Smau Torino 2015 - Guglielmo Troiano

Il nuovo regolamento europeo sullaprivacy: stato dell’arte, temi chiave,ruoli, criticità ed opportunità

Avv. Guglielmo Troiano – Studio legale Array I contenuti di questa presentazione sono sottoposti a licenza CreativeCommons CC BY 4.0 e sono in parte rielaborazioni degli atti dellaCommunity for Security di Oracle Italia presentati al Security Summit diMilano il 18 marzo 2015

CHI VI PARLA

AGENDA

# verso un'approvazione del regolamento

# problematiche applicative

# soggetti

# alcuni principi di base del regolamento

# il data protection officer

# osservatorio permanente

ITER LEGISLATIVO ORDINARIO

http://www.europarl.europa.eu/external/html/legislativeprocedure/default_it.htm

ROADMAP - VERSO UNA APPROVAZIONE (?)

25 gennaio 2012 Commissione europea presentaproposta di regolamento alParlamento ed al Consiglio

TESTO UFFICIALE REPERIBILE ALLA URLhttp://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF


14 marzo 2014 Parlamento presenta al Consiglioun testo emendato

TESTO UFFICIALE REPERIBILE ALLA URLhttp://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//IT


4 dicembre 2014Consiglio apporta ulterioriemendamenti (al testo proposto edemendamento dal Parlamento)

TESTO UFFICIALE REPERIBILE ALLA URLhttp://data.consilium.europa.eu/doc/document/ST-16140-2014-INIT/it/pdf

“il Regolamento sarà approvato verosimilmente entro laprima metà del 2016”

Antonello Soro, Security Summit, Milano, 18 marzo 2015


AUTOSUFFICIENZA REGOLAMENTARE

Normalmente, i regolamenti sono direttamenteefficaci per gli Stati membri in una determinatamateria, senza necessità di trasposizioni nazionali

Ma una legge nazionale può integrarsi con ilregolamento affinché il suo contenuto sia suscettibiledi attuazione concreta …

E QUESTO CE LO DICE ANCHE IL REGOLAMENTO

LIMITAZIONI PER GLI INTERESSATI (?)

Art. 21 del Regolamento COM(2012)11

L’Unione o gli Stati membri possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti dell'interessato, qualora tale limitazione costituisca unamisura necessaria e proporzionata in una societàdemocratica …

Artt. 78 e 79 del Regolamento COM(2012)11

Gli Stati membri determinano le sanzioni perviolazione delle disposizioni del presente regolamento…

Ogni autorità di controllo è abilitata a imporresanzioni amministrative conformemente al presentearticolo

SANZIONI AMMINISTRATIVE (?)

SANZIONI PENALI (?)

Art. 5, c. 2, del TFUE

In virtù del principio di attribuzione, l'Unione agisceesclusivamente nei limiti delle competenze che le sonoattribuite dagli Stati membri nei trattati per realizzare gliobiettivi da questi stabiliti. Qualsiasi competenza nonattribuita all'Unione nei trattati appartiene agli Statimembri.

SANZIONI PENALI (?)

Il regolamento non potrà trovare attuazione concreta sullesanzioni penali, che l'UE non può fissare direttamenteper difetto di competenza.

Non vi sarà concreta uniformità e armonizzazione e si potràeventualmente valutare a quale giurisdizione sottostareperché più indulgente sulle pene.

VALIDITÀ PROVVEDIMENTI DEL GARANTE (?)

Considerando 134 del Regolamento COM(2012)11

Il presente regolamento dovrebbe abrogare la direttiva95/46/CE. Ciò nondimeno, è opportuno che rimangano invigore le decisioni della Commissione e le autorizzazionidelle autorità di controllo basate sulla direttiva 95/46/CE.

QUALI CERTEZZE?

Il Codice Privacy (D.lgs. 196/2003) sarà da considerareabrogato?

Si ma contiene anche norme che non decadranno, peresempio, quelle di attuazione della Direttiva 2002/58,relativa al trattamento dei dati personali e alla tutela dellavita privata nel settore delle comunicazioni elettroniche, oquelle della Direttiva 2009/136, relativa ai diritti degli utentiin materia di reti e di servizi di comunicazione elettronica.

QUALI CERTEZZE?

I provvedimenti (regolamentari ed autorizzativi) delGarante Privacy saranno da considerare decaduti?

No ma il Garante si dovrà esprimere (al più presto entrol'entrata in vigore del Regolamento) con una valutazione,specifica e concreta, per ogni singolo provvedimento, chene confermi la conformità al Regolamento o ne dichiaril'abrogazione.

I SOGGETTI

D.LGS. N. 196/2003 (ITA) TITOLARE – RESPONSABILE – INCARICATO – INTERESSATO

D.LGS. N. 196/2003 (ENG) CONTROLLER – PROCESSOR – IN CHARGE OF PROCESSING – DATASUBJECT

REGOLAMENTO (COM) 2012/11 (ITA)RESPONSABILE – NON PREVISTO – INCARICATO – INTERESSATO

REGOLAMENTO (COM) 2012/11 (ENG)CONTROLLER – NON PREVISTO – PROCESSOR – DATA SUBJECT

ALCUNI PRINCIPI (NUOVI) DEL REGOLAMENTO

PRIVACY BY DESIGN – PRIVACY BY DEFAULT IL RESPONSABILE (TITOLARE) DEVE

- adottare adeguate misure tecniche e organizzative al momentodella progettazione di nuovi prodotti o servizi, in linea con iprincipi di privacy by design e by default

- garantire che le impostazioni privacy di default sui servizi eprodotti rispettino i principi generali della protezione dei dati,quali la minimizzazione dei dati trattati e la limitazione dellefinalità


IERI - ORA

La conformità alla normativa è sempre stata ottenuta conl’applicazione di controlli tecnici e/o procedurali applicati ex-post su servizi/applicazioni

DOMANI (MA PERCHÈ NON ANCHE SUBITO?)

Occorrerà effettuare ex-ante privacy impact assessment erisk assessment, sia nella fase di progettazione di nuoviservizi/prodotti, sia durante l'intero ciclo di vita degli stessi.


CORRESPONSABILI (JOINT CONTROLLERS)

Se il responsabile del trattamento (il nostro TITOLARE)determina le finalità, le condizioni e i mezzi del trattamentodei dati personali insieme ad altri, i corresponsabili deltrattamento determinano, mediante accordi interni, lerispettive responsabilità in merito al rispetto degli obblighiderivanti dal regolamento, con particolare riguardo alleprocedure e ai meccanismi per l’esercizio dei dirittidell’interessato.

DATA PROTECTION OFFICER

Responsabile della sicurezzadei dati (at work)

Img credit Wikipedia


Cosa dice il Regolamento?# Quando è obbligatorio# Le funzioni# La posizione/collocazione nellastruttura in cui opera# Criteri di scelta

Cosa NON dice il Regolamento?# Che deve avere deirequisiti specifici(certificazioni)


OBBLIGATORIO NOMINARLO QUANDO

a) titolare è autorità pubblica o organismo pubblico … (OVVERO TUTTIGLI ENTI PUBBLICI?)

b) titolare è persona giuridica che tratta dati di oltre 5.000 interessati per12 mesi consecutivi … (IMPRESA UNIPERSONALE, DPO ESTERNO? SEPER 11 MESI, SI INTERROMPE E RICOMINCIA?)

c) l’attività principale di trattamento, per natura, oggetto o finalità richiede ilcontrollo regolare o sistematico degli interessati … (PROFILAZIONE?)

d) se i dati appartengono a categorie particolari ai sensi dell'articolo 9,paragrafo 1 (DATI SENSIBILI), nell'affitto di dati o riguardano dati su minorio dipendenti in archivi su larga scala.


NON E' VIETATO NOMINARLO

IN TUTTI GLI ALTRI CASI

“Nei casi diversi da quelli precedenti, il responsabile deltrattamento, l’incaricato del trattamento o le associazioni egli altri organismi rappresentanti le categorie di responsabilidel trattamento o di incaricati del trattamento possono designare un responsabile della protezione dei dati.”


DOCUMENTO NON UFFICIALE PUBBLICATO IL03.03.2015

Consolidated text of the Commission and CouncilDesignation of the data protection officer

1. The controller and or the processor may, or whererequired by Union or Member State law shall,designate a data protection officer.

NON PIU' OBBLIGATORIO!?


FUNZIONI 1/2

- Sensibilizzare, informare e consigliare in merito agli obblighi derivanti dalregolamento

- Sorvegliare l’attuazione e l’applicazione delle politiche del titolare

- Sorvegliare l’attuazione e l’applicazione del regolamento

- Garantire la conservazione della documentazione

- Controllare che le violazioni dei dati personali siano documentate, notificate ecommunicate

- Controllare che il titolare effettui la valutazione d’impatto sulla protezione deidati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casiprevisti


FUNZIONI 2/2

- Controllare che sia dato seguito alle richieste dell’autorità di controllo e,nell’ambito delle sue competenze, cooperare con l’autorità di controllo dipropria iniziativa o su sua richiesta;

- Fungere da punto di contatto per l’autorità di controllo per questioni connesseal trattamento e, se del caso, consultare l’autorità di controllo di propriainiziativa;

- Verificare la conformità con il presente regolamento ai sensi del meccanismodi consultazione preventiva di cui all'articolo 34;

- Informare i rappresentanti del personale in merito al trattamento dei dati cheriguardano i dipendenti.


POSIZIONE (COLLOCAZIONE ORGANICA)

a) coinvolto (O SOLO INFORMATO?) in tutte le questioni riguardanti laprotezione dei dati personali (QUESTIONI POTENZIALMENTE INFINITE)

b) indipendenza nell'adempimento dei compiti (SE DIPENDENTE DELTITOLARE, DAVVERO OPERA AUTONOMAMENTE?), non riceve alcunaistruzione (NEMMENO DAL TITOLARE?), riferisce direttamente ai superiorigerarchici esecutivi del titolare (E CE NE SONO?). Il titolare designa a tal fineun membro della direzione esecutivo (MEMBRO NEL CDA?)

c) sostenuto nell’esecuzione dei suoi compiti con tutti i mezzi e ogni altrarisorsa necessaria per adempiere alle sue funzioni e ai suoi compiti ...compresa la conoscenza professionale …


Deve essere scelto in base a- qualità professionali- conoscenza specialistica della normativa e dellepratiche in materia di protezione dei dati- capacità di adempiere ai compiti previsti

In particolare, il livello necessario di conoscenza specialistica èdeterminato in base al trattamento di dati effettuato e allaprotezione richiesta per i dati personali trattati

NON PUO' ESSERE CHIUNQUE


Articolo 77 del Regolamento COM(2012)11

Diritto al risarcimento e responsabilità

Chiunque subisca un danno cagionato da un trattamento illecitoo da altro atto incompatibile con il presente regolamento ha ildiritto di ottenere il risarcimento del danno dal responsabile deltrattamento (il nostro TITOLARE) o dall’incaricato deltrattamento.

CHI RISPONDE DEI DANNI?


Return on Security Investments Fascicolo Sanitario Elettronico Privacy nel Cloud Mobile e Privacy Sicurezza nel Social Media I Primi 100 giorni del Responsabile della

Sicurezza delle Informazioni Le Frodi nella Rete - Il duplice Ruolo

dell'ICT

http://www.oracle.com/it/technologies/security/partner-171975-ita.html

C4S.CLUSIT.IT

ORACLE COMMUNITY FOR SECURITY

OSSERVATORIO PERMANENTE SUL REGOLAMENTO

PROMOTORI

Presentazione al Security Summit di Roma

[email protected]

“Data is the pollution problem of theinformation age, and protecting privacy is

the environmental challenge.”

A PRESTO!

Smau Torino 2015 - Guglielmo Troiano

Technology

Transcript of Smau Torino 2015 - Guglielmo Troiano