Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

Transcript

1 Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa Luca Saglione TLS Avvocati e Commercialisti Brescia, 16 marzo 2018 luca.saglione@pwc.com

2 Il nuovo Regolamento sulla Privacy Visione d insieme dei requisiti Perimetro La riforma coinvolge tutti gli Stati UE (sostituendo le singole legislazioni nazionali) e chiunque tratti dati di cittadini europei (a prescindere dalla localizzazione sede legale del titolare del trattamento) Responsabilità Viene disciplinato in modo più dettagliato il ruolo di responsabile del trattamento, il contenuto del contratto di nomina e le relative responsabilità, anche dirette nei confronti degli interessati Accountability Il principio introdotto dalla riforma prevede l adozione di misure tecniche ed organizzative «adeguate» a dimostrare la compliance con il Regolamento del trattamento dei dati effettuato Informative chiare Viene rafforzato l obbligo di fornire informative semplici e chiare al fine di permettere il controllo da parte degli interessati rispetto al trattamento dei propri dati personali Diritto all oblio La riforma introduce il diritto dell interessato ad ottenere dal titolare del trattamento la cancellazione dei dati personali al ricorrere di determinate specifiche ipotesi Perimetro Responsabilità Accountability Informative Data portability Viene introdotto il diritto alla portabilità del dato che permette all interessato di ricevere i propri dati su un formato strutturato e leggibile e/o di farli trasmettere da un titolare all altro Privacy by design & by default Il titolare deve implementare le misure a protezione dei dati già dal momento della progettazione di un prodotto o di un applicativo informatico di supporto (privacy by design) e mettere in atto opportune misure per garantire che siano trattati di default solo i dati personali necessari per ogni specifica finalità del trattamento (privacy by default) Sanzioni La riforma ha incrementato in modo molto significativo le sanzioni derivanti dall inosservanza delle disposizioni in tema di privacy, sino ad un massimo di o al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore Registri del trattamento Il regolamento introduce l obbligo per il titolare e il responsabile del trattamento di conservare, anche in formato elettronico, un registro dei trattamenti effettuati, contenente alcuni specifici dettagli 10 9 Data Protection Officer Viene introdotta la figura del Data Protection Officer (DPO) che ha i compiti di sorvegliare l osservanza delle disposizioni privacy, fornire consulenza e pareri e fungere da contatto con il Garante o gli interessati 8 Privacy Impact Assessment Viene introdotto l obbligo per ciascun titolare di svolgere, e di conseguenza documentare, una autovalutazione del rischio derivante dai trattamenti effettuati e, sulla base degli esiti delle analisi, di effettuare una consultazione preventiva con l Autorità garante Data breach notification Viene previsto che determinate violazioni di dati debbano essere segnalate sia al Garante che agli interessati senza ritardo e, in alcuni casi, entro 72 ore dalla violazione 2

3 Il «conto alla rovescia» verso il 25 maggio GAP Analysis & Assesment of the AS IS situation Short-term Implementation Assessment & Gap Analysis Medium term Setup Struttura organizzativa Review Long term DPO Informative e consensi Registro dei trattamenti Assessment su Sistemi Informativi e Sicurezza Informatica 3

4 I prossimi passi GAP Analysis & Assessment (1 di 4) IL RISCHIO INFORMATICO Nel contesto del GDPR Possibile verificarsi Con una certa probabilità! di eventi rilevanti che possono produrre impatti negativi sulla protezione dei dati personali 4

5 I prossimi passi GAP Analysis & Assessment (2 di 4) LA VALUTAZIONE DEL RISCHIO Nel contesto del GDPR Natura dell impatto Probabilità del verificarsi dell evento GRAVITA DEL RISCHIO Trattamento Elaborazione e trasmissione Buste Paga Tipo di rischio Modalità di condivisione Probabilità Basso Medio Alto Impatto tecnologico Basso Medio Alto Impatto di business Basso Medio Alto Livello di gravità Basso Medio Alto [ ] [ ] [ ] [ ] [ ] [ ] Titolari / Responsabili / Consulenti legali / Consulenti di processo e Consulenti IT Consulenti IT e Consulenti Security Titolari / Responsabili / Consulenti legali / Consulenti di processo 5

6 I prossimi passi GAP Analysis & Assessment (3 di 4) LA PIANIFICAZIONE DEI CONTROLLI Nel contesto del GDPR Lista delle possibili misure di sicurezza aggiuntive volte ad abbattere del RISCHIO livello di «probabilità e «impatto tecnologico» 6

7 I prossimi passi GAP Analysis & Assesment (4 di 4) Il CICLO di DEMING o Modello «Plan - Do - Check - Act» Analisi del rischio Definizione delle misure Plan Do Implementazione Miglioramenti in base ai risultati della fase di Check Act Check Monitoraggio Audit Incident management 7

8 I prossimi passi GAP Analysis & Assessment: Output (1 di 2) Documento di Gap analysis del disegno del sistema di controllo interno rispetto alle indicazioni contenute nel Nuovo Regolamento Privacy, inclusivo dei suggerimenti propedeutici alla definizione del Piano di Implementazione rispetto ai contenuti nel Nuovo Regolamento Privacy # Articolo Previsione normativa GAP Livello di gravità 1 Articolo 7 Condizioni per il consenso 2 Articolo 30 Registri delle attività di trattamento Ottenimento del consenso da parte dell interessato Consenso prestato in maniera chiara e precisa Capacità di revoca del consenso da parte dell interessato Creazione e mantenimento di un registro delle attività dei trattamenti dei dati personali. Non è esplicitato procedimento di raccolta del consenso da parte dell interessato Richieste di revoca gestite e trattata regolarmente Manca un formale Documento contente l elenco delle attività relative al trattamento dei dati 3 Articolo 33 Notifica di una violazione dei dati personali all autorità di controllo Definizione di un processo di notifica alle autorità in caso di violazione di dati personali. Assenza di un processo di gestione di eventuali data breach 4 [ ] [ ] [ ] 8

9 I prossimi passi GAP Analysis & Assessment: Output (2 di 2) Documento di roadmap con relativa priorità di risoluzione (che recepisce le linee guida di applicazione delle sanzioni emesso dal WP ex art. 29 gruppo dei Garanti Privacy Europei) Priorità Alta Priorità Media Priorità Bassa 9

10 I prossimi passi Setup della struttura organizzativa Privacy Incaricato del Trattamento: (ai sensi di quanto previsto dal Codice privacy) la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo - che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate e che, sotto l'autorità diretta del titolare o del responsabile, può effettuare le operazioni di trattamento dei dati. Non espressamente prevista dal Nuovo Regolamento Titolare del trattamento («data controller»): la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali Responsabile del trattamento («data processor»): la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento «Data Protection Officer» (DPO): nuova figura del responsabile della protezione dei dati (DPO), obbligatoria in presenza di determinati requisiti aziendali, che dovrà essere designato dal Titolare e dal Responsabile del trattamento. Il DPO può essere un dipendente del proponente o un soggetto esterno vincolato da un contratto di servizi, che sia (i) esperto nella protezione dei dati e (ii) idoneo a progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo con i sistemi di gestione aziendali, per curare l'adozione di misure minime di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge 10

11 Il responsabile della protezione dei dati DATA PROTECTION OFFICER Il titolare e il responsabile del trattamento sono tenuti a nominare un DPO se: a) il trattamento è effettuato da un autorità pubblica o da un organismo pubblico; b) il trattamento, per la sua natura, il suo scopo o le sue finalità, implica il regolare o sistematico monitoraggio degli interessati su larga scala; c) l attività del titolare ha prevalentemente ad oggetto il trattamento, su larga scala, di dati sensibili (i.e. relativi alla salute o alla vita sessuale, genetici, giudiziari, biometrici); Il DPO è incaricato delle seguenti funzioni: informare il Titolare o il Responsabile del Trattamento sugli adempimenti richiesti dalla normativa; verificare la conformità del trattamento con le disposizioni del Regolamento; fornire supporto per l impact assessment; cooperare con l Autorità di controllo. Il DPO dovrà avere le seguenti caratteristiche: essere designato in funzione delle sue qualità professionali (i.e. conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e della capacità di adempiere ai compiti di cui esso è responsabile); agire in totale indipendenza; avere accesso a risorse umane e finanziarie necessarie ad adempiere ai propri compiti; riportare direttamente ai superiori gerarchici del titolare o del responsabile del trattamento (i.e. il CEO). Un gruppo di imprese può nominare un unico responsabile della protezione dei dati purché questo sia facilmente raggiungibile da ciascuno stabilimento 11

12 Tenuta dei registri del trattamento TENUTA DEI REGISTRI DEL TRATTAMENTO Il Regolamento introduce l obbligo per titolare e responsabile del trattamento di registrare e conservare, anche su formato elettronico, la documentazione relativa ai trattamenti effettuati. Tale adempimento sostituisce la figura della notifica al Garante previsto dalla normativa italiana fino ad oggi in vigore. Devono tenere il registro i titolari ed i responsabili: a) che effettuano il trattamento nell ambito di imprese o organizzazioni con più di 250 dipendenti; b) che effettuano trattamenti che possano presentare rischi per i diritti e le libertà degli interessati; c) che effettuano trattamenti non occasionali di categorie particolari di dati (sensibili, biometrici, ecc.) PRINCIPIO DI ACCOUNTABILITY Il titolare del trattamento è tenuto a porre in essere misure tecniche ed organizzative idonee a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto previsto dal regolamento. 12

13 I prossimi passi (1 di 2) PRIVACY IMPACT ASSESSMENT Quando il trattamento, in particolare se effettuato per mezzo delle nuove tecnologie, per la sua natura, il suo oggetto, o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati Il trattamento non presenta un alto grado di rischi specifici Privacy Impact Assessment Descrizione generale del trattamento Assessment della necessità e proporzionalità del trattamento in relazione alle finalità Valutazione dei rischi e le misure previste per affrontarli (ISO31000, ISO27005:12, ecc) Le misure di sicurezza e i meccanismi per garantire la protezione dei dati (anonimizzazoine e psuedominizzazione)! Il trattamento presenta alto grado di rischi specifici Le autorità di controllo dovranno rendere pubblico un elenco delle tipologie di trattamento che richiedono un privacy impact assessment, nonché un elenco di trattamenti che, al contrario, non richiedono tale verifica. Al momento qualunque tipo di formulazione circa i trattamenti che potrebbero ricadere nell ambito di applicazione è prematura. Il responsabile prima di procedere al trattamento consulta l autorità di controllo, la quale deve pronunciarsi entro un termine predeterminato. 13

14 I prossimi passi (2 di 2) ASSESSMENT MISURE DI SICUREZZA Punto di attenzione: le «Misure di sicurezza» non sono definite Articolo 32 : «Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento». 14

15 Principi fondamentali in materia di protezione dei dati (D. Lgs. n. 196/03 e GDPR) Principio di liceità Principio di finalità Principio di pertinenza, adeguatezza e non eccedenza Principio di esattezza Principio di correttezza Principio si responsabilità 15

16 Punti di attenzione Art. 4 Statuto Lavoratori (come modificato da D.Lgs. n. 151/15 Solo Lavoratori dipendenti Possibilità di controllo a distanza dell attività dei lavoratori per esigenze: di tutela del patrimonio aziendale organizzative e produttive di sicurezza del lavoro Controlli non finalizzati a verificare l esatto adempimento delle obbligazioni scaturenti dal rapporto di lavoro. Utilizzabilità delle informazioni ricavabili dagli strumenti utilizzati per rendere la prestazione lavorativa «a tutti i fini connessi al rapporto di lavoro», previa adeguata informativa ai dipendenti sulle modalità di utilizzo di tali informazioni. Lavoratori autonomi Possibilità di controllo dei collaboratori e/o lavoratori autonomi nel rispetto dei soli limiti di garanzia imposti dal D. Lgs. n. 196/03. Provvedimento Garante Privacy n. 136/15: in merito alla liceità dei controlli riferiti a comunicazioni tramite account di posta aziendali, i principi di necessità, correttezza, pertinenza e non eccedenza «risultano applicabili anche con riferimento a relazioni professionali che, pur non caratterizzate da una relazione di dipendenza, attribuiscono comunque al titolare del trattamento un ampio potere organizzativo, sia interno che esterno, elemento da ritenersi sussistente anche nel caso di specie, sulla base della regolamentazione interna costituita nel disciplinare». 16

17 Il 25 maggio 2018 è alle porte, siete pronti? Grazie! Avv.to Luca Saglione - TLS Avvocati e Commercialisti Mobile: luca.saglione@pwc.com 17