Per la difesa della riservatezza digitale dei dati: Privacy Day del 23 Maggio a Pisa, prime considerazioni

Di seguito illustro quanto emerso dal Privacy Day del 23 Maggio 2013.
La giornata è stata aperta dall’avv. Luca Bolognini che ha parlato di Regolamento Europeo Privacy.

Al riguardo ha evidenziato che ad oggi ci sarebbero 3000 emendamenti alla bozza del 25 gennaio 2012 e di conseguenza l’approvazione del testo consolidato da parte del LIBE è slittata dal 29 Maggio alla fine di luglio.

Dopodiche’ il testo passerà all’assemblea per la votazione. Bolognini Parla di rischio di slittamento dell’approvazione alla prossima legislatura.

Come curiosità Bolognini fa notare che in effetti alcune società BIG americane non hanno nessuna voglia di adempiere come parrebbe necessario a detto regolamento. In compenso, aggiunge, ce ne sono altre che invece attendono interessati la pubblicazione del Regolamento.

L’avvocato Bolognini fa notare come tale nuova disciplina sembri permeata da meno formalismi e più responsabilità.

Alcuni Emendamenti sarebbero stati elaborati con l’idea di introdurre il consenso anche in casi di deroga.

Per quel che concerne il Legittimo interesse, si introduce l’idea, sempre a livello di emendamenti, che Se un soggetto e’ certificato allora il trattamento puo’ avvenire senza il consenso.

La parola passa a LARA COMI Presidente Commissione INCO (mercato interno e la protezione dei consumatori) che informa la platea del ritmo incessante delle riunioni per il regolamento europeo.

Riguardo agli emendamenti dice di non porvi troppa attenzione poichè gli stessi cambiano ognoi giorno.

Aggiunge che la fase degli emendamenti è stata superata per lasciare spazio a quella dei compromessi.

Quello che si vuole è che il Regolamento non sia modificabile dagli Stati Membri. Inoltre si cerca un equilibrio tra gli interessi del Titolare e quelli del consumatore.

Fa spesso riferimento all’inesattezza del concetto di soglia dimensionale, affermando che la differenza la fa il numero degli interessati coinvolti.

Per quel che concerne la profilazione fa notare che c’è un forte interesse ad evitare sistemi matematici numerici che indicherebbero in modo artificiale la personalità di un individuo, ma che occorre sempre la valutazione reale di una persona fisica per prendere qualunque decisione riguardi un interessato.

E’ la volta poi di Buttarelli, ex segretario del Garante italiano il quale afferma l’interesse di Ridurre gli emendamenti intorno al centinaio. Viene confermata l’idea che il campo di applicazione sia anche al di fuori della UE indipendetemente dal fatto che il Titolare si rivolga ad un residente nella UE o a un semplice turista,
Riferisce del valore economico esagerato dell’attuale BIG DATA e della conseguente necessita’ di pseudoanonimizzare tali dati in una ipotetica aggregazione collettiva.

Inoltre spiega come i colossi americani necessiterebbero di una Autorita’ Garante di riferimento che sia unica per i 27 Paesi .

Altro concetto molto interessante è quello che vede la diminuizione del formalismo e della burocrazia privacy, a favore di una maggiore responsabilità generale.

Per quel che concerne la tempistica Buttarelli parla di una approvazione completa non prima del 2014 ed una entrata in vigore effettiva ancora successiva.

Passando al mio intervento: Crittografia, quando è obbligatoria per legge e quando è opportuna, apro dicendo che la crittografia non è altro che una modalità del trattamento, una sorta di SUPERPRIVACY, poco osservata da molti e che riguarda in base al Codice solo alcuni operatori, come quelli sanitari, quelli che trttano dati sulla vita sessuale, il dato genetico o biometrico.

Continuo poi dicendo che è una misura minima di sicurezza prevista a tutela del principio di necessità e del principio di proporzionalità. Indico poi i casi in cui la stessa debba essere considerata misura idonea.

Inoltre faccio un collegamento con il Nuovo Provvedimento del Garante sul Data Breach del 4 aprile 2013 (di cui ho parlato anche su queste pagine) e dico che la notifica della violazione, obbligatoria per i fornitori di telecomunicazioni Internet o telefonia, deve essere rivolta al Garante per la protezione dei dati personali entro 72 ore, mentre puo essere evitata l’ulteriore comunicazione all’interessato entro le successive 72 ore, in caso di grave pregiudizio SOLO quando i suoi dati siano stati crittografati.
Faccio notare poi che il concetto di inintellegibilità ha una nuova definizione nell’ambito del Provvedimento sul Data Breach.

Concludo spiegando le differenze tra anonimizzazione, pseudoanonimizzazione e pseudoanonimizzazione dell’informazione e non solo dell’interessato al quale si riferisce.

(1) continua….

Diritto e Social Network

Il seminario illustrerà le modalità corrette per gestire un profilo social sia personale che aziendale. Mediante esercitazioni pratiche verranno evidenziate le particolarità dei diversi Social d…

Mio nuovo corso su Privacy e Social Network 4 giugno