Regolamento privacy, come scegliere il DPO (Data Protection Officer)

Le prime indicazioni del Garante: necessarie competenze specifiche non attestati formali.

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.

Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali.

Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali.

Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD.

La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.

Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

Lavoro: le indicazioni dei Garanti privacy europei

Proteggere l’uso privato dei social network e le comunicazioni dei lavoratori, spazi riservati sul cloud.

• Possibili i controlli contro la fuga di dati o la compromissione dei sistemi ma senza spiare le comunicazioni dei dipendenti,
• eventuale consultazione dei social network  limitata ai soli profili professionali,
• offerta di spazi privati su computer aziendali e servizi cloud,
• necessità di ulteriori basi legali
  rispetto al consenso per trattare i dati personali dei lavoratori.

Sono queste alcune delle indicazioni date alle imprese dai Garanti europei della privacy riuniti nel Gruppo “Articolo 29” (WP29), al fine di sfruttare le potenzialità delle reti sociali e delle nuove tecnologie senza violare la privacy del lavoratori.

Il documento, che tiene conto sia della normativa vigente sia delle novità introdotte dal Regolamento UE 2016/679 che si applicherà a partire dal maggio 2018, definisce un quadro dei principi fondamentali ed esempi concreti per il corretto trattamento dei dati in ambito professionale.

I Garanti hanno ricordato che ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità.

Deve innanzi tutto essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto quando siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali.

Le Autorità per la privacy hanno poi rimarcato che aziende ed enti pubblici difficilmente potranno avvalersi del consenso dei dipendenti come base legale per poter procedere all’utilizzo dei loro dati.

Il consenso, infatti, per essere considerato valido, deve essere libero, diversamente da quanto accade nella realtà lavorativa dove c’è una forte disparità di potere tra datore di lavoro e dipendente.

Il datore di lavoro potrà quindi valutare, in alternativa, il ricorso a disposizioni normative o contrattuali, oppure far valere il proprio “legittimo interesse”: ad esempio, alla sicurezza e alla corretta allocazione delle risorse.

A questo proposito, i Garanti hanno ribadito che occorre bilanciare il legittimo interesse del datore di lavoro con i diritti e le libertà dei lavoratori alla luce dei principi di necessità e proporzionalità.

In particolare, ogni trattamento deve essere proporzionato alla finalità perseguita, e deve essere limitato quanto più possibile l’uso dei dati personali.

Gli strumenti di geolocalizzazione, ad esempio, possono essere utilizzati per finalità strettamente aziendali e al lavoratore deve essere lasciata la possibilità di disattivare, se necessario, il localizzatore (come i gps).

Si possono inoltre introdurre strumenti e tecnologie, come quelle per l’analisi del traffico, per ridurre i rischi di attacchi informatici e la diffusione di informazioni riservate, ma non si può spiare la posta dei dipendenti o la loro navigazione internet. Anche in questo caso devono essere privilegiate misure preventive, assolutamente trasparenti, che segnalino ad esempio ai dipendenti la violazione che potrebbero stare per commettere.

Anche l’eventuale consultazione o il monitoraggio dei social network devono essere limitati ai soli profili professionali, escludendo la vita privata di dipendenti o candidati all’assunzione. Vale sempre, infatti, il diritto fondamentale a non essere oggetto di discriminazione come quelle basate sulle idee politiche, l’impegno sociale o altri aspetti della sfera personale o familiare.

Proprio per favorire il corretto utilizzo degli strumenti e delle policy aziendali nel rispetto della privacy dei lavoratori, i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica – dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.

Nuovo Regolamento Ue sulla privacy: dal Garante la prima Guida applicativa

Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice:

• da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy;
• dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche:

1. Fondamenti di liceità del trattamento;
2. Informativa;
3. Diritti degli interessati;
4. Titolare, responsabile, incaricato del trattamento;
5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
6. Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

Parere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

• le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
• l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

La Commissione europea lancia lo scudo UE-USA per la privacy: più tutele per i flussi transatlantici di dati

Bruxelles, 12 luglio 2016

Oggi la Commissione europea ha adottato lo scudo UE-USA per la privacy.

Il nuovo regime tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e apporta chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di dati.

Lo scudo UE-USA per la privacy si fonda sui principi esposti qui di seguito.

• Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.

• Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.

• Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

• Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Dopo aver presentato il progetto di scudo a febbraio, la Commissione vi ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Prossime tappe:

• la “decisione di adeguatezza” sarà notificata oggi agli Stati membri, entrando così in vigore immediatamente.
• Gli Stati Uniti pubblicheranno lo scudo per la privacy nel Registro federale, che è l’equivalente della nostra Gazzetta ufficiale. Il Dipartimento del Commercio degli Stati Uniti darà avvio allo scudo.
• Una volta studiato il regime e aggiornate pratiche e politiche per conformarvisi, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1^o agosto.
• La Commissione pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

 

Per ulteriori informazioni

• Decisione di adeguatezza
• Allegati
• D&R
• Scheda informativa

 

 

Regolamento europeo in materia di protezione dei dati personali – Prima guida informativa

 

SCARICA LA GUIDA

L’INFOGRAFICA

25 maggio 2018: save the date

Pubblicato sulla Gazzetta Ufficiale Ue il nuovo Pacchetto protezione dati

Sono stati pubblicati oggi, mercoledì 4 maggio 2016, sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Si tratta del passaggio finale per l’entrata in vigore del nuovo “Pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.

Il Regolamento sarà vigente 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

La Direttiva, invece, sarà vigente da domani, 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni.

Data Protection, cosa cambia con il Regolamento Europeo

Fonte: PuntoInformatico

Di Avv. V. Frediani

La direttiva del 1995 non è più sufficiente a garantire diritti e stabilire doveri, in un presente in cui i dati personali sono sempre più preziosi ed ambiti

Via alle nuove regole sulla protezione dei dati: con il voto  del Parlamento Europeo dello scorso giovedì si inaugura una nuova era per la privacy, tagliando un ambizioso traguardo dopo quattro anni di lavoro tra gli Stati membri e tracciando un importante punto di partenza per un nuovo concetto di governance dei dati, dove la trasparenza e la tutela delle informazioni rappresentano i perni centrali.

Una manovra economica, oltre che una svolta legislativa, tesa a porre fine all’obsoleto mosaico di norme nazionali, incapaci di creare un comune fronte d’azione e un quadro di riferimento omogeneo.

Del resto era chiaro come il trattamento dei dati fosse diventato un tema troppo caldo per essere gestito dall’attuale Direttiva privacy, datata 1995, quando Internet era solo agli esordi. Le continue pressioni dei colossi industriali per ottenere informazioni sui consumatori e le esigenze di sicurezza di raccogliere quanti più dati possibili su eventuali sospetti di reati transnazionali o di terrorismo, scandite da accesi dibattiti e feroci battaglie politiche tra industria e Autorità Garanti, hanno reso più che mai necessario nel tempo un regolamento generale a misura di Società “digitale”, dove tutto viaggia su smartphone, social media e trasferimenti di dati da un capo del mondo all’altro.

Ma cosa comprende nello specifico il pacchetto di protezione dati?

• Diritto all’oblio,
• condizioni per un “consenso chiaro” per il trattamento dei dati privati dell’interessato,
• diritto di trasmettere i propri dati a un altro titolare del trattamento oltre che
• trasparenza in materia di data breach ovvero il diritto di essere informati di eventuali violazioni dei propri dati personali.

Un tema di particolare interesse, quest’ultimo, che dovrà costituire argomento di adeguata analisi da parte delle aziende, le quali dovranno essere in grado di monitorare gli eventi relativi alla violazione dei dati e notificare all’Autorità competente, entro 72 ore decorrenti dalla conoscibilità dell’evento, i dettagli del medesimo. Con il possibile obbligo a notificare anche agli interessati eventuali violazioni subite.

Si tratta di un aspetto sintomatico del principio di trasparenza nel trattamento dei dati che questo Regolamento evidenzia in vari punti. Molti diritti, quindi, per gli interessati, che per le aziende si traducono in obblighi ed evidentemente in costi. Ma non solo.

Con riferimento alle figure del titolare e responsabile, viene specificato che “tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il controller/processor del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Esse includono politiche adeguate in materia di protezione dei dati”. Quindi ampia discrezionalità circa la tipologia, ma, al tempo stesso, con l’onere di dimostrare il processo logico che ha portato ad adottarle, con tanto di politiche annesse.

Saranno obbligatori i cosiddetti privacy impact assessment (PIA) ovverosia una procedura interna che sintetizza in un documento i rischi sussistenti e le modalità per contenerli, sia dal punto di vista tecnico che di acquisizione dei dati in caso di conservazione o cancellazione. Sarà importante non solo la creazione del primo PIA, ma anche le successive modifiche che il trattamento potrà subire e che coinvolgeranno anche l’aspetto documentale.

Sul fronte della sicurezza occorre citare diversi concetti ricorrenti nel testo del Regolamento:

• la puntualizzazione di cosa si intenda per pseudonimizzazione,
• nonché cosa si intenda per minimizzazione (tecniche da applicarsi ai dati) piuttosto che
• il rimarcato concetto di data retention, ancora non abbastanza conosciuto dalle aziende italiane, ovvero l’obbligo di dotarsi di un piano di conservazione temporale dei dati con la possibilità di pianificare la cancellazione per trattamenti o database.

Sul fronte dei rapporti cliente-fornitore cambiano vari aspetti.

Innanzitutto si evidenzia nel Regolamento la necessità che in caso di sviluppo prodotto o servizi, siano ben chiare le responsabilità relative alla gestione dei dati piuttosto che alle soluzioni di privacy by design e by default.
Come ci indica il legislatore europeo, tenendo conto “della tecnologia disponibile, dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, i Controllers del trattamento, sin dal momento della progettazione degli strumenti che trattano dati personali, nonché durante il trattamento stesso, mettono in atto misure organizzative e tecniche appropriate, come la pseudonimizzazione dei dati, che mirano ad attuare i principi di protezione dei dati, come la minimizzazione, in modo che il trattamento soddisfi i requisiti del regolamento e tuteli i diritti degli interessati”.

Secondariamente il ruolo del Fornitore dovrà essere proattivo in caso di implementazioni che impattino lato privacy piuttosto che partecipativo in caso di PIA. Il tutto ovviamente dovrà essere gestito attraverso una contrattualistica preventiva, a livello almeno di data processing agreement.

Ricordiamo infine il concetto di accountability richiamato dal legislatore rispetto all’attuazione del Regolamento nelle aziende: sarà onere del controller dimostrare di aver correttamente rispettato quanto sancito dal Regolamento anche attraverso un vero e proprio modello organizzativo integrato rispetto ai vari processi aziendali affinché la privacy divenga materia propedeutica alle attività.

L’allineamento delle imprese rispetto al nuovo assetto che, ricordiamo, entrerà in vigore dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE e prevede due anni per l’adeguamento prima che le disposizioni siano applicabili in tutti gli Stati Membri, comporterà necessariamente una metamorfosi nel modus operandi, o perlomeno nella mentalità degli addetti ai lavori rispetto alla governance delle informazioni.

La svolta legislativa non deve di fatto rappresentare solo una disposizione alla quale conformarsi, ma deve essere colta come un’opportunità, una occasione di ripensamento dei processi interni nell’ottica di una razionalizzazione dei flussi informativi dell’azienda: interni, rispetto ai dipendenti, ed esterni rispetto ai fornitori.

Una presa di coscienza fondamentale, soprattutto a fronte degli aspetti sanzionatori previsti in caso di violazione delle disposizioni:

• fino a 20 milioni di euro o, per le imprese,
• fino al 4 per cento del fatturato mondiale totale annuo.