Il 3 marzo 2022, il decreto del Ministero della Salute recante le “Misure volte a facilitare e sostenere la realizzazione degli studi clinici di medicinali senza scopo di lucro e degli studi osservazionali e a disciplinare la cessione di dati e risultati di sperimentazioni senza scopo di lucro a fini registrativi, ai sensi dell’art. 1, comma 1, lettera c), del decreto legislativo 14 maggio 2019, n. 52”1, è entrato ufficialmente in vigore. In particolare, lo scopo del Decreto è quello di supportare gli studi clinici di medicinali senza scopo di lucro e di studi osservazionali, nonché – per quanto rileva il lato protezione dei dati personali – la cessione di dati e di risultati di sperimentazione cliniche, senza scopo di lucro a fini registrativi. La portata applicativa del Decreto è specificata all’art. 1 nel quale si fa riferimento alle sperimentazioni cliniche non a fini commerciali o senza scopo di lucro e alle sperimentazioni cliniche a basso livello di intervento e agli studi osservazionali.

Nello specifico, per sperimentazione clinica senza scopo di lucro, si intende la sperimentazione che presenta determinati requisiti quali:

• l’assenza di una finalità di sviluppo industriale o commerciale di più farmaci o ai fini di sfruttamento economico;
• la promozione deve provenire da una struttura, un ente, un’istituzione pubblica, una fondazione o un ente morale, di ricerca scientifica senza fini di lucro, un istituto di ricovero e cura a carattere scientifico o una persona fisica dipendente delle strutture summenzionate o un’impresa sociale;
• la promozione deve provenire da un soggetto non titolare di un’autorizzazione all’immissione in commercio del medicinale in sperimentazione e che non sia detentore di un interesse economico;
• la titolarità dei dati e dei risultati relativi alla sperimentazione, così come di ogni decisione inerente alla loro pubblicazione, sia esclusiva del promotore.

Con riguardo alla cessione dei dati di sperimentazione senza finalità di lucro e dei relativi risultati – profilo che, come anticipato, rileva nell’ambito della disciplina sulla protezione dei dati – l’art. 3 del summenzionato decreto prevede che la stessa sia consentita durante la sperimentazione e altresì in seguito alla sua conclusione, a fini registrativi. La cessione deve essere regolata mediante un contratto tra il promotore e il cessionario. Il promotore ha l’obbligo di trasmettere all’AIFA, al Comitato etico competente e ai centri di sperimentazione coinvolti una comunicazione ufficiale con la quale informa dell’avvenuta cessione dei dati e/o dei risultati. Una volta effettuata la cessione, il cessionario subentra a tutti gli effetti nella titolarità del trattamento dei dati personali correlati alla sperimentazione.

Nonostante il decreto dedichi nello specifico una disposizione alla cessione dei dati, i profili relativi alla protezione dei dati non sono del tutto chiari. Com’è noto per aversi cessione dei dati personali, è necessario rispettare le prerogative previste dal Regolamento europeo 679/2016 (“GDPR”). In prima istanza, è dirimente l’individuazione dei soggetti coinvolti nella cessione e la loro relativa qualifica. Nel caso in questione, la cessione dei dati coinvolgerebbe due soggetti qualificati titolari del trattamento, ai sensi dell’art. 4 del GDPR, ossia il cessionario e il promotore. In secondo luogo, la cessione può avvenire previa individuazione di una base giuridica legittimante. Parrebbe, dalla lettura della disposizione dinanzi citata, che l’unico riferimento alla base giuridica potrebbe rinvenirsi nel contratto tra il cessionario e il promotore, e, di conseguenza, sarebbe da individuarsi all’art. 6, par. 1, lett. b) del GDPR. Tuttavia, trattandosi di dati appartenenti a categorie particolari, risulta improbabile che la sola stipula del contratto possa essere sufficiente, tenuto conto altresì del fatto che deve esservi una delle condizioni di cui all’art. 9 del GDPR. L’incertezza relativa alla corretta individuazione della base giuridica si riflette altresì nell’assenza di un riferimento precipuo alle misure di sicurezza da implementare nel caso di cessione di dati e soprattutto di dati relativi alle sperimentazioni cliniche.

Sul tema, è opportuno citare che l’Autorità garante per la protezione dei dati è intervenuta attraverso la pubblicazione delle “Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali”2, le quali, seppur datate e facenti riferimento alla precedente disciplina, rappresentano un’insostituibile guida per comprendere tale trattamento. In particolare, tra gli aspetti da prendere in considerazione, possono elencarsi:

• l’informativa da rendere nei confronti dei soggetti interessati coinvolti, con la relativa specifica alla cessione dei dati personali;
• la raccolta del consenso; eventuale trasferimento dei dati all’estero;
• l’indicazione del periodo di conservazione dei dati e il possibile successivo riuso;
• la sicurezza e la custodia dei dati, con riguardo all’adozione di misure di sicurezza.

Il Decreto non menziona nessuno degli aspetti sopracitati, ma si limita – giova ribadirlo – a indicare esclusivamente che la cessione possa avvenire e che la stessa si perfeziona tra due soggetti, il promotore e il cessionario, qualificati titolari del trattamento. L’assenza di un’attenzione ai profili in materia di protezione dei dati potrebbe portare, di conseguenza, a delle forti criticità, nonché a dei rischi per i diritti e le libertà dei soggetti interessati coinvolti.

Fabiola Iraci Gambazza

1 gazzettaufficiale.it/eli/id/20…

2 garanteprivacy.it/home/docweb/…

L'articolo Cessione dei dati relativi alle sperimentazioni cliniche: profili critici del nuovo decreto proviene da E-Lex.

🗣️ One week until Max Schrems and Romain Robert will be speaking at this year's #EDPSconf2022. Register now in order to follow the live stream! 🎦

Registration: edpsconference2022.eu/en
Programme: edpsconference2022.eu/en/confe…

mastodon.social/@noybeu/108442…

This online map demonstrates that according to publicly available data, the allegedly geographically “targeted” data retention proposed by a Belgian draft law will in truth cover the entire national territory and the entire population. This is the first time, citizens and Members of Parliament get a rough impression of the law’s impact, since the government does not provide the data necessary. Please find a detailed explanation below the map. (And read more in our press release.)

Red areas are zones of mass surveillance

The Belgian government plans data retention on five levels (Art. 126/1 § 3 from page 330). Our map shows, colored red, the areas affected by surveillance only on the first of these five levels, the so-called geographically “targeted” data retention. In the areas colored red, all connection and location data of all citizens would be retained. With each of the other four levels explained below, more red-colored areas would be added. In practice, the surveillance pressure against the population is even higher than shown on our map.

A new generation of mass surveillance laws

In combination of all levels, the Belgian Government’s plans undermine the essence of the rulings of the EU Court of Justice. The latter stipulates that surveillance is at most possible in temporary, objectively justified exceptional cases and when really necessary. The plans of the Belgian government, on the other hand, are aimed at permanent and comprehensive data retention. This is why this model must not become a blueprint for the EU and its Member States.

Belgian data retention model violates citizens’ rights

The European Court of Justice ruled that general and indiscriminate retention of information on every person’s calls and movements violates the fundamental right to respect for privacy. In a legal opinion published in April, former EU judge Prof. Dr. iur. Vilenas Vadapalas states that targeting all areas with above-average crime rates would not be compatible with the values and case-law available.

Low crime areas covered

According to our calculations, the Belgian average crime rate is of 11 serious offences per 1,000 inhabitants per three years. Compared to the national average, the proposed thresholds (3, 5 and 7) enabling data retention are thus far below the national average, and the proposal would hence even covers low-crime areas, in contradiction with the former ECJ judge’s opinion.

The Belgian Data Retention Model: surveillance on five levels

Level 1: As shown in the map in red is geographically “targeted” data retention in areas with an average of at least three crimes per 1,000 inhabitants over the past three years. The decisive factors are executed and attempted criminal offenses under Article 90ter §§ 2 to 4 of the Belgian Code of Criminal Procedure. The threshold of three offenses per 1,000 inhabitants is set by the government.

Note: The following other four levels are not shown in the map

Level 2: General data retention throughout the national territory for 12 months, starting at level three of the five-level national threat level.

Level 3: Data retention for particularly vulnerable areas for 12 months. This applies to places frequented by everyone: Ports, metros, airports, critical infrastructure communities, etc.

Level 4: Data retention for 12 months in zones with a potential threat to the interests of the country or the population: buildings of economic or scientific scientific importance, highways, public parking lots, city halls, the National Bank of Belgium, etc.

Level 5: Data retention for 12 months in areas with a potential threat to international institutions and includes EU, NATO, UN and other buildings, among other areas.

How we accessed and compiled the data

For this map, we used only public sources, geo data from taxation authority (provided by geo.be), population data from statistics body and over 1.000 PDFs with crime data from the federal police.

We then wrote our own software to scan the PDFs and to free the crime figures and make them accessible for machines. We also generated a list of over 1.000 different sorts of crime contained in the police data and tried to determine, which of them would trigger data retention following the Belgian governments data retention draft.

Putting these data together, we got a list of 13 Belgian judicial provinces (arrondissements judicaires) with the number of crimes and population in that area, which in the end made the map we present here.

We computed for each province/zone:

1000 x number of crimes (according to art. 90ter §§ 2-4) / population

(The number of crimes was the average yearly value from years 2018-2020.)

If the result number for a province goes over 3, the area becomes red. All areas are far above this level. For 2021 no complete data was provided in the reports we got. All data we digged will be available to the public on codeberg.org where you can also read the whole story about the adventures of freeing Belgian crime data.

patrick-breyer.de/en/targeted-…

RT @EU_EDPS
What are the judicial remedies under #GDPR? What's their impact on complaints' handling by DPAs? Are collective actions to replace or complement complaints before DPAs? Follow @TetsuwanAstro @johnnyryan Judith Rauhofer and @podehaye in panel moderated by @FusterGloria #Countdown

mastodon.social/@noybeu/108441…

Il prossimo 9 giugno, Giovanni Maria Riccio, insieme alla dott.ssa Federica Pezza, presenterà una relazione su “The ‘made in Italy’ case: between the need for social recognition of Italian minor arts and elaboration of alternative instruments of protection” al workshop “Markets for applied arts, artistic crafts, and design” che si terrà presso la Erasmus University di Rotterdam.

Il workshop si inserire in una serie di seminari intitolati “TOOLS FOR THE FUTURE – RESEARCHING ART MARKET PRACTICES FROM PAST TO PRESENT” ospitati da alcune università europee, tra cui la Business School for the Creative Industries – University for the Creative Arts, l’Université Paul Valérie – Montpellier 3 e lo IESA – Institut d’Etudes Supérieures des Arts.

Il programma completo è disponibile qui.

L'articolo Giovanni Maria Riccio relatore al workshop “Markets for applied arts, artistic crafts, and design” proviene da E-Lex.

🕵️‍♂️ You heard of illegal data processing and want to share your knowledge?

👥 Stay anonymous, and drop documents with noyb via SecureDrop! 🔐💧

Find out more on noyb.eu/@noybeu.rss!
▶ noyb.eu/en/securedrop

mastodon.social/@noybeu/108441…

Le Parlement belge s’apprête à voter en commission ce jeudi 09/06/2022 sur la nouvelle proposition de conservation des données, qui comprend un système de conservation des données prétendument géographiquement “ciblé”. Au moyen d’une carte interactive qu’il rend disponible en ligne, le député européen Patrick Breyer (Verts/ALE, Pirates) démontre que, selon les données publiques disponibles, ce système de rétention “ciblée” couvrira en réalité l’ensemble du territoire national et de la population.

La Cour de justice des Communautés européennes (CJUE) a statué que la conservation générale et indiscriminée d’informations sur les appels et les déplacements des personnes violait le droit fondamental au respect de la vie privée. En mai, le député européen Patrick Breyer et l’ONG belge la Ligue des droits humains (LDH) ont déposé des avis sur le projet de loi belge, qui prétend mettre en œuvre les arrêts de la CJUE.

Carte en ligne : Ce à quoi ressemblerait la rétention de données géographiquement “ciblée” selon les plans du gouvernement belge : patrick-breyer.de/en/data-rete…

L’eurodéputé Patrick Breyer met en garde :

“Le projet de loi belge est un dangereux précédent pour une nouvelle génération de lois sur la rétention des données. Les autorités de surveillance accros aux données tentent de contourner les arrêts des Cours sur l’illégalité de la collecte généralisée des communications et des données de localisation. À première vue, les plans de surveillance semblent limités, mais ceux qui les examinent de près se rendent vite compte que l’intention de la loi est de maintenir une surveillance de masse totale, contrairement aux arrêts de la Cour de justice de l’UE.”

Une législation opaque – une surveillance totale

Les députés belges ont demandé à de nombreuses reprises au gouvernement de divulguer le pourcentage de la population ou du territoire qui serait couvert par sa proposition. À chaque fois, le ministre de la Justice (Vincent van Quickenborne) a affirmé ne pas connaître les chiffres ; il invite les députés à voter la loi sans tenir compte de l’absence de ces chiffres, et à attendre un an pour découvrir dans le rapport annuel de transparence l’impact réel que sa proposition législative aura sur la population belge. Il s’avère que ces affirmations d’ignorance sont vraisemblablement fausses, car les seuils choisis par le gouvernement pour “activer” la conservation des données dans les zones “ciblées” semblent avoir été fixés de manière à ce que l’ensemble du territoire soit couvert. Le député Breyer a en effet chargé un chercheur de réaliser lui-même l’exercice de cartographier le territoire couvert, en utilisant des données publiques sur les statistiques de la criminalité belge. Avec la publication de cette carte, les citoyens et les députés peuvent enfin se faire une première idée de l’impact de la loi et se rendre compte qu’en effet, cette forme “ciblée” de conservation des données n’est pas du tout ciblée: Il ne s’agit que d’une autre forme de surveillance généralisée déguisée, qui sera sans aucun doute annulée par la Cour pour la troisième fois en Belgique. Peut-être qu’un débat informé peut maintenant (enfin) avoir lieu à la Chambre?

Les plans violent les droits des citoyens

Dans le même temps, la Commission européenne propose aux États membres des idées sur la manière dont la rétention des données pourrait peut-être être effectuée massivement sans pour autant franchir les limites fixées par la CJUE dans ses nombreux arrêts. L’une de ces idées consiste à utiliser l’approche “ciblée” pour couvrir la plus grande partie possible de la population, ce qui est précisément ce que le gouvernement belge tente de mettre en œuvre ici – d’où l’intervention du député Breyer, face à un Etat Membre qui donnerait un mauvais exemple à suivre pour les autres. Dans un avis juridique publié en avril, l’ancien juge de la CJUE, Prof. Dr. iur. Vilenas Vadapalas déclarait déja que cibler toutes les zones présentant un taux de criminalité supérieur à la moyenne ne serait pas compatible avec les valeurs et la jurisprudence disponibles. Il soulignait qu’il doit y avoir une incidence “élevée” (et pas seulement supérieure à la moyenne) de criminalité grave dans une zone pour justifier le recours à la conservation des données.

Or, en Belgique selon nos calculs, le taux de criminalité moyen national est de 11 infractions graves pour 1 000 habitants pour 3 ans. Par rapport à la moyenne nationale, le seuil minimal (3) proposé par le gouvernement est donc bien inférieur à la moyenne, et couvre aussi les zones à faible criminalité, en contradiction avec l’opinion de l’ancien juge de la CJUE.

L’approche “Quick Freeze”, une solution viable

Cependant, quel que soit le seuil à atteindre pour satisfaire les lignes rouges fournies par la CJUE, le député Breyer est d’avis que cette approche est fondamentalement erronée. S’engager dans le bourbier qu’est de déterminer le “bon” seuil (ou la “bonne” taille des zones à surveiller) implique aussi d’accepter le prédicat selon lequel il est acceptable que le gouvernement exerce une surveillance de masse sur ses citoyens, pour la majorité innocents. Au lieu de cela, le député Breyer exhorte les législateurs européens à trouver d’autres moyens, plus proportionnés et ayant moins d’impact sur la démocratie et les droits fondamentaux des personnes.

Une telle solution proportionnée est l’approche dite de “gel rapide”, telle qu’elle est actuellement discutée en Allemagne; selon cette approche, les données pertinentes ne sont conservées qu’à partir du moment où il existe une raison suffisante de le faire. L’accord de coalition allemand va en ce sens: “Compte tenu de l’incertitude juridique actuelle, de l’arrêt à venir de la Cour de justice de l’Union européenne et des défis qui en découlent en matière de politique de sécurité, nous ferons évoluer la réglementation sur la conservation des données de manière à ce que les données puissent être conservées de manière juridiquement sûre sur une base ad hoc et par décision judiciaire.” L’Union Européenne attend que la Cour de justice des Communautés européennes se prononce sur l’ancienne loi allemande sur la conservation des données avant de décider d’imposer ou non la conservation des données dans toute l’UE. Dans l’intervalle, des États membres comme la Belgique ou le Danemark poursuivent leurs programmes nationaux.

Des études ont montré cependant que les lois sur la conservation des données n’ont eu aucun effet mesurable sur le taux de criminalité ou le taux d’élucidation des crimes dans aucun pays de l’UE. Les demandes de données de communication sont rarement infructueuses, même en l’absence d’une législation sur la conservation des données sans discernement.

Méthodologie et données à l’origine de la carte

Le gouvernement belge propose d’utiliser les infractions visées à l’article 90ter du Code d’instruction criminelle belge comme indicateur du concept non-défini légalement de “criminalité grave”. Les données relatives aux statistiques de la criminalité dans les différentes régions de Belgique au fil des ans sont accessibles au public; le chercheur les a extraites dans un tableau Excel (mis à disposition du public), où les crimes pertinents ont été pris en compte aussi précisément que possible, et les autres catégories écartées. Il a ensuite été calculé si les seuils étaient atteints pour les différents arrondissements (>3, >5 et >7 infractions pour 1000 habitants en moyenne pour les 3 dernières années, justifiant respectivement 6, 9 et 12 mois de conservation des données). Ce calcul donne une approximation du taux de crimes graves, et permet donc de cartographier les zones du territoire impactées par le régime “ciblé” de rétention des données tel que proposé. Tout le territoire est couvert; les chiffres sont-ils donc si élevés, ou bien sont-ce les seuils qui sont très bas?

Remarque : l’exposé des motifs de la proposition fournit des données pour deux zones : Bruxelles et Charleroi. Par rapport à celles-ci, les chiffres de criminalité de la carte réalisée par nos soins sont trop élevés d’environ 18% pour Bruxelles et trop bas d’environ 12% pour Charleroi. Ce manque de précision résulte de la mise en correspondance manuelle des données publiques avec les infractions visées à l’article 90ter; il ne nuit pas à la valeur ajoutée de ce exercice de cartographie, car les deux zones seraient toujours couvertes même si les données correspondaient exactement aux chiffres fournis dans la proposition. Il s’agit de la première cartographie publiquement disponible de l’impact de la proposition; s’il réfute les résultats de cet exercice, il appartient au gouvernement de contester les calculs et de nous fournir des chiffres plus précis.

patrick-breyer.de/en/conservat…

Vi sono taluni casi nei quali un semplice "oggetto" travalica il suo significato di prodotto di consumo per diventare qualcosa di differente, di molto più ricco a livello emozionale.

iyezine.com/kina-questi-anni-c…

Kina Questi Anni Cd + Dvd

Kina Questi Anni Cd + Dvd : Vi sono taluni casi nei quali un semplice "oggetto" travalica il suo significato di prodotto di consumo per diventare qualcosa di differente, di molto più ricco a livello emozionale.

^{In Your Eyes ezine}

Google pagherà 100 milioni di dollari ai residenti dell’Illinois a seguito di una class action per una funzionalità di riconoscimento facciale di Google Foto

Google ha accettato di pagare $ 100 milioni ai residenti dell’Illinois a seguito di causa di class action su una delle sue funzionalità di riconoscimento facciale in Google Foto (tramite Gizmodo). La denuncia sostiene che lo strumento di raggruppamento dei volti di Google, che identifica automaticamente il tuo volto nelle foto e nei video caricati su Foto, viola il Biometric Information Privacy Act (BIPA) dell’Illinois.Introdotto nel 2008, il BIPA impedisce alle aziende di raccogliere e archiviare qualsiasi tipo di dati biometrici, tra cui una “scansione della retina o dell’iride, impronta digitale, impronta vocale o scansione della geometria della mano o del viso” senza rendere un individuo consapevole per iscritto del motivo per cui sta raccogliendo questo tipo di dati e per quanto tempo prevede di conservarli.

theverge.com/2022/6/6/23156198…

Call for views: Privacy nella progettazione del prodotto

L’Information Commissioner’s Office (“ICO”) ha lanciato una consultazione sulla privacy nella progettazione del prodotto per comprendere come i team di prodotti digitali applicano concretamente la Privacy by Design per assistere l’ICO nel fornire supporto pratico. In particolare, l’ICO ha invitato designer e membri del team di prodotto a esprimere come considerano la privacy nella progettazione di prodotti digitali.

Call for views: Privacy in product design | ICO

La Cina ridefinisce la proposta sulla governance di Internet, rivolta ai paesi in via di sviluppo

Il governo cinese ha fatto un altro tentativo nel promuovere la sua visione di Internet, in un riproposizione destinata ad attirare le regioni in ritardo. Nel corso degli anni, la Cina ha fatto diversi tentativi di cambiare l’attuale architettura di Internet, principalmente nel contesto dell’Unione internazionale delle telecomunicazioni (ITU), l’agenzia delle Nazioni Unite per le tecnologie ICT. Contrariamente ad altre organizzazioni di standardizzazione dominate da aziende private, nelle ITU i governi svolgono un ruolo di primo piano. Pertanto, Pechino ha utilizzato questo forum per attirare paesi che potrebbero avere interessi simili nell’affermare un controllo governativo più forte su Internet.

La Cina ridefinisce la proposta sulla governance di Internet, rivolta ai paesi in via di sviluppo – EURACTIV.com

guidoscorza.it/privacy-daily-8…