IL#NUOVO#REGOLAMENTO# … · •Panoramicadel GDPR •Lasicurezza nel GDPR NLavalutazione...
Transcript of IL#NUOVO#REGOLAMENTO# … · •Panoramicadel GDPR •Lasicurezza nel GDPR NLavalutazione...
IL NUOVO REGOLAMENTO EUROPEO IN TEMA DI PRIVACY:
ASPETTI PRATICI DI ADEMPIMENTO
• Professore Aggregato di Informatica Giuridica Avanzata presso l’Università degli Studi di Milano.• Coordinatore del Corso di perfezionamento in Computer forensics e Data protection.• Avvocato iscritto al Consiglio dell’Ordine di Milano• Partner dello Studio Legale Associato MPSLAW specializzato in diritto IT• Dottore di ricerca in Informatica giuridica e Diritto dell’informatica• Ex Fellow dello Stanford Center for Internet and Society presso la Stanford Law School• Ex Visiting Associate dell’Information Society Project presso la Yale Law School• Ex Visiting Researcher presso il Dipartimento Legal and Corporate Affairs di Microsoft in Redmond
ABOUT ME
AGENDA
• Panoramica del GDPR• La sicurezza nel GDPR
-‐ La valutazione d’impatto-‐ La gestione del “rischio digitale”-‐ Il privacy officer (responsabile della protezione deidati)
•Una possibile best practice per la transizione dalla vecchia allanuova normativa
IL LENTO CAMMINO DEL GDPR
• 25 GENNAIO 2012: La Commissione UE presenta una proposta di Regolamento Generalesulla protezione dei dati personali che andrà a sostituire la Direttiva 95/46/CE e adarmonizzare la normativa sul trattamento dei dati personali dei singoli Stati membri• Fra il 2013 e il 2015 si susseguono lemodifiche prima da parte del Parlamento Europeo edel Consiglio e poi si avviano i negoziati alla ricerca di un accordo• 15 DICEMBRE 2015: si raggiunge un compromesso tra il Parlamento Europeo e ilConsiglio ed inizia il cosiddetto “trilogo”• 17 DICEMBRE 2015: La Commissione LIBE del Parlamento Europeo si dichiara disponibilead approvare il testo del compromesso senza proprorre emendamenti, salvo unarevisione linguistica• 6 APRILE 2016: c’è un improvvisa accelerazione e viene licenziata una nuova versione deltesto che viene immediatamente sottoposta al Consiglio, alla Commissione LIBE e alParlamento Europeo• 14 APRILE 2016: viene approvato il nuovoGDPR• Entrata in vigore del Regolamento: 15 giorni dopo la pubblicazione in GUCE• Efficacia del Regolamento: 2 anni dopo l’entrata in vigore.
VANTAGGI DEL GDPR PER LE AZIENDE
• Armonizzazione della normativa in ambito UE
• Creazione del meccanismo “one-‐stop-‐shop”, per cui un’AutoritàGarante potrà gestire un procedimento anche qualora l’aziendaoperi in diversi Paesi
• Vengono aboliti alcuni adempimenti burocratici come, adesempio, la notificazione
• Viene ribadito il parametro dei “costi di attuazione” in meritoalla sicurezza dei dati
ESCLUSIONI
• Alcuni ambiti sono espressamente esclusi dall’azione del GDPR,tra cui in particolare:• Trattamento di dati personali effettuato dagli Stati membrinell’esercizio di attività relative alla politica estera e di sicurezzacomune dell’UE• Trattamento di dati personali da parte delle Autoritàcompetenti a fini di prevenzione, indagine, accertamento eperseguimento di reati o esecuzione di sanzioni penali, inclusela salvaguardia contro e la prevenzione di minacce alla sicurezzapubblica• Trattamento di dati per attività a carattere esclusivamentepersonale o domestico e quindi senza una connessione conun’attività commerciale o professionale
INTEGRAZIONI
• Altri ambiti, invece, saranno oggetto di specificheregolamentazioni da parte dei legislatori nazionali quali:• Trattamento di dati sensibili• Trattamento dei dati delle persone decedute• Trattamento di dati personali per scopi giornalistici o diespressione del pensiero• Poteri del Garante di intentare un’azione o agire in sedegiudiziale in caso di violazione del GDPR
TRANSIZIONE
•Nei due anni prima dell’efficacia del Regolamento, si avrannodiversi interventi di armonizzazione, che riguarderanno inparticolare:• i Provvedimenti emanati dall’Autorità Garante, quantomenoper le materie non disciplinate dal Regolamento• la normativa di dettaglio su singoli aspetti del trattamento didati personali (ad es. le sanzioni penali connesse altrattamento, il trattamento dei dati personali dei dipendenti nelrapporto di lavoro, le norme sul trattamento di dati personalida parte di categorie soggette al segreto professionale)
COMPITI DELLA COMMISSIONE UE
• Sempre nei prossimi anni, la Commissione UE dovrà emanaredelle norme in ordine a:• Privacy icons per le informative semplificate• Clausole contrattuali standard per il subappalto nel trattamentodei dati personali•Meccanismi di certificazione della protezione dei dati• Procedura per la mutua assistenza tra le Autorità Garantieuropee e tra Autorità Garanti e Comitato europeo per laprotezione dei dati
CHE FARE NEL FRATTEMPO?
• “Durante la fase di transizione, nel corso della quale mi auguroche il parlamento non attenda l’ultimo momento utile peradottare la relativa normativa di adeguamento, è necessarioche le aziende, ma anche le pubbliche amministrazioni, inizino aripensare i processi di trattamento dei dati alla luce delle nuoverealtà (valutazioni di impatto, sistemi di certificazione e dinotificazione delle violazioni) nonché a dotarsi, quandonecessario, di un privacy officer”.
Antonello Soro(intervista a Italia Oggi del 7 marzo 2016)
SICUREZZA DEI DATI
• Art. 32 del GDPR• Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché dellanatura, dell'oggetto, del contesto e delle finalità del trattamento, come anchedel rischio di varia probabilità e gravità per i diritti e le libertà delle personefisiche, il titolare del trattamento e il responsabile del trattamento mettono inatto misure tecniche e organizzative adeguate per garantire un livello di sicurezzaadeguato al rischio, che comprendono, tra le altre, se del caso:• la pseudonimizzazione e la cifratura dei dati personali;• la capacità di assicurare su base permanente la riservatezza, l'integrità, ladisponibilità e la resilienza dei sistemi e dei servizi di trattamento;• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei datipersonali in caso di incidente fisico o tecnico;• una procedura per testare, verificare e valutare regolarmente l'efficacia dellemisure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
PSEUDONIMIZZARE
• La “pseudonimizzazione” viene definita come• il trattamento dei dati personali in modo tale che i datipersonali non possano più essere attribuiti a un interessatospecifico senza l'utilizzo di informazioni aggiuntive, a condizioneche tali informazioni aggiuntive siano conservateseparatamente e soggette a misure tecniche e organizzativeintese a garantire che tali dati personali non siano attribuiti auna persona fisica identificata o identificabile (art. 4 del GDPR)
PROGETTARE
• L’obbligo di assicurare su base permanente i requisiti diintegrità, riservatezza, disponibilità e resilienza comporta che èdiventato indispensabile progettare un sistema di sicurezza chetenga conto dei parametri indicati dal legislatore (statodell’arte, costi di attuazione, natura, oggetto, contesto, finalitàdel trattamento e rischio per i diritti e le libertà delle personefisiche)
RIPRISTINARE
•Diventa indispensabile avere dei piani di recovery che possanoconsentire il tempestivo ripristino della disponibilità eaccessibilità ai dati
VERIFICARE
• Il GDPR sollecita anche l’adozione di procedure di audit inquanto utili a testare, verificare e valutare regolarmentel’efficacia delle misure tecniche e organizzative adoperate.
“RISCHIO DIGITALE”
• La centralità del concetto di risk management è ribadita piùvolte nel GDPR.•Nel valutare l'adeguato livello di sicurezza, si tiene conto inspecial modo dei rischi presentati dal trattamento che derivanoin particolare dalla distruzione, dalla perdita, dalla modifica,dalla divulgazione non autorizzata o dall'accesso, in modoaccidentale o illegale, a dati personali trasmessi, conservati ocomunque trattati. (art. 32, secondo comma del GDPR)
PRIVACY IMPACT ASSESSMENT
• Art. 35 del GDPR•Quando un tipo di trattamento, allorché prevede in particolarel'uso di nuove tecnologie, considerati la natura, l'oggetto, ilcontesto e le finalità del trattamento, può presentare un rischioelevato per i diritti e le libertà delle persone fisiche, il titolaredel trattamento effettua, prima di procedere al trattamento,una valutazione dell'impatto dei trattamenti previsti sullaprotezione dei dati personali. Una singola valutazione puòesaminare un insieme di trattamenti simili che presentano rischielevati analoghi.
CONTENUTO MINIMO
• Art. 35 comma 7 del GDPR• una descrizione sistematica dei trattamenti previsti e dellefinalità del trattamento, compreso, se del caso, l'interesselegittimoperseguito dal titolare del trattamento;• una valutazione della necessità e proporzionalità deitrattamenti in relazione alle finalità;• una valutazione dei rischi per i diritti e le libertà degli interessatidi cui al paragrafo 1; e• le misure previste per affrontare i rischi, includendo le garanzie,le misure di sicurezza e i meccanismi per garantire la protezionedei dati personali e dimostrare la conformità al presenteregolamento, tenuto conto dei diritti e degli interessi legittimidegli interessati e delle altre persone in questione.
INFOGRAFICA
• Uno degli inevitabili effetti della convergenza è la costituzione digrandi basi di dati (big data) che comportano una pericolosaesposizione di informazioni riservate, ivi compresi dati personali.
• Quando queste violazioni interessano un numero massiccio direcord, si ha il cosiddetto data breach.
DATA BREACHES E SICUREZZA INFORMATICA
IL PIANO ISPETTIVO DEL GARANTE PER IL 2016
• Essa viene definita come “la violazione di sicurezza che comportaaccidentalmente o in modo illecito la distruzione, la perdita, lamodifica, la divulgazione non autorizzata o l’accesso ai datipersonali trasmessi, conservati o comunque trattati” (art. 4 GDPR)
LA “VIOLAZIONE DEI DATI PERSONALI”
• Il rischio digitale è quella categoria di rischio correlata all’uso,sviluppo e gestione dell’ambiente digitale in qualsiasi attività;
• Questo rischio può derivare dalla combinazione di minacce e divulnerabilità dell’ambiente digitale;
• Può minare il raggiungimento di obiettivi d’interesse pubblico oprivato interrompendo la confidenzialità, integrità e disponibilitàdelle attività o dell’ambiente digitale nella sua interezza;
• È un rischio dinamico per sua stessa natura, che coinvolge ilcontesto sia fisico sia virtuale, le persone coinvolte nelle attività e iprocessi organizzativi che supportano queste ultime.
IL CONCETTO DI “RISCHIO DIGITALE”
•Nella sua Raccomandazione del 2015 DigitalSecurity Risk Management for Economic andSocial Prosperity, l’OECD sposta totalmentel’attenzione dai Principi del 2002 sullasicurezza informatica, dove per “sicurezza” siintendeva la sicurezza dei sistemi e delle reti dicomunicazione, a una visione di “sicurezza”come protezione delle attività pubbliche eprivate dipendenti da un ambiente digitale.
CENTRALITA’ DEL “RISCHIO DIGITALE”
•Interruzione delle attività lavorative (DoS osabotaggio);
•Perdite economiche e finanziarie dirette (causelegali, crisi reputazionali o perdita di competività);
•Perdita di fiducia tra i clienti, dipendenti einvestitori;
•Danni fisici, inclusi danni ai propri dipendenti oclienti (es. fabbriche, aziende di trasporti,ospedali).
CONSEGUENZE DELL’ ERRATA GESTIONE DEL “RISCHIO DIGITALE”
•Essa consiste in un insieme di azioni coordinateprese all’interno di un’organizzazione o traorganizzazioni per affrontare i rischi digitalimassimizzandone le opportunità;
•Si basa su un insieme olistico, sistematico eflessibile di processi ciclici che sono trasparenti edichiarati;
•Questo insieme di processi aiuta ad assicurare chele misure di sicurezza siano appropriate ecommisurate con il rischio e con gli obiettivid’interesse pubblico e privato.
LA GESTIONE DEL “RISCHIO DIGITALE”
•L’OECD denuncia come il contenimento del rischiodigitale sia stato finora affrontato solo da un puntodi vista tecnico, isolandolo dalla generalegovernance aziendale;
•Si suggerisce, invece, di seguire un approccio piùcompleto declinato in:
•Tecnico•Legale•Sicurezza nazionale•Prosperità del settore pubblico e privato
UN NUOVO APPROCCIO
IL CICLO DI GESTIONE DEL RISCHIO DIGITALE
•Art. 7 comma 3 D.Lgs. 231/01
•“Il modello prevede, in relazione alla natura ealla dimensione dell’organizzazione nonché altipo di attività svolta, misure idonee agarantire lo svolgimento dell’attività nelrispetto della legge e a scoprire ed eliminaretempestivamente situazioni di rischio”.
ESPERIENZE PREGRESSE
• Il privacy officer è quel professionista, interno o esterno a unadeterminata struttura, che ha il compito di sovrintendere a tutti iprocessi che riguardano il trattamento dei dati personali compiutiall’interno della stessa, intervenendo in piena indipendenza eautonomia qualora individui problemi che potrebbero comportareun trattamento dei dati che presenti rischi di distruzione o perdita,anche accidentale, dei dati stessi, di accesso non autorizzato o ditrattamento non consentito o non conforme alle finalità dellaraccolta.
IL PRIVACY OFFICER
• Professionista -‐> perché si possa parlare di Privacy Officer bisognafar riferimento a figure professionali, al pari dell’amministratore disistema.
• Interno o esterno -‐> il Privacy Officer può essere sia un soggettointerno sia un soggetto esterno alla struttura.
• Sovrintendere -‐> il Privacy Officer deve possedere competenzetrasversali ai vari campi del sapere interessati dalle norme sullaprivacy, prime fra tutte il diritto e l’informatica.
• Intervenendo in piena indipendenza e autonomia -‐> il PrivacyOfficer non può essere solo un “parafulmine” ma deve avere siaautonomia di azione sia, in certa misura, patrimoniale.
ASPETTI RILEVANTI
A seconda del contesto di riferimento potremo distinguere:-‐ DPO (Data Protection Officer)-‐ CPO (Chief Privacy Officer)-‐ PO (Privacy Officer)-‐ [ITA] Responsabile della protezione dei dati
ACRONIMI
• L’articolo 37 comma 5 stabilisce che• “Il responsabile della protezione dei dati è designato infunzione delle qualità professionali, in particolare dellaconoscenza specialistica della normativa e delle prassi inmateria di protezione dei dati, e della capacità di assolvere icompiti di cui all’art. 39”
IL PRIVACY OFFICER NEL GDPR
• Provvedimenti del Garante• Normative di settore• Regolamenti di settore• Adempimenti documentali• Trattamenti di dati sensibili• Trattamenti di dati per finalità di marketing• Trattamenti di dati dei lavoratori• Best practice in materia di privacy• Certificazioni aziendali (ISO 9001 ad es.)• Altre normative che investono l’attività privata o pubblica nella suainterezza (D.Lgs. 231/01 o circolari ministeriali ad es.)
CONOSCENZA SPECIALISTICA
• Il privacy officer deve essere designato quando• il trattamento è effettuato da un'autorità pubblica o da unorganismo pubblico, eccettuate le autorità giurisdizionali quandoesercitano le loro funzioni giurisdizionali;
• le attività principali del titolare del trattamento o del responsabiledel trattamento consistono in trattamenti che, per loro natura,ambito di applicazione e/o finalità, richiedono il monitoraggioregolare e sistematico degli interessati su larga scala; oppure
• le attività principali del titolare del trattamento o del responsabiledel trattamento consistono nel trattamento, su larga scala, dicategorie particolari di dati personali di cui all'articolo 9 o di datirelativi a condanne penali e a reati di cui all'articolo 10.
OBBLIGATORIO O FACOLTATIVO?
Se la visione olistica di una politica di sicurezza devetenere conto dei vincoli tecnici, logistici,amministrativi, giuridici ed economici imposti dallastruttura ove opera il sistema informativo, ènecessario individuare una metodologia diprogettazione, realizzazione e manutenzione dellasicurezza che, facendo leva su una corretta policy,metta in atto un piano per la sicurezza efficace.
VERSO UNA “CULTURA DELLA SICUREZZA”
• Una politica di gestione del rischio digitale èfondamentale non solo in termini di compliancenormativa, ma anche per parametrarecorrettamente gli investimenti tenuto conto delleproprie reali necessità.
• I professionisti che potranno coadiuvare le aziendenella definizione delle politiche di gestione delrischio dovranno avere competenze molteplici, chetengano conto soprattutto dei vincoli imposti dallanormativa e delle possibili ricadute su altri settoridell’organizzazione aziendale.
IL RISK ASSESSMENT
UNA POSSIBILE BEST PRACTICE PER LA TRANSIZIONE DALLA VECCHIA
ALLA NUOVA NORMATIVA
• Informarsi e discutere sui cambiamenti fondamentali contenuti nelGDPR che possono interessare la vostra azienda e studiare insiemeal management le azioni da intraprendere, senza lasciar trascorrerepassivamente i due anni di sospensione dell’efficacia del GDPR eaffrettarsi in prossimità della scadenza
CONSAPEVOLEZZA
• Analizzare il tipo di dati trattati nella propria struttura,anche in previsione della tenuta del registro deitrattamenti prescritto dal GDPR (art. 30).Eventualmente condurre un’azione di audit che verifichianche lo scambio di dati all’esterno della propriaazienda e i Paesi verso i quali i dati vengonoeventualmente scambiati
SCREENING
•Tutta la documentazione, in particolare leinformative e i consensi adoperati almomento, devono essere revisionati al fine diverificare la conformità al GDPR
REVISIONE DELLA DOCUMENTAZIONE
• Controllare le procedure adottata pergarantire il rispetto dei diritti dell’interessato eadeguarla a quanto prescritto dall’art. 12 delGDPR, anche al fine di evitare la sanzionemaggiorata (20.000.000 Eur o fino al 4% delfatturato mondiale totale annuo se superiore)
DIRITTI DELL’INTERESSATO
•Verificare sulla base di quali presupposti legalivengono compiuti alcuni trattamenti, al fine digestire meglio le richieste provenienti dagliinteressati. Se, infatti, il trattamento è basato sulsolo consenso dell’interessato, questi avrà maggioreforza nel richiedere la cancellazione o altreoperazioni sul suo dato, cosa che invece non avvienenel caso in cui un trattamento sia prescritto dallalegge.
VERIFICA DEI PRESUPPOSTI LEGALI PER I TRATTAMENTI
•Grande protezione è accordata dal GDPR aidati personali dei minorenni e alla raccolta delconsenso (art. 8). Nel caso in cui la vostraazienda tratti anche questo tipo di dati occorreverificare le finalità e modalità mediante lequali questi dati vengono trattati e laconformità a quanto prescritto dal GDPR.
MINORENNI
•Dotarsi di una procedura per identificare,denunciare e investigare su eventuali violazionidi dati personali che riguardino i dati degliinteressati trattati dalla propria azienda.
DATA BREACHES
•Dotarsi di una procedura di valutazionedell’impatto dei trattamenti che abbia ilcontenuto minimo previsto dal GDPR.
PRIVACY IMPACT ASSESSMENT
•Verificare se sia necessario dotarsi di uno o piùresponsabili della protezione dei datiscegliendolo consapevolmente in base alle suecaratteristiche professionali e garantendogli ilmargine d’azione riconosciutogli dal GDPR.
DATA PROTECTION OFFICER
•Verificare la legittimità degli eventuali flussitransfrontalieri di dati personali, soprattuttonel caso in cui vadano in Paesi extra-‐UE.
FLUSSI TRANSFRONTALIERI DI DATI
•Nel caso in cui la propria azienda tratti datipersonali in diversi Stati membri, sceglierel’Autorità Garante di riferimento per qualsiasieventuale controversia sulla base del principiodel “one-‐stop-‐shop”.
AUTORITA’ GARANTE
STUDIO LEGALE MPSLAW
MILANOVia Larga, 6 20122 MilanoTel. 02.89926248
BOLOGNAVia dell’Indipendenza, 36 40121 BolognaTel. 051.4878043
GRAZIE DELL’ATTENZIONE!
Avv. Pierluigi Perri
email: [email protected]