Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Avv. Andrea Maggipinto www.maggipinto.org

Privacy  by  design:  le  nuove  norme  europee  che  rivoluzioneranno  (anche  in  Italia)  l’approccio  alla  Privacy  24  O%obre  2013  –  Seminario  CSIG  Centro  Studi  Informa0ca  Giuridica  di  Milano  

1  

Ing. Igor Serraino www.serraino.it

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Agenda  

v  Scenario    v  Una  nuova  Norma;va  Privacy  

v  “Privacy  by  Design”  

v  Data  Protec;on  Officer  

v  Security  e  Privacy  Impact  Analysis    

2  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Scenario  aBuale        DireCva  “Madre”  95/46/CE                  Legge  675/96      Decisione  Quadro  2008/977/GAI  

     DireQva  97/66/CE  

               DireCva  2002/58/CE  (e  s.m.i.)        

 D.Lgs.  196/2003  (e  s.m.i.)  

 

3  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Perché  un  intervento  a  livello  europeo?  “Ogni  persona  ha  diri:o  alla  protezione  dei  da0  di  cara:ere  personale  che  la  riguardano”  Ø   Art.  8  della  “Carta  dei  diriQ  fondamentali  dell’Unione  europea”  Ø   Art.  16  del  TFUE  -­‐  Tra%ato  sul  Funzionamento  dell’Unione  Europea    

“Ogni  persona  ha  diri:o  al  rispe:o  della  propria  vita  privata  e  familiare,  del  proprio  domicilio  e  della  propria  corrispondenza”  Ø   Art.  8  Convenzione  Europea  dei  DiriQ  dell’Uomo    

 Evoluzione  tecnologica      Social  Networking,  Web  2.0,  Cloud,  (e  dei  “costumi”)        Pubblicità  comportamentale,  next?    

4  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

ABeggiamenU  nei  confronU  della  protezione  dei  daU  §   Il  58  %  degli  europei  ri;ene  che  non  si  possa  fare  altro  che  rivelare  informazioni  personali  se  si  vogliono  o%enere  prodoQ  o  servizi.  §   Il  79  %  degli  uten;  di  si;  di  condivisione  e  di  re;  sociali  è  incline  a  rivelare  il  proprio  nome,  il  51  %  la  propria  fotografia  e  il  47  %  la  propria  nazionalità.  Chi  fa  acquis;  online  di  norma  fornisce  il  proprio  nome  (90  %),  il  proprio  indirizzo  (89  %)  e  il  numero  di  telefono  cellulare  (46  %).    §   Soltanto  un  terzo  degli  europei  sa  che  esiste  un’autorità  pubblica  nazionale  responsabile  della  protezione  dei  da;  personali  (33  %).  §   Poco  più  di  un  quarto  dei  frequentatori  di  re;  sociali  (26  %)  e  ancora  meno  acquiren;  online  (18  %)  pensano  di  avere  pieno  controllo  dei  propri  da;  personali.  

[Speciale  Eurobarometro  359,  giugno  2011]  

5  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

“Is  There  a  Dark  Lining  in  the  Cloud?”  

Viviane  Reding,  Vice-­‐President  of  the  European  Commission:      

 “Consumers  who  store  data  in  the  cloud  risk  losing  control  over  their  photos,  contacts  and  e-­‐mails.  Data  is  whirling  around  the  world  …”  

   

 “The  EU's  data  protec5on  rules  have  stood  the  test  of  0me,  but  now  they  need  to  be  modernized  to  reflect  the  new  technological  landscape”    

[Wall  Street  Journal,  25.01.2011]    

6  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

ObieCvi  

Armonizzare  l’a%uale  quadro  norma;vo  (troppo  frammentato)  Ø   sviluppo  del  mercato  unico    Ø   a%uare  poli;che  comuni  Ø   diminuire  incertezza  giuridica  Ø   limitare  i  rischi      In  pra;ca:  Ø   favorire  la  circolazione  e  i  flussi  di  da;  e  informazioni  Ø   la  raccolta  e  la  condivisione  transfrontaliera  dei  da;    Ø   incrementare  la  fiducia  dei  ci%adini  europei  nei  Servizi  della  Società  dell’informazione       7  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

StarUng  the  “Privacy  EvoluUon”  Comunicazione  Commissione  EU,  “Un  approccio  globale  alla  protezione  dei  da5  personali  nell'unione  europea”,  4.11.2010  COM(2010)  609  Comunicazione  della  Commissione  EU,  “Salvaguardare  la  privacy  in  un  mondo  interconnesso  -­‐  Un  quadro  europeo  della  protezione  dei  da5  per  il  XXI  secolo”,  25.1.2012  COM(2012)  9  final    

Ø   Necessità  di  un  nuovo  quadro  giuridico  per  la  protezione  dei  da0  personali  nell’Unione  Europea      

q   Regolamento  Europeo  del  Parlamento  europeo  e  del  Consiglio  concernente  la  tutela  delle  persone  fisiche  con  riguardo  al  tra%amento  dei  da;  personali  e  la  libera  circolazione  di  tali  da;  (regolamento  generale  sulla  protezione  dei  daU)  q   DireQva  del  Parlamento  europeo  e  del  Consiglio  concernente  la  tutela  delle  persone  fisiche  con  riguardo  al  tra%amento  dei  da;  personali  da  parte  delle  autorità  competen;  a  fini  di  prevenzione,  indagine,  accertamento  e  perseguimento  di  rea0  o  esecuzione  di  sanzioni  penali,  e  la  libera  circolazione  di  tali  da;  

8  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Perché  un  “Regolamento”?  

ArUcolo  16  TFUE  1.  Ogni  persona  ha  diri%o  alla  protezione  dei  da;  di  cara%ere  personale  che  la  riguardano.  2.  Il  Parlamento  europeo  e  il  Consiglio,  deliberando  secondo  la  procedura  legisla;va  ordinaria,  stabiliscono  le  norme  relaUve  alla  protezione  delle  persone  fisiche  con  riguardo  al  traBamento  dei  daU  di  caraBere  personale  da  parte  delle  is;tuzioni,  degli  organi  e  degli  organismi  dell'Unione,  nonché  da  parte  degli  Sta;  membri  nell'esercizio  di  aQvità  che  rientrano  nel  campo  di  applicazione  del  diri%o  dell'Unione,  e  le  norme  relaUve  alla  libera  circolazione  di  tali  daU.  Il  rispe%o  di  tali  norme  è  sogge%o  al  controllo  di  autorità  indipenden;.    

Regolamento,  strumento  idoneo      applicabilità  dire%a  

9  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Verso  una  nuova  disciplina  

“Regolamento  generale  sulla  protezione  dei  daU”    COM(2012)  11  final,  Bruxelles,  25.1.2012  -­‐  Proposta  di  “REGOLAMENTO  DEL  PARLAMENTO  EUROPEO  E  DEL  CONSIGLIO  concernente  la  tutela  delle  persone  fisiche  con  riguardo  al  tra%amento  dei  da;  personali  e  la  libera  circolazione  di  tali  da;”      Ø   oltre  160  risposte  alla  pubblica  consultazione    

10  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Disposizioni  Generali  

ArUcolo  1  -­‐  OggeBo  e  finalità  1.  Il  presente  regolamento  stabilisce  norme  rela;ve  alla  protezione  delle  persone  fisiche  con  riguardo  al  tra%amento  dei  da;  di  cara%ere  personale  e  norme  rela;ve  alla  libera  circolazione  di  tali  da;.  2.  Il  presente  regolamento  tutela  i  diriQ  e  le  libertà  fondamentali  delle  persone  fisiche,  in  par;colare  il  diri:o  alla  protezione  dei  da0  personali.  3.  La  libera  circolazione  dei  da5  personali  nell’Unione  non  può  essere  limitata  né  vietata  per  moUvi  aCnenU  alla  tutela  delle  persone  fisiche  con  riguardo  al  traBamento  dei  daU  personali.  

11  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Disposizioni  Generali  ArUcolo  2  -­‐  Campo  di  applicazione  materiale  1.  Il  presente  regolamento  si  applica  al  tra%amento  interamente  o  parzialmente  automaUzzato  di  da;  personali  e  al  tra%amento  non  automaUzzato  di  da;  personali  contenu;  in  un  archivio  o  des;na;  a  figurarvi.  2.  Le  disposizioni  del  presente  regolamento  non  si  applicano  ai  tra%amen;  di  da;  personali:  […]    d)  effe%ua;  da  una  persona  fisica  senza  finalità  di  lucro  per  l’esercizio  di  aQvità  esclusivamente  personali  o  domes;che;  3.  Il  presente  regolamento  lascia  impregiudicata  l’applicazione  della  direCva  2000/31/CE,  in  par;colare  le  norme  rela;ve  alla  responsabilità  dei  prestatori  intermediari  di  servizi  di  cui  ai  suoi  ar;coli  da  12  a  15.  

12  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Disposizioni  Generali  ArUcolo  3  -­‐  Campo  di  applicazione  territoriale  1.  Il  presente  regolamento  si  applica  al  tra%amento  dei  da;  personali  effe%uato  nell’ambito  delle  aQvità  di  uno  stabilimento  di  un  responsabile  del  tra%amento  o  di  un  incaricato  del  tra%amento  nell’Unione.  2.  Il  presente  regolamento  si  applica  al  traBamento  dei  daU  personali  di  residenU  nell’Unione  effeBuato  da  un  responsabile  del  traDamento  che  non  è  stabilito  nell’Unione,  quando  le  aQvità  di  tra%amento  riguardano:  a)  l’offerta  di  beni  o  la  prestazione  di  servizi  ai  suddeQ  residen;  nell’Unione,  oppure  b)  il  controllo  del  loro  comportamento.  

13  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Disposizioni  Generali  ArUcolo  4  -­‐  Definizioni  Ai  fini  del  presente  regolamento  s’intende  per:  […]  “interessato”:  la  persona  fisica  iden;ficata  o  iden;ficabile,  dire%amente  o  indire%amente,  con  mezzi  che  il  responsabile  del  tra%amento  o  altra  persona  fisica  o  giuridica  ragionevolmente  può  u;lizzare,  con  par;colare  riferimento  a  un  numero  di  iden;ficazione,  a  da;  rela;vi  all’ubicazione,  a  un  iden;fica;vo  on  line  o  a  uno  o  più  elemen;  cara%eris;ci  della  sua  iden;tà  gene;ca,  fisica,  fisiologica,  psichica,  economica,  culturale  o  sociale;    “responsabile  del  traBamento”:  la  persona  fisica  o  giuridica,  l’autorità  pubblica,  il  servizio  o  qualsiasi  altro  organismo  che,  singolarmente  o  insieme  ad  altri,  determina  le  finalità,  le  condizioni  e  i  mezzi  del  tra%amento  di  da;  personali;  […]    

14  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Disposizioni  Generali  [con0nua  art.  4]  “consenso  dell’interessato”:  qualsiasi  manifestazione  di  volontà  libera,  specifica,  informata  ed  esplicita  con  la  quale  l’interessato  acce%a,  mediante  dichiarazione  o  azione  posi5va  inequivocabile,  che  i  da;  personali  che  lo  riguardano  siano  ogge%o  di  tra%amento  “violazione  dei  daU  personali”:  violazione  di  sicurezza  che  comporta  accidentalmente  o  in  modo  illecito  la  distruzione,  la  perdita,  la  modifica,  la  rivelazione  non  autorizzata  o  l’accesso  ai  da;  personali  trasmessi,  memorizza;  o  comunque  elabora;  “norme  vincolanU  d’impresa”:  le  poli5che  in  materia  di  protezione  dei  da;  personali  applicate  da  un  responsabile  del  tra%amento  o  incaricato  del  tra%amento  stabilito  nel  territorio  di  uno  Stato  membro  dell’Unione  al  trasferimento  o  al  complesso  di  trasferimen;  di  da;  personali  a  un  responsabile  del  tra%amento  o  incaricato  del  tra%amento  in  uno  o  più  paesi  terzi,  nell’ambito  di  un  gruppo  di  imprese  

15  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Principi  ArUcolo  5  -­‐  Principi  applicabili  al  traBamento  di  daU  personali  I  da;  personali  devono  essere:  a)  tra%a;  in  modo  lecito,  equo  e  trasparente  nei  confron;  dell’interessato;  b)  raccol;  per  finalità  determinate,  esplicite  e  legiWme,  e  successivamente  tra%a;  in  modo  non  incompa;bile  con  tali  finalità;  c)  adegua;,  per;nen;  e  limita5  al  minimo  necessario  rispe%o  alle  finalità  perseguite;  i  da0  possono  essere  tra:a0  solo  se  e  nella  misura  in  cui  le  finalità  non  conseguibili  a:raverso  il  tra:amento  di  informazioni  che  non  contengono  da0  personali;  d)  esaQ  e  aggiorna;  […]  e)  Conserva;  …  per  un  arco  di  tempo  non  superiore  al  conseguimento  delle  finalità  per  le  quali  sono  tra%a;;  […]  f)  tra%a;  soDo  la  responsabilità  del  responsabile  del  traDamento,  che  assicura  e  comprova,  per  ciascuna  operazione,  la  conformità  alle  disposizioni  del  presente  regolamento.  

16  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

DiriC  dell’interessato  ArUcolo  11  -­‐  Informazioni  e  comunicazioni  trasparenU  1.  Il  responsabile  del  tra%amento  applica  poli5che  trasparen5  e  facilmente  accessibili  con  riguardo  al  tra%amento  dei  da;  personali  e  ai  fini  dell’esercizio  dei  diriQ  dell’interessato.  2.  Il  responsabile  del  tra%amento  fornisce  all’interessato  tuDe  le  informazioni  e  le  comunicazioni  rela5ve  al  traDamento  dei  da;  personali  in  forma  intelligibile,  con  linguaggio  semplice  e  chiaro  e  adeguato  all’interessato,  in  par;colare  se  le  informazioni  sono  des;nate  ai  minori.  

17  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Il  Responsabile  e  l’Incaricato  del  TraBamento  ArUcolo  22  -­‐  Responsabilità  del  responsabile  del  traBamento  1.  Il  responsabile  del  tra%amento  adoDa  poli5che  e  aDua  misure  adeguate  per  garan5re  ed  essere  in  grado  di  dimostrare  che  il  traDamento  dei  da5  personali  effeDuato  è  conforme  al  presente  regolamento.  2.  Le  misure  di  cui  al  paragrafo  1  comprendono,  in  par;colare:    (a)  la  conservazione  della  documentazione  ai  sensi  dell’arUcolo  28;  (b)  l’a:uazione  dei  requisi0  di  sicurezza  dei  da;  di  cui  all’arUcolo  30;  (c)  l’esecuzione  della  valutazione  d’impa:o  sulla  protezione  dei  da;  ai  sensi  dell’arUcolo  33;  (d)  il  rispe%o  dei  requisi;  di  autorizzazione  preven0va  o  di  consultazione  preven0va  dell’autorità  di  controllo  ai  sensi  dell’arUcolo  34,  paragrafi  1  e  2;  (e)  la  designazione  di  un  responsabile  della  protezione  dei  da0  ai  sensi  dell’arUcolo  35,  paragrafo  1.  

18  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Il  Responsabile  e  l’Incaricato  del  TraBamento  

[…]  3.  Il  responsabile  del  tra%amento  me%e  in  a%o  meccanismi  per  assicurare  la  verifica  dell’efficacia  delle  misure  di  cui  ai  paragrafi  1  e  2.  Qualora  ciò  sia  proporzionato,  la  verifica  è  effe%uata  da  revisori  interni  o  esterni  indipenden;  (audi;ng).  4.  Alla  Commissione  è  conferito  il  potere  di  ado:are  aW  delega0  conformemente  all’ar;colo  86  al  fine  di  precisare  i  criteri  e  i  requisi0  concernen0  le  misure  adeguate  di  cui  al  paragrafo  1  diverse  da  quelle  specificate  al  paragrafo  2,  le  condizioni  riguardan0  i  meccanismi  di  verifica  e  di  audit  di  cui  al  paragrafo  3  e  il  criterio  di  proporzionalità  di  cui  al  paragrafo  3,  e  al  fine  di  contemplare  misure  specifiche  per  le  micro,  piccole  e  medie  imprese.    

19  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

“Privacy  by  Design”  e  “Privacy  by  Default”  

ArUcolo  23  -­‐  Protezione  fin  dalla  progeBazione  e  protezione  di  default  1.  Al  momento  di  determinare  i  mezzi  del  traDamento  e  all’aDo  del  traDamento  stesso,  il  responsabile  del  tra%amento,  tenuto  conto  dell’evoluzione  tecnica  e  dei  cos;  di  a%uazione,  me%e  in  a%o  adeguate  misure  e  procedure  tecniche  e  organizza0ve  in  modo  tale  che  il  tra:amento  sia  conforme  al  presente  regolamento  e  assicuri  la  tutela  dei  diriQ  dell’interessato.  2.  Il  responsabile  del  tra%amento  me%e  in  a%o  meccanismi  per  garan;re  che  siano  tra%a;,  di  default,  solo  i  da0  personali  necessari  per  ciascuna  finalità  specifica  del  tra%amento  e  che,  in  par;colare,  la  quan0tà  dei  da0  raccol0  e  la  durata  della  loro  conservazione  non  vadano  oltre  il  minimo  necessario  per  le  finalità  perseguite.  In  par;colare  deQ  meccanismi  garan;scono  che,  di  default,  non  siano  resi  accessibili  da;  personali  a  un  numero  indefinito  di  persone.  

20  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

What  is  Privacy  by  Design?  

Una  nuova  concezione  della  privacy  che  si  affianca  al  tradizionale  approccio  norma;vo  (v.  Risoluzione  proposta  dalla  Commissioner  dell'Ontario,  Canada,  alla  Conferenza  mondiale  dei  Garan;  Privacy,  Gerusalemme,  27-­‐29  o%obre  2010)      

Ø   Building  privacy  into  technologies,  business  processes,  and  networked  infrastructures  from  the  ground  up.  Ø   Goal:  to  establish  and  achive  highest  possible  standards  of  accountability,  confidence,  and  trust  in  management  of  PII  (Personally  Iden;fiable  Informa;on).  Ø   Beyond  compliance.          

21  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Una  nuova  Visione  Linee  di  azione:  Ø   tecnologia  Ø   pra;che  commerciali  Ø   proge%azione  di  stru%ure  e  infrastru%ure    

Principi  fondamentali:  q   a%eggiamento  proaQvo  e  non  reaQvo  q   privacy  by  default  q   privacy  incorporata  nell’archite%ura    q   massima  funzionalità  (win-­‐win)  q   protezione  per  l’intero  ciclo  vitale  delle  informazioni  q   visibilità  e  trasparenza  q   centralità  dell’utente  (rispe%o  della  riservatezza)  

22  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Questa  la  Privacy  del  Terzo  Millennio  -­‐ Privacy  by  Design  -­‐  Accountability    -­‐   Minimizzazione  dei  da;  -­‐  Conservare  documen;  sul  “modello  organizza;vo  e  di  sicurezza  privacy”  -­‐   DiriBo  all’oblio  (salvo  però  specifici  obblighi  di  legge,  garanzie  della    libertà  di  espressione  e  con;nuità  della  ricerca  storica)  -­‐  Diri%o  dell’interessato  alla  "portabilità  del  dato"  (es.  trasferire  i  propri  da;  da  un  social  network  ad  un  altro)  -­‐  Maggiori  poteri,  anche  sanzionatori,  ai  Garan;  -­‐  No;fica  delle  violazioni  all’Autorità  -­‐  Data  Protec;on  Officer  -­‐  Introdo%o  il  requisito  del  “privacy  impact  assessment”  (valutazione  dell’impa%o-­‐privacy)       23  

Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

Ing. Igor Serraino www.serraino.it igor@serraino.it

Avv. Andrea Maggipinto www.maggipinto.org

andrea.maggipinto@studiomra.it

""!

To be continued..

it.linkedin.com/in/andreamaggipinto http://www.linkedin.com/pub/igor-serraino/14/27b/b3