LA CITTADINANZA DIGITALE - unitelmasapienza.it · o normativa comunque complessa e non adeguata...

LA CITTADINANZA DIGITALE La protezione dei dati personali: il nuovo regolamento UE 679/2016 Gianluigi Ciacci – 8 settembre 2017

L’attuale situazione (D.Lgs. 196/2003): un quasi fallimento ?

Volendo fare un bilancio dell’attuale disciplina in materia di protezione dei dati personali (anche se ancora provvisorio, e prima della sua definitiva scomparsa), e quindi del D.Lgs. 196/2003 (e in origine della l. 675/1996), il giudizio non può essere totalmente positivo.

2


Gli elementi di criticità, che non hanno permesso la completa efficacia della soluzione normativa in materia, sono stati diversi o  normativa comunque complessa e non adeguata

alla realtà socio-tecnologica, in particolare nel nostro Paese (“italianità”)

o  (quindi) non comprensione della normativa, in particolare del suo fondamento e dei suoi principi, da parte dell’…”utente finale” (es. protezione dati personali/privacy, concetto di dati sensibili, …)

3


o  forte impossibilità reattiva dell’Autorità di controllo, in particolare a causa •  organico insufficiente, •  eccesso di competenze, •  normativa di contorno (ad es. per le telefonate

indesiderate – l’istituzione del meccanismo FUB -), •  tempi di visibilità del procedimento sanzionatorio.

o  non adeguamento, parziale adeguamento, errato adeguamento (spesso per la qualità dei consulenti e nella buona fede dei titolari) alla normativa, percepita come inutile e di ostacolo

4

Il Regolamento Europeo 679/2016

•  Cerca di rimediare alle difficoltà indicate (anche degli altri Paesi)

•  Cerca di aggiornare la disciplina giuridica al diverso contesto tecnologico e socio-tecnologico

•  Cerca di semplificare gli attuali adempimenti, e di snellirli, puntando più sulla sostanza che non sull’adempimento in sé

•  Cerca di rimediare alla frammentarietà della precedente disciplina.

Il termine “cerca” non è casuale. Ci riesce ? 5


Il Regolamento si propone (Cons. 13):

ü  di assicurare un livello coerente di protezione; ü  di prevenire le disparità che ostacolino la libera

circolazione dei dati; ü  di garantire certezza e trasparenza nel trattamento

delle informazioni;

ü  di offrire diritti azionabili ed obblighi omogenei tra gli Stati;

ü  di assicurare un controllo ed una cooperazione efficace tra le Autorità competenti.

Ci riesce ? 6


Pur su un generale giudizio positivo, non ultimo per l’aver aggiornato la disciplina all’evoluzione tecnologica (quella precedente era stata dettata quando ancora non c’erano i social network, né la tecnologia portatile in modo “smart”, e l’1% della popolazione europea era connessa ad Internet), riporto alcune note critiche in premessa

7


Infatti

•  è scritto tendenzialmente male, •  non tiene presente le peculiarità dei singoli Paesi

(ma questo forse è un pregio) •  sarà comunque una disciplina frammentata nei

diversi Paesi •  qualche dubbio solleva circa l’effettiva possibilità

di successo di alcune sue disposizioni.

8


Ad esempio, con riferimento all’ambito di applicazione territoriale dello stesso, la disciplina (rispetto a quella del D. Lgs. 196/03), è assolutamente pervasiva: aspetto che considererei molto positivo (si pensi ai big data). In particolare, questi saranno i principi che si applicheranno: ü principio dello stabilimento (art. 3 comma 1); ü principio del «targeting» (art. 3 comma 2). La finalità è dunque chiara: evitare l’elusione della normativa adducendo la nazionalità estera del Titolare. Sarà possibile ? 9


Caratteristiche generali

10

Il Regolamento Europeo 679/2016: caratteristiche generali

Caratteristiche generali dello stesso sono:

Ä  adempimenti semplificati per i Titolari del trattamento;

Ä  cambio di impostazione generale: principio di accountability

Ä  privacy by design e privacy by default quale strumento di prevenzione e controllo

Ä  nomina del Data Protection Officer (DPO) obbligatoria o facoltativa a seconda dei casi

11

Il Regolamento Europeo 679/2016: caratteristiche generali

Ä  eliminazione dell’obbligo della notificazione (parziale);

Ä  obbligo di rendere noti eventuali data breach ed onere di informazione nei riguardi del Garante e degli interessati

Ä  potenziamento delle cautele nel caso di trasferimento di dati all’estero

Ä  rafforzamento dei diritti degli interessati

Ä  revisione dell’apparato sanzionatorio 12

Il Regolamento Europeo 679/2016: i diritti dell’interessato

Ä  informativa + completa e comprensibile;

Ä  rafforzamento del consenso in caso di minore età (13-16 anni, decisione nazionale)

Ä  previsione della portabilità del dato

Ä  estensione del c.d. diritto all’oblio (diritto alla cancellazione), seppur condizionato

Ä  facoltà di richiedere la limitazione del trattamento ad alcune delle finalità perseguite dal Titolare

Ä  maggiore facilità nell’adire l’Autorità garante 13

Il Regolamento Europeo 679/2016: le sanzioni amministrative (art. 83)

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; ... (ad es. per violazione degli obblighi in tema di consenso dei minori, privacy by design, titolare e responsabile del trattamento, sulle misure di sicurezza, privacy officer, …)

14

Il Regolamento Europeo 679/2016: le sanzioni amministrative (art. 83)

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

a) i principi fondamentali del trattamento, comprese le condizioni applicabili al consenso, di cui agli articoli 5, 6, 7 e 9;

b) i diritti degli interessati di cui agli articoli da 12 a 22

15


un esempio concreto: il D.P.O.

16

Il Regolamento Europeo 679/2016: un esempio concreto, il DPO

La figura soggettiva del D.P.O. (“data protection officer”, “responsabile della protezione dei dati”) è stata una delle più note e dibattute tra le novità introdotte dal Regolamento

Non ultimo perché è una realtà che potrebbe portare ad un “business” di rilevanti dimensioni, almeno occupazionali

Primo equivoco da chiarire è la differenza di tale figura rispetto al “tradizionale” responsabile del trattamento 17


Ø Nel caso dell’attuale responsabile del trattamento, come si è detto, si tratta di un soggetto a nomina facoltativa, che si occupa di applicare la legge su “preposizione” del titolare: responsabilità che si differenzia quindi a seconda delle funzioni specifiche che è chiamato a svolgere (responsabile della sicurezza, del trattamento dei dati del personale, dell’esercizio dei diritti dell’interessato, …)

18


Ø Nel caso invece del responsabile per la protezione dei dati personali, innanzitutto la nomina è prevista in determinate fattispecie di trattamento come obbligatoria (art. 37), mentre negli altri casi è solo facoltativa, anche se consigliabile per diversi motivi, non ultimo, come si vedrà, per meglio costruire l’“immagine privacy” della struttura.

Ø Inoltre, i compiti del DPO sono stabiliti in partenza dal Regolamento (art. 39), e non cambiano a seconda della specifica attività su cui viene chiamato ad operare.

19


Secondo l’art. 37 il D.P.O. deve essere nominato “sistematicamente”: ü  ogni qualvolta il trattamento sia effettuato da un’autorità

pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni);

ü nell’ipotesi in cui i trattamenti “per loro natura, ambito di applicazione, e/o finalità” richiedano un monitoraggio degli interessati su larga scala;

ü nel caso in cui il trattamento (sempre su “larga scala”, e quale attività principale del titolare) coinvolga dati sensibili o giudiziari.

20


La P.A., nel caso siano più amministrazioni, o i privati, nel caso di gruppi imprenditoriali, possono nominare un unico D.P.O. sulla base : ü delle dimensioni dell’ente, ü della struttura organizzativa loro funzioni); ma occorre tener conto che questo non deve limitare l’efficacia dell’obbligo, in quanto il D.P.O. ü è il tramite tra titolare e interessato, ü ha funzioni di coordinamento con l’Autorità di controllo.

21


Il Legislatore comunitario demanda poi alla normativa nazionale la previsione di ulteriori ipotesi di nomina obbligatoria, tenuto conto della tipologia di trattamento e delle modalità dello stesso. Mentre si prevede già nel testo del Regolamento la possibilità comunque di nominarlo anche per i soggetti che non rientrano nelle categorie obbligate

22


Ma se non si è obbligati, perché procedere comunque alla nomina ?

A parte il rilievo circa il vantaggio che si conseguirebbe nell’osservanza della normativa, e quindi l’aumento del margine competitivo delle imprese (così ad es. le Linee guida sul DPO del WP29 dicembre 2016), una nomina volontaria avrebbe un grande peso nell’ambito della c.d. accountability di cui si è parlato

23


I requisiti funzionali del D.P.O., che può essere interno o esterno alla struttura del titolare sono:

ü professionalità e indipendenza (anche nel rapporto di lavoro subordinato oltre che nel contratto di servizi).

Il D.P.O. deve avere ü autonomia decisionale,

ü risorse economiche ed organizzative

ü formazione specifica e aggiornata (art. 38 comma II).

24


Ancora con riferimento alle sue competenze, secondo l’art. 37 comma 5 del Regolamento deve essere scelto “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti” previsti dal Regolamento (all’art. 39).

Ultimamente si è puntualizzato (nel caso specifico cercando di “tirare acqua a determinati mulini”), circa le sue capacità, che non devono essere unicamente tecniche, ma d’altro canto nemmeno solo giuridiche: forse sarebbe opportuno considerare gli esperti di informatica giuridica parlato

25


Per quanto riguarda i requisiti formali della nomina, l’atto deve essere scritto, e contenere tutte le attività ed i compiti affidati al D.P.O.

Secondo l’art. 38 comma 3 non dovrà però ricevere alcuna istruzione (requisiti di indipendenza e professionalità)

Non potrà essere rimosso o penalizzato da titolare o responsabile per quanto riguarda i propri compiti.

26


Con riferimento infine a tali compiti affidati al D.P.O., secondo l’art. 39 essi sono “almeno” : ü  informare e fornire consulenza al titolare e al responsabile, nonché ai dipendenti che eseguono il trattamento, sugli obblighi in materia

ü sorvegliare l’osservanza del Regolamento, compresa “la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”

ü controllare l’attribuzione di compiti e responsabilità nei riguardi dei responsabili,.

27


Ancora

ü fornire un parere sulla valutazione di impatto privacy,

ü cooperare con l’Autorità di controllo (il Garante) per questioni connesse al trattamento

ü rispondere alle richieste degli interessati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento

28


Con riferimento alla responsabilità del DPO, il Gruppo articolo 29, nelle Linee Guida pubblicate su tale figura nello scorso dicembre 2016, specifica che non risponde personalmente in caso di inosservanza del Regolamento. Regolamento che chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (articolo 24, primo paragrafo). Su di loro ricade quindi, come di regola, sul titolare o sul responsabile.

29


Per meglio dettagliare quanto appena indicato, e in genere per tutti gli altri aspetti non disciplinati, si rinvia alla normativa nazionale: che avrà nel caso specifico un importante compito per rendere effettivamente operativa, ed efficace, tale importante figura.

30


in conclusione …

31

Il Regolamento Europeo 679/2016: in conclusione …

Siamo pronti al nuovo Regolamento Europeo ?

… “ni” ...

Dal punto di vista della disciplina nazionale, il Regolamento deve essere ancora, almeno in questi mesi, considerata un “work in progress”. Tra l’altro soggetta agli interventi “interni” (ad opera di chi ? Legislatore ? Garante ?) per completare il disposto del Regolamento, mentre ancora non è chiaro cosa succederà alle previsioni dei provvedimenti generali dell’Autorità Garante

32


Altro problema rilevante (ma comune in generale alla nuova disciplina) è quello di implementare la nuova disciplina nell’ “ambiente” del nostro Paese: in cui, come detto in apertura, ancora oggi l’attuazione della esistente normativa in materia è problematica, in quanto ad una diffusione accettabile (ma con quanta fatica e in quanto tempo) non corrisponde spesso un livello qualitativo sufficiente

33


Quindi ? Dal punto di vista dei Titolari (privati o P.A.) ?

In attesa di capire come si svilupperà, come il Regolamento Europeo si adatterà alla situazione italiana negli spazi lasciati aperti al Legislatore nazionale, cosa ne sarà dei provvedimenti del Garante italiano, migliore approccio alla novità nella disciplina della protezione dei dati personali è intanto quello di mettersi in regola con il D.Lgs. 196/2003 (o comunque controllare il livello del proprio adeguamento), certamente nell’ottica della nuova impostazione europea.

34


per eventuali quesiti e/o approfondimenti

[email protected]

35

LA CITTADINANZA DIGITALE - unitelmasapienza.it · o normativa comunque complessa e non adeguata...

Documents

Transcript of LA CITTADINANZA DIGITALE - unitelmasapienza.it · o normativa comunque complessa e non adeguata...