Gli interventi
Ma io cosa farei? ⇧
È facile criticare dall’esterno, ma molto più difficile è prendere le decisioni corrette. Pertanto cosa si dovrebbe fare per gestire correttamente il ciclo di vita di un Collegio, a partire dalla nomina, proseguendo per l’attività ordinaria di monitoraggio, divulgazione, assistenza e repressione, fino alla ripresa della professione precedente? Come garantire una scelta obiettiva, selezionando le persone sulla base delle migliori caratteristiche e non su una simpatia politica? Quali sono queste caratteristiche, dato che un Garante ha diversi ruoli, che vanno dal preparare gli opuscoli all’irrorare sanzioni milionarie? Come garantire che un membro del Collegio sia totalmente super partes e non pensi a quando dovrà riprendere in mano la propria carriera? Soprattutto, come garantire che la necessaria indipendenza non si trasformi in un apparato al di sopra della legge? Non ho risposte definitive, ma forse qualche riflessione insieme possiamo farla.
Processo all'Autorità Garante per la protezione dei dati personali ⇧
Relazione su data retention, legalità e tutela dei diritti: il difficile equilibrio tra privacy e sicurezza nel sistema giudiziario.
Partendo dal principio che la legalità è fondamento della libertà ordinata, la sicurezza rappresenta una precondizione essenziale per l'esercizio dei diritti. La data retention (conservazione dei metadati esterni alle comunicazioni) è il nodo critico su cui si gioca il bilanciamento tra diritto alla privacy e capacità dello Stato di individuare i responsabili di violazioni.
Analisi delle posizioni della Corte di Giustizia UE e del Garante Privacy italiano: - Interpretazione restrittiva della CGUE (solo criminalità grave) che paradossalmente riduce la capacità investigativa senza diminuire i dati conservati - Forzature ermeneutiche del Garante italiano (2008) nel qualificare metadati telematici come equiparati al contenuto, eccedendo le proprie competenze - Incoerenza nei criteri applicati: tolleranza verso conservazioni commerciali (fino a 15-20 anni) ma severità verso esigenze di giustizia
Tre capi di accusa all'Autorità: 1. Aver limitato conservazione dati necessari all'accertamento, violando artt. 111 Cost. e 9 GDPR 2. Aver articolato fattispecie indeterminate, violando il principio di ragionevolezza e certezza del diritto 3. Aver ecceduto i poteri, producendo conseguenze sull'applicabilità del codice di procedura penale
Prospettiva storica: dal 1996 ad oggi, con focus su sentenze CGUE e provvedimenti Garante. Disponibile anche come contributo di supporto su temi giuridici correlati.
Chi legge i tuoi log? La filiera del SOC tra MDR, subappalto e privacy invisibile ⇧
Edoardo Ferri (Il Cibernetico)
La Direttiva NIS2 (2022/2555), recepita in Italia con il D.Lgs. 138/2024, impone alle organizzazioni soggette l'adozione di capacità strutturate di monitoraggio continuo, rilevamento degli incidenti e risposta. Nella pratica, la stragrande maggioranza delle organizzazioni — anche di dimensioni medie — non dispone internamente delle competenze necessarie e ricorre a servizi gestiti: il SOC (Security Operations Center) esternalizzato, erogato tipicamente sotto forma di MDR (Managed Detection and Response).
Ma cosa accade realmente ai dati di un'organizzazione quando vengono consegnati a un fornitore MDR?
L'intervento intende svelare, con approccio tecnico-forense, la filiera reale del SOC esternalizzato o del software utilizzato per il SOC interno
La privacy e le interpretazioni non intuitive ⇧
Valentino Spataro (IusOnDemand srl)
La relazione esplora le interpretazioni meno ovvie del GDPR e delle normative italiane recenti, dove la teoria si scontra con casi concreti spesso controintuitivi. Si analizzano ambiti critici come l’uso di videosorveglianza per sinistri, la registrazione audio non preventiva, la gestione dei log e dei metadati (con il limite dei 21 giorni), e le responsabilità di titolari e fornitori software, anche alla luce delle sanzioni del Garante Privacy. Particolare attenzione è dedicata ai servizi rivolti ai minori, ai dati pubblici tra ePrivacy e legittimo interesse, e alla cybersecurity come strumento di minimizzazione del rischio. Ogni sezione si chiude con un sondaggio interattivo su casi pratici (lecito/non lecito), per coinvolgere il pubblico nella valutazione di scenari reali e stimolare il dibattito su equilibri tra sicurezza, trasparenza e diritti individuali. Un percorso tra provvedimenti recenti, errori comuni e soluzioni applicative, utile a professionisti, aziende e PA.
Temi:
-
videosorveglianza - uso per documentare un sinistro
-
registrazione audio - non preventiva
-
le certificazione professionali - da tenere e fornire
-
log - valgono o non valgono
-
servizi rivolti o identificazione minori
-
meta dati - cosa sono e i 21 giorni
-
fornitore software - titolare o responsabile
-
responsabilità dei responsabili
-
i dati pubblici tra eprivacy e legittimo interesse
-
cybersecurity e minimizzazione
Collegio di difesa - Oltre lo Scoop: La Funzione del Garante tra Autonomia di Mandato e Rigore della Riservatezza ⇧
Monica Gobbato (Privacy Academy)
La nostra strategia difensiva mira a riaffermare l'indipendenza organica del Garante, la cui stabilità di mandato è scudo necessario contro ogni interferenza esterna, inclusa quella giudiziaria. Si contesterà l'ipotesi di pre-giudizio, chiarendo come la comunicazione mediatica non debba mai anticipare la decisione, ma debba invece adempiere ad un equilibrato dovere di trasparenza e prevenzione del danno. Infine, si evidenzierà la natura della privacy come diritto assoluto e indisponibile: un bene non contrattabile né sacrificabile alle logiche dell’audience, la cui tutela costituisce il perimetro invalicabile dell'azione dell'Autorità.
Società interconnessa e l’effettività dei rimedi ⇧
La società contemporanea è sempre più interconnessa ed i dati personali sono considerati il nuovo “petrolio:” per esempio realtà virtuale, oggetti fisici sono dotati di sensori, social network rendono i protagonisti della società, cittadini, imprese e pubblica amministrazione, sempre più interdipendenti. Tale interconnessione trasforma la natura delle richieste di tutela da nazionale ad intra-comunitaria: basta guardare al proprio telefono mobile e sicuramente vi saranno almeno due o tre app, la cui azienda si trova in un altro Stato Membro dell’Unione Europea. Tuttavia le norme procedurali europee, che dovrebbero fornire una risposta moderna a tali richieste, rimangono ancorate al principio di accesso alla giustizia e pare essere trascurato il principio dell’effettività del rimedio. Naturalmente è sempre fatto salvo, il diritto del singolo di rivolgersi all’autorità giudiziaria: in concreto significa avvalersi di un rimedio previsto dalla procedura nazionale per una questione che ha natura intra-comunitaria. Ma tale approccio è tutt’ora in grado di rispondere alle esigenze di tutela emergenti da una società interconnessa?
Accessi civici, segnalazioni e denunce: gli strumenti giuridici per sollevare i vari problemi istituzionali ⇧
In questo intervento vorrei condividere la mia storia di circa tre anni di tentativi mirati a sollevare i gravi problemi istituzionali di questa autorità, poi emersi interamente nelle più recenti inchieste giornalistiche. Ho presentato sia accessi civici, sia segnalazioni ad ANAC, sia denunce penali, ma al momento sembra che nulla abbia scalfito il tipico muro di gomma della pubblica amministrazione centrale. Posso fornire qualche dettaglio più specifico sulle varie iniziative intraprese e sulle risposte ricevute (o più che altro sui mancati riscontri) e contestualmente proporrei qualche riflessione di natura giuridica e di corretta gestione delle istituzioni.
Successione dei beni digitali: Aspetti legali e tecnici ⇧
Francesca Vignali (Avvocato) e Gabriele Zanoni
Il talk esplora l'eredità digitale al crocevia tra diritto successorio, regole dei provider e sicurezza informatica, illustrando i metodi di trasmissione successoria dei beni digitali (partendo dal legato di password fino alla gestione delle memorie in cloud), superando il paradosso tra privacy post-mortem e diritti degli eredi, evitando il "buio digitale" e la dispersione del patrimonio immateriale.
l'Eurapoa val bene una birra ⇧
L’EUROPA VAL BENE UNA BIRRA (e con questo mi schiero dalla parte dell’accusa) 1. Iniziamo dalla osservazione di due punti fermi: la decisione della Garante Europeo che ha condannato la Commissione per violazione della privacy e l’Opinion 2/2024 dell’EDBP. Queste due decisioni ci danno un quadro preciso di come stiano andando (o non andando) le cose. Perché da una parte c’è il supremo organo decisionale dell’Europa che viola la legge che ha emanato, il che porta a tristi conclusioni sulla sensibilità alla privacy Dall’altra abbiamo il consesso di tutti i garanti europei che dà ai singoli garanti maggiori poteri, senza che nessuno ne tragga le conclusioni o faccia alcunchè. 2. Il secondo aspetto riguarda il GDPR, perché, a dieci anni dalla sua approvazione, è d’obbligo fare un bilancio e delle osservazioni: A. l’effetto che ha avuto il GDPR nel panorama legislativo mondiale B. le ricadute pratiche del GDPR: quali? Con che conseguenze? C. Il sistema di cooperazione: funziona realmente? È in crisi? Non è mai partito? D. Una valutazione complessiva 3. Ultimo capitolo: cosa è successo in Italia (al di là della indagine in corso): è soddisfacente? Si poteva/doveva fare d più? Quale è stato realmente il ruolo del nostro Garante?
Lo scopo dell’intervento è quello di sollecitare una riflessione critica e complessiva sullo stato della attuazione della privacy, cosa è stato fatto e come, cosa si poteva fare e non è stato fatto, e quali sono le responsabilità ed a chi attribuirle
Processo all'Autorità Garante per la protezione dei dati personali ⇧
Moderato da: Carlo Blengino Partecipano: TBA
-