla protezione dei dati personali!

Tante le attività in programma!⬇️
Ore 16.30 Caccia ad un nuovo tesoro: i tuoi dati
Ore 18.30 Aperiprivacy
Ore 21.00 Rimini Valley

Partecipazione gratuita

Per motivi organizzativi si chiede di effettuare l’iscrizione ai singoli eventi, grazie!

https://www.eventbrite.it/e/biglietti-privacy-on-the-road-161060256563

Clicca qui per visualizzare la locandina!

 

DiLuca

PA Social Day 2021. Martedì 8 giugno in tutta Italia

12:40 Marche – Ancona – Privacy e partecipazione

In diretta da: sede della Provincia di Ancona

 

 

 

 

 

 

Marco Porcu

Marco Porcu

Coordinatore PA Social Marche

Luigi Cerioni

Luigi Cerioni

Presidente della Provincia di Ancona

Gloria Maria Paci

Gloria Maria Paci

Consulente in materia di privacy, Data Protection Officer, Presidente Associazione Protezione Diritti e libertà privacy

Saverio Concetti

Saverio Concetti

DPO Comune di Ancona

Francesco Cardinali

Francesco Cardinali

Docente di comunicazione e advertising all’Università di Macerata

DiLuca

SocializziAmo: Un progetto di PA Social a cui collabora l’ Associazione

Social network e minori – Presentazione del progetto “SocializziAmo”, iniziativa di informazione visiva per un uso consapevole e corretto dei social network da parte dei minori.

Progetto ideato e curato da PA Social.

 

 

 

 

 

 

 

 

 

 

DiLuca

La Dott.ssa Gloriamaria Paci, partecipa a Innovazione digitale: bene comune

L’Associazione Protezione Diritti e Libertà Privacy, nella persona della Dott.ssa Gloriamaria Paci, partecipa a Innovazione digitale: bene comune

Guardare al digitale come uno strumento democratico, inclusivo, prioritario e indispensabile per lo sviluppo sostenibile.

È questo l’obiettivo che si pone Innovazione digitale: bene comune, la serie di “laboratori di cittadinanza digitale ” che affrontano le nuove sfide lanciate dall’ Agenda Digitale della Regione Emilia-Romagna ADER “Data Valley Bene Comune ” sui temi della cittadinanza digitale in tutti i suoi aspetti.

Undici talk rivolti alla comunità riminese per informare e sensibilizzare tutti i cittadini sull’importanza fondamentale dell’ADER quale strumento strategico e indispensabile per diffondere le competenze digitali, trasformare la pubblica amministrazione e i settori produttivi, connettere il territorio e contrastare marginalità geografiche e di genere.

Ogni talk affronterà una differente tematica per cogliere una delle otto “sfide” al cambiamento, comprendere come affrontarla e individuare strumenti, metodi e strategie per poterla superare e vincere.

“Innovazione digitale: bene comune” rientra come contributo “ispirazionale”, in materia di digitale, all’interno processo di attualizzazione del Patto per il Lavoro e il Clima Regionale del territorio provinciale di Rimini.

Tutti i talk saranno trasmessi live streaming sulla pagina Facebook e sul canale YouTube del Laboratorio Aperto Rimini Tiberio.

Per informazioni: laboratorioaperto@comune.rimini.it

Programma:

mercoledì 26 maggio | 17.30 – 18.30

Presentazione dell’ADER “Data Valley Bene Comune”

  • Maurizio Ermeti – Presidente Piano Strategico di Rimini
  • Eugenia Rossi di Schio – Assessore all’Innovazione digitale, ricerca e sviluppo, servizi civici del Comune di Rimini
  • Paola Salomoni – Assessore Scuola, Università, Ricerca e Agenda Digitale Regione Emilia-Romagna

 

mercoledì 9 giugno| 17.30 – 18.30

Trasformazione digitale e sviluppo sostenibile

  • Andrea Orlando – Capo Gabinetto Presidenza Giunta Regionale Emilia-Romagna
  • Valentina Ridolfi – Coordinatrice progetti Piano Strategico di Rimini
  • Sergio Duretti – Direttore divisione welfare digitale Lepida
  • Giovanna Sissa – Ricercatrice dell’Università di Genova sulla sostenibilità ambientale del digitale

 

lunedì 14 giugno | 17.30 – 18.30

Educare alla cittadinanza digitale attiva

  • Nicolò Pranzini – Referente ART-ER Area S3 Rimini  
  • Massimiliano Tarozzi – Centro di ricerca sulla Global Citizenship Education – Università di Bologna – Campus di Rimini
  • Massimo Fustini – Referente Agenda Digitale della Regione Emilia-Romagna

 

mercoledì 16 giugno | 17.30 – 18.30

Digitale e tecnologie emergenti

  • Massimo Carnevali – Cluster Manager Clust-ER Innovazione nei servizi
  • Francesco Fullone – Direttore del Founder Istitute, business designer, mentor e investitore in aziende tecnologiche
  • Massimo Fustini – Referente Agenda Digitale della Regione Emilia-Romagna

 

lunedì 21 giugno | 17.30 – 18.30

Digitale e contrasto al gendar gap

  • Barbara Santi – Referente Agenda Digitale della Regione Emilia-Romagna
  • Valentina Bazzarin – Ricercatrice, formatrice e data-feminist

 

mercoledì 23 giugno 2021 | 17.30 – 18.30

I pericoli del digitale

  • Gloriamaria Paci – Consulente in materia di privacy – DPO e Presedente Associazione Diritti e Libertà Privacy
  • Arturo Di Corinto – Psicologo cognitivo, docente universitario e giornalista, esperto di Internet, tecnologie e comportamenti sociali

 

lunedì 28 giugno | 17.30 – 18.30

La Trasformazione digitale delle imprese

  • Morena Diazzi – Dirigente generale economia della conoscenza, del lavoro e dell’impresa Regione Emilia- Romagna
  • Roberto Albonetti – Segretario generale della Camera di Commercio della Romagna Forlì-Cesena e Rimini

 

mercoledì 30 giugno | 17.30 – 18.30

La trasformazione digitale della PA

  • Francesco Frieri – Direttore Generale alle Risorse, Europa, Innovazione e Istituzioni della Regione Emilia-Romagna  
  • Gianluca Mazzini – Direttore Generale Lepida

 

lunedì 5 luglio | 17.30 – 18.30

L’impatto del 5G, dell’IoT e delle tecnologie emergenti sui nuovi servizi pubblici

  • Francesco Frieri – Direttore Generale alle Risorse, Europa, Innovazione e Istituzioni della Regione Emilia-Romagna
  • Marco Chiani – Professore CNIT – Università di Bologna, esperto di 5G e nuove tecnologie

 

mercoledì 7 luglio | 17.30 – 18.30

Le community digitali

  • Dimitri Tartari – Coordinatore Agenda Digitale della Regione Emilia-Romagna
  • Marina Silverii – Direttore operativo ART-ER

 

lunedì 12 luglio | 17.30 – 18.30

Diritti e doveri digitali

  • Stefania Sparaco – Regione Emilia-Romagna Centro di Competenza per la trasformazione digitale
  • Ernesto Belisario – Avvocato studio legale E-Lex, esperto di diritto delle nuove tecnologie

 

DiLuca

Un anniversario speciale intervista con il Dott. Antonello Soro

In occasione del terzo anniversario della piena applicazione al Reg. UE 2016/679, e cinque anni dell’entrata in vigore, facciamo un bilancio insieme al Dott. Antonello Soro, che ha presieduto l’Autorità Garante da giugno del 2012 a luglio del 2020.

 

DiLuca

PUBBLICHE AMMINISTRAZIONI SENZA PRIVACY

Seminario Formativo Gratuito Online

In collaborazione con Lepida Scpa

Martedì 25 Maggio 2021 – ore 15.30/17.30

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

https://attendee.gotowebinar.com/register/2317135408520878860?source=Web

Clicca qui per visualizzare il programma!

 

DiLuca

Vaccinazioni a prova di privacy? Si, grazie!

Seminario Formativo Gratuito Online

Lunedì 3 Maggio 2021 – ore 15.00/18.00

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

https://attendee.gotowebinar.com/register/6978069651530741776?source=Web

Clicca qui per visualizzare il programma!

Concesso patrocinio gratuito dalla camera di Commercio della Romagna, l’ Assemblea Legislativa Regione Emilia-Romagna e Ausl Romagna.

DiLuca

Cyberbullo a chi? Il valore dei dati e della vita privata

Seminario Formativo Gratuito Online

Venerdì 30 Aprile 2021 – ore 09.00/12.30

  • Prima Sessione rivolta a dirigenti scolastici, docenti, studenti terza media – scuole superiori

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/1208790303015145999?source=Web

Venerdì 30 Aprile 2021 – ore 20.45/22.30

  • Seconda sessione rivolta a genitori, educatori, professionisti del settore sanitario e legale

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

https://attendee.gotowebinar.com/register/5174030554519623183?source=Web

Clicca qui per visualizzare il programma!

DiLuca

Privacy, marketing e comunicazione: la morale è sempre quella, solo guai a chi si ribella

Seminario Formativo Gratuito Online

Giovedì 22 Aprile 2021 – ore 09.30/12.30

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/3555686877386508815?source=Web

Riconosciuti crediti formativi ordine degli avvocati!
Riconosciuti crediti formativi ordine dei giornalisti!

Clicca qui per visualizzare il programma!

DiLuca

“Dilemmi di sprivacy”

Inaugurata la rubrica settimanale "Dilemmi di Sprivacy"

Un appuntamento con video brevissimi dei relatori che hanno partecipato alle attività dell’ Associazione.

Piccole perle di saggezza da condividere con tutti voi!

25° Puntata - 23.07.2021

24° Puntata - 16.07.2021

23° Puntata - 09.07.2021

22° Puntata - 02.07.2021

21° Puntata - 25.06.2021

20° Puntata - 18.06.2021

19° Puntata - 11.06.2021

18° Puntata - 04.06.2021

17° Puntata - 28.05.2021

16° Puntata - 21.05.2021

15° Puntata - 14.05.2021

14° Puntata - 07.05.2021

13° Puntata - 30.04.2021

12° Puntata - 23.04.2021

11° Puntata - 16.04.2021

10° Puntata - 09.04.2021

9° Puntata - 02.04.2021

8° Puntata - 26.03.2021

7° Puntata - 19.03.2021

6° Puntata - 12.03.2021

5° Puntata - 05.03.2021

4° Puntata - 26.02.2021

3° Puntata - 19.02.2021

2° Puntata - 12.02.2021

1° Puntata - 05.02.2021

DiLuca

La tutela dei dati in ambito sanitario: il contributo dei mezzi di comunicazione

Un nuovo seminario formativo online gratuito che si svolgerà Martedì 9 Marzo 2021.

Ci si soffermerà per la prima volta sull’impatto negativo derivante da un’ errata diffusione sui dati della salute.

Iscrizione obbligatoria: https://attendee.gotowebinar.com/register/6953675885214926094?source=Web

Clicca qui per visualizzare il programma!

DiLuca

Cinque punti di condivisione per genitori e figli

Apri l’articolo per poter scaricare la locandina!

Prima imparare per poi insegnare

  1. SOCIAL MEDIA
  2. ALLARME CHALLENGE
  3. OCCHIO AI CAMBIAMENTI
  4. LA CHAT DI CLASSE UTILE SE..
  5. AVVOCATO PER UN GIORNO

Clicca qui per scaricare il file!

DiLuca

Annuncio

ANNUNCIO

CERCASI INTERESSATI CHE VOGLIONO RISPETTARE LA NORMATIVA PRIVACY!!!
RISCHIO EVITATO CON IL BIGLIETTO CLICCATO!

REGOLAMENTO EUROPEO

2016/679

AMBITO DI APPLICAZIONE

DEL. REG. EU 2016/679

INFORMAZIONI SUL TRATTAMENTO

ARTT. 13/14 DEL REG. EU 2016/679

REGISTRO ATTIVITÁ DEL TRATTAMENTO

ART. 30 DEL REG. EU 2016/679

ANALISI DEI RISCHI

ARTT. 25/32 DEL REG. EU 2016/679

VALUTAZIONE D'IMPATTO

ART. 35 DEL REG. EU 2016/679

VIOLAZIONI (DATA BREACH)

ART. 33 DEL REG. EU 2016/679

ATTIVITÁ FORMATIVA

ART. 29 DEL REG. EU 2016/679
ART. 2 QUATERDECIES D.LGS 196/03

ACCOUNTABILITY

ARTT. 5/24 DEL REG. EU 2016/679

IMPIANTO SANZIONATORIO

DiLuca

NON C’E’ SCUOLA SENZA PRIVACY

RIFLESSIONI, SPUNTI ED INIZIATIVE PER PROTEGGERE I DIRITTI E LE LIBERTA’ FONDAMENTALI DEGLI INTERESSATI

Seminario Formativo Gratuito Online dedicato interamente alle scuole.

Approfondimenti sul cyberbullismo.

Venerdì 5 Marzo 2021 – ore 9.00

Clicca qui per visualizzare il programma!

Iscrizione:

Prima sessione: Dirigenti scolastici, studenti di terza media e scuole superiori
https://attendee.gotowebinar.com/register/3987675099544194064?source=Web

Seconda sessione: Docenti
https://attendee.gotowebinar.com/register/873503027427232271?source=Web

Terza sessione: Genitori ed educatori
https://attendee.gotowebinar.com/register/1884795339748674575?source=Web

DiLuca

Esonero dal Ministero dell’Istruzione per il personale scolastico – “Non c’è scuola senza privacy”

Considerato il particolare interesse che l’argomento trattato riveste e avuto riguardo a quanto disposto dall’art. 453 del D. L.vo 297/94, così come modificato ed integrato dall’art. 26, comma 11, della L.

23.12.1998 n. 448, tenute presenti le disposizioni della C.M. n. 166 prot. n. 11497/308/BD datata 23.5.1981, nonché delle disposizioni contenute all’art. 64 del CCNL Comparto Scuola, si consente in

via straordinaria che gli interessati all’evento suddetto, compatibilmente con le esigenze di servizio e nel rispetto dell’esigenza di continuità dell’insegnamento, vi partecipino a proprie spese e senza alcun

onere né responsabilità a carico dell’amministrazione scolastica, con esonero dall’obbligo di servizio nel giorno sopraindicato.

Si ritiene opportuno ricordare che, nel corso di uno stesso anno scolastico, il periodo di assenza per partecipare a congressi e a convegni non può superare i 5 giorni per ciascun dipendente e che in nessun

caso si può procedere alla nomina di supplenti in sostituzione dei docenti interessati. Al rientro in sede gli interessati presenteranno all’autorità scolastica competente la dichiarazione di

partecipazione rilasciata dai responsabili dell’iniziativa.

https://www.miur.gov.it/convegni-e-seminari

Vi ricordiamo che  “Non c’è scuola senza privacy”, è un seminario formativo gratuito on line che si svolgerà Venerdì 5 Marzo 2021 a partire dalle ore 9,00.

 Suddiviso in tre diverse sessioni per favorire la partecipazione ed il coinvolgimento del maggior numero di Dirigenti scolatici, studenti, docenti e genitori/educatori, l’evento si presenta come una vera e propria staffetta in cui i partecipanti, accompagnati dai relatori,  si confronteranno e  rifletteranno su tematiche di grande attualità.

Quale relatore parteciperà anche la Dott.ssa Antonietta D’Amato, in qualità di Responsabile per la protezione dei dati personali del Ministero dell’Istruzione e porterà i saluti istituzionali in rappresentanza del Ministro la Dott.ssa Gianna Barbieri, Direttore Generale della Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica.

Il seminario formativo vuole essere un momento di confronto e riflessione costruttiva fra chi vive la scuola e chi si fa portavoce di promuovere e sensibilizzare la cultura della normativa sulla protezione dei dati.

Ad oggi abbiamo avviato un sondaggio anonimo I giovani e la rete: condividiamo le esperienze”. Questo il link per partecipare al sondaggio https://forms.gle/YZsZYokbNi4jQZ746

Dieci domande di carattere generale sulla rete, pensate per i ragazzi delle scuole medie e superiori, finalizzate a comprendere il rapporto fra i giovani e la rete. Le informazioni raccolte, rigorosamente anonime ed elaborate su un campione rappresentativo di scuole ubicate su tutto il territorio nazionale, saranno presentate in occasione del seminario formativo gratuito on line https://www.associazionedirittiprivacy.it/non-ce-scuola-senza-privacy/

 

Per partecipare al seminario formativo del 5 marzo 2021 iscrizione obbligatoria:  

 Prima Sessione: Dirigenti ScolasticiStudenti Classi di Terza media e Superiori

https://attendee.gotowebinar.com/register/3987675099544194064?source=Mail

 

Seconda Sessione: Docenti

https://attendee.gotowebinar.com/register/873503027427232271?source=Mail

 

Terza Sessione: Genitori ed educatori

https://attendee.gotowebinar.com/register/1884795339748674575?source=Mail

 

DiLuca

Non c’è scuola senza privacy. Il sondaggio sui giovani e la rete

Egregio Dirigente Scolastico,

con la presente sono a chiedere la disponibilità a supportarci nella somministrazione del sondaggio anonimo I giovani e la rete: condividiamo le esperienzepromosso dall’Associazione protezione diritti e libertà privacy. Per accedere al sondaggio https://forms.gle/YZsZYokbNi4jQZ746

 

Dieci domande di carattere generale sulla rete, pensate per i ragazzi delle scuole medie e superiori, finalizzate a comprendere il rapporto fra i giovani e la rete.

 

Le informazioni raccolte, rigorosamente anonime ed elaborate su un campione rappresentativo di scuole ubicate su tutto il territorio nazionale, saranno presentate in occasione del seminario formativo gratuito on line “Non c’è scuola senza privacy” che si svolgerà Venerdì 5 Marzo 2021 a partire dalle ore 9,00  https://www.associazionedirittiprivacy.it/non-ce-scuola-senza-privacy/

 

Per partecipare al seminario iscrizione obbligatoria:  

Prima Sessione:Dirigenti Scolastici ~ Studenti Terza Media e Superiori

https://attendee.gotowebinar.com/register/3987675099544194064?source=Mail

 

Seconda Sessione: Docenti

https://attendee.gotowebinar.com/register/873503027427232271?source=Mail

 

Terza Sessione: Genitori ed educatori

https://attendee.gotowebinar.com/register/1884795339748674575?source=Mail

 

 

Quale riconoscimento e ringraziamento a tutti gli studenti che hanno aderito all’iniziativa, l’esito del sondaggio sarà illustrato proprio da un alunno delle scuole superiori che ha contribuito fattivamente alla predisposizione delle domande nonché alla sensibilizzazione dei coetanei ad aderire alla ricerca.

 

I risultati del sondaggio, con l’indicazione degli Istituti Scolastici che hanno contribuito,  saranno altresì pubblicati sul sito dell’Associazione e messi a disposizione del Ministero per l’Istruzione che a sua discrezione, potrà utilizzare o meno per individuare azioni di miglioramento per i bisogni e le esigenze mutevoli dei giovani rispetto all’utilizzo della rete.

Per ringraziare della preziosa collaborazione fornita, ogni Istituto Scolastico riceverà un’attestazione per aver contribuito al sondaggio.

Per partecipare al sondaggio, se possibile sollecitati e/o supportati dal docente individuato quale Referente del cyberbullismo nonché dall’Animatore digitale, è necessario collegarsi al link https://forms.gle/YZsZYokbNi4jQZ746

 

A disposizione per chiarimenti, ringraziando per la collaborazione, porgo cordiali saluti.

Buone cose.

Gloria Paci

DiLuca

Minori e web, il Garante della privacy a Leggo: «Possiamo bloccare i social ma il primo controllore è il genitore»

Lunedì 1 Febbraio 2021

Allarme challenge. Cresce il numero di minori coinvolti in sfide estreme sui social. Il Garante per la protezione dei dati personali ha preso misure per TikTok e ha aperto fascicoli per Facebook e Instagram.

Pasquale Stanzione, giurista, presidente dell’Autorità garante dal 29 luglio scorso, cosa sta succedendo?
«Il Garante ha ritenuto indifferibile esigere dalle piattaforme il rispetto di alcuni obblighi essenziali a tutela dei minori, primo tra tutti il dovere di verificare l’età degli utenti. I social devono predisporre sistemi che riescano davvero a garantire che chi apra un profilo abbia l’età per farlo: almeno 14 anni in Italia».

Quali le misure attuali per contrastare i rischi per i minori sui social?
«Oltre all’age verification, occorre tutelarli dai contenuti illeciti, tramite l’ineludibile controllo dei genitori in via preventiva e, in via successiva, l’intervento di magistratura, polizia, in particolare postale, ma anche Garante, soprattutto rispetto al cyberbullismo».

Come si verifica l’età senza violare la privacy?
«Le possibilità sono diverse purché si coniughi la necessità di accertamento univoco dell’età con l’esigenza di evitare di fare, di ogni social, una sorta di anagrafe mondiale della popolazione».

Non teme che, imposte tali verifiche ai social, i ragazzi trovino altri modi, senza controllo, per sfidarsi in Rete?
«Purtroppo la tecnica, se sorretta da intenti illeciti, rende possibile eludere quasi ogni norma. Non è esclusa l’eventualità che le sfide illecite si perseguano in altri canali, più sfuggenti alla regolamentazione. Ma non è un buon motivo per rinunciare a disciplinare. Anzi, tale possibilità deve indurre a rafforzare i controlli, giungendo anche ai livelli della Rete più nascosti».

I minori, ora, sono spesso connessi, pure per la Dad, come si gestisce la nuova mole di rischio?
«Vanno garantite la sicurezza dei canali in cui i dati, specie dei minori, transitano e un’adeguata formazione digitale dei ragazzi, che li renda consapevoli di opportunità e rischi della Rete».

I social impongono interventi a livello internazionale.
«La cooperazione a livello europeo è intensa e costante, ma va estesa a livello globale: la protezione dei dati deve assurgere a diritto universalmente tutelato».

E se i social non rispetteranno le misure?
«L’inosservanza di provvedimenti individuali inibitori determina responsabilità amministrativa e persino penale, ma confido che la persuasione faccia più della coercizione».

© RIPRODUZIONE RISERVATA

Fonte: Leggo

 

DiLuca

Giornata Europea della Privacy – 28 Gennaio 2021.

La nostra storia.

I nostri traguardi raggiunti grazie a tutti voi. 💕

Giornata Europea della Privacy – 28 Gennaio 2021.

“Privacy Social Therapy” il progetto cresce e dà vita al gruppo “Sei abile o disabile se…”,

come dice Vanni Oddera, insieme si raggiungono traguardi impensati!

 

DiLuca

Giornata Europea della Privacy

Giovedì 28 Gennaio 2021

Giornata Europea della Privacy

 

Il campione di Free style motocross Vanni Oddera partecipa e promuove il progetto della Privacy Social Therapy:

 

 

“Privacy Social Therapy” il progetto cresce e dà vita al gruppo “Sei abile o disabile se…”,

come dice Vanni Oddera, insieme si raggiungono traguardi impensati!

DiLuca

Lunedì 28 Dicembre alle ore 17.00 cerimonia di consegna online della “Pergamena 2020” al Prof. Francesco Pizzetti e al Dott. Antonello Soro

Un ambito riconoscimento che l’ Associazione Protezione Diritti e Libertà Privacy riconoscerà ogni anno a chi si è adoperato per favorire i diritti e le libertà fondamentali delle persone con particolare riguardo ai dati personali.

Partecipazione gratuita

Iscrizione obbligatoria: https://attendee.gotowebinar.com/register/3031702514661741327?source=Web

Clicca qui per visualizzare la locandina!

Vi Aspettiamo!

DiLuca

Associazione Protezione Diritti e Libertà Privacy incontra gli studenti dell’ Università “La Sapienza” di Roma

Luca Di Leo – Vicepresidente dell’ Associazione Protezione Diritti e Libertà Privacy viene intervistato dagli studenti del corso di laurea in comunicazione delle scienze biomediche dell’ Università “La Sapienza” di Roma.

All’interno del questionario realizzato per la campagna vaccinazione antinfluenzale 2020 Luca Di Leo, ha illustrato gli aspetti relativi alla normativa privacy nel mondo sanitario.

DiLuca

Sicurezza dei dati e sicurezza sul lavoro

Seminario Formativo Gratuito Online

Lunedì 21 Dicembre 2020 – Ore 15.00

Iscrizione obbligatoria attraverso il seguente link:

https://attendee.gotowebinar.com/register/99154369656856332?source=Sito+web

 

DiLuca

Linee Guida dell’EDPB: esercizio di stile o strumento d’aiuto alla corretta applicazione del GDPR

19 Novembre 2020

Le Linee Guida dell’EDPB, così come le raccomandazioni e le migliori prassi, dovrebbero avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per la migliore attuazione alla normativa sulla protezione dei dati personali, ma non sempre è così. Proviamo a fare un po’ di chiarezza

Negli ultimi mesi l’European Data Protection Board (EDPB) ha pubblicato ben tre Linee Guida su temi di estrema rilevanza poiché riguardano:

  1. la relazione tra il Regolamento 2016/679/UE (nel seguito “GDPR”) e la Direttiva 2015/2366/EU c.d. PSD2;
  2. i ruoli di Titolare, CO-Titolare e Responsabile del trattamento;
  3. il rapporto tra i diversi soggetti che agiscono nel mondo dei social e della promozione on-line.

Si tratta davvero di ambiti molto importanti che presentano numerosi aspetti che richiederebbero una visione che riesca non solo a coordinare differenti normative con rilevanti ambiti di sovrapposizione ma che, ponendosi nell’ottica dei destinatari (Titolari, Co-Titolari e Responsabili), sia in grado di costituire un ausilio concreto e pragmatico.

Linee Guida dell’EDPB: quale dovrebbe essere il loro ruolo

D’altra parte, se guardiamo ai compiti dell’EDPB ex art. 70 del GDPR in diverse lettere del comma 1 viene riportata la seguente previsione: “pubblica linee guida, raccomandazioni e migliori prassi”.

Ora senza voler fare l’esegesi della terminologia utilizzata sembra potersi evincere che le linee guida, le raccomandazioni e le migliori prassi dovrebbero, sostanzialmente, avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per dare la migliore attuazione alla normativa sulla protezione dei dati personali.

Purtroppo, a parere di chi scrive, sembra che in luogo di tali obiettivi, le Linee Guida contribuiscano a rendere ancora più confusa e complessa l’applicazione della normativa anche perché, in diversi casi, sembrano contenere delle “prescrizioni” ulteriori rispetto a quelle del GDPR, andando quasi a costituire una fonte di diritto secondaria, anziché preoccuparsi di chiarire quelle già rinvenibili nella normativa.

EDPB e sentenze della Corte di Giustizia Europea: manca un approccio critico

Altro aspetto estremamente importante che, in particolare nelle ultime due linee guida poste in consultazione emerge, è quello relativo allo svilimento del ruolo che l’EDPB dovrebbe svolgere come faro illuminante anche nei confronti delle altre Istituzioni comunitarie: ci riferiamo in particolare alla posizione assunta nei confronti delle sentenze della Corte di Giustizia Europea (CJEU) ed alle valutazioni da quest’ultima espresse rispetto alle quali ci si sarebbe aspettato un approccio critico frutto della specifica competenza sui temi della protezione dei dati personali.

E invece nulla di tutto questo è accaduto tant’è che nella seconda e terza delle Linee Guida in parola l’EDPB ha fatto proprie le valutazioni della CJEU che nella Sentenza Jehovah’s Witnesses, C-25/17 ha ritenuto che l’Associazione religiosa dei Testimoni di Geova e le singole persone fisiche che, avendo aderito a questa religione, agiscano per diffondere il loro credo e fare proselitismo, debbano essere considerati “Co-Titolari del trattamento” relativamente al trattamento dei dati dei soggetti che vengono contattati, molte volte con il porta a porta e con postazioni site nelle strade delle nostre città.

Una tale valutazione appare davvero bizzarra poiché mette sullo stesso piano l’Associazione religiosa e il singolo credente che si attiva per fare proseliti andando a stabilire che entrambi definiscono le “finalità e gli strumenti” con i quali vengono raccolti e trattati i dati: crediamo che sia davvero difficile ritenere tale statuizione della CJEU condivisibile poiché non solo non rappresenta la realtà oggettiva che vede l’Associazione religiosa dei Testimoni di Geova, nel suo complesso e attraverso la propria struttura gerarchica, essere l’unico soggetto che determina le finalità e le modalità di trattamento lasciando alle singole persone fisiche che svolgono l’attività di proselitismo il ruolo di “autorizzato al trattamento” e questo a voler tacere della circostanza che nelle fasi di proselitismo, sia porta a porta che con le postazioni nelle strade, appare davvero difficile ritenere che vi sia un vero e proprio trattamento di dati personali che, eventualmente, potrebbe realizzarsi solo successivamente nella fase di pre-adesione/adesione al credo religioso.

L’EDPB ha, quindi, non solo ritenuto di non dover esprimere una propria posizione rispetto a quanto affermato dalla CJEU, ma ha fatto propria tale indicazione richiamandola ripetutamente nelle citate linee guida come un importante riferimento.

Il caso della linea guida sul targeting dei social media

In un altro caso, sentenza CJEU 210/16 Wirtschaftsakademie, la Corte specifica che “la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «Titolare del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46” e anche che “il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network” e che solo in determinate circostanze sia possibile considerare che l’amministratore di una pagina su Facebook possa essere considerato “Titolare del trattamento” e ciò quando, ad esempio consente a Facebook di installare sulla propria pagina i cookies di quest’ultima ovvero relativamente all’acceso alla propria pagina di utenti che non siano anche registrati sulla piattaforma di Facebook.

Anche con riferimento a questa sentenza l’EDPB non solo si è limitato a condividerla ma ha anche eliminato l’inciso che “solo in determinate circostanze” il gestore della pagina Facebook possa essere considerato “Co-Titolare” del trattamento.

Vale la pena di sottolineare che, vigente la Direttiva 95/46, che sostanzialmente individuava solo in capo al “Titolare del trattamento” l’onere del risarcimento per i danni cagionati all’Interessato, la Corte considera che la presenza di Co-Titolari possa accrescere la possibilità di un ristoro dei danni subiti, valutazione che appare non tenere in debita considerazione che se i distinti soggetti agiscono quali autonomi “Titolari del trattamento” le tutele e le prerogative degli interessati mantengono lo stesso livello di garanzia.

Queste valutazioni hanno condotto ad affermare che, si veda l’esempio 1) della Linea Guida sul targeting dei social media, il soggetto che “compra” una campagna pubblicitaria (Targeter) per il semplice fatto che indichi le caratteristiche dei destinatari ai quali intende di far pervenire il suo messaggio pubblicitario debba essere considerato “Co-Titolare” del trattamento con il Social Media che è il soggetto che ha raccolto i dati in qualità di Titolare del trattamento e l’eventuale consenso al loro utilizzo per finalità di marketing diretto.

Una tale posizione non tiene in nessuna considerazione non solo la complessità che tale previsione impone dovendosi predisporre accordi di Co-Titolarità anche per una campagna one-shoot, con un aggravio di attività per la quale non se ne comprendono gli eventuali benefici in capo all’Interessato.

Infatti, l’accordo di Co-Titolarità da solo non sarebbe sufficiente alla compliance poiché, almeno, dovrebbe essere predisposta una Informativa ex art. 13 e 14 del GDPR che andrebbe data all’Interessato al momento della raccolta dei dati mentre, in un caso del genere, avverrebbe successivamente e, in molti casi, a notevole distanza di tempo.

Inoltre, ci si domanda quando dovrebbe essere fornita tale Informativa che modifica le previsioni inizialmente comunicate in fase di raccolta dei dati personali.

Tale valutazione risulta, a parere di chi scrive, del tutto non condivisibile anche tenendo conto dell’eventuale trasmissione al Targeter, da parte del Social Media, di un report “statistico” contenente i numeri dei destinatari nonché, ad esempio, l’indicazione del numero dei soggetti che hanno “letto” la comunicazione: non vi è nessuna comunicazione di dati personali in un report statistico volto a dare evidenza dell’efficacia della campagna di comunicazione.

Il semplice fatto che il Targeter abbia indicato le caratteristiche dei soggetti ai quali intende far pervenire la propria comunicazione promozionale non può essere considerato come la definizione delle finalità e, tantomeno, delle modalità con le quali viene effettuato il trattamento che continuano ad essere quelle indicate dal social media nell’informativa fornita all’Interessato al momento della raccolta dei dati personali.

Inoltre, relativamente all’esempio 1), sembra essere chiaro che la finalità del trattamento è il “marketing diretto” mentre la scelta dei destinatari verso i quali indirizzare la comunicazione possa essere, più correttamente, considerata come una attività strumentale al perseguimento della citata finalità e non una ulteriore finalità.

Altri aspetti che sollevano numerosi interrogativi sono contenuti nei punti da 44 a 46 delle Linee Guida in commento laddove sembra ricavarsi il possibile impiego, come base giuridica per le attività indicate nell’esempio 1) del “legittimo interesse” di cui all’art. 6 c1 lett. f) del GDPR.

Questa indicazione appare non del tutto in linea con le prescrizioni contenute nelle Linee Guida sui “cookies” pubblicata dall’EDPB a maggio di quest’anno. In quelle Linee Guida, infatti, viene indicato come la base legale per l’utilizzo dei cookies con finalità di marketing diretto sia solo ed esclusivamente, il consenso “esplicito ed informato”: come è possibile avere un consenso esplicito ed informato nel caso in cui, dopo aver raccolto i dati ed il consenso, sottoscrivo un accordo di Co-Titolarità per effettuare una campagna di marketing diretto per conto di un soggetto distinto dal quello che lo aveva inizialmente raccolto?

Le Linee Guida EDPB e il rischio di indicazioni inapplicabili

A tal riguardo, peraltro, si riporta il testo del punto 69 delle Linee Guida che, ancora una volta, fornisce indicazioni che risultano del tutto inapplicabili “The EDPB also recalls that in a case where the consent sought is to be relied upon by multiple (joint) controllers or if the data is to be transferred to or processed by other controllers who wish to rely on the original consent, these organisations should all be named”: come è possibile indicare nell’Informativa il nome di un soggetto con il quale stabilirò un rapporto commerciale per una campagna di marketing diretto solo successivamente.

Sono interrogativi ai quali le Linee Guida non forniscono riscontro limitandosi, purtroppo, a dare indicazioni di fatto inapplicabili.

Negli esempi 2) e 3) delle Linee Guida sul targeting e social media l’EDPB si focalizza sul fatto che nel momento in cui la banca “comunica” i dati al Social Media inizia la condizione di “Co-Titolarità” tra i due soggetti ma non si preoccupa di fornire indicazioni circa le basi legali per rendere tale “comunicazione” legittima ai sensi del GDPR, aspetto che sarebbe molto più rilevante, visti i flussi di dati di internet, e che ha ampi margini di indeterminatezza che sarebbe molto utile chiarire.

Per quanto riguarda le Linee Guida su Titolare, Co-Titolare e Responsabile valgono le stese riflessioni già sopra riportate alle quali ne va sicuramente aggiunta una di carattere generale che riguarda proprio l’esigenza di fornire utili esemplificazioni al fine di aiutare alla corretta valutazione del ruolo “agito” nell’ambito del trattamento dei dati personali, esigenza estremamente sentita ma alla quale sono state forniti davvero pochi riscontri.

L’EDPB ritiene che “The concepts of controller and processor are functional” e anche “The concepts of controller and processor are also autonomous concepts in the sense that, although external legal sources can help identifying who is a controller, it should be interpreted mainly according to EU data protection law” ma nel documento non sviluppano in modo pratico tali affermazioni.

Venendo agli esempi relativi al ruolo di Titolare presenti nel documento non si capisce perché nell’Example: Bank payments si considera il ruolo della Banca che fornisce i servizi bancari a favore di una Società Alfa per il pagamento degli stipendi dei dipendenti quello di Titolare mentre, avendo a riferimento l’Example: Market research, se la stessa Società Alfa decide di utilizzare i servizi della Società Beta per una “ricerca di mercato” fornendo una lista di domande e ricevendo solo un report complessivo debba essere considerata Titolare e la Società Beta designata Responsabile del trattamento senza alcuna valutazione delle caratteristiche del servizio in parola.

Ed infatti se la configurazione Alfa-Titolare e Beta Responsabile può essere corretta nel caso in cui l’analisi di mercato riguardi i Clienti di Alfa, che quindi fornisce oltre alle indicazioni sui temi da analizzare anche la lista dei soggetti da intervistare, non appare condivisibile quando la Società Beta contatta un panel che potrebbe aver precedentemente selezionato e i cui dati personali acquisiti, quindi, nella veste di Titolare del trattamento.

Relativamente alla sezione delle Linee Guida dedicate alla Co-Titolarità si confermano i dubbi già sopra espressi circa l’approccio che vede l’EDPB, partendo dalle decisioni della CJEU commentate, considerare applicabile tale modello in una numerosa casistica che in molti casi si fa davvero fatica a condividere.

In particolare relativamente all’Example: Headhunters appare davvero poco condivisibile che l’Headhunter e la società che commissiona la ricerca di personale debbano essere considerati Co-Titolari nel momento in cui, nella conduzione della ricerca, l’Headhunter, che utilizza un proprio DB costituito da CV raccolti in qualità di Titolare procedere ad elaborare anche i CV ricevuti direttamente dalla società che ha commissionato la ricerca: a parte la problematicità già sopra evidenziata relativamente ai CV raccolti dall’Headhunter sulla base di una propria informativa quale Titolare del trattamento che richiederebbe, quindi, il rilascio di un aggiornamento dell’informativa in precedenza prestata resta il fatto che tale impostazione creerebbe una proliferazione di accordi di Co-Titolarità “necessari” alla gestione di ogni singola ricerca di personale senza che da tale modello possa derivarne alcun beneficio concreto per il Candidato e, nemmeno, per la protezione dei dati personali.

Quando le Linee Guida dell’EDPB vanno oltre il dettato del GDPR

Per quanto riguarda, poi, la sezione delle Linee Guida dedicata al Responsabile del trattamento sembra potersi confermare che l’EDPB in luogo di perseguire il fine di offrire chiarimenti ed indicazioni esplicative atte ad indirizzare correttamente le operatività di questi ultimi, intende utilizzare tale strumento per formulare ulteriori e più stringenti prescrizioni andando ben oltre quello che è il dettato dell’art. 28 del GDPR.

Innanzitutto l’EDPB non sembra voler tenere in alcuna considerazione la realtà fattuale del contesto nel quale la normativa deve essere calata laddove, in modo abbastanza semplicistico, afferma che “the imbalance in the contractual power of a small data controller with respect to big service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law, nor can it discharge the controller from its data protection obligations” poiché è davvero poco accettabile che, pur consapevoli “that the contract and its detailed terms of business are prepared by the service provider rather than by the controller” si scarichi sullo “small controller” l’onere di farsi carico di “obbligare” il proprio interlocutore, in molti casi soggetti con un elevato potere economico, ad accettare modifiche agli Atti di designazione a Responsabile del trattamento da questi ultimi predisposti.

Per contro sarebbe, invece, auspicabile che la Commissione Europea e le DPA nazionali, con il supporto dell’EDPB, definiscano le Standard Contractual Cluses previste dai commi 7 e 8 dell’art. 28 proprio al fine di ribilanciare i differenti pesi specifici dei soggetti.

Appare poi un inutile aggravio la previsione che oltre a dover sottoscrivere un atto formale per regolare la designazione a Responsabile del trattamento che contenga tutte le indicazioni e prescrizioni dell’art. 28 del GDPR venga richiesto di allegare anche procedure, la descrizione delle misure di sicurezza proposte dal Responsabile, il dettaglio delle procedure che regolano l’assistenza verso il Titolare nella gestione delle richieste degli Interessa eccetera.

Peraltro, viene anche sottolineato come si debba anche tener conto del contesto, della tipologia dei dati trattati, del rischio relativo e, aggiungiamo, anche delle caratteristiche del Titolare e/o del Responsabile anche dal punto di vista economico, ma di indicazioni concrete a tal riguardo non ve ne è traccia.

Invece, sembra che si voglia anche mettere in dubbio una delle significative novità introdotte dal GDPR che ha equiparato il Titolare ed il Responsabile dal punto di vista della “accountability” e di conseguenza delle responsabilità connesse al proprio operato, quando da una parte si afferma che Titolare e Responsabile hanno degli obblighi “autonomi ed individuali” che discendono dalle prescrizioni dell’art. 32 salvo poi affermare che “The contract needs to include or reference information as to the security measures to be adopted, an obligation on the processor to obtain the controller’s approval before making changes, and a regular review of the security measures so as to ensure their appropriateness with regard to risks, which may evolve over time” e questo dopo avere affermato “the requirement that the processor itself adopts adequate security measures, where the processing operations of the processor fall within the scope of the GDPR, they remain two distinct obligations, since one refers to the processor’s own measures and the other refers to the controller’s”, il tutto con l’unico risultato di rendere confusi anche quegli aspetti del GDPR che sembravano essere sufficientemente chiari e condivisi.

La posizione dell’EDPB sulla Direttiva PSD2

Concludiamo queste nostre riflessioni sulle Linee Guida relative all’interworking tra il GDPR e la Direttiva 2015/2366/EU (nel seguito “PSD2”) che, dopo la consultazione, dovrebbero essere quasi pronte per esser pubblicate.

Vale la pena di partire da una risposta che a luglio 2018 l’EDPB aveva fornito sul tema della PSD2 ad una richiesta di una deputata del Parlamento Europeo che segnalava come vi fossero dubbi interpretativi circa il “consenso”, più volte richiamato nella PSD2 come condizione imprescindibile per dare correttamente avvio ad un pagamento elettronico, ed il consenso di cui all’art. 6 c. 1 lett. a) del GDPR quale base giuridica per il trattamento dei dati personali.

Nel formulare il riscontro il Board aveva, giustamente, chiarito come si trattasse di due piani distinti: il primo riguardava la conclusione di un contratto ed aveva lo scopo di conseguire la consapevolezza del soggetto che effettuava la transazione, come richiesto dall’art. 94 (2) della PSD2, mentre il consenso del GDPR è una delle basi giuridiche sulla quali può poggiare il trattamento dei dati personali e, nell’ambito di una transazione economica, quindi di fatto nell’ambito dell’esecuzione di un “contratto”, è questa la base giuridica per il trattamento dei dati personali (art. 6 c. 1 lett. b)).

Nelle Linee Guida in commento l’EDPB, anche alla luce delle Linee Guida 2/2019, riaffronta il tema della base giuridica del trattamento in ambito servizi di pagamento elettronici sottolineando l’esigenza che vi sia una attenta valutazione delle finalità perseguite evidenziando come sia imprescindibile che il Titolare garantisca che il trattamento sia “‘Necessary for performance’ clearly requires something more than a contractual clause”.

Questo richiamo ricorre in numerosi passaggi del documento quasi a testimoniare che l’EDPB ritenga il servizio attraverso il quale un soggetto richiede al proprio fornitore di strumenti di pagamento elettronico, non possa essere sempre considerato un “contratto”, ad esecuzione immediata, con il quale viene dato seguito, appunto, ad un ordine di pagamento spingendosi ad affermare che potrebbe non essere valido nemmeno “for taking relevant pre-contractual steps at the request of the data subject”: davvero una simile posizione appare non condivisibile e, soprattutto, foriera di dubbi applicativi sulla corretta scelta della base giuridica che, sarebbe auspicabile, le Linee Guida contribuissero ad indirizzare nel modo più semplice e corretto.

Paradossale appare, poi, la posizione pilatesca espressa dall’EDPB che, circa l’applicabilità dell’art. 6 c .4 del GDPR relativamente alle finalità di trattamento che discendono in capo agli AISP (Account Information Services Provider) o ai PISP (Payment Initation Services Providers) dalla Direttiva 2015/849/UE ai fini del contrasto delle attività di riciclaggio e di finanziamento del terrorismo, ci informa come “Note that a thorough examination of the question whether the anti-money laundering directive meets the standard of Art. 6 (4) GDPR falls outside of the scope of this document”!

Appare, inoltre, davvero poco comprensibile che “the EDPB highlights that the payment service user must be able to choose whether or not to use the service and cannot be forced to do so”: in che modo il PISP, che riceve un ordine di pagamento da parte del payment service user potrebbe forzalo ad effettuare una transazione visto che il suo intervento avviene a valle della libera decisione dell’user di comprare un prodotto o un servizio, o di effettuare un pagamento, al solo fine di consentire il trasferimento di una somma a favore di un terzo.

Ancora meno comprensibile l’enfasi che l’EDPB pone sulla figura del destinatario di un pagamento, il c.d. Silent Party, e sul relativo trattamento dei dati personali dedicando all’argomento una serie di riflessioni che davvero si fa fatica a condividere.

Qual è la differenza tra un pagamento effettuato presso lo sportello fisico di un Istituto Bancario nel quale il Cliente dispone un bonifico nei confronti di un soggetto e quello realizzato mediante un PISP relativamente al trattamento dei dati personali del destinatario del pagamento?

Come mai tale attenzione emerge solo oggi visto che i servizi bancari datano al 1400 e tale aspetto non è stato sino ad oggi ritenuto rilevante ai sensi della direttiva 96/45/UE?

Perché il PISP dovrebbe invocare il proprio “legittimo interesse” quale base giuridica per dare seguito ad una “richiesta di pagamento” effettuata dal payment service user: il PISP si limita a dare esecuzione a quanto gli è stato richiesto sulla base di un “contratto” che, attraverso la richiesta di transazione formulata dall’user si è impegnato ad eseguire.

Anche gli aspetti relativi alla “eventuale” presenza di dati particolari ricavabili più o meno direttamente dalle transazioni e alla necessità di garantire il rispetto delle prescrizioni ex art. 9 del GDPR sembra dimostrare poca dimestichezza sul funzionamento del “servizio” al quale ci si riferisce.

È davvero difficile comprendere come a fronte di una richiesta del payment service user di procedere ad effettuare un pagamento e, tenuto conto del contesto nel quale questo avviene che spazia dall’utilizzo di un POS presso un punto vendita “fisico” ad una transazione completamente virtuale collegata ad un acquisto effettuato su di un sito di e-commerce e che vede, in ambedue i casi, l’intervento del PISP come soggetto esterno alla transazione commerciale con il solo ruolo di procedere al trasferimento di denaro dall’acquirente verso il venditore, questi sia tenuto a raccogliere un consenso al trattamento dei dati particolari eventualmente e, in ogni caso, solo indirettamente rinvenibili nella transazione.

Per poter avere contezza della tipologia dei dati personali coinvolti nella transazione il PISP dovrebbe effettuare delle analisi di dettaglio sulle caratteristiche dei beni acquistati per i quali interviene come soggetto che garantisce il pagamento.

Paradossalmente il PISP, seguendo le indicazioni delle Linee Giuda, viene spinto a dover raccogliere ed elaborare una quantità di dati indispensabile a poter valutare la presenza di dati particolari: questa indicazione appare quantomeno essere non del tutto in linea con i principi di “privacy by design e by default” poiché tali dati aggiuntivi non sarebbero indispensabili ad effettuare il trattamento richiesto ai fini del perfezionamento della transazione.

In una tale ipotesi il PISP dovrebbe analizzare il contenuto descrittivo della transazione, ove questo fosse presente, per valutare se da tali informazioni sia inferibile che questa ha ad oggetto dati personali particolari.

Nella realtà l’intervento del PISP si limita, nel caso del POS fisico, alla lettura della banda magnetica della carta di pagamento ed all’associazione con il PIN, mentre nelle transazioni on-line al payment service user viene presentata un form dove inserire i dati dello strumento di pagamento e il PISP riceve, di norma, solo tali informazioni.

È vero che in funzione del punto fisico di presenza del POS ovvero del sito di e-commerce, si possa indirettamente inferire su una potenziale presenza di dati particolari, es. se acquisto presso un sexy-shop fisico o on-line, ma che in tale circostanza debba essere il PISP a farsi carico della raccolta del consenso appare davvero non solo impraticabile ma senza senso.

Tali trattamenti sarebbero da considerare “strumentali” ad una richiesta dell’Interessato – payment service user – il quale volontariamente, coscientemente e liberamente decide di procedere all’acquisto e, di conseguenza, anche nel caso in cui vi fosse la presenza di dati particolari, ”il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato, come recita l’art. 9 c. 2 lett. e) del GDPR ma una tale valutazione richiederebbe, da parte dell’EDPB, una pragmaticità che, purtroppo, non sembra esser rinvenibile nelle Linee Guida.

Un’ultima necessaria considerazione riguarda il Silent Party per il quale, anche rispetto al trattamento dei dati particolari, l’EDPB ha ritenuto indispensabile fornire adeguati caveat circa la necessità di raccogliere un eventuale consenso salvo non preoccuparsi in alcun modo di valutare se sia davvero possibile dare applicazione ad una simile previsione.

Peraltro, non si capisce il perché sarebbe necessario un consenso se chi riceve il pagamento è il “proprietario-gestore” del sito di e-commerce dove è avvenuta la transazione e, quindi, è ben consapevole di cosa ha venduto mentre, nel caso di una transazione avente a destinatario un partito politico, un sindacato, una associazione religiosa o culturale, non si capisce il senso del riferimento al trattamento di dati particolari visto la loro connotazione univoca.

Conclusioni

Dalla lettura dei documenti in commento si rileva una significativa distanza tra l’EDPB ed il contesto reale e concreto delle esigenze dei destinatari che sono chiamati a dare puntuale applicazione al GDPR.

Manca la capacità di cogliere il reale meccanismo di funzionamento che sottende il trattamento dei dati personali nel sempre più complesso mondo dei big data che ci circonda.

Al tempo stesso le Linee Guida che, nelle indicazioni rinvenibili nei Considerando e nell’art. 70 del GDPR, dovrebbero svolgere una funzione di aiuto e ausilio per i diversi soggetti (Titolari, Co-Titolari e Responsabili) che a vario titolo effettuano il trattamento dei dati personali nella corretta applicazione della normativa, non solo non sembrano conseguire tale scopo ma, al contrario, creano ulteriori incertezze introducendo vincoli e indicazioni, fornendo esemplificazioni e valutazioni, che non sembrano essere rinvenibili nella normativa che dovrebbero contribuire a far applicare in modo corretto.

Inoltre, anche il meccanismo di funzionamento della “consultazione pubblica” appare carente poiché non si capisce come mai, a seguito delle consultazioni, i documenti finali mantengano, sostanzialmente, gli stessi contenuti iniziali nonostante in molti casi, e chi scrive ha in diverse occasioni inviato contributi, le tematiche affrontate presentavano aspetti rilevanti che hanno sicuramente stimolato i diversi soggetti interessati.

A tal riguardo, proprio nell’ottica della trasparenza tante volte citata nei documenti in parola, sarebbe auspicabile che l’EDPB fornisse visibilità sui contenuti e commenti ricevuti e spiegasse le ragioni del loro mancato accoglimento.

Luciano Delli Veneri
DPO, consulente compliance organizzativa e privacy, Privacy Officer certificato TUV
Gloria Marcoccio
DPO, consulente security&privacy, Privacy Officer certificato TUV, ISO27001 Lead Auditor
Fonte:

Cybersecurity 360

DiLuca

Giornata Internazionale delle Persone con Disabilità

Il giorno 3 dicembre, come ogni anno, si celebra la “Giornata Internazionale delle Persone con Disabilità”, con lo scopo di promuovere i diritti e sostenere la piena inclusione delle persone con disabilità in ogni ambito della vita, ma anche di allontanare ogni forma di discriminazione e violenza.
In occasione di tale ricorrenza, alle ore 16 si svolgerà il webinar “Dalla parte delle persone con disabilità ai tempi del Covid”, organizzato dall’ Ufficio Relazioni con il Pubblico e il Comitato Consultivo Misto del Policlinico di Bari – Giovanni XXIII.

Per collegarsi al webinar: https://bit.ly/35S4MZN

 

 

DiLuca

Diffondiamo un articolo scritto dal Dott. Luciano Delli Veneri, componente del Comitato Scientifico

Le nuove clausole contrattuali standard per il trasferimento di dati personali extra UE in consultazione pubblica: alcuni spunti di riflessione per non perdere di vista la realtà

14.11.2020

Gloria Marcoccio, Luciano Delli Veneri

Le standard contractual clauses(SCC)  sul trasferimento dati personali extra EU, sottoposte dalla Commissione Europea a consultazione pubblica dal 12 novembre al 10 dicembre 2020, purtroppo ben rappresentano il livello di confusione, complessità e contraddittorietà delle attuali normative in materia di privacy, che contrariamente ai propositi della Commissione, potrebbero avere come principali effetti quelli di scoraggiare le realtà imprenditoriali, sia europee che extra europee, dall’operare in accordo a tale norme, e di aumentare il livello di sfiducia dei cittadini nei riguardi di ciò che sulla carta è propagandato a tutela dei loro diritti e libertà fondamentali.

Certamente non ha giovato alle problematiche di trasferimento di dati personali extra EU la decisione della Corte di Giustizia Europea del 16 luglio 2020 che non solo ha invalidato il Privacy Shield ma, di fatto, ha creato uno sconfortante clima di incertezza sull’effettiva applicabilità delle attuali SCC (in particolare quelle da esportatore Titolare ad importatore Responsabile – Decisione 2010/87/EU) richiedendo in ultima analisi a queste realtà imprenditoriali di svolgere analisi e valutare se un paese terzo rispetto la UE abbia in vigore leggi che rispettano l’essenza dei diritti e delle libertà fondamentali e non eccedono quanto è necessario e proporzionato in una società democratica.

Le conseguenti reazioni, spesso in ordine sparso, dei vari Garanti privacy europei nonostante quanto in materia pubblicato dall’EDPB, incluse le ultime arrivate: le recentissime ‘Recommendations 02/2020 on the European Essential Guarantees for surveillance measures adopted on 10 November 2020’ del EDPB, non fanno ben presagire se le nuove SCC andranno in onda così come sono, inclusi i diversi riferimenti al consultare/comunicare…riferiti alle Autorità di protezione dati personali nazionali (Autorità) di volta in volta competente per un caso di trasferimento di dati all’estero.

Auspicabile, ovviamente, che la consultazione pubblica possa recepire le critiche costruttive, le considerazioni, le proposte che certamente non tarderanno ad arrivare alla Commissione, perché la voce delle varie realtà imprenditoriali e degli esperti del settore che risponderanno alla consultazione, saranno espressione, ancora una volta, delle reali difficoltà nell’operare, che non possono sempre essere tacciate di insofferenza delle aziende verso un qualunque obbligo imposto dalle leggi specie in ambito privacy.

Qui di seguito alcuni dei possibili spunti di riflessione sul testo delle nuove SCC sottoposte a consultazione.

Zero attenzione verso le SME

Prima di tutto ed ancora una volta, nonostante il proposito più volte espresso nel Reg. EU 2016/679 (GDPR) di tenere conto delle esigenze delle piccole e medie imprese, queste SCC richiedono capacità, impegni e responsabilità che, e non è sempre detto, possono di fatto avere solo le grandi imprese, dotate di capacità economiche e competenze specifiche, indispensabili per poter interpretare ed applicare nel concreto e nel continuo quanto previsto dalle SCC. Si prenda ad esempio quanto riportato nella Sezione II OBLIGATIONS OF THE PARTIES ‘Clause 2 Local laws affecting compliance with the Clauses’ laddove si richiede alle Parti di garantire di ‘… non avere motivo di ritenere che le leggi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, inclusi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano i dati importatore dall’adempimento dei propri obblighi ai sensi delle presenti clausole.’ e di fornire tali garanzie tenendo ‘…in debito conto in particolare i seguenti elementi: i) le circostanze specifiche del trasferimento, compreso il contenuto e la durata del contratto; l’entità e la regolarità dei trasferimenti; la lunghezza della catena di elaborazione, il numero di attori coinvolti e i canali di trasmissione utilizzati; il tipo di destinatario; lo scopo del trattamento; la natura dei dati personali trasferiti; qualsiasi esperienza pratica pertinente con casi precedenti o l’assenza di richieste di divulgazione da parte delle autorità pubbliche ricevute dall’importatore di dati per il tipo di dati trasferiti; (ii) le leggi del paese terzo di destinazione pertinenti alla luce delle circostanze del trasferimento, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o l’autorizzazione all’accesso da parte di tali autorità, nonché le limitazioni e le garanzie applicabili; (iii) eventuali garanzie aggiuntive rispetto a quelle previste dalle presenti Clausole, comprese le misure tecniche e organizzative applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.’

E’ forse il caso di ricordare che tale complesso di valutazioni può di volta in volta fornire risultati diversi a parità di condizioni (stesso paese estero, stesso contesto di trasferimento, …) a seconda della profondità, completezza e disponibilità di risorse nel condurre le analisi, ferma restando una ‘soggettività’ di vedute che non si può mai escludere. E cosa accadrà se, a giudizio di una Autorità o di una associazione no profit che opera ai sensi del GDPR Art 80(1), l’esito della valutazione verrà considerato errato?

Da ricordare poi che la Commissione nel condurre analoghe analisi allo scopo di concedere a certi Paesi Terzi le utilissime ‘Adequacy Decision’ ai sensi del GDPR Art 45, impiega a volte molti anni: come può un’azienda svolgere in tempo utile per il proprio business, e magari in un quadro complesso di concorrenza, simili valutazioni.

Forse sarebbe utile pensare meccanismi che vedano protagoniste le Autorità/enti controllati dalle Autorità stesse che forniscano elementi valutativi oggettivi vincolanti, che liberino le imprese dalla responsabilità di porre in essere simili complesse analisi, soprattutto per le SME.

Ruoli privacy considerati: tra le varie… ed i Contitolari?

Le nuove SCC prendono in esame ben 4 tipologie di relazioni: 1) Titolare->Titolare, 2) Titolare -> Responsabile, 3) Responsabile -> (Sub) Responsabile e 4) Responsabile->Titolare.  Di certo, per quanto riguarda le relazioni 2) e 3), si deve certamente apprezzare l’approccio seguito nel considerare le SCC comprensive anche dell’accordo che deve essere posto in essere ai sensi del GDPR Art 28: è stato ed è tutt’ora infatti inutilmente dispersivo e operativamente complesso avere separati accordi, uno per il contratto con il ruolo Responsabile e l’altro per il trasferimento di dati all’estero. In tale contesto è però assolutamente imperativo che le nuove SCC incorporino tutti gli obblighi previsti in GDPR Art 28(3): non facile nell’attuale testo ritrovare l’obbligo del Responsabile di supportare il Titolare riguardo le misure di sicurezza commensurate ai rischi (Art 32) e Valutazione di Impatto (Artt 35 e 36).

Si evidenzia però, in termini di completa rappresentazione di tutte le possibili relazioni tra ruoli privacy anche in contesto di trasferimento di dati all’estero, la mancanza di una seppur minima menzione al caso dei Contitolari, che difficilmente su può considerare coperto dall’attuale caso 1): il rapporto tra Contitolari è ben più stretto, se non altro per quanto riguarda le responsabilità e gli impegni a loro richiesti quando l’interessato esercita i suoi diritti privacy ‘..nei confronti e contro ciascun contitolare’. Anche un riferimento all’accordo ex GDPR Art 26(1) dovrebbe essere presente, seppur in modo più conciso rispetto a quanto presente nelle nuove SCC per l’accordo ex GDPR Art 28 per i Responsabili.

Converrà ancora ricorrere alle BCR per i gruppi internazionali?

Le nuove SCC sono pensate per essere siglate da più Parti, e nulla vieta che queste siano tutte interne ad un Gruppo internazionale. Inoltre sono già predisposte per contemplare più tipologie di relazioni privacy, inclusi i termini per l’accordo ex GDPR Art 28, (vedasi punto precedente) ed appendici per documentare i trattamenti-trasferimenti in oggetto e le classi di misure di sicurezza a protezione dei dati. Probabilmente con non moltissimi apporti aggiuntivi, l’impalcatura contrattuale derivante potrebbe essere presa in considerazione da Gruppi internazionali per disciplinare al proprio interno (…e non solo) i ruoli privacy e gli obblighi da osservare per i trasferimenti dati personali intragruppo tra legal entity europee ed extra-europee: per definizione sarebbero presenti tutte le caratteristiche che concorrono a tutelare i diritti e le libertà fondamentali degli interessati in relazione al trattamento dei loro dati personali. Tenendo presente la complessità e durata (e costi) dell’attuale iter da seguire per veder approvate e poter cominciare ad utilizzare le BCR -Norme vincolanti di impresa ai sensi del GDPR Art 47, un Gruppo internazionale potrebbe essere almeno tentato di analizzare il trad-off tra le due possibili soluzioni: BCR vs le nuove SCC opportunamente integrate.

Obblighi di notifica di Violazione dati personali quando l’Importatore è Titolare: davvero si può pretendere? E a cosa serve?

Nella ‘Clause 1 Data protection safeguards’ -modulo relativo alla relazione Titolare ->Titolare, al punto 1.5 dedicato alla sicurezza nel trattamento è riportato che ‘…Se è probabile che una violazione dei dati comporti effetti negativi significativi, l’importatore di dati lo notifica senza indebito ritardo sia all’esportatore di dati sia all’autorità di controllo competente…’. Non è facile capire quale possa essere il razionale di una simile previsione, invece ben chiaro nel contesto della relazione Titolare->Responsabile ai sensi del GDPR Art 28(2), quando il trattamento dei dati è fatto per conto del Titolare. Nel caso di Importatore Titolare, evidentemente, il trattamento è svolto da questi per proprie finalità e determinando i mezzi del trattamento: una volta che i dati sono stati trasferiti ed è iniziato il trattamento da parte dell’Importatore cosa mai puoi fare e per quale motivo deve essere coinvolto il Titolare Esportatore quando presso l’Importatore Titolare avviene una violazione dati personali? Per gli stessi motivi sfugge il coinvolgimento anche dell’Autorità competente nei riguardi dell’Esportatore. Teniamo inoltre presente che la legge vigente presso il paese estero di stabilimento per il Titolare Importatore potrebbe già prevedere obblighi di notifica alle autorità nazionali per incidenti di sicurezza, dunque in tali casi sarebbe ulteriormente incomprensibile l’obbligo di notificare in Europa sia all’Esportatore che all’Autorità europea competente. Sarebbe dunque raccomandabile eliminare una simile previsione, salvo che non vengano chiarite dalla Commissione quali ulteriori reali e concrete tutele potrebbero derivarne per gli Interessati.

 Esportatore estero soggetto al GDPR: cosa farne delle SCC

La ‘Clause 9 Supervision’ di pagina 22 fa nascere l’attenzione su un contesto particolare, ossia quando ‘…esportatore di dati non è stabilito in uno Stato membro, ma rientra nell’ambito di applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 2’. Ora, se da una parte è vero che un tale soggetto debba operare in conformità al GDPR, la sua condizione che lo porta ad essere, in casi particolari, un Esportatore dovrebbe essere analizzata ed affrontata in modo più specifico e puntuale in riferimento alla realtà operativa. Facciamo un esempio: il gestore di un sito web estero che offre beni e servizi anche a persone fisiche che si trovano nella Unione Europea, se si avvale di fornitori di servizi che si trovano nel suo stesso paese e che in funzione di tali servizi trattano dati personali, dovrà davvero allegare al contratto di servizi con essi le SCC stabilite dalla UE?

Fonte: https://www.linkedin.com/pulse/standard-contracual-clauses-alcuni-spunti-dal-mondo-reale-marcoccio/

DiLuca

Cooperative Sociali

Seminario Formativo Gratuito Online

Venerdì  13 Novembre 2020 – ore 10.30/13.00

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/1933342073723550475?source=Siti+Web

Clicca qui per visualizzare il programma!

Nel rispetto del nuovo DPCM del 18 Ottobre u.s., il seminario formativo potrà esser svolto solo in modalità online!

DiLuca

La Dott.ssa Gloriamaria Paci illustra il seminario formativo del 29 Ottobre in TV!

Finalmente ci siamo!🐞 Oggi pomeriggio si terrà il seminario formativo “LA V DIRETTIVA E L’IMPATTO SUI DATI PERSONALI ANCHE ALLA LUCE DELLE RIFORME IN MATERIA DI CAPTAZIONE INFORMATICA”. Potete riguardare l’intervista rilasciata dalla Dott.ssa Gloriamaria Paci.
Fino all’inizio dell’evento è possibile iscriversi attraverso il link: https://attendee.gotowebinar.com/register/7910059683187172367?source=Web

DiLuca

La V direttiva: il Quadro normativo di riferimento

Il Decreto legislativo n. 125 del 2019 (AG 95) ha recepito la V direttiva antiriciclaggio (2018/843/UE) che modifica la direttiva 2015/849/UE, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Da molto tempo i legislatori nazionale e comunitario si concentrano sulle tematiche del riciclaggio di denaro, soprattutto al fine di contrastare la criminalità organizzata e il terrorismo internazionale. Vedi qui il dossier.

Link: Descrizione:
La V direttiva”: DIRETTIVA (UE) 2018/843 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 30 maggio 2018
che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di
riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE/td>
Il decreto legislativo di recepimento della V direttiva n.125 del 4/10/2019 – Modifiche ed integrazioni ai decreti legislativi
25 maggio 2017, n. 90 e n. 92, recanti attuazione della direttiva (UE) 2015/849, nonche’ attuazione della
direttiva (UE) 2018/843 che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema
finanziario ai fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE.
Dato Il dossier del 15 Luglio 2019 della Camera e del Senato per la V direttiva Prevenzione dell’uso del sistema finanziario
a fini di riciclaggio o di finanziamento del terrorismo

 

DiLuca

Nuove tecnologie ed impatto sui dati personali. Sinergie operative per il contrasto al riciclaggio ed alle infiltrazioni mafiose

Ripartono i Seminari Formativi Gratuiti Online

Giovedì  29 Ottobre 2020 – ore 15.30/18.30

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/7910059683187172367?source=Web

Clicca qui per visualizzare il programma!

Nel rispetto del nuovo DPCM del 18 Ottobre u.s., il seminario formativo potrà esser svolto solo in modalità online!

DiLuca

Seminario Formativo Gratuito Online – Venerdì 26 Giugno

Seminario Formativo Gratuito Online

Venerdì  26 Giugno 2020 – ore 09.30/12.00

L’emergenza sanitaria rappresenta  una sfida per le Pubbliche Amministrazioni che dovranno mettere a regime e rendere sistematiche le misure adottate nella fase emergenziale al fine di rendere il lavoro agile lo strumento primario nell’ottica del potenziamento dell’efficacia e dell’efficienza dell’azione amministrativa.

Una rivoluzione che comporterà una riorganizzazione non solo nella gestione del lavoro ma anche nell’implementazione di programmi di investimento nelle tecnologie informatiche, nello sviluppo delle competenze attraverso attività formative. Il tutto al fine di garantire servizi pubblici sempre più efficienti da assicurare alla collettività.

I relatori, al fine di supportare i referenti della P.A. a gestire i trattamenti dati e le attività da porre in essere per individuare gli aspetti organizzativi da migliorare, forniranno suggerimenti e documentazione utile da poter utilizzare per raggiungere questo ambito traguardo.

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/5075236130300602383?source=Web

Clicca qui per visualizzare il programma!

DiLuca

Attivazione area riservata per i soci

Non sei autorizzato ad accedere a questa pagina.
DiLuca

Settimanale “Il Ponte”: 4 giugno ore 15/17 – Ripartenza e lavoro: come trattare i dati al tempo del coronavirus ?

Un seminario formativo online organizzato dallo Studio Paci di Rimini fornirà spunti operativi e suggerimenti per gestire attività, rispettando i diritti e le libertà dei soggetti interessati.

autore: Il Ponte – Clicca QUI e leggi l’articolo originale

Il 24 aprile è stato integrato e modificato il Protocollo condiviso di regolazione delle misure per il contrasto ed il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. La Fase-2 è partita e i datori di lavoro, per garantire il distanziamento sociale stanno testando le misure di prevenzione stabilite dal Protocollo sottoscritto da Governo e Sindacati. Come conciliare la ripartenza, la ripresa del lavoro e il trattamento dei dati personali e la privacy? Un seminario formativo gratuito on line affronta proprio queste questioni. “Riorganizzazione del lavoro per la ripartenza. Il trattamento dati al tempo del coronavirus” è il titolo del seminario formativo in programma giovedì 4 giugno dalle ore 15 alle ore 17. Le verifiche sull’osservanza delle misure previste nel protocollo condiviso di regolamentazione per il contenimento del Covid – 19 nei luoghi di lavoro sarà al centro dei lavori, organizzati dallo Studio Paci di Rimini.

I relatori, in rappresentanza di istituzione deputate ad eseguire le verifiche sull’osservanza delle misure previste sul Protocollo, partendo dal trattamento dati derivante dall’introduzione delle misure di prevenzione, forniranno, in base alle proprie competenze e ai settori di intervento, spunti operativi e suggerimenti per gestire al meglio le attività, rispettando i diritti e le libertà dei soggetti interessati salvaguardandone altresì la salute.

Sarà proprio la dott.ssa Gloriamaria Paci, consulente in materia di privacy e presidente Associazione Protezione Diritti e Libertà Privacy, a coordinare i lavori. Seguiranno gli interventi di Luca Di Leo, consulente in materia di privacy e vice presidente Associazione Protezione Diritti e Libertà Privacy; Luciano Delli Veneri, consulente in materia di privacy; Dario Panebianco, responsabile del processo vigilanza Ispettorato territoriale del lavoro di Rimini; Antonio Petitto, vice comandante dei Vigili del Fuoco di Rimini; Michele Bertoldo, responsabile Struttura e Vigilanza e Controllo Sicurezza sul Lavoro di Rimini, U.O. P.S.A.L. Ausl Romagna.

Ai partecipanti sarà rilasciato un attestato di partecipazione.
Per poter partecipare al seminario formativo è necessario registrarsi attraverso il link:

https://attendee.gotowebinar.com/register/6598127903918414603?source=Mail

Sarà possibile iscriversi al seminario formativo fino alla data di svolgimento del medesimo. È tuttavia previsto un numero limitato di partecipanti, quindi se di interesse è necessario iscriversi per tempo.

Per informazioni. Tel. 0541.1795431, segreteria@associazionedirittiprivacy.it

DiLuca

Riorganizzazione del lavoro per la ripartenza – Il trattamento dati al tempo del coronavirus

Giovedì 4 Giugno 2020 – Ore 15,00 – 17, 00


Seminario Formativo Gratuito Online

Vigili del Fuoco, Ispettorato Territoriale del Lavoro, ed AUSL forniranno indicazioni sulle correte modalità operative da affrontare a fronte di una visita ispettiva.

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/6598127903918414603?

Clicca qui per visualizzare il programma!

DiLuca

Seminario Formativo Gratuito Online – Pubblica Amministrazione

Seminario Formativo Gratuito Online

Giovedì  21 Maggio 2020 – ore 09.30/12.30

Pubblica amministrazione e trattamento dati al tempo del Coronavirus

Dalla gestione dell’emergenza alla ripresa delle attività

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/8368169000977678607?source=web

Clicca qui per visualizzare il programma!

DiLuca

Seminario Formativo Gratuito Online – Fase 2

Seminario Formativo Gratuito Online – Fase 2

Seminario Formativo Gratuito Online

Venerdì 15 Maggio 2020 – ore 15.00/17.00

Approfondimenti sulle corrette modalità operative per il trattamento dati al tempo del Coronavirus le misure per ripartire nell’ organizzazione del lavoro

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/7399965449816950284?source=Web

Clicca qui per visualizzare il programma!

DiLuca

Seminario Formativo Gratuito Online – Liberi Professionisti

Venerdì’ 15 Maggio 2020 – ore 9.30/11.30

Libera Professione – Regolamento Europeo 2016/679 e normativa in materia di antiriciclaggio

Approfondimenti sulle corrette modalità operative per il trattamento dati al tempo del Coronavirus

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/9171073073319097102

Clicca qui per visualizzare il programma!

DiLuca

A scuola di privacy

Giovedì 16 Aprile 2020 – ore 15.00/18.o0

A scuola di privacy

Relatori:
Gloriamaria Paci – Consulente in materia di Privacy e Data Protection Officer
Luca Di Leo – Consulente in materia di Privacy e Data Protection Officer
Luciano Delli Veneri – Consulente in materia di privacy – Data Protection Officer
Mariangela Peluso – Consulente in materia di privacy – Data Protection Officer

Clicca qui per visualizzare la locandina!

DiLuca

seminari gratuiti: CORONAVIRUS E PROTEZIONE DEI DATI PERSONALI

IL GIUSTO EQUILIBRIO TRA I DIRITTI INDIVIDUALI E DELLA COLLETTIVITÀ E LE LIMITAZIONI A FRONTE DI UN INTERESSE COLLETTIVO

come anticipato, prosegue l’attività formativa proposta dall’Associazione protezione diritti e libertà privacy.

In attesa di poterci ritrovare fisicamente in occasione dei seminari formativi gratuiti, Vi invitiamo a partecipare ad una serie di seminari formativi gratuiti on line su tematiche di grande attualità.

Considerando che l’adozione di misure per contenere e mitigare la pandemia di COVID-19, comporta il trattamento di dati personali, l’Associazione protezione diritti e libertà privacy, con segreteria organizzativa dello Studio Paci, al fine di fornire un supporto nel chiarire come gestire correttamente gli adempimenti previsti dal Regolamento Europeo 2016/679 derivante dalle nuove modalità di lavoro, dalla promiscuità degli strumenti utilizzati dai dipendenti per garantire l’operatività, alla garanzia delle misure di sicurezza adottate per gestire i collegamenti e le videoconferenze, ecc, proponiamo alcuni seminari formativi gratuiti on line su tematiche di interesse generale su come gestire procedure, regolamenti e quanto deve essere messo in atto per garantire la protezione dei dati personali di tutti gli interessati, salvaguardando diritti e libertà degli stessi.

Ogni singolo seminario formativo, della durata di circa 40 minuti circa, vedrà la partecipazione di Gloriamaria Paci e Luca Di Leo nonché di professionisti specializzati nelle diverse discipline oggetto dei singoli seminari formativi on line.

Per poter partecipare ad ogni seminario formativo, è necessario registrarsi attraverso i link sotto riportati attraverso la piattaforma GoToWebinar:

Martedì 31 marzo (h.12-13)
Webinar – Smart Working e COVID-19, come gestire il rischio Cyber

Venerdì 3 aprile (h.11-12)
Webinar – Adempimenti in materia di sicurezza sul lavoro

Lunedì 6 aprile (h.16-17)
Webinar – Adempimenti relativi al trattamento dati

Mercoledì 8 aprile (h.16-17)
Webinar – Adempimenti legali

Giovedì 9 aprile (h.11-12)
Webinar – Adempimenti in materia di lavoro

Si precisa che non è previsto alcun vincolo nel seguire tutti i seminari ma è possibile partecipare a quelli di interesse.

Si precisa che sarà possibile iscriversi ai seminari formativi fino alla data di svolgimento dei medesimi. Ricordiamo tuttavia che sono previsti un numero limitato di partecipanti quindi, se di interesse, è necessario iscriversi per tempo.

DiLuca

Smart working (lavoro da casa) al tempo del Coronavirus

A fronte della prevenzione e del contrasto alla diffusione del Coronavirus (Covid-19), nel rispetto delle recenti disposizioni sia nazionali che regionali, nonché per seguire i consigli degli esperti del settore sanitario, laddove possibile,  è stato raccomandato ai  datori  di  lavoro  pubblici  e  privati  di promuovere la fruizione da parte dei lavoratori dipendenti dei periodi  di  congedo ordinario e di ferie, e/o incentivare l’uso della tecnologia per favore il lavoro c.d. in modalità smart working (presso il domicilio).

Per regolamentare questa modalità operativa, lo Studio Paci ha predisposto delle istruzioni aggiuntive in materia di privacy da fornire ai dipendenti/collaboratori che in questo periodo garantiranno la continuità operativa seppur fuori sede.

Tali istruzioni, che integrano quelle già fornite ai soggetti autorizzati al trattamento dei dati personali ai sensi dell’articolo 29 del Regolamento Europeo 2016/679, risultano necessarie in particolare laddove gli strumenti utilizzati dai dipendenti/collaboratori per il trattamento dati personali risultino di proprietà dei dipendenti/collaboratori medesimi.

Le istruzioni aggiuntive verranno fornite su richiesta inviando una mail all’indirizzo segreteria@consulenzepaci.it o contattando il numero 0541 – 1795431.

 

DiLuca

18/03/2020 – Seminario formativo: GDPR E STRUTTURE RICETTIVE: COME AFFRONTARE CONTROLLI E VISITE ISPETTIVE

Seminario Formativo 18 Marzo 2020

Cinema Fulgor – dalle 14.00 alle 18.00 – Ingresso gratuito

GDPR E STRUTTURE RICETTIVE: COME AFFRONTARE CONTROLLI E VISITE ISPETTIVE

La partecipazione è riservata agli associati di Federalberghi Rimini

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://cutt.ly/OrcmODS


 

 

 

DiLuca

Privacy a Scuola: diffusa circolare con nomi studenti disabili, dirigente e tre docenti sotto accusa. Sentenza

Modello organizzativo, consapevolezza, accountability, formazione, compiti e funzioni, individuazione dei ruoli di responsabilità…. dove sono? É tutta colpa delle dirigente? Siamo sicuri che esiste un “Modello Organizzativo” corrette politiche per la protezione dei dati ?

Ecco l’articolo:

La condotta del dirigente scolastico, consistente in una grave violazione della disciplina sulla riservatezza degli alunni disabili, veniva sanzionata dal Garante con 20.000 euro di multa, che l’istituto la saldava.

La Corte dei Conti ha quindi sentenziato (n. 246/2019) che tale multa ricade, a titolo di danno erariale, sul dirigente scolastico. In virtù del potere riduttivo il giudice contabile ha posto a carico del dirigente la somma di euro 7.500.

Le funzioni del dirigente scolastico. Il dirigente scolastico svolge differenti e variegate funzioni, addossando alcune responsabilità:

garantisce la gestione unitaria dell’istituto, del quale riveste la qualifica di legale rappresentante,
è responsabile della gestione delle risorse finanziarie e strumentali e dei risultati dei servizi,
gode di autonomi poteri di direzione, di coordinamento e di valorizzazione delle risorse umane,
organizza l’attività scolastica secondo criteri di efficienza e di efficacia,
adotta i provvedimenti di gestione delle risorse e del personale.
La vicenda. Una dirigente scolastica, adottando una circolare con riportata la lista dei nominativi degli alunni disabili della scuola, violava la normativa sulla privacy. La diffusione della circolare doveva essere riservata alle famiglie degli studenti, tuttavia la stessa dirigente ne aveva acconsentito la pubblicazione sul portale istituzionale riferibile alla scuola. Il Garante per la privacy multava l’istituto con una sanzione amministrativa di 20.000 euro.

Chi ha pagato la sanzione. Essendo destinatario l’istituto, la sanzione è stata pagata con i fondi dello stesso.

Gli accusati dalla Procura. La Procura Regionale conveniva, innanzi alla competente Corte dei Conti, la dirigente e tre professori, dipendenti dello stesso Istituto, per sentirli condannare al risarcimento del danno indiretto cagionato all’Istituto a seguito del pagamento della sanzione amministrativa irrogata dal Garante per la Protezione dei dati Personali.

Unico responsabile è il dirigente. I giudici, esaminando la vicenda, individuano come unica responsabile la dirigente, sulla quale incombeva:

l’obbligo di verificare la correttezza e la legittimità della circolare dalla medesima sottoscritta,
l’obbligo di monitorarne le sorti anche nei successivi passaggi, al fine di impedirne la pubblicazione.
La posizione degli altri tre docenti. Non sono stati ritenuti responsabili, nella vicenda in commento, gli altri tre docenti appartenenti all’istituto e citati nel giudizio, nel quale è emerso il loro ruolo marginale, quindi di meri esecutori delle istruzioni diramate dalla Dirigente scolastica, ed in particolare:

un docente aveva avuto il compito di predisporre il testo della circolare, e poi di trasmetterla a un collega;
un altro docente aveva semplicemente inviato ad una lista di docenti, già predisposta, le comunicazioni perfezionate e sottoscritte dalla dirigente, la quale ben avrebbe potuto limitarne la diffusione anche dopo tale invio ai docenti, tra i quali lei stessa figurava,
il terzo docente aveva materialmente inserito sul portale web dell’Istituto la circolare, quale mero esecutore delle istruzioni verbali ricevute dalla Dirigente scolastica.
Il danno erariale. Gli obblighi normativi posti a tutela dei diritti fondamentali della persona sono stati disattesi dalla Dirigente scolastica, che con la sua condotta ha leso il diritto alla tutela della riservatezza dei minori, causando per sua esclusiva colpa (personale ed in vigilando) l’irrogazione della sanzione, così da creare un danno, indiretto, alle casse dell’Istituto scolastico. La Corte dei Conti ha inoltre precisato che il pagamento di somme con denaro pubblico, a causa dell’inosservanza di obblighi imposti normativamente, costituisce un aggravio di spesa e sottrae le relative somme all’attuazione degli scopi istituzionali.

La quantificazione del ristoro. In applicazione del potere riduttivo dell’addebito, la Corte dei Conti ha condannato la Dirigente scolastica al pagamento, in favore dell’Istituto, della somma di euro 7.500,00.

La sentenza

 

L’articolo da Orizzonte Scuola

DiLuca

Ora Diretta Facebook – Come promuovere la propria immagine rispettando il GDPR

Cliccando sul link sottostante è possibile accedere alla pagina Facebook che riprende in diretta l’evento.

Pubblicato da Associazione Protezione Diritti e Libertà Privacy su Mercoledì 18 dicembre 2019

DiLuca

Privacy Social Therapy

“Privacy Social Therapy”.

L’obiettivo perseguito attraverso il progetto è il miglioramento della qualità della vita dei ragazzi con disagi causati da malattie o dalla perdita del controllo dei propri dati e quindi dei diritti ad essi collegati. Il progetto ha come obiettivo ultimo la realizzazione di uno studio in grado di validare il processo di miglioramento della qualità della vita dei suoi utenti mediante l’osservazione di un campione significativo di utenti utilizzando un metodo scientifico provato e ricostruibile. I risultati dello studio saranno avvalorati dalla pubblicazione in riviste scientifiche di settore.

 

“Sei abile o disabile se…” un primo passo del progetto “Privacy Social Therapy” , è stato creato un gruppo Facebook, pensato per tutti coloro che, con passione e compatibilmente con i propri  mezzi e strumenti si impegnano per un mondo migliore. L’energia positiva e la grinta di Vanni Oddera, noto campione di freestyle motocross, ci aiuterà a superare barriere e confini aiutandoci a capire che insieme ed unendo le forze di tutti si raggiugono traguardi impensabili. Un gruppo in cui non esistono persone abili, disabili, malati, belli o brutti ma esistono persone non mosse da buonismo o pietismo ma solo dalla voglia di vivere. Punto. Uno spazio aperto a tutti coloro che hanno più di 14 anni, in cui ci si confronterà sulle cose belle e dove l’esperienza di ciascuno potrà essere di confronto ed arricchimento per tutti.  Aderendo al Gruppo inevitabilmente si perderà un po’ di riservatezza ma noi ci impegneremo per garantire la dignità ed i diritti dei partecipanti.

Per iscriversi al gruppo: www.facebook.com/groups/seiabileodisabileseapdl/

 

 

Il campione di Free style motocross Vanni Oddera partecipa e promuove il progetto della Privacy Social Therapy:

 

 

 

Chi è Vanni Oddera?

La “moto terapia”  raccontata dalle “Iene” ⬇️

 

Vanni Oddera sul web ⬇️ 

 

 

 

 

 

 

 

 

 

 

 

 

La Privacy Social Therapy: l’intervento del Presidente Gloriamaria Paci ⬇️ alla trasmissione Focus di  Teleromagna

 

 

DiLuca

05/12/2019 – Giornata internazionale delle persone con disabilità – Video dell’intervento del Dott. Giovanni Giuliano socio di APDL

Interviene il dott. Giovanni Giuliano per l’Associazione Protezione Diritti e Libertà Privacy con il tema: “Il valore dei dati personali”

ABSTRACT – GIORNATA INTERNAZIONALE DELLE PERSONE CON DISABILITÀ

 

Il convegno del 3 dicembre 2019, organizzato in occasione della Giornata internazionale delle persone con disabilità, si rivolge a chi ha a cuore la tutela delle persone con disabilità, si preoccupa di assicurare loro un futuro migliore e di impedire l’isolamento delle persone con disabilità.

Con l’intervento di importanti esponenti nel settore della disabilità si farà il punto sulle condizioni di vita delle persone con disabilità e saranno illustrate le opportunità, attualmente a disposizione, per un concreto miglioramento delle condizioni di vita delle persone con disabilità; questo grazie anche all’importante apporto delle nuove tecnologie che hanno consentito, per esempio, la creazione del fascicolo sanitario elettronico consultabile in tempo reale dal soggetto interessato, in cui confluirà e sarà conservata la documentazione sanitaria dello stesso, attenendosi rigorosamente alla normativa in materia di privacy a tutela delle persone con riguardo al trattamento dei dati personali.

I professionisti esperti nel campo della disabilità interverranno per presentare le soluzioni giuridiche maggiormente adottate per la tutela della disabilità ed i programmi di intervento e le specifiche agevolazioni fiscali, indicate dalla recente Legge Dopo di Noi che prevede, tra l’altro, la possibilità di creare soluzioni alloggiative di tipo familiare e di co-housing, che accolgano i genitori durante le cure dei propri figli fuori dalla propria città e che possono farsi carico del pagamento degli oneri di acquisto, di locazione, di ristrutturazione e di messa in opera degli impianti e delle attrezzature necessari per il funzionamento degli alloggi medesimi, anche sostenendo forme di mutuo aiuto tra persone con disabilità.

Tra i relatori del convegno, in rappresentanza dell’Associazione Protezione Diritti e Libertà Privacy, il Dott. Giovanni Giuliano, che ha partendo dalla novella normativa in materia di privacy e protezione delle persone fisiche con riguardo al trattamento dei dati personali, introdotta dal Reg. UE 2016/679 e direttiva 2016/680 con i necessari richiami ai D.lgs 51/2018 e 101/2018, si è soffermato sul “Valore del dato personale”.

Nell’odierna società digitale, il valore del dato personale costituisce “il petrolio del nuovo millennio”; sempre più spesso si assiste a una mercificazione dei dati personali: violazioni, vendita ed acquisto (illegale) dei dati sono ormai all’ordine del giorno e ciò al fine di orientare le scelte strategiche aziendali ed ottenere un vantaggio competitivo rispetto ai concorrenti. Tutto questo avviene all’oscuro dei soggetti interessati cui i dati si riferiscono. È per questo che occorre un nuovo modo di pensare, non solo subordinato alla norma giuridica, ma occorre una nuova cultura, una maggiore consapevolezza ed etica che miri alla salvaguardia della dignità della persona, che è quella che si cela dietro al dato, e in questo va ricercato il valore assoluto del dato.

Giovanni Giuliano

PRESENTAZIONE REALIZZATA DA GIOVANNI GIULIANO IN OCCASIONE DEL CONVEGNO