REGOLAMENTO PRIVACY, COME SCEGLIERE IL RESPONSABILE DELLA PROTEZIONE DEI DATI

Transcript

1 REGOLAMENTO PRIVACY, COME SCEGLIERE IL RESPONSABILE DELLA PROTEZIONE DEI DATI Bari, 23 ottobre 2017 Sala Conferenze Ordine Ingegneri della Provincia di Bari Avv. Antonio Matarrese Partner Loconte & Partners Studio Legale e Tributario

2 DIRETTIVA EUROPEA Direttiva Europea 24 ottobre /46/CE Recepita in Italia con Legge 31 dicembre 1996 n. 675/96 Obbligo per Stati membri di garantire: Sicurezza dei Dati Personali Abrogata e sostituita da Testo Unico Privacy D.Lgs. n. 196/03 Nuovo Regolamento Europeo sul trattamento dei dati (UE) 2016/679 - G.U. 4/5/2016

3 Quadro normativo e regolamentare: dalla Direttiva 95/46/CE al Decreto legislativo n. 196 del 30 giugno 2003 La direttiva 95/46/CE costituisce il primo testo di riferimento, a livello europeo, in materia di protezione dei dati personali. Essa definisce un quadro normativo volto a stabilire un equilibrio fra un elevato livello di tutela della vita privata delle persone e la libera circolazione dei dati personali all'interno dell'unione europea (UE). In Italia la direttiva 95/46/CE determinò l adozione della L. n. 675 del 31 Dicembre 1996, che ha istituito la figura del Garante per la protezione dei dati.

4 Quadro normativo e regolamentare: dalla Direttiva 95/46/CE al Decreto legislativo n. 196 del 30 giugno 2003 Decreto legislativo n. 196 del 30 giugno 2003 Per un maggior impulso alla protezione della privacy e per razionalizzare la disciplina nel frattempo evolutasi, il legislatore italiano, ha emanato successivamente il Decreto Legislativo 30 giugno 2003 n.196 (c.d. Testo Unico sulla Privacy). Il decreto, tutt ora vigente, ha definito nel nostro ordinamento, accanto al diritto alla riservatezza, un autonomo diritto volto alla «protezione del dato personale», a prescindere dalla tutela della sfera intima della persona e della famiglia. Questa nuova visione è stata ripresa dalla Carta dei diritti fondamentali dell Unione Europea approvata il 7 dicembre del 2000, che reca nel capo secondo dedicato ai diritti di libertà, l esplicito riconoscimento del diritto alla protezione dei dati di carattere personale. Tale diritto appartiene ai diritti della personalità.

5 Quadro normativo e regolamentare: dalla Direttiva 95/46/CE al Decreto legislativo n. 196 del 30 giugno 2003 Principi fondamentali Viene affermato il diritto alla protezione, ossia quel principio per cui chiunque ha diritto alla tutela dei dati personali che lo riguardano Finalità Il Codice garantisce che il trattamento di dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell interessato, assicurando un elevato livello di protezione, nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio Necessità del trattamento dei dati Viene sancito che i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l utilizzo di dati personali ed identificativi, escludendone addirittura il trattamento laddove sia possibile l utilizzo di dati anonimi o che permettano l identificazione solo in caso di necessità.

6 Organigramma Privacy

7 Il c.d. «pacchetto protezione dati» Il Parlamento Europeo, in data 27 Aprile 2016, ha approvato definitivamente, dopo un iter legislativo durato oltre quattro anni, il c.d. pacchetto protezione dati, che si compone di due interventi: un nuovo «Regolamento» (UE 2016/679) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, volto a disciplinare i trattamenti di dati personali, sia nel settore privato, sia nel settore pubblico, e destinato ad abrogare la Direttiva 95/46/CE2 ( Direttiva 95/46 ) che ha portato in Italia, all adozione del vigente D.lgs. 30 giugno 2003 n. 196 ( Codice Privacy ); una nuova «Direttiva» (UE 2016/680) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento di reati o esecuzione di sanzioni penali, che sostituirà (e integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l Italia, peraltro, non ha ancora attuato).

8 Il c.d. «pacchetto protezione dati» Il nuovo pacchetto protezione dati mira ad adeguare la data protection rispetto all evoluzione tecnologica che ha determinato un aumento dei sistemi informatici e dei flussi (anche transfrontalieri) e, quindi, dei dati scambiati tra attori pubblici e privati, rendendo così necessari: a) da un lato, una più libera circolazione di dati all interno dell UE; b) dall altro, un più elevato livello di protezione. Rileva la forte volontà del Legislatore europeo di eliminare la frammentazione applicativa della normativa in materia di protezione dei dati personali nel territorio dell UE, dovuta alle diverse leggi di recepimento della Direttiva 95/46.

9 Entrata in vigore e ambito di applicazione Entrata in vigore Il Nuovo Regolamento, pubblicato sulla Gazzetta UE in data 4 maggio 2016; è entrato in vigore il ventesimo giorno successivo alla sua pubblicazione; ma diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio Per quel che concerne la «nuova Direttiva», gli Stati membri avranno due anni per recepire con apposite norme le sue disposizioni all interno dell ordinamento nazionale.

10 Entrata in vigore e ambito di applicazione Perché un REGOLAMENTO 1. Garantire un «livello uniforme di protezione» delle persone e delle loro informazioni in tutta l Unione Europea; 2. prevenire disparità che possano ostacolare la libera circolazione dei dati nel mercato interno; 3. certezza del diritto e trasparenza agli operatori economici Il testo del Regolamento abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali, concepita in un periodo nel quale solo una minima parte della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente, i propri dati personali sulle piattaforme on line e social media.

11 Entrata in vigore e ambito di applicazione Ambito di applicazione Le nuove norme Il Nuovo Regolamento si pone in maniera innovativa sotto due profili: a) modifica la concezione tradizionale del principio di stabilimento; b) estende l ambito di applicazione anche a titolari e responsabili di trattamento ( Titolari e Responsabili ) non residenti nella UE che: trattino dati personali di persone fisiche che si trovano nell UE quando il trattamento è in relazione a offerte di beni e servizi, indipendentemente dal fatto che sia richiesto o meno un pagamento; o effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell UE nella misura in cui tale comportamento avvenga nell UE.

12 Trattamento dei dati personali TRATTAMENTO: qualsiasi operazione o insieme di operazioni, compiute con o senza l ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l organizzazione, la strutturazione, la conservazione, l adattamento o la modifica, l estrazione, la consultazione, l uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l interconnessione, la limitazione, la cancellazione o la distruzione Qualsiasi operazione compiuta nei confronti dei dati personali costituisce "trattamento"

13 Alcuni dei «soggetti» individuati dal regolamento Titolare del trattamento: la persona fisica o giuridica, l autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. E prevista la contitolarità del trattamento. Responsabile del trattamento: la persona fisica o giuridica, l autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del Titolare del trattamento.

14 Definizioni e loro ambito di applicazione non viene data la definizione di incaricato (che ha, invece, dignità automa nel vocabolario del Codice italiano), ma ad esso ci si riferisce come persona autorizzata al trattamento dei dati sotto l autorità diretta del titolare o del responsabile. Interessato: colui a cui i dati si riferiscono. Destinatario: la persona fisica o giuridica, l autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

15 Definizioni e loro ambito di applicazione Rappresentante: la persona fisica o giuridica stabilita nell Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto, li rappresenta per quanto concerne gli obblighi derivanti dal regolamento. Il Codice della privacy non prevede questa definizione. Gruppo imprenditoriale: un gruppo costituito da un impresa controllante e dalle imprese da questa controllate. Il Codice della privacy non prevede questa definizione.

16 Il DPO Il Data Protection Officer o Responsabile della Protezione dei dati personali

17 Il Data Protection Officer Quale ruolo? «SORVEGLIA L OSSERVANZA DEL REGOLAMENTO» Il DPO costituisce un punto di riferimento interno alle aziende, in quanto è coinvolto in tutte le questioni attinenti alla privacy, e un punto di contatto per i cittadini che possono rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal regolamento europeo. Nell ottica del principio di trasparenza, l identità ed i dati di contatto del DPO devono essere riportati nell informativa privacy; devono essere pubblicati sul sito internet dell ente e contenuti anche nel registro dei trattamenti.

18 Quando deve essere nominato? Devono nominare obbligatoriamente un Responsabile della protezione dei dati: a) amministrazioni ed enti pubblici 1, fatta eccezione per le autorità giudiziarie; b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. La nomina è raccomandata per gli organismi privati con funzioni pubbliche: enti che si occupano di trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l edilizia pubblica o organismi di disciplina professionale (ordini). 1 Nota: autorità nazionali, regionali, locali; organismi di diritto pubblico.

19 Quando deve essere nominato? Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO a condizione che sia facilmente raggiungibile da ciascun stabilimento. Nulla esclude la nomina su base volontaria Un trattamento può dirsi effettuato su «larga scala» tenendo conto dei seguenti fattori: - il numero di soggetti interessati dal trattamento; - il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; - la durata, ovvero la persistenza, dell attività di trattamento; - la portata geografica dell attività di trattamento. Alcuni esempi di trattamento su larga scala sono i seguenti: - trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (es. tracciamento attraverso titoli di viaggio); - trattamento di dati di geolocalizzazione raccolti in tempo reale; - trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca; - trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; - trattamento di dati (metadati, ubicazione) da parte di fornitori di servizi telefonici o telematici.

20 Il Data Protection Officer: quali i requisiti? 1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati; 2. adempiere alle sue funzioni in piena «indipendenza» e in assenza di «conflitti di interesse». In linea di principio, ciò significa che il DPO non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali; 3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizi (DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all adempimento dei suoi compiti.

21 Il Data Protection Officer: compiti Il DPO ha il compito di: sorvegliare l osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell ambito di applicazione, del contesto e delle finalità; informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo, dalla normativa e dalla prassi interna; collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA); verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit;

22 Il Data Protection Officer: compiti fornire pareri in merito alla valutazione d impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti; fungere da collegamento sia con il Garante della Privacy che con gli interessati, che potranno rivolgersi a lui anche per l esercizio dei loro diritti; supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta del «registro delle attività di trattamento». Importante: Il DPO non risponde personalmente dell inosservanza del Regolamento. Il titolare ed in responsabile hanno l onere di far rispettare la normativa; hanno quindi il compito di consentire lo svolgimento efficace dei compiti del DPO (e quindi di verificare il suo operato).

23 Come scegliere il DPO? Prime indicazioni del Garante della Protezione dei dati Personali del 15 settembre 2017 (nota inviata ad un azienda ospedaliera) La nomina del DPO dovrà essere eseguita verificando: la conoscenza della normativa e della prassi in materia di privacy; la presenza di competenze ed esperienze specifiche (proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento); la conoscenza dello specifico settore di riferimento, ovvero la capacità di assolvere ai propri compiti. Si dovrà privilegiare: coloro che possono «dimostrare» qualità professionali adeguate alla complessità del ruolo da svolgere; coloro che possono «documentare» esperienze fatte o la partecipazioni a corsi e master.

24 Nomina del DPO e funzioni - Può essere un dipendente dell azienda (vige il divieto di rimozione) - Può essere un professionista, che esercita sulla base di contratto di servizi Nell incarico devono essere specificati i compiti affidati e l ambito di competenza; è bene che tali informazioni siano fornite anche all intera struttura aziendale. È indispensabile che nessuno di tali soggetti versi in situazione di CONFLITTO DI INTERESSI. Il DPO non riceve istruzioni e direttive del preponente per l esecuzione dei propri compiti e deve essere «indipendente» e «imparziale» nella propria condotta (dovendo peraltro controllare l operato di altri soggetti della struttura dove opera). Il DPO riferisce direttamente al vertice gerarchico della struttura.

25 Nomina del DPO e funzioni In ogni caso il DPO: - deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità; - fornisce consulenza e informa i dipendenti sulla normativa applicabile (attività di formazione); - deve essere tempestivamente coinvolto di tutte le questioni attinenti la privacy; - deve essere annoverato fra gli interlocutori all interno della struttura; - deve partecipare alle riunioni del management; - deve essere presente quando sono assunte decisioni che impattano sul trattamento dei dati; - deve documentare le motivazioni che hanno portato a condotte difformi da quelle previste dalla normativa; - deve essere tempestivamente consultato quando si verifica una violazione dei dati.

26 Ruolo del DPO nella valutazione di impatto sulla protezione dei dati (DPIA) Il DPO assiste il titolare nello svolgimento di tale DPIA. In ossequio al principio di protezione dei dati fin dalla fase di progettazione (o data protection by design), il titolare si consulta con il DPO il quale fornisce il suo parere al riguardo. Il Regolamento raccomanda che il titolare si consulti con il DPO, fra l altro, sulle seguenti tematiche: - se condurre o meno una DPIA; - quale metodologia adottare nel condurre una DPIA; - se condurre la DPIA con le risorse interne ovvero esternalizzandola; - quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate; - se la DPIA sia stata condotta correttamente e se le conclusioni raggiunte siano conformi al Regolamento. Qualora il titolare non concordi con le indicazioni fornite dal DPO, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.

27 Possibile organigramma di un impresa

28 Avv. Antonio Matarrese