25 26 giugno Avv. Rocco Panetta, Partner NCTM Studio Legale Associato Segretario generale ICF Italian Compliance Forum

Transcript

1 Sheraton Padova giugno 2014 PRIVACY E NUOVO REGOLAMENTO EUROPEO: DAL PRIVACY OFFICER ALLA TVCC E PASSANDO PER LA BIOMETRIA; QUALE PROSPETTIVA? Avv. Rocco Panetta, Partner NCTM Studio Legale Associato Segretario generale ICF Italian Compliance Forum Già Dirigente delgarante per la protezione deidati dati personali

2

3 AVV. ROCCO PANETTA Partner NCTM Studio Legale Associato Segretario Generale ICF Italian Compliance Forum Via delle Quattro Fontane Roma, Italia Mob r.panetta@nctm.it RoccoPanettaIT Italian Compliance Forum Privacy Professionals World Wide

4 Regolamento europeo: proposta di riforma Il 21 ottobre 2013, la Commissione Libertà Civili, Giustizia ed Affari Interni ( LIBE ) del Parlamento Europeo ha dato il primo importante via libera alle norme sulla protezione dei dati personali, più stringenti rispetto a quelle vigenti. La proposta di riforma aggiorna e ammodernizza i principi enunciati nel Punti chiave della riforma sono: Rafforzamento dei diritti individuali; Potenziamento del mercato interno; Alto livello di protezione dei dati personali.

5 Regolamento Europeo: punti principali 1/2 Gli aspetti più importanti del testo votato dalla commissione LIBE: Trasferimenti di dati verso paesi non UE: secondo il testo adottato, se un paese terzo richiede a una società di rivelare informazioni personali trattate nell'ambito dell UE, la società deve chiedere l'autorizzazione dell'autorità nazionale di protezione dei dati prima di trasferire tali dati. La società dovrà anche informare il soggetto interessato circa tale richiesta. Sanzioni: le aziende che infrangono le regole dovranno pagare multe fino a 100 milioni di euro o pari al 5% del fatturato annuo a livello mondiale. Diritto di cancellazione: secondo la commissione LIBE, qualsiasi persona ha il diritto di chiedere e ottenere la cancellazione dei propri dati personali.

6 Regolamento Europeo: punti principali 2/2 Consenso esplicito: una società potrà trattare i dati personali solo dopo aver ottenuto una chiara autorizzazione da parte dell'interessato, che potrà ritirare il suo consenso in qualsiasi momento. Profilazione: i deputati pongono limiti alla profilazione, che può essere autorizzata solo previo consenso di una persona, se previsto dalla legge o quando necessario per l esecuzione di un contratto. Inoltre, tale pratica non dovrebbe dar luogo a discriminazioni o essere basata solo su un trattamento automatizzato. Ogni persona ha il diritto di opporsi a qualsiasi misura di profilazione. Data Protection Officer: la nomina di un responsabile della protezione dei dati sarà obbligatoria per le aziende che trattano più di 5000 dati di clienti all'anno.

7 Le origini della figura del Data Protection Officer Già il Regolamento (CE) 45/2001 e la Direttiva 95/46/CE avevano previsto la possibilità per le istituzioni europee e le aziende operanti nel territorio dell UE di nominare una figura simile al DPO a cui affidare il compito, in particolare, di: assicurare in maniera indipendente l applicazione delle disposizioni nazionali di attuazione delle normative europee; tenere un registro dei trattamenti al fine di tracciare ogni operazione avente ad oggetto dati personali; garantire che i trattamenti non siano svolti in modo tale da recare pregiudizio ai diritti ed alle libertà degli interessati.

8 Diffusione della figura del DPO Fonte: CNIL, 2012

9 Modelli dominanti in Europa Paesi che già prevedono per legge la figura del Data Protection Officer e ne impongono la nomina al ricorrere di differenti condizioni tra cui, in particolare, il numero dei dipendenti (ad esempio Germania, Repubblica Slovacca e Ungheria) Ordinamenti che alla nomina del Data Protection Officer fanno corrispondere l esonero da taluni adempimenti amministrativi, primo fra tutti la notifica all Autorità Garante nazionale dei trattamenti realizzati (ad esempio Francia, Olanda e Svizzera)

10 Il Regolamento: Nomina del DPO La nomina del DPO è obbligatoria quando: Il trattamento è effettuato da un autorità o un organismo pubblico; Il trattamento è effettuato da una persona giuridica e riguarda più di interessati in qualsiasi periodo di 12 mesi consecutivi; le principali attività del titolare o del responsabile consistono in trattamenti che, per loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati; le principali attività del titolare o del responsabile consistono nel trattamento di dati sensibili, di dati di geolocalizzazione, dati riguardanti minori o dipendenti in archivi su larga scala.

11 DPO: scelta e requisiti ART. 35 DEL REGOLAMENTO Il titolare o il responsabile del trattamento deve scegliere il DPO in base alle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati personali. *** CONSIDERANDO 75-BIS (AGGIUNTO DALLA COMMISSIONE LIBE) Il DPO deve garantire almeno: conoscenza approfondita del contenuto e dell applicazione della normativa sulla protezione dei dati, incluse misure e procedure tecniche e organizzative; padronanza dei requisiti e degli adempimenti, anche tecnici, necessari a dare attuazione ai principi di Privacy by design, Privacy by default e sicurezza dei dati; conoscenza specifica del settore di mercato a seconda della dimensione della società o dell ente e della sensibilità dei dati da sottoporre a trattamento; capacità di effettuare ispezioni, consultazioni, attività di documentazione e analisi dei file di registro; capacità di collaborare con le rappresentanze dei lavoratori.

12 DPO: Garanzie funzionali e sostanziali 1/2 AUTONOMIA FUNZIONALE Il titolare o il responsabile devono garantire che il DPO adempia ai propri compiti ed alle proprie funzioni in piena indipendenza, senza ricevere alcuna istruzione per quanto riguarda il loro esercizio. INDIPENDENZA SOSTANZIALE Ogni altra funzione professionale eventualmente svolta dal DPO deve essere compatibile con i compiti e le funzioni allo stesso assegnate in tale qualità, senza dare adito ad alcun conflitto di interessi. LIBERTÀ DI AZIONE La responsabilità finale delle decisioni resta di competenza degli organi direttivi, ai quali il DPO fa diretto riferimento.

13 DPO: Garanzie funzionali e sostanziali 2/2 VALORIZZAZIONE DEL RUOLO Nel corso del mandato il DPO può essere destituito/licenziato solamente se non soddisfa più le condizioni richieste per l esercizio delle sue funzioni. FORMAZIONE QUALIFICATA Il titolare o il responsabile devono permettere al DPO di partecipare a corsi di formazione avanzata così da mantenere le conoscenze specifiche necessarie a svolgere le sue mansioni. CONTINUITÀ DI FUNZIONE La funzioni di DPO sono assegnate per un periodo (prorogabile) di almeno 2 anni nel caso in cui sia designato un dipendente o 4 anni in caso di nomina di un soggetto esterno.

14 Dipendente o consulente esterno? L attuale testo del Regolamento consente al titolare di nominare DPO tanto un dipendente, quanto ad un consulente esterno, a patto che il soggetto concretamente prescelto assicuri il rispetto dei requisiti formali e sostanziali stabiliti dalla normativa, con particolare riferimento alla garanzia di indipendenza ed all elevato livello di conoscenza della materia della protezione dei dati personali.

15 Una scelta orientata alla competenza Qual è il parametro per valutare l effettivo possesso delle «qualità professionali ed, in particolare, della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati» (art. 35, par. 5)? Sembra necessario ponderare con la massima attenzione, anche attraverso gli strumenti di analisi del rischio (art. 32-bis) e la valutazione di impatto sulla protezione dei dati (art. 33), la complessità dei trattamenti e la tipologia dei dati trattati, così da poter valutare le competenze che il DPO deve garantire per poter adempiere correttamente ai propri compiti (si veda, a riguardo, il parere del Düsseldorfer Kreis del 25 novembre 2010). *** Può un semplice corso formativo di poche ore garantire una competenza adatta a tale ruolo? Sembra necessario, sotto tale profilo, rafforzare l obbligo del titolare o del responsabile del trattamento di garantire il continuo aggiornamento professionale del DPO, soprattutto quando tale funzione è affidata ad un dipendente.

16 Ruolo semplificato o sottovalutato? In caso di multinazionali, la prima bozza di Regolamento ammetteva la nomina di un unico DPO per l intero gruppo industriale. Ma chi potrebbe garantire una conoscenza realmente specifica delle problematiche connesse alla privacy in ciascuna delle giurisdizioni coinvolte, dei provvedimenti delle varie Autorità di garanzia e della giurisprudenza dei singoli Stati membri? A seguito dell intervento della Commissione LIBE, l art. 35, par. 2, è stato modificato radicalmente, strutturando il DPO dei grandi gruppi societari come un ufficio piuttosto che come una figura aziendale individuale, in maniera tale che ad esso nonché alla persona che ne è posta al vertice possano far capo più soggetti, ciascuno dei quali preposto all analisi ed al monitoraggio di una singola giurisdizione o area geografica caratterizzata da norme omogenee.

17 Un ruolo di stimolo e garanzia PRIVACY BY DESIGN PRIVACY BY DEFAULT Le incessanti e profonde evoluzioni tecnologiche hanno reso necessario adottare misure a protezione dei dati personali sin dalla primissima fase di progettazione di qualunque servizio o prodotto. Sin dalla raccolta dei dati fino alla loro cancellazione, nel corso del loro intero ciclo di vita (art. 23), il titolare è chiamato ad adottare misure e procedure tali da garantire adeguati livelli di sicurezza dei dati. Il titolare del trattamento è chiamato a garantire che, di default, possano essere trattati solo i dati personali realmente necessari al raggiungimento di ciascuna specifica finalità del trattamento indicata agli interessati ed, in particolare, che la quantità dei dati raccolti e la durata della loro conservazione o diffusione non vadano oltre il minimo necessario al perseguimento di tali scopi.

18 La funzione del DPO Informare e consigliare il titolare o il responsabile relativamente agli obblighi stabiliti dal Regolamento, soprattutto in riferimento alle misure e procedure tecniche e organizzative. Presiedendo e documentando lo svolgimento da parte del titolare, almeno ogni due anni, di una verifica di conformità delle politiche e delle pratiche adottate dal titolare ai livelli di protezione dei dati richiesti dal Regolamento. SENSIBILIZZARE Mediante un coinvolgimento attivo nelle procedure di cd. valutazione d impatto sulla protezione dei dati (art. 33) che i trattamenti previsti dal titolare potrebbero determinare in relazione ai diritti e alle libertà degli interessati. Garantendo il rispetto della procedura di Consultazione preventiva prevista dall art. 34 rispetto ai trattamenti che la verifica d impatto o lo European Data Protection Board stabiliranno essere particolarmente rischiosi per la privacy degli interessati.

19 I compiti principali Controllare e garantire che: Vengano attuate le policy in materia di protezione dei dati adottate dal titolare, anche rispetto all attribuzione di responsabilità, alla formazione del personale ed allo svolgimento dei processi di audit; Vengano rispettati gli obblighi stabiliti dal Regolamento, soprattutto rispetto ai principi di privacy by design, privacy by default, sicurezza dei dati ed esecuzione dei diritti riconosciuti agli interessati; Vengano correttamente documentate, notificate e comunicate le violazioni dei dati personali; Venga effettuata la valutazione d impatto sulla protezione dei dati e svolta la consultazione preventiva nei casi previsti dagli articoli 32-bis, 33 e 34; Venga fornito riscontro alle richieste avanzate dall Autorità di controllo, fungendo anche da punto di contatto con quest ultima per ogni questione inerente al trattamento dei dati; Vengano fornite ai rappresentanti del personale tutte le necessarie informazioni in merito al trattamento dei dati dei dipendenti.

20 Frodi in aumento: prevenzione I dati presenti nel Kroll Global Fraud Report 2013/2014, rivelano che: Il 70% delle società intervistate (il 73% in Europa) sostiene di aver subito almeno una frode nel corso dell ultimo anno, contro il 61% del rilevamento precedente. L 81% del campione ritiene che l esposizione della propria azienda al rischio di frode sia aumentata negli ultimi 12 mesi, in crescita rispetto al 63% del Il costo economico delle frodi, misurato in termini di ricaduta media sugli utili, è passato dallo 0,9% dello scorso anno all 1,4% del 2013, con picchi del 4%. Il 22% degli intervistati (il 25% in Europa) ha subito un furto di informazioni ed il 16% una violazione delle policy aziendali e dei livelli di compliance stabiliti.

21 Profili sanzionatori La mancata nomina di un Data Protection Officer, nei casi in cui tale designazione è obbligatoria, rappresenta uno degli elementi che, ai sensi dell art. 79 del Regolamento, l Autorità di controllo deve tenere in considerazione nella determinazione di sanzioni amministrative che, nei casi più gravi, possono arrivare fino a 100 milioni di Euro o al 5% del fatturato mondiale annuo.

22 AVV. ROCCO PANETTA Partner NCTM Studio Legale Associato Segretario Generale ICF Italian Compliance Forum Via delle Quattro Fontane Roma, Italia Mob r.panetta@nctm.it RoccoPanettaIT Italian Compliance Forum Privacy Professionals World Wide

23 Le nostre sedi MILANO Via Agnello, Milano Tel.: Fax.: LONDON St Michael's House 1 George Yard, Lombard Street EC3V 9DF London tel. +44 (0) fax +44 (0) ROMA Via delle Quattro Fontane, Roma Tel..: Fax.: BRUSSELS Avenue de la Joyeuse Entrée, Brussels Tel.: +32 (0) Fax.:+32 (0) VERONA Stradone Porta Palio, Verona Tel.: Fax.: SHANGHAI 28th Floor, Hong Kong Plaza 283, Huaihai Zhong Road Shanghai Tel: Fax: