E Il Il nuovo regolamento europeo alle più recenti ... · Il nuovo REGOLAMENTO EUROPEO sulla...

PRIVACY SECURITY

Il nuovo regolamento europeosulla protezione dei dati - II edizioneUna guida pratica alla nuova privacy e ai principali adempimenti del Regolamento UE 2016/679 aggiornata alle più recenti interpretazioni e disposizioni normative

Il regolamento europeo sulla protezione dei dati personali rappresen-ta una signifi cativa innovazione, se non proprio una rivoluzione, in materia di trattamento di dati personali. Sono state introdotte nuove fi gure professionali e presi in considerazione scenari progettuali che debbono rispettare sin dall’inizio l’impostazione di un’attività di trat-tamento (privacy by default, privacy by design, privacy impact asses-sment). È innovativa la modalità di trasferimento dei dati personali a Paesi terzi e vengono inoltre introdotte nuove procedure da adottare in caso di perdita di dati. È stato istituito un comitato europeo per la protezione dei dati, con l’incarico di applicare politiche di coerenza e congruità. La crescente diffusione dei social network e il crescente utilizzo del cloud, come sistema di archiviazione e trattamento di dati, impongono regole nuove per garantire, in questi contesti oltremodo fl uidi, una costante ed adeguata protezione dei dati personali. Que-sta guida fornisce al lettore gli strumenti operativi per orientarsi nella complessità dello scenario attuale al fi ne di ottenere un’appropriata protezione dei dati in fase di acquisizione, trattamento, trasferimento e cancellazione.

Adalberto Biasiotti: Cura da lungo tempo gli aspetti di prevenzione e protezione da atti criminosi ed accidentali, in difesa dei beni materiali ed immateriali, come ad esempio il crimine informatico. La continua assistenza che presta alle aziende, alla magistratura inquirente e giu-dicante, alle compagnie di assicurazioni, gli ha permesso di maturare una vasta e specifi ca esperienza. Ha scritto numerosi volumi ed articoli dedicati a tecnologie e procedure di sicurezza, per beni materiali ed immateriali, ed alla protezione della privacy. Svolge un’intensa attività di docenza in Italia ed all’estero.

Adalberto Biasiotti

Iln

uo

vo R

EGO

LAM

EN

TO E

UR

OPEO

sulla

PR

OTE

ZIO

NE D

EI D

ATI - II E

DIZ

ION

E

Euro 43,00

9 788863 108323

ISBN 978-88-6310-832-3

CO

NTIE

NE C

D R

OM

Windows Vista, 7, 8 e 10Explorer 9 o superiori

PRIVACYIl nuovo regolamento europeo sulla protezione dei dati

Il CD Rom contiene provvedimenti legislativi e regolamentari,

documenti di supporto e strumenti di lavoro

Novembre 2017II edizione

Il nuovo regolamento europeo sulla protezione dei datiUna guida pratica alla nuova privacy e ai principali adempimenti del Regolamento UE 2016/679 aggiornata alle più recenti interpretazioni e disposizioni normative

Nel CD-Rom allegato provvedimenti legislativi e regolamentari, documenti di supporto e strumenti di lavoro

SEGUICI SU

www.epc.it

II EDIZIONE

Biasiotti _regolamento.indd Tutte le pagine 06/11/2017 09:40:34

vai alla scheda

del libro

l’autore

della stessa collana

https://www.epc.it/Area-tematica/Security-e-privacy/Editoria?utm_source=risorsaPdf&utm_medium=pdf&utm_campaign=PdfSfoglia

https://www.epc.it/Autori/Libri-Software-Banche-dati/Biasiotti-Adalberto/9?utm_source=risorsaPdf&utm_medium=pdf&utm_campaign=PdfSfoglia

https://www.epc.it/Prodotto/Editoria/Libri/Il-nuovo-regolamento-europeo-sulla-protezione-dei-dati/2318?utm_source=risorsaPdf&utm_medium=pdf&utm_campaign=PdfSfoglia

Adalberto Biasiotti

IL NUOVO REGOLAMENTO EUROPEO SULLA

PROTEZIONE DEI DATIUna guida pratica alla nuova privacy

e ai principali adempimenti del Regolamento UE 2016/679

aggiornata alle più recenti interpretazioni e disposizioni normative

Nel CD-Rom allegato provvedimenti legislativi e regolamentari, documenti di supporto

e strumenti di lavoro

II EDIZIONE

Pagine tratte da www.epc.it - Tutti i diritti riservati

IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI - II ED.

ISBN: 978-88-6310-832-3Copyright © 2016-2017 EPC S.r.l. Socio Unico

EPC S.r.l. Socio Unico - Via dell’Acqua Traversa, 187/189 - 00135 Romawww.epc.itServizio clienti: 06 33245277 - Fax 06 3313212Redazione: Tel. 06 33245264/205

Proprietà letteraria e tutti i diritti riservati alla EPC S.r.l. Socio Unico. La struttura e il contenuto del presente volume non possono essere riprodotti, neppure parzial-mente, salvo espressa autorizzazione della Casa Editrice. Non ne è altresì consen-tita la memorizzazione su qualsiasi supporto (magnetico, magneto-ottico, ottico, fotocopie ecc.).La Casa Editrice, pur garantendo la massima cura nella preparazione del volume, declina ogni responsabilità per possibili errori od omissioni, nonché per eventuali danni risultanti dall’uso dell’informazione ivi contenuta.

Il codice QR che si trova sul retro della copertina, consente attraverso uno smartphone di accedere direttamente alle informazioni e agli eventuali aggior-namenti di questo volume.

Le stesse informazioni sono disponibili alla pagina:https://www.epc.it/Prodotto/Editoria/Libri/Il-nuovo-regolamento-europeo-sulla-protezione-dei-dati/2318


INDICE GENERALE

3

INDICE GENERALE

PREMESSA ALLA SECONDA EDIZIONE ............................................... 27

CAPITOLO 1 LA PROCEDURA LEGISLATIVA ORDINARIA E LA PROGRESSIVA EVOLUZIONE DEL REGOLAMENTO 29

1.1. All’inizio degli anni ‘90 ................................................................ 29

1.1.1 Nasce la legge 675/96 ...................................................................... 30

1.1.2 I primi decreti correttivi .................................................................. 31

1.1.3 In Europa si attiva Article 29 Working Party – preziosi consulenti ............................. 33

1.1.4 Arrivano le misure minime di sicurezza ......................................... 34

1.1.5 Nuove leggi, nuovi chiarimenti e nuovi differimenti ..................... 36

1.1.6 Il regolamento delle istituzioni europee sulla protezione di dati (EC) 45/2001 ............................................. 38

1.1.7 Nasce il Garante Europeo ............................................................... 39

1.1.7.1 Di cosa si occupa il GEPD ........................................................... 39

1.1.7.2 Quali benefici può garantire il GEPD ......................................... 40

1.1.8 Appare finalmente il testo unico: il decreto legislativo 196/2003 ... 40

1.1.8.1 Nuovi chiarimenti e miglioramenti ............................................ 41

1.2. Come si svolge il lavoro legislativo ........................................... 51

1.3. La Commissione europea ed il parlamento europeo .............. 52

1.4. I tre consigli europei: facciamo chiarezza ................................. 54

1.4.1 Il Consiglio dell’Unione europea .................................................... 54


IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

4

1.4.2 Il Consiglio europeo ........................................................................ 55

1.4.3 Il Consiglio d’Europa ...................................................................... 56

1.5. Viene pubblicata la proposta di regolamento generale sulla protezione dei dati .................. 57

1.6. L’avvio del procedimento legislativo ........................................ 59

1.7. I pareri degli altri organismi coinvolti ...................................... 61

1.7.1 L’opinione del Comitato europeo economico e sociale – EESC ............................................................................. 61

1.7.2 L’opinione dell’articolo 24 Working Party – Art. 29 WP .............. 62

1.7.3 L’opinione del supervisore europeo alla protezione dei dati – EDPS .............................................................................. 63

1.7.4 L’opinione dell’Agenzia dei diritti fondamentali dell’Unione europea – FRA ............................................................. 64

1.7.5 L’opinione del consulente London Economics ............................... 66

1.7.5.1 L’impatto economico sulle imprese .............................................. 66

1.7.5.2 Nuove disposizioni e nuovi intralci burocratici ......................... 67

1.7.5.3 Le priorità per il Garante nazionale britannico – ICO ................ 67

1.8. La ricerca di Eurobarometer n. 359 del giugno 2011 ............... 68

1.9. Il rapporto del relatore della Commissione LIBE .................... 70

1.9.1 Alcune considerazioni di natura generale ..................................... 71

1.9.2 Alcune nuove definizioni ............................................................... 72

1.9.3 I diritti dell’interessato ed il consenso ........................................... 72

1.9.4 L’architettura di protezione dei dati ............................................... 73

1.9.5 Il data producer ............................................................................... 74

1.9.6 Il trasferimento all’estero di dati personali .................................... 75

1.9.7 Il regime sanzionatorio ................................................................... 75

1.10. L’attività del Consiglio dell’Unione europea ............................ 76

1.10.1 Il contributo del Consiglio dell’Unione europea ............................ 78


INDICE GENERALE

5

1.11. Ed ora, una panoramica sul nuovo regolamento ..................... 79

1.11.1 Il regolamento facilita il flusso dei dati .......................................... 79

1.11.2 Maggior controllo per una maggior sicurezza ............................... 80

1.11.3 Dati sicuri in Europa ed all’estero ................................................. 81

1.11.4 Come affrontare il problema della violazione dei dati ............................................... 81

1.11.5 Parliamo di cancellazione dei dati .................................................. 82

1.11.6 I poteri attribuiti alla Commissione europea ................................. 83

1.12. La sequenza legislativa, in sintesi .............................................. 83

1.13. Cenno alla direttiva ..................................................................... 85

CAPITOLO 2 I PRINCIPI GENERALI NELL’ACQUISIZIONE E NEL TRATTAMENTO DI DATI PERSONALI 87

2.1. Le finalità della raccolta ............................................................... 88

2.2. La compatibilità ............................................................................ 93

2.3. Come impostare un archivio di dati personali ......................... 97

2.3.1 La classificazione dei dati .............................................................. 100

2.4. Il trattamento per finalità storiche, statistiche e scientifiche ............................................................. 104

2.4.1 Comunicazioni di marketing e privacy ......................................... 106

2.4.2 Il provvedimento del Garante del 23 luglio 2013 ......................... 109

2.4.3 Le tecniche di anonimato............................................................... 112

2.5. L’informativa, il diritto di accesso e la raccolta del consenso ......................................................... 116

2.5.1 La ricerca del Canadian Privacy Commissioner ........................... 117

2.5.2 Linee guida per l’allestimento di un’informativa ......................... 118

2.5.3 La proposta di Jan Philip Albrecht della Commissione LIBE ....... 120



6

2.5.4 Il diritto di accesso ........................................................................ 121

2.5.5 Il consenso ..................................................................................... 122

2.5.6 La durata di conservazione ed il diritto all’oblìo .......................... 123

2.5.7 Un caso italiano ............................................................................ 129

2.6. Riepilogando… .......................................................................... 135

2.7. Posta elettronica e compatibilità .............................................. 136

2.7.1 Il D.Lgs. 151 del 14 settembre 2015 ............................................. 137

2.8. Compatibilità di uso di dati pubblici ....................................... 140

2.9. Un’introduzione ai big data........................................................ 142

2.9.1 Un ordine di grandezza dei valori in gioco ................................... 145

2.9.2 Una definizione e classificazione di big data ................................. 146

2.9.3 Come la tecnica dei big data può proteggere l’azienda ............................................................... 148

2.10. La profilazione (o profiling) ........................................................ 150

2.10.1 Facebook e la profilazione .............................................................. 157

2.11. Prima di PRISM .......................................................................... 160

2.11.1 PRISM .......................................................................................... 162

2.11.2 L’intervento della Commissione LIBE .......................................... 165

2.11.3 L’intervento dello Art. 29 Working Party .................................... 166

2.11.4 L’evoluzione dei lavori della Commissione LIBE .......................... 167

2.11.5 L’intervento del Garante tedesco e della Commissione dei Garanti europei ..................................... 168

2.11.6 Il pensiero del Garante italiano sul cosiddetto Datagate ................................................................ 172

2.11.7 Le conclusioni della Commissione LIBE sul progetto PRISM ...................................................................... 173


INDICE GENERALE

7

CAPITOLO 3 UN’INTRODUZIONE AI PERSONAGGI DEL REGOLAMENTO EUROPEO 177

3.1. Una presentazione tabulata dei personaggi coinvolti ............................................................ 178

3.2. Il profilo dei contitolari e dei rappresentanti di titolari ................................................. 188

3.2.1 I rappresentanti di titolari del trattamento ................................... 189

3.3. Infine, un soggetto ambiguo: l’amministratore di sistema ...................................................... 190

CAPITOLO 4 IL PROFILO ED I COMPITI DEL RESPONSABILE DEL TRATTAMENTO DI DATI PERSONALI, OSSIA IL DATA PROCESSOR 193

4.1. Un confronto tra il responsabile europeo ed il futuro responsabile nazionale ......................................... 193

4.2. I compiti del responsabile del trattamento ............................. 199

4.2.1 La designazione di rappresentanti di responsabili del trattamento, secondo l’articolo 27 ........................................... 203

4.3. Il profilo del rapporto tra responsabile e titolare ................... 203

4.3.1 Il contenuto del contratto .............................................................. 206

CAPITOLO 5 IL PROFILO ED I COMPITI DELL’ADDETTO AL TRATTAMENTO DI DATI PERSONALI, EX ARTICOLO 29 213

5.1. Come nasce l’addetto ................................................................. 213

5.2. L’addetto al trattamento è persona fisica ................................ 215

5.3. L’addetto al trattamento è persona subordinata .................... 216



8

5.4. L’addetto al trattamento è persona designata ........................ 217

5.5. L’addetto al trattamento è persona controllata ...................... 218

5.6. Designazione e formazione ....................................................... 219

5.7. Quali istruzioni fornire .............................................................. 221

5.8. Riepilogo ...................................................................................... 222

5.8.1 La scelta dell’addetto al trattamento di dati personali ex art. 29 ............................................................ 223

5.8.2 Infine… ......................................................................................... 223

CAPITOLO 6 IL PROFILO ED I COMPITI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI, OSSIA IL DATA PROTECTION OFFICER 225

6.1. L’Europa e la protezione dei dati personali ............................ 225

6.1.1 Il Network dei DPO europei ed un elenco dei principali DPO ... 227

6.2. Veniamo in Italia ......................................................................... 230

6.2.1 L’evoluzione del profilo dell’amministratore di sistema ...................................................................................... 230

6.3. I problemi del DPO, rilevati dallo EDPS ................................. 233

6.3.1 I risultati della ricerca del Garante europeo – EDPS .................. 234

6.3.2 Part time o full time ...................................................................... 236

6.3.3 La sintesi dell’indagine ................................................................. 236

6.4. Dal DPO dell’istituzione europee al DPO italiano ................ 238

6.4.1 Quando si deve designare un responsabile della protezione dei dati ................................................................ 239

6.4.2 Perché occorre designare un responsabile della protezione dei dati ................................................................ 243

6.4.3 Perché occorre designare SUBITO un responsabile della protezione dei dati ................................................................ 243


INDICE GENERALE

9

6.4.4 Le garanzie di indipendenza del ruolo ......................................... 245

6.4.5 E se il DPO lavora part time? ...................................................... 249

6.4.6 Il conflitto di interessi .................................................................. 250

6.5. Il profilo del responsabile della protezione dei dati comincia a delinearsi .................................................. 251

6.5.1 Le conoscenze di un DPO ............................................................ 252

6.5.2 Le qualità personali ....................................................................... 254

6.5.3 IL DPO secondo il Garante italiano ............................................. 255

6.6. Il mansionario del responsabile della protezione dei dati (DPO) ............................................... 257

6.6.1 Formazione ed informazione ai soggetti coinvolti ....................... 257

6.6.2 Consulenza ed assistenza alla direzione........................................ 258

6.6.3 Organizzazione e valutazione ....................................................... 259

6.6.4 Le funzioni cooperative con l’autorità di controllo ....................... 260

6.6.5 Il monitoraggio del trattamento .................................................... 261

6.6.6 La gestione di reclami e segnalazioni ............................................ 261

6.6.7 Il data protection impact assessment – DPIA ............................... 262

6.6.8 L’intervento coattivo, se necessario! ............................................. 262

6.6.9 Prevenire è meglio che contrastare ............................................... 263

6.7. Le attività di audit ....................................................................... 265

CAPITOLO 7 GARANTI, VIGILATORI ED ESPERTI: EDPS, IL COMITATO EUROPEO PER LA PROTEZIONE DI DATI, L’AUTORITÀ NAZIONALE GARANTE, CERT, CSIRT, ENISA, L’ART. 29 WORKING PARTY 267

7.1. EDPS – European Data Protection Supervisor ............................ 269

7.2. Il Comitato europeo per la protezione dei dati ...................... 274



10

7.3. L’autorità nazionale di controllo .............................................. 277

7.4. CERT ............................................................................................. 284

7.5. CSIRT ............................................................................................ 287

7.6. ENISA ........................................................................................... 289

7.7. European Cybercrime Centre EC3 ........................................... 295

7.8. L’Art. 29 Working Party ............................................................ 296

CAPITOLO 8 UN’INTRODUZIONE ALL’ANALISI DEI RISCHI AFFERENTI AL TRATTAMENTO DI DATI PERSONALI 301

8.1. L’attività di ISO/TMB WG 262 – Risk Management ............... 301

8.1.1 GUIDE 73 Risk management – Vocabulary ................................. 302

8.1.2 UNI EN ISO 31000:2012 Gestione del rischio – principi e linee guida ................................ 303

8.1.3 ISO/TR 31004: 2013 Risk management – Guidance for the implementation of ISO 31000 ........................................... 305

8.1.4 EN 31010: 2010 Risk management – Risk assessment techniques...................................................................................... 306

8.1.5 EN 62198: 2014 Managing risk in projects – Application guidelines ............................................. 307

8.2. Compiamo insieme il primo passo .......................................... 308

8.3. Un elenco dei rischi .................................................................... 309

8.3.1 Rischio connesso al trattamento di dati suscettibili di cagionare un danno fisico, materiale o morale .......................... 309

8.3.2 Rischio connesso a discriminazione .............................................. 310

8.3.3 Rischio connesso a furto o usurpazione d’identità........................ 311

8.3.4 Rischio connesso a perdite finanziarie ......................................... 312

8.3.5 Rischio connesso a pregiudizio alla reputazione .......................... 312


INDICE GENERALE

11

8.3.6 Rischio connesso a perdita di riservatezza dei dati protetti da segreto professionale ...................................... 312

8.3.7 Rischio connesso a decifratura non autorizzata della pseudonimizzazione .............................................................. 313

8.3.8 Rischio connesso a qualsiasi altro danno economico o sociale significativo .................................................................... 313

8.3.9 Rischio connesso a perdita dei diritti, delle libertà e dell’esercizio del controllo dei dati da parte degli interessati ..... 314

8.3.10 Rischio connesso al trattamento di dati sensibili .......................... 314

8.3.11 Rischio connesso al trattamento dei dati giudiziari ...................... 315

8.3.12 Rischio connesso a profilazioni automatizzate .............................. 315

8.3.13 Rischio connesso ad interessati vulnerabili, in particolare minori ..................................................................... 316

8.3.14 Rischio connesso al trattamento di big data ................................. 317

8.3.15 Rischio connesso alla trasmissione di dati in rete e ai servizi di comunicazione ........................................................ 317

8.4. Dall’individuazione del rischio alla sua messa sotto controllo ................................................... 319

8.4.1 Le misure di prevenzione e mitigazione ........................................ 320

8.4.2 Certificazioni e codici di condotta ................................................. 320

8.4.3 La cifratura dei dati ....................................................................... 321

8.4.4 Protezione dei dati fin dalla progettazione, protezione per impostazione predefinita e valutazioni di impatto ................................................................ 321

8.4.5 Le violazioni, ossia la perfezione non è di questo mondo .................................................................. 322

8.5. Una sintetica lista di controllo per chi ha poco tempo da perdere ........................................... 323



12

CAPITOLO 9 UN’INTRODUZIONE ALLE PRINCIPALI MISURE DI SICUREZZA E PROTEZIONE DEI DATI 325

9.1. Le architetture di protezione ..................................................... 327

9.2. Alcuni esempi di architetture sicure ........................................ 328

9.3. Protezione dei dati fin dalla progettazione ............................ 334

9.4. La nuova guida dell’autorità Garante italiana, in aiuto delle imprese ................................................................ 340

9.5. Protezione per impostazione predefinita ................................ 341

9.6. La valutazione di impatto sulla protezione dei dati ............ 343

9.7. Quando occorre un’autorizzazione e/o consultazione preventiva................................................... 345

9.8. I meccanismi di certificazione ed i sigilli ................................ 348

CAPITOLO 10 DALL’ANALISI DEI RISCHI ALLE MISURE CONVENZIONALI DI PROTEZIONE DEI DATI PERSONALI 351

10.1. Dato digitale e dato cartaceo ..................................................... 351

10.2. L’analisi di rischio ....................................................................... 353

10.3. La metodologia di sviluppo dell’analisi e della gestione del rischio ........................................................ 354

10.3.1 L’identificazione del rischio .......................................................... 354

10.4. La valutazione del rischio ........................................................ 355

10.5. La fase di mitigazione e messa sotto controllo ...................... 356

10.6. L’attribuzione del rischio .......................................................... 357

10.7. Il monitoraggio continuo .......................................................... 358

10.8. I gradi del sistema di sicurezza ................................................ 359


INDICE GENERALE

13

10.9. L’analisi di rischio è fenomeno dinamico .............................. 360

10.10. Il valore commerciale dell’analisi di rischio .......................... 360

10.11. I limiti dell’analisi di rischio ..................................................... 361

10.11.1 Le probabilità di successo dell’attacco ........................................... 361

10.11.2 Le probabilità di successo di un’intrusione variano a seconda del percorso seguito ......................................... 362

10.12. Le difese efficaci .......................................................................... 363

10.13. L’equazione delle difese ............................................................ 364

10.13.1 Una panoramica sulle difese fisiche ............................................. 367

10.13.2 Le difese elettroniche ..................................................................... 371

10.13.3 I controlli di accesso ...................................................................... 374

10.13.4 I sistemi di videosorveglianza ....................................................... 376

10.13.5 Le procedure di messa in sicurezza, ispezione ed intervento .................................................................. 377

10.13.6 La formazione ed i controlli ........................................................... 378

10.13.7 Le normative applicabili ................................................................ 378

10.14. La tecnica della doppia chiave.................................................. 379

10.15. Il Garante ci offre un brillante esempio di protezione integrata .............................................................. 381

CAPITOLO 11 LA VIDEOSORVEGLIANZA E LA PROTEZIONE DEI DATI 385

11.1. Prima di installare un impianto di videosorveglianza ................................................................. 387

11.2. Come impostare la valutazione di impatto per un impianto di videosorveglianza .................................... 389

11.3. Il caso particolare di impianti che riprendono i lavoratori all’opera .................................................................. 394



14

11.4. L’informativa agli interessati ripresi ....................................... 399

CAPITOLO 12 LA PROTEZIONE DEI DATI PERSONALI DIGITALIZZATI 403

12.1. L’analisi di rischio e l’equazione delle difese ........................ 404

12.2. Chi può accedere ai dati?........................................................... 405

12.2.1 La risposta: usiamo un applicativo SSO ....................................... 407

12.2.2 Parliamo di cookies ........................................................................ 409

12.2.3 Le caselle temporanee di posta elettronica ..................................... 412

12.3. Guida alla scelta delle parole chiave ....................................... 414

12.3.1 Come vengono scoperte le parole chiave ....................................... 415

12.3.2 Alcuni consigli preziosi ................................................................ 416

12.4. Come realizzare un sito web sicuro ......................................... 418

12.4.1 Gli attacchi per social engineering ................................................ 419

12.5. Da DoS a DDoS ........................................................................... 430

12.6. Le protezioni criptografiche via internet ................................. 433

12.6.1 SSL ed i certificati digitali ............................................................. 434

12.6.2 Da SSL a EVSSL e TSL ................................................................ 439

12.7. Un dato anonimo è intrinsecamente protetto! ...................... 441

12.7.1 Come impostare un progetto per rendere i dati anonimi, pseudo anonimi o comunque mascherati ...................... 445

12.8. Proteggere, proteggere, proteggere! ........................................ 448

12.9. Uno strumento prezioso: SIEM ................................................ 450

12.9.1 Come usare SIEM per individuare una minaccia ......................... 452

12.9.2 I limiti dei SIEM ........................................................................... 453

12.10. Disaster recovery: un passo essenziale nella business continuity ............................................................. 455


INDICE GENERALE

15

12.10.1 Il rispetto dei principi di riservatezza, integrità, disponibilità e resilienza dei dati .................................................. 457

12.10.2 Cominciamo con il backup dei dati ............................................... 458

12.10.3 Passiamo agli applicativi .............................................................. 460

12.10.4 Passiamo alle macchine ed ai locali ............................................... 461

12.10.5 Passiamo alle linee di comunicazione ........................................... 462

12.10.6 Passiamo agli uomini .................................................................... 463

12.11. USA ed Europa uniti nella protezione delle infrastrutture informatiche.............................................. 464

12.11.1 I primi passi in USA ..................................................................... 464

12.11.2 L’ordine esecutivo del presidente Obama ..................................... 465

12.11.3 La protezione dal cyber crime in USA .......................................... 467

12.12. Cosa fa l’Europa .......................................................................... 469

12.12.1 La direttiva NIS ............................................................................ 471

12.12.2 Lo scenario europeo del crimine informatico................................. 475

12.12.3 I punti chiave del documento europeo ........................................... 476

CAPITOLO 13 UNA RASSEGNA DELLE NORMATIVE APPLICABILI ALLA SICUREZZA DELLE INFORMAZIONI 479

13.1. La serie di norme EN 27000 ...................................................... 480

13.2. Le linee guida di gestione del rischio ...................................... 505

13.3. L’attività dell’ente normativo BSI ........................................... 507

13.4. La serie ISO 22300:2012 - Sicurezza Sociale ............................ 512

13.5. Altre norme ................................................................................. 518

13.6. Le norme ETSI (European Telecommunications Standards Institute) ...................................................................... 521

13.7. Chi è ITIL ..................................................................................... 523



16

13.8. La NFPA 1600 .............................................................................. 524

13.9. L’attività di NIST - National Institute for standards and technology ........................................................ 524

13.10. La certificazione dell’Uptime Institute .................................... 526

13.11. L’attività dei revisori dei conti-SSAE 16 .................................. 528

CAPITOLO 14 PRIVACY ENHANCING TECHNOLOGIES - PET, PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE, PROTEZIONE PER IMPOSTAZIONE PREDEFINITA, VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI - DPIA 531

14.1. Una visione di assieme .............................................................. 532

14.1.1 La norma UNI EN ISO 9001:2015 .............................................. 532

14.1.2 La serie normativa EN 27000 ....................................................... 533

14.1.3 Le disposizioni in tema di protezione dei dati ............................... 534

14.2. Le tecnologie migliorative della protezione dei dati - PET ................................................. 534

14.2.1 Un esempio di PET ....................................................................... 535

14.2.2 I criteri di classificazione delle PET ............................................. 535

14.2.3 Il futuro delle PET ........................................................................ 539

14.3. Protezione dei dati fin dalla progettazione: l’analisi dei rischi e l’equazione delle difese .......................... 540

14.3.1 L’analisi dei rischi ......................................................................... 542

14.3.2 L’adozione di adeguate misure di sicurezza .................................. 543

14.3.3 Un esempio di protezione dei dati fin dalla progettazione ........... 543

14.4. Protezione dei dati per impostazione predefinita ................ 545

14.4.1 Un esempio di protezione dei dati per impostazione predefinita ........................................................ 549


INDICE GENERALE

17

14.5. La valutazione di impatto sulla protezione dei dati - DPIA ............................................... 549

14.5.1 Quando si deve sviluppare la DPIA? .......................................... 550

14.5.2 I benefici di una DPIA .................................................................. 552

14.6. Come impostare una DPIA ....................................................... 554

14.7. DPIA: consultazione preventiva ed autorizzazione .............. 556

14.8. Una proposta di schema di DPIA ............................................. 557

CAPITOLO 15 I TRATTAMENTI A RISCHIO SPECIFICO ED I TRATTAMENTI PARTICOLARI, CON ANNESSE TECNOLOGIE - I BIG DATA 559

15.1. I trattamenti soggetti a valutazione di impatto ...................... 560

15.1.1 La profilazione ............................................................................... 561

15.1.2 Le linee guida dell’autorità Garante italiana sulla profilazione on line ............................................................... 563

15.1.3 Il trattamenti dati sensibili e sanitari (dati particolari) ................ 567

15.1.4 La videosorveglianza ..................................................................... 568

15.1.5 Il trattamento di dati giudiziari .................................................... 568

15.2. Big data eguale big problems ......................................................... 569

15.2.1 Cominciamo dalle definizioni ........................................................ 570

15.2.2 L’applicazione di tecniche di valutazione e protezione dei dati....................................................................... 572

15.2.3 Un prezioso documento di LIBE ................................................... 574

15.3. Quando consultare l’autorità Garante ..................................... 578

15.4. Autorizzazione preventiva e consultazione preventiva ....... 580

15.5. Altri trattamenti particolari ....................................................... 581

15.6. Il mondo del condominio .......................................................... 587



18

15.7. Il mondo della scuola ................................................................. 590

15.8. Le nuove frontiere del trattamento: da smart grid a smart meters ....................................................... 594

15.8.1 I contatori elettrici intelligenti ...................................................... 597

CAPITOLO 16 LA SICUREZZA DEI DISPOSITIVI MOBILI 605

16.1. Una rapida carrellata sull’evoluzione di questi strumenti portatili ..................................................... 605

16.2. Un fenomeno sociale diventa un problema per la sicurezza ..................................... 609

16.3. Gli approcci possibili alla sicurezza ......................................... 613

16.4. Un approccio metodico alla protezione dei dispositivi mobili ................................................................. 618

16.5. Come proteggere i dati su dispositivi mobili ........................ 619

16.5.1 Un esempio di policy aziendale ..................................................... 624

16.5.2 Il parere dell’Art. 29 Working Party ........................................... 626

16.5.3 Il parere di ICO (Information Commissioner Office) su BYOD - Bring your own device .............................................. 628

16.6. Parliamo della parola chiave..................................................... 631

16.6.1 Come scegliere la parola chiave ..................................................... 634

16.7. Una soluzione radicale: la protezione criptografica .............. 635

16.8. Le tecniche avanzate di autenticazione .................................. 638

16.8.1 Un altro esempio di linee guida per la protezione dei personal computer e supporti di memoria portatili ................ 639

16.9. Dati sanitari e rischi affatto particolari .................................... 639

16.10. Una panoramica sulle reti Wi Fi .............................................. 642


INDICE GENERALE

19

16.10.1 Wi Max ......................................................................................... 649

16.10.2 Wi Fi in ambienti sanitari ............................................................. 650

16.11. Come gestire le chiavette di memoria USB............................. 652

CAPITOLO 17 CLOUD, PRIVACY E SECURITY: SONO CONCILIABILI? 655

17.1. Una breve storia .......................................................................... 655

17.1.1 La definizione di cloud computing, secondo la Commissione europea .................................................. 658

17.2. Cosa offre il cloud ....................................................................... 659

17.3. Acronimi e servizi ...................................................................... 661

17.3.1 La sicurezza delle infrastrutture è nel cloud ................................. 669

17.3.2 DRaaS – Disaster Recovery as a Service ...................................... 671

17.3.3 Baas – Backend as a Service .......................................................... 672

17.4. Il cloud pubblico e quello privato ............................................. 673

17.4.1 Il cloud personale .......................................................................... 675

17.4.2 Alcune domande che esigono risposta ........................................... 675

17.4.3 Migrare sì, ma con prudenza ........................................................ 686

17.5. Dove sono i cloud ....................................................................... 688

17.5.1 Che fare se i cloud si spostano? ................................................................... 690

17.5.2 Geolocalizzazione con SSL ............................................................ 691

17.6. Categorie di utenti del cloud ..................................................... 692

17.7. Il cloud ibrido ............................................................................... 693

17.7.1 Quale sicurezza nel cloud ibrido? ................................................ 696

17.8. Cloud e security ............................................................................. 697



20

17.8.1 Una tecnica avanzata di prova ..................................................... 699

17.8.2 Erasure codig: che significa? ......................................................... 700

17.8.3 Il cloud come backup dei dati ........................................................ 701

17.8.4 Una tabella riepilogativa .............................................................. 703

17.8.5 Il registro dell’attività di trattamento ........................................... 704

17.8.6 La cancellazione sicura dei dati ..................................................... 705

17.9. Cloud e protezione dei dati ........................................................ 705

17.9.1 La protezione delle infrastrutture critiche informatiche ..................................................................... 707

17.9.2 Le indicazioni del Garante italiano ............................................... 709

17.10. Il punto di vista del supervisore europeo- EDPS ................... 709

17.10.1 Il caso dell’utente privato .............................................................. 710

17.10.2 Il gestore del cloud come responsabile del trattamento o data processor ................................................... 712

17.10.3 Il gestore del cloud come titolare del trattamento ......................... 713

17.10.4 Alcune situazioni fluide ................................................................ 714

17.10.5 I meccanismi di trasferimento di dati tra diversi paesi ............................................................................ 715

17.11. Le garanzie di sicurezza del trattamento ................................ 715

17.12. La Commissione europea viene in soccorso ........................... 717

17.13. 10 suggerimenti per migrare con serenità verso il cloud ......................................................... 720

17.14. I militari americani che ne pensano? ....................................... 722

CAPITOLO 18 DIRITTO ALL’OBLÌO E MODALITÀ CORRETTE DI CANCELLAZIONE DEI DATI PERSONALI 725

18.1. Si comincia a parlare di “diritto all’oblìo” .............................. 725


INDICE GENERALE

21

18.1.1 Arriva la sentenza dell’Alta Corte europea del 13 maggio 2014 ....................................................................... 727

18.1.2 La sentenza n. 23771/2015 del tribunale di Roma ....................... 729

18.2. Cosa dice il regolamento in tema di cancellazione dei dati.............................................. 729

18.3. Come materializzare il diritto all’oblio ................................... 731

18.4. Cancellare a regola d’arte .......................................................... 735

18.5. Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza afferenti ai dati personali ....... 738

18.6. Un’indagine americana sulla cancellazione dei supporti magnetici .............................................................. 741

18.7. Le procedure e normative esistenti, in tema di distruzione sicura di supporti cartacei .............................. 743

18.8. La distruzione presso insediamenti del titolare del trattamento .......................................................................... 746

18.9. Cosa accade in USA: la normativa NIST 800 – 80; Guidelines for media sanitization ................................................. 747

18.10. La norma BS 8470:2006 .............................................................. 755

18.11. Nasce EN15713 – secure destruction of confidential material – Code of Practice .................................... 756

18.11.1 Un’analisi approfondita della normativa europea ........................ 758

18.12. Un’interessante sentenza della Cassazione ............................ 763

18.13. Una sanzione di £ 200.000 per chi non ha rispettato le procedure appropriate........................................................... 764

CAPITOLO 19 REGOLE E CONDIZIONI PER IL TRASFERIMENTO ALL’ESTERO DEI DATI 767

19.1. Un’introduzione al tema ........................................................... 768



22

19.1.1 Cosa significa trasferimento all’estero di dati .............................. 770

19.1.2 Nascono i primi problemi .............................................................. 770

19.2. La regola generale ...................................................................... 772

19.2.1 L’elenco dei paesi autorizzati ........................................................ 773

19.3. Da Safe Harbor a EU-USA Privacy shield ................................. 774

19.3.1 Come nasce Safe Harbor ............................................................... 774

19.3.2 Una panoramica su questi principi............................................... 775

19.3.3 Come Safe Harbor è stato sostituito dall’accordo EU-USA privacy shield ................................................................ 778

19.3.4 Ed ecco una sintesi dello EU-USA privacy shield ........................ 782

19.4. Le BRC - binding corporate rules o norme vincolanti d’impresa .................................................. 784

19.4.1 Come attivarsi verso il Garante nazionale .................................... 786

19.4.2 Il collegamento fra l’autorità nazionale e le altre autorità europee .............................................................. 787

19.4.3 Come elaborare norme vincolanti d’impresa ................................. 790

19.5. Dalle BCR alle SCC ..................................................................... 792

19.5.1 I trasferimenti di dati da un titolare ad un responsabile ............. 793

19.6. Il cloud ed i meccanismi di trasferimento di dati tra diversi paesi ............................................................. 794

19.7. Un’ipotesi di soluzione .............................................................. 796

19.8. Le indicazioni della Commissione Europea ........................... 797

19.9. Le regole in altre parti del mondo – l’accordo in APEC ....... 799

CAPITOLO 20 GLI ADEMPIMENTI CONNESSI AI CASI DI VIOLAZIONE O PERDITA DI DATI PERSONALI 801

20.1. Cosa accade di là dell’Atlantico .............................................. 802


INDICE GENERALE

23

20.2. Uno studio della Ponemon analizza tipologie e cause di questi eventi, nel mondo della sanità ................... 810

20.3. Perché si perdono i dati ............................................................. 812

20.4. Watermarking: prevenzione e responsabilizzazione ............... 815

20.5. Le linee guida del Garante ........................................................ 817

20.6. Quando si deve informare l’interessato .................................. 829

20.7. La traccia elaborata dal Garante italiano, ad aprile 2013 .............................................................................. 831

20.8. Una proposta di modulo di notifica, conforme all’art. 33 del regolamento europeo ......................................... 834

20.9. Il formato di segnalazione adottato da ICO ........................... 841

20.10. È in arrivo un approccio unificato europeo ........................... 843

CAPITOLO 21 CODICI DI CONDOTTA, CERTIFICAZIONI, SIGILLI E MARCHI 847

21.1. I codici di condotta ..................................................................... 847

21.2. Parliamo di certificazioni........................................................... 850

21.3. Un’analogia con l’impostazione seguita dal ministero dell’interno in Italia ........................................... 855

21.4. Cosa significa sigillo .................................................................. 856

21.4.1 Il consorzio del vino tipico ............................................................ 856

21.4.2 Tre tipi di sigilli ............................................................................ 857

21.4.3 Sigilli di protezione dei dati e sigilli di sicurezza ........................ 859

21.4.4 Le condizioni di rilascio di un sigillo ........................................... 860

21.5. Un esempio di procedura per il rilascio di un sigillo di protezione di dati personali ........................... 866

21.6. I sigilli europei ............................................................................ 867



24

21.6.1 Un esempio di European privacy seal ........................................... 868

21.7. Approfondiamo il tema del sigillo europeo ........................... 869

21.7.1 Criptografia sigillata nel cloud ..................................................... 870

CAPITOLO 22 L’AUDIT DEL TRATTAMENTO DI DATI PERSONALI 875

22.1. Perché si avvia un audit e chi deve collaborare ..................... 876

22.2. Chi effettua l’audit ..................................................................... 878

22.3. L’impostazione dell’audit ........................................................... 879

22.4. Le aree da controllare ................................................................. 880

22.4.1 La definizione degli obiettivi dell’audit ........................................ 880

22.4.2 L’analisi di rischio ........................................................................ 881

22.4.3 La verifica delle politiche e delle procedure .................................. 882

22.4.4 L’attuazione delle politiche e delle procedure ............................... 882

22.4.5 La verifica dell’idoneità dei controlli in essere ............................. 883

22.4.6 Le smagliature e le falle del trattamento ....................................... 883

22.4.7 La fase propositiva ......................................................................... 884

22.4.8 Le modalità di compilazione e pubblicazione del rapporto ........... 884

22.5. Tutti hanno bisogno di un audit ................................................ 885

22.6. Esempio di rapporto di audit .................................................... 886

CAPITOLO 23 RICORSI, RESPONSABILITÀ E SANZIONI 889

23.1. Le principali sentenze in tema di protezione dei dati emesse dalla Corte europea dei diritti dell’uomo ................. 890

23.1.1 La raccolta di dati personali .......................................................... 891

23.1.2 Il trattamento e la conservazione di dati personali ....................... 894


INDICE GENERALE

25

23.1.3 La comunicazione o diffusione dei dati ......................................... 901

23.1.4 L’accesso ai dati ............................................................................. 903

23.2. Il ricorso di un insoddisfatto ..................................................... 905

23.2.1 Parliamo di risarcimenti ............................................................... 907

23.2.2 Arriviamo alle sanzioni ................................................................. 907

23.3. Sanzioni massime e sanzioni minime ...................................... 910

23.3.1 L’omogeneità delle sanzioni in Europa ......................................... 911

23.4. È scomparsa l’attività pericolosa .............................................. 911

CAPITOLO 24 DAL REGOLAMENTO GENERALE EUROPEO ALLA DIRETTIVA IN MATERIA DI TRATTAMENTO DI DATI PER FINALITÀ INVESTIGATIVE E GIUDIZIARIE 913

24.1. Dal regolamento alla direttiva .................................................. 913

24.2. La direttiva è diversa dal regolamento, ma i personaggi e gli adempimenti sono simili .................... 915

24.3. Una sintetica disamina della direttiva ..................................... 915

CAPITOLO 25 L’EVOLUZIONE INTERPRETATIVA DEL REGOLAMENTO EUROPEO E LE NORMATIVE AFFERENTI, DAL MAGGIO 2016 ALL’OTTOBRE 2017 923

25.1. Un approfondimento su un nuovo soggetto: il responsabile della protezione dei dati ................................. 923

25.1.1 La valutazione del profilo professionale del responsabile della protezione dei dati ...................................... 926

25.1.2 Una breve illustrazione della proposta di norma codice E14D00036 - in inchiesta pubblica .................... 929



26

25.1.3 Una traccia della contrattualistica che lega il responsabile della protezione dei dati al titolare del trattamento ............................................................. 931

25.1.4 Un sommario esame del ruolo del DPO in vari paesi del mondo ................................................................. 932

25.2. Un concetto nuovo che ha bisogno di approfondimento: la portabilità dei dati ............................ 939

25.3. Quando e come si deve sviluppare una valutazione di impatto sulla protezione dei dati-DPIA ............................. 941

25.4. L’impatto del nuovo regolamento sull’ambiente di lavoro .............................................................. 944

25.5. Come applicare in pratica il concetto di one stop shop ........ 946

25.6. Il trasferimento di dati all’estero .............................................. 948

25.6.1 La decisione di adeguatezza .......................................................... 947

25.6.2 Le regole vincolanti di impresa ..................................................... 949

25.6.3 Prime valutazioni sull’applicazione pratica del privacy shield .......................................................................... 949

25.7. Il Comitato europeo sulla protezione dei dati: a che punto siamo?..................................................................... 950

25.8. L’evoluzione normativa in atto................................................. 951

25.9. Alcune puntualizzazioni sulla corretta gestione di una violazione dei dati ......................................................... 957

25.10. Profilazione e decisioni automatizzate afferenti ad interessati ............................................................................... 958

Contenuto del CD Rom ................................................................................ 961


27

PREMESSA ALLA SECONDA EDIZIONE

Sono lieto di offrire all’attenzione dei lettori, con il prezioso supporto dell’editore, la seconda edizione del volume, nel quale ho illustrato il nuo-vo regolamento europeo sulla protezione dei dati.

La prima edizione è stata stampata nel giugno del 2016 e aveva l’obiet-tivo di illustrare, al più presto possibile, gli aspetti generali e specifici di questo nuovo regolamento, che avrà un impatto drammatico sulle moda-lità di trattamento dei dati personali in tutta Europa.

Ricordo che il regolamento è entrato in vigore il 25 maggio 2016 e avrà piena attuazione, sostituendo disposizioni legislative nazionali, il 25 mag-gio 2018.

Dalla data della pubblicazione ad oggi, molti enti specializzati hanno cominciato ad analizzare in dettaglio alcune prescrizioni legislative, che effettivamente avevano bisogno di una più approfondita illustrazione. Tra gli enti che hanno dedicato la loro attenzione a questa attività si pone in dominante posizione l’articolo 29 working party, vale a dire l’ente euro-peo, nel quale sono presenti rappresentanti di tutte le autorità nazionali Garanti, che ha il compito di produrre linee guida su testi legislativi già pubblicati ed opinioni su testi legislativi in corso di elaborazione.

Confidando sulla competenza ed esperienza di questo ente, pochissi-mi Garanti nazionali si sono attivati per interpretazioni specialistiche. La nostra autorità Garante, ancora ad oggi in attesa di un supporto da parte dei nostri legislatori per elaborare linee guida ed altra documentazione, atta a orientare i titolari e responsabili del trattamento sulle modalità di recepimento della regolamento generale, si è comunque preoccupata di mettere a disposizione, seppure in lingua inglese, i preziosi documenti ela-borati dal già menzionato articolo 29 working party.

Con l’occasione, ho ritenuto opportuno mettere a disposizione una rac-colta delle principali norme europee e nazionali afferenti al trattamento e



28

protezione dei dati personali, perché il rispetto di tali norme costituisce, per espressa disposizione del codice civile, conformità alla regola d’arte.

Infine, voglio ricordare ai lettori la preziosa attività svolta da un UNIN-FO ed UNI in Italia, alla quale ho anche dato il mio contributo, per la pro-duzione di una norma, rispondente allo schema EQF-European qualifica-tion framework, che definisce i profili e le competenze dei due principali soggetti individuati dal regolamento, vale a dire il responsabile del tratta-mento dei dati ed il responsabile della protezione dei dati.

Per agevolare la consultazione del volume, ho raccolto tutti gli amplia-menti e le migliorie in un apposito capitolo 25, introducendo dei vistosi riferimenti in grassetto a questi ampliamenti e migliorie, in corrisponden-za dei capitoli interessati. Inoltre il CD che accompagna volume riporta numerosi nuovi documenti di supporto.

Adalberto Biasiotti


29

La procedura legislativa ordinaria e la progressiva evoluzione del regolamento

In questo capitolo traccio una sintesi della storia pregressa in tema di protezione dei dati personali, seguita dall’illustrazione della procedura legislativa applicabile e dell’evoluzione del regolamento.

1.1. All’inizio degli anni ‘90

L’Unione europea ha cominciato a preoccuparsi del problema della tute-la dei dati personali sin dall’inizio degli anni ‘90. Prima ancora della pub-blicazione della direttiva, di cui parlerò in seguito, l’Unione europea aveva sollecitato tutti i paesi membri a sensibilizzare tutti coloro che trattavano dati personali ad attivare misure di protezione degli stessi.

Anzi, l’Unione europea sollecitava in generale una maggiore attenzio-ne agli archivi informatici, che ormai stavano assumendo una rilevanza straordinaria nel contesto della raccolta e trattamento di dati, anche non personali.

Chi scrive ebbe occasione di organizzare un corso di formazione per addetti ai sistemi informativi, in collaborazione con un funzionario addet-to all’attività legislativa del ministero di grazia e giustizia, Giovanni Butta-relli, già nei primi anni ‘90.

In obbedienza a principi generali, alcuni paesi europei avevano già atti-vato, di propria iniziativa, delle leggi nazionali a protezione dei dati. Tra questi antesignani si misero in particolare evidenza l’Inghilterra, che già nel 1988 aveva emanato una legge su questo argomento (Data Protection Act), insieme alla Germania e dalla Francia, che si erano anch’esse attivate in modo autonomo.

I francesi hanno la più antica legge Europea a tutela della privacy, la leg-ge n. 78-17 del 6 gennaio 1978. Questa legge è gestita dalla Commission

1



30

Nationale informatique et libertè (CNIL), che è quanto mai diligente nella sua applicazione.

Al proposito, può essere interessante rammentare che, quando la Francia emanò la propria legislazione in materia di protezione dei dati personali, si vide costretta ad impedire il trasferimento a Torino, presso gli uffici della FIAT, dei dati personali dei dipendenti FIAT in Francia.

Il legislatore francese temeva infatti che questi dati non fossero protetti, in fase di archiviazione e trattamento presso gli uffici centrali di Torino, allo stesso modo con cui essi erano protetti in Francia. Il problema venne risolto perché la FIAT offrì esplicite garanzie al governo francese di atti-vare misure di protezione dei dati personali, provenienti dalla Francia, in tutto simili a quelle in vigore in Francia.

1.1.1 Nasce la legge 675/96Ormai appariva sempre più evidente la necessità di dare delle indica-

zioni generali, valide per tutti i paesi europei, soprattutto per facilitare in qualche modo lo spostamento dei dati da un paese all’altro. La pressione sul legislatore europeo aumentò sempre più, fino alla pubblicazione del-la direttiva 94/46/CE, vera e propria pietra angolare dell’impianto della vigente normativa in materia di protezione dei dati personali.

Questa direttiva venne adottata nel 1995 con due obiettivi principali:

• salvaguardare il diritto fondamentale alla protezione dei dati,

• garantire la libera circolazione dei dati personali fra gli stati membri dell’Unione.

Questa direttiva poneva dei termini ultimi di recepimento da parte dei paesi dell’Unione europea, mediante pubblicazione di una legge nazionale.

Ricordo in proposito che le direttive dell’Unione europea devono essere recepite, in ogni singola paese, con una legge nazionale. Il termine ultimo per il recepimento di questa direttiva, a pena dell’applicazione di pesanti sanzioni economiche, era il 31 dicembre 1996.

In Italia il recepimento della direttiva fu osteggiato in ogni modo dalle grandi associazioni dell’industria e del terziario; era contraria la Confindu-stria, era contraria l’associazione bancaria italiana, era contraria l’associa-zione nazionale delle imprese di assicurazione.

L’opposizione di queste categorie aveva, già in precedenza, impedito l’avvio dell’iter legislativo di altre proposte di legge in tema di protezione


LA PROCEDURA LEGISLATIVA ORDINARIA E L’EVOLUZIONE DEL REGOLAMENTO

31

dei dati personali, come la proposta di legge chiamata Mirabelli. Tuttavia la pressione dell’Europa ed il timore di pesanti sanzioni fecero

sì che il parlamento italiano approvasse, nell’ultimo giorno utile, l’ormai famosa legge 675/96 in materia di protezione dei dati personali, approvata il 31 dicembre 1995, ma che venne in realtà pubblicata sulla gazzetta uffi-ciale soltanto l’8 gennaio del 1996.

Mentre tutti conoscono ormai questa legge, atto di nascita della legisla-zione in materia di protezione dati personali in Italia, pochi conoscono una legge, approvata nello stesso giorno, la 676/96. Questa legge dava una dele-ga al governo ad emanare decreti legislativi, in grado di adattare una legge, nata piuttosto frettolosamente, alle effettive esigenze del contesto italiano.

La delega all’emanazione di decreti legislativi correttivi o migliorativi era valida per 18 mesi dalla data di entrata in vigore della legge 675/96.

1.1.2 I primi decreti correttiviLa frettolosità con cui era stata approvata questa legge, per rispettare

la data ultima imposta dall’Unione europea, è confermata dal fatto che il governo fu obbligato ad attivarsi, con estrema rapidità, pubblicando due decreti legislativi, che miglioravano ed integravano alcune disposizioni della legge 675/96.

Ha un valore semantico assai interessante il decreto legislativo 9 maggio 1997, n. 123 (Disposizioni correttive ed integrative della legge 31 dicembre 1996, n. 675, in materia di tutela delle persone e di altri soggetto rispetto al trattamento di dati personali), che all’articolo 5 (Norme di coordinamento e transitorie), recita:

1. Nell’articolo 42, commi 1 e 4 della legge 31 dicembre 1996, n. 675, le parole: "Il Ga-rante per la tutela delle persone e di altri soggetti rispetto al trattamento dei dati per-sonali” sono sostituite dalle seguenti: “Garante per la protezione dei dati personali”.

Giova infatti ricordare, in proposito, che nel frattempo era stata nomi-nata la prima autorità Garante per la protezione dei dati personali, il cui presidente, Stefano Rodotà, si era ben reso conto che la dizione utilizzata dalla legge per connotare questa autorità Garante aveva una pesantezza insostenibile!

Si optò così per una formulazione assai più snella, che da allora non è più cambiata.

Ben più impegnative erano le disposizioni di legge, che vennero modifi-cate con il decreto legislativo 28 luglio 1997, n. 255 (Disposizioni integrati-



32

ve e correttive della legge 31 dicembre 1996, n. 675, in materia di notifica-zione dei trattamenti di dati personali, a norma dell’articolo 1, comma 1, lettera f), della legge 31 dicembre 1996, n. 676). L’art. 1 (Semplificazioni ed esoneri) prevedeva infatti la notificazione in forma semplificata per taluni titolari di trattamento.

Questo decreto legislativo nasceva dalla crescente influenza dell’autorità Garante, che cominciava a rendersi conto dei problemi che comportava un’acritica applicazione della legge 675/96. In particolare, ci si rese conto che l’obbligo generale di notificazione del trattamento di dati personali, da parte di un qualsiasi soggetto, portava ad una complessità burocratica straordinaria ed un sovraccarico di lavoro per l’autorità Garante, che dove-va ricevere queste notificazioni.

Si pensò quindi bene d’introdurre notevoli semplificazioni in tema dei soggetti, che erano obbligati a presentare una notificazione per il tratta-mento di dati personali.

Una crescente maturità ed esperienza, nell’ambito di applicazione della legge, fecero sì che l’autorità Garante suggerisse l’emissione di un nuovo decreto legislativo, che si applicava ad un settore assai particolare. Il decre-to legislativo 8 maggio 1998, n. 135 (Disposizioni in materia di trattamen-to di dati particolari da parte di soggetti pubblici), all’art. 2. (Trattamento dei dati risultanti dalla dichiarazione dei redditi e dell’imposta sul valore aggiunto), prevede quanto segue:

1. Dopo l’articolo 12 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600, e successive modificazioni ed integrazioni, è inserito il seguente:

Art. 12-bis (Trattamento dei dati risultanti dalla dichiarazione dei redditi e dell’imposta sul valore aggiunto). - 1. I sostituti d’imposta ed i soggetti comunque incaricati ai sensi dell’articolo 12 di trasmettere la dichiarazione all’Amministrazione finanziaria, possono trattare i dati connessi alle dichiarazioni per le sole finalità di prestazione del servizio e per il tempo a ci necessario, adottando specifiche misure individuate nelle convenzioni di cui al comma 11 del predetto articolo 12, volte ad assicurare la riservatezza e la sicurezza delle informazioni anche con riferimento ai soggetti da essi designati come responsabili o incaricati ai sensi della legge 31 dicembre 1996, n. 675. Con il decreto di cui al comma 11 dell’articolo 12 sono individuate, altresì, le modalità per inserire nei modelli di dichia-razione l’informativa all’interessato e l’espressione del consenso relativo ai trattamenti, da parte dei soggetti di cui al precedente periodo, dei dati personali di cui all’articolo 22, comma 1, della legge 31 dicembre 1996, n. 675, connessi alle dichiarazioni.

Limitatamente alle dichiarazioni presentate nel 1998, l’informativa di cui all’articolo 10 della legge 31 dicembre 1996, n. 675, s’intende resa attraverso i modelli di dichia-razione ed il consenso di cui al comma 1 è validamente espresso con la sottoscrizione delle dichiarazioni.



33

Ben più articolate erano le disposizioni di un successivo decreto legislati-vo, che dava attuazione ad una direttiva Europea, specialmente mirata alla protezione dei dati personali, che vengono trattati dai gestori di servizi di telecomunicazioni.

Il timore che tali dati venissero conservati per un tempo eccessivo e potessero essere utilizzati per finalità non direttamente legate ai servizi di fatturazione indusse l’Unione europea ad emanare una direttiva specifica, che venne recepita con il decreto legislativo 13 maggio 1998, n. 171 (Dispo-sizioni in materia di tutela della vita privata nel settore delle telecomuni-cazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica).

Nella stessa ottica si pone un nuovo decreto legislativo, che permetteva di estendere dei regimi transitori, applicabili a pubbliche amministrazioni, che diversamente si sarebbero trovate in grave difficoltà nella puntuale applicazione dei dettati in materia di protezione dei dati personali. Infatti, il decreto legislativo 6 novembre 1998, n. 389 (Disposizioni in materia di trattamento di dati particolari da parte di soggetti pubblici), recita:

Articolo 1 - Disposizione transitoria

Nell’articolo 41, comma 5, della legge 31 dicembre 1996, n. 675, come modificato dal decreto legislativo 8 maggio 1998, n. 135, le parole: «diciotto mesi» sono sostituite dalle seguenti: «ventiquattro mesi»

1.1.3 In Europa si attiva Article 29 Working Party – preziosi consulenti

Un contributo determinante all’elaborazione di una normativa sulla pro-tezione dei dati personali, a livello europeo, è la diretta conseguenza della fondazione di un gruppo di lavoro, chiamato art. 29 Working Party.

Questo gruppo di lavoro internazionale è stato allestito su indicazione della direttiva 95/46/10 del parlamento europeo e del Consiglio, in data 24 ottobre 1995. L’incarico affidato a questo gruppo di lavoro era quello di sviluppare una dettagliata analisi delle modalità di protezione dei dati personali e sulle modalità, in base alle quali era possibile garantire un libe-ro movimento dei dati fra i paesi europei.

È bene tuttavia sottolineare che i documenti prodotti da questo gruppo di lavoro non riflettono la posizione della Commissione Europea, in quanto tale gruppo opera come consulente indipendente delle istituzioni europee.

Questo gruppo di lavoro è composto da:



34

• un rappresentante dell’autorità di supervisione, designato da ogni paese europeo,

• un rappresentante delle autorità stabilite dalle istituzioni europee,

• un rappresentante della Commissione Europea.

Il gruppo elegge al suo interno un presidente ed un vicepresidente, che restano in carico due anni; la permanenza nella carica è rinnovabile.

I lettori che vorranno esaminare i documenti prodotti da questo gruppo di lavoro, disponibili sul sito internet del gruppo stesso, troveranno un’au-tentica miniera di valutazioni approfondite su numerosi temi. Queste valutazioni sono state spesso utilizzate dall’autorità nazionali per svilup-pare provvedimenti, validi però solo all’interno dei singoli paesi.

Questa graduale differenziazione rappresenta lo scenario naturale sul quale nasce e cresce il regolamento europeo.

1.1.4 Arrivano le misure minime di sicurezzaCome accennato in precedenza, il crescente approfondimento delle

disposizioni legislative in vigore indusse l’autorità Garante ad offrire una sorta di salvaguardia minima a tutti i titolari di trattamento dei dati per-sonali.

Ad essi infatti la legge 675/96 imponeva obblighi di adozione di misu-re di sicurezza di livello più o meno elevato, senza però dare alcun’indi-cazione su quale potesse essere uno standard minimo accettabile. Questa situazione metteva in gravi difficoltà molti titolari di trattamento, nonché responsabili del trattamento di dati personali, perché non sempre essi era-no in grado d’identificare quali potevano essere le “idonee e preventive misure di sicurezza”, come stipulato dalla legge.

Per questa ragione l’autorità Garante attivò una speciale Commissione di esperti, di cui chi scrive fece parte, con l’incarico di elaborare una trac-cia di decreto del Presidente della Repubblica, che offrisse all’universo dei titolari e responsabili del trattamento di dati personali delle linee guida, con indicazione delle misure minime che avrebbero dovuto adottare.

Ci si rese anche conto che l'indicazione di misure minime poteva sempli-ficare l’attività ispettiva, che la legge affidava l’autorità Garante per la pro-tezione dati personali, in quanto offriva una base minima di riferimento, che facilitava indubbiamente l’attività degli ispettori.

Nacque così il decreto del Presidente della Repubblica 28 luglio 1999,



35

n. 318 (Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’ar-ticolo 15, comma 2, della legge 31 dicembre 1996, n. 675), pubblicato sulla G. U. n. 216 del 14/09/1999.

Tale decreto, per la prima volta, ha classificato i trattamenti di dati per-sonali in modo diverso, in funzione del fatto che venissero utilizzati stru-menti informatici, sia off line, sia in rete.

I trattamenti basati su sistemi manuali venivano analizzati separatamente e per essi venivano impartite efficaci e realistiche misure minime di protezione.

Nasce anche, con questo decreto, il celebre documento programmatico sulla sicurezza – DPS, che avrà vita lunga e ad un certo punto, anche tra-vagliata.

Questo regolamento per la prima volta introduce una classificazione dei sistemi sia informatizzati, sia manuali di trattamento dei dati personali, sia particolari, sia convenzionali, stabilendo regole di accesso e trattamento per gli operatori incaricati.

L’accenno alle modalità di gestione dei supporti di memoria, da riutiliz-zare, rappresenta un’anticipazione di problemi, che in seguito assumeran-no un ruolo sempre più importante, fino ad emettere specifiche regole per la cancellazione dei supporti, contenenti dati personali.

Chi scrive ebbe l’incarico di partecipare alla stesura di questo documen-to, in collaborazione con esperti informatici e giuridici, che per la prima volta affrontavano in modo sistematico il problema della protezione dei dati personali.

Questo decreto si pose come utilissimo riferimento, introducendo anche il concetto di un nuovo personaggio, tra coloro che curavano la sicurezza dei dati personali, chiamato “amministratore di sistema”. Questo soggetto era in particolare incaricato di gestire l’attribuzione dei codici identificativi personali e delle parole chiave di accesso degli incaricati, nonché la costru-zione e l’aggiornamento dei profili di accesso.

Prego i lettori di esaminare con attenzione questo soggetto, che rappre-senta un embrione di ciò che in futuro diventerà il responsabile della pro-tezione dei dati.

Di pari e forse superiore importanza fu l’introduzione dell’obbligo di elaborare un documento programmatico per la sicurezza, nel quale veni-vano indicati in maniera articolata gli interventi di sicurezza che il titolare del trattamento doveva attuare. Si trattò di un utilissimo “manuale della sicurezza”, che aiutò tutti i soggetti interessati a meglio articolare, attuare



36

e verificare le misure di sicurezza in essere. Ecco il testo di questo articolo fondamentale:

Articolo 6 - Documento programmatico sulla sicurezza

1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato con gli elaboratori indicati nell’articolo 3, comma 1, lettera b), deve essere predisposto e aggiornato con periodicità annuale, un documento programmatico sulla sicurezza dei dati per definire, sulla base dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture proposte al trattamento dei dati stessi: a) i criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati

alle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;

b) i criteri e le procedure per assicurare l’ integrità dei dati; c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli

per le restrizioni di accesso per via telematica; d) l’elaborazione di un piano di formazione per rendere edotti gli incaricati del tratta-

mento dei rischi individuati e dei modi per prevenire danni.

2. L’efficacia delle misure di sicurezza adottate ai sensi del comma 1 deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale.

Si ponevano così le fondamenta di uno schema generalizzato di prote-zione dei dati trattati per via informatica.

L’importanza di questo documento è comprovata da alcuni successi provvedimenti del Garante, come la deliberazione 29 febbraio 2000.

Applicazione delle misure minime di sicurezza di cui al decreto del Presidente della Repubblica n. 318/1999. Modifica da apportare al modello per la notificazione del trat-tamento dei dati personali. (Deliberazione n. 8), pubblicata in Gazzetta Ufficiale n. 65 del 18-03-2000.

1.1.5 Nuove leggi, nuovi chiarimenti e nuovi differimentiD’altro canto, la relativa immaturità dei titolari di trattamento di dati

personali poneva degli oggettivi vincoli all’attuazione delle misure mini-me di sicurezza nei tempi indicati nel decreto del Presidente della Repub-blica.

Da un lato quindi l’autorità Garante intensificò la sua attività di sup-porto, offrendo chiarimenti in merito ad alcuni aspetti di questo decreto, dall’altro si rese conto che era indispensabile stabilire delle modalità tran-sitorie, aventi un periodo più lungo di quello inizialmente indicato, per consentire ai titolari di trattamento di attuare in modo corretto le misure minime indicate.



37

Venne quindi emanata dal parlamento una legge, che estendeva, pur con qualche cautela, i termini di attuazione delle misure minime.

La legge 3 novembre 2000, n. 325 (Disposizioni inerenti all’adozione del-le misure minime di sicurezza nel trattamento dei dati personali previste dall’articolo 15 della legge 31 dicembre 1996, n. 675), venne pubblicata nel-la Gazzetta Ufficiale n. 262 del 9 novembre 2000 ed, all’art 1, offriva la pos-sibilità ai soggetti coinvolti di avvalersi di un termine più ampio di quello previsto dall’articolo 41, comma 3, della medesima legge n. 675 del 1996, a condizione di documentare per iscritto le particolari esigenze tecniche e organizzative che rendevano necessario tale differimento.

È già stato menzionato il fatto che la frettolosità con la quale venne approvata la legge 675/96 obbligò, in pratica, il parlamento a concedere al governo una delega legislativa, per metterla meglio a punto, sulla base dell’esperienza progressivamente maturata.

Come abbiamo visto, il governo ha approfittato più volte di tale delega, ma la complessità del tema e la necessità di effettuare approfondimenti più spinti fecero sì che il termine del periodo di validità della delega legislativa si stesse ormai approssimando, mentre il governo aveva ancora bisogno di tempo per apportare ulteriori correzioni e miglioramenti.

Il parlamento recepì appieno questa esigenza ed estese nuovamente il periodo di validità della delega legislativa, con un’apposita legge. Questa legge tuttavia impose al governo, con un provvedimento assolutamente condivisibile, di riordinare l’intera materia, che nel frattempo aveva por-tato a continue modifiche della legge originaria, presentando un nuovo documento riassuntivo, da usare come strumento unitario di lavoro per tutti coloro che erano coinvolti nel trattamento di dati personali. Nasce così la legge 24 marzo 2001, n. 127 (Differimento del termine per l’esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676, in materia di trattamento dei dati personali).

Il Governo poteva ancora emanare decreti legislativi a tutto il 31 dicem-bre 2014, ma doveva emanare, entro dodici mesi dallo scadere del termine di cui al comma 1, un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, coordinando le norme vigenti ed apportando alle medesime le integrazioni e modificazioni necessarie al predetto coor-dinamento o per assicurarne la migliore attuazione.

Il termine per l’emanazione del testo unico scadeva il 30 giugno 2003.


Pagine omesse dall’anteprima del volume

559

I trattamenti a rischio specifico ed i trattamenti particolari, con annesse tecnologie - i Big data

Nel capitolo precedente ho già cominciato ad affrontare il tema della valutazione di impatto, che deve essere condotta in alcuni casi specifici, e in altri casi che sono individuabili in modo meno esplicito. È ben vero che l’autorità Garante può pubblicare un elenco di trattamenti esplicitamente soggetti a valutazione di impatto, come pure un elenco di trattamenti non soggetti a valutazione di impatto, ma è forse il caso di ricordare ancora una volta che qualsiasi trattamento di dati personali deve essere effettuato per finalità esplicite e legittime.

Ciò non toglie che, anche in presenza di questi requisiti, alcuni tratta-menti presentino dei rischi e delle peculiarità tali, da non poter consentire ad un titolare del trattamento di dati personali di procedere in modo auto-nomo; per questa ragione il regolamento, come già in precedenti dispo-sti legislativi, prevede che possano essere inseriti degli elementi specifici di garanzia, per solito controllati dal titolare del trattamento, insieme al responsabile per la protezione dei dati personali, congiuntamente all’auto-rità di controllo, a garanzia degli interessati coinvolti.

Questo argomento è stato trattato nel capitolo dove sono illustrati i com-piti delle autorità di controllo ed è stato già affrontato nel capitolo speci-ficamente dedicato agli impianti di videosorveglianza, soprattutto per la grande diffusione di questi impianti.

Come regola generale, a fronte di trattamenti che presentano caratteristiche e rischi particolari, gli interventi di garanzia sono costituiti dall’obbligo di:

• sviluppare una valutazione di impatto,

• se del caso, prendere contatto con le autorità nazionali di controllo, per una consultazione preventiva,

15

AGGIORNAMENTO

L’entrata in vigore del regolamento europeo ha un impatto significativo sul trattamento dei dati nell’ambiente di lavoro. Una preziosa linea guida, emessa dall’articolo 25 working party, viene analizzata nel capitolo 25 al paragrafo 25.4 (vedi pagina 944).



560

• se del caso, prendere contatto con le autorità nazionali di controllo, per un’autorizzazione preventiva.

Infine, per trattamenti particolari, che sono illustrati in singoli articoli del regolamento, vengono introdotte cautele e limitazioni aggiuntive od alternative.

In questo capitolo desidero prendere in esame i vari aspetti sopra richia-mati, offrendo indicazioni per una puntuale attuazione delle prescrizioni del regolamento.

15.1. I trattamenti soggetti a valutazione di impatto

L’articolo 35 elenca i seguenti trattamenti, che vengono analizzati singo-larmente.

La valutazione sistematica e globale di aspetti della personalità

Letteralmente, l’art. 35 recita: omissis

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche,

basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significati-vamente su dette persone fisiche;

omissis

Questi trattamenti sono sempre più numerosi ed hanno legittimamente destato una preoccupazione nel legislatore, che nel regolamento vuole te-nere sotto controllo la proliferazione di questi trattamenti, soprattutto se automatizzati.

L’esempio clamoroso di questa situazione è legato, ad esempio, all’at-tivazione di sistemi di trattamento che valutano le capacità economiche di un interessato, e sulla base di tali valutazioni automatizzate possono o meno concedere un prestito personale.

È una tipica forma di trattamento che può avere riflessi oltremodo nega-tivi sulla vita sociale dell’interessato ed è più che naturale che si imponga, quasi in modo tassativo, che venga condotta una valutazione di impatto, grazie alla quale devono essere messe in evidenza le garanzie che vengono offerte agli interessati, perché queste modalità di trattamento non portino


I TRATTAMENTI A RISCHIO SPECIFICO ED I TRATTAMENTI PARTICOLARI

561

a situazioni abnormi, con decisioni assunte da una macchina, invece che da un essere pensante.

È ben vero che in molti casi questo tipo di trattamento ha una finalità tutto sommato costruttiva, in quanto ad esempio mira ad offrire ad un interessato una gamma di servizi, che sono stati adattati alle sue specifiche esigenze e che potrebbero perfino essere apprezzati dall’interessato stesso.

Ad esempio, se un interessato ha già utilizzato degli applicativi di geo localizzazione, per individuare un ristorante di suo gradimento, e questo ristorante risulta, da storia passata, essere sempre una pizzeria, potrebbe essere perfino attraente per l’interessato, quando avanza nuovamente que-sta richiesta, che siano presentate solo delle pizzerie nelle vicinanze, e non altri ristoranti, che potrebbero confondere le sue scelte.

Il principio fondamentale della trasparenza deve però esser sistematica-mente rispettato.

Su questi argomenti sono stati scritti interi volumi e il confine fra un trat-tamento corretto ed un trattamento invasivo è spesso estremamente labile.

Ben fa quindi il regolamento ad ampliare il campo dei trattamenti sog-getti a questa valutazione di impatto, che obbliga il titolare del trattamento ad attuare misure specifiche di garanzia, che in molti casi debbono essere controfirmate e verificate periodicamente dal titolare della protezione dei dati.

Non offro un dettaglio dei paragrafi che compongono una valutazione di impatto, perché rimando il lettore al capitolo dedicato alla videosorve-glianza, dove questi paragrafi sono stati puntualmente analizzati.

15.1.1 La profilazioneSi tratta di un tema cui il regolamento generale europeo ha prestato molta

attenzione. Tra l’altro, il “considerando” iniziale n. 21, nel quale si affronta il tema, è stato sottoposto a ripetute modifiche, proprio per sottolineare come l’interesse destato da questa attività, che sta assumendo dimensioni gigantesche, sia in crescita esponenziale.

Per meglio inquadrare l’evoluzione del pensiero delle tre istituzioni comunitarie coinvolte, metto a confronto la versione originale della Com-missione, la versione modificata dal Parlamento europeo ed infine la ver-sione definitiva.



562

Commissione europea Parlamento europeo Versione finale

(21) Per stabilire se un’at-tività di trattamento sia assimilabile al “controllo del comportamento” dell’interessato, occorre verificare se le operazio-ni che questi esegue su internet sono sottoposte a tecniche di trattamento dei dati volte alla

“profilazione” dell’utente, in particolare per prendere decisioni che li riguardano o analizzarne o preveder-ne le preferenze, i com-portamenti e le posizioni personali.

(21) Per stabilire se un’at-tività di trattamento sia assimilabile al “controllo” dell’interessato, occorre verificare se le operazioni che questi esegue sono tracciate, a prescindere dall’origine dei dati, o se altri dati che lo riguardano sono raccolti, anche da registri pubblici e comuni-cazioni a livello dell’U-nione accessibili al suo esterno, compreso il previ-sto utilizzo o il potenziale utilizzo successivo di tecniche di trattamento dei dati volte alla “profila-zione”, in particolare

per prendere decisioni che lo riguardano o analizzar-ne o prevederne le prefe-renze, i comportamenti e le posizioni personali.

(24) È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamen-to o di un titolare del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al moni-toraggio del comporta-mento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimila-bile al controllo del com-portamento dell’interessa-to, è opportuno verificare se le persone fisiche sono tracciate su internet, com-preso l’eventuale ricorso successivo a tecniche di trattamento dei dati perso-nali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferen-ze, i comportamenti e le posizioni personali.

Anche la definizione del regolamento è stata assoggettata a varie rielabo-razioni, ed ecco la versione finale:

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali con-sistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguar-danti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli sposta-menti di detta persona fisica;



563

La ragione di questa sempre più articolata definizione della profilazione è da ricondurre al fatto che il legislatore europeo nutre molti timori circa il fatto che gran parte delle attività di profilazione si basano su big data, che vengono raccolti e gestiti molto spesso all’esterno dell’Unione europea.

Sappiamo tutti quale straordinaria quantità di dati venga raccolta ogni minuto da società, del tipo di Google, per capire bene come le preoccupa-zioni dei legislatori europei siano del tutto giustificate.

Infine, ricordo che qualsiasi attività di profilazione deve essere debita-mente comunicata all’interessato, spiegando per filo e per segno quali dati vengono utilizzati, come vengono raccolti e trattati e quali sono le conse-guenze di tale trattamento.

Anche in questo caso, i timori del legislatore europeo, in merito all’attivi-tà di profilazione che potrebbero portare a conseguenze negative assai gra-vi nei confronti dell’interessato coinvolto, appaiono tanto evidenti, quanto giustificati.

A fronte di una situazione potenzialmente così critica, appare del tut-to giustificata la richiesta del legislatore europeo di effettuare un’analisi approfondita del trattamento ed in particolare una valutazione di impatto.

15.1.2 Le linee guida dell’autorità Garante italiana sulla profilazione on line

Anticipando in parte le indicazioni del regolamento, la nostra autori-tà Garante, in data 19 marzo 2015, ha pubblicato in Gazzetta Ufficiale le “Linee guida in materia di trattamento di dati personali per profilazione on line”, pubblicate in Gazzetta Ufficiale il 6 maggio 2015 (Linee Guida).

Riporto di seguito un estratto di tali linee guida, perché con ogni pro-babilità queste indicazioni potranno rimanere in vigore anche successiva-mente all’entrata della regolamento europeo.

L’obiettivo delle Linee Guida è quello di armonizzare, in un’ottica di semplifica-zione, le modalità attraverso le quali Garantire il rispetto degli obblighi di cui al Codice Privacy (D.Lgs. 196/2003) (in particolare, in relazione all’informativa agli interessati e all’acquisizione del consenso al trattamento dei dati) nella fornitura di servizi online (come motori di ricerca e servizi di posta elettronica, social net-works, servizi cloud, servizi di pagamento online, strumenti di analisi statistica e di monitoraggio dei visitatori di siti web, ecc.).

Le Linee Guida appaiono interessanti in quanto rappresentano il primo inter-vento di carattere generale del Garante Privacy in tema di profilazione (il tema è



564

stato infatti finora affrontato dal Garante intervenendo su temi specifici, ad esem-pio in relazione alla profilazione della clientela da parte degli alberghi, alla forni-tura di servizi di comunicazione elettronica o all’arricchimento di database clienti, o, da ultimo, alla profilazione online nell’ambito del servizio Google).

Si fornisce di seguito una sintesi dei punti più interessanti delle Linee Guida.

1) Definizione di profilazioneIl Codice Privacy contiene alcune previsioni in relazione ai trattamenti di dati

personali per finalità di profilazione (ad esempio, prevede l’obbligo del titolare del trattamento di notificare i trattamenti di dati con strumenti elettronici “volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo”), ma non fornisce una definizione di ‘profilazione’.

Dalle Linee Guida è possibile ricavare una nozione di profilazione intesa come “analisi ed elaborazione di informazioni relative ad utenti o clienti, al fine di sud-dividere gli interessati in “profili”, ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l’obiettivo di pervenire all’identificazio-ne inequivoca del singolo utente (cd. Single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo”. In sintesi, costituisce profilazione la categorizzazione di utenti o clienti, la creazio-ne di cluster omogenei di utenza o clientela, che consentano di identificare in modo inequivocabile una persona.

Come evidenziato nelle Linee Guida, la menzionata categorizzazione o ‘cluste-rizzazione’ può essere effettuata per gli scopi più disparati, come ad esempio:

• La messa a disposizione di servizi mirati e conformati sulle specifiche esigenze dell’utente;

• La fornitura di pubblicità personalizzata;• L’analisi e il monitoraggio dei comportamenti online degli utenti;• Lo sfruttamento commerciale dei profili ottenuti, che possono avere un

significativo valore di mercato in ragione della loro capacità di fornire indicazioni sulle propensioni al consumo di beni e servizi;

• ecc.

Inoltre, la profilazione può essere effettuata secondo le seguenti modalità:• trattamento, in modalità automatizzata, dei dati personali degli utenti

autenticati in relazione all’utilizzo del servizio per l’invio e la ricezione di messaggi di posta elettronica;

• incrocio dei dati personali raccolti in relazione alla fornitura e al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell’u-



565

tente (ad esempio, posta elettronica e navigazione sul web; partecipazio-ne a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi);

• cookies e utilizzo di altri identificatori (credenziali di autenticazione o cd. fingerprinting) necessari per ricondurre a soggetti determinati, identifi-cati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (cd. pattern).

2) Informativa privacy

Le Linee Guida ribadiscono la necessità di fornire agli utenti di servizi online un’informativa privacy completa, chiara, aggiornata e facilmente accessibile, ad esempio con un solo click dalla pagina del dominio cui l’utente accede, indipen-dentemente dal terminale utilizzato dall’utente (ad esempio, smartphone, tablet, desktop computer).

Sul punto, in conformità alle raccomandazioni espresse dal Gruppo di Lavoro europeo Articolo 29 per la protezione dei dati personali, richiamate nelle Linee Guida, costituisce una best practice strutturare l’informativa privacy su più livelli o strati (cd. layered notice), ciascuno dei quali fornisca le informazioni fondamen-tali sul trattamento dei dati, in particolare sulla finalità e sulle modalità della profilazione effettuata dal titolare del trattamento. Sul punto, il Garante ritiene opportuno che le informazioni siano distribuite in tal modo:

• un primo livello immediatamente accessibile (con un solo click dalla pagina visitata) all’interno del quale inserire le informazioni di carattere generale di maggiore importanza per gli utenti, come la tipologia di dati personali oggetto di trattamento, la finalità di profilazione perseguita e le relative modalità, l’identità del titolare del trattamento e dei responsabili (se nominati), informazioni sui diritti degli utenti, le modalità di acqui-sizione del consenso al trattamento, ove necessario;

• un secondo livello, accessibile dal primo, contenente l’informativa rela-tiva alle specifiche funzionalità, esempi per chiarire le modalità del trat-tamento dei dati, eventuali precedenti versioni dell’informativa, l’indica-zione dei rischi specifici che possono derivare dall’utilizzo dei servizi (ad esempio, in caso di scelta di password non sufficientemente sicure poiché di agevole identificazione) e ogni informazione idonea a consentire il più efficace esercizio dei diritti degli interessati.

In ogni caso, occorre evitare un’eccessiva frammentazione in un numero troppo elevato di livelli, che potrebbe causare la dispersione delle informazioni e compro-metterne la fruibilità.



566

3) Consenso al trattamento

Con riferimento al consenso al trattamento dei dati, nell’ambito della fornitu-ra di servizi online possono identificarsi alcune attività di trattamento che non necessitano del consenso degli utenti, in quanto svolte al fine specifico di eseguire contratti conclusi tra il fornitore del servizio e gli utenti (e, dunque, ricadenti nell’esenzione dall’obbligo del consenso di cui all’articolo 24, comma 1, lettera b), del Codice Privacy). È il caso del trattamento di dati svolto in forma automatizzata dai fornitori di servizi di posta elettronica per eseguire attività di carattere tecnico (ad esempio, l’impiego di filtri antispam, la rilevazione di virus, la possibilità per l’utente di effettuare ricerche testuali, utilizzare il controllo ortografico, inviare risposte automatiche in caso di assenza, etc.).

È invece necessario acquisire il preventivo, informato, libero ed espresso consen-so degli utenti (sia autenticati che non autenticati, come nel caso della semplice navigazione online) per i seguenti trattamenti di dati:

• trattamento svolto per finalità ulteriori rispetto alla fornitura del servizio di posta elettronica, in particolare al fine di mostrare agli utenti autenti-cati messaggi di testo volti alla fornitura di pubblicità comportamentale personalizzata;

• operazioni di trattamento volte alla profilazione dell’utente realizzate anche attraverso l’incrocio di dati raccolti in relazione a funzionalità diverse.

L’uso di cookies per finalità di profilazione è invece soggetto alle previsioni conte-nute nel provvedimento del Garante Privacy dell’8 maggio 2014 (entrato in vigore il 3 giugno scorso), su cui si veda la nostra newsletter del mese di giugno 2014.

Un caso peculiare è quello della tecnica di cd. fingerprinting, ossia una tecnica di identificazione che si basa sul trattamento di informazioni o parti di informazioni che, poste in associazione tra loro o con altre informazioni, possono costituire dati personali, con l’obiettivo di pervenire all’identificazione inequivoca del terminale (cd. single out) e, per il suo tramite, anche del profilo di uno o più utilizzatori di quel dispositivo. Le Linee Guida chiariscono che l’uso di fingerprinting per il con-seguimento di finalità di profilazione richiede il consenso dell’interessato, al pari dell’uso di cookies, tranne i casi di esenzione previsti dall’articolo 122 del Codice Privacy (nella specie, trasmissione di una comunicazione su una rete di comuni-cazione elettronica o erogazione del servizio su richiesta dell’utente). Sul tema, è di recente intervenuto anche il Gruppo di Lavoro europeo Articolo 29 per la protezio-ne dei dati personali con parere n. 9/2014, del 25 novembre 2014, sull’applicazione della Direttiva 2002/58/EC al device fingerptinting.

Per quanto concerne la modalità di acquisizione del consenso online per la profila-



567

zione, si suggerisce di far comparire, al momento dell’accesso da parte dell’utente alla homepage o ad altra pagina del sito web, un’area in primo piano di idonee dimensio-ni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che l’utente sta visitando, contenente almeno le seguenti indicazioni:

• che il sito effettua attività di trattamento dei dati per finalità di profilazio-ne, indicando le modalità con cui quest’ultima è svolta;

• il link all’informativa privacy;

• il link ad un’ulteriore area dedicata nella quale sia possibile negare il con-senso alla profilazione ovvero, se del caso, selezionare, in modo analitico,soltanto le funzionalità e le modalità del trattamento che l’utente intendeautorizzare;

• l’indicazione che la prosecuzione della navigazione mediante accesso oselezione di un elemento sottostante o comunque esterno all’area in pri-mo piano (ad esempio, un’immagine o un link) comporta la prestazionedel consenso alla profilazione.

Al fine di tenere traccia delle scelte dell’utente in merito al trattamento dei dati, il fornitore del servizio potrà usare appositi cookies tecnici o altri identificatori.

Infine, tutte le pagine web riconducibili al titolare del trattamento dovrebbero recare un link all’area dedicata all’interno della quale l’utente potrà esercitare i propri diritti rispetto ai dati (ad esempio, revocare il consenso prestato).

Si ricorda che il trattamento dei dati per finalità di profilazione deve essere notificato al Garante Privacy, ai sensi dell’articolo 37, comma 1, lettera d), del Codice Privacy.

15.1.3 Il trattamenti dati sensibili e sanitari (dati particolari)Grande cautela occorre anche prestare nel trattamento di dati, elencati

al comma 2.b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’ar-ticolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;

Per comodità del lettore, riporto testualmente l’articolo 9.

Articolo 9 - Trattamento di categorie particolari di dati personali

1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinio-ni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, come puretrattare dati genetici, dati biometrici intesi a identificare in modo univoco una personao dati relativi alla salute o alla vita sessuale e all’orientamento sessuale.

Omissis


923

L’evoluzione interpretativa del regolamento europeo e le normative afferenti, dal maggio 2016 all’ottobre 2017

In questo ampio capitolo passo in sintetica rassegna una grande quantità di documenti che sono stati prodotti successivamente alla pubblicazione ed entrata in vigore del regolamento generale europeo. I vari paragrafi affrontano temi specifici e i documenti di riferimento di supporto sono sempre disponibili sul CD allegato al volume.

25.1. Un approfondimento su un nuovo soggetto: il responsabile della protezione dei dati

Come accennato nell’introduzione alla seconda edizione, una preziosa attività di produzione di linee guida ed interpretazioni del nuovo regola-mento europeo è stata svolta dall’articolo 29 working party.

Si tratta di un ente sovranazionale, che non ha poteri normativi o legi-slativi, ma ha poteri interpretativi e consultivi. L’attività svolta dal giorno della fondazione di questo ente dimostra come la sua autorità e autore-volezza sia indiscussa. Ecco perché tutti i titolari del trattamento europei hanno atteso con impazienza la pubblicazione di linee guida specifiche su questo nuovo profilo professionale, che è già ben noto in molti altri paesi europei, ma è affatto sconosciuto in Italia.

La nostra autorità Garante non ha ancora dato indicazioni operative, in assenza di supporto da parte delle strutture governative e legislative coin-volte. Assume quindi ancor maggiore rilevanza questo documento, che viene riportato nel CD, che affronta in profondità questo critico tema.

In particolare, vedi articolo 37 del regolamento, ricordo che questo sog-getto deve essere obbligatoriamente designato ogni qualvolta il trattamen-to sia effettuato da un organismo pubblico, oppure le attività principali del

25



924

titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure ancora le attività prin-cipali del trattamento coinvolgono categorie particolari di dati personali.

Per quanto riguarda l’obbligo di designazione da parte di tutte le autorità pubbliche, un utilissimo chiarimento offerto in questo documento riguar-da il fatto che appare evidente come non solo egli deve essere designato da tutte le autorità pubbliche, ma anche da aziende private, che svolgono attività di pubblico interesse.

In questa categoria rientrano senza alcun dubbio le società che gestisco-no reti autostradali, reti ferroviarie, reti elettriche, reti di distribuzione e raccolta di acque, aziende incaricate della raccolta e riciclaggio dei rifiuti. Credo che nessuno possa contestare il fatto che le attività svolte da queste aziende siano talmente critiche per il benessere dei cittadini, che occorra attivare ogni possibile cautela per evitare trattamenti non appropriati o, peggio ancora, perdita di dati potenzialmente critici.

Il documento successivamente passa ad illustrare in dettaglio che cosa si intende, ad esempio, per attività primarie ed accessorie di trattamento dei dati. Ad esempio, appare evidente che una istituzione ospedaliera, per svolgere correttamente il proprio compito, deve necessariamente trattare i dati dei pazienti e quindi lo svolgimento dell’attività dell’istituzione è intrinsecamente connesso a procedimenti di trattamento, che possono ave-re risvolti critici.

Si pensi anche ad un Istituto di vigilanza privata, cui fanno capo segnali provenienti da impianti di videosorveglianza o segnalazione di allarme, provenienti da migliaia di clienti.

Anche in questo caso, non v’è dubbio che tale istituto di vigilanza debba designare un responsabile della protezione dei dati, per i risvolti critici che potrebbero nascere da un non appropriato e non sufficientemente protetto trattamento da parte dell’Istituto stesso.

Diverso il caso in cui, anche se sono coinvolte grandi quantità di dati, il trattamento è finalizzato ad utilizzi operativi interni, come ad esempio la gestione di paghe e contributi, turni di servizio e simili. In questi casi l’im-patto verso la società civile per un trattamento, non vigilato da un respon-sabile del trattamento, è ritenuto decisamente inferiore.

Passiamo adesso ad esaminare che cosa si intenda per trattamento su larga scala, che richiede la designazione di un responsabile della prote-zione. L’articolo 29 working party offre alcune esemplificazioni oltremodo illuminanti, ritenendo rientrare nella categoria di trattamenti su larga scala i seguenti:


EVOLUZIONE INTERPRETATIVA DAL MAGGIO 2016 ALL’OTTOBRE 2017

925

• il trattamento dei dati di spostamento di singole persone, che utiliz-zano tessere personalizzate di accesso ai sistemi di trasporto urbano,

• il trattamento di dati dei clienti da parte di compagnie di assicurazio-ne od una banca,

• il trattamento di dati personali di navigatori su Internet, che si colle-gano ad un motore di ricerca, che a sua volta effettua analisi compor-tamentali,

• il trattamento di dati, afferenti alla quantità e qualità del traffico svol-to, da parte di gestori telefonici o di provider di servizi Internet.

Per contro, certamente non costituiscono trattamenti su larga scala quelli sviluppati da un medico che tratti i dati dei propri assistiti o di un avvoca-to penalista, che tratti i dati dei propri assistiti.

Queste esemplificazioni sono oltremodo importanti e possono guidare il titolare nell’assumere una decisione che ha notevoli impatti, da un punto di vista operativo ed economico, sulla sua attività di trattamento.

Il titolare farà comunque bene ad assumere sempre un atteggiamento conservativo, e la sola presenza di un dubbio circa l’opportunità o meno di designare un responsabile della protezione può spesso costituire ragione per designarlo!

Il documento in questione continua ad approfondire questi temi, dando alcune indicazioni sulla posizione che deve assumere il responsabile del-la protezione, nei confronti della azienda che lo ha messo sotto contratto. Ancora una volta, come d’altra parte il regolamento ben chiarisce, questo soggetto deve avere assoluta autonomia operativa e deve avere immediato accesso all’alta direzione aziendale committente, in caso di necessità.

Il documento ricorda anche che non è compito del responsabile della protezione dei dati mettere a disposizione le risorse necessarie per svilup-pare a fondo la propria attività, ma queste risorse debbono essere messe a disposizione dal titolare. Ovviamente nulla impedisce che, ove il responsa-bile della protezione sia un soggetto esterno, questi aspetti operativi ven-gano presi in considerazione, dal punto di vista operativo ed economico, in uno specifico patto contrattuale.

Il documento affronta anche un tema che ha destato molte perplessità nei titolari del trattamento: queste perplessità nascono dal fatto che questo soggetto potrebbe operare come “spia” di possibili attività non appropria-te svolte dal titolare e meritevoli di essere segnalate all’autorità Garante nazionale. È un argomento indubbiamente alquanto delicato ed ecco la ragione per la quale l’articolo 29 working party ha pensato bene di illustra-



926

re in profondità questo ruolo, insieme al ruolo di documentazione delle attività di trattamento, che viene affidato responsabile del trattamento.

Il documento che stiamo esaminando si conclude con un annesso, che prende in esame, con specifici suggerimenti, tutti gli aspetti operativi sopra illustrati. La lettura approfondita di questo documento rappresenta, ad avviso di chi scrive, un atto fondamentale che il titolare del trattamento deve compiere o che deve affidare al responsabile del trattamento, perché venga assunta una appropriata decisione congiunta. Se la decisione assunta è quel-la di designare un responsabile della protezione dei dati, occorre avviare tutta una serie di passi successivi, soprattutto se il soggetto è esterno, per

• contrattualizzare il rapporto,

• individuare le risorse operative necessarie e

• inserire in modo appropriato questo nuovo soggetto all’internodell’organizzazione aziendale, onde evitare possibili conflitti o ma-lintesi, di cui purtroppo già si è avuta notizia in altri paesi europei,dove il responsabile del trattamento dei dati esiste da anni.

Infine, viene affrontato un aspetto che spesso viene trascurato, afferente alla facile accessibilità al responsabile della protezione dei dati da parte di un qualunque interessato od incaricato del trattamento, interno od esterno all’organizzazione.

È evidente che se un’azienda, che opera su tutto territorio nazionale, designa un solo responsabile del trattamento, potrebbe essere difficile per soggetti che si trovano a centinaia o migliaia di km di distanza prendere contatto, non solo informatico ma anche personale, con questo soggetto.

Ecco perché questo aspetto merita una particolare attenzione, consenten-do ad esempio al responsabile del trattamento di aprire dei punti di con-tatto distribuiti sul territorio, onde rendere più facile lo scambio di infor-mazioni tra questi ed altri soggetti, nel rispetto di indicazioni specifiche offerte dal regolamento.

Al proposito, offrirò in seguito una breve illustrazione di una ipotesi contrattuale applicabile a un soggetto terzo.


961

Contenuto del CD Rom

Il CD Rom allegato al presente volume si avvia automaticamente per i sistemi predisposti con autorun. Nel caso non si avviasse, occorre accedere all’unità CD/DVD (esempio: D:\) ed eseguire il file index.html. Per la cor-retta visualizzazione su Explorer o su gli altri browser occorre “consentire i contenuti bloccati”.

Il CD-Rom contiene provvedimenti legislativi e regolamentari, docu-menti di supporto e strumenti di lavoro:

Provvedimenti legislativi e regolamentari

• REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (versione pdf e doc)

• DIRETTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO E DEL CON-SIGLIO del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o ese-cuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (versione pdf e doc)

• DIRETTIVA (UE) 2016/681 DEL PARLAMENTO EUROPEO E DEL CONSI-GLIO del 27 aprile 2016 sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (versione pdf e doc)

• Testo finale direttiva NIS - Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (versione pdf)



962

• EU-US Privacy Shield Principles – 23 febbraio 2016 (versione pdf)

• Garante per la protezione dei dati personali - Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Re-pubblica - 18 luglio 2013 (versione pdf)

• Sentenza n. 23771/2015 del tribunale di Roma sul diritto all’oblio (versione pdf)

Documenti di supporto

• La Privacy dalla parte dell’impresa - a cura del Garante per la protezione dei dati personali

• Cloud computing: proteggere i dati per non cadere dalle nuvole - a cura del Garante per la protezione dei dati personali

• Department of Defense (DoD) - Cloud Computing Security Requirements Guide (SRG) - Version 1, Release 1 -12 January 2015

• Agenzia per l’Italia digitale - Linee guida per il disaster recovery delle pub-bliche amministrazioni ai sensi del c. 3, lettera b) dell’art. 50bis del Codice dell’Amministrazione Digitale - Aggiornamento 2013

• Data Protection Officer draft contract

1) Sintesi di normative afferenti alla protezione dei dati

• ISO 31000:2010 - Risk management - Principles and guidelines

• ISO 31000 - Risk management guidelines by ISO, ITC e UNIDO

• ISO TR 31004:2013 - Risk management – Guidance for the implementation of ISO 31000

• ISO/IEC 29100:2011- Information technology – Security techniques – Privacy framework

• ISO/IEC FDIS 29151:2017 – Draft - Information technology – Security tech-niques – Code of practice for personally identifiable information protection

• ISO/IEC 29134: 2017 - Information technology– Security techniques – Guide-lines for privacy impact assessment

• CEN ISO/TS 14441:2013 - Health informatics - Security and privacy require-ments of HER systems for use in conformity assessment

• CEN WORKSHOP AGREEMENT CWA 15263:2005 -Analysis of Privacy Pro-tection Technologies, Privacy- Enhancing Technologies (PET), Privacy Mana-gement Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization

• CEN/TR 16673:2014 Information technology - RFID privacy impact asses-sment analysis for specific sectors


CONTENUTO DEL CD ROM

963

• CEN/TR 16742:2014 - Intelligent transport systems - Privacy aspects in ITS standards and systems in Europe

• ISO TS 17975:2015 - Health informatics – Principles and data requirements for consent in the Collection, Use or Disclosure of personal health information

• ISO TR 18638:2017 - Health informatics – Guidance on health information privacy education in healthcare organizations

• ISO/TS 21547:2010 - Health informatics – Security requirements for archi-ving of electronic health records – Principles

• ISO 22307:2008 - Financial services – Privacy impact assessment

• EN ISO 25237:2017 - Health informatics - Pseudonymization

• ISO/IEC 27018:2014 - Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

• OWASP - Manufacturer IoT Security Guidance: 2017

• WADA - WORLD ANTI-DOPING CODE - Protection of privacy and perso-nal information: January 2015

2) linee guida e opinioni dell’art 29 working party

• List of companies for which the EU BCR cooperation procedure is closed

• WP241 - Opinion 04/2016 on European Commission amendments propo-salsrelated to the powers of Data Protection Authorities in Standard Contrac-tual Clauses and adequacy decisions

• WP 242 Rev 01 – Guidelines on the right to data portability

• WP242 ANNEX – Frequently Asked Questions

• WP243 rev.01 – Guidelines on Data Protection Officers (‘DPOs’)

• WP243 ANNEX – Frequently Asked Questions

• WP244 rev. 01 – Guidelines for identifying a controller or processor’s lead supervisory authority

• WP245 – EU-US PRIVACY SHIELD -F.A.Q. FOR EUROPEAN BUSINESSES

• WP246 – EU-US PRIVACY SHIELD - F.A.Q. FOR EUROPEAN INDIVIDUALS

• WP248 – Guidelines on Data Protection Impact Assessment (DPIA) and de-termining whether processing is “likely to result in a high risk” for the pur-poses of Regulation 2016/679

• WP249 – Opinion 2/2017 on data processing at work

• WP250 - Guidelines on Personal data breach notification under Regulation 2016/679



964

• WP251 – Guidelines on Automated individual decision-making and Profi-ling for the purposes of Regulation 2016/679

• ARTICLE 29 Data Protection Working Party

Strumenti di lavoro (in formato .doc direttamente utilizzabili)

• Traccia di documento sintetico, utile per rivedere l’impostazione dei tratta-mento aziendali, alla luce del nuovo regolamento

• Traccia di guida allo sviluppo di un documento di protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita

• Traccia di documento di valutazione di impatto sul trattamento di dati per-sonali

• Traccia alternativa di documento di valutazione di impatto sulla protezione dei dati

• Traccia di documento di valutazione di impatto sulla protezione dei dati per operazioni di marketing

• Traccia di Segnalazione di violazione di dati personali – versione dettagliata

• Traccia di Segnalazione di violazione di dati personali – versione breve

• Traccia di Rapporto di audit sulle attività di trattamento e protezione dei dati

• Traccia del contenuto di regole vincolanti d’impresa

• Traccia della domanda di approvazione delle regole vincolanti d’impresa, in-dirizzata all’autorità nazionale di supervisione

• Traccia di istruzioni per la gestione sicura di PC e supporti di memoria por-tatili

Requisiti di sistema:Windows Vista, 7, 8, 10

Internet Explorer 9 e successivi

Adobe Acrobat Reader

Microsoft Office Word 97-2003 e successivi

Finito di stampare nel mese di novembre 2017

presso la Tipografia CSR - Roma per conto della EPC S.r.l. Socio Unico

Via dell’Acqua Traversa 187/189 - Roma 00135


E Il Il nuovo regolamento europeo alle più recenti ... · Il nuovo REGOLAMENTO EUROPEO sulla...

Documents

Transcript of E Il Il nuovo regolamento europeo alle più recenti ... · Il nuovo REGOLAMENTO EUROPEO sulla...