I processi di innovazione e trasformazione digitale e il GDPR

Transcript

1 I processi di innovazione e trasformazione digitale e il GDPR Roma, 12 luglio 2017 EUROPRIVACY.INFO Sergio Fumagalli, Clusit, Europrivacy, P4I

2 L INNOVAZIONE E I DATI PERSONALI Tra le prime 10 società al mondo per capitalizzazione 6 hanno nel core business l innovazione digitale e la valorizzazione dei dati personali.

3 Titolare L INNOVAZIONE E I DATI PERSONALI E difficile trovare un progetto di innovazione digitale che non richieda la raccolta o la valorizzazione di dati personali: l economia digitale si basa sulla capacità di erogare servizi personalizzati di massa Hybrid Cloud, IoT Profilazione, geoloc. Big data analytics Smart working, mobility Dipendenti Clienti Consumatori Fornitori Supply chain integration

4 L INNOVAZIONE E I DATI PERSONALI L innovazione digitale: Spontanea e diffusa Time to market Proprietà intellettuale Tecnologia Dati personali Dati personali particolari Hybrid Cloud, IoT Profilazione, geoloc. Big data analytics Smart working, mobility Dipendenti Clienti Consumatori Fornitori Supply chain integration

5 L INNOVAZIONE E LA LEGGE Come può una legge (che richiede anni per essere approvata) governare la digital transformation? Information Technology

6 L INNOVAZIONE E LA LEGGE Art. 17. Trattamento che presenta rischi specifici 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare. E un soggetto esterno che decide le modalità di esecuzione Il time to market dipende dalla velocità della risposta: è fuori dal controllo dell impresa Le misure individuate non sono figlie delle strategie aziendali

7 L INNOVAZIONE E LA LEGGE L innovazione digitale spesso riguarda la valorizzazione di dati personali e può presentare un rischio elevato per le libertà e i diritti degli interessati.

8 L INNOVAZIONE: DAL CODICE AL GDPR Art. 17. Trattamento che presenta rischi specifici 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'iniziodel trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare. Articolo 35 Valutazione d'impatto sulla protezione dei dati 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Cosa cambia?

9 L INNOVAZIONE: DAL CODICE AL GDPR (*) Guidelines on Data Protection Impact Assessment (DPIA) Art. 29 Working Party Misure predefinite o autorizzazioni, generali o specifiche Accountability: «DPIAs are important tools for accountability, as they help controllers not only to comply with requirements of the GDPR, but also to demonstrate that appropriate measures have been taken to ensure compliance... (*)»

10 10 LA GESTIONE DELL INNOVAZIONE NEL GDPR Innovazione digitale: Nuovi trattamenti, Nuove modalità di trattamento Nuove Tecnologie Dipendenti Clienti Consumatori Fornitori Data Protection By Design Data Protection Impact Assessment Consultazione Preventiva

11 L INNOVAZIONE: DATA PROTECTION BY DESIGN Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. E pensata per essere una prassi operativa aziendale che riguarda tutti i nuovi trattamenti o la revisione sostanziale di trattamenti in corso. Riguarda la fisiologia del trattamento, cioè come viene effettuato nella normalità operativa. Non riguarda solo la sicurezza ma tutti i requisiti che un trattamento deve rispettare. Richiede una metodologia documentata, non necessariamente complessa

12 L INNOVAZIONE: DATA PROTECTION BY DESIGN Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. CAPO II Principi Articolo 5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione») NON E UNA MISURA DI SICUREZZA

13 LA GESTIONE DELL INNOVAZIONE NEL GDPR Garante Privacy: guida all'applicazione del Regolamento europeo Data protection by default and by design. La necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati. Prima di procedere al trattamento dei dati vero e proprio. Sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso Un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

14 LA GESTIONE DELL INNOVAZIONE NEL GDPR Data Protection By Design No Comporta rischi per le libertà e i diritti Implementazione Il Titolare Valuta,decide e documenta Una procedura e una metodologia: Chi: individuare e formare Cosa: DP by design, DP Impact assessment Come: metodologia aziendale, linee guida, Quando: change, innovation, update Dove: tutti i dipartimenti Si Data Protection Impact Assessment

15 The 7 Foundational Principles (*) The objectives of Privacy by Design ensuring privacy protection and gaining personal control over one s own information and, for organizations, gaining a sustainable competitive advantage may be accomplished by practicing the 7 Foundational Principles: 1. Proactive not Reactive; Preventative not Remedial 2. Privacy as the Default Setting 3. Privacy Embedded into Design 4. Full Functionality Positive-Sum, not Zero-Sum 5. End-to-End Security Full Lifecycle Protection 6. Visibility and Transparency Keep it Open 7. Respect for User Privacy Keep it User-Centric (*) Information & Privacy Commissioner of Ontario

16 L INNOVAZIONE: DATA PROTECTION BY DEFAULT Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. Riguarda la configurazione dei prodotti e dei servizi all atto dell installazione. Incide sulle procedure di rilascio dei prodotti e dei servizi

17 INNOVAZIONE: DATA PROTECTION IMPACT ASSESSMENT Articolo 35 Valutazione d'impatto sulla protezione dei dati 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. 3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a)una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici ; b)il trattamento, su larga scala, di categorie particolari di dati personali ; o c)la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. La DPIA è richiesta solo per trattamenti innovativi che possono comportare rischi particolari, diversamente dalla DP by design che è una procedura sempre richiesta La sicurezza è uno dei temi da considerare insieme agli altri diritti dell interessato Il Garante può definire un elenco dei trattamenti per cui è obbligatoria ed uno per cui non è richiesta

18 Articolo 36 Consultazione preventiva INNOVAZIONE: CONSULTAZIONE PREVENTIVA 1. Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. 2. Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l'autorità di controllo fornisce,, un parere scritto al titolare del trattamento 3. Al momento di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento comunica all'autorità di controllo: a) ove applicabile, le rispettive responsabilità del titolare del trattamento, e dei responsabili del trattamento ; b) le finalità e i mezzi del trattamento previsto; c) le misure e le garanzie previste per proteggere i diritti ; d) L esito della valutazione di impatto é decisivo per determinare la necessità di consultazione preventiva del Garante. Devono quindi essere previste procedure specifiche per assicurare che l esito della DPIA sia valutato appropriatamente Il Garante ha un tempo definito (prorogabile) per rispondere Il Garante può intervenire ex-post

19 LA GESTIONE DELL INNOVAZIONE NEL GDPR Data Protection Impact Assessment No Permangono rischi per le libertà e i diritti Implementazione Il Titolare valuta, decide e documenta PIAs are an integral part of taking a privacy by design approach. (*) (*) Conducting privacy impact assessments code of practice Si Consultazione Preventiva Il Garante indica misure ulteriori OK

20 La gestione dell innovazione Guida all'applicazione del Regolamento europeo Il rischio, inerente al trattamento, di impatti negativi sulle libertà e i diritti degli interessati. Gli impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. All'esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale. L'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell'art. 58: dall'ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

21 LA GESTIONE DEL MODELLO A REGIME Titolare Hybrid Cloud, IoT Profilazione, geoloc. Big data analytics Smart working, mobility Dipendenti Clienti Consumatori Fornitori Supply chain integration Ogni cantiere di innovazione digitale: In fase di progettazione considera i vincoli di protezione dei dati personali (GDPR) Se necessario adotta misure specifiche Valuta l opportunità della DPIA Esegue la DPIA con il supporto del DPO Valuta la necessità della consultazione preventiva Adotta le misure individuate Documenta le scelte fatte Il controllo del processo di innovazione è nelle mani del Titolare. Il Titolare è accountable e ne risponde.

22 Grazie per l attenzione Sergio.Fumagalli@p4i.it