Regolamento Privacy GDPR 2016/679 - come impatterà su FOIA e Open data?
104 views
Skip to first unread message
monica.palmirani
May 8, 2016, 2:31:31 PM5/8/16
to spaghett...@googlegroups.com
Come accennato a SOD16 nella mia relazione sul FOIA, dovremo tenere in
conto il nuovo quadro privacy e giocare di anticipo anche per Open Data:
Regolamento 2016/679 (General Data Protection Regulation - GDPR)
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
Direttiva 2016/680:
http://ec.europa.eu/justice/data-protection/reform/files/directive_oj_en.pdf
Il regolamento entrerà in vigore il 25 maggio 2018 in tutti gli stati
membri armonizzando la normativa sulla privacy a livello EU e mettendo
fuori vigore tutte le norme in contrasto, compresa la Direttiva Privacy
95/46/EC. La direttiva 2016/680 deve invece essere recepita entro il 6
maggio 2018.
Per capire a grandi linee quali mutamenti ci aspettano ecco alcuni
strumenti di infografica del Garante Privacy:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361
Grazie a tutti per SOD16, un imperdibile piacere di confronto di belle
teste.
5x1000 AI GIOVANI RICERCATORI
DELL'UNIVERSITÀ DI BOLOGNA
Codice Fiscale: 80007010376
conto il nuovo quadro privacy e giocare di anticipo anche per Open Data:
Regolamento 2016/679 (General Data Protection Regulation - GDPR)
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
Direttiva 2016/680:
http://ec.europa.eu/justice/data-protection/reform/files/directive_oj_en.pdf
Il regolamento entrerà in vigore il 25 maggio 2018 in tutti gli stati
membri armonizzando la normativa sulla privacy a livello EU e mettendo
fuori vigore tutte le norme in contrasto, compresa la Direttiva Privacy
95/46/EC. La direttiva 2016/680 deve invece essere recepita entro il 6
maggio 2018.
Per capire a grandi linee quali mutamenti ci aspettano ecco alcuni
strumenti di infografica del Garante Privacy:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361
Grazie a tutti per SOD16, un imperdibile piacere di confronto di belle
teste.
5x1000 AI GIOVANI RICERCATORI
DELL'UNIVERSITÀ DI BOLOGNA
Codice Fiscale: 80007010376
Alberto
May 8, 2016, 5:22:48 PM5/8/16
to Spaghetti Open Data
Monica, ma grazie anche a te, anche per questa notizia.
Sto guardando l'infografica del garante, ma non è affatto ovvio che limiti il FOIA. Non fraintendermi, sono sicuro che hai ragione quando dici che questo accade. Dico solo che da lì non si capisce.
Per quel poco che so, le "limitazioni al trattamento automatizzato dei dati per prendere decisioni, per esempio in caso di profilazione" si riferiscono a classificatori machine learning, non all'invio di una mail o di un CSV.
Ti e vi rinnovo pubblicamente l'offerta a organizzare un incontro con Julia Reda a Bruxelles per esprimerle la nostra preoccupazione.
monica.palmirani
May 9, 2016, 5:22:04 AM5/9/16
to spaghett...@googlegroups.com
Alberto, tu hai ragione nel dire che l'infografica del Garante non parla di FOIA anche perchè noi non l'abbiamo ancora un FOIA in Italia a cui riferirci.
Però l'infografica ci dice questo, molto fra le righe:
a) Il GDPR include sanzioni più severe per la violazione dei dati personali (fino ad un massimo di 20 milioni di Euro o per le imprese fino al 4% del fatturato mondiale totale annuo);
b) rafforza i diritti dell'interessato, e questo è un bene specie verso i soggetti privati, incluso il diritto di cancellazione da combinarsi con il diritto all'oblio (artt. 16,17,18,19). Significa che passato un certo numero di anni e finita la finalità per la quale i dati/documenti sono stati creati, un individuo (e quindi ancor di più una PA che tratta i dati degli individui) potrà pretendere con maggiore legittimazione di ora di negare l'accesso a documenti in cui compaiono nomi o descrizioni di situazioni che possono portare a riconoscere le persone. Questi principi non sono nuovi, esistono già norme in tal senso nel nostro codice privacy, ma ora sono rafforzate dal GDPR a livello EU e deroghe, eccezioni, scappatoie nel nome dell'interesse pubblico saranno più difficili da sostenere.
Aggiungo due altre informazioni che nell'infografica non ci sono ma sono nel testo del GDPR e sono determinanti per capire la sintesi finale:
c) l'art. 23 del GDPR pone dei limiti agli obblighi e ai diritti di azione del GDPR, in positivo e in negativo, e molte delle categorie che vogliamo "liberare" sono incluse qui in questo articolo che è lo specchio in larga parte dell'art. 24 della L. 241/90. Sarà dura a livello nazionale fare delle linee guida ANAC con questi vincoli europei e nel contempo poter preservare lo spirito del FOIA come noi vogliamo, ma ci proveremo con tutte le nostre armi;
d) non si fa cenno alcuno al "right to know" se non nei confronti dell'individuo.
Del resto lo dice anche il Garante stesso nel suo parere al FOIA che dobbiamo attenderci una stretta prescrittiva dettata dal GDPR:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4772830
Questo articolo inglese è molto utile per capire come anche l'UK sia preoccupata delle ripercussioni del GDPR sul loro FOIA:
http://www.hldataprotection.com/2015/02/articles/consumer-privacy/what-will-be-the-impact-of-the-new-eu-data-protection-regulation-on-the-uks-freedom-of-information-act/
Questo è un altro importante articolo che parla dell'art. 17 (Diritto alla cancellazione («diritto all’oblio»)):
https://www.article19.org/data/files/medialibrary/38202/Comment-on-GDPR-final-A19-EFF.pdf
In realtà un margine di azione c'è nell'art. 6 del GDPR:
"Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e)"
dove c) e e) sono:
"c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;"
" e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;".
Noi dovremmo attivarci sin da subito per sfruttare questa breccia e definire il perimetro del punto e) in accordo con il FOIA così come lo intendiamo, in modo che tutto sia coerente e non cadere nella trappola di avere un FOIA che poi viene castrato dal CDPR nella sua attuazione.
In sintesi:
1. da questo GDPR emerge una maggior tutela dell'individuo (http://194.242.234.211/documents/10160/0/Il+nuovo+Regolamento+europeo+sulla+protezione+dei+dati+-+Infografica.pdf) nel trattamento dei suoi dati personali (questo è un bene se pensiamo al settore privato specie ai grandi motori di ricerca o piattaforme che senza informare l'interessato usano i dati degli individui, li trasmettono a terzi, fuori dai confini EU), ma necessariamente, e in modo speculare, il GDPR crea maggiori difficoltà a esercitare il diritto della collettività di sapere "right to know" e ad aprire i dati in Open Government Data se sono coinvolte persone fisiche;
2. ogni stato membro può definire il suo perimetro per su cosa intende per "interesse pubblico o connesso all'esercizio di pubblici poteri" e qui possiamo inserirci con il FOIA pensiero;
3. mi sarei aspettata dopo 4 lunghi anni di trattative un coordinamento maggiore sul "right to know".
Infine poichè vi ho annoiato già troppo con queste cose leguleie, per gli amanti delle timeline (è uno dei miei topic di ricerca da sempre) ecco una bella visualization del FOIA UK:
http://www.tiki-toki.com/timeline/entry/357591/FOI-ten-years-on/
Però l'infografica ci dice questo, molto fra le righe:
a) Il GDPR include sanzioni più severe per la violazione dei dati personali (fino ad un massimo di 20 milioni di Euro o per le imprese fino al 4% del fatturato mondiale totale annuo);
b) rafforza i diritti dell'interessato, e questo è un bene specie verso i soggetti privati, incluso il diritto di cancellazione da combinarsi con il diritto all'oblio (artt. 16,17,18,19). Significa che passato un certo numero di anni e finita la finalità per la quale i dati/documenti sono stati creati, un individuo (e quindi ancor di più una PA che tratta i dati degli individui) potrà pretendere con maggiore legittimazione di ora di negare l'accesso a documenti in cui compaiono nomi o descrizioni di situazioni che possono portare a riconoscere le persone. Questi principi non sono nuovi, esistono già norme in tal senso nel nostro codice privacy, ma ora sono rafforzate dal GDPR a livello EU e deroghe, eccezioni, scappatoie nel nome dell'interesse pubblico saranno più difficili da sostenere.
Aggiungo due altre informazioni che nell'infografica non ci sono ma sono nel testo del GDPR e sono determinanti per capire la sintesi finale:
c) l'art. 23 del GDPR pone dei limiti agli obblighi e ai diritti di azione del GDPR, in positivo e in negativo, e molte delle categorie che vogliamo "liberare" sono incluse qui in questo articolo che è lo specchio in larga parte dell'art. 24 della L. 241/90. Sarà dura a livello nazionale fare delle linee guida ANAC con questi vincoli europei e nel contempo poter preservare lo spirito del FOIA come noi vogliamo, ma ci proveremo con tutte le nostre armi;
d) non si fa cenno alcuno al "right to know" se non nei confronti dell'individuo.
Del resto lo dice anche il Garante stesso nel suo parere al FOIA che dobbiamo attenderci una stretta prescrittiva dettata dal GDPR:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4772830
Questo articolo inglese è molto utile per capire come anche l'UK sia preoccupata delle ripercussioni del GDPR sul loro FOIA:
http://www.hldataprotection.com/2015/02/articles/consumer-privacy/what-will-be-the-impact-of-the-new-eu-data-protection-regulation-on-the-uks-freedom-of-information-act/
Questo è un altro importante articolo che parla dell'art. 17 (Diritto alla cancellazione («diritto all’oblio»)):
https://www.article19.org/data/files/medialibrary/38202/Comment-on-GDPR-final-A19-EFF.pdf
In realtà un margine di azione c'è nell'art. 6 del GDPR:
"Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e)"
dove c) e e) sono:
"c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;"
" e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;".
Noi dovremmo attivarci sin da subito per sfruttare questa breccia e definire il perimetro del punto e) in accordo con il FOIA così come lo intendiamo, in modo che tutto sia coerente e non cadere nella trappola di avere un FOIA che poi viene castrato dal CDPR nella sua attuazione.
In sintesi:
1. da questo GDPR emerge una maggior tutela dell'individuo (http://194.242.234.211/documents/10160/0/Il+nuovo+Regolamento+europeo+sulla+protezione+dei+dati+-+Infografica.pdf) nel trattamento dei suoi dati personali (questo è un bene se pensiamo al settore privato specie ai grandi motori di ricerca o piattaforme che senza informare l'interessato usano i dati degli individui, li trasmettono a terzi, fuori dai confini EU), ma necessariamente, e in modo speculare, il GDPR crea maggiori difficoltà a esercitare il diritto della collettività di sapere "right to know" e ad aprire i dati in Open Government Data se sono coinvolte persone fisiche;
2. ogni stato membro può definire il suo perimetro per su cosa intende per "interesse pubblico o connesso all'esercizio di pubblici poteri" e qui possiamo inserirci con il FOIA pensiero;
3. mi sarei aspettata dopo 4 lunghi anni di trattative un coordinamento maggiore sul "right to know".
Infine poichè vi ho annoiato già troppo con queste cose leguleie, per gli amanti delle timeline (è uno dei miei topic di ricerca da sempre) ecco una bella visualization del FOIA UK:
http://www.tiki-toki.com/timeline/entry/357591/FOI-ten-years-on/
--
Hai ricevuto questo messaggio perché sei iscritto al gruppo "Spaghetti Open Data" di Google Gruppi.
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a spaghettiopend...@googlegroups.com.
Visita questo gruppo all'indirizzo https://groups.google.com/group/spaghettiopendata.
Per altre opzioni visita https://groups.google.com/d/optout.
-- =================================== Associate professor of Legal Informatics School of Law Alma Mater Studiorum Università di Bologna C.I.R.S.F.I.D. http://www.cirsfid.unibo.it/ Palazzo Dal Monte Gaudenzi - Via Galliera, 3 I - 40121 BOLOGNA (ITALY) Tel +39 051 277217 Fax +39 051 260782 E-mail monica.p...@unibo.it ====================================
morena ragone
May 9, 2016, 7:52:03 AM5/9/16
to Spaghetti Open Data
Il punto evidenziato da Monica (art. 6) è quello che, personalmente, ho sempre usato per smontare la tesi di chi diceva che il nuovo Regolamento segnava la fine dell'open data; già oggi, comunque, molti si appellano al principio di pertinenza per smontare il senso del nostro operato.
Le spiegazioni tecniche le ha fatte benissimo Monica: mi limito ad aggiungere che sarà ancora più importante, oltre al rispetto integrale dell'anonimizzazione ove prevista (ammesso che sia sufficiente...), formare il personale della PA ad affrontare le situazioni di "arbitrio" ancora necessarie, ossia quelle in cui ci si troverà di fronte a ipotesi non codificate.
E saranno tante, soprattutto all'inizio.
Poi ovvio che in prospettiva il Regolamento serve proprio a limitare al massimo le interpretazioni, e anche - purtroppo - le fughe in avanti e le scappatoie, per quanto giustificate da ulteriori interessi.
Morena
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a spaghettiopendata+unsubscribe@googlegroups.com.
Visita questo gruppo all'indirizzo https://groups.google.com/group/spaghettiopendata.
Per altre opzioni visita https://groups.google.com/d/optout.
Reply all
Reply to author
Forward
0 new messages