L’applicazione del GDPR (U.E. 2016/679): approfondimenti per le UtilitiesLuciano CorinoAmministratore Unico di Applicando S.r.l.Membro del Comitato Scientifico di FederprivacyMembro AssoDPOSocio fellow dell’Istituto Italiano per la Privacy

GDPR Compliance: Cosa significa?● Applicazione dei principi del GDPR:

○ Accountability (GDPR, artt. 5 e 24);○ Data protection by design (GDPR, art. 25 par. 1);○ Data protection by default (GDPR, art. 25, par. 2);○ Data Protection Impact Assessment GDPR, art. 35).

● Obiettivi:○ Adeguare il sistema di gestione della data protection aziendale;○ Acquisire la capacità di dimostrare la compliance;○ Minimizzare dati trattati e accessi;o Mettere l’interessato al centro del sistema.

GDPR Compliance: un processo modulare

• General Assessment: analisi e pianificazione attività• Gap Analysis: verifica del divario fra as-is e obiettivo• Mapping dei trattamenti: identificazione e registrazione dei trattamenti• Risk Analysis e DPIA: analisi dei rischi per gli interessati• Organigramma della data protection: definizione dei ruoli, job description• Revisione documentale: informative, regolamenti, deleghe• Data breach management: processo di gestione delle violazioni dei dati• Diritti degli interessati: procedure e modalità• Formazione degli addetti al trattamento• Mantenimento e miglioramento: audit e monitoraggio

General Assessment● Analisi dell’operatività aziendale

○ Attività core○ Attività di supporto

● Tipologie di dati trattati○ Natura dei dati trattati○ (quantità di dati)

● Tipologia degli interessati○ Categorie vulnerabili○ (volumi)

● Organizzazione:○ Sedi nazionali○ Sedi internazionali (UE/Extra-

UE)

● Sistemi informativi○ Archivi documentali○ Descrizione del sistema IT ○ Asset Inventory

● Fornitori○ Tipologia di servizi in

outsourcing● Tipologia dei Clienti

○ Servizi erogati come Titolare○ Servizi erogati come

Responsabile

GDPR Compliance: GAP AnalysisGAP Analysis normativa: strumenti per la raccolta informazioni intesa a individuare la distanza che separa l’AS-IS dalla piena compliance normativa (adatta a realtà più complesse):

• Regulatory Compliance Tool.

GAP Analysis tecnologica: strumenti per la raccolta informazioni intesa a individuare la distanza che separa l’AS-IS dalla piena compliance tecnologica:

• Standard di riferimento: Questionario AgID per la PA.

GDPR Compliance: Mapping• Mappatura dei trattamenti di dati personali;

• Cfr. GDPR Art. 30: Registro delle attività di trattamento• Registro dei Titolare;• Registro del Responsabile.

• Strumento • di compliance; • di dimostrazione della compliance.

Considerando 82: Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamentodovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari deltrattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizioneaffinché possano servire per monitorare detti trattamenti.

GDPR Compliance: Risk Analysis• Analisi dei rischi cui sono esposti (GDPR art. 32):

○ Libertà e diritti degli interessati;○ Organizzazione;○ Dati.

• Individuazione di un sistema di riferimento che tenga conto di quanto previsto dall’art. 32 par. 2

○ Esempio: 31000, 27001.

Considerando 83: Per mantenere la sicurezza [...] il titolare o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

GDPR Compliance: DPIAData Protection Impact Assessment - Valutazione d’impatto (GDPR art: 35, Considerando 84, 89, 93 e 95)

• In carico al Titolare;• Obbligatoria quando il trattamento comporta un rischio elevato per le libertà e

i diritti delle persone fisiche;• WP29: il “metodo del 2”.

WP29: il “metodo del 2”

1 Il trattamento prevede finalità di valutazione o attribuzione di punteggio

2 Il trattamento prevede decisioni automatizzate con effetti giuridici o simili

3 Il trattamento prevede monitoraggio sistematico

4 Il trattamento implica l'elaborazione di dati sensibili (ex GDPR, art. 9)

5 Il trattamento prevede l'elaborazione di dati su larga scala

6 Il trattamento prevede la combinazione o raffronto fra diversi insiemi di dati

7 sono oggetto di trattamento dati di soggetti vulnerabili

8 Utilizzo di tecnologie o soluzioni organizzative innovative

9 Il trattamento prevede il trasferimento di dati fuori dall'UE

10 Il trattamento impedisce l'esercizio di un diritto o la fruizione di un servizio

Cosa significa “monitoraggio regolare e sistematico”? Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati: o Curare il funzionamento di una rete di telecomunicazioni; o La prestazione di servizi di telecomunicazioni; o Il reindirizzamento di messaggi di posta elettronica; o Attività di marketing basate sull’analisi dei dati raccolti; o Profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini

di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);

o Tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione;

o Pubblicità comportamentale; o Monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma

fisica e alla salute attraverso dispositivi indossabili; o Utilizzo di telecamere a circuito chiuso; o Dispositivi connessi quali contatori intelligenti, automobili intelligenti,

dispositivi per la domotica, ecc.

GDPR Compliance: DPIA

Tool: CNIL

GDPR: data breach e piano di verifica• Gestione della data breach (GDPR artt. 33-34, WP29)• Formazione del personale autorizzato• Coinvolgimento del DPO• Pianificazione degli audit

Tool: implementazione del metodo di gestione delle violazioni dei dati ENISA

GDPR Compliance: Organigramma della DPIndividuazione e definizione dei ruoli e delle mansioni.

In particolare:

• Owner del trattamento, possibili delegati del Titolare;• Mansioni o persone addette al trattamento, da autorizzare;• Responsabili esterni da designare;• DPO da nominare (se previsto).

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. ………….

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento……..

Articolo 28 – Responsabile del trattamento

GDPR Compliance: revisione documentaleRevisione e integrazione dell’impianto documenta esistente.

• Deleghe e autorizzazioni (interni);• Designazione dei responsabili (esterni);• Informative (GDPR art. 13 - 14);• Designazione del DPO (se previsto).

Opzionali:

• Regolamenti interni (e.g. manuale di comportamento);• Evoluzione del processi di qualificazione dei fornitori.

Tool: template, repository documentale

GDPR Compliance: il DPOData Protection Officer:

• GDPR art. 37: Designazione• GDPR art. 38: Posizione • GDPR art. 39: Compiti

• DPO interno (formazione) vs DPO esterno (professional service)

Linee guida del WP 29 sul DPO

Sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

luciano.corino@applicando.to.it

INTERVISTA N. 1 Intervista al Dott. Giovanni Buttarelli, Garante Europeo per la Protezione dei Dati Personali Garante Privacy UE: "GDPR, ragionevolezza con chi dimostra di avere iniziato un percorso" Speciali Domenica, 20 Maggio 2018 16:19 Il nuovo regolamento Ue sulla protezione dei dati (Gdpr) entra in vigore venerdì prossimo, 25 maggio. E non ci sono possibilità di proroghe. Lo dice Giovanni Buttarelli, il Garante europeo della protezione dei dati, in una intervista esclusiva a ItaliaOggi: "Non sono possibili slittamenti o proroghe, né su iniziativa dei garanti dei singoli paesi, né del legislatore nazionale. Dal mattino del 26 maggio ci saranno linee di giusta severità con quelli che magari non erano in regola neppure con i vecchi ordinamenti. Ci sarà invece ragionevolezza con chi dimostra di avere iniziato un percorso. Ma il nuovo regolamento, di sicuro, non deve essere vissuto come una rottura di scatole. Anzi. Per molti, soprattutto per le piccole imprese, i piccoli commercianti o artigiani, ci sarà una semplificazione del trattamento dei dati". Domanda: Tastando il polso delle imprese e delle istituzioni italiane, tuttavia, sembra che in pochi siano pronti al nuovo regolamento Gdpr Risposta: Forse è stata fatta poca comunicazione nel periodo 2016-2017, e l'attenzione della opinione pubblica è stata più concentrata sui problemi dell'economia e della politica. Si è pensato che il regolamento Gdpr fosse più una cosa per esperti, non che avrebbe avuto impatti sulla vita di tutti. Domanda: Poi lo scandalo Cambridge analytica ha messo la questione al centro del dibattito Risposta: Certo, si è capito che la Gdpr ha un impatto globale. Ed è partito l'effetto panico, con un ritardo che riguarda non solo le aziende, gli enti, le istituzioni italiane, ma pure il legislatore italiano, che ha accumulato ritardi nella legge delega. Solo quattro stati membri su 28 hanno già pubblicato in Gazzetta Ufficiale il testo che assorbe il regolamento, e altri 8-9 ce la faranno entro il 25 maggio. Data entro la quale gli stati membri dovranno comunicare alla Commissione come hanno recepito il regolamento. Il regolamento, comunque, non è una direttiva, entra in vigore lo stesso poiché prevale sulle norme interne. Il legislatore nazionale ha però spazio di manovra per ritoccare alcuni requisiti. E sarebbe stato un bene che l'attuale bozza, come accaduto nel 1996 e nel 2003, fosse stata oggetto di un maggiore dibattito politico, visto che, come detto, le norme hanno un forte impatto su tante categorie. Invece tutto ciò non è accaduto. Comunque si possono ancora sfruttare i giorni che mancano al 25 maggio e poi trasmettere uno schema alla Commissione. Vediamo, peraltro, se questo schema sarà approntato dall'attuale governo o da un nuovo governo. Domanda: Il regolamento entra in vigore il 25 maggio, ma sarà necessario un periodo di prova, giusto? Risposta: Ripeto, la data del 25 maggio non può essere prorogata. Ma sarà necessario un secondo tempo, per fare una sorta di tagliando a tutta la disciplina della protezione dei dati, che riguarda moltissimi aspetti, dalla sanità elettronica all'e-government, il giornalismo, le cartelle elettroniche, il cyber bullismo. Domanda: Le piccole e medie imprese sono un po' spaventate.

Risposta: Beh, dal 25 maggio comunque cambiano i riferimenti normativi. Tuttavia per le piccole e medie imprese, i piccoli artigiani e commercianti, non ci sono rivoluzioni straordinarie. Anzi, i requisiti per trattare i dati sono semplificati. In sostanza cambia la cultura dietro la norma, non bisogna solo fare adempimenti, sarà necessario delegare di meno a esterni o consulenti, e conoscere invece meglio le proprie imprese, per capire i rischi e avere una precisa policy sulla protezione dei dati. Nel caso di una ispezione, gli ispettori non chiederanno più: Dove tieni i tuoi dati? Che ci fai? Ma saranno invece interessati a capire se le imprese hanno fatto una riflessione sull'uso dei dati, hanno una policy, sanno che rischi possono correre, fanno una adeguata reportistica, investono in questa attività, fanno formazione, si aggiornano. Non è solo una cosa per cui io impresa mi rivolgo a un consulente esterno che mi fa una pratica tipo la certificazione energetica di un appartamento, e finito lì. No, è una cosa work in progress dove l'imprenditore deve essere sempre coinvolto. A tutti i soggetti, tranne le piccole realtà, verrà imposto di dedicare una risorsa interna, da nominare responsabile dell'amministrazione di tutte le informazioni della impresa. La protezione dei dati va fatta bene, e i titolari dei dati e del trattamento dei dati, ovvero tutti i cittadini, si devono comportare da persone adulte. Domanda: Già due anni fa la Auditel presieduta da Andrea Imperiali, in vista della la pubblicazione dei dati censuari sui device digitali (che comporta, per la prima volta, il trattamento di Big Data, ndr), ha voluto ridisegnare tutti i suoi processi nel rispetto del nuovo regolamento europeo. Ma non mi risulta ci siano state molte altre aziende o istituzioni in Italia che si siano mosse così in anticipo, giusto? Risposta: Sì, è vero, in Italia ci sono state poche aziende, istituzioni, enti che si sono mosse in anticipo come Auditel. Non posso chiaramente garantire su cosa esattamente farà Auditel. Ma loro fin dall'inizio si sono posti in un'ottica nazionale ed europea cercando il meglio. Domanda: La protezione dei dati si può anche certificare, vero? Risposta: Corretto. C'è anche la possibilità di certificare il trattamento e la protezione dei dati in base alle nuove regole. Da settimana prossima, infatti, le società o le istituzioni possono accrescere la fiducia degli utenti e dei consumatori attraverso una volontaria certificazione. Che darà ulteriori semplificazioni e ritorni di immagine, con la costruzione di un modello che si potrà anche esportare. Nel senso che si può certificare pure una impresa statunitense che però offre servizi in Italia. Infatti il regolamento si applica a tutti quelli che offrono beni e servizi in Europa. Se il mio smartphone riceve beni e servizi, non mi interessa dove è la sede dell'operatore, ma dove vengono offerti i servizi. Domanda: E i grandi ott, le aziende americane che maneggiano i big data, come si sono rapportate col nuovo Gdpr? Risposta: Le grandi aziende alla Microsoft, differentemente da quanto avevano fatto nel 1996 o nel 2003, già dal 2017 hanno iniziato a comunicare che sarebbero state pronte al nuovo regolamento. Insomma, a differenza del passato, non c'è stato un meccanismo di contestazione. Ora, però, non dico che siano già in regola. E comunque non stanno facendo nessuna concessione, sono obbligate a farlo. Peraltro le nuove policy di Twitter, WhatsApp, Google eccetera sono comunque soggette a uno scrutinio da parte del Garante Ue, perché ci sembra che ultimamente stiano facendo agli utenti delle proposte tipo «prendere o lasciare» ed è possibile che i garanti abbiano delle cose da dire sul tema. Domanda: Perché c'era bisogno del Gdpr? Risposta: Perché bisogna reintrodurre fiducia nelle persone. Fiducia che la penetrazione granulare sugli aspetti più intimi della loro vita sia sempre in buone mani. I criteri in base ai quali, per esempio, gli algoritmi determinano il prezzo delle cose e dei servizi per ciascuno devono essere trasparenti. Nel nuovo modo di pensare, quindi, i miei dati non sono nella disponibilità di

nessuno per sempre. Io ti invito a casa mia, ti faccio entrare. Poi, però, quando ti riaccompagno all'uscio, tu non puoi più rientrare, i miei dati spariscono dalla tua disponibilità. Domanda: E dopo il regolamento sulla protezione dei dati, sta per arrivare anche il nuovo regolamento Ue sulla privacy. Risposta: Giusto. Il nuovo regolamento Ue sulla privacy dovrebbe essere pubblicato a inizio 2019 per entrare in vigore nel 2020. Fonte: Italia Oggi del 19 Maggio 2018

INTERVISTA N. 2 Intervista al Dott. Antonello Soro, Presidente dell’Autorità Garante Italiana per la Protezione dei Dati Personali Soro “Illeciti, non soltanto sanzioni. Le reazioni saranno diverse. In un approccio graduale.” Martedì 22 Maggio 2018 20:16 Non solo sanzioni amministrative nel Regolamento Ue sulla privacy. Le reazioni possibili dell'ordinamento alle violazioni sui dati sono diverse e dovranno seguire un approccio gradualistico. A sottolinearlo è Antonello Soro, presidente dell'Autorità garante italiana, che, rispondendo a ItaliaOggi Sette a pochi giorni dal debutto del "Gdpr" (il regolamento 2016/679 sulla protezione di dati), detta le priorità per aziende ed enti alle prese con le nuove sfide poste dalla normativa europea. In cima all'agenda, la formazione del personale e la sicurezza informatica. Domanda: Presidente Soro, il Regolamento europeo nasce in un clima di incertezza e di ansia per le imprese. Quali sono gli adempimenti ai quali si consiglia di dare priorità? Risposta: Il Regolamento è in vigore già da due anni e sulle sue innovazioni il Garante ha promosso un'attività formativa ad amplissimo spettro, proprio al fine di promuoverne la conoscenza da parte di imprese e amministrazioni. Naturalmente, il ritardo nell'approvazione del decreto legislativo di adeguamento può ingenerare incertezza rispetto alle modifiche da apportare alla propria attività aziendale, inducendo a ripensare assetti o modalità organizzative, consolidati a volte più per inerzia che per reale utilità. Ma l'adeguamento al Regolamento si rivelerà una straordinaria opportunità, per consentire ad aziende e amministrazioni di stare al passo con l'innovazione e le nuove sfide di un'economia fondata sui dati, nonché per investire sulla protezione dati quale risorsa reputazionale essenziale e fattore di vantaggio competitivo. Adempimenti fondamentali, in questo senso, sono un'adeguata formazione del personale, modulata naturalmente sulla base delle specifiche mansioni di ciascuno, una puntuale ricognizione delle misure di sicurezza, tecniche e organizzative, che dovranno essere adeguate alle caratteristiche del trattamento, una complessiva revisione delle proprie informative per adeguarle all'impostazione più sostanzialistica del Regolamento, nonché la predisposizione delle procedure necessario ad effettuare, ove ne ricorrano i presupposti, la notifica dei data breach. Per rendere più agevole il processo di adeguamento al Regolamento, è poi opportuno, per le imprese che vi siano tenute ma anche, auspicabilmente, per le altre, nominare il Dpo, che possa indirizzare le scelte aziendali nella direzione della compliance. Coloro i quali vi siano tenuti, dovranno poi provvedere ad adempimenti essenziali quali la valutazione d'impatto privacy (e, nel caso di persistenza di rischi, la consultazione preventiva del Garante) o il registro delle attività di trattamento. Domanda: Gli enti pubblici sono generalmente molto indietro nell'applicazione del regolamento Ue. Sono in programma linee guida o interventi simili da parte del Garante e su quali argomenti? Risposta: Non abbiamo elementi per ritenere che gli enti pubblici siano indietro nell'applicazione del Regolamento; per parte nostra abbiamo organizzato, in varie regioni italiane, numerosi incontri formativi con i rappresentanti delle amministrazioni, proprio al fine di accompagnarle nell'attività di adeguamento al nuovo quadro giuridico europeo. Abbiamo pubblicato specifiche linee guida e faq, nonché un cospicuo materiale informativo sul Regolamento. A seguito dell'approvazione del decreto legislativo di adeguamento, che introduce norme di raccordo con l'ordinamento interno e della prima attuazione della disciplina, valuteremo gli interventi da compiere in ragione delle specifiche esigenze che si dovessero presentare.

Domanda: Il Garante predisporrà regole di graduazione delle sanzioni amministrative per distinguere violazioni formali da quelle più gravi? Risposta: Il Regolamento delinea un sistema sanzionatorio alquanto articolato. Anzitutto, configura la sanzione amministrativa come una delle possibili "reazioni" (non certo l'unica) dell'ordinamento all'illecito, da applicarsi secondo un approccio gradualistico, congiuntamente o alternativamente alle misure inibitorie e prescrittive. La scelta in ordine all'an della sanzione deve fondarsi sugli stessi parametri indicati dal Regolamento per la commisurazione infraedittale della sanzione pecuniaria (gravita dell'illecito desunta anche dal danno che ne sia derivato, elemento soggettivo, eventuale ravvedimento operoso o, al contrario, recidiva, categorie di dati interessate dalla violazione, adesione a codici di condotta o sistemi di certificazione, cooperazione con l'autorità di controllo ecc.). La norma fornisce già, dunque, elementi sufficienti per distinguere gli illeciti in ragione della loro gravita, ai fini della scelta tanto sull'an quanto sul quantum della sanzione. Domanda: Il settore Pmi è sempre in attesa di semplificazioni. Nelle more devono eseguire tutti gli adempimenti che il regolamento Ue prescrive senza distinzioni. Non sarebbe opportuno indicare in concreto e al più presto quali sono le disposizioni ufficiali per piccole e medie imprese? Risposta: Il Regolamento già di per sé modula gli adempimenti previsti in capo al titolare in ragione, tra l'altro, della dimensione dell'impresa e, quindi, dell'ambito di incidenza del trattamento, come abbiamo chiarito anche in diversi incontri con esponenti del mondo imprenditoriale e, in particolare, associazioni di categoria. La disciplina europea, che mira a rafforzare "il clima di fiducia che consentirà lo sviluppo dell'economia digitale" nel mercato interno, coniuga la protezione dati con istanze di semplificazione, che il decreto di adeguamento peraltro valorizza, prevedendo che rispetto alle micro, piccole e medie imprese il Garante possa promuovere modalità semplificate di adempimento agli obblighi del titolare. Fonte: Italia Oggi del 21 maggio 2018 - Intervista di Antonio Ciccia Messina