Prossimo Regolamento UE

Transcript

1 Prossimo Regolamento UE Impatto sull attività aziendale Privacy Day Forum Roma, 21 ottobre 2015 Rosario Imperiali 1

2 Sommario Profili di maggiore impatto per le aziende Accountability Trasparenza Sistema DP Ruoli e Data Protection Officer Sicurezza Diritti dell interessato Conclusioni 2

3 PROFILI DI MAGGIORE IMPATTO PER LE AZIENDE 3

4 Il pacchetto di riforma UE sul data protection COM(2012) 11 final pubblicata il 25 gennaio 2012 Proposta di Regolamento Proposta di Direttiva AMBITO definisce In caso di violazioni prevede SANZIONI Stabilisce a carico del Titolare Ognuno di questi pilastri ha importanti implicazioni per la gestione della conformità alle prescrizioni sui dati personali, tali da dover aggiornare l'intero sistema aziendale di governo dei dati. 4

5 Responsabilità globale del Titolare, denominata «accountability" le nuove disposizioni "dettagliano l'obbligo di responsabilità del Titolare di rispettare il presente regolamento e di dimostrare tale conformità, anche mediante l'adozione di politiche interne e meccanismi per garantire tale rispetto" Da FORMA a SOSTANZA mediante : l attuazione del principio della protezione dei dati «by design» valutazioni di impatto sulla protezione dei dati Principio di PRESCRIZIONI Del proposto Regolamento (obbligatorie/volontarie) PROFILI INNOVATIVI DI CARATTERE OBBLIGATORIO (rispetto a Direttiva 95/46/CE) 1. Trasparenza 2. Sistema DP 3. Ruoli DP 4. PET e Sicurezza 5. Diritti dell interessato 6. Flussi transfrontalieri PROFILI INNOVATIVI DI CARATTERE NON OBBLIGATORIO (rispetto a Direttiva 95/46/CE) 1. Codici di condotta 2. Meccanismi di certificazione 3. Sigilli e segni 5

6 1. Trasparenza e Flussi esteri E 'diviso in due obblighi principali per i Titolari: fornire politiche di informazione trasparenti, facilmente accessibili e comprensibili, secondo la risoluzione di Madrid (5 novembre 2009) fornire maggiori informazioni obbligatorie agli interessati circa il periodo di conservazione e in relazione ai trasferimenti internazionali - che si aggiungono a quelle previste dalla Dir. 95/46 IMPLICAZIONI PER LE AZIENDE L'introduzione di nuovi obblighi di informazione obbligatoria comporta: la necessità di stabilire adeguate politiche di informazione aziendale la necessità di controllare le varie fasi dei flussi informativi, sia all'interno che all'esterno dell'azienda (ad esempio, la rilevazione di fonti di dati, destinatari dei dati, trasferimenti in paesi esteri, tempi di conservazione per tipi di dati e finalità del trattamento) Tutte queste conoscenze richiedono un continuo sforzo organizzativo, che è necessario per fornire le informazioni richieste al momento della raccolta dei dati, al fine di: rafforzare le informazioni alle persone interessate (ad esempio, l informativa) consentire alla azienda di rispondere in modo adeguato alle richieste delle persone interessate Questi ulteriori obblighi di informazione possono determinare maggiore responsabilità e oneri di conformità. 6

7 Impatto 2. Sistema di gestione DP (1/2) Il sistema di governo DP è composto dei seguenti elementi principali che si aggiungono a quelli della Direttiva 95/46: DOCUMENTAZIONE DI SISTEMA Ciascuna principale operazione di trattamento va documentata e la documentazione va esibita a richiesta (art. 28) Il Titolare deve mantentere aggiornato il registro dei trattamenti Probabilità STRUTTURA ORGANIZZATIVA DEL SISTEMA Procedure e meccanismi efficaci per le operazioni di trattamento che possono presentare rischi specifici Valutazione di impatto, indipendente ed obbligatoria, sulla protezione dei dati personali (art. 33) SUPERVISIONE INDIPENDENTE Nomina del Data Protection Officer, persona che assiste il Titolare o il Responsabile a monitorare il rispetto interno con il regolamento, che gode di indipendenza per quanto riguarda l'esercizio delle sue funzioni e dei compiti (art. 35) 7

8 2. Sistema di gestione DP (2/2) FOCUS: LA FUNZIONE STRATEGICA DELLE ADEGUATE MISURE TECNICO-ORGANIZZATIVE Devono essere attuate dal Titolare e del Responsabile (art.26) ADEGUATE MISURE TECNICO ORGANIZZATIVE Attuano il data protection by design and by default per garantire la conformità (art. 23) Rendono effettivi il diritto alla portabilità (art. 18) e il diritto all oblio (art. 17) Garantiscono un adeguato livello di sicurezza da parte di Titololare e Responsabile(art.30) La azienda, in qualità di Titolare, ha bisogno di avere un sistema di gestione per la protezione dei dati personali strutturato secondo i principi internazionalmente riconosciuti di certificazione dei sistemi e, quindi, soggetti alle regole del Ciclo di Deming (Plan, Do, Check e Act ). Le violazioni delle norme che impongono l'adozione di politiche interne o l'attuazione delle "misure appropriate per assicurare e dimostrare la conformità" sono soggetti ad una sanzione amministrativa pecuniaria fino a 1 milione di euro o fino al 2% del fatturato annuo a livello mondiale. 8

9 3. Ruoli data protection (1/2) Devono regolare le reciproche obbligazioni al fine di consentire l esercizio dei diritti degli interessati JOINT CONTROLLERS Ciascun titolare e responsabile sarà responsabile disgiuntamente e in solido per tutti i danni Quando il titolare si avvale di terzi è obbligatoria la nomina di questi a Responsabile esterno La mancata determinazione delle reciproche responsabilità è sanzionata sino a o all 1% del fatturato globale Reciproche obbligazioni Responsabilità disgiunta e solidale Nomina obbligatoria del Responsabile terzo Sanzione per violazioni DATA PROTECTION OFFICER: Il DPO deve essere coinvolto tempestivamente in tutte le questioni che interferiscono con la protezione dei dati personali Il DPO ha natura indipendente e deve ricevere sostegno adeguato in termini di risorse e fondi (art. 36) Nomina obbligatoria del DPO per: enti pubblici suddette società 250 dipendenti aziende il cui core business coinvolge trattamenti di natura rischiosa Anche quando un DPO non è richiesto, un registro dei trattamenti deve essere conservato dal titolare 15

10 3. Ruoli Data protection (2/2) IMPLICAZIONI PER LE AZIENDE Le prescrizioni rivolte ai Responsabili del trattamento (sicurezza dei dati, adeguate misure tecniche e organizzative, la "protezione dei dati by design", le valutazioni di impatto) superano gli accordi contrattuali tra le parti. Pertanto: Maggiori controversie per responsabilità soprattutto tra azienda cliente e outsourcer per violazione di legge o di contratto e di risarcimento danni Esigenza di effettività per la nomina dell outsourcer, che richiede l'attuazione di una periodica attività di audit la responsabilità del titolare del trattamento di scegliere un Responsabile che presenti garanzie sufficienti per le operazioni di data protection che gli vengono affidate Maggiori controversie tra le parti Necessità di audit periodici Scelte dell outsourcer presuppongono garanzie DP 10

11 4. PET e Sicurezza MISURE DI SICUREZZA Il futuro Regolamento non prevede l adozione di misure minime e tassative come l attuale codice privacy (art. 30) DATA BREACH La proposta di regolamento estende l'obbligo di notifica (che descrive la natura della violazione con raccomandazioni per mitigare le conseguenze negative) a tutti i titolari del trattamento La violazione deve essere notificata all'autorità entro 24 ore dal momento in cui il Titolare ne viene a conoscenza IMPLICAZIONI PER LE AZIENDE Valutare in via preliminare l'adeguatezza della sicurezza è obbligo giuridico di Titolari e Responsabili Entrambe misure di sicurezza e disposizioni organizzative devono essere oggetto di analisi dei rischi In caso di verifica, la sentenza del tribunale si basa principalmente sull'analisi di un esperto nominato dal giudice che, presumibilmente, valuterà l'organizzazione della protezione dei dati comparandola agli standard di corporate governance Nella proposta di Regolamento il sistema di conformità per la protezione dei dati è garantita dalla combinazione di tre elementi: 1. Adeguate misure tecnico organizzative 2. Principio di accountability 3. Principi di data protection by design e by default 11

12 5. Diritti degli interessati DIRITTO ALLA PORTABILITA Nuovo diritto che permette agli interessati di ottenere le loro informazioni personali in un formato compatibile con le applicazioni standard, in modo da consentire la migrazione dei dati su piattaforme di loro scelta. DIRITTO ALL OBLIO Il diritto all'oblio è stato chiarito, al fine di rafforzare il controllo degli utenti sui loro dati DIRITTO DI ACCESSO Il diritto di accesso autorizza l'interessato a ricevere informazioni - tra le altre cose - sul destinatario in paesi terzi, sul periodo di archiviazione dei dati e sulla fonte dei dati. IMPLICAZIONI PER LE AZIENDE Uno sforzo organizzativo del Titolare è necessario per rispondere alle richieste dell'interessato (ad esempio, i titolari del trattamento devono gestire i flussi di dati con un sistema di tracciamento) Anche se il diritto alla portabilità dei dati è principalmente concepito per il contesto dei servizi della società dell'informazione, esso potrebbe avere un impatto in tutte le banche dati dei clienti Il diritto all'oblio significa per un Titolare di dover determinare in anticipo i periodi di conservazione dei dati e di avvalersi di alcune soluzioni tecniche di apporre una "data di scadenza", a dati o gruppi di dati La legge ha stabilito l'obbligo del Titolare di adottare procedure e meccanismi per consentire l'esercizio dei diritti degli interessati: ogni azienda deve essere in grado di trovare soluzioni adeguate per il buon governo di queste operazioni. 12

13 CONCLUSIONI 13

14 Conclusioni Si passa dalla previsione di regole formali alla definizione di un sistema di governo sui dati personali basato su tracciabilità Sensibilizzazione ed operatività delle funzioni aziendali con maggiore impatto in merito all utilizzo di dati personali Supervisione delle attività cicliche a cura di un responsabile unico Creazione di un organo di coordinamento per la gestione del sistema di governo dei dati personali di pertinenza aziendale Avv. Rosario Imperiali rosario.imperiali@imperiali.com Twitter: LinkedIn: Rosario Imperiali Gestione delle prescrizioni «privacy» secondo l approccio «PDCA» tipico dei sistemi di certificazione internazionale gruppoimperiali rosimp 17/10/2015 Regolamento UE e impatto aziendale 14