@Ros_Imperiali

Prossimo Regolamento UE

Impatto sull’attività aziendalePrivacy Day Forum – Roma, 21 ottobre 2015

Rosario Imperiali

117/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_Imperiali

Sommario

• Profili di maggiore impatto per le aziende

• Accountability

Trasparenza

Sistema DP

Ruoli e Data Protection Officer

Sicurezza

Diritti dell’interessato

• Conclusioni

217/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_Imperiali

PROFILI DI MAGGIORE IMPATTO PER LE AZIENDE

317/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_Imperiali

‘COM(2012) 11 final”pubblicata il 25 gennaio 2012

4

Il pacchetto di riforma UE sul data protection

AMBITO

ACCOUNTABILITY

EU REGULATION

SANZIONI

definisce

In caso di violazioni prevede Stabilisce a carico del Titolare

Ognuno di questi pilastri ha importanti implicazioni per la gestione della conformità alle prescrizioni sui datipersonali, tali da dover aggiornare l'intero sistema aziendale di governo dei dati.

Proposta di Regolamento

Proposta di Direttiva

La privacy negli studi legali @Ros_Imperiali

ACCOUNTABILITY

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

Da FORMA a SOSTANZA mediante :• l’attuazione del principio della protezione dei dati «by design»• valutazioni di impatto sulla protezione dei dati

• Responsabilità globale del Titolare, denominata «accountability"• le nuove disposizioni "dettagliano l'obbligo di responsabilità del Titolare di rispettare il presente

regolamento e di dimostrare tale conformità, anche mediante l'adozione di politiche interne e meccanismi per garantire tale rispetto"

Principio di ACCOUNTABILITY

PRESCRIZIONIDel proposto Regolamento

(obbligatorie/volontarie)

PROFILI INNOVATIVI DI CARATTERE OBBLIGATORIO (rispetto a Direttiva 95/46/CE)

1. Trasparenza 2. Sistema DP 3. Ruoli DP 4. PET e Sicurezza 5. Diritti dell’interessato 6. Flussi transfrontalieri

PROFILI INNOVATIVI DI CARATTERE NON OBBLIGATORIO (rispetto a Direttiva95/46/CE)

1. Codici di condotta 2. Meccanismi di certificazione 3. Sigilli e segni

517/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY1. Trasparenza e Flussi esteri

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

E 'diviso in due obblighi principali per i Titolari:• fornire politiche di informazione trasparenti, facilmente accessibili e comprensibili, secondo la risoluzione di Madrid

(5 novembre 2009)• fornire maggiori informazioni obbligatorie agli interessati – circa il periodo di conservazione e in relazione ai

trasferimenti internazionali - che si aggiungono a quelle previste dalla Dir. 95/46

IMPLICAZIONI PER LE AZIENDE

L'introduzione di nuovi obblighi di informazione obbligatoria comporta:

la necessità di stabilire adeguate politiche di informazione aziendale

la necessità di controllare le varie fasi dei flussi informativi, sia all'interno che all'esterno dell'azienda (ad esempio, la rilevazione di fonti di dati, destinatari dei dati, trasferimenti in paesi esteri, tempi di conservazione per tipi di dati e finalità del trattamento)

Tutte queste conoscenze richiedono un continuo sforzo organizzativo, che è necessario per fornire le informazioni richieste al momento della raccolta dei dati, al fine di:

rafforzare le informazioni alle persone interessate (ad esempio, l’informativa)

consentire alla azienda di rispondere in modo adeguato alle richieste delle persone interessate

Questi ulteriori obblighi di informazione possono determinare maggiore responsabilità e oneri di conformità.

617/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY2. Sistema di gestione DP (1/2)

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

Il sistema di governo DP è composto dei seguenti elementi principali che si aggiungono a quelli della Direttiva 95/46:

DOCUMENTAZIONE DI SISTEMA• Ciascuna principale operazione di trattamento va documentata e la documentazione va esibita a richiesta (art. 28)• Il Titolare deve mantentere aggiornato il registro dei trattamenti

SUPERVISIONE INDIPENDENTE• Nomina del Data Protection Officer, persona che assiste il Titolare o il Responsabile a monitorare il rispetto interno

con il regolamento, che gode di indipendenza per quanto riguarda l'esercizio delle sue funzioni e dei compiti (art. 35)

STRUTTURA ORGANIZZATIVA DEL SISTEMA• Procedure e meccanismi efficaci per le operazioni di trattamento che possono presentare rischi specifici• Valutazione di impatto, indipendente ed obbligatoria, sulla protezione dei dati personali (art. 33)

Imp

att

o

Probabilità

717/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY2. Sistema di gestione DP (2/2)

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

FOCUS: LA FUNZIONE STRATEGICA DELLE ADEGUATE MISURE TECNICO-ORGANIZZATIVE

La azienda, in qualità di Titolare, ha bisogno di avere un sistema di gestione per la protezione dei dati personali strutturato secondo i principi internazionalmente riconosciuti di certificazione dei sistemi e, quindi, soggetti alle regole del Ciclo diDeming (Plan, Do, Check e Act ).

Le violazioni delle norme che impongono l'adozione di politiche interne o l'attuazione delle "misure appropriate per assicurare e dimostrare la conformità" sono soggetti ad una sanzione amministrativa pecuniaria fino a 1 milione di euro o fino al 2% del fatturato annuo a livello mondiale.

ADEGUATE MISURE TECNICO ORGANIZZATIVE

Devono essere attuatedal Titolare e del

Responsabile (art.26)

Attuano ildata protection by

design and by default per garantire

la conformità(art. 23)

Rendono effettivi ildiritto alla

portabilità (art. 18) e il diritto all’oblio (art.

17)

Garantiscono un adeguato livello di

sicurezza da parte di Titololare e

Responsabile(art.30)

817/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_Imperiali

15

ACCOUNTABILITY3. Ruoli data protection (1/2)

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

Ciascun titolare e responsabile sarà

responsabiledisgiuntamente e in

solido per tutti i danni

JOINT CONTROLLERSDevono regolare le

reciprocheobbligazioni al fine di consentire l’esercizio

dei diritti degliinteressati Quando il titolare si

avvale di terzi è obbligatoria la

nomina di questi a Responsabile esterno

La mancatadeterminazionedelle reciprocheresponsabilità è

sanzionata sino a 500.000 € o all’1%

del fatturato globale

DATA PROTECTION OFFICER: Il DPO deve essere coinvolto tempestivamente in tutte le questioni che interferiscono con la protezione dei dati

personali Il DPO ha natura indipendente e deve ricevere sostegno adeguato in termini di risorse e fondi (art. 36) Nomina obbligatoria del DPO per:

enti pubblici suddette società 250 dipendenti aziende il cui core business coinvolge trattamenti di natura rischiosa

Anche quando un DPO non è richiesto, un registro dei trattamenti deve essere conservato dal titolare

• Reciprocheobbligazioni

• Responsabilità disgiunta e solidale

• Nomina obbligatoria del Responsabile terzo

• Sanzione per violazioni

La privacy negli studi legali @Ros_Imperiali

IMPLICAZIONI PER LE AZIENDE

Le prescrizioni rivolte ai Responsabili del trattamento (sicurezza dei dati, adeguate misure tecniche e organizzative, la "protezione dei dati by design", le valutazioni di impatto) superano gli accordi contrattuali tra le parti. Pertanto:

Maggiori controversie per responsabilità soprattutto tra azienda cliente e outsourcer per violazione di legge o di contratto e di risarcimento danni

Esigenza di effettività per la nomina dell’outsourcer, che richiede l'attuazione di una periodica attività di audit

la responsabilità del titolare del trattamento di scegliere un Responsabile che presenti garanzie sufficienti per le operazioni di data protection che gli vengono affidate

ACCOUNTABILITY3. Ruoli Data protection (2/2)

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

1017/10/2015 Regolamento UE e impatto aziendale

• Maggiori controversie tra le parti• Necessità di audit periodici• Scelte dell’outsourcer

presuppongono garanzie DP

La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY4. PET e Sicurezza

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

MISURE DI SICUREZZAIl futuro Regolamento non prevede l’adozione di misure minime e tassative come l’attuale codice privacy (art. 30)

DATA BREACH• La proposta di regolamento estende l'obbligo di notifica (che descrive la natura della violazione con raccomandazioni

per mitigare le conseguenze negative) a tutti i titolari del trattamento• La violazione deve essere notificata all'Autorità entro 24 ore dal momento in cui il Titolare ne viene a conoscenza

IMPLICAZIONI PER LE AZIENDE

Valutare in via preliminare l'adeguatezza della sicurezza è obbligo giuridico di Titolari e Responsabili

Entrambe misure di sicurezza e disposizioni organizzative devono essere oggetto di analisi dei rischi

In caso di verifica, la sentenza del tribunale si basa principalmente sull'analisi di un esperto nominato dal giudice che, presumibilmente, valuterà l'organizzazione della protezione dei dati comparandola agli standard di corporate governance

Nella proposta di Regolamento il sistema di conformità per la protezione dei dati è garantita dalla combinazione di tre elementi:

2. Principio di accountability

3. Principi di data protection by design e

by default

1. Adeguate misuretecnico organizzative

1117/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_ImperialiACCOUNTABILITY5. Diritti degli interessati

SCOPE

ACCOUNTABILITY

EU REGULATION

SANCTIONS

DIRITTO ALLA PORTABILITA’

Nuovo diritto che permette agli interessati di ottenere le loro informazioni personali in un formato compatibile con le applicazioni standard, in modo da consentire la migrazione dei dati su piattaforme di loro scelta.

DIRITTO ALL’OBLIO

Il diritto all'oblio è stato chiarito, al fine di rafforzare il controllo degli utenti sui loro dati

DIRITTO DI ACCESSO

Il diritto di accesso autorizza l'interessato a ricevere informazioni - tra le altre cose -sul destinatario in paesi terzi, sul periodo di archiviazione dei dati e sulla fonte dei dati.

IMPLICAZIONI PER LE AZIENDE

Uno sforzo organizzativo del Titolare è necessario per rispondere alle richieste dell'interessato (ad esempio, i titolari del trattamento devono gestire i flussi di dati con un sistema di tracciamento)

Anche se il diritto alla portabilità dei dati è principalmente concepito per il contesto dei servizi della società dell'informazione, esso potrebbe avere un impatto in tutte le banche dati dei clienti

Il diritto all'oblio significa per un Titolare di dover determinare in anticipo i periodi di conservazione dei dati e di avvalersi di alcune soluzioni tecniche di apporre una "data di scadenza", a dati o gruppi di dati

La legge ha stabilito l'obbligo del Titolare di adottare procedure e meccanismi per consentire l'esercizio dei diritti degli interessati: ogni azienda deve essere in grado di trovare soluzioni adeguate per il buon governo di queste operazioni.

1217/10/2015 Regolamento UE e impatto aziendale

La privacy negli studi legali @Ros_Imperiali

CONCLUSIONI

1317/10/2015 Regolamento UE e impatto aziendale

@Ros_ImperialiConclusioni

14

Si passa dalla previsione di regole formali alla definizione di un sistema di governo sui dati personali basato su tracciabilità

Sensibilizzazione ed operatività delle funzioni aziendali con maggiore impatto in merito all’utilizzo di dati personali

Supervisione delle attività cicliche a cura di un responsabile unico

Creazione di un organo di coordinamento per la gestione del sistema di governo dei dati personali di pertinenza aziendale

Gestione delle prescrizioni «privacy» secondo l’approccio «PDCA» tipico dei sistemi di certificazione internazionale

17/10/2015

rosario.imperiali@imperiali.com

Twitter: @Ros_Imperiali

LinkedIn: Rosario Imperiali

Avv. Rosario Imperiali

gruppoimperiali rosimp

Regolamento UE e impatto aziendale