Prospettive ed evoluzioni della normativa privacy a livello nazionale ed europeo Luigi Neirotti, avvocato Studio Legale Tributario EY 5 febbraio 2014 Agenda Il nuovo Regolamento Europeo (draft) Principi e nuove definizioni Soggetti e responsabilità Aspetti di sicurezza Assetti organizzativi: Data Privacy Officer Sanzioni, entrata in vigore e abrogazioni Page 2 Obiettivi e modalità di perseguimento ► Proposta di un nuovo quadro giuridico per la protezione dei dati personali nell’Unione europea dovuto a: ► “Incalzanti sviluppi tecnologici” ► Frammentazione nelle legislazioni nazionali e Differenze nella disciplina applicabile ► Sanzioni non adeguate e difficoltà nel garantire il rispetto delle norme e la tutela degli interessati Page 3 Nuovo Regolamento generale privacy (draft ) Obiettivi e modalità di perseguimento ► Strumento normativo adottato: ► 1995: Direttiva ► 2012: Proposta di Regolamento ► Differenze tra Direttiva e Regolamento (ai sensi dell’art. 288 del Trattato UE) Page 4 Nuovo Regolamento generale privacy (draft ) Quadro normativo attuale e futuro ► Efficacia atti normativi delle Comunità europee (art. 288 del Trattato UE) ► ► Page 5 Regolamento: (in generale self executing) direttamente esecutivo negli Stati membri (garantisce uniformità) Direttiva: (in generale non-self executing) richiede recepimento degli Stati membri (indica risultato da raggiungere, lascia agli Stati membri la scelta dei mezzi, garantisce compatibilità con la legislazione nazionale e un margine di flessibilità) Nuovo Regolamento generale privacy (draft ) Quadro normativo attuale e futuro Attuale ► Futuro Direttiva 95/46/CE (“privacy”) ► Codice Privacy (decreto legislativo 30 giugno 2003, n. 196 ► Allegato A – Codici di deontologia ► Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza ► Allegato C – Trattamenti non occasionali effettuati in ambito giudiziario o per fini di giustizia ► Autorizzazioni generali del Garante privacy ► Altre disposizioni nazionali di settore Page 6 ► ► ► ► ► ► Regolamento generale (“privacy”) Atti normativi delegati della Commissione in materia di trattamento dei dati Atti normativi delegati della Commissione in materia di sicurezza dei dati Atti normativi delegati alla Commissione … Autorizzazioni generali della Commissione o del Garante privacy in materia di lavoro o dati giudiziari Disposizioni nazionali di settore (es in materia di rapporti di lavoro) Nuovo Regolamento generale privacy (draft ) Page 7 Nuovo Regolamento generale privacy (draft) Principi e nuove definizioni (art. 1, 2 e 3) ► Regolamento generale privacy stabilisce: ► ► ► Si applica: ► ► Protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale Libera circolazione dei dati all’interno della UE Trattamenti automatizzati, parzialmente automatizzati o non automatizzati Esenzioni: ► ► ► ► Page 8 Sicurezza nazionale; Determinate attività dell’Unione e degli Stati Membri (sicurezza comune) Attività personali/domestiche (senza fine di lucro) Prevenzione, indagine, accertamento, perseguimento di reati Nuovo Regolamento generale privacy (draft ) Nuovi principi (art. 7) Consenso ► Regolamento richiede “Consenso esplicito”: ► superamento del requisito del consenso “inequivocabile” richiesto dalla Direttiva ► e del consenso “scritto” richiesto dal Codice Privacy per i dati sensibili ► Responsabile (Titolare) onere di provare il consenso per scopi specifici ► Consenso fornito nel contesto di una dichiarazione scritta deve essere separato e distinguibile NEW ► Page 9 Consenso non vale se, anche parzialmente, in violazione del Regolamento. Consenso limitato alla finalità specifica Nuovo Regolamento generale privacy (draft ) Nuovi principi (artt. 22 e 24) Accountability NEW ► Il Responsabile (Titolare) deve adottare appropriate policy interne e misure tecnico/organizzative dimostrabili idonee a garantire la conformità alla normativa Privacy e documentare la propria attività a protezione dei dati personali ► Il Responsabile (Titolare) deve adottare adeguate misure di sicurezza ► Incaricato (Responsabile) adotta misure di sicurezza richieste dal Regolamento anche se non contrattualizzate ► Incaricato (Responsabile) che agisce oltre la delega ricevuta dal Responsabile (Titolare) diventa Responsabile e risponde quale “corresponsabile” (art. 24 del Regolamento) Page 10 Nuovo Regolamento generale privacy (draft ) Nuovi principi (artt. 22 e 24) Accountability ► ► NEW Le Policy interne e misure tecnico/organizzative e le idonee a garantire la conformità alla normativa Privacy devono essere predisposte tenuto conto: ► dello stato dell’arte ► della natura dei trattamenti di dati personali ► del contesto ► dell’oggetto e della finalità di trattamento ► dei rischi per i diritti e le libertà degli interessati sia al tempo della decisione su mezzi e modalità di trattamento, sia al momento del trattamento stesso Page 11 Nuovo Regolamento generale privacy (draft ) Nuovi principi (artt. 23 e 33) Privacy Impact Assessment (PIA) ► NEW Valutazione dell'impatto sulla protezione dei dati personali a fronte delle operazioni di trattamento previste in determinati casi specifici: Page 12 ► valutazione sistematica e globale di aspetti della personalità dell’interessato per analisi o previsione di situazione economica, ubicazione, stato di salute, preferenze personali, affidabilità o comportamento, automatizzata ► trattamento informazioni concernenti vita sessuale, stato di salute, razza e origine etnica o destinate alla prestazione di servizi sanitari … ► Videosorveglianza su larga scala ► trattamento di dati personali in archivi su larga scala riguardanti minori, dati genetici o dati biometrici ► trattamenti che richiedono il cd. Prior Checking presso il Garante Nuovo Regolamento generale privacy (draft ) Nuovi principi (artt. 23 e 33) Privacy Impact Assessment (PIA) NEW ► Si tratta di un processo distinto dalla verifica di conformità alla normativa ed eventualmente preventivo al cd. Prior Checking ► Si concentra sull'identificazione degli impatti privacy in termini di descrizione del trattamento, valutazione dei rischi, individuazione delle misure di sicurezza e protezione e meccanismi che garantiscono la compliance privacy by default ► Si basa su: Page 13 ► stato dell’arte, ► attuali conoscenze tecnologiche ► best practices internazionali ► rischio rappresentato dal trattamento in questione Nuovo Regolamento generale privacy (draft ) Nuovi principi (art. 23) Privacy by design e by default NEW ► Controlli sulla Data Protection incorporati nei processi e nei sistemi informativi al fine di fornire garanzie supplementari per la protezione dei dati da errori umani ► Meccanismi per garantire trattamento conforme al regolamento privacy e finalità del trattamento inseriti al momento della progettazione del trattamento ► Meccanismi stabiliti in modo che di default procedano al trattamento solo dei dati necessari per ciascuna finalità specifica ► Tenuto conto dell’evoluzione tecnica, dei costi di attuazione e dei criteri precisati dalla Commissione (atti normativi delegati) ► Obbligatoria nelle gare pubbliche per Utility Page 14 Nuovo Regolamento generale privacy (draft ) Nuovi principi (art. 23) Risk Analysis ► NEW Responsabile (Titolare) e ove applicabile Incaricato (Responsabile) effettuano un’analisi del rischio sul potenziale impatto del trattamento di dati personali sui diritti e libertà degli interessati, al fine di verificare se presentino rischi: Page 15 ► trattamento dati di > 5000 interessati nei 12 mesi seguenti ► trattamento di dati sensibili, genetici, biometrici, giudiziari o di minori o dati di localizzazione o dati di lavoratori su larga scala ► trattamento di dati per scopo di cura o ricerca epidemiologica o ricerca su malattie mentali o malattie infettive, ove tali trattamenti sia determinati a stabilire interventi o decisioni riguardanti individui su larga scala Nuovo Regolamento generale privacy (draft ) Nuovi principi (art. 23) Risk Analysis (continua) Page 16 NEW ► monitoraggio automatico di aree accessibili al pubblico su larga scala ► trattamenti per i quali la consultazione del Data Privacy Officer o del Garante sia necessaria ► trattamenti ove una perdita di dati determinerebbe verosimilmente una violazione della protezione dei dati, dei diritti o dei legittimi interessi dell’interessato ► trattamenti che implicano il ricorso regolare e sistematico al monitoraggio degli interessati ► ove i dati personali siano accessibili ad un numero di persone che ragionevolmente ci si aspetti non sia limitato Nuovo Regolamento generale privacy (draft ) Page 17 Nuovo Regolamento generale privacy (draft) Soggetti e responsabilità (Artt. 22-29) Versione in inglese ► Controller (Direttiva: Data Controller) ► ► ► Versione in italiano ► Responsabile del trattamento (Codice privacy: Titolare) ► Incaricato del trattamento Processor (Codice privacy: (Direttiva: Data Processor) Responsabile trattamento) ► Responsabile della Data Privacy Officer NEW protezione dei dati Non viene fornita definizione di Responsabile della protezione dei dati Page 18 Nuovo Regolamento generale privacy (draft ) Incaricato del trattamento (artt. 26 e 27) Il Regolamento prevede: ► Esecuzione di trattamenti “su commissione”, ovvero per conto del Responsabile ► La necessità di un contratto che vincoli l’incaricato del trattamento L’incaricato: ► Agisce solo su istruzione del Responsabile ► Impiega soltanto personale vincolato alla riservatezza NEW ► Può ricorrere ad altro incaricato previa autorizzazione ► Istruisce chiunque agisce sotto la sua autorità in merito ai trattamenti possibili Page 19 Nuovo Regolamento generale privacy (draft ) Page 20 Nuovo Regolamento generale privacy (draft) Data Protection Officer (DPO) (artt. 35-37) Il Regolamento descrive: ► i criteri secondo i quali è obbligatorio istituire il DPO ► ► ► ► ► NEW Autorità o organismi pubblici Imprese che trattano dati > 5.000 interessati nei 12 mesi seguenti Attività principali del titolare o incaricato consistono in trattamenti che per natura, oggetto, finalità richiedono il controllo regolare e sistematico degli interessati trattamento di dati sensibili, genetici, biometrici, giudiziari o di minori o dati di localizzazione o dati di lavoratori su larga scala il profilo del Data Protection Officer, unitamente al ruolo, responsabilità e vincoli sul posizionamento organizzativo della struttura e garanzie di indipendenza e durata dell’incarico Page 21 Nuovo Regolamento generale privacy (draft ) Data Privacy Officer (DPO) (artt. 35-37) Caratteristiche ► Il DPO deve essere designato in base alle qualità professionali e, in particolare, alla conoscenza approfondita della normativa sulla protezione dei dati e delle relative best practices ► Il livello necessario di conoscenze specialistiche è determinato in base al trattamento di dati effettuato e al relativo livello di protezione dei dati richiesto ► La designazione non dovrà comportare incompatibilità o “conflitti di interesse” nei confronti di altri ruoli / compiti assegnati al DPO ► La designazione dovrà avere un periodo minimo di 4 anni (con possibilità di riconferma): in tale periodo il mandato può essere revocato solo al decadere delle condizioni necessarie all’esercizio delle funzioni di DPO Page 22 Nuovo Regolamento generale privacy (draft ) Data Privacy Officer (DPO) (artt. 35-37) Posizione ► Il Responsabile (Titolare) o l’Incaricato (Responsabile) del trattamento: Page 23 ► dovrà garantire l’appropriato e tempestivo coinvolgimento del DPO in tutte le questioni legate alla protezione dei dati personali ► dovrà assicurare l’indipendenza del DPO nell’esercizio del suo ruolo e dei suoi compiti. In tal senso il DPO dovrà rispondere direttamente al “Management” ► dovrà supportare il DPO fornendo quanto necessario per l’esercizio delle sue funzioni (personale, dispositivi o altre risorse necessarie) Nuovo Regolamento generale privacy (draft ) Data Privacy Officer (DPO) (artt. 35-37) ESEMPLIFICATIVO MISSION: La mission del Data Privacy Officer (DPO) è quella di essere un punto di riferimento in grado di indirizzare, impostare e monitorare le attività derivanti dai requisiti normativi legati alla Privacy, al fine di garantire il rispetto delle norme in vigore. Il DPO deve garantire l’efficacia delle soluzioni organizzative e tecnologiche adottate per ottemperare alla norma, nel rispetto dei criteri di efficienza e semplificazione delle attività operative connesse agli adempimenti Privacy. Data Protection Officer Page 24 PINCIPALI COMPITI: Informare il Titolare e i Responsabili del trattamento dei loro obblighi Monitorare il rispetto degli adempimenti Privacy Definire le misure di sicurezza da implementare Monitorare l’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati Fornire indicazioni su eventuali impatti Privacy relativamente a nuove iniziative da avviare Fornire risposte alle richieste del Garante Essere il punto di contatto per il Garante Nominare i Responsabili del trattamento Formalizzare gli incarichi interni (Incaricati, Amministratori di Sistema, Addetti Videosorveglianza) Provvedere all’informativa e al consenso per gli interessati (es. dipendenti, clienti, fornitori/collaboratori esterni) Redigere e aggiornare le normative/regolamenti interni, al fine di essere conforme a quanto previsto dalle norme Privacy in vigore Fornire risposte all’interessato Attuare iniziative di sensibilizzazione e comunicazione indirizzate alle diverse categorie di soggetti (Incaricati al trattamento, Amministratori di Sistema, Addetti Videosorveglianza) Nuovo Regolamento generale privacy (draft ) Page 25 Nuovo Regolamento generale privacy (draft) Misure di sicurezza (artt. 30-32) ► ► ► Misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato: ► in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere ed in relazione al PIA ► tenuto conto dell’evoluzione tecnica e dei costi di attuazione NEW In caso di violazione: ► Notificazione all’autorità di controllo (Garante privacy) ► (in determinati casi) comunicazione all’interessato NEW ► Documentazione dell’evento, delle circostanze, conseguenze e provvedimenti adottati per rimedio Inserito elenco di misure minime di sicurezza ► Validazione integrità, riservatezza, dei dati, integrità dei sistemi ► Sistemi di autenticazione … Page 26 Nuovo Regolamento generale privacy (draft ) Page 27 Nuovo Regolamento generale privacy (draft) Sanzioni (artt. 78 e 79) ► Gli Stati Membri possono stabilire sanzioni per le violazioni delle disposizioni del Regolamento ► Le Autorità di controllo hanno il potere di imporre sanzioni amministrative da determinarsi in base a criteri quali la gravità, la natura, la durata, l’intenzionalità o la negligenza correlate alla violazione in relazione alle fattispecie previste Page 28 Nuovo Regolamento generale privacy (draft ) Sanzioni (artt. 78 e 79) ► ► Sanzioni devono essere: efficaci, proporzionate e dissuasive Possono consistere in: ► ► ► ► ammonimento scritto in caso di prima violazione non intenzionale audit privacy regolari e periodici sanzione pecuniaria fino a 100 milioni di euro o per le imprese fino al 5% del fatturato mondiale annuo NEW In caso il Responsabile o Incaricato disponga di European Data Protection Seal, la sanzione consegue solo alla violazione intenzionale Page 29 Nuovo Regolamento generale privacy (draft ) Sanzioni (artt. 78 e 79) ► La commisurazione delle sanzioni dipende da: ► ► ► ► ► ► ► ► ► Page 30 NEW tipologia, gravità e durata della violazione natura dolosa o colposa della violazione livello di responsabilità e dai precedenti in materia di violazioni ripetitività o meno della violazione livello di cooperazione con le autorità al fine di rimediare o mitigare gli effetti negativi della violazione tipologia di dati trattati in violazione tipologia di danni anche non pecuniari generati azioni intraprese dal Responsabile o dall’Incaricato per mitigarne gli effetti sull’interessato lucro perseguito o ottenuto e/o dai danni evitati, direttamente o indirettamente, per via della violazione Nuovo Regolamento generale privacy (draft ) Sanzioni (artt. 78 e 79) ► La gravità delle sanzioni dipende da: ► procedure tecnico-organizzative e policies adottate quali: ► ► ► ► ► ► ► Page 31 Data Protection by Design or by Default Sicurezza nel trattamento Data Protection Impact Assessment Data Protection Compliace Review Nomina del Data Protection Officer NEW rifiuto di cooperare o dall’ostruzione alle ispezioni, audit o controlli effettuati da un’autorità garante altre cause aggravanti o attenuanti applicabili alle circostanze del caso Nuovo Regolamento generale privacy (draft ) Page 32 Nuovo Regolamento generale privacy (draft) Entrata in vigore e abrogazioni (artt. 88-91) Regolamento entra in vigore il 20° giorno dopo la pubblicazione nella Gazzetta Ufficiale della UE ► Si applica a decorrere da [due anni] dalla data di cui sopra ► Commissione ha delega per emettere atti normativi di esecuzione ► È stata oggetto di delibera del Committee on Civil Liberties, Justice and Home Affairs (Libe) il 21 ottobre 2013 ► E’ stata discussa nel Consiglio Europeo del 24 e 25 ottobre 2013 ► Il Parlamento europeo dovrà ora iniziare “negoziati” con i Paesi Membri … Page … ► 33 Nuovo Regolamento generale privacy (draft) ► Entrata in vigore e abrogazioni (artt. 88-91) ► Una volta in vigore, sono abrogati ► La direttiva 95/46/CE ► tutti i provvedimenti nazionali incompatibili ► salvo le materie escluse … o le riserve di legge … (es. in materia di rapporti di lavoro) Page 34 Nuovo Regolamento generale privacy (draft) Page 35 Nuovo Regolamento generale privacy (draft) ► ► ► ► ► Avv. Luigi Neirotti Studio Legale Tributario in association with Ernst & Young Via Wittgens 6, 20123 Milano Tel. 02.85141 [email protected] Page 36 Nuovo Regolamento generale privacy (draft)
© Copyright 2024 Paperzz