Regolamento sulla Protezione dei dati personali 679/2016 ... · Tra le novità principali,...

Il nuovo Regolamento PrivacyRegolamento sulla Protezione dei dati personali 679/2016: nuovi adempimenti per le imprese e la PA

Giovedì 16 marzo 2017Auditorium Cosimo Ridolfi di Banca CR Firenze

Dott. Michele Luigi Giordano

2© 2017 Studio Associato - Consulenza legale e tributaria è un’associazione professionale di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.

Indice 1. La disciplina normativa di riferimento

2. Data Protection Impact Assessment

3. Privacy by Design & Privacy by Default

4. Sistema di gestione privacy nel sistema di controllo interno aziendale: collegamenti con il D.Lgs. 231/2001

1. La disciplina normativa di riferimento

La disciplina normativa di riferimentoLa nuova strategia di compliance alla PrivacyTra le novità principali, introdotte dal nuovo regolamento privacy Ue, si evidenzia il nuovo concetto di governance e gestione della stessa normativa privacy (inteso come sistema di gestione e controllo sul trattamento dei dati personali) ed il principio dell’accountability ( inteso come dimostrazione che il trattamento dei dati personali effettuato è conforme al Regolamento).La declinazione di tali principi può essere individuata nei seguenti elementi: i titolari del trattamento, sia pubblici che privati, dovranno dimostrare di aver effettuato analisi

di privacy risk assessment a tutela dei dati (privacy impact assessment); I titolari del trattamento dovranno dimostrare di aver adottato misure tecniche ed

organizzative adeguate per la tutela dei dati e di aver effettuato una valutazione preventiva (privacy by design) e che il trattamento dei dati avvenga di default, cioè trattare solo i dati personali necessari per la specifica finalità del trattamento (privacy by default);

il ruolo di sorveglianza e la responsabilità del protection officer , che diventa obbligatorio in tutta una serie di casistiche, avrà un ruolo significativo anche nella dialettica della responsabilità giuridica ascrivibile al titolare del trattamento, sotto il profilo della culpa in eligendo e in vigilando;

Il ruolo di controllo delle Autorità pubbliche; il nuovo quadro sanzionatorio caratterizzato da sanzioni che potranno arrivare sino al 4% del

fatturato mondiale annuo della società, in caso di violazioni particolarmente gravi; codice di condotta e certificazione per la corretta applicazione del Regolamento.

La disciplina normativa di riferimentoIl 4 maggio 2016, sulla Gazzetta Ufficiale dell’Unione europea n. L119, è stato pubblicato il nuovo Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Gli argomenti del presente intervento sono disciplinati da:

Art. 35 e 36 del Regolamento UE - Data Protection Impact Assessment Art. 25 del Regolamento UE - Privacy by Design & Privacy by Default

La disciplina normativa di riferimentoArticolo 35 Valutazione d'impatto sulla protezione dei dati 1.Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2.Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. 3.La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4.L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.

5.L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato.

6.Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione.

La disciplina normativa di riferimento(segue)7.La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8.Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.

9.Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

10.Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Statimembri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

11.Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

La disciplina normativa di riferimentoArticolo 36Consultazione preventiva 1.Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

2.Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l'autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all'articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L'autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all'ottenimento da parte dell'autorità di controllo delle informazioni richieste ai fini della consultazione.

3.Al momento di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento comunica all'autorità di controllo:

a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale;

b) le finalità e i mezzi del trattamento previsto;

c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d) ove applicabile, i dati di contatto del titolare della protezione dei dati;

e) la valutazione d'impatto sulla protezione dei dati di cui all'articolo 35

La disciplina normativa di riferimentoSEGUEa) ogni altra informazione richiesta dall'autorità di controllo.

4.Gli Stati membri consultano l'autorità di controllo durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.

5.Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.

La disciplina normativa di riferimentoArticolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

2. Data ProtectionImpact Assessment

Il nuovo Regolamento Ue 2016/679 prevede che: "quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,

considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi" (art. 35, comma 1, del Regolamento);

"La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove

applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i

meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione." (art. 35, comma 7, del Regolamento).

Data Protection Impact AssessmentI FOCAL POINT DELLA NORMA

CONSIDERANDO N. 84Per potenziare il rispetto del Regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorità di controllo.

CONSIDERANDO N. 90(…) è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

Data Protection Impact AssessmentI FOCAL POINT DELLA NORMA

Il Data Protection Impact Assessment (valutazione degli impatti sulla protezione dei dati) introduce il concetto di Control e Risk assessment, attraverso i seguenti elementi:

La valutazione d’impatto potrà essere condotta a livello di singolo processo oppure a livello di macro-processo, o addirittura di organizzazione, qualora i processi analizzati presentino vaste aree di similarità e rischi analoghi.

Pertanto si genera una valutazione di rischio e d’impatto preliminare a livello aziendale, che raggruppa tutti i trattamenti in essere all’interno dell’organizzazione, per poi procedere a valutazioni di dettaglio sui trattamenti a rischio.

• I Rischi legati alla Privacy, ovvero al trattamento di dati personali possono riguardare un processo, una tecnologia e/o un’organizzazione. (valutazione del rischio)

RISCHIO

• La valutazione dell’impatto che l’adozione di determinate misure tecniche e/o organizzative hanno sulla protezione dei dati stessi serve a misurare la riduzione del rischio stesso. (valutazione del misure di controllo)

IMPATTO

Data Protection Impact AssessmentINTERPRETAZIONE

Il nuovo Regolamento riporta anche alcuni ambiti di trattamento per i quali il DPIA risulta essere obbligatoria. Tra questi rientrano:

i trattamenti di dati su larga scala, che mirano al trattamento di una notevole quantità di dati personali e che potenzialmente presentano un rischio elevato, ad esempio, per la loro sensibilità

i trattamenti derivanti dall’impiego di nuove tecnologie o che presentano un rischio elevato per i diritti e le libertà degli interessati

quando i dati sono trattati per adottare decisioni riguardanti determinate persone fisiche, in seguito ad una valutazione sistematica e globale degli aspetti personali (quale ad esempio quelle operate da uno studio clinico/sanitario)i trattamenti basati sulla profilazione (ad es. le tecniche di re-marketing, piuttosto sistemi di profilazione d’acquisto legati all’utilizzo delle fidelity card) o su trattamenti automatici dei dati stessi, e che vanno ad avere effetti giuridici, o incidono significativamente sulle persone fisiche

i trattamenti di particolari categorie di dati personali quali quelli biometrici, genetici o relativi a condanne penali, nonché i reati o le misure di sicurezza ad essi connesse

la sorveglianza sistematica su larga scala di zone accessibili al pubblico

altre ipotesi decise e pubblicate dall’autorità

Articolo 32 del REGOLAMENTO PRIVACYSicurezza del trattamentoNel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano, tra l'altro, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Distruzione o perdita di dati

Accesso non autorizzato

Trattamento non consentito

Trattamento non conforme alle finalità della raccolta

Nella sostanza il DPIA si estrinseca in un Modello organizzativo che potrebbe essere composto dai seguenti elementi:

Indicazione delle motivazioni del DPIA ed identificazione dei responsabili del processo di valutazione

Analisi organizzativa dei processi aziendali nell'ambito dei quali sono trattati i dati

Identificazione degli interessati del trattamento (es. dipendenti, fornitori)

Identificazione delle tipologie di trattamento (es. dati anagrafici, sanitari, etc.)

Identificazione della categoria del trattamento (dati comuni, sensibili e giudiziari)

Identificazione delle finalità del trattamento

Modalità di trattamento (informatica o cartacea)

Data Protection Impact AssessmentIPOTESI DI CONTENUTI DEL DPIA

Funzioni coinvolte (in qualità di Responsabile o di Incaricato del trattamento)

Necessità del trattamento e proporzionalità nell'uso dei dati

Valutazione dei rischi inerenti previsti dall'art. 32 del Regolamento UE in termini di probabilità e impatto

Valutazione dei rischi residui attraverso la valutazione del Sistema di controllo interno privacy (misure di sicurezza, procedure, informative, consensi, formazione, nomine, flussi informativi al DPO)

Monitoraggio e riesame per la valutazione della conformità del trattamento in relazione alla valutazione di impatto effettuata

Data Protection Impact AssessmentIPOTESI DI CONTENUTI DEL DPIA

Regolamento Europeo approvato il 14 aprile 2016

UNI CEI ISO/IEC 27001:2014 - Sistema di gestione della

sicurezza delle informazioni

UNI ISO 19600:2016 che definisce l'approccio sistemico

alla conformità aziendale

UNI EN ISO 19011:2012 "Linee Guida per Audit di

Sistemi di Gestione"

UNI EN ISO 27000:2014 - Tecnologia delle informazioni

Provvedimenti del Garante Privacy a seconda del

settore di riferimento

Linee Guida DPO del Gruppo dei Garanti UE (WP29) del

13 dicembre 2016

Prassi di Federprivacy: associazione dei Privacy Officer

I principi e criteri tecnici di redazione

di un Data Protection Impact

Assessmentderivano dalla

normativa e dalle principali best

practices in materia ad oggi esistenti

Data Protection Impact AssessmentIPOTESI DI APPROCCIO METODOLOGICO PER LA REDAZIONE DEL DPIA

RISCHIO PRIVACY

RISCHIO PRIVACY INERENTE SISTEMA DI CONTROLLO INTERNO

RISCHIO PRIVACY RESIDUO

Il RISCHIO PRIVACY ai fini del Data Protection Impact Assessmentsi calcola come la differenza tra il livello di RISCHIO INERENTE

e l'efficacia del SISTEMA DI CONTROLLO INTERNO

Marginale Soglia Superiore

Impatto

MATRICE DEL RISCHIO PRIVACY

da 1 a 2

da 4 a 16

da 32 a 128

La metodologia utilizzata per la Matrice del Rischio Privacy è elaborata in base alla best practicenazionale ed internazionale vigente, ed in particolare è allineata con il documento "Enterprise Risk Management - Integrated Framework" pubblicato dal CoSO(Committee of Sponsoring Organizations of the TreadwayCommission) nel 2004 ed attualmentein fase di aggiornamento, secondo il quale "I rischi sono analizzati, determinando la probabilità che si verifichino in futuro e il loro impatto, al fine di stabilire come devono essere gestiti. I rischi sono valutati in termini di rischio inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato interventi per ridurlo)."

VALUTAZIONE COMPLESSIVA DEL RISCHIO PRIVACY INERENTE = valore PROBABILITA' x valore IMPATTO

16 32 64 128

8 16 32 64

4 8 16 32

2 4 8 16

1 2 4 8

3. Privacy by Design & Privacy by Default

Privacy by Design & Privacy by DefaultI FOCAL POINT DELLA NORMA

Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

CONSIDERANDO N. 78

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.

Tali misure potrebbero consistere, tra l'altro: • nel ridurre al minimo il trattamento dei dati personali; • pseudonimizzare i dati personali il più presto possibile; • offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali; • consentire all'interessato di controllare il trattamento dei dati e consentire al titolare del

trattamento di creare e migliorare caratteristiche di sicurezza. (…)

Privacy by Design & Privacy by DefaultI FOCAL POINT DELLA NORMA

CON IL CONCETTO DI Privacy by Design & Privacy by Default "OGNI PROGETTO, RELATIVO AD UN PROGRAMMA , AD UNO SPECIFICO OGGETTO, SIN DALLA SUA PROGETTAZIONE DEVE PORRE AL CENTRO LA PRESONA (L'INDIVIDUO) ED ESSERE QUINDI IDEATO SECONDO UN APPROCCIO PRIVACY ORIENTED VOLTO A VALUTARE SE CIO' CHE SI STA PROGETTANDO AVRA' UN IMPATTO CON I DATI PERSONALI E QUINDI LA TUTELA DEGLI STESSI DATI DEVE ESSERE ELEMENTO DI ANLISI DEL PROGETTO".

Privacy by Design Privacy by Default

Concetto della tutela del dato fin dalla progettazione, che riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale.In termini pratici, qualsiasi progetto ad impatto privacy deve nascere ed essere costruito nel rispetto della disciplina di protezione dei dati personali.

Concetto della tutela della privacy per impostazione predefinita, che prevede il porre in essere di misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali per ogni specifica finalità del trattamento.

Privacy by Design & Privacy by DefaultINTERPRETAZIONE

Privacy by Design

L’interessato, o meglio l’utente di un servizio (es. applicazione, registrazione ad un sito web, servizi on demand, ecc.), è posto al centro del progetto sin dalla sua fase iniziale seguendo un approccio risk based che valuta le attività di trattamento contestualmente ai rischi che tali attività comportano per i diritti degli utenti.

Il Titolare sarà anche tenuto a dotarsi di una struttura e mezzi tali da garantire come impostazione predefinita di default che vengano raccolti e trattati solo i dati strettamente necessari al raggiungimento della specifica finalità definita e che questi ultimi vengano conservati solo per il tempo strettamente necessario per perseguire l’indicata finalità e resi accessibili solo al personale espressamente e preventivamente autorizzato (Privacy by Default).

Questo approccio concettuale innovativo impone alle aziende l'obbligo di avviare qualsiasi progetto ad impatto privacy introducendo fin dall'inizio gli strumenti a tutela dei dati personali in una fase quindi ex ante il trattamento del dato, ovvero dalla progettazione (Privacy by Design).

Privacy by Default

In base al Regolamento il Titolare del trattamento deve adottare opportune misure tecniche e organizzative, conformate a seconda del tipo di dato e trattamento (by design) e tali da garantire quali impostazioni predefinite (by default) che solo i dati personali necessari agli scopi dichiarati siano elaborati.

Le misure tecniche e organizzative devono concernere:• quantità dei dati raccolti;• estensione del loro trattamento;• periodo di conservazione e la loro accessibilità.

Le misure devono garantire che, per impostazione predefinita, i dati personali non siano resi accessibili a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

L’art. 25, infine, indica come un meccanismo di certificazione riconosciuto ex art. 42 può essere utilizzato ai fini di dimostrare la conformità con il Regolamento delle misure tecnico-organizzative adottate.

MISURE TECNICHE MISURE ORGANIZZATIVE

Le misure tecniche, ex art. 32, devono concernere, a seconda dei casi:

• la pseudoanonimizzazione e la crittografia dei dati personali;

• la capacità di garantire riservatezza, integrità, disponibilità e resistenza di sistemi e servizi che trattano dati personali;

• la capacità di ripristinare disponibilità e accesso ai dati, in modo tempestivo, in caso di incidente fisico o tecnico;

• un processo per regolare il test e valutare l’efficacia delle tecniche e misure organizzative atte alla sicurezza del trattamento.

Per quanto concerne le misure organizzative, queste devono garantire che qualunque persona che agisce sotto la autorità del Titolare e del Responsabile, e che ha accesso ai dati personali, possa elaborare i dati solo secondo le istruzioni impartite, salvo obblighi giuridici.

Il Legislatore europeo ha anche modificato radicalmente il concetto di limite della misura, ovvero in tutto il testo non parla più di “misure minime”, ma usa termini quali idonee, adeguate, opportune, e così via, costringendo il Titolare, per esempio, a commisurare la misura tecnico-organizzativa adottata alla tipologia di trattamento, natura del dato e livello di rischio.

Privacy by Design & Privacy by DefaultCONTENUTI

4. Sistema di gestione privacy nel sistema di controllo interno delle aziende: collegamenti con il D.Lgs. 231/2001

La compliance alla privacy come Modelli di prevenzione dei rischi di compliance normativa

Il Regolamento europeo, introducendo i concetti di privacy by design e by default e data protection impact assessment, di fatto si è ispirato ai modelli e sistemi di prevenzione e controllo dei rischi di compliance normativa.

Il nuovo approccio previsto dal Regolamento, infatti, attribuisce alle imprese la responsabilità di analizzare e valutare i rischi privacy e di adottare, conseguentemente, tutte quelle misure e precauzioni necessarie per evitare perdita di dati, violazioni, accessi abusivi ed alterazioni nei trattamenti dei dati che interessano l’impresa medesima.

Nell’ottica di integrazione tra i diversi sistemi di gestione e controllo, si può evidenziare come il nuovo approccio alla compliance della privacy possa rappresentare un solido punto di partenza per l’attuazione di un sistema di governance integrato.

Tale approccio è già avvenuto per effetto di altri sistemi normativi che richiamano più o meno direttamente il Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 , come per esempio: la Legge Anticorruzione e relativi Piani Anticorruzione; la Cooperative compliance fiscale; il Rating di Legalità e D'Impresa e la sua considerazione nel nuovo Codice dei contratti pubblici).

Pertanto, tale approccio integrato deve intendersi come processo finalizzato ad assicurare la conformità dell’operatività aziendale alle norme vigenti, interne ed esterne, attraverso un approccio che consenta la loro integrazione nei processi aziendali, anche in prospettiva di un miglioramento dell’efficacia e dell’efficienza complessiva e del controllo.

Delitti informatici e trattamento illecito dei dati (Art. 24-bis del D.Lgs. 231/2001)

Art. 24-bis del D.Lgs. 231/2001, introdotto dalla Legge 18 marzo 2008, n. 48:

— Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.)

— Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

— Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)

— Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)

— Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)

— Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.)

— Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)

— Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)

— Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)

— Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)

— Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)

Nello specifico, alcuni dei comportamenti che costituiscono una minaccia alla sicurezza informatica, sono stati qualificati all’interno del nostro ordinamento come condotte penalmente perseguibili ed inseriti tra i “reati presupposto” della responsabilità degli enti di cui al D.Lgs. n. 231/2001:

Analogie e differenze con il D.Lgs. 231/2001

Nell'agosto 2013* il legislatore aveva inserito nel novero dei reati presupposto ex D.Lgs. 231/2001 i seguenti delitti privacy:— trattamento illecito dei dati personali;— falsità nelle dichiarazioni notificazioni al Garante;— inosservanza dei provvedimenti del Garante.

LA PENA PREVISTAIn assenza/insufficienza dei Modelli organizzativi previsti dalla normativa 231, se i vertici dell'impresa avessero commesso uno dei delitti previsti in materia di privacy, la Società sarebbe stata soggetta ad una sanzione da 100 a 500 quote (una quota singola può variare da un minimo di 258 fino a un massimo di 1.549 euro).

RETRO-FRONTIl Decreto Legge n. 93/2013 è stato convertito in legge, ma con l’esclusione dei reati relativi alla privacy.L'estromissione dei reati privacy dal D.Lgs. 231/2001 potrebbe far pensare ad una scarsa attenzione che le Istituzioni danno alla tutela e riservatezza dei dati personali.Tuttavia ciò è smentito dalla tendenza europea, che ha visto la recente pubblicazione del nuovo Regolamento Europeo in materia di Protezione dei Dati.

Delitti in materia di privacy: prima inseriti nel D.Lgs. 231/2001, poi estromessi

* Decreto Legge 14/8/2013 n. 93, intitolato “Norme urgenti in materia di sicurezza e per il contrasto della violenza di genere” in vigore dal 17 agosto 2013 e da convertire in legge entro 3 mesi, aveva modificato ed aggiornato l’articolo 24 bis comma 1 del Decreto legislativo 231 del 2001 (Delitti informatici e trattamento illecito di dati – in vigore dall’aprile 2008)

Retro-front del D.Lgs. 231/2001 per i delitti privacy

VALUTAZIONE DEL RISCHIOData Protection Impact Assessment

ex Regolamento PrivacyControl & Risk Self Assessment

ex D.Lgs. 231/2001

Il Rischio Privacy può essere inteso come il rischio relativo alla:— Distruzione o perdita di dati;— Accesso non autorizzato;— Trattamento non consentito;— Trattamento non conforme alle finalità della raccolta.

Il Rischio ex D.Lgs. 231/2001 è il rischio di commissione di un reato presupposto, ovvero un reato previsto nel catalogo dei c.d. "reati 231".

Il Rischio Privacy è calcolato in termini di probabilità ed impatto.

Il Rischio ex D.Lgs. 231/2001 è calcolato in termini di probabilità ed impatto.

Deve essere effettuata una mappatura dei processi aziendali che hanno impatto con il trattamenti dei dati.

Deve essere effettuata una mappatura dei processi aziendali e delle relative attività sensibili ai fini della commissione dei reati 231.

Il Rischio residuo viene calcolato considerando l'efficiacia del Sistema di controllo interno, ovvero:— Procedure;— Formalizzazione delle nomine;— Informative effettuate;— Raccolta del consenso;— Esistenza di un sistema di flussi informativi al DPO;— Misure minime di sicurezza;— Formazione.

Il Rischio residuo viene calcolato considerando l'efficiacia del Sistema di controllo interno, ovvero:— Procedure e protocolli 231;— Formalizzazione di deleghe e procure;— Tracciabilità delle attività e dei controlli;— Esistenza di un sistema di flussi informativi all'OdV;— Formazione;— Codice etico.

Alcune analogie e differenze con il Modello 231

CODICE ETICOCodice di condottaex Regolamento Privacy

Codice di condottaex D.Lgs. 231/2001

L'art. 40 del Regolamento incoraggia l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità settoriali e delle esigenze specifiche delle micro, piccole e medie imprese.

L’adozione di principi etici ai fini della prevenzione dei reati considerati nel D.Lgs. 231/2001 costituisce un elemento essenziale del sistema di controllo preventivo.

Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del regolamento.

Ai sensi dell'art. 3 del D.Lgs. 231/2001, i modelli di organizzazione e di gestione possono essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti

Tali codici devono essere sottoposti all’autorità di controllo dello Stato membro competente (nel caso dell’Italia, al Garante Privacy), che esprime un parere di conformità al Regolamento ed approva il codice, registrandolo e pubblicandolo.

Tali Modelli/Codice di comportamento possono essere comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati.

ORGANO DI CONTROLLOData Protection Officer (DPO)

ex Regolamento PrivacyOrganismo di Vigilanza (OdV)

ex D.Lgs. 231/2001

I compiti assegnati al DPO riguardano:— la sorveglianza sull’applicazione delle politiche in

tema di trattamento dei dati, compresa l’attribuzione delle responsabilità, la formazione del personale e l’effettuazione degli audit connessi;

— la sorveglianza sull’applicazione del Regolamento, con riguardo, tra l’altro, alla progettazione sul trattamento dei dati, alla sicurezza dei dati, alle informazioni dell’interessato, ecc.;

— il controllo sul titolare che effettui la Valutazione d’impatto sulla protezione dei dati;

— il fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento;

— il dare informazioni ai rappresentanti sindacali sui trattamenti che riguardano i dipendenti.

Ha il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento

Il DPA deve avere disponibilità di risorse economiche e l’accesso ai data base aziendali.

È un organismo dotato di autonomi poteri di iniziativa e di controllo

MODELLO ORGANIZZATIVO & PRIVACY COMPLIANCE PROGRAM Compliance program per la gestione delle

informazioni personali ex Regolamento Privacy

Modello di organizzazione, gestione e controllo

ex D.Lgs. 231/2001

Il nuovo Regolamento europeo in materia di trattamento dei dati personali richiede la definizione di un Compliance program per la gestione delle informazioni personali finalizzato a prevenire i rischi di illecito uso dei dati.

Secondo l'art. 6 del D.Lgs. 231/2001 l’ente non risponde della responsabilità amministrativa in caso di reato commesso dalle persone fisiche che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente se ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.

Una ipotesi di struttura e di contenuti del Compliance program per la gestione delle informazioni personali:

• Le principali definizioni in materia di privacy• Obiettivi del manuale di gestione privacy• Quadro normativo e principi generali in materia di privacy• I rischi in materia di privacy• Il trattamento del rischio e le misure di sicurezza minime e idonee• Tipologie di dati e trattamento dei dati• L’ autorizzazione ai trattamenti • L’informativa • Il consenso • I soggetti che effettuano il trattamento• Le sanzioni in materia di privacy• La notificazione al garante privacy• Data breach• La gestione delle richieste di informazioni e ispezioni dell’ autorita’ garante• Il trasferimento di dati personali all’estero• Le specificita’ dei trattamenti dei dati personali nel settore analizzato• Privacy e controlli a distanza in ambienti di lavoro• Privacy e marketing• Allegati: procedure• Formulario

Il Privacy compliance program

GrazieReferentiDott. Michele Luigi GiordanoAssociate Partner Studio Associato (KPMG) E: michelegiordano@kpmg.itT: +39 348 6561052

Denominazione e logo KPMG sono marchi e segni distintivi di KPMG International Cooperative (“KPMG International”).

kpmg.com/socialmedia kpmg.com/app

Tutte le informazioni qui fornite sono di carattere generale e non intendono prendere in considerazione fatti riguardanti persone o entità particolari. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. Non è consigliabile agire sulla base delle informazioni qui fornite senza prima aver ottenuto un parere professionale ed aver accuratamente controllato tutti i fatti relativi ad una particolare situazione.

© 2017 Studio Associato - Consulenza legale e tributaria è un’associazione professionale di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.

Regolamento sulla Protezione dei dati personali 679/2016 ... · Tra le novità principali,...

Documents

Transcript of Regolamento sulla Protezione dei dati personali 679/2016 ... · Tra le novità principali,...

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Franco Cardin

IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE … · GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI GUIDELINES, REGOLE, IMPATTI E SANZIONI Avv.

PRIVACY 2018 IL NUOVO REGOLAMENTO · Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo

Il nuovo regolamento europeo sulla privacy - GDPR · Il nuovo regolamento europeo sulla privacy - GDPR ... (reg. eu 2016/679 – GDPR): un approccio al rischio proattivo sul trattamento

del Regolamento UE 2016/679 sulla protezione dei dati · CE SURITY PRIVACY Il nuovo regolamento europeo sulla protezione dei dati Guida pratica alla nuova privacy e ai principali

Il nuovo REGOLAMENTO EUROPEO sulla protezione dei dati · REGOLAMENTO EUROPEO (2016/679) o GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche

Aspetti del Regolamento UE 2016/679 · Regolamento generale sulla protezione dei dati (GDPR) Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016. relativo

Regolamento Europeo 2016/679 - GDPR Le fasi · Regolamento UE –679/2016 - GDPR 2004 2016 2018. 1 gennaio 26 maggio 25 maggio ... per la specifica finalità nel rispetto delle regole

Privacy by Design nel Regolamento UE 2016/679 (GDPR)

Il Regolamento UE 2016/679 e la gestione della privacy ... · Il Regolamento UE 2016/679 e la gestione della privacy negli studi professionali Milano, 10 aprile 2018 Relatore Avv.

Report nuovo Regolamento Europeo GB - IL BLOG DEL ... · Il 25 Maggio 2018 entra in vigore il nuovo regolamento Europeo sulla Protezione dei Dati Personali UE 2016/679. Essendo un

IL REGOLAMENTO N.679 2016 UE SULLA PROTEZIONE DEI DATI ...lnx.asl2abruzzo.it/formazione/attachments/article... · IL REGOLAMENTO N.679 2016 UE SULLA PROTEZIONE DEI DATI PERSONALI

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Sarah Ungaro

La cogenza del Regolamento EU 679/16 (GDPR) nei Sistemi di ... · GDPR vs Sistemi di Gestione 8 Nel caso del GDPR, o Regolamento UE 679/2106, si tratta di una cogenza importante che

Regolamento (UE) 679/2016 Affrontare il GDPR come un ... · Cosa ci chiede di fare il GDPR (Regolamento UE 2016/679)? Chiede di fare un sistema di gestione dei dati (similare a quelli

GDPR UE 2016/679 NUOVO REGOLAMENTO UE: CONFERME … seminario... · dell’Agenzia delle Entrate (disponibili senza registrazione) SOGGETTI OBBLIGATI L’obbligodi emissione di fatture

Oggetto : CVBF -CONSORZIO per Valutazioni … › allegati › 13979 › Delibera_n-c...l’Azienda, alla luce del nuovo Regolamento privacy UE 679/2016; che il suddetto contratto

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Andrea lisi

Il nuovo Regolamento 679 2016 UE sulla protezione dei dati ... · REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI N. 2016/679 AMBITO DI APPLICABILITÀ Il Regolamento si applica

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Luigi Foglia