Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016

Privacy by Design (Avv. Maggipinto - AMLAW)

Avv. Andrea Maggipinto

www.maggipinto.eu

Privacy by design: il nuovo Regolamento europeo che rivoluzionerà (anche in Italia) l’approccio alla Privacy [estratto]Seminario aziendale, 10.3.2016

1

http://www.maggipinto.eu/


Agenda

Scenario

Una nuova Normativa Privacy

“Privacy by Design”

Data Protection Officer

Security e Privacy Impact Analysis

2


Scenario attuale

Direttiva “Madre” 95/46/CE Legge 675/96

Decisione Quadro 2008/977/GAI

Direttiva 97/66/CE

Direttiva 2002/58/CE (e s.m.i.)

D.Lgs. 196/2003 (e s.m.i.)

3


Perché un intervento a livello europeo?

“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”

Art. 8 della “Carta dei diritti fondamentali dell’Unione europea”

Art. 16 del TFUE - Trattato sul Funzionamento dell’Unione Europea

“Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”

Art. 8 Convenzione Europea dei Diritti dell’Uomo

Evoluzione tecnologica Social Networking, Web 2.0, Cloud,

(e dei “costumi”) Pubblicità comportamentale, next?

4


Atteggiamenti nei confronti della protezione dei dati

Il 58 % degli europei ritiene che non si possa fare altro che rivelare informazioni personali se si vogliono ottenere prodotti o servizi.

Il 79 % degli utenti di siti di condivisione e di reti sociali è incline a rivelare il proprio nome, il 51 % la propria fotografia e il 47 % la propria nazionalità. Chi fa acquisti online di norma fornisce il proprio nome (90 %), il proprio indirizzo (89 %) e il numero di telefono cellulare (46 %).

Soltanto un terzo degli europei sa che esiste un’autorità pubblica nazionale responsabile della protezione dei dati personali (33 %).

Poco più di un quarto dei frequentatori di reti sociali (26 %) e ancora meno acquirenti online (18 %) pensano di avere pieno controllo dei propri dati personali.

[Speciale Eurobarometro 359, giugno 2011]

5


“Is There a Dark Lining in the Cloud?”

Viviane Reding, Vice-President of the European Commission:

“Consumers who store data in the cloud risk losing controlover their photos, contacts and e-mails. Data is whirling around the world …”

“The EU's data protection rules have stood the test of time, but now they need to be modernized to reflect the new technological landscape”

[Wall Street Journal, 25.01.2011]

6


Obiettivi

Armonizzare l’attuale quadro normativo (troppo frammentato)

sviluppo del mercato unico

attuare politiche comuni

diminuire incertezza giuridica

limitare i rischi

In pratica:

favorire la circolazione e i flussi di dati e informazioni

la raccolta e la condivisione transfrontaliera dei dati

incrementare la fiducia dei cittadini europei nei Servizi della Società dell’informazione

7


Starting the “Privacy Evolution”Comunicazione Commissione EU, “Un approccio globale alla protezione dei dati personali nell'unione europea”, 4.11.2010 COM(2010) 609Comunicazione della Commissione EU, “Salvaguardare la privacy in un mondo interconnesso - Un quadro europeo della protezione dei dati per il XXI secolo”, 25.1.2012 COM(2012) 9 final

Necessità di un nuovo quadro giuridico per la protezione dei dati personali nell’Unione Europea

Regolamento Europeo del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

Direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati

8


Perché un “Regolamento”?

Articolo 16 TFUE

1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti.

Regolamento, strumento idoneo applicabilità diretta

9


Una nuova disciplina

Agreement on Commission's EU data protection reform will boost Digital Single Market (Brussels, 15 December 2015)

“Regolamento generale sulla protezione dei dati”

COM(2012) 11 final, Bruxelles, 25.1.2012 - Proposta di “REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”

10


Reform of EU data protection rules

The European Commission put forward its EU Data Protection Reform in January 2012 to make Europe fit for the digital age. More than 90% of Europeans say they want the same data protection rights across the EU – and regardless of where their data is processed.

The Regulation updates and modernises the principles enshrined in the 1995 Data Protection Directive to guarantee privacy rights. It focuses on: reinforcing individuals' rights, strengthening the EU internal market, ensuring stronger enforcement of the rules, streamlining international transfers of personal data and setting global data protection standards. http://ec.europa.eu/justice/data-protection/reform/index_en.htm

11

http://ec.europa.eu/justice/data-protection/reform/index_en.htm

http://ec.europa.eu/justice/data-protection/reform/index_en.htm


Disposizioni Generali

Articolo 1 - Oggetto e finalità

1. Il presente regolamento stabilisce norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e norme relative alla libera circolazione di tali dati.

2. Il presente regolamento tutela i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

2 bis. (…)

3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

12


Disposizioni Generali

Articolo 2 - Campo di applicazione materiale

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Il presente regolamento non si applica ai trattamenti di dati personali: … d) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico;

2 bis. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si applica il regolamento (CE) n. 45/2001[…]

3. Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE

13


Disposizioni GeneraliArticolo 3 - Campo di applicazione territoriale

Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.

2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione effettuato da un responsabile del trattamento o incaricato del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato, oppure

b) il controllo del loro comportamento, quest'ultimo inteso all'interno dell'Unione europea.

14


PrincipiArticolo 5 - Principi applicabili al trattamento di dati personali

I dati personali devono essere:

trattati in modo lecito, equo e trasparente nei confronti dell’interessato;

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite; i dati possono essere trattati solo se e nella misura in cui le finalità non conseguibili attraverso il trattamento di informazioni che non contengono dati personali;

esatti e aggiornati […]

Conservati … per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […]

trattati in modo da garantire un'adeguata sicurezza dei dati personali

15


“Privacy by Design” e “Privacy by Default”Articolo 23 - Protezione fin dalla progettazione e protezione di default

1. Sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il responsabile del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare i principi di protezione dei dati, quali la minimizzazione, in modo efficace e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il responsabile del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l'estensione del trattamento, il periodo di conservazione e l'accessibilità. In particolare dette misure garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

16


What is Privacy by Design?

Una nuova concezione della privacy che si affianca al tradizionale approccio normativo (v. Risoluzione proposta dalla Commissioner dell'Ontario, Canada, alla Conferenza mondiale dei Garanti Privacy, Gerusalemme, 27-29 ottobre 2010)

Building privacy into technologies, business processes, and networked infrastructures from the ground up.

Goal: to establish and achive highest possible standards of accountability, confidence, and trust in management of PII (Personally Identifiable Information).

Beyond compliance.

17


Una nuova Visione

Linee di azione:

tecnologia

pratiche commerciali

progettazione di strutture e infrastrutture

Principi fondamentali:

atteggiamento proattivo e non reattivo

privacy by default

privacy incorporata nell’architettura

massima funzionalità (win-win)

protezione per l’intero ciclo vitale delle informazioni

visibilità e trasparenza

centralità dell’utente (rispetto della riservatezza)

18


La «nuova» Privacy

-Privacy by Design

- Accountability

- Minimizzazione dei dati

- Conservare documenti sul “modello organizzativo e di sicurezza privacy”

- Diritto all’oblio (salvo però specifici obblighi di legge, garanzie della

libertà di espressione e continuità della ricerca storica)

- Diritto dell’interessato alla "portabilità del dato" (es. trasferire i propri dati da un social network ad un altro)

- Maggiori poteri, anche sanzionatori, ai Garanti

- Notifica delle violazioni all’Autorità

- Data Protection Officer

- Introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy)

19


Avv. Andrea Maggipinto

www.maggipinto.eu

[email protected]

it.linkedin.com/in/andreamaggipinto

Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016

Law

Transcript of Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016