Come di consueto, riuniamo in questa rassegna gli articoli più interessanti in tema privacy usciti durante il mese trascorso. Cliccate sull’indice per andare direttamente al contenuto e ai link agli articoli online originali, cui si può accedere per una più approfondita lettura.

Indice:

  1. Sub-responsabile del trattamento dei dati personali: quali adempimenti?
  2. Violazioni di dati personali e sanzioni, in breve
  3. Delucidazioni sull’accountability
  4. Siamo ascoltati e registrati senza saperlo
  5. Sicurezza nazionale: una relazione da brividi
  6. Grossi passi avanti per la tutela della privacy da parte di Apple
  7. Riconoscimento facciale nel rispetto della privacy
  8. Regole di protezione dei dati personali a livello internazionale, ma la strada è lunga
  9. Salute pubblica e privacy privata troveranno un punto di incontro?
  10. I siti web devono aggiornarsi alle nuove linee guida relative ai cookie
  11. Doveri degli enti inclusi nel perimetro di sicurezza nazionale cibernetica
  12. Scambio di dati tra P.A. e tra P.A. e aziende private, con rispetto della protezione dei dati personali
  13. Quando si può contestare un’infrazione accertata da Garante della privacy?
  14. Accreditamento e certificazione ai sensi del GDPR
  15. Notizie su Green Pass, ma nessuna informazione sul suo utilizzo da parte di aziende private
  16. Google, Apple, Facebook e Microsoft potenti come intere nazioni
  17. Si giungerà prima o poi a una semplificazione delle informative privacy?

 

Sub-responsabile del trattamento dei dati personali: quali adempimenti?

L’articolo Registro dei trattamenti, valutazione d’impatto e violazioni dei dati: gli adempimenti del sub-responsabile prende in esame i compiti trasferiti dal Responsabile del trattamento dati personali ad un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento. L’articolo definisce questo secondo responsabile come “Responsabile del Responsabile” o, sinteticamente, “sub-responsabile”. In base all’Art. 38, par. 4, su questo gravano, a fronte di un contratto o altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto tra il Titolare del trattamento e il Responsabile del trattamento.

Nello specifico, l’articolo considera gli adempimenti relativi alla tenuta dei Registri del trattamento, all’esecuzione della valutazione di impatto, alla gestione delle violazioni dei dati personali e precisa che la designazione del sub-responsabile non esime il Responsabile dai doveri in merito ai trattamenti, dovendo fare da tramite tra sub-responsabile e Titolare, ed anzi rileva che il trasferimento dei compiti può essere controproducente ove siano necessari tempi di reazione brevi, come nel caso delle violazioni dei dati.

 

Violazioni di dati personali e sanzioni, in breve

  • Il Garante per la privacy ha comminato una sanzione di 2,6 milioni di euro a una piattaforma del gruppo Glovo, a causa della discriminazione dei rider perpetrata dagli algoritmi di prenotazione e assegnazione degli ordini di cibo e prodotti.
  • Un dipendente del reparto IT di un centro di ricerca clinica per la diagnosi di malattie genetiche rare, prima di lasciare il suo posto di lavoro, ha copiato tutte le informazioni sensibili di 10.000 pazienti. Si cita il caso, come sintomatico, in quanto uno studio statistico ha confermato che oltre il 50% delle violazioni dei sistemi informatici sono avvenute all’interno delle aziende.
  • Dalla relazione annuale del Garante per la privacy italiano emerge che lo scorso anno sono state prese 184 misure correttive e sanzionatorie, per un ammontare di 57 milioni di €.
  • Il Bureau Européen des Unions de Consommateurs ha presentato una denuncia alla Commissione europea contro WhatsApp, accusandola di aver esercitato continue e indebite pressioni sugli utenti per forzarli ad accettare nuovi termini sulla privacy che non sarebbero né comprensibili né trasparenti.
  • Il Garante per la privacy ha sanzionato un comune e l’azienda sanitaria per non avere designato e comunicato il DPO (Responsabile della Protezione dei Dati personali) entro il termine di entrata in vigore del GDPR (18/05/2018). Questo obbligo oltre che per tutte le amministrazioni pubbliche riguarda anche le azienda private se trattano su larga scala, come attività principale, dati sensibili, biometrici e genetici oppure compiono monitoraggio regolare sistematico delle persone. Vista l’indeterminazione del concetto di larga scala e di altri elementi, nel caso in cui sia ritenuto di non dover nominare il DPO è sempre bene comunque giustificare la scelta formalizzandola con documento scritto, in modo da dimostrare almeno la buona fede qualora, in un controllo, l’Autorità Garante ritenesse il contrario.
  • TikTok sanzionata per 750 mile € dal Garante dei Paesi Bassi, per aver fornito informazioni in lingua inglese anziché in belga e con linguaggio adatto ai bambini.
  • Il tribunale di Vienna ha ammesso che le Associazioni per la tutela della privacy possono agire in giudizio a favore della generalità degli interessati, anche senza la loro delega.
  • Migliaia di persone sono state spiate da diversi governi nel mondo tramite il software Pegasus sviluppato dall’azienda israeliana NSO Group e venduto alle forze di polizia e alle agenzie di intelligence per prevenire terrorismo e criminalità. Si tratta di uno spyware che si installa sugli smartphone, sfruttando vulnerabilità delle app (WhatsApp e iMessage in particolare).

 

Delucidazioni sull’accountability

L’autore dell’articolo Accountability, principio cardine del Gdpr sempre più orientato ad una logica di performance disquisisca sull’ “accountability”, quale principio generale su cui si fonda il GDPR, in riferimento alle responsabilità previste dall’Art. 24 per il Titolare del trattamento [non del Responsabile come cita in realtà il testo, ndr].

[Inoltre, l’Art. del GDPR che nomina l’accountability è il n° 5, e lo fa in relazione alla liceità, finalità, adeguatezza, esattezza, conservazione e sicurezza del trattamento dei dati personali; ndr]

Viene evidenziato come la traduzione “responsabilizzazione” della parola “accountability” non corrisponda esattamente al significato del termine inglese, che più propriamente corrisponde all’ “attitudine a dar conto”, cioè alla capacità di rendicontare le decisioni ed azioni intraprese ai fini della protezione dei dati personali.

“Il titolare del trattamento deve essere in grado di dimostrare di aver adottato un complesso di misure giuridiche, organizzative e tecniche per la protezione dei dati personali anche attraverso l’elaborazione di specifici modelli organizzativi, analoghi a quelli utilizzati per dare seguito alle direttive imposte dal legislatore con il D. Lgs. 231/01 (Responsabilità degli Enti per gli illeciti amministrativi dipendenti da reato).” [dal testo originale]

L’accountability è considerata un approccio pratico alla privacy e al modo di renderne conto alle Autorità Garanti.

 

Siamo ascoltati e registrati senza saperlo

L’articolo Smart assistant: Google ammette di registrare conversazioni di nascosto ci rivela che i dispositivi smartphone e smartspeaker rimangono sempre in ascolto in attesa di una parola d’ordine di attivazione, sia essa “Ok Google”, “Hey Google” (o “Alexa” nel caso dei prodotti Amazon) e registrano le nostre parole, mentre ci si aspettava che l’audio venisse registrato solamente dopo la suddetta hotword.

Invece Google ha ammesso che Assistant registra l’audio degli utenti anche quando non viene esplicitamente attivato. Google ha affermato che solo una frazione dell’audio è accessibile ai suoi dipendenti e che essi non ascoltano le conversazioni sensibili. Tuttavia, non si vede come questi possano distinguere tra conversazioni sensibili e non.

 

Sicurezza nazionale: una relazione da brividi

[Se l’istituzione, negli ultimi anni, del “Dipartimento delle informazioni per la sicurezza (DIS)”, del “Nucleo per la cyber sicurezza”, del “Centro Nazionale di Valutazione e Certificazione”, del “Computer Security Incident Response Team (CSIRT)” e dell’ “Agenzia per l’Italia Digitale” ci ha illuso che ci avviasse, quantomeno, a produrre risposte tempestive ed efficaci contro i crimini informatici rivolti alla Pubblica Amministrazione ed alle aziende private relative a settori strategici per la sicurezza nazionale, l’articolo Cybersicurezza, un approccio che confligge con il buon senso del generale Umberto Repetto (che è la trascrizione dell’audizione alla Camera sulla cybersicurezza – al link fornito è disponibile il video -) rappresenta una vera doccia fredda. Ndr]

L’autore (e relatore) ha sostanzialmente affermato, senza peli sulla lingua, che la burocratizzazione che è stata messa in piedi sembra obiettivata più all’assegnazione di poltrone che ad un approccio efficiente del problema e che il coinvolgimento di troppi soggetti è destinato a ingessare le fasi operative, che invece dovrebbero essere affrontate da pochi veri esperti della materia per assumere rapidamente le decisioni con cui affrontare attacchi digitali, gestire la controffensiva, ripristinare la situazione preesistente e, nei periodi di calma, coordinare tutte le iniziative per innalzare il livello di preparazione e la capacità reattiva di chi gestisce le infrastrutture critiche e delle organizzazioni pubbliche e private che erogano i servizi essenziali.

 

Grossi passi avanti per la tutela della privacy da parte di Apple

L’articolo La silenziosa campagna di Apple per diventare la regina della privacy ci informa che Apple, riconoscendo che la privacy è un diritto umano fondamentale, sta proseguendo ed accelerando con l’implementazione di soluzioni che rafforzano la protezione dei dati personali. [Per il dettaglio degli interventi si rimanda all’articolo originale.] Certo è che Apple, riguardo alla privacy, sta rafforzando il vantaggio della sua piattaforma rispetto alla concorrenza.

Di contro, alcuni critici sottolineano che questo sarebbe un modo per esercitare il dominio della sua piattaforma, “chiudendola” alle terze parti come Amazon, Facebook, Google e tutti i fornitori di servizi che basano i loro guadagni sul tracciamento degli utenti e sulla pubblicità.

 

Riconoscimento facciale nel rispetto della privacy

L’articolo Riconoscimento facciale, gli impatti privacy alla luce degli ultimi orientamenti europei riferisce che la Commissione Europea ha rilasciato la proposta di Regolamento (con relativi Allegati) che stabilisce regole armonizzate sull’intelligenza artificiale.

In merito all’utilizzo degli algoritmi di face recognition, i titolari del trattamento sono obbligati all’esecuzione di rigide e preventive valutazioni di impatto privacy. Infatti il riconoscimento facciale applicato ai sistemi di videosorveglianza ha aumentato la sicurezza, ma nello stesso tempo ha accresciuto le minacce alla riservatezza e protezione dei dati personali.

L’articolo ricorda che le immagini rilevate con il riconoscimento facciale rappresentano “dati biometrici intesi a identificare in modo univoco una persona fisica” ed appartengono pertanto alla categoria dei dati particolari.

In ambito pubblico, il riconoscimento facciale non può ovviamente essere legittimato tramite il consenso degli interessati e, quindi, le linee guida auspicano interventi legislativi che stabiliscano regole di applicazione.

In ambito privato, il riconoscimento facciale si deve basare, salvo eccezioni, sul consenso esplicito, informato e libero degli interessati ed, inoltre, deve essere garantito non vi sia impatto su persone coinvolte non oggetto delle finalità del riconoscimento stesso.

Devono essere anche definiti i tempi di conservazione dei dati, anche in relazione alla necessità di un aggiornamento periodico delle immagini dei volti da riconoscere, ai fini dell’efficienza dell’algoritmo.

La proposta di Regolamento definisce differenti livelli applicativi per il riconoscimento facciale mediante intelligenza artificiale, a seconda che i rischi siano di livello basso, accettabile o inaccettabile.

Il riconoscimento facciale in spazi accessibili al pubblico è ritenuto inaccettabile, con esclusione dei casi di ricerca di vittime potenziali (es. minori scomparsi), prevenzione di minacce di vita, identificazione di sospetti di reato.

Le linee guida del Comitato sulla protezione dei dati (T-PD) forniscono, inoltre, in relazione al rischio per i diritti e le libertà fondamentali delle persone, una serie di misure tecniche e organizzative indirizzate a governi, ricercatori, produttori, fornitori di servizi e, in generale, a tutti i titolari del trattamento che utilizzano tecnologie di riconoscimento facciale.

 

Regole di protezione dei dati personali a livello internazionale, ma la strada è lunga

Dall’articolo Convenzione 108+, le novità sulla protezione dei dati a livello internazionale si rileva che la Convenzione 108, risalente al 1981, riguarda il flusso di dati tra le diverse parti del mondo, unico strumento sulla protezione dei dati vincolante a livello internazionale. A luglio 2021 l’Italia ha ratificato un protocollo di emendamento alla Convenzione per la protezione delle persone in materia di trattamento dei dati personali, finalizzato all’attuazione della Convenzione “Modernizzata” (cosiddetta “Convenzione 108+”). Salgono così a 12 gli Stati che hanno ratificato il Protocollo emendativo che potrà entrare in vigore qualora venga ratificato da tutti gli attuali Stati facenti parte della Convenzione n.108 (attualmente 55), o anche qualora nei 5 anni successivi all’apertura alla firma del protocollo (e quindi entro l’11 Ottobre 2023) si raggiunga la ratifica di almeno 38 Stati.

Il Protocollo intende garantire elevati standard di protezione dei dati, facilitandone l’adozione anche da parte dei paesi che non fanno parte dell’UE. Costituisce, inoltre, un punto di raccordo importante tra i diversi approcci, incluso il Regolamento (UE) 2016/679, che colloca l’adesione da parte di Paesi terzi alla Convenzione 108 tra i criteri da considerare nella valutazione di adeguatezza di tali Paesi nel contesto dei trasferimenti di dati extra-UE. [Potrà questo risolvere il problema del trasferimento dei dati in USA, dopo l’invalidazione dell’US-EU Privacy Shield? Ndr].

Il Protocollo sancisce e rafforza una serie di principi a tutela dei dati personali [vedasi quelle che nell’articolo originale sono definite come novità di rilievo, essendo peraltro gli stessi principi definiti dal GDPR; ndr].

 

Salute pubblica e privacy privata troveranno un punto di incontro?

Secondo l’articolo Il Garante della Privacy stoppa la Regione Sicilia: no al censimento dei dipendenti non vaccinati l’ordinanza regionale avrebbe obbligato gli enti pubblici, ma anche un lungo elenco di aziende con personale a contatto del pubblico, a compilare una anagrafe dei vaccinati, con lo scopo di trasferire il personale non vaccinato a mansioni non a contatto con il pubblico.

“Il garante della privacy ha già invitato regioni e province autonome a soprassedere dall’adottare o dare attuazione a iniziative territoriali che prevedano l’uso dei certificati vaccinali, per finalità ulteriori e con modalità difformi rispetto a quelle previste dalla legge nazionale”.

[Con la speranza che la legge nazionale possa tutelare al massimo la salute pubblica anche se a parziale discapito della privacy personale, al momento le aziende dovranno esimersi dall’utilizzo di elenchi dei vaccinati e non. Beninteso, ove attuate vaccinazioni in azienda, questi elenchi dovranno necessariamente esserci, ma sotto la gestione esclusiva del Medico Competente e suoi eventuali collaboratori istruiti, se non direttamente da parte dell’Azienda sanitaria. Ndt]

 

I siti web devono aggiornarsi alle nuove linee guida relative ai cookie

Secondo l’articolo Dal Garante Privacy nuove linee guida sui cookie a tutela degli utenti: 6 mesi di tempo per adeguarsi, le Linee guida sui cookie del 2014 sono state aggiornate, con lo scopo di rafforzare le possibilità di scelta degli utenti e correggere e uniformare le informative, alla luce del GDPR, a fronte degli sviluppi tecnologici e delle modalità di utilizzo (tracciatori sempre più invasivi, incrocio dei dati identificativi degli utenti, creazione di profili più dettagliati).

Di seguito i contenuti principali.

Informativa – L’informativa agli utenti deve indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. Potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali). L’informativa, eventualmente inserita nell’informativa generale, deve essere data anche nel caso di soli cookie tecnici. E’ raccomandato che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso – Il meccanismo di acquisizione del consenso on line dovrà garantire, per impostazione predefinita, che al primo accesso al sito, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato nel dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (es. cookie di terze parti) o passiva (es. il fingerprinting). Il consenso non è richiesto per cookie esclusivamente di tipo tecnico, mentre è d’obbligo nel caso di cookie di profilazione. Il consenso può essere richiesto tramite un banner sulla pagina web, offrendo la possibilità di proseguire la navigazione senza alcun tracciamento, ad esempio chiudendo cliccando sulla X in alto a destra del banner. Il solo scroll down non è considerato idoneo a manifestare il consenso. Semmai lo scrolling dovrebbe essere inserito in un processo più articolato, in cui l’utente sia in grado di generare volontariamente e consapevolmente l’espressione di consenso. In ogni caso i titolari dei siti o gli incaricati alla loro gestione (publisher) devono poter registrare e documentare, presso il server del sito, i consensi degli utenti. Non sono ammessi i cookie wall, cioè non si può impedire l’accesso al sito a chi rifiuta il consenso, a meno che non sia fornito un servizio equivalente non richiedente l’uso di tracciatori. Gli utenti devono poter revocare i consensi dati e non è ammesso che, in assenza di consenso, il banner venga ripresentato ad ogni nuovo accesso, se non sono variate le condizioni del trattamento, o è impossibile sapere se un cookie sia già memorizzato nel dispositivo [perché l’utente ha cancellato i cookie; ndr], oppure se non sono ancora trascorsi 6 mesi dalle ultime scelte già effettuate dall’utente.

Criteri di codifica dei tracciatori – In assenza, attualmente, di una norma di codifica dei cookie che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione, i publisher sono invitati a indicare nell’informativa i criteri di codifica dei tracciatori adottati.

Tempi di attuazione – I siti devono essere conformi alle Linee guida sui cookie entro 6 mesi dalla loro pubblicazione [che è del 9 luglio 2021, provvedimento 231 sulla Gazzetta ufficiale 163; ndr]

L’articolo Cookie, non basta invocare il legittimo interesse: serve il consenso dell’utente ribadisce ancora che i cookie di profilazione o altri strumenti di tracciamento non possono trovare una base giuridica (legittimazione) attraverso il legittimo interesse del titolare: è necessario il consenso informato degli interessati. Sono molti i siti che dovranno mettersi in regola entro il 10 gennaio 2022.

 

Doveri degli enti inclusi nel perimetro di sicurezza nazionale cibernetica

Un precedente articolo, di cui si è data traccia nella newsletter “Privacy Point – Dalla rassegna stampa online sulla protezione dei dati personali – giugno 2021“, ha dato indicazioni sugli organismi ed aziende inclusi nel perimetro di sicurezza nazionale cibernetica ed ha specificato i loro obblighi indicando altresì le sanzioni per le omissioni.

Il presente articolo Perimetro di sicurezza nazionale cibernetica: si arricchisce il quadro normativo con il Regolamento sulle notifiche degli incidenti, cui si rimanda, entra maggiormente nel dettaglio della notifica degli incidenti e delle misure di sicurezza. A fronte del D.L. del 14 giugno 2021, n. 82, descrive inoltre le funzioni, le competenze e la struttura dell’Agenzia per la cybersicurezza nazionale. Segnala, infine, le le modifiche apportate al Decreto Perimetro, specificamente quelle relative agli acquisti di beni ICT, e al decreto-legge 15 marzo 2012, n. 21 in materia di Golden Power [facoltà di veto in caso di tentativi di acquisto “ostili” verso aziende strategiche. Ndr].

 

Scambio di dati tra P.A. e tra P.A. e aziende private, con rispetto della protezione dei dati personali

Per chi fosse interessato a scambi di dati con la Pubblica Amministrazione, ecco i link a due linee guida emesse dal AGID (Agenzia per l’Italia digitale) ed approvate del Garante della privacy, in quanto risultano previste garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati personali (le relative descrizioni sono tratte dall’articolo Garante Privacy: sì alle Linee guida Agid sull’interoperabilità delle banche dati pubbliche):

 

Quando si può contestare un’infrazione accertata da Garante della privacy?

A prescindere dal caso specifico in giudizio, di cui l’articolo originale Privacy, il verbale di accertamento non è direttamente impugnabile riporta comunque i fatti, la Corte di Cassazione ha sancito che un verbale di accertamento, prodotto dal Garante per la privacy, che accerta un’infrazione in materia di protezione dei dati personali, non può essere impugnato. Per proporre opposizione, è necessario attendere l’emanazione dell’ordinanza-ingiunzione.

 

Accreditamento e certificazione ai sensi del GDPR.

Come riporta l’articolo Certificazioni dei trattamenti di dati personali ai sensi del Gdpr: pubblicate le Faq con i primi chiarimenti di Garante Privacy e Accredia, Il Garante per la protezione dei dati personali e Accredia, l’ente unico nazionale di accreditamento degli Organismi di Certificazione, hanno pubblicato una serie di domande e risposte per far chiarezza su accreditamento e certificazione ai sensi del GDPR. Il relativo opuscolo è disponibile a questo link.

 

Notizie su Green Pass, ma nessuna informazione sul suo utilizzo da parte di aziende private

L’articolo Green pass nei luoghi di lavoro: obblighi, privacy e gestione delle criticità informa che con il con il D.L. del 23 luglio 2021, n. 105 è stato introdotto il Green Pass, che garantisce l’accesso a determinati servizi individuati dalla legge, in qualità di verifica di requisito richiesto (vaccino, guarigione, tampone negativo). La Fondazione Studi dei Consulenti del Lavoro ha approfondito l’argomento.

La verifica del Green Pass è ammessa dal Garante per la privacy tramite l’apposita app predisposta, in quanto non vi è identificazione dell’interessato, né della causale della certificazione e tantomeno registrazione di dati. Il controllo relativo alla corretta esecuzione delle verifiche in oggetto è attribuito da DM al Prefetto, il quale si avvale delle forze di polizia e, se necessario, del personale delle Forze armate qualificato come agente di pubblica sicurezza.

Attualmente, l’obbligo di vaccinazione è prevista solo per i lavoratori del settore sanitario. Lo Statuto dei Lavoratori vieta gli accertamenti diretti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente.

Diverse aziende, su indicazione del medico competente e su base volontaria, hanno introdotto il test (tampone o sierologico) come parte integrante del Protocollo aziendale anticovid.

[L’articolo non dà, purtroppo, indicazioni sulla facoltà o meno, per le aziende, di subordinare l’accesso in sede/uffici/stabilimento al personale e ai visitatori in possesso di Green Pass. Ci si augura che possano seguire altre delucidazioni in merito. Ndr]

 

Google, Apple, Facebook e Microsoft potenti come intere nazioni

L’articolo Gli oligopolisti della rete sono i nuovi Stati, e nessuna autorità riesce a regolarli sottolinea che Google, Apple, Facebook e Microsoft operano ormai da tempo sulla rete in regime di oligopolio con profitti commerciali basati in gran parte sulla pubblicità e non solo tramite i servizi forniti, ma attraverso un cyberspazio che è divenuto la dimensione naturale degli utenti. La rilevanza economica di questi profitti, ingigantiti con la pandemia e tuttora in crescita per l’esigenza di ripresa, ne fa delle potenze paragonabili a quelle di veri e propri stati.

Talvolta, pur essendo indiscutibile l’utilità dei servizi forniti da questi colossi, sono state violate anche le regole relative al rispetto e alla protezione dei dati personali, per cui servirebbero una vigilanza ed una regolamentazione tempestiva, che non giunga con mesi o anni di ritardo, quando l’evoluzione tecnologica  la renderebbe già obsoleta.

[Non ultima andrebbe tenuta presente la questione delle imposte, che dovrebbero controbilanciare il divario sociale e che solo recentemente è presa in considerazione da accordi internazionali, di portata al momento ancora limitata. Ndr]

 

Si giungerà prima o poi a una semplificazione delle informative privacy?

Con il metodo Creative Commons il contenuto e il significato delle licenze per la fruizione di contenuti protetti dal diritto d’autore sono tradotti in simboli standard, universali.

L’articolo Protocollo tra Garante e Creative Commons per semplificare le informative privacy informa che il Garante italiano per la privacy ha siglato un protocollo di intesa con “Creative Common” con l’obiettivo di pervenire in maniera automatica un’informativa privacy semplice e chiara, facendo da modello per gli altri Stati europei.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys