IL  NUOVO  REGOLAMENTO  EUROPEO  IN  TEMA  DI  PRIVACY:  

ASPETTI  PRATICI  DI  ADEMPIMENTO

• Professore   Aggregato  di  Informatica  Giuridica  Avanzata  presso   l’Università  degli  Studi  di  Milano.• Coordinatore   del  Corso  di  perfezionamento   in  Computer  forensics  e  Data  protection.• Avvocato   iscritto  al  Consiglio  dell’Ordine  di  Milano• Partner  dello  Studio   Legale  Associato  MPSLAW  specializzato   in  diritto   IT• Dottore   di  ricerca  in  Informatica  giuridica  e  Diritto  dell’informatica• Ex  Fellow  dello  Stanford   Center  for  Internet   and  Society  presso   la  Stanford  Law  School• Ex  Visiting  Associate  dell’Information   Society   Project  presso   la  Yale  Law  School• Ex  Visiting  Researcher  presso   il  Dipartimento   Legal  and  Corporate  Affairs  di  Microsoft   in  Redmond

ABOUT  ME

AGENDA

• Panoramica del GDPR• La sicurezza nel GDPR

-­‐ La valutazione d’impatto-­‐ La gestione del “rischio digitale”-­‐ Il privacy officer (responsabile della protezione deidati)

•Una possibile best practice per la transizione dalla vecchia allanuova normativa

IL  LENTO  CAMMINO  DEL  GDPR

• 25 GENNAIO 2012: La Commissione UE presenta una proposta di Regolamento Generalesulla protezione dei dati personali che andrà a sostituire la Direttiva 95/46/CE e adarmonizzare la normativa sul trattamento dei dati personali dei singoli Stati membri• Fra il 2013 e il 2015 si susseguono lemodifiche prima da parte del Parlamento Europeo edel Consiglio e poi si avviano i negoziati alla ricerca di un accordo• 15 DICEMBRE 2015: si raggiunge un compromesso tra il Parlamento Europeo e ilConsiglio ed inizia il cosiddetto “trilogo”• 17 DICEMBRE 2015: La Commissione LIBE del Parlamento Europeo si dichiara disponibilead approvare il testo del compromesso senza proprorre emendamenti, salvo unarevisione linguistica• 6 APRILE 2016: c’è un improvvisa accelerazione e viene licenziata una nuova versione deltesto che viene immediatamente sottoposta al Consiglio, alla Commissione LIBE e alParlamento Europeo• 14 APRILE 2016: viene approvato il nuovoGDPR• Entrata in vigore del Regolamento: 15 giorni dopo la pubblicazione in GUCE• Efficacia del Regolamento: 2 anni dopo l’entrata in vigore.

VANTAGGI  DEL  GDPR  PER  LE  AZIENDE

• Armonizzazione della normativa in ambito UE

• Creazione del meccanismo “one-­‐stop-­‐shop”, per cui un’AutoritàGarante potrà gestire un procedimento anche qualora l’aziendaoperi in diversi Paesi

• Vengono aboliti alcuni adempimenti burocratici come, adesempio, la notificazione

• Viene ribadito il parametro dei “costi di attuazione” in meritoalla sicurezza dei dati

ESCLUSIONI

• Alcuni ambiti sono espressamente esclusi dall’azione del GDPR,tra cui in particolare:• Trattamento di dati personali effettuato dagli Stati membrinell’esercizio di attività relative alla politica estera e di sicurezzacomune dell’UE• Trattamento di dati personali da parte delle Autoritàcompetenti a fini di prevenzione, indagine, accertamento eperseguimento di reati o esecuzione di sanzioni penali, inclusela salvaguardia contro e la prevenzione di minacce alla sicurezzapubblica• Trattamento di dati per attività a carattere esclusivamentepersonale o domestico e quindi senza una connessione conun’attività commerciale o professionale

INTEGRAZIONI

• Altri ambiti, invece, saranno oggetto di specificheregolamentazioni da parte dei legislatori nazionali quali:• Trattamento di dati sensibili• Trattamento dei dati delle persone decedute• Trattamento di dati personali per scopi giornalistici o diespressione del pensiero• Poteri del Garante di intentare un’azione o agire in sedegiudiziale in caso di violazione del GDPR

TRANSIZIONE

•Nei due anni prima dell’efficacia del Regolamento, si avrannodiversi interventi di armonizzazione, che riguarderanno inparticolare:• i Provvedimenti emanati dall’Autorità Garante, quantomenoper le materie non disciplinate dal Regolamento• la normativa di dettaglio su singoli aspetti del trattamento didati personali (ad es. le sanzioni penali connesse altrattamento, il trattamento dei dati personali dei dipendenti nelrapporto di lavoro, le norme sul trattamento di dati personalida parte di categorie soggette al segreto professionale)

COMPITI  DELLA  COMMISSIONE  UE

• Sempre nei prossimi anni, la Commissione UE dovrà emanaredelle norme in ordine a:• Privacy icons per le informative semplificate• Clausole contrattuali standard per il subappalto nel trattamentodei dati personali•Meccanismi di certificazione della protezione dei dati• Procedura per la mutua assistenza tra le Autorità Garantieuropee e tra Autorità Garanti e Comitato europeo per laprotezione dei dati

CHE  FARE  NEL  FRATTEMPO?

• “Durante la fase di transizione, nel corso della quale mi auguroche il parlamento non attenda l’ultimo momento utile peradottare la relativa normativa di adeguamento, è necessarioche le aziende, ma anche le pubbliche amministrazioni, inizino aripensare i processi di trattamento dei dati alla luce delle nuoverealtà (valutazioni di impatto, sistemi di certificazione e dinotificazione delle violazioni) nonché a dotarsi, quandonecessario, di un privacy officer”.

Antonello Soro(intervista a Italia Oggi del 7 marzo 2016)

SICUREZZA  DEI  DATI

• Art. 32 del GDPR• Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché dellanatura, dell'oggetto, del contesto e delle finalità del trattamento, come anchedel rischio di varia probabilità e gravità per i diritti e le libertà delle personefisiche, il titolare del trattamento e il responsabile del trattamento mettono inatto misure tecniche e organizzative adeguate per garantire un livello di sicurezzaadeguato al rischio, che comprendono, tra le altre, se del caso:• la pseudonimizzazione e la cifratura dei dati personali;• la capacità di assicurare su base permanente la riservatezza, l'integrità, ladisponibilità e la resilienza dei sistemi e dei servizi di trattamento;• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei datipersonali in caso di incidente fisico o tecnico;• una procedura per testare, verificare e valutare regolarmente l'efficacia dellemisure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

PSEUDONIMIZZARE

• La “pseudonimizzazione” viene definita come• il trattamento dei dati personali in modo tale che i datipersonali non possano più essere attribuiti a un interessatospecifico senza l'utilizzo di informazioni aggiuntive, a condizioneche tali informazioni aggiuntive siano conservateseparatamente e soggette a misure tecniche e organizzativeintese a garantire che tali dati personali non siano attribuiti auna persona fisica identificata o identificabile (art. 4 del GDPR)

PROGETTARE

• L’obbligo di assicurare su base permanente i requisiti diintegrità, riservatezza, disponibilità e resilienza comporta che èdiventato indispensabile progettare un sistema di sicurezza chetenga conto dei parametri indicati dal legislatore (statodell’arte, costi di attuazione, natura, oggetto, contesto, finalitàdel trattamento e rischio per i diritti e le libertà delle personefisiche)

RIPRISTINARE

•Diventa indispensabile avere dei piani di recovery che possanoconsentire il tempestivo ripristino della disponibilità eaccessibilità ai dati

VERIFICARE

• Il GDPR sollecita anche l’adozione di procedure di audit inquanto utili a testare, verificare e valutare regolarmentel’efficacia delle misure tecniche e organizzative adoperate.

“RISCHIO  DIGITALE”

• La centralità del concetto di risk management è ribadita piùvolte nel GDPR.•Nel valutare l'adeguato livello di sicurezza, si tiene conto inspecial modo dei rischi presentati dal trattamento che derivanoin particolare dalla distruzione, dalla perdita, dalla modifica,dalla divulgazione non autorizzata o dall'accesso, in modoaccidentale o illegale, a dati personali trasmessi, conservati ocomunque trattati. (art. 32, secondo comma del GDPR)

PRIVACY  IMPACT  ASSESSMENT

• Art. 35 del GDPR•Quando un tipo di trattamento, allorché prevede in particolarel'uso di nuove tecnologie, considerati la natura, l'oggetto, ilcontesto e le finalità del trattamento, può presentare un rischioelevato per i diritti e le libertà delle persone fisiche, il titolaredel trattamento effettua, prima di procedere al trattamento,una valutazione dell'impatto dei trattamenti previsti sullaprotezione dei dati personali. Una singola valutazione puòesaminare un insieme di trattamenti simili che presentano rischielevati analoghi.

CONTENUTO  MINIMO

• Art. 35 comma 7 del GDPR• una descrizione sistematica dei trattamenti previsti e dellefinalità del trattamento, compreso, se del caso, l'interesselegittimoperseguito dal titolare del trattamento;• una valutazione della necessità e proporzionalità deitrattamenti in relazione alle finalità;• una valutazione dei rischi per i diritti e le libertà degli interessatidi cui al paragrafo 1; e• le misure previste per affrontare i rischi, includendo le garanzie,le misure di sicurezza e i meccanismi per garantire la protezionedei dati personali e dimostrare la conformità al presenteregolamento, tenuto conto dei diritti e degli interessi legittimidegli interessati e delle altre persone in questione.

INFOGRAFICA

• Uno degli inevitabili effetti della convergenza è la costituzione digrandi basi di dati (big data) che comportano una pericolosaesposizione di informazioni riservate, ivi compresi dati personali.

• Quando queste violazioni interessano un numero massiccio direcord, si ha il cosiddetto data breach.

DATA  BREACHES  E  SICUREZZA  INFORMATICA

IL  PIANO  ISPETTIVO  DEL  GARANTE  PER  IL  2016

• Essa viene definita come “la violazione di sicurezza che comportaaccidentalmente o in modo illecito la distruzione, la perdita, lamodifica, la divulgazione non autorizzata o l’accesso ai datipersonali trasmessi, conservati o comunque trattati” (art. 4 GDPR)

LA  “VIOLAZIONE  DEI  DATI  PERSONALI”

• Il rischio digitale è quella categoria di rischio correlata all’uso,sviluppo e gestione dell’ambiente digitale in qualsiasi attività;

• Questo rischio può derivare dalla combinazione di minacce e divulnerabilità dell’ambiente digitale;

• Può minare il raggiungimento di obiettivi d’interesse pubblico oprivato interrompendo la confidenzialità, integrità e disponibilitàdelle attività o dell’ambiente digitale nella sua interezza;

• È un rischio dinamico per sua stessa natura, che coinvolge ilcontesto sia fisico sia virtuale, le persone coinvolte nelle attività e iprocessi organizzativi che supportano queste ultime.

IL  CONCETTO  DI  “RISCHIO  DIGITALE”

•Nella sua Raccomandazione del 2015 DigitalSecurity Risk Management for Economic andSocial Prosperity, l’OECD sposta totalmentel’attenzione dai Principi del 2002 sullasicurezza informatica, dove per “sicurezza” siintendeva la sicurezza dei sistemi e delle reti dicomunicazione, a una visione di “sicurezza”come protezione delle attività pubbliche eprivate dipendenti da un ambiente digitale.

CENTRALITA’  DEL  “RISCHIO  DIGITALE”

•Interruzione delle attività lavorative (DoS osabotaggio);

•Perdite economiche e finanziarie dirette (causelegali, crisi reputazionali o perdita di competività);

•Perdita di fiducia tra i clienti, dipendenti einvestitori;

•Danni fisici, inclusi danni ai propri dipendenti oclienti (es. fabbriche, aziende di trasporti,ospedali).

CONSEGUENZE  DELL’  ERRATA  GESTIONE  DEL  “RISCHIO  DIGITALE”

•Essa consiste in un insieme di azioni coordinateprese all’interno di un’organizzazione o traorganizzazioni per affrontare i rischi digitalimassimizzandone le opportunità;

•Si basa su un insieme olistico, sistematico eflessibile di processi ciclici che sono trasparenti edichiarati;

•Questo insieme di processi aiuta ad assicurare chele misure di sicurezza siano appropriate ecommisurate con il rischio e con gli obiettivid’interesse pubblico e privato.

LA  GESTIONE  DEL  “RISCHIO  DIGITALE”

•L’OECD denuncia come il contenimento del rischiodigitale sia stato finora affrontato solo da un puntodi vista tecnico, isolandolo dalla generalegovernance aziendale;

•Si suggerisce, invece, di seguire un approccio piùcompleto declinato in:

•Tecnico•Legale•Sicurezza nazionale•Prosperità del settore pubblico e privato

UN  NUOVO  APPROCCIO

IL  CICLO  DI  GESTIONE  DEL  RISCHIO  DIGITALE

•Art. 7 comma 3 D.Lgs. 231/01

•“Il modello prevede, in relazione alla natura ealla dimensione dell’organizzazione nonché altipo di attività svolta, misure idonee agarantire lo svolgimento dell’attività nelrispetto della legge e a scoprire ed eliminaretempestivamente situazioni di rischio”.

ESPERIENZE  PREGRESSE

• Il privacy officer è quel professionista, interno o esterno a unadeterminata struttura, che ha il compito di sovrintendere a tutti iprocessi che riguardano il trattamento dei dati personali compiutiall’interno della stessa, intervenendo in piena indipendenza eautonomia qualora individui problemi che potrebbero comportareun trattamento dei dati che presenti rischi di distruzione o perdita,anche accidentale, dei dati stessi, di accesso non autorizzato o ditrattamento non consentito o non conforme alle finalità dellaraccolta.

IL  PRIVACY  OFFICER

• Professionista -­‐> perché si possa parlare di Privacy Officer bisognafar riferimento a figure professionali, al pari dell’amministratore disistema.

• Interno o esterno -­‐> il Privacy Officer può essere sia un soggettointerno sia un soggetto esterno alla struttura.

• Sovrintendere -­‐> il Privacy Officer deve possedere competenzetrasversali ai vari campi del sapere interessati dalle norme sullaprivacy, prime fra tutte il diritto e l’informatica.

• Intervenendo in piena indipendenza e autonomia -­‐> il PrivacyOfficer non può essere solo un “parafulmine” ma deve avere siaautonomia di azione sia, in certa misura, patrimoniale.

ASPETTI  RILEVANTI

A seconda del contesto di riferimento potremo distinguere:-­‐ DPO (Data Protection Officer)-­‐ CPO (Chief Privacy Officer)-­‐ PO (Privacy Officer)-­‐ [ITA] Responsabile della protezione dei dati

ACRONIMI

• L’articolo 37 comma 5 stabilisce che• “Il responsabile della protezione dei dati è designato infunzione delle qualità professionali, in particolare dellaconoscenza specialistica della normativa e delle prassi inmateria di protezione dei dati, e della capacità di assolvere icompiti di cui all’art. 39”

IL  PRIVACY  OFFICER  NEL GDPR

• Provvedimenti del Garante• Normative di settore• Regolamenti di settore• Adempimenti documentali• Trattamenti di dati sensibili• Trattamenti di dati per finalità di marketing• Trattamenti di dati dei lavoratori• Best practice in materia di privacy• Certificazioni aziendali (ISO 9001 ad es.)• Altre normative che investono l’attività privata o pubblica nella suainterezza (D.Lgs. 231/01 o circolari ministeriali ad es.)

CONOSCENZA  SPECIALISTICA

• Il privacy officer deve essere designato quando• il trattamento è effettuato da un'autorità pubblica o da unorganismo pubblico, eccettuate le autorità giurisdizionali quandoesercitano le loro funzioni giurisdizionali;

• le attività principali del titolare del trattamento o del responsabiledel trattamento consistono in trattamenti che, per loro natura,ambito di applicazione e/o finalità, richiedono il monitoraggioregolare e sistematico degli interessati su larga scala; oppure

• le attività principali del titolare del trattamento o del responsabiledel trattamento consistono nel trattamento, su larga scala, dicategorie particolari di dati personali di cui all'articolo 9 o di datirelativi a condanne penali e a reati di cui all'articolo 10.

OBBLIGATORIO  O  FACOLTATIVO?

Se la visione olistica di una politica di sicurezza devetenere conto dei vincoli tecnici, logistici,amministrativi, giuridici ed economici imposti dallastruttura ove opera il sistema informativo, ènecessario individuare una metodologia diprogettazione, realizzazione e manutenzione dellasicurezza che, facendo leva su una corretta policy,metta in atto un piano per la sicurezza efficace.

VERSO  UNA  “CULTURA  DELLA  SICUREZZA”

• Una politica di gestione del rischio digitale èfondamentale non solo in termini di compliancenormativa, ma anche per parametrarecorrettamente gli investimenti tenuto conto delleproprie reali necessità.

• I professionisti che potranno coadiuvare le aziendenella definizione delle politiche di gestione delrischio dovranno avere competenze molteplici, chetengano conto soprattutto dei vincoli imposti dallanormativa e delle possibili ricadute su altri settoridell’organizzazione aziendale.

IL  RISK  ASSESSMENT

UNA  POSSIBILE BEST  PRACTICE  PER  LA  TRANSIZIONE  DALLA  VECCHIA  

ALLA  NUOVA  NORMATIVA

• Informarsi e discutere sui cambiamenti fondamentali contenuti nelGDPR che possono interessare la vostra azienda e studiare insiemeal management le azioni da intraprendere, senza lasciar trascorrerepassivamente i due anni di sospensione dell’efficacia del GDPR eaffrettarsi in prossimità della scadenza

CONSAPEVOLEZZA

• Analizzare il tipo di dati trattati nella propria struttura,anche in previsione della tenuta del registro deitrattamenti prescritto dal GDPR (art. 30).Eventualmente condurre un’azione di audit che verifichianche lo scambio di dati all’esterno della propriaazienda e i Paesi verso i quali i dati vengonoeventualmente scambiati

SCREENING

•Tutta la documentazione, in particolare leinformative e i consensi adoperati almomento, devono essere revisionati al fine diverificare la conformità al GDPR

REVISIONE  DELLA  DOCUMENTAZIONE

• Controllare le procedure adottata pergarantire il rispetto dei diritti dell’interessato eadeguarla a quanto prescritto dall’art. 12 delGDPR, anche al fine di evitare la sanzionemaggiorata (20.000.000 Eur o fino al 4% delfatturato mondiale totale annuo se superiore)

DIRITTI  DELL’INTERESSATO

•Verificare sulla base di quali presupposti legalivengono compiuti alcuni trattamenti, al fine digestire meglio le richieste provenienti dagliinteressati. Se, infatti, il trattamento è basato sulsolo consenso dell’interessato, questi avrà maggioreforza nel richiedere la cancellazione o altreoperazioni sul suo dato, cosa che invece non avvienenel caso in cui un trattamento sia prescritto dallalegge.

VERIFICA  DEI  PRESUPPOSTI  LEGALI  PER  I  TRATTAMENTI

•Grande protezione è accordata dal GDPR aidati personali dei minorenni e alla raccolta delconsenso (art. 8). Nel caso in cui la vostraazienda tratti anche questo tipo di dati occorreverificare le finalità e modalità mediante lequali questi dati vengono trattati e laconformità a quanto prescritto dal GDPR.

MINORENNI

•Dotarsi di una procedura per identificare,denunciare e investigare su eventuali violazionidi dati personali che riguardino i dati degliinteressati trattati dalla propria azienda.

DATA  BREACHES

•Dotarsi di una procedura di valutazionedell’impatto dei trattamenti che abbia ilcontenuto minimo previsto dal GDPR.

PRIVACY  IMPACT  ASSESSMENT

•Verificare se sia necessario dotarsi di uno o piùresponsabili della protezione dei datiscegliendolo consapevolmente in base alle suecaratteristiche professionali e garantendogli ilmargine d’azione riconosciutogli dal GDPR.

DATA  PROTECTION  OFFICER

•Verificare la legittimità degli eventuali flussitransfrontalieri di dati personali, soprattuttonel caso in cui vadano in Paesi extra-­‐UE.

FLUSSI  TRANSFRONTALIERI   DI  DATI

•Nel caso in cui la propria azienda tratti datipersonali in diversi Stati membri, sceglierel’Autorità Garante di riferimento per qualsiasieventuale controversia sulla base del principiodel “one-­‐stop-­‐shop”.

AUTORITA’  GARANTE

STUDIO  LEGALE  MPSLAW

MILANOVia  Larga,  6  20122  MilanoTel.  02.89926248

BOLOGNAVia  dell’Indipendenza,  36  40121  BolognaTel.  051.4878043

GRAZIE  DELL’ATTENZIONE!

Avv.  Pierluigi  Perri

email:  pierluigi.perri@mpslaw.it