Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

Le sanzioni nell’era del GDPR: decine di milioni di euro

Gennaio 2020. Il Garante per la protezione dei dati personali ha cominciato a pubblicare le prime ordinanze-ingiunzioni “di peso” comminate a soggetti privati ai sensi del GDPR.

Complessivamente 11,5 milioni di euro nei confronti di Eni Gas e Luce e 27,8 milioni di euro nei confronti di TIM.

Alla prima società è stata contestata attività di telemarketing in carenza di presupposti normativi e la conclusione di contratti all’insaputa degli interessati.

Alla seconda una serie di carenze, perfino dolose, nell’attività di telemarketing, nella gestione della complessiva filiera dei responsabili del trattamento, nell’acquisizione del consenso.

Addirittura, risultava richiesto un unico consenso per più finalità: una violazione per così dire “basilare”, completamente inammissibile già nel sistema previgente al GPDR, eppure replicata.

Per un approfondimento

La mia intervista alla radio dell’avvocatura IusLaw Web Radio condotta dal collega Angelo Marzo sulla sanzione nei confronti di TIM.

Un’intervista più articolata con il collega Elia Barbujani alla stessa radio sui provvedimenti del Garante nei confronti di Eni Gas e Luce.  

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

Protezione dei dati personali: torna l’interpello preventivo?

Il 9 maggio 2019 è entrato in vigore il nuovo – atteso – regolamento n. 1/2019 del Garante per la protezione dei dati personali sulle procedure interne a rilevanza esterna, dunque innanzitutto su quella di reclamo. Contestualmente, è entrato in vigore anche il gemello regolamento n. 2/2019.Restiamo tuttavia sul primo. La disciplina, di notevole interesse per il pratico, presenta profili di continuità ma anche elementi di novità rispetto al precedente regolamento n. 1/2007. In particolare, vogliamo qui concentrarci sull’istituto noto in passato come “interpello preventivo”. Ricordiamo che l’interpello preventivo andava esperito, nella regolarità dei casi, prima di procedere con ricorso al Garante, pena l’inammissibilità dello stesso.Ebbene, il punto interessante è il seguente: il nuovo regolamento n. 1/2019 ha reintrodotto oppure no l’interpello preventivo che era stato eliminato dalla normazione primaria? Come deve regolarsi oggi l’interessato che richieda tutela amministrativa?Prima di entrare nel vivo della questione, facciamo un rapido cenno al contesto, per fornire una cornice al ragionamento.Leggi tutto "

Protezione dei dati personali: torna l’interpello preventivo?

"

Lo studio legale


Lo studio legale

  • Competenze digitali e tradizionali – Assistiamo i nostri Clienti sia in materia di diritto digitale avanzato, privacy e sicurezza informatica sia in ambito civile e commerciale tradizionale (e inoltre: lavoro, famiglia, condominio).
  • Consulenza e litigation – Non siamo solo consulenti ma assistiamo i Clienti nel contenzioso giurisdizionale (innanzitutto Tribunale) e amministrativo (Garante per la protezione dei dati personali). Questo ci permette di avere una visione a 360° già in fase di consulenza, di soppesare concretamente gli esiti di ogni scelta, di evitare i rischi di dispersione informativa tipici dei passaggi di consegne da consulente a litigator.
  • Formazione – Facciamo formazione di alto livello per avvocati e imprese
  • Ricerca e sviluppo – Partecipiamo in prima persona alla costruzione del dibattito scientifico:
  • Pro bono – Collaboriamo pro-bono con il Centro Nazionale Anti Cyber-bullismo..

Lo studio legale Grieco Pelino Avvocati ha sede a Bologna e presta assistenza in tutta Italia.

[leggi di più]

La nostra visione

Abbiamo creato Grieco Pelino Avvocati avendo in mente un luogo di lavoro senza filiere e complesse gerarchie interne, con una struttura minima, scalabile e funzionale, centrata sugli Assistiti e sulla qualità.

Gestiamo direttamente l’Assistito, non lo affidiamo a risorse junior o in formazione. L’eventuale scalabilità è garantita attraverso il ricorso a una rete di avvocati partner selezionati per competenza e affidabilità. Mettiamo a disposizione in ogni caso risorse senior da noi coordinate, in modo da mantenere un’alta professionalità.

Abbiamo fatto una precisa scelta di dematerializzazione, che ci consente di abbattere i costi fissi e di proporre un’assistenza di qualità elevata ma accessibile.

[leggi di meno]


Lo studio legale

Lo studio legale

  • Competenze digitali e tradizionali – Assistiamo i nostri Clienti sia in materia di diritto digitale avanzato, privacy e sicurezza informatica sia in ambito civile e commerciale tradizionale (e inoltre: lavoro, famiglia, condominio).
  • Consulenza e litigation – Non siamo solo consulenti ma assistiamo i Clienti nel contenzioso giurisdizionale (innanzitutto Tribunale) e amministrativo (Garante per la protezione dei dati personali). Questo ci permette di avere una visione a 360° già in fase di consulenza, di soppesare concretamente gli esiti di ogni scelta, di evitare i rischi di dispersione informativa tipici dei passaggi di consegne da consulente a litigator.
  • Formazione – Facciamo formazione di alto livello per avvocati e imprese
  • Ricerca e sviluppo – Partecipiamo in prima persona alla costruzione del dibattito scientifico (cfr. per esempio) (oppure cfr. qui).
  • Pro bono – Collaboriamo pro-bono con il Centro Nazionale Anti Cyber-bullismo..

Lo studio legale Grieco Pelino Avvocati ha sede a Bologna e presta assistenza in tutta Italia.

[leggi di più]

La nostra visione

Abbiamo creato Grieco Pelino Avvocati avendo in mente un luogo di lavoro senza filiere e complesse gerarchie interne, con una struttura minima, scalabile e funzionale, centrata sugli Assistiti e sulla qualità.

Gestiamo direttamente l’Assistito, non lo affidiamo a risorse junior o in formazione. L’eventuale scalabilità è garantita attraverso il ricorso a una rete di avvocati partner selezionati per competenza e affidabilità. Mettiamo a disposizione in ogni caso risorse senior da noi coordinate, in modo da mantenere un’alta professionalità.

Abbiamo fatto una precisa scelta di dematerializzazione, che ci consente di abbattere i costi fissi e di proporre un’assistenza di qualità elevata ma accessibile.

[leggi di meno]

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Oltre 7.000 linee telefoniche abusivamente intestate a persone ignare. Almeno 644 interessati colpiti, cifra tuttavia destinata a «un significativo incremento». Un illecito cominciato addirittura nel 2003 o nel 2001, e tuttora in essere.

Queste sono le prime, e già imponenti, coordinate numeriche della gravissima violazione di dati personali (data breach), ancora in fase di perimetrazione, accertata con il provvedimento n. 176/2017 del 6 aprile scorso dal Garante per la protezione dei dati personali.

L’atto amministrativo, finalmente pubblicato anche sul sito dell’Autorità di controllo, è stato adottato nei confronti della società Telecom Italia s.p.a. ad esito di una complessa procedura di reclamo patrocinata dallo studio legale Grieco Pelino Avvocati, che ha assistito un proprio cliente rimasto vittima dell’illecito. Leggi tutto

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Blog giuridico

Lo studio legale

Lo studio legale

Siamo uno studio legale fortemente proiettato all’innovazione, con una solida e riconosciuta competenza nel diritto  dell’informatica.

Partecipiamo anche alla ricerca e divulgazione giuridica, cfr. da ultimo l’ampio commentario Giuffré “Codice della disciplina privacy” (per maggiori informazioni ved. più in basso).

Per ascoltare le interviste radiofoniche in materia di diritto digitale alla radio dell’avvocatura – IusLaw web radio, clicca qui.

Ci coordiniamo con una rete di colleghi in modo da fornire pacchetti integrati di assistenza: es., revisione congiunta della data protection, dei modelli ex d.lgs. 231/2001 e della gestione della proprietà intellettuale. Ciò facilita un approccio coordinato.

Per una panoramica delle nostre attività, scarica la nostra brochure: Brochure 2020 GPA_light.

Competenze digitali e tradizionali

Assistiamo i nostri Clienti non solo in materia di diritto protezione dei dati personali e diritto digitale ma anche negli ambiti giuridici più tradizionali civilistici/commerciali, giuslavoristici, penali.

Consulenza e litigation

Oltre a occuparci di consulenza, audit privacy, formulazione di pareri legali, contrattualistica, ossia di attività stragiudiziale, assistiamo i nostri Clienti nel contenzioso giurisdizionale (innanzitutto Tribunale) e amministrativo (Garante per la protezione dei dati personali).

Il valore aggiunto? Se si conoscono fin da subito i rischi del possibile contenzioso, si individuano fin da subito le strategie migliori, anticipando e prevenendo i margini di esposizione legale.
Ciò permette già in fase di consulenza:

      • di soppesare concretamente gli sviluppi processuali/procedurali delle scelte operate;
      • di evitare i rischi di dispersione informativa tipici dei passaggi di consegne da consulente a litigator;
      • di fornire un’assistenza a 360° gradi.

      Formazione

      Abbiamo una consolidata esperienza nella formazione sul GPDR, rivolta a imprese, PA e professionisti. Abbiamo svolto attività formativa sia direttamente sia per conto di Università, enti di primario rilievo in materia di protezione dei dati personali, società di formazione di livello nazionale. Contattaci per maggiori informazioni.

      Ricerca e sviluppo

      Volumi monografici e commentari:

      Avv. Enrico Pelino: co-direttore dell’opera con il Collega Luca Bolognini.
      Avv.ti Enrico Pelino e Luciana Grieco: co-autori dell’opera (con AA.VV.)

      Avv. Enrico Pelino: co-direttore e co-autore

      Avv. Enrico Pelino: co-direttore e co-autore

      Pro bono

      Collaboriamo pro-bono con il Centro Nazionale Anti Cyber-bullismo.

      Lo studio legale Grieco Pelino Avvocati ha sede a Bologna e presta assistenza in tutta Italia.

      [leggi di più]

      La nostra visione

      Abbiamo creato Grieco Pelino Avvocati avendo in mente un luogo di lavoro senza filiere e complesse gerarchie interne, con una struttura minima, scalabile e funzionale, centrata sugli Assistiti e sulla qualità.

      Gestiamo direttamente l’Assistito, non lo affidiamo a risorse junior o in formazione. L’eventuale scalabilità è garantita attraverso il ricorso a una rete di avvocati partner selezionati per competenza e affidabilità. Mettiamo a disposizione in ogni caso risorse senior da noi coordinate, in modo da mantenere un’alta professionalità.

      Abbiamo fatto una precisa scelta di dematerializzazione, che ci consente di abbattere i costi fissi e di proporre un’assistenza di qualità elevata ma accessibile.

      [leggi di meno]