#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per...
-
Upload
europrivacy -
Category
Law
-
view
835 -
download
2
Transcript of #Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per...
Il nuovo Regolamento generale europeo sulla protezione dei dati personali: quadro generale e prime riflessioni sull’impatto
COSIMO COMELLA <[email protected]>Milano, 29 gennaio 2016
#READY4EUDATAP
#READY4EUDATAP
Il contesto della protezione dati EU
Non solo direttive e regolamenti
• Sentenze CGUE
o Google Spain (diritto all’oblio come de-indicizzazione)
o Conservazione dati traffico (data retention radicalmente contraria ai principi
comunitari)
o Weltimmo (mancato stabilimento nel Paese ma offerta di servizi in lingua
locale rende competente la DPA locale)
o Bara/Romania (trasferimento dati tra soggetti pubblici richiede informativa agli
interessati, limitazioni con legge)
o Facebook/Schrems (competenza della DPA locale e invalidazione accordo
Safe Harbor)
• Sentenze CEDU (libertà espressione/privacy)
• WP29 : pareri, raccomandazioni, contributi
• Consiglio d’Europa (revisione Convenzione 108/81)
#READY4EUDATAP
Il data protection package EU: introduzione
Il cosiddetto “pacchetto protezione dati” è stato presentato dalla
Commissione il 25 gennaio 2012 con lo scopo di garantire un quadro
coerente ed un sistema complessivamente armonizzato in materia.
Si compone di due diversi strumenti:
• proposta di Regolamento, volta a disciplinare i trattamenti di dati
personali sia nel settore privato sia nel settore pubblico, destinata a
sostituire la Direttiva 95/46;
• proposta di Direttiva volta alla regolamentazione dei settori di
prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione
delle sanzioni penali, che sostituirà (e integrerà) la decisione quadro
977/2008, peraltro non ancora attuata dall’Italia.
#READY4EUDATAP
Il data protection package EU: introduzione
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO
E DEL CONSIGLIO
concernente la tutela delle persone fisiche con riguardo al trattamento dei
dati personali e la libera circolazione di tali dati
(regolamento generale sulla protezione dei dati)
25 gennaio 2012
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
concernente la tutela delle persone fisiche con riguardo al trattamento dei
dati personali da parte delle autorità competenti a fini di prevenzione,
indagine, accertamento e perseguimento di reati o esecuzione di sanzioni
penali, e la libera circolazione di tali dati
25 gennaio 2012
#READY4EUDATAP
Il data protection package EU: introduzione
• Le proposte sono basate sull’art. 16 del Trattato, che sancisce il
diritto di chiunque alla protezione dei propri dati personali e
chiede l’intervento del legislatore europeo per introdurre le
necessarie e conseguenti norme di tutela da applicarsi sia da
parte delle istituzioni, agenzie ed uffici della UE sia da parte
degli Stati membri, sotto la supervisione e controllo di autorità
indipendenti.
• Parlamento europeo e Consiglio UE partecipano su un piano
paritario alla procedura di co-legislazione in base al Trattato, ed
hanno quindi presentato numerosi emendamenti al testo
proposto dalla Commissione.
#READY4EUDATAP
Il data protection package EU: introduzione
• Il Parlamento europeo, per parte sua, ha votato la propria
posizione in prima lettura il 12 marzo 2014 su entrambi i testi
(proposta di Regolamento e proposta di Direttiva).
• Il Consiglio UE ha conclusa la fase di I lettura del testo della
proposta di Regolamento con l’adozione di un approccio
generale da parte del Consiglio GAI (Giustizia e affari interni)
del 15 giugno 2015.
• Ha invece concluso la I lettura del testo della proposta di
Direttiva con l’adozione del testo relativo da parte del Consiglio
GAI di ottobre 2015.
#READY4EUDATAP
Il data protection package EU: stato del negoziato
• Nei mesi da giugno (da ottobre per la Direttiva) a dicembre 2015 si sono
tenuti numerosi triloghi interistituzionali (Parlamento – Consiglio -
Commissione) nei quali la Presidenza di turno e i relatori del Parlamento
europeo, assistiti dalla Commissione, hanno esaminato i punti di
divergenza e individuato possibili testi di compromesso per i due
strumenti legislativi.
• I testi sono stati infine approvati, per il Consiglio, dal COREPER
(Comitato rappresentanti permanenti) del 16 dicembre e, per il
Parlamento, dal voto della competente commissione LIBE (Libertà civili,
giustizia e affari interni) del 17 dicembre, che ha accettato il testo votato
dal COREPER il giorno precedente, cosicché il Consiglio ha ratificato
l’accordo politico con il voto definitivo del COREPER del 18 dicembre
2015.
• Si è quindi in presenza della conclusione del negoziato a seguito
dell’accordo politico fra i co-legislatori.
#READY4EUDATAP
Il data protection package EU: stato del negoziato
Le prossime fasi procedurali
• I due testi saranno oggetto di revisione da parte dei giuristi - linguisti,
come è prassi, per le varie versioni linguistiche
• Verranno adottati formalmente nei primissimi mesi del 2016 con un voto
da parte del Parlamento (in sessione plenaria) e, probabilmente, un
passaggio formale al Consiglio GAI (Giustizia e affari interni) di marzo
2016
• Seguirà la loro pubblicazione sulla GUUE.
#READY4EUDATAP
La proposta di regolamento generale
Caratteristiche generali
• Previsione di diversi obblighi nei confronti di titolari e responsabili stabiliti
in UE
• Maggiore coerenza di norme valide in tutta Europa rispetto al regime
determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli
Stati membri
• “One single law applicable throughout Europe”
• Possibilità o necessità di specifiche regolamentazioni a livello nazionale
in alcune aree lasciate alla competenza delle leggi nazionali
#READY4EUDATAP
La proposta di regolamento generale
Il testo si articola su 11 Capi, con oltre 90 articoli e circa 140
«considerando».
I principali elementi di novità rispetto all’attuale quadro normativo (direttiva
95/46 e legislazione di recepimento) sono così riassumibili:
Diritti degli interessati
• potenziamento contenuti obbligatori informativa (con possibilità di ricorrere ad
icone o forme grafiche di informativa)
• Introduzione del diritto alla portabilità dei dati
• introduzione del diritto ad una cancellazione estesa («oblio») ma non
incondizionata
• possibilità di chiedere la “limitazione” del trattamento (anziché la cancellazione,
ad esempio in attesa di definire l’esattezza o obsolescenza di un dato o per
continuare ad utilizzare il dato per specifiche finalità, in particolare giudiziarie)
• definizione di condizioni per la prestazione del consenso da parte di minori in
rapporto all’offerta di “servizi della società dell’informazione” (con definizione di
una soglia di età fra i 13 ed i 16 anni, rimessa al legislatore nazionale).
#READY4EUDATAP
La proposta di regolamento generale
Obblighi dei titolari
Approccio basato sulla gestione del rischio e sull’“accountability”
• Privacy by design
• Privacy by default
• Nomina Data Protection Officer (obbligatoria per i soggetti pubblici e in alcuni casi
particolarmente a rischio anche per i soggetti privati, facoltativa negli altri casi)
• Valutazione di impatto obbligatoria per tutti i titolari o responsabili seguita da possibile
consultazione dell’Autorità di controllo
• Disciplina della contitolarità e dei rapporti contrattuali fra titolare e responsabile
• Eliminazione dell’obbligo di notificazione dei trattamenti (sostituita da obbligo di
tenuta di documentazione)
• Potenziamento ricorso a codici deontologici e certificazione (utilizzabili anche ai fini di
trasferimenti di dati in Paesi terzi)
• Obbligo di notificazione delle violazioni di dati personali (data breach), all’Autorità ed
agli interessati, da parte di tutti i titolari/responsabili di trattamento (secondo un
criterio di rischio per i diritti dell’interessato).
#READY4EUDATAP
La proposta di regolamento generale
Governance
• Definizioni dettagliate di ruolo e poteri delle Autorità nazionali di controllo
(discendenti direttamente dal Regolamento)
• Obblighi di cooperazione fra Autorità nazionali e possibilità di
ispezioni/indagini congiunte
• Introduzione del meccanismo dello “sportello unico” – One Stop Shop
• Salva la competenza esclusiva dell’Autorità nazionale per trattamenti
svolti da soggetti pubblici nazionali
• Introduzione del «meccanismo di coerenza» in contesti di trattamento di
natura transnazionale
• introduzione della figura della lead authority o «autorità capofila»,
sostanzialmente quella dello stabilimento principale
• Competenza condivisa con l’autorità capofila anche ai fini di ricorsi e
contenziosi
• Riserva di competenza dell’Autorità nazionale su «complaints» a
carattere esclusivamente nazionale, salva opposizione dell’autorità
capofila
#READY4EUDATAP
La proposta di regolamento generale
Governance
• Definizione di funzione, poteri e ruolo del «Comitato europeo della
protezione dei dati» quale garante di coerenza e armonizzazione:
soggetto dotato di personalità giuridica incaricato di redigere e
diffondere linee-guida, direttive, pareri su molteplici aspetti sostanziali e
procedurali del Regolamento, avente il ruolo di decisore ultimo
vincolante in caso di controversie fra Autorità nella trattazione di casi
gestiti secondo il meccanismo di coerenza e/o attraverso il meccanismo
dello “sportello unico” (codecisione uniforme).
• Struttura del Board con Presidente, due Vice-Presidente e un
Segretariato permanente,
• Definizione di un sistema unificato di sanzioni amministrative che le
Autorità di controllo hanno il potere di comminare, distribuite secondo tre
livelli di gravità delle violazioni (con importi fissati in termini di minimo e
massimo edittale) e con indicazione di criteri per la definizione della
gravità della violazione (valutazione di attenuanti/aggravanti)
#READY4EUDATAP
La proposta di regolamento generale
Campo di applicazione territoriale e materiale
• viene meno il criterio di collegamento basato sullo “stabilimento” ai
fini dell’applicazione delle disposizioni del Regolamento (Art. 4(1)c
direttiva 95/46, Art. 5(2) Codice italiano)
• si introduce il criterio del «targeting» (offerta di prodotti o servizi
destinati a soggetti presenti nell’UE) ai fini dell’applicazione delle
disposizioni contenute nel Regolamento.
#READY4EUDATAP
La proposta di regolamento generale
Criterio del targeting
La proposta di regolamento prevede che rientrino nella portata della
disciplina comunitaria sulla protezione dei dati quei trattamenti che
comportino:
• L’offerta di beni e servizi a interessati nell’Unione europea
• Il controllo dei comportamenti di interessati residenti nell’Unione
europea
• Le attività di controllo includono la profilazione su Internet volta a
consentire scelte rispetto agli individui o per analizzare o predire gusti
personali, comportamenti e attitudini (recital 21)
#READY4EUDATAP
La proposta di regolamento generale
Flessibilità
Previsione di un margine di flessibilità lasciato agli Stati membri per alcune
tipologie di trattamento ( Art. 6(1)c, Art. 6(1)e ):
• per finalità di pubblico interesse
• in adempimento di un obbligo legale
• per i trattamenti di cui al Capo IX (giornalismo, lavoro, ricerca
scientifica, statistica, storica, archivi).
Per tali ambiti, gli Stati Membri sono autorizzati a introdurre o mantenere
disposizioni di diritto nazionale che consentano di «adattare» quelle
contenute nel Regolamento.
Tale rinvio espresso al legislatore nazionale è accompagnato da un elenco
dei requisiti sostanziali che le misure legislative nazionali adottate o
mantenute in questi settori devono presentare (Articolo 6(3) ).
#READY4EUDATAP
La proposta di regolamento generale
Flessibilità
Il Regolamento fa rinvio al legislatore nazionale anche con riguardo a:
• ulteriori tipologie di trattamento (in particolare in ambito sanitario, ma anche
rispetto ai trattamenti di dati genetici o biometrici (“condizioni o limitazioni
ulteriori”)
• criteri di nomina di un DPO
• possibilità di richiedere autorizzazioni da parte dell’Autorità di controllo per taluni
trattamenti
• norme che devono disciplinare istituzione e componenti delle Autorità di controllo
• possibile previsione di sanzioni, anche penali, ulteriori rispetto a quelle contenute
nel Regolamento, ecc.).
#READY4EUDATAP
La proposta di regolamento generale
Flessibilità
Vi si accompagna la previsione (Art. 21, già contenuta nell’attuale direttiva
95/46) della possibilità di introdurre con legge nazionale deroghe ai diritti
degli interessati per specifiche finalità, qualora necessarie e proporzionate
e rispettose della «essenza» del diritto alla protezione dei dati:
• interesse pubblico
• sicurezza pubblica
• sicurezza dello Stato
• salute pubblica
• ecc.
Tale possibilità è prevista anche con riguardo ai trattamenti per finalità
scientifiche, statistiche, storiche, archivistiche nel pubblico interesse, salve
le garanzie che il diritto nazionale deve prevedere ai sensi dell’Art. 83 (in
particolare, misure atte a favorire l’applicazione del principio di «data
minimization»).
#READY4EUDATAP
La proposta di regolamento generale
Trasferimenti di dati verso Paesi terzi
• Rimane invariato il meccanismo della direttiva 95/46 (divieto
generale, salva esistenza di decisione adeguatezza da parte della
Commissione / strumenti contrattuali / presupposti in deroga).
• Vengono irrigiditi i requisiti di adeguatezza (con obbligo di effettuare
una valutazione complessiva, quindi anche con riguardo ai settori
polizia e giustizia e sulla tutela dei diritti fondamentali in genere)
• Vengono introdotte disposizioni specifiche per quanto riguarda
clausole contrattuali modello, BCR ed altre autorizzazioni ad hoc da
parte delle singole Autorità nazionali (necessariamente con intervento
del “meccanismo di coerenza”).
#READY4EUDATAP
La proposta di regolamento generale
Trasferimenti di dati verso Paesi terzi
• Vi è inoltre una disposizione (Art. 43-bis), fortemente voluta dal
Parlamento europeo, con cui si vietano i trasferimenti richiesti da
autorità giudiziarie o amministrative di Paesi terzi che non trovino
fondamento in accordi internazionali di mutua assistenza giudiziaria o
analoghi strumenti (in vigore con l’Ue o con il singolo Stato membro)
#READY4EUDATAP
La proposta di regolamento generale
Il principio dell’accountability
• Passaggio da approccio burocratico, con notificazione formale dei
trattamenti, a un regime in cui il titolare debba assicurare e
dimostrare che soddisfi tutti i requisiti posti dal regolamento
• Mutamento significativo dell’approccio europeo alla compliance
• I titolari stabiliti nell’UE dovranno mantenere documentazione relativa
ai trattamenti, eseguire valutazioni di impatto dei trattamenti a rischio,
assicurare adeguata protezione dei dati trasferiti all’esterno dell’UE.
• I cloud service providers stabiliti in UE saranno sottoposti a questo
tipo di misure, che dovrebbero accrescere il livello di protezione dei
trattamenti svolti nel territorio dell’Unione.
#READY4EUDATAP
La proposta di regolamento generale
Il main establishment
• Il Regolamento introduce la nozione di main establishment nell’UE al
fine di individuare la DPA competente su titolari e responsabili che
abbiano diverse sedi nel territorio dell’Unione (Articolo 4(13))
• Il Regolamento risolve il problema degli eventuali effetti della legge
nazionale, che viene eliminata, disseminando il risultato nei vari Paesi
diversi da quello del main establishment
• Complessità derivante nell’offerta di servizi in rete dalla possibilità
che titolari e responsabili siano sottoposti a giurisdizioni sovrapposte
(UE ed extra-UE, non all’interno dell’Unione)
#READY4EUDATAP
La proposta di regolamento generale
Le violazioni dei dati personali
• Notificazione dei data breach
• Sono tenuti tutti i titolari o responsabili
• Criteri di soglia per la notificazione (Autorità/interessato)
• Tempistica: 72 h per notificazione ad Autorità
#READY4EUDATAP
La proposta di regolamento generale
La certificazione dei trattamenti
• certificazione diretta da parte della DPA
• certificatori terzi
• accreditamento da DPA o da soggetto accreditante ex Regolamento
2008/765
• criteri definiti da DPA o da Board
• enforcement e poteri DPA (ruolo certificatori terzi)
• certificazione di titolari in Paesi terzi (per trasferimenti dati)
#READY4EUDATAP
La proposta di regolamento generale
Obblighi dei titolari e dei responsabili
• Approccio basato sul rischio del trattamento
• Misure di sicurezza
• Privacy impact assessment e sue conseguenze (consultazione
Autorità)
• Criteri di rischio specifici + intervento Board o DPA + definizione lista
di trattamenti non a rischio
• Data Protection Officer: criteri di nomina, requisiti soggettivi, compiti