Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

Transcript

1 Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

2 Novità normative Significative innovazioni operative nella gestione dei dati personali da parte delle aziende private soggette alla giurisdizione degli Stati Membri dell Unione Europea Il Regolamento n. 2016/679, si articola in 3 pilastri: AMBITO REGOLAMENTO EU SANZIONI ACCOUNTABILITY Ogni pilastro ha importanti implicazioni per la gestione della conformità alle prescrizioni sui dati personali, tali da dover aggiornare l'intero sistema aziendale di governo dei dati 1

3 Ambito Le disposizioni del Regolamento sono applicabili a tutte le aziende che: Promuovono i propri prodotti o servizi a soggetti che si trovano nell UE, anche solo mediante l utilizzi di siti Internet Monitorano il comportamento nell Unione Europea di tali individui Il concetto di «responsabilizzazione» o «accountability» Il Regolamento stabilisce una responsabilità globale del Titolare, denominata «accountability» Le nuove disposizioni «dettagliano l'obbligo di responsabilità del Titolare di rispettare il presente regolamento e di dimostrare tale conformità, anche mediante l'adozione di politiche interne e meccanismi per garantire tale rispetto» 2

4 Le prescrizioni del Regolamento UE: Trasparenza Il Titolare ha due obbligazioni specifiche: 1. Fornire all'interessato le information policy in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in accordo alla Risoluzione di Madrid (5 Novembre 2009) 2. Fornire obbligatoriamente all interessato più informazioni relative ad esempio al tempo di archiviazione e ai trasferimenti internazionali, aggiuntive rispetto a quanto previsto dalla Dir. 95/46 L introduzione di tali nuovi requisiti obbligatori implica: Il bisogno di stabilire delle information policy adeguate Il bisogno di controllare le differenti fasi dei flussi informativi, sia all interno che all esterno dell azienda (ad esempio l individuazione delle fonti delle informazioni, i destinatari dei dati, i tempi di archiviazione a seconda della tipologia di dato e degli obiettivi del trattamento, i trasferimenti di dati all estero, ecc.) Tutto ciò richiede uno sforzo organizzativo continuo necessario a fornire le informazioni richieste al momento della raccolta dei dati, così da: Rafforzare l informazione agli interessati (mediante l informativa) Fare in modo che l azienda risponda alle richieste dell interessato in maniera appropriata 4

5 Le prescrizioni del Regolamento UE : PET Protezione dei dati fin dalla progettazione («by Design») Il Titolare ha l obbligo di predisporre una struttura organizzativa, delle misure tecniche e delle procedure appropriate in maniera tale da conformarsi ai requisiti della protezione dei dati (art. 25) Protezione dei dati per impostazione predefinita («by Default») Devono essere adottati meccanismi che assicurino che: Siano utilizzati solo i dati necessari a uno scopo specifico Non siano raccolti altri dati I dati non siano archiviati oltre il tempo necessario alla soddisfazione dello scopo La combinazione degli innovativi principi relativi all accountability e alla protezione dei dati fin dalla progettazione ( by design ) e per impostazione predefinita ( by default ) implica che: Con il Regolamento vi è una chiara attribuzione di responsabilità al Titolare del trattamento riguardo all adozione di policy interne e all implementazione di misure appropriate per assicurare e dimostrare le compliance con la legge I principi di data protection devono essere integrati nelle tecnologie di informazione e comunicazione, e tecnologie a protezione della privacy devono essere implementate per permettere agli utenti di proteggere meglio i propri dati personali Servizi e tecnologie dovrebbero essere disegnati tenendo in considerazione impostazioni predefinite per la protezione dei dati e i tool tecnologici dovrebbero tenere in considerazione la protezione dei dati (ad esempio il controllo degli accessi, la crittografia, la possibilità del consenso dovrebbero essere supportate da mezzi tecnologici) È necessario implementare dispositivi di sicurezza il prima possibile poiché ad uno stadio più avanzato essi si rivelerebbero insufficienti a garantire un effettiva protezione dei diritti dell interessato 5

6 Impact Il nuovo Regolamento UE in materia di data protection Le prescrizioni del Regolamento UE : Sistema DP Il Sistema di governance è composto dai seguenti elementi, aggiuntivi rispetto a quanto richiesto dalla Direttiva 95/46: Documentazione di sistema Le attività di trattamento devono essere documentate e la documentazione deve essere disponibile su richiesta Il Titolare deve mantenere un registro di tali attività (art. 30) Probability Struttura del sistema Devono essere predisposte adeguate misure tecnico-organizzative in modo da garantire la conformità al Regolamento (art. 24) È necessario svolgere valutazioni d impatto oggettive e obbligatorie sulla protezione dei dati (art. 35) Supervisione indipendente Deve essere nominato un Data Protection Officer, ovvero una persona che assista il Titolare o il Responsabile nel monitoraggio della compliance interna con il Regolamento e che sia indipendente in relazione ai propri doveri e attività (art. 37) Devono essere implementate misure tecniche e organizzative appropriate per: Garantire un livello appropriato di sicurezza dei dati personali da parte del Titolare e del Responsabile del trattamento (art. 32) Rendere effettivo il diritto alla cancellazione, anche in relazione alle terze parti che processano tali dati (art. 17) Rendere effettivo il diritto alla portabilità dei dati (art. 20) Implementare correttamente la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita (art. 25) «al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» Permettere al Titolare di scegliere il rapporto contrattuale appropriato con il Responsabile il quale, secondo la legge, deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato (art. 28) 6

7 Le prescrizioni del Regolamento UE : il DPO Responsabile della protezione dei dati (DPO) Il DPO deve essere prontamente coinvolto in tutte le questioni che interferiscono con la protezione dei dati personali (art. 38.1) Il DPO è indipendente e deve ricevere adeguato supporto in termini di risorse e accessibilità (art. 38.2) La nomina del DPO è obbligatoria (art. 37.1) per: Enti pubblici eccetto le autorità giudiziarie per le funzioni giurisdizionali Quando le «attività principali» «consistono in trattamenti» «che richiedono» (a) monitoraggio di interessati (b) regolare e sistematico (c) su larga scala Quando l attività principale consiste nel trattamento «su larga scala» di dati sensibili e giudiziari Un gruppo imprenditoriale può nominare anche un solo DPO purchè «sia facilmente raggiungibile da ciascuno stabilimento» (art. 37.2) Implicazioni per le aziende La nomina, la posizione nell organizzazione e le attività del DPO richiedono l utilizzo di valutazioni innovative per l ambiente della protezione dei dati D P O Responsabilità e accountability dei Titolari Benefici nel nominare un DPO Per assicurare I doveri e le responsabilità previsti per il DPO, i Titolari possono: Fare uso dello staff esistente, con training appositi Utilizzare contractor esterni Assumere nuovo staff Fornire un collegamento tra il Titolare del trattamento, l interessato e l Autorità di Controllo Implementare un Sistema di governo dei dati personali, coordinando i doveri e le responsabilità dei diversi ruoli coinvolti nella protezione dei dati personali Ridurre i costi amministrativi e di compliance 10

8 Le prescrizioni del Regolamento UE : Sicurezza dei dati Sicurezza dei dati A differenza del Codice Privacy italiano, il Regolamento Europeo non richiede l adozione di specifiche misure di sicurezza ma impone ai Titolari e Responsabili del trattamento un obbligo generale dell adozione di misure tecnico-organizzative adeguate al rischio associato al trattamento dei dati (art. 32) Violazione dei dati L obbligo di notifica (ovvero la descrizione della natura della violazione e le raccomandazioni per mitigarne le conseguenze) è esteso a tutti i Titolari (art. 33.1) La violazione deve essere notificata all Autorità entro 72 h dal momento in cui il Titolare viene a conoscenza della stessa Misure appropriate devono essere applicate al fine di evitare il rischio di data breach nonché per garantire la puntualità della notifica di una violazione di dati personali: quindi, l adozione di adeguate misure incide sulla determinazione della responsabilità aziendale sotto due profili Il Titolare documenta qualsiasi violazione dei dati personali (art. 33.5) Titolari e Responsabili del trattamento hanno il dovere legale di compiere una valutazione preliminare per assicurare l adeguatezza delle misure di sicurezza e della struttura dei ruoli L analisi del rischio deve considerare sia le misure di sicurezza che le disposizioni organizzative In caso di verifica, la decisione del giudice è basata prevalentemente sull analisi di un esperto nominato dal giudice che, presumibilmente, valuta l organizzazione dei dati personali paragonandola agli standard della corporate governance Nel Regolamento il sistema di compliance della protezione dei dati è assicurato dalla combinazione di tre elementi: 1. Misure tecniche ed organizzative appropriate 2. Principio di accountability 3. Principi della protezione dei dati fin dalla progettazione e per impostazione predefinita 11

9 Le prescrizioni del Regolamento UE : Diritti dell Interessato Diritto alla portabilità dei dati Nuovo diritto che permette all interessato di ottenere i propri dati personali in un formato compatibile con le applicazioni standard, per permetterne il trasferimento su altre piattaforme di propria scelta (art. 20) Diritto all oblio Il diritto alla cancellazione (oblio) è stato chiarito per rafforzare il controllo dell utente sui propri dati (art. 17) Diritto di accesso Il diritto di accesso permette all interessato di ricevere informazioni tra le altre cose sul destinatario in paesi terzi, sul periodo di archiviazione dei dati e sulla fonte dei dati (art. 15) È richiesto uno sforzo organizzativo al Titolare per rispondere alle richieste dell interessato (ad esempio, i Titolari dovrebbero tenere traccia dei flussi di dati) Nonostante il diritto alla portabilità sia stato ideato per i contesti inerenti a servizi della società dell informazione, questo potrebbe avere un impatto in tutti gli ambienti customer-based Il diritto all oblio sta a significare che il Titolare deve determinare in anticipo il periodo di retention dei dati e fare uso di soluzioni tecniche per assegnare una data di scadenza a dei dati o a set di dati La legge specifica l obbligo da parte del Titolare di adottare procedure e meccanismi per permettere l esercizio dei diritti dell interessato: ogni azienda dovrebbe essere in grado di trovare soluzioni adeguate per la gestione di tali operazioni (ad esempio, viene precisato che la facilità esistente nella modalità di raccolta del consenso dovrebbe essere replicata nella modalità prevista per poterlo revocare) 12

10 Sanzioni Se la Direttiva 95/46 contiene l obbligo per gli Stati Membri di determinare sanzioni adeguate e dissuasive, il Regolamento contiene già un complesso sistema di sanzioni amministrative consistenti nel pagamento di somme di denaro L ammontare delle sanzioni è significativo e il suo calcolo è commisurato al fatturato globale annuo dell azienda L Autorità di Controllo nazionale ha il compito di applicare la giusta sanzione alla specifica violazione, assicurandosi che in ogni caso individuale la sanzione sia «efficace, proporzionata e dissuasiva» Tale determinazione deve considerare diversi parametri: La natura, la gravità e la durata della violazione Il carattere intenzionale/negligente della violazione Le misure tecniche e organizzative e le procedure in essere Le sanzioni non saranno applicate in maniera differente da uno Stato Membro ad un altro e costituiranno un incentivo per la compliance e per una migliore prevedibilità del business nell Unione Europea Il Regolamento, inoltre, prevede la possibilità per ciascuno Stato membro di impartire sanzioni ulteriori per violazioni diverse da quelle già considerate nel Regolamento (art. 84). 13

11 DCL : l alleanza strategica tecnico-giuridica data completence lab tra Deloitte (Deloitte ERS Enterprise Risk Services S.r.l.) e Imperiali (Gruppo Imperiali S.r.l Costituita nel 2013, DCL rappresenta l unione di 2 eccellenze italiane per offrire al mercato nazionale ed internazionale un offerta integrata di servizi tecnico-giuridici rispettivamente nei rischi d impresa e nell ambito del diritto, DeloitteERS e gruppoimperiali hanno portato il Cliente ad avere un unico interlocutore DCL per beneficiare di una gestione organica, coordinata ed efficiente di tutti gli aspetti aziendali legati all informazione ed alle sfide che la tecnologia pone sia alla sicurezza che al diritto. L Alleanza DCL ha sviluppato un integrato e innovativo approccio multidisciplinare sulla tipologia di intervento, comprovata dal consolidato e pluriennale expertise legale e pubblicistica dei giuristi Imperiali e dell elevata competenza tecnica degli esperti di sicurezza DeloitteERS. I professionisti Avv. Rosario Imperiali, Rappresentante GI in DCL e Partner/Pubblicista gruppoimperiali & Studio Legale Imperiali Tommaso Stranieri, Rappresentante DeloitteERS in DCL e Partner Deloitte data completence lab 2016