Privacy: sfida da vincere per

crescere nel Digital Single

Market

Dr Marco Parretti

Consultant Colin & Partners

Lessico e significati

"trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

"dato personale", qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. (modificata dal d.l. 201/2011)

Le figure coinvolte

Titolare: persona fisica, giuridica, pubblica amministrazione e qualsiasi altro

ente, cui competono le decisioni in ordine alle finalità, modalità del trattamento dei

dati personali ed agli strumenti utilizzati ivi compreso il profilo della sicurezza

Responsabile: persona fisica o giuridica, pubblica amministrazione e qualsiasi

altro ente, associazione o organismo preposti dal titolare del trattamento di dati

personali

Incaricati: persone fisiche autorizzate a compiere operazioni di trattamento dal

titolare o dal responsabile

Interessato: la persona fisica, I cui dati personali sono oggetto di trattamento

Gli step

Rispetto dei principi (art. 11 del Codice Privacy)

Informativa (art. 13 del Codice Privacy)

Consenso (art. 23 del Codice Privacy)

Misure di sicurezza (art. 31 del Codice Privacy)

Regolamento europeo: tempi di attuazione

L’art 91 del Regolamento recita « Il presente regolamento etra in

vigore il ventesimo giorno successivo alla pubblicazione nella

Gazzetta ufficiale…», è dunque direttamente applicabile?

Si tenga conto del comma 2 del medesimo articolo «esso si

applica a decorrere da due anni dalla data di pubblicazione in

Gazzetta ufficiale…»

In pratica, le disposizioni sono in vigore ma non si applicano…

Ambito di applicazione territoriale

Il Regolamento si applica al trattamento effettuatonell’ambito delle attività di uno stabilimento di un Titolare o diun Responsabile nell’Unione, indipendentemente dal fattoche il trattamento sia effettuato o meno nell’Unione.

Il Regolamento si applica al trattamento dei dati personali diinteressati che si trovano nell’Unione effettuato da unTitolare o Responsabile non stabilito nell’Unione quando leattività di trattamento riguardano:

a) Offerta di beni o prestazione di servizi ai suddettiinteressati nell’Unione;

b) Il controllo del loro comportamento, ivi comprese leattività di profilazione.

Esempi di Rilascio delle informazioni e conseguenze sul fronte ICT

Quando il trattamento sia basato sul consenso, il Titolare deve essere in

grado di dimostrare che l’interessato ha espresso il proprio consenso al

trattamento dei propri dati personali.

L’interessato ha diritto di revocare il proprio consenso in qualsiasi

momento

Il Titolare adotta misure appropriate per fornire all’interessato i riscontri di

accesso in forma concisa, trasparente, intellegibile e facilmente

accessibile con linguaggio semplice e chiaro se del caso fornendole

anche in formato elettronico

Le informazioni all’interessato che ne faccia richiesta devono essere

riscontrate entro un mese con proroga massimo due mesi

Le informazioni possono essere fornite in combinazione con icone

standardizzate per dare un quadro d’insieme del trattamento e se

presentate elettronicamente devono essere leggibili a macchina

Data retention da inserire già nell’informazione iniziale

L’interessato ha il diritto di ricevere in formato strutturato, di uso comune e

leggibile a macchina i dati personali che lo riguardano forniti ad un Titolare del

trattamento e ha il diritto di trasmettere tali dati ad un altro Titolare del

trattamento senza impedimenti.

L’interessato ha diritto di ottenere la trasmissione diretta dei dati da un Titolare del trattamento all’altro se

tecnicamente fattibile.

Diritto alla portabilità

Misure di sicurezza

• Il Titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento.

• Quando proporzionato al trattamento, l’implementazione di policy relative alla tutela dei dati personali (procedure)

• La prova della compliancenormativa attraverso l’adozione e il rispetto di codici di condotta

Misure di sicurezza

• Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati.

• Pseudonimizzazione e cifratura dei dati

• Data recovery

• Procedura per provare, verificare e valutare efficacia delle misure tecniche ed organizzative

Misure di sicurezza

«Tenuto conto della tecnologia disponibile, dei costi di

attuazione, nonché della natura, dell'oggetto, del contesto e delle

finalità del trattamento, come anche della probabilità e della gravità

del rischio per i diritti e le libertà delle persone fisiche costituite dal

trattamento, i Titolari del trattamento, sin dal momento della

progettazione degli strumenti che trattano dati personali, nonché

durante il trattamento stesso, mettono in atto misure organizzative e

tecniche appropriate, come la pseudonimizzazione dei dati, che

mirano ad attuare i principi di protezione dei dati, come la

minimizzazione, in modo che il trattamento soddisfi i requisiti del

regolamento e tuteli i diritti degli interessati».

Tutela dati personali by design

Tenuto conto dello stato dell’arte e dei costi di attuazione,

nonché della natura, del campo di applicazione, del contesto

e delle finalità del trattamento, come anche dei rischi di varia

probabilità e gravità, sia al momento di determinare i mezzi

del trattamento sia all’atto del trattamento stesso, il Titolare

mette in atto misure tecniche ed organizzative adeguate quali

la pseudonimizzazione o la minimizzazione.

Il Titolare mette in atto misure tecniche ed

organizzative adeguate per garantire che

siano trattati di default, solo i dati personali

necessari per ogni specifica finalità del

trattamento; ciò vale per la quantità dei dati

raccolti, l’estensione del trattamento, il

periodo di conservazione e l’accessibilità.

Il registro delle attività di trattamento

Il Titolare deve conservare un Registro delle categorie di attività di trattamento deidati personali all’interno del quale deve indicare:

I propri riferimenti, quelli dei corresponsabile e del DPO, effettuate sottola propria responsabilità;

Le finalità del trattamento, le categorie di interessati e le tipologie di dati;

La comunicazione e diffusione, e i trasferimenti dei dati all’estero;

Policy di sicurezza e policy di data retention;

Tale attività è obbligatoria anche per i Responsabili, i quali pertanto dovranno essere anche impegnati contrattualmente dal Titolare ai fini dell’accountability.

Restano esclusi da tali obblighi i soggetti con meno di 250 dipendenti, a meno che, il trattamento non presenti rischi per gli interessati, non sia occasionale o riguardi speciali categorie di dati.

PIA – Privacy Impact Assessment

Obbligo di PIA quando il trattamento

Venga effettuato con nuove tecnologie;

Presenti un rischio per i

diritti e le libertà

fondamentali dell’interessa-

to;

Riguardi la profilazione;

Riguardi categorie

particolari di dati (es.

biometrci);

Riguardi la sorveglianza

di zone accessibili al

pubblico;

Altre ipotesi decise e

pubblicate dall’Autorità;

Sentito il DPO, il Titolare nella PIA deve tener conto degli impatti del trattamento suidiritti dell’interessato in un’ottica di adempimento agli obblighi del Regolamentoanche relativamente all’operato dei fornitori e dei sub-fornitori, tenuto conto deiPareri dei WP29.

La figura del DPO – Data Protection Officer

La designazione del DPO è necessaria quando:

• Il trattamento è effettuato da un Ente pubblico;

• Il trattamento si sostanzia in un controllo regolare e sistematico degli interessati, su larga scala;

• Il trattamento è relativo, su larga scala, al trattamento di dati sensibili, biometrici, etc.

Si tenga però conto del fatto che:

«il Titolare o il Responsabile possono o, se previsto dal diritto dell'Unione degli Stati membri, devono designare un DPO»

I compiti del DPO

Il DPO ha:

• Compiti d’informazione e consultivi, inmerito al Regolamento e sua applicazione;

• Compiti di sorveglianza di attuazione delRegolamento, delle policy del Titolare,nonché un ruolo nella formazione delpersonale;

• Compiti di cooperazione e collaborazionecon l’Autorità di controllo.

DPO in pratica

E’ dunque necessario il DPO?

Come si colloca la figura nel periodo di transizione?

Rimane comunque consigliabile procedere ad una nomina «preventiva», in ragione dei futuri obblighi e soprattutto degli adempimenti discendenti, in un’ottica di coordinamento interno.

Quando il Titolare non è solo

Contitolari: quando due o più Titolari determinano congiuntamente le finalità e le modalità del trattamento.

• Stipula di un accordo interno che, in modo trasparente,determini le reciproche responsabilità in meritoall’adempimento degli obblighi del Regolamento (es. eserciziodei diritti, obblighi informativi ecc);

• Gli interessati devono aver contezza dei tratti generalidell’accordo stipulato.

Le medesime considerazioni nei contratti per i servizi corporate.

Trattamenti su commissione

Il Titolare può ricorrere solo a Responsabili che assicurino misure tecniche edorganizzative idonee a soddisfare il rispetto del Regolamento.

L’esecuzione del trattamento su commissione deve essere disciplinato da uncontratto che contempli, la durata del trattamento, la sua natura e finalità, letipologie di dati e le categorie di interessati, i crismi di sicurezza e la relativaripartizione (PLA), l’obbligo per il responsabile di rispettare i principi delRegolamento, la cancellazione e la restituzione dei dati, il data breach, audit eaccountability a carico del Responsabile ecc..

In base alle decisioni assunte su finalità e modalità, c’è una valutazioneeffettiva della titolarità a prescindere da quanto formalizzato.

Se, quando e come è lecito l’operato del sub-fornitori:

Il Titolare abbia dato il consenso scritto, specifico o generico;

Il Responsabile deve aggiornare il Titolare del variare dei sub-fornitori, dando la possibilità al Titolare di obiettarvi;

Il fornitore deve obbligare contrattualmente il sub-fornitore aglistessi obblighi assunti con il Titolare.

N.B. Qualora il sub fornitore ometta di adempiere ai propri obblighi, sarà comunque il fornitore a mantenere l’intera

responsabilità dell’adempimento nei confronti del Titolare

L’operato dei sub-fornitori

Impianto sanzionatorio

Condizioni generali per

irrogare sanzioni

amministrative

Della natura gravità e durata della violazione, del numero degli interessati coinvolti

Dolo o colpa nella violazione

Misure di riparazione seguite alla violazione

Precedenti violazioni

Collaborazione con l’Autorità

Categorie di dati coinvolti

Adesione e rispetto dei codici di condotta

Obbligo generale di imporre sanzioni che siano efficaci (effettive), proporzionate e deterrenti.

Nella fase decisionale per l’imposizione del quantum e della sanzione stessa, si deve tener conto:

Impianto sanzionatorio

Sanzioni fin a 20.000.000 € o al 4% del fatturato mondiale, nel caso in cui siano violate:

Principi relativi al trattamento ed al consenso

Disposizioni relative ai diritti dell’interessato

Disposizioni in materia di trasferimento dati

Violazione di ordine di cessazione del trattamento

Si lascia agli stati membri il compito di disciplinare le regole e l’effettiva

applicazione delle sanzioni amministrative.

Responsabilità del Titolare/Responsabile

• Chiunque subisca un danno materiale o immateriale

cagionato da una violazione del presente regolamento ha

il diritto di ottenere il risarcimento del danno:

Il Titolare risponde per il danno cagionato dal

trattamento non conforme

Il Responsabile risponde solo se non ha adempiuto agli obblighi a

lui specificamente diretti o ha agito contrariamente alle

istruzioni

Domande

GRAZIE!Dr Marco Parretti

mparretti@consulentelegaleinformatico.it

Copyright

Il materiale didattico (ivi inclusi, ma non limitatamente, il testo,immagini, fotografie, grafica) è di proprietà esclusiva e riservatadella società Colin & Partners Srl, e protetto dalle leggi sulcopyright ed in generale dalle vigenti norme nazionali edinternazionali in materia. Il materiale fornito potrà essereriprodotto solo a scopo didattico per il presente corso od eventoed ogni altra riproduzione o utilizzo in toto o in parte è vietatasalvo esplicita autorizzazione per scritto e a priori da parte dellaColin & Partners Srl.

Le informazioni contenute nel presente materiale sono da ritenersiesatte esclusivamente alla data di svolgimento del corso / eventoe potranno essere soggette a variazioni, in base alle modifichelegislative intervenute, in relazione alle quali la Colin & Partners Srlnon si assume l’onere di inviare l’aggiornamento, salvodiversamente stabilito contrattualmente tra le parti.

Contatti

Colin & Partners S.r.l.Via Cividale, 51 – Montecatini Terme (PT) 51016

Tel. +39 0572 78166 | Fax +39 0572 294540Partita Iva e Codice Fiscale: 01651060475

Le nostre sedi: Montecatini Terme (PT), Milano

www.consulentelegaleinformatico.it

Per richieste progetti e preventivi: info@consulentelegaleinformatico.it

Per organizzare eventi e corsi di formazione: comunicazione@consulentelegaleinformatico.it