Prossimo Regolamento UE - imperiali.comprvacy_forum_presentazione_roi_compliance... · secondo i...
Transcript of Prossimo Regolamento UE - imperiali.comprvacy_forum_presentazione_roi_compliance... · secondo i...
@Ros_Imperiali
Prossimo Regolamento UE
Impatto sull’attività aziendalePrivacy Day Forum – Roma, 21 ottobre 2015
Rosario Imperiali
117/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_Imperiali
Sommario
• Profili di maggiore impatto per le aziende
• Accountability
Trasparenza
Sistema DP
Ruoli e Data Protection Officer
Sicurezza
Diritti dell’interessato
• Conclusioni
217/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_Imperiali
PROFILI DI MAGGIORE IMPATTO PER LE AZIENDE
317/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_Imperiali
‘COM(2012) 11 final”pubblicata il 25 gennaio 2012
4
Il pacchetto di riforma UE sul data protection
AMBITO
ACCOUNTABILITY
EU REGULATION
SANZIONI
definisce
In caso di violazioni prevede Stabilisce a carico del Titolare
Ognuno di questi pilastri ha importanti implicazioni per la gestione della conformità alle prescrizioni sui datipersonali, tali da dover aggiornare l'intero sistema aziendale di governo dei dati.
Proposta di Regolamento
Proposta di Direttiva
La privacy negli studi legali @Ros_Imperiali
ACCOUNTABILITY
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
Da FORMA a SOSTANZA mediante :• l’attuazione del principio della protezione dei dati «by design»• valutazioni di impatto sulla protezione dei dati
• Responsabilità globale del Titolare, denominata «accountability"• le nuove disposizioni "dettagliano l'obbligo di responsabilità del Titolare di rispettare il presente
regolamento e di dimostrare tale conformità, anche mediante l'adozione di politiche interne e meccanismi per garantire tale rispetto"
Principio di ACCOUNTABILITY
PRESCRIZIONIDel proposto Regolamento
(obbligatorie/volontarie)
PROFILI INNOVATIVI DI CARATTERE OBBLIGATORIO (rispetto a Direttiva 95/46/CE)
1. Trasparenza 2. Sistema DP 3. Ruoli DP 4. PET e Sicurezza 5. Diritti dell’interessato 6. Flussi transfrontalieri
PROFILI INNOVATIVI DI CARATTERE NON OBBLIGATORIO (rispetto a Direttiva95/46/CE)
1. Codici di condotta 2. Meccanismi di certificazione 3. Sigilli e segni
517/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY1. Trasparenza e Flussi esteri
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
E 'diviso in due obblighi principali per i Titolari:• fornire politiche di informazione trasparenti, facilmente accessibili e comprensibili, secondo la risoluzione di Madrid
(5 novembre 2009)• fornire maggiori informazioni obbligatorie agli interessati – circa il periodo di conservazione e in relazione ai
trasferimenti internazionali - che si aggiungono a quelle previste dalla Dir. 95/46
IMPLICAZIONI PER LE AZIENDE
L'introduzione di nuovi obblighi di informazione obbligatoria comporta:
la necessità di stabilire adeguate politiche di informazione aziendale
la necessità di controllare le varie fasi dei flussi informativi, sia all'interno che all'esterno dell'azienda (ad esempio, la rilevazione di fonti di dati, destinatari dei dati, trasferimenti in paesi esteri, tempi di conservazione per tipi di dati e finalità del trattamento)
Tutte queste conoscenze richiedono un continuo sforzo organizzativo, che è necessario per fornire le informazioni richieste al momento della raccolta dei dati, al fine di:
rafforzare le informazioni alle persone interessate (ad esempio, l’informativa)
consentire alla azienda di rispondere in modo adeguato alle richieste delle persone interessate
Questi ulteriori obblighi di informazione possono determinare maggiore responsabilità e oneri di conformità.
617/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY2. Sistema di gestione DP (1/2)
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
Il sistema di governo DP è composto dei seguenti elementi principali che si aggiungono a quelli della Direttiva 95/46:
DOCUMENTAZIONE DI SISTEMA• Ciascuna principale operazione di trattamento va documentata e la documentazione va esibita a richiesta (art. 28)• Il Titolare deve mantentere aggiornato il registro dei trattamenti
SUPERVISIONE INDIPENDENTE• Nomina del Data Protection Officer, persona che assiste il Titolare o il Responsabile a monitorare il rispetto interno
con il regolamento, che gode di indipendenza per quanto riguarda l'esercizio delle sue funzioni e dei compiti (art. 35)
STRUTTURA ORGANIZZATIVA DEL SISTEMA• Procedure e meccanismi efficaci per le operazioni di trattamento che possono presentare rischi specifici• Valutazione di impatto, indipendente ed obbligatoria, sulla protezione dei dati personali (art. 33)
Imp
att
o
Probabilità
717/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY2. Sistema di gestione DP (2/2)
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
FOCUS: LA FUNZIONE STRATEGICA DELLE ADEGUATE MISURE TECNICO-ORGANIZZATIVE
La azienda, in qualità di Titolare, ha bisogno di avere un sistema di gestione per la protezione dei dati personali strutturato secondo i principi internazionalmente riconosciuti di certificazione dei sistemi e, quindi, soggetti alle regole del Ciclo diDeming (Plan, Do, Check e Act ).
Le violazioni delle norme che impongono l'adozione di politiche interne o l'attuazione delle "misure appropriate per assicurare e dimostrare la conformità" sono soggetti ad una sanzione amministrativa pecuniaria fino a 1 milione di euro o fino al 2% del fatturato annuo a livello mondiale.
ADEGUATE MISURE TECNICO ORGANIZZATIVE
Devono essere attuatedal Titolare e del
Responsabile (art.26)
Attuano ildata protection by
design and by default per garantire
la conformità(art. 23)
Rendono effettivi ildiritto alla
portabilità (art. 18) e il diritto all’oblio (art.
17)
Garantiscono un adeguato livello di
sicurezza da parte di Titololare e
Responsabile(art.30)
817/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_Imperiali
15
ACCOUNTABILITY3. Ruoli data protection (1/2)
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
Ciascun titolare e responsabile sarà
responsabiledisgiuntamente e in
solido per tutti i danni
JOINT CONTROLLERSDevono regolare le
reciprocheobbligazioni al fine di consentire l’esercizio
dei diritti degliinteressati Quando il titolare si
avvale di terzi è obbligatoria la
nomina di questi a Responsabile esterno
La mancatadeterminazionedelle reciprocheresponsabilità è
sanzionata sino a 500.000 € o all’1%
del fatturato globale
DATA PROTECTION OFFICER: Il DPO deve essere coinvolto tempestivamente in tutte le questioni che interferiscono con la protezione dei dati
personali Il DPO ha natura indipendente e deve ricevere sostegno adeguato in termini di risorse e fondi (art. 36) Nomina obbligatoria del DPO per:
enti pubblici suddette società 250 dipendenti aziende il cui core business coinvolge trattamenti di natura rischiosa
Anche quando un DPO non è richiesto, un registro dei trattamenti deve essere conservato dal titolare
• Reciprocheobbligazioni
• Responsabilità disgiunta e solidale
• Nomina obbligatoria del Responsabile terzo
• Sanzione per violazioni
La privacy negli studi legali @Ros_Imperiali
IMPLICAZIONI PER LE AZIENDE
Le prescrizioni rivolte ai Responsabili del trattamento (sicurezza dei dati, adeguate misure tecniche e organizzative, la "protezione dei dati by design", le valutazioni di impatto) superano gli accordi contrattuali tra le parti. Pertanto:
Maggiori controversie per responsabilità soprattutto tra azienda cliente e outsourcer per violazione di legge o di contratto e di risarcimento danni
Esigenza di effettività per la nomina dell’outsourcer, che richiede l'attuazione di una periodica attività di audit
la responsabilità del titolare del trattamento di scegliere un Responsabile che presenti garanzie sufficienti per le operazioni di data protection che gli vengono affidate
ACCOUNTABILITY3. Ruoli Data protection (2/2)
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
1017/10/2015 Regolamento UE e impatto aziendale
• Maggiori controversie tra le parti• Necessità di audit periodici• Scelte dell’outsourcer
presuppongono garanzie DP
La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY4. PET e Sicurezza
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
MISURE DI SICUREZZAIl futuro Regolamento non prevede l’adozione di misure minime e tassative come l’attuale codice privacy (art. 30)
DATA BREACH• La proposta di regolamento estende l'obbligo di notifica (che descrive la natura della violazione con raccomandazioni
per mitigare le conseguenze negative) a tutti i titolari del trattamento• La violazione deve essere notificata all'Autorità entro 24 ore dal momento in cui il Titolare ne viene a conoscenza
IMPLICAZIONI PER LE AZIENDE
Valutare in via preliminare l'adeguatezza della sicurezza è obbligo giuridico di Titolari e Responsabili
Entrambe misure di sicurezza e disposizioni organizzative devono essere oggetto di analisi dei rischi
In caso di verifica, la sentenza del tribunale si basa principalmente sull'analisi di un esperto nominato dal giudice che, presumibilmente, valuterà l'organizzazione della protezione dei dati comparandola agli standard di corporate governance
Nella proposta di Regolamento il sistema di conformità per la protezione dei dati è garantita dalla combinazione di tre elementi:
2. Principio di accountability
3. Principi di data protection by design e
by default
1. Adeguate misuretecnico organizzative
1117/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY5. Diritti degli interessati
SCOPE
ACCOUNTABILITY
EU REGULATION
SANCTIONS
DIRITTO ALLA PORTABILITA’
Nuovo diritto che permette agli interessati di ottenere le loro informazioni personali in un formato compatibile con le applicazioni standard, in modo da consentire la migrazione dei dati su piattaforme di loro scelta.
DIRITTO ALL’OBLIO
Il diritto all'oblio è stato chiarito, al fine di rafforzare il controllo degli utenti sui loro dati
DIRITTO DI ACCESSO
Il diritto di accesso autorizza l'interessato a ricevere informazioni - tra le altre cose -sul destinatario in paesi terzi, sul periodo di archiviazione dei dati e sulla fonte dei dati.
IMPLICAZIONI PER LE AZIENDE
Uno sforzo organizzativo del Titolare è necessario per rispondere alle richieste dell'interessato (ad esempio, i titolari del trattamento devono gestire i flussi di dati con un sistema di tracciamento)
Anche se il diritto alla portabilità dei dati è principalmente concepito per il contesto dei servizi della società dell'informazione, esso potrebbe avere un impatto in tutte le banche dati dei clienti
Il diritto all'oblio significa per un Titolare di dover determinare in anticipo i periodi di conservazione dei dati e di avvalersi di alcune soluzioni tecniche di apporre una "data di scadenza", a dati o gruppi di dati
La legge ha stabilito l'obbligo del Titolare di adottare procedure e meccanismi per consentire l'esercizio dei diritti degli interessati: ogni azienda deve essere in grado di trovare soluzioni adeguate per il buon governo di queste operazioni.
1217/10/2015 Regolamento UE e impatto aziendale
La privacy negli studi legali @Ros_Imperiali
CONCLUSIONI
1317/10/2015 Regolamento UE e impatto aziendale
@Ros_ImperialiConclusioni
14
Si passa dalla previsione di regole formali alla definizione di un sistema di governo sui dati personali basato su tracciabilità
Sensibilizzazione ed operatività delle funzioni aziendali con maggiore impatto in merito all’utilizzo di dati personali
Supervisione delle attività cicliche a cura di un responsabile unico
Creazione di un organo di coordinamento per la gestione del sistema di governo dei dati personali di pertinenza aziendale
Gestione delle prescrizioni «privacy» secondo l’approccio «PDCA» tipico dei sistemi di certificazione internazionale
17/10/2015
Twitter: @Ros_Imperiali
LinkedIn: Rosario Imperiali
Avv. Rosario Imperiali
gruppoimperiali rosimp
Regolamento UE e impatto aziendale