Università degli studi di Catania Privacy e nuove tecnologie Ignazio Zangara Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Anno Accademico 2008/2009 Nozione La nozione di privacy apparve per la prima volta nel 1890, ad opera di due avvocati, S.D. Warren e L.D. Brandeis, che la definirono come il “diritto ad essere lasciato solo” (“right to be let alone”), cioè diritto a non subire interferenze esterne nella propria vita privata. Privacy è oggi intesa anche come diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono un bene primario della società dell’informazione. Principio passivo Principio attivo Erigere un confine invalicabile, non oltrepassabile, a protezione del singolo e delle sue informazioni personali senza il consenso esplicito del singolo individuo. La libertà di poter compiere scelte personali ed intime in piena autonomia e senza il pericolo di essere influenzato dalle critiche o dalla disapprovazione dell’ambiente circostante. Il quadro normativo La prima legge italiana sulla privacy è la n. 675 del 31/12/1996, denominata Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali Il 1 gennaio 2004 entra in vigore il decreto legislativo n. 196 del 30/06/2003, denominato Codice in materia di protezione dei dati personali. Il Codice – che rappresenta il primo tentativo al mondo di comporre in maniera organica le innumerevoli disposizioni relative, anche in via indiretta, alla privacy – riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti negli anni. Dato personale Art. 4, 1° comma del Codice lett. b) qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; lett. c) dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato. Anche immagini e suoni possono contenere dati personali Dati sensibili Dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Dati giudiziari Dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; Soggetti del trattamento • Garante – Data protection supervisor • Titolare – Data controller • Responsabile – Data processor • Incaricato: una realtà solo italiana • Interessato – Data subject Il Garante per la protezione dei dati personali Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione. Il Garante è organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di entrambe le qualificazioni. I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. Eleggono altresì un vicepresidente, che assume le funzioni del presidente in caso di sua assenza o impedimento. Principali compiti del Garante - Controlla la correttezza dei trattamenti - Esamina i reclami e le segnalazioni - Vieta, in tutto o in parte, il trattamento illecito o non corretto dei dati o dispone il blocco - Segnala al Parlamento e al Governo l’opportunità di interventi normativi richiesti dalla necessità di tutelare i diritti - Esprime pareri - Denuncia i fatti configurabili come reati - Fornisce assistenza Titolare La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza Responsabile La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali Incaricati Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile Interessato La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali Trattamento Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione Diritti dell’interessato Di accesso ai propri dati personali Di conoscere l’origine, le finalità e le modalità del trattamento Di conoscere gli estremi identificativi del titolare, dei responsabili e del rappresentante designato Di conoscere i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza Di aggiornare e/o integrare o cancellare o trasformare in forma anonima i propri dati Trattamenti effettuati con strumenti elettronici Cautele Logiche Fisiche Organizzative Autenticazione informatica Aggiornamento delle misure di sicurezza Documento programmatico sulla sicurezza (DPS) Logiche Fisiche Organizzative Il controllo del mondo digitale Le tecnologie digitali hanno la intrinseca capacità di numerizzare pressoché ogni aspetto della realtà e ampliano la capacità delle tradizionali tecnologie di registrazione e di trasmissione dei dati. Profilazione Videocamere, satelliti, microfoni, bancomat, telefoni cellulari, carte magnetiche, servizi automatizzati, collegati con databases ed agenti intelligenti, generano profili, individuali o collettivi, personalizzati o anonimi, dei soggetti con cui interagiscono. Social network Quando inserisci i tuoi dati personali su un sito di social network, la maggior parte delle volte ne perdi il controllo. I dati possono essere registrati da tutti i tuoi contatti e dai componenti dei gruppi cui hai aderito, rielaborati, diffusi, anche a distanza di anni. A volte, accettando di entrare in un social network, concedi all’impresa che gestisce il servizio la licenza di usare senza limiti di tempo il materiale che inserisci on-line… le tue foto, le tue chat, i tuoi scritti, i tuoi pensieri. Social network Le aziende che gestiscono i social network generalmente si finanziano vendendo pubblicità mirate. Il valore di queste imprese è strettamente legato anche alla loro capacità di analizzare in dettaglio il profilo, le abitudini e gli interessi dei propri utenti, per poi rivendere le informazioni a chi ne ha bisogno. Fonte: Vademecum del Garante per la protezione dei dati personali