g-docweb-display Portlet

Newsletter del 15/11/18 - Enti no-profit, raccolta fondi agevolata - Bonus cultura per i 18enni: via libera del Garante - Gdpr, valutazione di impatto  per i trattamenti transfrontalieri

Stampa Stampa Stampa


 

Enti no-profit, raccolta fondi agevolata
I donatori potranno essere ricontattati per nuove campagne con il loro consenso

 

I donatori che hanno aderito attraverso sms solidali o telefonate da rete fissa a campagne di raccolta fondi promosse da enti no-profit potranno essere informati sull’esito delle iniziative e, se intendono essere ricontattati per nuove campagne, potranno dare il loro consenso in modo semplice tramite il gestore telefonico. Basterà inviare un sms o digitare un tasto sul telefono, al momento della donazione.

Lo ha chiarito il Garante per la protezione dei dati personali in risposta ad alcuni Enti del terzo Settore (Airc, Telethon, Fai, Medici senza frontiere Italia, Associazione italiana sclerosi multipla, Comitato italiano per l’Unicef e Save the Children Italia) che avevano richiesto il parere del Garante sulla possibilità di conoscere i nominativi e i numeri di telefono dei donatori aderenti alle raccolte dopo le recenti modifiche apportate dall’Agcom al Piano di numerazione nazionale [doc. web n. 9058954]

Gli  operatori telefonici  potranno dunque  comunicare agli enti no-profit i dati di quanti hanno donato fondi attraverso sms  o telefonate da rete fissa, verso la numerazione con codice “455”, per permettere agli enti di rendicontare ai donatori i risultati delle iniziative cui hanno aderito. Gli enti potranno ricontattare i donatori per promuovere nuove campagne di fundraising solo nel caso in cui questi ultimi abbiano espresso il loro consenso. 

Il Garante - all’esito di alcuni incontri avuti con gli enti e con gli operatori telefonici, anche mediante la partecipazione dell’associazione di categoria Asstel - ha ritenuto che le attività di  trattamento prese in esame (raccolta fondi per gli enti, addebito del servizio attraverso il credito telefonico e/o in fattura per l’operatore telefonico), pur potendo apparire a prima vista distinte e autonome, devono invece essere considerate un insieme di operazioni che perseguono una finalità comune e si avvalgono di strumenti stabiliti congiuntamente. Enti e operatori telefonici devono essere dunque considerati contitolari del trattamento e, tramite un accordo interno, sono tenuti a stabilire le rispettive responsabilità in merito agli obblighi derivanti dal Regolamento europeo in materia di protezione dei dati personali. 

Il Garante ha chiarito, inoltre, che nell’informativa dei gestori telefonici e degli enti no-profit dovranno essere specificati, già in forma sintetica al momento della donazione (con rinvio ad un’informativa più estesa reperibile sui relativi siti di riferimento), il ruolo di contitolarità dei diversi attori e le differenti finalità di trattamento. Società telefoniche ed enti no-profit dovranno infine mettere a punto un sistema che agevoli l’esercizio dei diritti del donatore: in particolare, quello di revoca del consenso, che, come prevede il Regolamento Ue, deve poter essere esercitato “con la stessa facilità con cui è stato accordato”.

 

 

Bonus cultura per i 18enni: via libera del Garante

 

Via libera del Garante per la protezione dei dati personali al decreto della Presidenza del Consiglio dei Ministri che estende il cosiddetto “bonus cultura” ai ragazzi che compiono 18 anni nel 2018, ma permangono le osservazioni espresse dall’Autorità in precedenti pareri [doc. web n. 9058972].

I giovani potranno ricevere la carta elettronica, che consentirà loro di spendere fino a 500 euro in acquisti culturali (mostre, libri, musei, spettacoli, ecc.), purché in possesso dei requisiti già previsti per i beneficiari: essere residenti nel territorio nazionale e, ove previsto, in possesso di permesso di soggiorno in corso di validità. 

Il Garante non ha rilevato profili di criticità sulle modifiche al decreto che estende l’attribuzione e l’uso della carta elettronica al 2018, tuttavia ha richiamato l’attenzione su alcuni aspetti ancora irrisolti.

Nonostante quanto già osservato nei precedenti pareri rilasciati dall’Autorità per i bonus degli anni 2016 e 2017, le indicazioni sulle modalità di gestione e conservazione dei dati personali trattati, infatti, non risultano ancora disciplinate nel dettaglio. 

Il Garante pertanto ribadisce che le integrazioni prospettate risultano necessarie anche al fine di rendere il decreto pienamente conforme all’art. 6 , comma 3 del Regolamento UE 2016/679. Ai sensi di tale articolo la base giuridica del trattamento dovrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del Regolamento, con particolare riferimento ai periodi di conservazione dei dati, alle operazioni e procedure di trattamento e alla realizzazione e gestione della “piattaforma informatica dedicata”.


 

Gdpr, valutazione di impatto per i trattamenti transfrontalieri
Individuate le tipologie di operazioni che possono presentare rischi elevati per i diritti e le libertà 

 

D’ora in poi, pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione avranno uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati. Il Garante per la privacy ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto. L’elenco recepisce le osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere. [doc. web n. 9058979]

La valutazione di impatto è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura,  l’oggetto, il contesto o le finalità - può presentare un  rischio elevato per i diritti e le libertà delle persone.  Nell’elenco il Garante ha indicato, tra gli altri,  trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco, in corso di pubblicazione nella Gazzetta ufficiale, non è esaustivo ed è stato adottato applicando il “meccanismo di coerenza”, uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea. 

Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che Pa e aziende hanno  l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto. Tra i criteri individuati nelle Linee guida figurano, ad esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un  contratto. 

 

 

Protezione dati, Conferenza internazionale: approvata dichiarazione su Etica e AI

 

Maggiore trasparenza e vigilanza sulle decisioni assunte grazie all’uso dell’intelligenza artificiale, difesa dei diritti degli individui, più forte collaborazione internazionale tra le Autorità di protezione dati, supporto alle attività educative sviluppate su piattaforme di e-learning.

Queste alcune delle linee strategiche definite dalle Autorità per la protezione dei dati, nel corso della quarantesima conferenza internazionale (The International Conference of Data Protection and Privacy Commissioners – ICDPPC) dal titolo “Debating Ethics: Respect and Dignity in Data Driven Life” che si è tenuta a Bruxelles dal 22 al 26 ottobre scorso.

Nel corso dell’incontro - cui hanno preso parte 236 delegati di 76 Paesi – è stata approvata la “Dichiarazione su etica e protezione dei dati nell’intelligenza artificiale” che ha visto tra gli estensori il Garante italiano. Nella Dichiarazione vengono definiti sei principi cardine, a tutela dei diritti fondamentali e della dignità della persona, che dovrebbero essere rispettati  - in tutto il mondo - da ogni soggetto coinvolto nello sviluppo o nell’utilizzo di sistemi di intelligenza artificiale (AI). 

In base ai principi delineati dai Garanti privacy, la progettazione e l’utilizzazione delle tecnologie di AI dovrebbero essere conformi, ad esempio, al principio di correttezza, garantendo che vengano utilizzate soltanto per facilitare lo sviluppo umano senza ostacolarlo o minarlo. Nella dichiarazione etica, si sottolinea l’importanza di responsabilizzare tutti i soggetti coinvolti, attivando forme di vigilanza continua e definendo processi verificabili di governance dell’AI. E’ inoltre necessario, secondo i Garanti del mondo, migliorare la trasparenza e l’intelligibilità dei sistemi di AI, fornendo informazioni adeguate sulle loro finalità e sugli effetti causati, al fine di verificarne il costante allineamento con le aspettative delle persone e permettere un effettivo “controllo umano”.

Particolare attenzione dovrà essere posta alla “progettazione responsabile” applicando – sin dalle sue prime fasi – i principi  di privacy-by-design e di privacy-by-default. In considerazione delle sfide poste dallo sviluppo dell’intelligenza artificiale, le Autorità hanno poi deciso di istituire un gruppo di lavoro permanente che possa monitorarne gli sviluppi. Il testo della dichiarazione è ora sottoposto a consultazione pubblica, al fine di ampliarne la portata e favorirne la condivisione degli obiettivi.

Durante i lavori, i Garanti hanno approvato anche cinque risoluzioni. Quella dedicata all’ “e-learning” enfatizza i benefici nell’utilizzo di strumenti on-line dedicati alla formazione di giovani ed educatori, ma invita al rispetto della privacy degli utenti sin dalle prime fasi di progettazione di tali piattaforme. Una seconda risoluzione è rivolta al miglioramento della cooperazione tra Autorità di protezione dei dati e quelle dei consumatori, al fine di rendere gli strumenti di tutela internazionale più efficaci.

Altre tre risoluzioni adottate riguardano il futuro della Conferenza internazionale, regole e procedure per migliorarne il lavoro, nuovi parametri e strumenti per il monitoraggio e la comparazione del livello di protezione della privacy su scala internazionale.

Il prossimo forum annuale delle Autorità privacy di tutto il mondo si terrà in Albania nel 2019.

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 

I principali diritti previsti dal Regolamento UE 2016 679 – online l’8 novembre 2018 

 

 

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it