EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
05/05/2023 Fino al 6 maggio il focus e' su nuove tecnologie, IA, cybersecurity, digitale e consenso
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Le nuove tecnologie costituiscono l’argomento centrale degli eventi calendarizzati nell’Agenda del Garante fino al 6 maggio. Non mancano eventi che focalizzano l'attenzione su temi come:

  • libertà e liceità del consenso nel trattamento dei dati personali;
  • privacy e innovazione;
  • digitale;
  • intelligenza artificiale;
  • cybersecurity.

Ciascun Ente, privilegiando l’ambito di proprio interesse, può prendere spunto dall’Agenda del Garante per programmare eventi divulgativi al proprio interno a vantaggio dei dipendenti che trattano i dati.

Al fine di promuovere tale virtuosa prassi, di seguito si forniscono le principali indicazioni inerenti i temi oggetto di approfondimento e di studio durante questa prima settimana di Maggio.

Il primo tema che viene preso in considerazione è quello del rapporto tra privacy e innovazione e, più precisamente, tra privacy e innovazione tecnologica.

Il 2 maggio, il Garante ha partecipato, in persona del componente del Collegio, Avv. Scorza, alla presentazione del lavoro di Pier Giorgio Chiara, "Intelligenza artificiale, cybersecurity e data protection nella nuova società digitale: violazioni e prevenzione", vincitore della III edizione del Premio per la miglior tesi di laurea o di dottorato sui temi della protezione dei dati e dell'innovazione per l’anno 2023.

Quest’anno il focus riferito all’innovazione tecnologica è centrato sull'impatto destinato a prodursi sulla protezione dei dati personali dall’intelligenza artificiale, dalla cybersecurity e dalla nuova società digitale. Sul punto il Garante si è già espresso nel senso che la società digitale ha ormai lasciato il posto alla “società algoritmica” nella quale l’intelligenza artificiale assume il ruolo di strumento fondamentale e irrinunciabile, sia nel settore privato sia negli Enti pubblici, a supporto della funzione di indirizzo, della programmazione degli obiettivi strategici, della gestione operativa e, infine, della funzione di controllo sull’attività amministrativa.

Spetta al titolare del trattamento, specie quando il titolare è un Ente pubblico, adottare soluzioni di intelligenza artificiale, di lettura ed elaborazione algoritmica di dati e meta-dati in grado di minimizzare il rischio derivante dai processi di decisione automatizzata sulla vita delle persone fisiche.

La sorveglianza del Garante, sulla tutela dei diritti e delle libertà delle persone, non basta: è necessaria un'adeguata preparazione degli Enti pubblici, dei loro amministratori, dirigenti e funzionari. Lo stesso dicasi per le Imprese. In particolare, gli Enti e le Imprese che intendono utilizzare soluzioni basate sull’intelligenza artificiale, hanno l'onere di adottare o, di definire essi stessi, le garanzie necessarie per il rispetto dei diritti degli interessati. Hanno, altresì, l'onere di adottare anche misure di sicurezza e organizzative necessarie per garantire che la decisione automatizzata, tramite algoritmo, sia conforme alla protezione dei dati personali.

Molti sono gli esempi di cui è già possibile disporre e a cui gli Enti e le Imprese possono guardare.

Per l'installazione di apparati promozionali del tipo ‘digital signage’ o Totem presso una stazione ferroviaria (Provv. Doc. web. N. 7496252 del 21 dicembre 2017), il Garante ha riconosciuto lecito il trattamento soltanto subordinatamente all'adozione e alla osservanza dei necessari requisiti tra cui, in particolare, il requisito dell’informativa, del consenso e degli obblighi di sicurezza (artt. 12, 23 e 32 del Codice nella versione del tempo).

Sul trattamento automatizzato di dati personali contenuti nelle banche dati nell’anagrafe tributaria (c.d.“Redditometro”), il Garante ha definito, per la liceità del trattamento, le garanzie necessarie e si è trattato di garanzie per il rispetto dei diritti degli interessati.

Per la sperimentazione dell’individuazione di profili di evasione, attualmente in corso e basata su l'incrocio di banche dati tributarie a fini anti-evasione, il Garante ha dovuto individuare adeguate misure di sicurezza e organizzative per bilanciare le diverse esigenze di protezione dei dati personali e efficacia del controllo tramite algoritmo.

Infine si pensi alle richieste formulate alla società statunitense che gestisce ChatGPT (OpenAI), dall’Autorità, con proprio provvedimento dello scorso 11 aprile 2023. Come si legge nel Comunicato diramato dal Garante lo scorso 28/04/23, “ChatGPT: OpenAI riapre la piattaforma in Italia garantendo più trasparenza e più diritti a utenti e non utenti europei”.

OpenAI ha spiegato “di aver messo a disposizione degli utenti e non utenti europei e, in alcuni casi, anche extra-europei, una serie di informazioni aggiuntive, di aver modificato e chiarito alcuni punti e riconosciuto a utenti e non utenti soluzioni accessibili per l’esercizio dei loro diritti. Alla luce di questi miglioramenti OpenAI ha reso nuovamente accessibile ChatGPT agli utenti italiani”.

In relazione a tutti questi esempi va ricostruito il dato di quali debbano essere le condizioni minime essenziali che gli Enti pubblici devono tenere presente e devono valutare quando intendono avvalersi di soluzioni basate su intelligenza artificiale.

Guardando anche alle misure adottate da Open AI, si deduce che le PA e gli Enti pubblici devono, quantomeno:

  • redigere e rendere pubblica, sul proprio sito istituzionale, una specifica informativa per illustrare, in modo chiaro e trasparente, quali dati personali e con quali modalità vengono trattati, con particolare riferimento all'uso di algoritmi e all’automazione della decisione derivante dalla raccolta e dalla elaborazione algoritmica dei dati;
  • inserire, nella predetta informativa, le indicazioni relative al trattamento dei dati personali per l'autoapprendimento algoritmico e, per il training dell’algoritmo laddove effettuato;
  • verificare che, prima della registrazione al servizio che fa ricorso all’intelligenza artificiale, l'utente possa accedere all’informativa sul trattamento dei dati nell'ambito del servizio medesimo, inserendo l'informativa nella maschera di registrazione, prima che l'utente effettui la registrazione medesima;
  • adottare, a beneficio degli utenti, le misure di natura organizzativa necessarie per facilitare l'esercizio del diritto di opposizione;
  • adottare, altresì, le misure organizzative necessarie per tutelare i dati personali dei minorenni.

Ad esempio, nel Comunicato diramato dal Garante lo scorso 28/04/23 si legge che, per ChatGPT, Open AI ha inserito, “nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultra tredicenni e, in questo caso, di avere il consenso dei genitori; ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infra tredicenni e prevedendo, nell’ipotesi di utenti ultra tredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio”.

Nell'ambito delle nuove tecnologie, del ricorso all'intelligenza artificiale e agli algoritmi, il consenso al trattamento dei dati personali, sulla base di una informativa chiara e trasparente, è destinato a diventare una condizione di garanzia, la cui presenza (ove necessaria) e il cui contenuto, vanno valutati attentamente per la liceità del trattamento.

In disparte quanto è emerso dalla Conferenza "Raid Digital 2023 - Regulation of AI, Internet and Data" del 3 maggio e dalla Conferenza ITASEC23 del 4 maggio, a cui pure ha partecipato il Garante, il consenso, riguardato sotto i profili della libertà e della liceità, ha costituito oggetto dell'evento “Libertà e liceità del consenso nel trattamento dei dati personali", programmato per oggi, il 5 maggio, con il contributo partecipativo del Garante medesimo.

La prima sessione, moderata dal Dott. Pasquale Stanzione, Presidente del Garante, ha trattato l’argomento del consenso al trattamento in relazione al controllo di liceità; del rapporto tra liceità e libertà; del consenso nell'ambito del contratto e, ancora, del rapporto tra consenso e libertà.

La seconda sessione, moderata da Ginevra Cerrina Feroni, Vice Presidente del Garante ha trattato l’argomento della giurisprudenza relativa al consenso, sia in ambito interno che in ambito europeo, dei provvedimenti del Garante relativi al consenso e della legislazione europea sui dati; del divieto di discriminazione e del consenso al trattamento da parte dei soggetti vulnerabili.

All’interno della presentazione dell'evento si legge che: "il consenso al trattamento dei dati personali è da tempo al centro dell'attenzione della comunità scientifica, accanto al fondamentale profilo della Libertà, al quale la dottrina, le autorità garanti e le corti, hanno dedicato una approfondita riflessione, il convegno si propone di analizzare il profilo della liceità attraverso un sindacato sulla legittimità delle specifiche finalità del trattamento. Il team si inserisce all'interno della più ampia indagine sulla qualificazione del consenso al trattamento dei dati personali come atto di autonomia privata, sulla spinta della più recente legislazione Europea sul diritto dei dati”.

L'ulteriore evento, presente nella Agenda dell’Autorità Garante il 6 maggio torna, ancora una volta, sul tema della nuova società digitale e della protezione dei dati in tale ambito.

Questa volta, tuttavia, il profilo che caratterizza l'evento è il profilo educativo e didattico.

Si tratta, infatti, del Convegno "Digitale a scuola in famiglia: ci diamo delle regole? L'aspetto giuridico e legislativo”.

Molte sono le iniziative promosse dal Garante per la scuola e gli alunni. Tra queste, nello scorso marzo 2023:

  • il Workshop "La scuola a prova di privacy: la figura del responsabile della protezione dei dati (RPD/DPO)”
  • Seminario “La scuola a prova di privacy: istruzioni per l’uso”.

Nell'ambito del Workshop, l’approfondimento del trattamento dei dati personali relativi alla salute degli alunni, illustrato dal dirigente del Dipartimento realtà pubbliche del Garante, Dott. ssa Laura Di Angelo, riveste un sicuro interesse anche per le pubbliche amministrazioni diverse dalle istituzioni scolastiche e, in particolare, per gli Enti locali tenuti a fornire alle scuole medesime il servizio di assistenza per gli alunni diversamente abili.

L'approfondimento è stato effettuato sulla base di una parte teorica e dell'esame di alcune decisioni del Garante tra le quali si segnala, per l'interesse che può avere nello scambio delle comunicazioni tra istituzioni scolastiche ed Enti locali, l 'uso degli acronimi DSA, BES e “Alunno H”.

Al riguardo il Garante ha ritenuto che:

  • il termine “Alunno H”, normalmente utilizzato in ambito scolastico per indicare gli alunni con disabilità, consente di ricavare informazioni sullo stato di salute della persona a cui tale termine è attribuito;
  • l'acronimo DSA, normalmente utilizzato in ambito scolastico per identificare alunni portatori di disturbi specifici di apprendimento,( es. dislessia, disgrafia, disortografia e discalculia) consente di ricavare informazioni sullo stato di salute della persona a cui tale termine è attribuito come pure l'acronimo BES, identificativo di alunni caratterizzati da bisogni educativi speciali, in presenza di uno svantaggio scolastico riferibile a problematiche di diverso ordine come, genericamente, disabilità, disturbi evolutivi specifici, svantaggio socio-economico, linguistico e culturale.

Nello scambio della corrispondenza tra le istituzioni scolastiche e gli Enti locali, per l'organizzazione e la gestione del servizio di assistenza per gli alunni diversamente abili, occorre allora tenere conto di quanto ritenuto dal Garante, evitando l'utilizzo di acronimi che possano identificare lo stato di salute dell’alunno. Le informazioni devono essere minimizzate e contenute solo alla natura del servizio richiesto, alla quantità di ore necessarie in relazione al numero degli alunni coinvolti o da coinvolgere nel servizio di assistenza.

In disparte l'informazione e la formazione ai dipendenti degli Enti locali, coinvolti nel trattamento di questi dati personali, nulla osta che gli Enti locali medesimi possano promuovere, in analogia all’attività divulgativa del Garante, iniziative di divulgazione sul trattamento dei dati personali relativi ai minori con particolare riferimento agli alunni interessati che devono fruire dei servizi scolastici nonché ai minori interessati dai servizi sociali.

Team Entionline

Servizio di supporto specialistico All privacy Entionline

Categorie
News
Parole chiave
Innovazioni tecnologiche
Consenso
Cybersecurity
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits