Archivio mensile:dicembre 2017

Nuove Faq sul Responsabile della Protezione dei dati (RPD-DPO) in ambito pubblico

Rispondi

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell’art. 37, par. 1, lett. a), del RGPD?

L’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Il RGPD non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida), ne rimette l’individuazione al diritto nazionale applicabile(1).

Allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i RPD designati in via obbligatoria(2).

 

2. Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

Il RGPD non fornisce specifiche indicazioni al riguardo. È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al RPD – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del RGPD fissa alcune garanzie essenziali per consentire ai RPD di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il RPD “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i RPD “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che «il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».

Inoltre, sempre ai sensi dell’art. 38, par. 3, del RGPD, il RPD «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità,  che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

 

3. Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?

Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del RGPD) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD(3).

 

4. Con quale atto formale deve essere designato il RPD?

Il RGPD prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva dell’adempimento.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD(4) (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).

Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità(5), i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del RGPD(6)) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.

Come chiarito nelle Linee guida, in base all’art. 37, par. 7, non è necessario -anche se potrebbe costituire una buona prassi, in ambito pubblico- pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante). Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b)(7).

 

5. La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

Il RGPD prevede, all’art. 38, par. 2, che «il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».

Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD. Come riportato anche nelle Linee guida, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto».(8)

All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di RPD (mediante l’atto di designazione di cui sopra).(9)

 

6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?

Alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più RPD.

Al riguardo, si rileva che l’unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un RPD interno, sia che questa ricada su un RPD esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del RPD che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del RPD, anche, se del caso, operando quali componenti del suo gruppo di lavoro.(10)

 

7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?

Il RGPD consente l’assegnazione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (art. 38, par. 6e che consentano al RPD di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (art. 38, par. 2).

A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.

In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di RPD  al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti  che il RGPD attribuisce al RPD.

Rispetto all’assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Riguardo agli ulteriori compiti e funzioni in capo al RPD, particolare attenzione andrebbe infine prestata nei casi di unico RPD tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di RPD esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio il RPD dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

Garante Privacy: no al social spam, per il marketing serve il consenso

Rispondi

No al social spam. Se un indirizzo email è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing.

L’intervento del Garante ha preso l’avvio dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione.

Dagli accertamenti, svolti presso la società dall’Autorità in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social.

La società solo negli ultimi due anni ha inviato circa 100.000 email pubblicitarie.

Il Garante, anche sulla base delle Linee guida del 4 luglio 2013  che hanno disciplinato peraltro proprio il fenomeno del ”social spam”, ha quindi ritenuto illecito il trattamento degli indirizzi di posta elettronica.

I dati reperiti sui social network e, più in generale, presenti on line, non possono essere utilizzati liberamente ha spiegato il Garante. Non ha infatti alcun fondamento normativo  la tesi sostenuta dalla società secondo la quale l’iscrizione a un social network implica un consenso all’utilizzo dei dati personali per l’attività di marketing. Tale finalità  non è compatibile con le funzioni dei social network che sono preordinate alla condivisione di informazioni e allo sviluppo di contatti  professionali, e non alla commercializzazione di prodotti e servizi. Opinione sostenuta anche dalle Autorità per la privacy europee, le quali hanno espressamente escluso che l’iscrizione a un servizio presente sul web  comporti la legittimità del trattamento dei dati personali da parte di altri partecipanti alla medesima piattaforma ai fini dell’invio di informazioni commerciali.

Oltre alla contestazione amministativa già effettuata  dal Nucleo Speciale per il trattamento senza il necessario consenso, l’Autorità si è riservata di contestare alla società anche la violazione  dell’obbligo di rilascio dell’informativa. Alla società è stato  prescritto infine di modificare il modello di richiesta di consenso presente sul sito, in modo che risulti chiara la finalità di marketing.

Fonte: Garante Privacy

Volare rispettando la privacy

Rispondi

l’Italia è letteralmente invasa da mirabolanti quanto accessibili giocattoli tecnologici: i droni.
Le norme per regolarne l’utilizzo sono numerose e stringenti, ma gli utilizzatori spesso le ignorano o fingono di ignorarle, con tutti i rischi del caso per la protezione dei dati.

Riccardo Delise, program manager di Enac per i mezzi aerei a pilotaggio remoto, spiega che “il nostro Paese può essere considerato all’avanguardia, tuttavia, siccome ci troviamo di fronte a un settore giovane, non esiste ancora piena consapevolezza da parte degli utilizzatori di quali sono i propri obblighi”.

USO PERSONALE ED USO PROFESSIONALE DEI DRONI

Gli aeromodelli – spiega Delise – sono droni utilizzati a scopo ludico, mentre gli  aeromobili a pilotaggio remoto sono usati a scopo professionaleUno stesso drone può essere considerato aeromodello o aeromobile a seconda dell’utilizzo e, di conseguenza, ne derivano obblighi e condotte molto diversi.

Con un aeromodello a scopo ludico è possibile volare solo al di fuori dei centri abitati, aree considerate “non critiche”. Con un aeromobile a scopo professionale è possibile invece sorvolare le aree critiche (le città). Fino a oggi Enac ha rilasciato 5.500 autorizzazioni per mezzi a pilotaggio remoto, di cui 5mila per aree non critiche e 500 per aree critiche. Possono circolare nelle aree critiche pur senza autorizzazione i droni al di sotto dei 300 grammi di peso con protezione alle eliche e una velocità inferiore ai 60 chilometri orari.

DRONI E PROTEZIONE DEI DATI

La privacy deve essere considerata attentamente quando il drone è dotato di dispositivi in grado di scattare foto o fare video.

Se è possibile individuare il pilota del drone, si possono chiedere a lui informazioni su come intende utilizzare le riprese ed eventualmente negare il consenso al trattamento dei dati raccolti, specie se sono previste forme di diffusione delle immagini. E nel caso si ritenesse di essere stati vittime di violazioni della propria privacy, ci si può rivolgere al Garante per la protezione dei dati personali o, in alternativa, all’Autorità giudiziaria.

«Fatti salvi gli usi a fini giornalistici – precisa Giuseppe Busia, segretario generale del Garante della privacy – se si vogliono diffondere le riprese fatte col drone è necessario il consenso dei soggetti ripresi. Quando è difficile raccogliere il consenso, i soggetti devono essere irriconoscibili o perché ripresi da lontano o con volti offuscati».

Bisogna quindi ricordarsi cosa NON debba essere fatto quando si usa un drone:

  • riprese nelle proprietà private altrui (es. casa, giardino dimestico..)
  • riprese e diffusione di immagini che contengono dati personali come targhe di macchine, indirizzi di casa, ecc.
  • pubblicazione sul web di riprese effettuate in un luogo pubblico come spiagge, strade o parchi senza aver raccolto il consenso dei soggetti ripresi
  • captare volontariamente conversazioni altrui (frammenti di conversazione registrati in modo accidentale possono essere utilizzati solo se non rendono riconoscibile il contesto)

LE INDICAZIONI DEL GARANTE PRIVACY

Visto l’incremento esponenziale dell’utilizzo di questi droni, il Garante della privacy ha cercato di regolamentare la materia attraverso una semplice ma efficace infografica intitolata “Consigli per rispettare la privacy se si usa un drone a fini ricreativi”.

Tale infografica raccoglie validi consigli per rispettare i principi basilari della normativa sul trattamento dei dati personali, oltre che alcuni accenni alle regole previste da Enac in materia di pilotaggio di droni.

In base a quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, i droni, come tutti i dispositivi elettronici, devono rispettare i principi di privacy by design e privacy by default: ovvero tutte quelle misure tecnico-organizzative finalizzate ad assicurare che il trattamento dei dati sia limitato solo a quelli necessari per raggiungere le finalità.

 

Fonte [ilSole24OreGarantePrivacy]

Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia

Rispondi

I nostri dati personali, a partire probabilmente da quelli sanitari, potranno finire nelle mani delle multinazionali, a scopi di ricerca scientifica o statistici. Senza bisogno del consenso dell’interessato e senza nemmeno doverlo avvisare.

Il tutto è stato autorizzato, a sorpresa, da due articoli comparsi nella “legge europea 2017” (la 167, con cui l’Italia recepisce obblighi comunitari) uscita in Gazzetta ufficiale la scorsa settimana. Ed entrata in vigore già dal 12 dicembre.

E’ un implicito via libera dell’Italia a un dossier che aveva suscitato grosse polemiche e l’altolà del Garante della Privacy: l’accordo tra il Governo Renzi e l’Ibm per l’uso dei dati sanitari italiani – a partire da quelli della Lombardia – in cambio dell’apertura a Milano del suo centro Watson Health. Di qualche giorno fa anche una lettera della Commissione europea (Direzione generale Concorrenza) al Governo per ottenere chiarimenti sull’accordo, preoccupata tra l’altro che ci possano essere discriminazioni lesive per i concorrenti di Ibm.
Ibm, come tutte le multinazionali tecnologiche, ha bisogno dei dati dei cittadini per alimentare i propri sistemi di intelligenza artificiale, rendendoli più competitivi in quello che tutti gli esperti considerano il business del futuro. L’intelligenza artificiale, alimentata dai big data, per migliorare la sanità, la gestione delle città e delle utility, tra l’altro. Un mercato miliardario, secondo varie stime: 4 miliardi di dollari previsti nel 2017 solo per i big data nella Sanità, secondo Sns Research, con una crescita del 15% annuo fino al 2030.

In particolare, la legge appena uscita anticipa il regolamento europeo (Gdpr) che entra in vigore a maggio 2018; ma lo fa con una tale genericità e permissività da preoccupare gli esperti. “Tra qualche giorno sarà possibile dare, per scopi di ricerca scientifica o statistici, tutti i dati degli italiani, con la sola tutela di un’autorizzazione da parte del Garante Privacy prevista in modo troppo generico dalla norma”, dice Francesco Pizzetti, ex garante della privacy e docente ordinario di Diritto Costituzionale presso l’Università di Torino. “La norma non prevede infatti il diritto dell’utente a essere informato né ad accedere a questi dati. Vincola l’autorizzazione del Garante solo al fatto che i dati siano anonimizzati e che sia rispettato il principio di minimizzazione dell’utilizzo.

Ossia che siano usati solo quelli che servono per quella ricerca scientifica”, aggiunge.

“Non si comprendono le ragioni di tanta urgenza nel fare questa legge. Se non pensando ai grandi interessi di tutte le multinazionali tecnologiche nei confronti del mercato dell’intelligenza artificiale, nutrito dai dati personali dei cittadini”, dice Andrea Lisi, avvocato esperto di questi temi.

Negli ultimi mesi, Ibm ha lavorato ad accordi non solo con il Governo italiano ma anche con quelli di altri Paesi, come Francia e Regno Unito, per ottenere i dati dei cittadini.

Anche l’anonimizzazione apre dubbi e problemi. La norma non chiarisce se sia lo Stato a dover anonimizzare i dati o lo possa fare anche un soggetto privato. Nel secondo caso, significa che l’azienda destinataria avrebbe comunque i nostri dati in chiaro in un qualche momento. Nel primo caso, bisogna assicurarsi che lo Stato sia in grado di reclutare competenze sufficienti per anonimizzare bene i dati. Altrimenti significa mettere comunque a rischio la privacy dei cittadini (i cui dati su malattie e terapie seguite potrebbero finire per esempio nelle mani di cyber criminali o di aziende di assicurazione). E queste competenze, come fatto notare dal Garante al Governo, in Italia sono molto immature rispetto ad altri Paesi europei.

Infine, c’è una questione di fondo, di principio costituzionale, che ora anima il dibattito tra gli esperti e tra i Garanti privacy europei. Migliorare la Sanità con i dati dei cittadini è un valore di interesse pubblico. Allora forse i dati anonimizzati dovrebbero essere resi pubblici. Ma in questo modo nessun soggetto privato avrebbe un reale incentivo a procedere con un trattamento complesso come l’anonimizzazione ed esporsi al rischio di infrazioni al Regolamento Privacy (Gdpr), con conseguenti sanzioni.

Di base, c’è una questione più ampia, che investe i fondamentali stessi della democrazia. Le risorse per fare avanzare la medicina – con l’intelligenza artificiale, per esempio – sono sempre di più nelle disponibilità di soli grandi soggetti privati e sempre meno dello Stato. La sfida per i Governi è trovare modi per conciliare questa situazione con due diritti dei cittadini: alla salute e quello alla privacy. È un difficile equilibrio. Entrambi gli eccessi opposti renderebbero, alla fine, più difficile per i cittadini l’accesso a cure migliori. Norme troppo rigide possono infatti disincentivare gli investimenti di quei soggetti privati (con danno per il settore salute e per l’indotto economico in generale). I quali per altro avrebbero così interesse a investire in Paesi con norme più favorevoli.

Di contro, norme troppo permissive minacciano non solo la privacy dei cittadini; ma anche – per esempio dando troppe prerogative in forma esclusiva a singole aziende – sono incompatibili con l’obiettivo generale di rendere quanto più condivisi possibili i risultati di quegli avanzamenti medici ottenuti con la tecnologia.

Fonte: Repubblica.it
@AlessLongo

Nasce l’Associazione DPO europei

Rispondi

logo

E’ nata la nuova Associazione Data Protection Officer Europei, l’associazione che vuole raccogliere tutti gli attori della privacy (in particolare i DPO) per condivere esperienze, novità e best pratice in ambito Reg. UE 2016/679 e Codice privacy.

L’iscrizione è gratuita e ti consente di accedere alle attività che periodicamente verranno pubblicate, web binar, lezioni di aggiornamento, incontri live, ebook, software inerenti la gestione della privacy.

Presidente è Matteo Rapparini, autore di oltre 20 prodotti editoriali sulla privacy e titolare di Edirama, editore di centinaia di software, corsi on line, ebook per professionisti e aziende.

Per iscriverti clicca qui