Il Data Protection Officer (DPO)compiti, responsabilità buone prassi nelle imprese e pubblicheamministrazioni

Milano, 25 ottobre, 2016 Avv. Mauro AlovisioDott. Stefano Gorla

2

Il Centro Nexa su Internet & Società

● Centro di ricerca del Politecnico di Torino (Dipartimento di Automatica e Informatica), fondato nel 2006.● Studia Internet e il suo impatto sulla società in ottica multidisciplinare (tecnologica, giuridica ed economica).● Svolge supporto alla policy in ambito europeo (e.g., sugli aspetti giuridici dell'informazione del settore pubblico) e nazionale.● Collaborazioni internazionali:●partner del Network of Excellence on Internet Science (EINS) http://www.internet-science.eu/●membro fondatore della Rete globale di centri su Internet & Società http://cyber.law.harvard.edu/research/network_of_centers

Csig di Ivrea-Torino

Il Centro Studi di Informatica Giuridica di Ivrea-Torino è un’ associazione indipendente senza finalità di lucro interdisciplinare attiva dal 2005 (rivolta a giuristi, informatici, psicologi, professori, studenti, giornalisti, etc.)

Mission: aggiornamento professionale, informazione, approfondimento dell’evoluzione dell’ICT e dell’innovazione e dell’impatto sui diritti, trasparenza on line e partecipazione

Aderisce alla Coalizione per le competenze digitali promossa da Agid , ha un blog http://csigivreatorino.it ed un Comitato Scientifico di magistrati, professori e professionisti

Ha partecipato alle consultazioni on line in materia di privacy, diritto di autore cyberbullismo, open data, crowdfunding, open data e trasparenza, videosorveglianza e droni, wi-fi e software libero, violenza on line e pari opportunità

Prossime tappe

25/26/27 ottobre Smau Milano ( seminari sul regolamento privacy europeo: data breach e fascicolo sanitario)

19 novembre 2016, Festival del giornalismo digitale di Varese

15 dicembre 2016, Master legalità Chivasso

16 dicembre 2016, Cyberbullismo e privacy San Mauro Torinese

Gennaio 2017 – Salone dei droni di Modena

Agenda-Quali sono i principi e le novità del regolamento europeo in materia di protezione dati?- Quale è il ruolo del data protection Officer (DPO)? Quando deve essere nominato? - Quali sono i requisiti del DPO? Quale formazione? Quali compiti ha? - Quali rapporti ha il DPO con altre figure aziendali dell’organigramma privacy?- Quali responsabilità e sanzioni sono previste?- Quali sono le migliori best practice in materia? - Conclusioni - Domande

Regolamento europeo privacy

-definisce un quadro comune in materia di tutela dei dati personali è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale .Regolamento europeo in materia di protezione dei dati personali REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO)Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

173 considerando e 99 articoli, si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.

Vantaggi del regolamento europeoUn’unica disciplina uniforme, regole certe per tutti gli Stati

- stimolare il mercato digitale e innalzare il livello di protezione dei dati (tutte le imprese e start up sullo stesso piano, chi non rispetta gli adempimenti in qualità esce dal mercato (v. considerando n. 9 del testo);

- rafforzare la fiducia dei consumatori nei servizi online

-promuovere così la crescita economica e l’ innovazione

- riferimento alle esigenze delle imprese, micro, medie e piccole imprese e alla ricerca

- sviluppo di nuove professioni multidisciplinari (es. Big data)

Prima del regolamento europeo

-Direttiva 95/46/CE relativa alla "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati"(Pubblicata sulla GUCE n. L 281 del 23.11.1995)1% era su internet!!Legge 675 del 1996 (poi abrogato)

-Codice Protezione dei dati personali (D.Lgs. 196 del 2003- in vigore)

I provvedimenti generali del Garante (es.in materia di videosorveglianza, posta elettronica ed internet, amministratori di sistema, dati biometrici)

Un ponte verso l’applicazione!

- Abrogate le norme interne non allineate o incompatibili con l’UE- Il codice Privacy pertanto non sarà abrogato del tutto- Gruppo di lavoro del Garante privacy italiano su confronto e raccordo fra codice Privacy e regolamento europeo- Vi sono alcuni ambiti di autonomia per i singoli Stati: pubblica amministrazione, lavoro e giornalismo (sempre nei limiti di compatibilità con i principi del regolamento Ue 2016/679) - e i provvedimenti generali e le autorizzazioni del Garante privacy?- (vedi considerando n. 171!)

Il salto di qualità

Ripensare i propri processi sotto il punto di vista:

Principi privacy by design, privacy by defaut

Accountability (responsabilizzazione, analisi dei rischi, valutazione adeguatezza)

La valutazione di impatto privacy

Designazione ed interazione con il Data protection Officer

Audit, Ispezioni

Certificazioni

Accountability

Obbligo di rendicontare, responsabilizzazione delle organizzazione (imprese e pa)

Cambiamento di approccio culturale e organizzativo

Finalità: creare un nuovo rapporto di fiducia e di trasparenza dei cittadini/consumatori nell'ottica dello sviluppo dell'economia digitale in tutto il

mercato europeo (armonizzazione)

Riferimenti: Considerando 60, art. 5 e art. 20 del regolamento europeo in materia di protezione dei dati personali

Percorso: Conferenza Garanti di Gerusalemme del 2010, Linee guida Ocse del 2013; parere 3/2010 del Gruppo Garanti articolo 29

Dalla teoria all’azione

Il principio di responsabilità richiede l’adozione attiva delle misure da parte dei titolari del trattamento finalizzate alla promozione e salvaguardia della protezione dei dati

nelle attività di trattamento.

• I titolari del trattamento sono responsabili della conformità alla normativa in materia di protezione dei dati nell’ambito delle operazioni di trattamento.

• I titolari del trattamento dovrebbero essere in grado di dimostrare in qualsiasi momento agli interessati, al pubblico in generale e alle autorità di controllo che

essi operano in conformità delle disposizioni sulla protezione dei dati.

(Consiglio di Europa, Manuale sul diritto europeo in materia di protezione dei dati, 2013)

Accountability

“La sicurezza dei dati è un valore aggiunto, non un inutile costo.

Le imprese che capiranno che bisogna investire su questo saranno più competitive e in grado di battere la concorrenza”

Antonello Soro Presidente Autorità Garante Privacy

Formazione

Articolo 29 Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali

non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

art. 29 regolamento

Organigramma privacy Codice della privacy D.Lgs. 196 del 2003

Il Data Protection Officer

Responsabile della Protezione dei dati personali

Funzione aziendale innovativa

Pietra angolare del sistema

Può essere sia interno o esterno alla pa o impresa

Competenze specialistiche

Figura di supporto a 360 gradi (informare, consigliare, sorvegliare, sensibilizzazione, formazione)

Punto di contatto con l’interessato, l’autorità di controllo

Opportunità per le imprese e per i professionisti?

Il Data Protection Officer

Organo di garanzia?

Organo di vigilanza? (una sorta di OIV?)

(c. 97, artt. 35 e 37)

Le tre anime del DPO

Soggetto che sorveglia sull’osservanza del regolamento

Punto di contatto con gli interessati (cittadini, consumatori) a cui si riferiscono i dati

Punto di contatto con l’autorità Garante privacy nazionale

(vigilanza e consulenza)

I requisiti del DPO

Qualità professionali (in particolare conoscenza specialistica della normativa e delle prassi in materia di protezione dei

dati)IndipendenzaImparzialità

Assenza di conflitto di interesse

Data protection officer: quali vantaggi per le imprese? (a)

La designazione di un data protection officer può concorrere a dimostrare alle imprese la compliance rispetto agli adempimenti previsti (v. accountability)

DPO- Certificazioni- Codice di Condotta

Data protection officer: quali vantaggi per le imprese? (b)

L’inadempimento del titolare e del responsabile rispetto agli obblighi previsti dalle disposizioni degli artt. 25-39

comporta una sanzione amministrativa pecuniaria fino a 10 milioni di euro di fatturato o per le imprese, fino al 2%

di fatturato se superiore(vantaggio concreto: evitiamo le sanzioni!)

Chi può essere DPO?

- soggetto interno alla struttura

-soggetto esterno alla struttura del titolare o del responsabile del trattamento in base ad un contratto di servizi

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.

I dati di contatto del DPO devono essere comunicati, da parte del titolare o del responsabile, all’autorità di controllo competente

L’informativa privacy deve riportare i riferimenti del DPO (trasparenza e accountability)

Quando è obbligatorio il DPO? - 1.Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10( dati sensibili, dati genetici, giudiziari, biometrici)

Ampia applicazione! Sviluppo di servizi e business! (art. 37)

Quali sono i compiti del DPO? (a)

1.Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

Quali sono i compiti del DPO? (b)

. c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al

trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2.Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo

Cosa fa?

Ha compiti di supervisione? Ha compiti di coordinamento?Ha compiti di gestione?

Quali sono i doveri del DPO?

Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione o degli Stati membri.

il responsabile della protezione dei dati può svolgere altri compiti e funzioni.

Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi

Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

(art. 37)

Con quali risorse?

Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica (art. 38, secondo comma)

Garanzie per il DPO 1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della

protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti.

Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

4. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.

DPO nei grandi gruppi?

2.Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

4.Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell'Unione o degli Stati membri, devono designare un responsabile della protezione dei dati.

Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento

Come si muove il DPO?

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo(art.39)

DPO nelle pa?

3.Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico

responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro

struttura organizzativa e dimensione.

(art. 37)

Designazione facoltativa?

4.Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se

previsto dal diritto dell'Unione o degli Stati membri, devono designare un responsabile della protezione dei dati.

(art. 37)

Come uscirne vivi?

- Formarsi

- Creare una rete di referenti interni ed esterni

- Creare cultura su Audit !! Anche su attività DPO

- Partecipare alle consultazioni e ai tavoli di lavoro del Garante privacy

Formazione Articolo 29 Trattamento sotto l'autorità del titolare del trattamento o del

responsabile del trattamento

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati

personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli

Stati membri.

DPO in qualità?

Chi certifica le competenze, conoscenza e abilità?Certificazione delle competenze?

Chi controlla il Dpo?Chi esegue gli audit sulle attività del Dpo?

Il DPO come funzione?

-il ruolo di Dpo può essere svolto da una sola persona? oppure è svolto da più soggetti

-Contratto di servizi

-Servizi di Supporto ai DPO?

News in vista?

-sono attese le linee guida del Garante privacy sul DPO (novembre-dicembre 2016)

-approfondiranno diversi aspetti concreti: profilo ambito di applicazione e dell’obbligatorietà del DPO, settore pubblico

-documento Abi sulle figura del Data protection nelle banche- tavolo di lavoro con il Garante

- Mauro Alovisio, Il nuovo regolamento europeo in materia di protezione dei dati personali Regole comuni per imprese, pa e professionisti per lo sviluppo del mercato unico digitale, Diritto e Giustizia, 2016 -Mauro Alovisio, Nuovo regolamento privacy UE, ecco tutto ciò che cittadini e PA

devono sapere, Agenda Digitale,2016 -Mauro Alovisio, Coautore del libro in Benedetto Ponti (a cura) “La trasparenza

amministrativa dopo le modifiche al d.lgs.14 marzo 2013, n. 33”. Edizione Maggioli, settembre 2016 -Mauro Alovisio, Privacy nel rapporto di lavoro, in Russo C., Carbone L.; Formulario del lavoro contratti, sicurezza e privacy, Utet, 2008 -Mauro Alovisio, Videosorveglianza e privacy, Experta, 2012 - Camilla Bistolfi, Luca Bolognini, Enrico Pelino, Il Regolamento privacy europeo, Giuffrè 2016 -Antonio Messina Ciccia, N. Bernardi, Privacy e regolamento europeo, Ipsoa 2016

Per approfondimenti (a)

- Fabio Di Resta, Il nuovo regolamento generale sulla protezione dei dati personali: un continente una legge, ma occorre essere preparati, Diritto 24, 2016

-Michele Iaselli, Cosa cambia con il nuovo regolamento europeo, Altalex, 2016

-Ugo Pagallo, Il diritto nell’età dell’Informazione, Giappichelli, 2014

-Massimo Durante e Ugo Pagallo (a cura di), Manuale di informatica giuridica e diritto delle nuove tecnologie, Torino, Utet, 2012

-Ugo Pagallo, La tutela della privacy negli Stati Uniti e in Europa, Giuffrè, 2008

-Francesco Pizzetti, Privacy ed il diritto europeo alla protezione dei dati personali, Giappichelli, primo e seconda edizione, 2016

Per approfondimenti (b)

- S. Gorla, Privacy e Conservazione, Safety&Security novembre/dicembre 2015- S. Gorla, Tornare ai fondamentali, Safety&Security novembre/dicembre 2015-S. Gorla, Regolamento europeo sulla privacy, le conseguenze sull'attuale legislazione, Agenda Digitale aprile 2016- S. Gorla , Toc, Toc…sono il nuovo regolamento europeo sul trattamento dei dati , Safety&Security marzo/aprile 2016- S. Gorla, Johari e la Privacy , ICT aprile 2016-S. Gorla, Privacy e Condominio, Tribuna Finanziaria luglio/agosto 2016-S. Gorla, Modello analitico per l’analisi dei rischi , Safety&Security ottobre 2016

Per approfondimenti (c)

- S. Gorla, Quaderno del Data Privacy Officer ,Ed. Maggioli 2013- S. Gorla, Secondo Quaderno del Data Protection Officer ,Ed. Amazon 2014- S. Gorla et al, Storia della Privacy, Ed. Lex&Ars 2015- S. Gorla et al, Analisi statistica applicata ad un sistema di controllo per la Privacy, Safety & Security Tecna Editrice- S. Gorla et al., I Safety & Security, Ipotesi di analisi per la verifica di un sistema di gestione della Privacy, Tecna Editrice ,settembre 2013- S. Gorla et al, Ipotesi per la realizzazione di un modello matematico per l’analisi di efficacia/conformità di un sistema di gestione privacy, Safety & Security Tecna Editrice, ottobre 2013- S. Gorla, La piramide della Privacy? , Safety & Security Tecna Editrice, marzo 2014

Per approfondimenti (d)

- S. Gorla, Privacy e Sicurezza dolce connubio, ICT Security Tecna Editrice, maggio 2014- S. Gorla, Il DPO questo sconosciuto, ICT Security e Safety&Security Tecna Editrice giugno 2014- S. Gorla, Cicala o Formica Privacy? ICT Security e Safety&Security Tecna Editrice, luglio/agosto 2014- S. Gorla, Privacy e Geolocalizzazione, Safety&Security Tecna Editrice, luglio/agosto 2014- S. Gorla et al, Mamma i Droni, Safety&Security Tecna Editrice, marzo 2015-S. Gorla, Conservazione e privacy: adeguarsi al nuovo regolamento europeo per evitare brutte sorprese, Agenda Digitale, ottobre 2015-S. Gorla, L’alba della cartella clinica elettronica con il decreto FSE Agenda Digitale, novembre 2015

Per approfondimenti (e)

GRAZIE per l’ATTENZIONE

Nel labirinto non ci si perde. Nel labirinto ci si trova.Nel labirinto non si incontra il Minotauro. Nel labirinto si incontra se stessi …”

H.Kern

Labirinto della Cattedrale di Chartres

Mauro Alovisio: mauro.alovisio@gmail.com

3333597588

Stefano Gorla stefano.gorla@seensolution.com

3357258973

Slide edite con licenze creative commons attribuzione non commerciale