00:00:00
[Musica]
00:00:12
vediamo quali regole detta hal gill ipr
00:00:14
per il trattamento dei dati personali
00:00:17
primo il trattamento va da sé deve
00:00:19
essere innanzitutto lecito secondo
00:00:23
bisogna raccogliere il minor numero di
00:00:25
dati possibile solo quelli strettamente
00:00:28
necessari
00:00:29
questo principio va sotto il nome di
00:00:31
principio di minimizzazione del
00:00:33
trattamento
00:00:34
terzo i dati vanno conservati per un
00:00:37
periodo di tempo limitato non oltre
00:00:40
quello necessario lo scopo e se proprio
00:00:42
si vuole conservare per un tempo più
00:00:44
lungo
00:00:45
allora bisogna anonimizzare le quattro
00:00:47
vigili pr impone che il trattamento sia
00:00:50
trasparente il principale strumento di
00:00:53
trasparenza
00:00:54
l'informativa cioè quel documento che
00:00:56
contiene la spiegazione di tutte le
00:00:59
modalità con cui verranno trattati i
00:01:01
dati e gli scopi per cui verranno
00:01:03
trattati il gp pr richiede che
00:01:05
l'informativa se scritta in un
00:01:07
linguaggio comprensibile a destinatari
00:01:09
se per esempio tra i destinatari ci sono
00:01:12
dei minori cosa che succede spesso nel
00:01:15
caso della scuola allora l'informativa
00:01:17
può anche contenere icone disegni o
00:01:20
infografiche quinto punto la
00:01:23
conservazione dei dati personali
00:01:24
deve essere sicura cioè tale da evitare
00:01:27
la perdita la distruzione o la
00:01:30
diffusione indebita dei dati personali
00:01:32
per riassumere tutta questa infausta
00:01:35
casistica gli esperti usano
00:01:37
un'espressione specifica data breach
00:01:42
[Musica]
00:01:46
in inglese brick significa materialmente
00:01:50
breccia e in senso figurato violazione è
00:01:53
data breach è appunto una violazione
00:01:56
della sicurezza dei dati che comporta o
00:01:59
accidentalmente cioè per sbaglio o in
00:02:02
modo illecito e voluto la distruzione
00:02:05
la perdita la modifica la divulgazione
00:02:07
all accesso ai dati personali
00:02:11
un data breach occidentale può
00:02:12
consistere anche nell'invio al
00:02:14
destinatario sbagliato di una
00:02:16
comunicazione che contiene i nostri dati
00:02:19
personali
00:02:19
per esempio è accaduto che un centro
00:02:22
medico inviasse per email
00:02:24
il referto di un esame clinico al
00:02:26
destinatario sbagliato un fatto
00:02:28
evidentemente molto grave se invece
00:02:30
parliamo di data breach illecito
00:02:32
intenzionale ci vengono subito in mente
00:02:34
gli hacker recentemente per esempio si è
00:02:37
molto parlato dell'hackeraggio ai danni
00:02:39
della compagnia aerea easyjet
00:02:41
quest'ultima compagnia ha subito un data
00:02:44
breach e di dimensioni gigantesche con
00:02:47
l'accesso a oltre 9 milioni di indirizzi
00:02:49
email dei clienti e oltre 2.000
00:02:52
relazioni dei dati delle carte di
00:02:54
credito in caso di data breach il
00:02:56
titolare del trattamento deve valutare i
00:02:58
danni e nel caso informare il garante
00:03:01
per la protezione dei dati personali e
00:03:03
gli interessati entro 72 ore e si tratta
00:03:07
evidentemente di un adempimento
00:03:08
piuttosto doloroso perché bisogna
00:03:11
mettere in piazza una grave défaillance
00:03:13
della propria organizzazione
00:03:15
a questo punto è importante sottolineare
00:03:17
una cosa con il dato belice siamo in
00:03:21
presenza di una diffusione patologica di
00:03:23
dati personali
00:03:24
in altre parole siamo nella patologia
00:03:26
della circolazione dei dati personali e
00:03:28
quindi è normale che il gdp r faccia di
00:03:31
tutto per evitarlo
00:03:32
questo però non ci deve far pensare che
00:03:34
il gdp r miri a contrastare la
00:03:37
circolazione dei dati personali
00:03:39
di per sé o che il suo ideale sia quello
00:03:42
di avere i dati personali chiusi in
00:03:44
cassaforte
00:03:44
le cose non stanno affatto così anzi
00:03:49
[Musica]
00:03:53
proviamo a leggere il titolo esteso del
00:03:56
gdp air regolamento sulla protezione dei
00:03:59
dati personali delle persone fisiche e
00:04:02
sulla libera circolazione dei dati
00:04:05
quindi il gdp r non si occupa solo di
00:04:07
protezione di dati personali ma anche
00:04:10
della loro libera circolazione e sarebbe
00:04:13
un errore pensare che il principio della
00:04:15
libera circolazione dei dati personali
00:04:17
corrisponde a solo a interessi economici
00:04:20
privati
00:04:21
la circolazione dei dati infatti unita a
00:04:24
strumenti di elaborazione sempre più
00:04:26
potenti e ormai cruciale per la gestione
00:04:28
di una serie molto ampia di ambiti
00:04:31
davvero strategici la salute i
00:04:33
cambiamenti climatici le migrazioni
00:04:36
l'energia i trasporti e tanti altri
00:04:39
ancora
00:04:40
quindi in ballo non ci sono solo
00:04:42
interessi economici privati ma anche la
00:04:45
governance di ambiti di interesse comune
00:04:48
per questo motivo i gdp air afferma che
00:04:50
i dati devono poter circolare
00:04:52
liberamente
00:04:53
fermo restando ovviamente tutto quel
00:04:55
sistema di robuste tutele che lo stesso
00:04:58
g dpr prevede parafrasando luciano
00:05:00
floridi uno dei massimi esperti di etica
00:05:03
digitale non dobbiamo procedere né con
00:05:06
il piede sull'acceleratore né con la
00:05:08
mano sul freno a mano ma con le mani sul
00:05:10
volante
00:05:12
[Musica]
00:05:16
se c'è una figura che è chiamata a
00:05:19
impugnare quel volante con grande
00:05:21
responsabilità quella è la figura di chi
00:05:24
gestisce i nostri dati personali e
00:05:26
impareremo presto che si chiama titolare
00:05:29
del trattamento in capo al titolare del
00:05:32
trattamento il gdp r introduce un
00:05:34
concetto nuovo anche se in realtà è già
00:05:37
nota da tempo nell'ambito della
00:05:39
responsabilità sociale dell'impresa
00:05:41
questo concetto è il concetto di
00:05:43
accountability accountability significa
00:05:47
responsabilità ma con una sfumatura di
00:05:49
significato che il termine italiano non
00:05:51
rende immediatamente evidente infatti si
00:05:54
può essere responsabili di per esempio
00:05:57
responsabili di una certa azione
00:05:59
responsabili di un reato e si può essere
00:06:02
responsabili per come quando diciamo che
00:06:05
i genitori sono responsabili per i loro
00:06:07
figli
00:06:08
intendendo con ciò che non solo
00:06:10
rispondono nel caso in cui i figli
00:06:11
combinino qualche guaio ma che sono
00:06:14
responsabili per la loro crescita la
00:06:16
loro formazione
00:06:17
la loro vita ecco il concetto di
00:06:21
accountability allude proprio a questa
00:06:23
seconda sfumatura di significato
00:06:26
il titolare del trattamento non deve
00:06:27
limitarsi come accadeva in precedenza ad
00:06:30
adottare le cosiddette misure minime
00:06:33
necessarie
00:06:33
no è chiamato ad adottare misure
00:06:35
adeguate a tutelare i dati personali
00:06:38
deve essere efficace nei risultati
00:06:40
praticamente e in caso di controlli deve
00:06:44
essere sempre in grado di dimostrare che
00:06:46
le misure che ha adottato sono
00:06:47
effettivamente efficaci ai fini del gdp
00:06:51
r
00:06:53
[Musica]
00:06:57
un'altra importante novità introdotta da
00:07:00
gil ipr è quella di privacy by design e
00:07:03
privacy by default
00:07:05
entrambe rappresentano un rimedio
00:07:07
all'uso scorretto dei nostri dati
00:07:09
personali e obbediscono al principio per
00:07:11
cui prevenire è meglio che curare
00:07:13
privacy by design significa che bisogna
00:07:17
prevenire i rischi agendo a monte la
00:07:20
privacy deve essere incorporata fin
00:07:22
dalla fase di progettazione nelle misure
00:07:24
tecniche e organizzative adottate
00:07:27
facciamo l'esempio di una gita
00:07:29
scolastica
00:07:30
invece di fare prima tutto il programma
00:07:33
della gita e sottoporlo solo poi
00:07:35
successivamente al controllo di un
00:07:37
esperto di privacy
00:07:38
molto meglio progettare fin dall'inizio
00:07:41
tutto il programma
00:07:42
tenendo presente il tema della privacy
00:07:45
veniamo ora al concetto di privacy by
00:07:48
default privacy by default
00:07:51
significa che bisogna adottare misure
00:07:53
che garantiscono la privacy per
00:07:55
impostazione predefinita default ha
00:07:58
appunto cioè le misure adottate devono
00:08:00
garantire già di default che i dati
00:08:03
forniti non siano eccessivi non siano
00:08:05
accessibili a un numero indefinito di
00:08:07
persone non siano conservati per un
00:08:09
tempo troppo lungo
00:08:11
avete presente quando riempito un form
00:08:13
online e alcuni campi sono
00:08:15
contrassegnati da un asterisco
00:08:17
e finché non gli avete riempiti non
00:08:18
potete andare avanti
00:08:20
in pratica siete obbligati a fornire
00:08:22
quei dati bene in base al principio
00:08:23
della privacy by default non deve mai
00:08:26
accadere che fa in campi asterisk ati ce
00:08:29
ne siano alcuni inerenti a dati che non
00:08:31
sono necessari per il servizio che state
00:08:33
richiedendo
00:08:36
[Musica]
00:08:40
abbiamo quasi finito ma come vi dicevo
00:08:43
all'inizio del video vorrei spendere
00:08:44
ancora un paio di parole sul tema
00:08:46
dell'informativa ora noi tutti sappiamo
00:08:49
che la maggior parte degli utenti medi
00:08:52
diciamo pure la maggior parte di tutti
00:08:54
noi
00:08:54
raramente si mette a leggere davvero
00:08:56
l'informativa privacy con una battuta
00:08:58
potremmo dire che spesso gli utenti sono
00:09:01
disattenti by default se non ci succede
00:09:05
quasi mai qualcosa di particolarmente
00:09:07
grave e perché esiste tutto un sistema
00:09:09
di norme pensate possa per tutelarci e
00:09:12
ig dpr lavora proprio per questo ma ciò
00:09:15
non significa che dobbiamo applicare a
00:09:17
un minimo di responsabilità personale e
00:09:19
di accortezza e per questo voglio fare
00:09:22
con voi un piccolo esperimento prendiamo
00:09:25
un'informativa sui dati personali di
00:09:27
quello che attualmente il social network
00:09:28
più popolare tra i ragazzi nonché al
00:09:31
centro di una contesa tecnologico
00:09:34
politica fra gli stati uniti e la cina
00:09:36
tik tok le statistiche vi consentono di
00:09:39
affermare che la maggior parte di voi
00:09:41
ragazze e ragazzi che state guardando
00:09:43
questo video all asp di tik tok
00:09:45
scaricata sul cellulare ma quanti di voi
00:09:48
quando l'hanno scaricata hanno anche
00:09:50
eletto davvero l'informativa privacy
00:09:53
ecco su questo non ho dati ma penso di
00:09:57
poter dire molto pochi quindi ora veneri
00:10:00
porterò un pezzo salvo qualche taglio è
00:10:03
esattamente il testo letterale
00:10:04
dell'informativa privacy tik tok
00:10:06
raccogliamo informazioni che ti
00:10:08
riguardano quando utilizzi la
00:10:09
piattaforma anche nel caso in cui
00:10:11
utilizzi l'app senza un account
00:10:13
raccogliamo il nome utente la data di
00:10:16
nascita indirizzo email e o il numero di
00:10:19
telefono
00:10:19
le informazioni che divulghi nel profilo
00:10:21
utente e la fotografia o il video del
00:10:23
profilo
00:10:24
l'operatore di telefonia mobile le
00:10:26
impostazioni relative al fuso orario la
00:10:29
versione dell'app che stai utilizzando
00:10:31
raccogliamo anche informazioni
00:10:33
riguardanti il dispositivo che stai
00:10:35
utilizzando come il modello la tua
00:10:37
risoluzione dello schermo il tuo sistema
00:10:40
operativo le impostazioni quando
00:10:42
utilizzi la piattaforma sul dispositivo
00:10:44
portatile
00:10:45
raccogliamo informazioni sulla tua
00:10:47
posizione anche tramite gps riguarda i
00:10:51
tuoi amici utilizziamo
00:10:52
capiti che hai per tali persone per
00:10:54
esempio nella rubrica del tuo telefono o
00:10:56
nell'elenco degli amici di facebook
00:10:59
trattiamo i contenuti che generi e che
00:11:01
visualizzi sulla piattaforma ivi
00:11:03
comprese le preferenze date selezionate
00:11:05
le fotografie ei video che carichi i
00:11:09
tuoi commenti
00:11:10
raccogliamo informazioni tramite
00:11:12
sondaggi sfide e competizioni a cui
00:11:14
prende parte
00:11:16
raccogliamo anche la frequenza con cui
00:11:18
utilizza la piattaforma le pubblicità
00:11:20
che visualizzi i video che guardi i
00:11:22
problemi riscontrati i contenuti che ti
00:11:24
piacciono i contenuti che salvi su
00:11:26
preferiti le parole che cerchi e gli
00:11:29
utenti che segue
00:11:31
condividiamo le tue informazioni con
00:11:32
partner commerciali altre società dello
00:11:34
stesso gruppo di tik tok inserzionisti e
00:11:37
fornitori di analisi
00:11:39
potrei continuare ancora ma mi fermo qui
00:11:42
diciamo subito che moltissime altre app
00:11:44
anno informative privacy del tutto
00:11:47
simili a questa è che quanto meno il
00:11:49
linguaggio è semplice e chiaro è che
00:11:52
ciascuno di noi è sempre libero di
00:11:53
accettare o rifiutare queste condizioni
00:11:56
quindi nessuna demonizzazione a priori
00:11:58
ma avevate idea che tik tok sapesse
00:12:01
tutte queste cose di voi ci avevate mai
00:12:04
pensato
00:12:04
vi lascio con una frase tratta da un
00:12:06
libro uscito di recente the game di
00:12:09
alessandro baricco un libro che offre
00:12:11
una visione narrativa dell'ecosistema
00:12:13
digitale in cui tutti noi viviamo
00:12:16
si tratta sicuramente di una frase a
00:12:18
effetto ma la ritroviamo citata anche
00:12:20
nella letteratura giuridica quindi
00:12:22
evidentemente con i abbastanza nel segno
00:12:24
fornire i nostri dati personali
00:12:27
sembra essere il prezzo da pagare per i
00:12:29
servizi che coi player i cosiddetti gafà
00:12:32
google amazon facebook apple ci mettono
00:12:35
a disposizione gratuitamente a quanto
00:12:38
pare la regola è questa quando è gratis
00:12:40
quello che stanno veramente vendendo sei
00:12:43
tu forse vale la pena ricordarcelo
00:12:46
quando clicchiamo distrattamente sulla
00:12:48
casilina del consenso
00:12:50
[Musica]
