IL DATA BREACH

2

Il Centro Nexa su Internet & Società

● Centro di ricerca del Politecnico di Torino (Dipartimento di

Automatica e Informatica), fondato nel 2006.

● Studia Internet e il suo impatto sulla società in ottica

multidisciplinare (tecnologica, giuridica ed economica).

● Svolge supporto alla policy in ambito europeo (e.g., sugli aspetti

giuridici dell'informazione del settore pubblico) e nazionale.

● Collaborazioni internazionali:

●partner del Network of Excellence on Internet Science (EINS)

http://www.internet-science.eu/

●membro fondatore della Rete globale di centri su Internet &

Società http://cyber.law.harvard.edu/research/network_of_centers

Csig di Ivrea-Torino

Il Centro Studi di Informatica Giuridica di Ivrea-Torino è un’ associazione indipendente senza finalità di lucro interdisciplinare attiva dal 2005 (rivolta a giuristi, informatici, psicologi, professori, studenti, giornalisti, etc.)

Mission: aggiornamento professionale, informazione, approfondimento dell’evoluzione dell’ICT e dell’innovazione e dell’impatto sui diritti, trasparenza on line e partecipazione

Aderisce alla Coalizione per le competenze digitali promossa da Agid , ha un blog http://csigivreatorino.it ed un Comitato Scientifico di magistrati, professori e professionisti

Ha partecipato alle consultazioni on line in materia di privacy, diritto di autore cyberbullismo, open data, crowdfunding, open data e trasparenza, videosorveglianza e droni, wi-fi e software libero, violenza on line e pari opportunità

SINDROME da RANA BOLLITA

Data

Protection

Dato Personale

Dato Sensibile

Dato Riservato

Dato Biometrico

Dato Confidenziale

Videosorveglianza

Geolocalizzazione

Dato Aziendale

Dato Personale

Dato Sensibile

Dato Riservato

Dato Biometrico

Dato Confidenziale

Videosorveglianza

Geolocalizzazione

Dato Aziendale

Digitali Analogici

PRIVACY

Tecnologia Diritto

SISTEMA

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

Diritto a

restare soli

Tutela del

Dato Personale

Controllo dei

Dati Personali

tempo

DIRETTIVA EUROPEA (Direttiva Madre) (la n. 95/46/CE e la 2002/58/CE)

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIOconcernente la tutela delle persone fisiche con riguardo al trattamento dei dati personalie la libera circolazione di tali dati(regolamento generale sulla protezione dei dati)

In Italia:

Legge 675/96: Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

Decreto legge 196/03, Codice in materia del Trattamento dei dati personali.

Tappe:

1995: DIRETTIVA EUROPEA (la n. 95/46/CE e la 2002/58/CE)

25 Gennaio 2012:REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati(regolamento generale sulla protezione dei dati)

12 marzo 2014: il Parlamento europeo ha approvato in prima lettura il testo di Regolamento con alcuni emendamenti, e ha trasmesso il medesimo al Consiglio dell’Unione europea. (+ di 4000 emendamenti)

Ottobre e Dicembre 2014: il Consiglio, nella formazione “Giustizia e Affari Interni” composta dai ministri della giustizia e degli affari interni di tutti gli Stati membri dell’UE, ha raggiunto un accordo parziale su alcune previsioni

15 Giugno 2015 – Riunione del Consiglio Giustizia e Affari Interni in Lussemburgo per assumere un approccio generale definitivo al Regolamento Privacy UE

24 Giugno 2015 – Prima riunione a tre (trilogo) che si terrà a Bruxelles (previo accordo con la Commissione Europea e il Consiglio) per concordare sulla tabella di marcia generale per i negoziati del trilogo

14 Luglio 2015 – Secondo trilogo per discutere l’estensione territoriale e trasferimenti internazionali

Settembre 2015 – Altre riunioni a tre (triloghi) per discutere i principi della protezione dei dati, i diritti degli interessati e degli obblighi di controllori e processori

Ottobre 2015 – Le discussioni del trilogo si concentreranno sulla protezione dei dati, le autorità cooperazione e la coerenza, e rimedi, responsabilità e sanzioni

Novembre 2015 – Altre riunioni del trilogo a deliberare (1) gli obiettivi e materiale scopo di applicazione del regolamento, (2) la flessibilità per il settore pubblico e (3) i regimi di trattamento dei dati specifici.

Dicembre 2015 – Le ultime riunioni del trilogo dell’anno si concentreranno sugli atti delegati e di esecuzione, disposizioni finali e tutte le altre questioni in sospeso.

14 aprile 2016 Approvazione della Comunità

4 maggio 2016 Pubblicazione in Gazzetta Ufficiale della Comunità Europea

25 maggio 2016 Entrata in vigore

14

Articolo 7 Rispetto della vita privata e della vita familiare Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni.

Articolo 8 Protezione dei dati di carattere personale:

1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenernela rettifica. 3. Il rispetto di tali regole Ł soggetto al controllo di un’autorità indipendente.

CARTA DEI DIRITTI FONDAMENTALI DELL’UNIONE EUROPEA (2000/C 364/01)

DIRITTI

LICEITA’

NECESSITA’

PROPORZIONALITA’

FINALITA’CONSENSO

INFORMATIVA SICUREZZA

PERTINENTI

NON ECCEDENTI

16

CONSIDERANDO

17

84) Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento.

85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica 4.5.2016 L 119/16 Gazzetta ufficiale dell'Unione europea IT interessata. Pertanto, non appena viene a conoscenza di un'avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all'autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Vedi 86) 87) e 88)

18

ARTICOLI 33 - 34

19

.

Articolo 33 Notifica di una violazione dei dati personali all'autorità di controllo

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore,è corredata dei motivi del ritardo.

20

Articolo 34 Comunicazione di una violazione dei dati personali all'interessato

1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.

2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).

3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

21

4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

22

SANZIONI

23

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 %del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;

c) gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degliarticoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;

24

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capoIX;

e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'articolo 58, paragrafo 2,ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8 - 9

25

Articolo 84 Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrativepecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarnel'applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

CAPO IX DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO

Articolo 85 Trattamento e libertà d'espressione e di informazione

1. Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d'espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria.

2 -3

- Mauro Alovisio, Videosorveglianza e privacy, Experta, 2012

- Mauro Alovisio, Licenziamento per accesso abusivo alle mail dei colleghi: qual è

il valore probatorio dei file di log? Quotidiano giuridico,Ipsoa, 2014

- Mauro Alovisio, Codice di Deontologia e di buona condotta per avvocati e

investigatori,Quotidiano Giuridico, Ipsoa, 2009

- Ugo Pagallo, Il diritto nell’età dell’Informazione, Giappichelli, 2014

- Massimo Durante e Ugo Pagallo (a cura di), Manuale di informatica giuridica e

diritto delle nuove tecnologie, Torino, Utet, 2012

- Ugo Pagallo, La tutela della privacy negli Stati Uniti e in Europa, Giuffrè, 2008

Per approfondimenti

- Quaderno del Data Privacy Officer S. Gorla Ed. Maggioli 2013

- Secondo Quaderno del Data Protection Officer S. Gorla Ed. Amazon 2014

- Storia della Privacy S. Gorla et al. Ed. Lex&Ars 2015

- Analisi statistica applicata ad un sistema di controllo per la Privacy. S. Gorla et al.

Safety & Security Tecna Editrice

- Ipotesi di analisi per la verifica di un sistema di gestione della Privacy. S. Gorla et

al. Safety & Security Tecna Editrice settembre 2013

- Ipotesi per la realizzazione di un modello matematico per l’analisi di

efficacia/conformità di un sistema di gestione privacy

S. Gorla et al. Safety & Security Tecna Editrice ottobre 2013

-- La piramide della Privacy? S. Gorla. Safety & Security Tecna Editrice marzo

2014

Per approfondimenti

- Privacy e Sicurezza dolce connubio S. Gorla. ICT Security Tecna Editrice maggio 2014

- Il DPO questo sconosciuto S. Gorla. ICT Security e Safety&Security Tecna Editrice giugno

2014

- Cicala o Formica Privacy? S. Gorla. ICT Security e Safety&Security Tecna Editrice

luglio/agosto 2014

- Privacy e Geolocalizzazione S. Gorla. Safety&Security Tecna Editrice luglio/agosto 2014

- Mamma i Droni S. Gorla et al. Safety&Security Tecna Editrice marzo 2015

-- Conservazione e privacy: adeguarsi al nuovo regolamento europeo per evitare "brutte

sorprese« S. Gorla Agenda Digitale ottobre 2015

- L’alba della cartella clinica elettronica, con il decreto FSE S. Gorla Agenda Digitale

novembre 2015

Per approfondimenti

- Privacy e Conservazione S. Gorla Safety&Security

novembre/dicembre 2015

- Tornare ai fondamentali S. Gorla Safety&Security

novembre/dicembre 2015

- Regolamento europeo sulla privacy, le conseguenze sull'attuale

legislazione S. Gorla Agenda Digitale aprile 2016

- Toc, Toc…sono il nuovo regolamento europeo sul trattamento dei

dati S. Gorla Safety&Security marzo/aprile 2016

- Johari e la Privacy S. Gorla ICT aprile 2016

-Privacy e Condominio S. Gorla Tribuna Finanziaria luglio/agosto

2016

- Modello analitico per l’analisi dei rischi S. Gorla Safety&Security

ottobre 2016

Per approfondimenti

GRAZIE per l’ATTENZIONE

Nel labirinto non ci si perde. Nel labirinto ci si trova.Nel labirinto non si incontra il Minotauro. Nel labirinto si incontra se stessi …”

H.Kern

Labirinto della Cattedrale di Chartres

Mauro Alovisio: Mauro.alovisio@gmail.com

3333597588

Stefano Gorla stefano.gorla@seensolution.com

3357258973

Slide edite con licenze creative commons attribuzione non

commerciale