Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO […] Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_multina...
Da portare alla Corte Costituzionale. m.c. In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_multina zionali_senza_consenso_passa_la_norma-183005262/
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire. Un caro saluto a tutti, Monica -----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia" Da portare alla Corte Costituzionale. m.c. In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Lucidissimo punto di vista. Mi interessa molto il rischio di "function creep" o di "repurposing". In altre parole, delle tentazioni nelle mani di chi gestisce quei dati. A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli infiniti benefici dell'analisi massiva di questi dati tramite Watson Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a tanti altri concorrenti. Speriamo comunque che il Garante mantenga il suo occhio (sempre più) attento su questi soggetti. Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Caro Stefano, credo che l’autorizzazione del Garante prevista dal novello art.110 bis D. Lgs. 196/03 sia precipuamente finalizzata a tutelare gli interessati dai rischi che tu paventi: in tal modo le “adeguate garanzie per i diritti e le libertà dell’interessato” di cui all’art.89 GDPR non vengono lasciate all’interpretazione del titolare ma riservate all’occhio vigile dell’Autorità di Controllo (in un’attività di intervento preventivo che, se non erro, nel GDPR è ormai relegato al solo art.36 in tema di DPIA) A ciò si aggiunge il fatto che la norma in questione prevede che il trattamento a fini scientifici venga effettuato rispettando i principi di minimizzazione e anonimizzazione, laddove l’art.89 prescrive, di regola, minimizzazione e pseudonimizzazione e, solo in deroga, l’anonimizzazione. Concordi? Un abbraccio, Monica Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Stefano Leucci Inviato: martedì 5 dicembre 2017 17:14 A: NEXA_lista Oggetto: Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia" Lucidissimo punto di vista. Mi interessa molto il rischio di "function creep" o di "repurposing". In altre parole, delle tentazioni nelle mani di chi gestisce quei dati. A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli infiniti benefici dell'analisi massiva di questi dati tramite Watson Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a tanti altri concorrenti. Speriamo comunque che il Garante mantenga il suo occhio (sempre più) attento su questi soggetti. Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor <senor@penalistiassociati.it> ha scritto: IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire. Un caro saluto a tutti, Monica -----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia" Da portare alla Corte Costituzionale. m.c. In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Ciao Monica, assolutamente in linea con il tuo ragionamento. Penso sia però preoccupante l'efficacia reale di queste misure viste le grandi doti dello strumento in questione, nonchè quel principio di "correttezza" dell'art. 5 del GDPR rimasto ancora solo sulla carta. Rivenderanno le analisi prodotte sulla base di questi dati o saranno solo utilizzate a meri fini scientifici? Ne beneficeremo davvero noi singoli cittadini? Un abbraccio a te, Stefano Il giorno 5 dicembre 2017 17:39, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
Caro Stefano,
credo che l’autorizzazione del Garante prevista dal novello art.110 bis D. Lgs. 196/03 sia precipuamente finalizzata a tutelare gli interessati dai rischi che tu paventi: in tal modo le “adeguate garanzie per i diritti e le libertà dell’interessato” di cui all’art.89 GDPR non vengono lasciate all’interpretazione del titolare ma riservate all’occhio vigile dell’Autorità di Controllo (in un’attività di intervento preventivo che, se non erro, nel GDPR è ormai relegato al solo art.36 in tema di DPIA)
A ciò si aggiunge il fatto che la norma in questione prevede che il trattamento a fini scientifici venga effettuato rispettando i principi di minimizzazione e anonimizzazione, laddove l’art.89 prescrive, di regola, minimizzazione e pseudonimizzazione e, solo in deroga, l’anonimizzazione.
Concordi?
Un abbraccio,
Monica
*Da:* nexa [mailto:nexa-bounces@server-nexa.polito.it] *Per conto di *Stefano Leucci *Inviato:* martedì 5 dicembre 2017 17:14 *A:* NEXA_lista *Oggetto:* Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Lucidissimo punto di vista.
Mi interessa molto il rischio di "function creep" o di "repurposing". In altre parole, delle tentazioni nelle mani di chi gestisce quei dati.
A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli infiniti benefici dell'analisi massiva di questi dati tramite Watson Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a tanti altri concorrenti.
Speriamo comunque che il Garante mantenga il suo occhio (sempre più) attento su questi soggetti.
Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Questo il testo della norma in questione, da cui credo si debba partire: «Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici). - 1. Nell'ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza». La norma parla innanzitutto di “riutilizzo”, occorrerà quindi che il trattamento originario abbia un fondamento giuridico legittimante. Ad una prima lettura risulta tuttavia non facile cogliere il senso della disposizione, perché fa riferimento a dati anonimizzati, che quindi - in quanto tali - sono fuori dall’ambito operativo delle disposizioni in materia di data protection. Non a caso l’art. 89 del Regolamento (EU) 2016/679 (GDPR) concerne dati personali o pseudonimizzati (non anonimi o anonimizzati) e per questi prevede eccezioni. Se dunque il riuso è subordinato alla condizione che “siano adottate forme preventive […] di anonimizzazione”, ne consegue che questi sono dati anonimi, esclusi così dall’ambito operativo sia della normativa nazionale che di quella comunitaria. Non a caso i dati genetici sono esclusi, così come dovrebbero esserlo i biometrici per evidenti limiti di procedere all’anonimizzazione degli stessi. Stante il testo, il senso attribuibile alla norma viene dunque ad essere quello di prevedere un intervento del Garante a garanzia dell’adozione di un livello adeguato di anonimizzazione, in linea con il GDPR, che non considera più il binomio dati personali/dati anonimi come un bianco/nero. In termini generali, forse una simile norma avrebbe avuto miglior collocazione e più completa chiarificazione nell’atteso intervento normativo di adeguazione globale della legislazione italiana in materia. Un saluto, Alessandro -- Alessandro Mantelero Politecnico di Torino http://staff.polito.it/alessandro.mantelero | @mantelero On Tue, 5 Dec 2017 18:28:05 +0100 Stefano Leucci <stefanoleucci@gmail.com> wrote:
Ciao Monica, assolutamente in linea con il tuo ragionamento.
Penso sia però preoccupante l'efficacia reale di queste misure viste le grandi doti dello strumento in questione, nonchè quel principio di "correttezza" dell'art. 5 del GDPR rimasto ancora solo sulla carta.
Rivenderanno le analisi prodotte sulla base di questi dati o saranno solo utilizzate a meri fini scientifici? Ne beneficeremo davvero noi singoli cittadini?
Un abbraccio a te, Stefano
Il giorno 5 dicembre 2017 17:39, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
Caro Stefano,
credo che l’autorizzazione del Garante prevista dal novello art.110 bis D. Lgs. 196/03 sia precipuamente finalizzata a tutelare gli interessati dai rischi che tu paventi: in tal modo le “adeguate garanzie per i diritti e le libertà dell’interessato” di cui all’art.89 GDPR non vengono lasciate all’interpretazione del titolare ma riservate all’occhio vigile dell’Autorità di Controllo (in un’attività di intervento preventivo che, se non erro, nel GDPR è ormai relegato al solo art.36 in tema di DPIA)
A ciò si aggiunge il fatto che la norma in questione prevede che il trattamento a fini scientifici venga effettuato rispettando i principi di minimizzazione e anonimizzazione, laddove l’art.89 prescrive, di regola, minimizzazione e pseudonimizzazione e, solo in deroga, l’anonimizzazione.
Concordi?
Un abbraccio,
Monica
*Da:* nexa [mailto:nexa-bounces@server-nexa.polito.it] *Per conto di *Stefano Leucci *Inviato:* martedì 5 dicembre 2017 17:14 *A:* NEXA_lista *Oggetto:* Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Lucidissimo punto di vista.
Mi interessa molto il rischio di "function creep" o di "repurposing". In altre parole, delle tentazioni nelle mani di chi gestisce quei dati.
A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli infiniti benefici dell'analisi massiva di questi dati tramite Watson Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a tanti altri concorrenti.
Speriamo comunque che il Garante mantenga il suo occhio (sempre più) attento su questi soggetti.
Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui:
http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m
ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Computer Law and Security Review | Member of the Editorial Board European Data Protection Law Review | Associate Editor http://staff.polito.it/alessandro.mantelero | @mantelero EMAIL POLICY: once a day (Mon-Fri) "In libertate fortitudo" ________________________________________ Le informazioni trasmesse sono indirizzate esclusivamente alla persona o al soggetto destinatario e sono da intendersi confidenziali e riservate. Ogni trasmissione, inoltro, diffusione o altro uso di queste informazioni a terzi differenti dal destinatario è proibita. Se ricevete questa comunicazione per errore, contattate il mittente e cancellate le informazioni da ogni computer. The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer.
Cari Tutti, la legge 167 del 20.11.17 è per molti versi specchio dell'attuale stato dell'arte. Vi raccomando il refuso della rubrica art. 2 della legge: le "diretive" in materia di diritto d'autore (sic! E io che me la prendo con i miei studenti...) In aggiunta all'art. 28 della legge 167 del 20.11.17 di cui al giro di email iniziato da Juan Carlos, come non citare l'art. 24 circa "termini di conservazione dei dati di traffico telefonico e telematico". Si deroga all'art. 132 (1 e 1bis) del Codice Privacy e i dati sono conservati (intanto) per 72 mesi. Non suggerisco una mossa a tenaglia tra la datobulimia delle imprese e delle pubbliche accuse dei tribunali. Certamente, però, una gestione allegra della transizione dalle vecchie regole del gioco al nuovo GDPR e la cugina direttiva 2016/680. Buttarelli, tre settimane fa qui a Torino, denunciava sconsolato i ritardi del Parlamento di Roma nell'affrontare il nuovo quadro legislativo che entra a pieno regime questo maggio. Intanto, si è partiti male, con una prosa arruffata, un legalese insopportabile e introdotto a spizzichi e bocconi: per intanto gli Artt. 29, 110bis e 132 del Codice Privacy. Se il buon giorno si vede dal mattino, anche qui siamo messi male... Buona serata a tutti, u. Il giorno 5 dicembre 2017 19:03, Alessandro Mantelero < alessandro.mantelero@polito.it> ha scritto:
Questo il testo della norma in questione, da cui credo si debba partire:
«Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici). - 1. Nell'ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
La norma parla innanzitutto di “riutilizzo”, occorrerà quindi che il trattamento originario abbia un fondamento giuridico legittimante.
Ad una prima lettura risulta tuttavia non facile cogliere il senso della disposizione, perché fa riferimento a dati anonimizzati, che quindi - in quanto tali - sono fuori dall’ambito operativo delle disposizioni in materia di data protection.
Non a caso l’art. 89 del Regolamento (EU) 2016/679 (GDPR) concerne dati personali o pseudonimizzati (non anonimi o anonimizzati) e per questi prevede eccezioni.
Se dunque il riuso è subordinato alla condizione che “siano adottate forme preventive […] di anonimizzazione”, ne consegue che questi sono dati anonimi, esclusi così dall’ambito operativo sia della normativa nazionale che di quella comunitaria. Non a caso i dati genetici sono esclusi, così come dovrebbero esserlo i biometrici per evidenti limiti di procedere all’anonimizzazione degli stessi.
Stante il testo, il senso attribuibile alla norma viene dunque ad essere quello di prevedere un intervento del Garante a garanzia dell’adozione di un livello adeguato di anonimizzazione, in linea con il GDPR, che non considera più il binomio dati personali/dati anonimi come un bianco/nero.
In termini generali, forse una simile norma avrebbe avuto miglior collocazione e più completa chiarificazione nell’atteso intervento normativo di adeguazione globale della legislazione italiana in materia.
Un saluto,
Alessandro
-- Alessandro Mantelero Politecnico di Torino http://staff.polito.it/alessandro.mantelero | @mantelero
On Tue, 5 Dec 2017 18:28:05 +0100 Stefano Leucci <stefanoleucci@gmail.com> wrote:
Ciao Monica, assolutamente in linea con il tuo ragionamento.
Penso sia però preoccupante l'efficacia reale di queste misure viste le grandi doti dello strumento in questione, nonchè quel principio di "correttezza" dell'art. 5 del GDPR rimasto ancora solo sulla carta.
Rivenderanno le analisi prodotte sulla base di questi dati o saranno solo utilizzate a meri fini scientifici? Ne beneficeremo davvero noi singoli cittadini?
Un abbraccio a te, Stefano
Il giorno 5 dicembre 2017 17:39, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
Caro Stefano,
credo che l’autorizzazione del Garante prevista dal novello art.110 bis D. Lgs. 196/03 sia precipuamente finalizzata a tutelare gli interessati dai rischi che tu paventi: in tal modo le “adeguate garanzie per i diritti e le libertà dell’interessato” di cui all’art.89 GDPR non vengono lasciate all’interpretazione del titolare ma riservate all’occhio vigile dell’Autorità di Controllo (in un’attività di intervento preventivo che, se non erro, nel GDPR è ormai relegato al solo art.36 in tema di DPIA)
A ciò si aggiunge il fatto che la norma in questione prevede che il trattamento a fini scientifici venga effettuato rispettando i principi di minimizzazione e anonimizzazione, laddove l’art.89 prescrive, di regola, minimizzazione e pseudonimizzazione e, solo in deroga, l’anonimizzazione.
Concordi?
Un abbraccio,
Monica
*Da:* nexa [mailto:nexa-bounces@server-nexa.polito.it] *Per conto di *Stefano Leucci *Inviato:* martedì 5 dicembre 2017 17:14 *A:* NEXA_lista *Oggetto:* Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali,
senza consenso: passa la norma in Italia"
Lucidissimo punto di vista.
Mi interessa molto il rischio di "function creep" o di "repurposing". In altre parole, delle tentazioni nelle mani di chi gestisce quei dati.
A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli infiniti benefici dell'analisi massiva di questi dati tramite Watson Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a tanti altri concorrenti.
Speriamo comunque che il Garante mantenga il suo occhio (sempre più) attento su questi soggetti.
Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino
Computer Law and Security Review | Member of the Editorial Board European Data Protection Law Review | Associate Editor
http://staff.polito.it/alessandro.mantelero | @mantelero
EMAIL POLICY: once a day (Mon-Fri)
"In libertate fortitudo"
________________________________________ Le informazioni trasmesse sono indirizzate esclusivamente alla persona o al soggetto destinatario e sono da intendersi confidenziali e riservate. Ogni trasmissione, inoltro, diffusione o altro uso di queste informazioni a terzi differenti dal destinatario è proibita. Se ricevete questa comunicazione per errore, contattate il mittente e cancellate le informazioni da ogni computer.
The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
In data martedì 5 dicembre 2017 16:48:46 CET, avv. Monica A. Senor ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? IMHO che il Regolamento (che entrerà in vigore il 25.5.18) ha anche altre disposizioni che, complessivamente ed organicamente, producono l'effetto di responsabilizzare il titolare del trattamento (DPO, PIA, contratti con responsabili con contenuti vincolati, ecc. ecc.).
L'art. 28 della L. 167/2017, invece, si applica dal 12.12.17 al 25.5.18 nel quadro normativo attuale: il D. Lgs. 196/2003 attua la Direttiva 95/46 (che si applica fino al 25.5.18) che è molto meno rigorosa del GDPR e permette di "deresponsabilizzare" il titolare del trattamento. Tra l'altro, già oggi (a Codice vigente, senza le modifiche introdotte dall'art. 28 della L. 167/17 che entrano in vigore il 12.12.17), ai sensi del D. Lgs. 196/2003: - il trattamento per fini di ricerca è compatibile con i diversi scopi per i quali i dati sono stati raccolti (art. 99 D.Lgs. 196/03), - si può prescindere dall'informativa agli interessati (art. 105.4 D. Lgs. 196/03), - si può prescindere dal consenso degli interessati (art. 24.1.i D. Lgs. 196/03 e Codice Deontologico; per i dati sensibili vedi anche art. 107 e 110 D. Lgs. 196/03 e art. 9.4 Codice Deontologico per i soggetti privati). Quindi, che effetti produce questo intervento normativo? IMHO due effetti. 1) Consente ai privati di trattare dati sensibili senza consenso. 2) Deresponsabilizza i titolari del trattamento (per lo meno fino a quando non entrerà in vigore il GDPR). Infatti, l'art. 28 della L. 167/2017 modifica il D.Lgs. 196/03: - consentendo al titolare di nominare responsabili con atti giuridici conformi agli schemi predisposti dal Garante (nuovo art. 29.4-bis) -> chi usa lo schema è tranquillo; - giustappone alle istruzioni del titolare le prescrizioni di cui agli atti giuridici conformi agli schemi del garante (nuovo art. 29.5) -> il titolare non risponde se il responsabile svolge trattamenti non indicati dal titolare ma conformi allo schema del garante; - consente il riutilizzo dei dati, anche sensibili, per finalità di ricerca scientifica, anche in assenza di consenso degli interessati, con l'autorizzazione del Garante (nuovo art. 110-bis) - > se il Garante autorizza, il titolare è tranquillo. IMHO questa modifica normativa perderà valore quando entrerà ad effetto il GDPR. In particolare, con riferimento all'ultimo punto, i privati possono trattare dati per finalità di ricerca scientifica senza consenso degli interessati quando ricorrono le condizioni dell'art. 6.1.f del GDPR: i privati si assumono la responsabilità di svolgere il test di bilanciamento previsto nella norma e il Garante ha il compito di valutare ex post che il test sia stato svolto in modo corretto. Il GDPR non ammette deroghe a questo meccanismo. Fino al 25.5.18, IMHO la norma rende più probabile che dei titolari di dati sanitari (anche pubblici) concedano a terzi di usare gli stessi dati (con finalità di ricerca scientifica) privatizzandone i risultati. Per me questo è inaccettabile e lede diritti di rilievo costituzionale (privacy, salute, ecc.). m.c.
Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
IMHO il GDPR "sana" molto e non accadra' nulla di significativo prima di maggio 2018. (se pensiamo a IBM e milano, e' di la' da venire...) forse cosi' si dara' la possibilita' a minsalute di rispondere alle interpellazne che non e' illecito perche' c'e' la legge. (altrimeenti non potrebbero rispondere cio')... ciao, s. On 06/12/2017 12:15, Marco Ciurcina wrote:
In data martedì 5 dicembre 2017 16:48:46 CET, avv. Monica A. Senor ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? IMHO che il Regolamento (che entrerà in vigore il 25.5.18) ha anche altre disposizioni che, complessivamente ed organicamente, producono l'effetto di responsabilizzare il titolare del trattamento (DPO, PIA, contratti con responsabili con contenuti vincolati, ecc. ecc.).
L'art. 28 della L. 167/2017, invece, si applica dal 12.12.17 al 25.5.18 nel quadro normativo attuale: il D. Lgs. 196/2003 attua la Direttiva 95/46 (che si applica fino al 25.5.18) che è molto meno rigorosa del GDPR e permette di "deresponsabilizzare" il titolare del trattamento.
Tra l'altro, già oggi (a Codice vigente, senza le modifiche introdotte dall'art. 28 della L. 167/17 che entrano in vigore il 12.12.17), ai sensi del D. Lgs. 196/2003: - il trattamento per fini di ricerca è compatibile con i diversi scopi per i quali i dati sono stati raccolti (art. 99 D.Lgs. 196/03), - si può prescindere dall'informativa agli interessati (art. 105.4 D. Lgs. 196/03), - si può prescindere dal consenso degli interessati (art. 24.1.i D. Lgs. 196/03 e Codice Deontologico; per i dati sensibili vedi anche art. 107 e 110 D. Lgs. 196/03 e art. 9.4 Codice Deontologico per i soggetti privati).
Quindi, che effetti produce questo intervento normativo? IMHO due effetti.
1) Consente ai privati di trattare dati sensibili senza consenso.
2) Deresponsabilizza i titolari del trattamento (per lo meno fino a quando non entrerà in vigore il GDPR).
Infatti, l'art. 28 della L. 167/2017 modifica il D.Lgs. 196/03: - consentendo al titolare di nominare responsabili con atti giuridici conformi agli schemi predisposti dal Garante (nuovo art. 29.4-bis) -> chi usa lo schema è tranquillo; - giustappone alle istruzioni del titolare le prescrizioni di cui agli atti giuridici conformi agli schemi del garante (nuovo art. 29.5) -> il titolare non risponde se il responsabile svolge trattamenti non indicati dal titolare ma conformi allo schema del garante; - consente il riutilizzo dei dati, anche sensibili, per finalità di ricerca scientifica, anche in assenza di consenso degli interessati, con l'autorizzazione del Garante (nuovo art. 110-bis) - > se il Garante autorizza, il titolare è tranquillo.
IMHO questa modifica normativa perderà valore quando entrerà ad effetto il GDPR.
In particolare, con riferimento all'ultimo punto, i privati possono trattare dati per finalità di ricerca scientifica senza consenso degli interessati quando ricorrono le condizioni dell'art. 6.1.f del GDPR: i privati si assumono la responsabilità di svolgere il test di bilanciamento previsto nella norma e il Garante ha il compito di valutare ex post che il test sia stato svolto in modo corretto. Il GDPR non ammette deroghe a questo meccanismo.
Fino al 25.5.18, IMHO la norma rende più probabile che dei titolari di dati sanitari (anche pubblici) concedano a terzi di usare gli stessi dati (con finalità di ricerca scientifica) privatizzandone i risultati.
Per me questo è inaccettabile e lede diritti di rilievo costituzionale (privacy, salute, ecc.).
m.c.
Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui: http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (7)
-
Alessandro Mantelero -
avv. Monica A. Senor -
J.C. DE MARTIN -
Marco Ciurcina -
Stefano Leucci -
Stefano Quintarelli -
Ugo Pagallo