#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per...

Il nuovo Regolamento generale europeo sulla protezione dei dati personali: quadro generale e prime riflessioni sull’impatto

COSIMO COMELLA <[email protected]>Milano, 29 gennaio 2016

#READY4EUDATAP

#READY4EUDATAP

Il contesto della protezione dati EU

Non solo direttive e regolamenti

• Sentenze CGUE

o Google Spain (diritto all’oblio come de-indicizzazione)

o Conservazione dati traffico (data retention radicalmente contraria ai principi

comunitari)

o Weltimmo (mancato stabilimento nel Paese ma offerta di servizi in lingua

locale rende competente la DPA locale)

o Bara/Romania (trasferimento dati tra soggetti pubblici richiede informativa agli

interessati, limitazioni con legge)

o Facebook/Schrems (competenza della DPA locale e invalidazione accordo

Safe Harbor)

• Sentenze CEDU (libertà espressione/privacy)

• WP29 : pareri, raccomandazioni, contributi

• Consiglio d’Europa (revisione Convenzione 108/81)

#READY4EUDATAP

Il data protection package EU: introduzione

Il cosiddetto “pacchetto protezione dati” è stato presentato dalla

Commissione il 25 gennaio 2012 con lo scopo di garantire un quadro

coerente ed un sistema complessivamente armonizzato in materia.

Si compone di due diversi strumenti:

• proposta di Regolamento, volta a disciplinare i trattamenti di dati

personali sia nel settore privato sia nel settore pubblico, destinata a

sostituire la Direttiva 95/46;

• proposta di Direttiva volta alla regolamentazione dei settori di

prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione

delle sanzioni penali, che sostituirà (e integrerà) la decisione quadro

977/2008, peraltro non ancora attuata dall’Italia.

#READY4EUDATAP


Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO

E DEL CONSIGLIO

concernente la tutela delle persone fisiche con riguardo al trattamento dei

dati personali e la libera circolazione di tali dati

(regolamento generale sulla protezione dei dati)

25 gennaio 2012

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

concernente la tutela delle persone fisiche con riguardo al trattamento dei

dati personali da parte delle autorità competenti a fini di prevenzione,

indagine, accertamento e perseguimento di reati o esecuzione di sanzioni

penali, e la libera circolazione di tali dati

25 gennaio 2012

#READY4EUDATAP


• Le proposte sono basate sull’art. 16 del Trattato, che sancisce il

diritto di chiunque alla protezione dei propri dati personali e

chiede l’intervento del legislatore europeo per introdurre le

necessarie e conseguenti norme di tutela da applicarsi sia da

parte delle istituzioni, agenzie ed uffici della UE sia da parte

degli Stati membri, sotto la supervisione e controllo di autorità

indipendenti.

• Parlamento europeo e Consiglio UE partecipano su un piano

paritario alla procedura di co-legislazione in base al Trattato, ed

hanno quindi presentato numerosi emendamenti al testo

proposto dalla Commissione.

#READY4EUDATAP


• Il Parlamento europeo, per parte sua, ha votato la propria

posizione in prima lettura il 12 marzo 2014 su entrambi i testi

(proposta di Regolamento e proposta di Direttiva).

• Il Consiglio UE ha conclusa la fase di I lettura del testo della

proposta di Regolamento con l’adozione di un approccio

generale da parte del Consiglio GAI (Giustizia e affari interni)

del 15 giugno 2015.

• Ha invece concluso la I lettura del testo della proposta di

Direttiva con l’adozione del testo relativo da parte del Consiglio

GAI di ottobre 2015.

#READY4EUDATAP

Il data protection package EU: stato del negoziato

• Nei mesi da giugno (da ottobre per la Direttiva) a dicembre 2015 si sono

tenuti numerosi triloghi interistituzionali (Parlamento – Consiglio -

Commissione) nei quali la Presidenza di turno e i relatori del Parlamento

europeo, assistiti dalla Commissione, hanno esaminato i punti di

divergenza e individuato possibili testi di compromesso per i due

strumenti legislativi.

• I testi sono stati infine approvati, per il Consiglio, dal COREPER

(Comitato rappresentanti permanenti) del 16 dicembre e, per il

Parlamento, dal voto della competente commissione LIBE (Libertà civili,

giustizia e affari interni) del 17 dicembre, che ha accettato il testo votato

dal COREPER il giorno precedente, cosicché il Consiglio ha ratificato

l’accordo politico con il voto definitivo del COREPER del 18 dicembre

2015.

• Si è quindi in presenza della conclusione del negoziato a seguito

dell’accordo politico fra i co-legislatori.

#READY4EUDATAP

Il data protection package EU: stato del negoziato

Le prossime fasi procedurali

• I due testi saranno oggetto di revisione da parte dei giuristi - linguisti,

come è prassi, per le varie versioni linguistiche

• Verranno adottati formalmente nei primissimi mesi del 2016 con un voto

da parte del Parlamento (in sessione plenaria) e, probabilmente, un

passaggio formale al Consiglio GAI (Giustizia e affari interni) di marzo

2016

• Seguirà la loro pubblicazione sulla GUUE.

#READY4EUDATAP

La proposta di regolamento generale

Caratteristiche generali

• Previsione di diversi obblighi nei confronti di titolari e responsabili stabiliti

in UE

• Maggiore coerenza di norme valide in tutta Europa rispetto al regime

determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli

Stati membri

• “One single law applicable throughout Europe”

• Possibilità o necessità di specifiche regolamentazioni a livello nazionale

in alcune aree lasciate alla competenza delle leggi nazionali

#READY4EUDATAP


Il testo si articola su 11 Capi, con oltre 90 articoli e circa 140

«considerando».

I principali elementi di novità rispetto all’attuale quadro normativo (direttiva

95/46 e legislazione di recepimento) sono così riassumibili:

Diritti degli interessati

• potenziamento contenuti obbligatori informativa (con possibilità di ricorrere ad

icone o forme grafiche di informativa)

• Introduzione del diritto alla portabilità dei dati

• introduzione del diritto ad una cancellazione estesa («oblio») ma non

incondizionata

• possibilità di chiedere la “limitazione” del trattamento (anziché la cancellazione,

ad esempio in attesa di definire l’esattezza o obsolescenza di un dato o per

continuare ad utilizzare il dato per specifiche finalità, in particolare giudiziarie)

• definizione di condizioni per la prestazione del consenso da parte di minori in

rapporto all’offerta di “servizi della società dell’informazione” (con definizione di

una soglia di età fra i 13 ed i 16 anni, rimessa al legislatore nazionale).

#READY4EUDATAP


Obblighi dei titolari

Approccio basato sulla gestione del rischio e sull’“accountability”

• Privacy by design

• Privacy by default

• Nomina Data Protection Officer (obbligatoria per i soggetti pubblici e in alcuni casi

particolarmente a rischio anche per i soggetti privati, facoltativa negli altri casi)

• Valutazione di impatto obbligatoria per tutti i titolari o responsabili seguita da possibile

consultazione dell’Autorità di controllo

• Disciplina della contitolarità e dei rapporti contrattuali fra titolare e responsabile

• Eliminazione dell’obbligo di notificazione dei trattamenti (sostituita da obbligo di

tenuta di documentazione)

• Potenziamento ricorso a codici deontologici e certificazione (utilizzabili anche ai fini di

trasferimenti di dati in Paesi terzi)

• Obbligo di notificazione delle violazioni di dati personali (data breach), all’Autorità ed

agli interessati, da parte di tutti i titolari/responsabili di trattamento (secondo un

criterio di rischio per i diritti dell’interessato).

#READY4EUDATAP


Governance

• Definizioni dettagliate di ruolo e poteri delle Autorità nazionali di controllo

(discendenti direttamente dal Regolamento)

• Obblighi di cooperazione fra Autorità nazionali e possibilità di

ispezioni/indagini congiunte

• Introduzione del meccanismo dello “sportello unico” – One Stop Shop

• Salva la competenza esclusiva dell’Autorità nazionale per trattamenti

svolti da soggetti pubblici nazionali

• Introduzione del «meccanismo di coerenza» in contesti di trattamento di

natura transnazionale

• introduzione della figura della lead authority o «autorità capofila»,

sostanzialmente quella dello stabilimento principale

• Competenza condivisa con l’autorità capofila anche ai fini di ricorsi e

contenziosi

• Riserva di competenza dell’Autorità nazionale su «complaints» a

carattere esclusivamente nazionale, salva opposizione dell’autorità

capofila

#READY4EUDATAP


Governance

• Definizione di funzione, poteri e ruolo del «Comitato europeo della

protezione dei dati» quale garante di coerenza e armonizzazione:

soggetto dotato di personalità giuridica incaricato di redigere e

diffondere linee-guida, direttive, pareri su molteplici aspetti sostanziali e

procedurali del Regolamento, avente il ruolo di decisore ultimo

vincolante in caso di controversie fra Autorità nella trattazione di casi

gestiti secondo il meccanismo di coerenza e/o attraverso il meccanismo

dello “sportello unico” (codecisione uniforme).

• Struttura del Board con Presidente, due Vice-Presidente e un

Segretariato permanente,

• Definizione di un sistema unificato di sanzioni amministrative che le

Autorità di controllo hanno il potere di comminare, distribuite secondo tre

livelli di gravità delle violazioni (con importi fissati in termini di minimo e

massimo edittale) e con indicazione di criteri per la definizione della

gravità della violazione (valutazione di attenuanti/aggravanti)

#READY4EUDATAP


Campo di applicazione territoriale e materiale

• viene meno il criterio di collegamento basato sullo “stabilimento” ai

fini dell’applicazione delle disposizioni del Regolamento (Art. 4(1)c

direttiva 95/46, Art. 5(2) Codice italiano)

• si introduce il criterio del «targeting» (offerta di prodotti o servizi

destinati a soggetti presenti nell’UE) ai fini dell’applicazione delle

disposizioni contenute nel Regolamento.

#READY4EUDATAP


Criterio del targeting

La proposta di regolamento prevede che rientrino nella portata della

disciplina comunitaria sulla protezione dei dati quei trattamenti che

comportino:

• L’offerta di beni e servizi a interessati nell’Unione europea

• Il controllo dei comportamenti di interessati residenti nell’Unione

europea

• Le attività di controllo includono la profilazione su Internet volta a

consentire scelte rispetto agli individui o per analizzare o predire gusti

personali, comportamenti e attitudini (recital 21)

#READY4EUDATAP


Flessibilità

Previsione di un margine di flessibilità lasciato agli Stati membri per alcune

tipologie di trattamento ( Art. 6(1)c, Art. 6(1)e ):

• per finalità di pubblico interesse

• in adempimento di un obbligo legale

• per i trattamenti di cui al Capo IX (giornalismo, lavoro, ricerca

scientifica, statistica, storica, archivi).

Per tali ambiti, gli Stati Membri sono autorizzati a introdurre o mantenere

disposizioni di diritto nazionale che consentano di «adattare» quelle

contenute nel Regolamento.

Tale rinvio espresso al legislatore nazionale è accompagnato da un elenco

dei requisiti sostanziali che le misure legislative nazionali adottate o

mantenute in questi settori devono presentare (Articolo 6(3) ).

#READY4EUDATAP


Flessibilità

Il Regolamento fa rinvio al legislatore nazionale anche con riguardo a:

• ulteriori tipologie di trattamento (in particolare in ambito sanitario, ma anche

rispetto ai trattamenti di dati genetici o biometrici (“condizioni o limitazioni

ulteriori”)

• criteri di nomina di un DPO

• possibilità di richiedere autorizzazioni da parte dell’Autorità di controllo per taluni

trattamenti

• norme che devono disciplinare istituzione e componenti delle Autorità di controllo

• possibile previsione di sanzioni, anche penali, ulteriori rispetto a quelle contenute

nel Regolamento, ecc.).

#READY4EUDATAP


Flessibilità

Vi si accompagna la previsione (Art. 21, già contenuta nell’attuale direttiva

95/46) della possibilità di introdurre con legge nazionale deroghe ai diritti

degli interessati per specifiche finalità, qualora necessarie e proporzionate

e rispettose della «essenza» del diritto alla protezione dei dati:

• interesse pubblico

• sicurezza pubblica

• sicurezza dello Stato

• salute pubblica

• ecc.

Tale possibilità è prevista anche con riguardo ai trattamenti per finalità

scientifiche, statistiche, storiche, archivistiche nel pubblico interesse, salve

le garanzie che il diritto nazionale deve prevedere ai sensi dell’Art. 83 (in

particolare, misure atte a favorire l’applicazione del principio di «data

minimization»).

#READY4EUDATAP


Trasferimenti di dati verso Paesi terzi

• Rimane invariato il meccanismo della direttiva 95/46 (divieto

generale, salva esistenza di decisione adeguatezza da parte della

Commissione / strumenti contrattuali / presupposti in deroga).

• Vengono irrigiditi i requisiti di adeguatezza (con obbligo di effettuare

una valutazione complessiva, quindi anche con riguardo ai settori

polizia e giustizia e sulla tutela dei diritti fondamentali in genere)

• Vengono introdotte disposizioni specifiche per quanto riguarda

clausole contrattuali modello, BCR ed altre autorizzazioni ad hoc da

parte delle singole Autorità nazionali (necessariamente con intervento

del “meccanismo di coerenza”).

#READY4EUDATAP


Trasferimenti di dati verso Paesi terzi

• Vi è inoltre una disposizione (Art. 43-bis), fortemente voluta dal

Parlamento europeo, con cui si vietano i trasferimenti richiesti da

autorità giudiziarie o amministrative di Paesi terzi che non trovino

fondamento in accordi internazionali di mutua assistenza giudiziaria o

analoghi strumenti (in vigore con l’Ue o con il singolo Stato membro)

#READY4EUDATAP


Il principio dell’accountability

• Passaggio da approccio burocratico, con notificazione formale dei

trattamenti, a un regime in cui il titolare debba assicurare e

dimostrare che soddisfi tutti i requisiti posti dal regolamento

• Mutamento significativo dell’approccio europeo alla compliance

• I titolari stabiliti nell’UE dovranno mantenere documentazione relativa

ai trattamenti, eseguire valutazioni di impatto dei trattamenti a rischio,

assicurare adeguata protezione dei dati trasferiti all’esterno dell’UE.

• I cloud service providers stabiliti in UE saranno sottoposti a questo

tipo di misure, che dovrebbero accrescere il livello di protezione dei

trattamenti svolti nel territorio dell’Unione.

#READY4EUDATAP


Il main establishment

• Il Regolamento introduce la nozione di main establishment nell’UE al

fine di individuare la DPA competente su titolari e responsabili che

abbiano diverse sedi nel territorio dell’Unione (Articolo 4(13))

• Il Regolamento risolve il problema degli eventuali effetti della legge

nazionale, che viene eliminata, disseminando il risultato nei vari Paesi

diversi da quello del main establishment

• Complessità derivante nell’offerta di servizi in rete dalla possibilità

che titolari e responsabili siano sottoposti a giurisdizioni sovrapposte

(UE ed extra-UE, non all’interno dell’Unione)

#READY4EUDATAP


Le violazioni dei dati personali

• Notificazione dei data breach

• Sono tenuti tutti i titolari o responsabili

• Criteri di soglia per la notificazione (Autorità/interessato)

• Tempistica: 72 h per notificazione ad Autorità

#READY4EUDATAP


La certificazione dei trattamenti

• certificazione diretta da parte della DPA

• certificatori terzi

• accreditamento da DPA o da soggetto accreditante ex Regolamento

2008/765

• criteri definiti da DPA o da Board

• enforcement e poteri DPA (ruolo certificatori terzi)

• certificazione di titolari in Paesi terzi (per trasferimenti dati)

#READY4EUDATAP


Obblighi dei titolari e dei responsabili

• Approccio basato sul rischio del trattamento

• Misure di sicurezza

• Privacy impact assessment e sue conseguenze (consultazione

Autorità)

• Criteri di rischio specifici + intervento Board o DPA + definizione lista

di trattamenti non a rischio

• Data Protection Officer: criteri di nomina, requisiti soggettivi, compiti

#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per...

Law

Transcript of #Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per...