Il nuovo Regolamento Privacy

Transcript

1 Il nuovo Regolamento Privacy Regolamento sulla Protezione dei dati personali 679/2016: nuovi adempimenti per le imprese e la PA Giovedì 16 marzo 2017 Auditorium Cosimo Ridolfi di Banca CR Firenze Dott. Michele Luigi Giordano

2 Indice 1. La disciplina normativa di riferimento 2. Data Protection Impact Assessment 3. Privacy by Design & Privacy by Default 4. Sistema di gestione privacy nel sistema di controllo interno aziendale: collegamenti con il D.Lgs. 231/2001 2

3 1. La disciplina normativa di riferimento

4 La disciplina normativa di riferimento La nuova strategia di compliance alla Privacy Tra le novità principali, introdotte dal nuovo regolamento privacy Ue, si evidenzia il nuovo concetto di governance e gestione della stessa normativa privacy (inteso come sistema di gestione e controllo sul trattamento dei dati personali) ed il principio dell accountability ( inteso come dimostrazione che il trattamento dei dati personali effettuato è conforme al Regolamento). La declinazione di tali principi può essere individuata nei seguenti elementi: i titolari del trattamento, sia pubblici che privati, dovranno dimostrare di aver effettuato analisi di privacy risk assessment a tutela dei dati (privacy impact assessment); I titolari del trattamento dovranno dimostrare di aver adottato misure tecniche ed organizzative adeguate per la tutela dei dati e di aver effettuato una valutazione preventiva (privacy by design) e che il trattamento dei dati avvenga di default, cioè trattare solo i dati personali necessari per la specifica finalità del trattamento (privacy by default); il ruolo di sorveglianza e la responsabilità del protection officer, che diventa obbligatorio in tutta una serie di casistiche, avrà un ruolo significativo anche nella dialettica della responsabilità giuridica ascrivibile al titolare del trattamento, sotto il profilo della culpa in eligendo e in vigilando; Il ruolo di controllo delle Autorità pubbliche; il nuovo quadro sanzionatorio caratterizzato da sanzioni che potranno arrivare sino al 4% del fatturato mondiale annuo della società, in caso di violazioni particolarmente gravi; codice di condotta e certificazione per la corretta applicazione del Regolamento. 4

5 La disciplina normativa di riferimento Il 4 maggio 2016, sulla Gazzetta Ufficiale dell Unione europea n. L119, è stato pubblicato il nuovo Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Gli argomenti del presente intervento sono disciplinati da: Art. 35 e 36 del Regolamento UE - Data Protection Impact Assessment Art. 25 del Regolamento UE - Privacy by Design & Privacy by Default 5

6 La disciplina normativa di riferimento Articolo 35 Valutazione d'impatto sulla protezione dei dati 1.Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. 2.Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. 3.La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 4.L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato. 6.Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'unione. 6

7 La disciplina normativa di riferimento (segue) 7.La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 8.Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati. 9.Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti. 10.Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento. 11.Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento. 7

8 La disciplina normativa di riferimento Articolo 36 Consultazione preventiva 1.Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. 2.Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l'autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all'articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L'autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all'ottenimento da parte dell'autorità di controllo delle informazioni richieste ai fini della consultazione. 3.Al momento di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento comunica all'autorità di controllo: a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale; b) le finalità e i mezzi del trattamento previsto; c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento; d) ove applicabile, i dati di contatto del titolare della protezione dei dati; e) la valutazione d'impatto sulla protezione dei dati di cui all'articolo 35 8

9 La disciplina normativa di riferimento SEGUE a) ogni altra informazione richiesta dall'autorità di controllo. 4.Gli Stati membri consultano l'autorità di controllo durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento. 5.Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica. 9

10 La disciplina normativa di riferimento Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. 10

11 2. Data Protection Impact Assessment

12 Data Protection Impact Assessment I FOCAL POINT DELLA NORMA Il nuovo Regolamento Ue 2016/679 prevede che: "quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi" (art. 35, comma 1, del Regolamento); "La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione." (art. 35, comma 7, del Regolamento). 12

13 Data Protection Impact Assessment I FOCAL POINT DELLA NORMA CONSIDERANDO N. 84 Per potenziare il rispetto del Regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorità di controllo. CONSIDERANDO N. 90 ( ) è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento. 13

14 Data Protection Impact Assessment INTERPRETAZIONE Il Data Protection Impact Assessment (valutazione degli impatti sulla protezione dei dati) introduce il concetto di Control e Risk assessment, attraverso i seguenti elementi: RISCHIO I Rischi legati alla Privacy, ovvero al trattamento di dati personali possono riguardare un processo, una tecnologia e/o un organizzazione. (valutazione del rischio) IMPATTO La valutazione dell impatto che l adozione di determinate misure tecniche e/o organizzative hanno sulla protezione dei dati stessi serve a misurare la riduzione del rischio stesso. (valutazione del misure di controllo) La valutazione d impatto potrà essere condotta a livello di singolo processo oppure a livello di macroprocesso, o addirittura di organizzazione, qualora i processi analizzati presentino vaste aree di similarità e rischi analoghi. Pertanto si genera una valutazione di rischio e d impatto preliminare a livello aziendale, che raggruppa tutti i trattamenti in essere all interno dell organizzazione, per poi procedere a valutazioni di dettaglio sui trattamenti a rischio. 14

15 Data Protection Impact Assessment INTERPRETAZIONE Il nuovo Regolamento riporta anche alcuni ambiti di trattamento per i quali il DPIA risulta essere obbligatoria. Tra questi rientrano: i trattamenti di dati su larga scala, che mirano al trattamento di una notevole quantità di dati personali e che potenzialmente presentano un rischio elevato, ad esempio, per la loro sensibilità i trattamenti derivanti dall impiego di nuove tecnologie o che presentano un rischio elevato per i diritti e le libertà degli interessati quando i dati sono trattati per adottare decisioni riguardanti determinate persone fisiche, in seguito ad una valutazione sistematica e globale degli aspetti personali (quale ad esempio quelle operate da uno studio clinico/sanitario) i trattamenti basati sulla profilazione (ad es. le tecniche di re-marketing, piuttosto sistemi di profilazione d acquisto legati all utilizzo delle fidelity card) o su trattamenti automatici dei dati stessi, e che vanno ad avere effetti giuridici, o incidono significativamente sulle persone fisiche i trattamenti di particolari categorie di dati personali quali quelli biometrici, genetici o relativi a condanne penali, nonché i reati o le misure di sicurezza ad essi connesse la sorveglianza sistematica su larga scala di zone accessibili al pubblico altre ipotesi decise e pubblicate dall autorità 15

16 Data Protection Impact Assessment INTERPRETAZIONE Articolo 32 del REGOLAMENTO PRIVACY Sicurezza del trattamento Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano, tra l'altro, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. RISCHI PRIVACY Distruzione o perdita di dati Accesso non autorizzato Trattamento non consentito Trattamento non conforme alle finalità della raccolta 16

17 Data Protection Impact Assessment IPOTESI DI CONTENUTI DEL DPIA Nella sostanza il DPIA si estrinseca in un Modello organizzativo che potrebbe essere composto dai seguenti elementi: Indicazione delle motivazioni del DPIA ed identificazione dei responsabili del processo di valutazione Analisi organizzativa dei processi aziendali nell'ambito dei quali sono trattati i dati Identificazione degli interessati del trattamento (es. dipendenti, fornitori) Identificazione delle tipologie di trattamento (es. dati anagrafici, sanitari, etc.) Identificazione della categoria del trattamento (dati comuni, sensibili e giudiziari) Identificazione delle finalità del trattamento Modalità di trattamento (informatica o cartacea) 17

18 Data Protection Impact Assessment IPOTESI DI CONTENUTI DEL DPIA segue Funzioni coinvolte (in qualità di Responsabile o di Incaricato del trattamento) Necessità del trattamento e proporzionalità nell'uso dei dati Valutazione dei rischi inerenti previsti dall'art. 32 del Regolamento UE in termini di probabilità e impatto Valutazione dei rischi residui attraverso la valutazione del Sistema di controllo interno privacy (misure di sicurezza, procedure, informative, consensi, formazione, nomine, flussi informativi al DPO) Monitoraggio e riesame per la valutazione della conformità del trattamento in relazione alla valutazione di impatto effettuata 18

19 Data Protection Impact Assessment IPOTESI DI APPROCCIO METODOLOGICO PER LA REDAZIONE DEL DPIA Regolamento Europeo approvato il 14 aprile 2016 UNI CEI ISO/IEC 27001: Sistema di gestione della sicurezza delle informazioni UNI ISO 19600:2016 che definisce l'approccio sistemico alla conformità aziendale UNI EN ISO 19011:2012 "Linee Guida per Audit di Sistemi di Gestione" UNI EN ISO 27000: Tecnologia delle informazioni Provvedimenti del Garante Privacy a seconda del settore di riferimento Linee Guida DPO del Gruppo dei Garanti UE (WP29) del 13 dicembre 2016 Prassi di Federprivacy: associazione dei Privacy Officer I principi e criteri tecnici di redazione di un Data Protection Impact Assessment derivano dalla normativa e dalle principali best practices in materia ad oggi esistenti 19

20 Data Protection Impact Assessment IPOTESI DI APPROCCIO METODOLOGICO PER LA REDAZIONE DEL DPIA RISCHIO PRIVACY Il RISCHIO PRIVACY ai fini del Data Protection Impact Assessment si calcola come la differenza tra il livello di RISCHIO INERENTE e l'efficacia del SISTEMA DI CONTROLLO INTERNO RISCHIO PRIVACY INERENTE - SISTEMA DI CONTROLLO INTERNO = RISCHIO PRIVACY RESIDUO 20

21 Data Protection Impact Assessment IPOTESI DI APPROCCIO METODOLOGICO PER LA REDAZIONE DEL DPIA MATRICE DEL RISCHIO PRIVACY VALUTAZIONE COMPLESSIVA DEL RISCHIO PRIVACY INERENTE = valore PROBABILITA' x valore IMPATTO BASSO MEDIO ALTO da 1 a 2 da 4 a 16 da 32 a 128 Probabilità Altamente probabile Molto probabile Probabile Poco probabile Improbabile Marginale Soglia Serio Superiore Impatto La metodologia utilizzata per la Matrice del Rischio Privacy è elaborata in base alla best practice nazionale ed internazionale vigente, ed in particolare è allineata con il documento "Enterprise Risk Management - Integrated Framework" pubblicato dal CoSO (Committee of Sponsoring Organizations of the Treadway Commission) nel 2004 ed attualmente in fase di aggiornamento, secondo il quale "I rischi sono analizzati, determinando la probabilità che si verifichino in futuro e il loro impatto, al fine di stabilire come devono essere gestiti. I rischi sono valutati in termini di rischio inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato interventi per ridurlo)." 21

22 3. Privacy by Design & Privacy by Default

23 Privacy by Design & Privacy by Default I FOCAL POINT DELLA NORMA Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. 23

24 Privacy by Design & Privacy by Default I FOCAL POINT DELLA NORMA CONSIDERANDO N. 78 La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l'altro: nel ridurre al minimo il trattamento dei dati personali; pseudonimizzare i dati personali il più presto possibile; offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali; consentire all'interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. ( ) 24

25 Privacy by Design & Privacy by Default INTERPRETAZIONE CON IL CONCETTO DI Privacy by Design & Privacy by Default "OGNI PROGETTO, RELATIVO AD UN PROGRAMMA, AD UNO SPECIFICO OGGETTO, SIN DALLA SUA PROGETTAZIONE DEVE PORRE AL CENTRO LA PRESONA (L'INDIVIDUO) ED ESSERE QUINDI IDEATO SECONDO UN APPROCCIO PRIVACY ORIENTED VOLTO A VALUTARE SE CIO' CHE SI STA PROGETTANDO AVRA' UN IMPATTO CON I DATI PERSONALI E QUINDI LA TUTELA DEGLI STESSI DATI DEVE ESSERE ELEMENTO DI ANLISI DEL PROGETTO". Privacy by Design Concetto della tutela del dato fin dalla progettazione, che riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale. In termini pratici, qualsiasi progetto ad impatto privacy deve nascere ed essere costruito nel rispetto della disciplina di protezione dei dati personali. Privacy by Default Concetto della tutela della privacy per impostazione predefinita, che prevede il porre in essere di misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali per ogni specifica finalità del trattamento. 25

26 Privacy by Design & Privacy by Default INTERPRETAZIONE Privacy by Design Questo approccio concettuale innovativo impone alle aziende l'obbligo di avviare qualsiasi progetto ad impatto privacy introducendo fin dall'inizio gli strumenti a tutela dei dati personali in una fase quindi ex ante il trattamento del dato, ovvero dalla progettazione (Privacy by Design). L interessato, o meglio l utente di un servizio (es. applicazione, registrazione ad un sito web, servizi on demand, ecc.), è posto al centro del progetto sin dalla sua fase iniziale seguendo un approccio risk based che valuta le attività di trattamento contestualmente ai rischi che tali attività comportano per i diritti degli utenti. Il Titolare sarà anche tenuto a dotarsi di una struttura e mezzi tali da garantire come impostazione predefinita di default che vengano raccolti e trattati solo i dati strettamente necessari al raggiungimento della specifica finalità definita e che questi ultimi vengano conservati solo per il tempo strettamente necessario per perseguire l indicata finalità e resi accessibili solo al personale espressamente e preventivamente autorizzato (Privacy by Default). Privacy by Default 26

27 Privacy by Design & Privacy by Default INTERPRETAZIONE In base al Regolamento il Titolare del trattamento deve adottare opportune misure tecniche e organizzative, conformate a seconda del tipo di dato e trattamento (by design) e tali da garantire quali impostazioni predefinite (by default) che solo i dati personali necessari agli scopi dichiarati siano elaborati. Le misure tecniche e organizzative devono concernere: quantità dei dati raccolti; estensione del loro trattamento; periodo di conservazione e la loro accessibilità. Le misure devono garantire che, per impostazione predefinita, i dati personali non siano resi accessibili a un numero indefinito di persone fisiche senza l'intervento della persona fisica. L art. 25, infine, indica come un meccanismo di certificazione riconosciuto ex art. 42 può essere utilizzato ai fini di dimostrare la conformità con il Regolamento delle misure tecnico-organizzative adottate. 27

28 Privacy by Design & Privacy by Default CONTENUTI Il Legislatore europeo ha anche modificato radicalmente il concetto di limite della misura, ovvero in tutto il testo non parla più di misure minime, ma usa termini quali idonee, adeguate, opportune, e così via, costringendo il Titolare, per esempio, a commisurare la misura tecnico-organizzativa adottata alla tipologia di trattamento, natura del dato e livello di rischio. MISURE TECNICHE Le misure tecniche, ex art. 32, devono concernere, a seconda dei casi: la pseudoanonimizzazione e la crittografia dei dati personali; MISURE ORGANIZZATIVE Per quanto concerne le misure organizzative, queste devono garantire che qualunque persona che agisce sotto la autorità del Titolare e del Responsabile, e che ha accesso ai dati personali, possa elaborare i dati solo secondo le istruzioni impartite, salvo obblighi giuridici. la capacità di garantire riservatezza, integrità, disponibilità e resistenza di sistemi e servizi che trattano dati personali; la capacità di ripristinare disponibilità e accesso ai dati, in modo tempestivo, in caso di incidente fisico o tecnico; un processo per regolare il test e valutare l efficacia delle tecniche e misure organizzative atte alla sicurezza del trattamento. 28

29 4. Sistema di gestione privacy nel sistema di controllo interno delle aziende: collegamenti con il D.Lgs. 231/2001

30 La compliance alla privacy come Modelli di prevenzione dei rischi di compliance normativa Il Regolamento europeo, introducendo i concetti di privacy by design e by default e data protection impact assessment, di fatto si è ispirato ai modelli e sistemi di prevenzione e controllo dei rischi di compliance normativa. Il nuovo approccio previsto dal Regolamento, infatti, attribuisce alle imprese la responsabilità di analizzare e valutare i rischi privacy e di adottare, conseguentemente, tutte quelle misure e precauzioni necessarie per evitare perdita di dati, violazioni, accessi abusivi ed alterazioni nei trattamenti dei dati che interessano l impresa medesima. Nell ottica di integrazione tra i diversi sistemi di gestione e controllo, si può evidenziare come il nuovo approccio alla compliance della privacy possa rappresentare un solido punto di partenza per l attuazione di un sistema di governance integrato. Tale approccio è già avvenuto per effetto di altri sistemi normativi che richiamano più o meno direttamente il Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001, come per esempio: la Legge Anticorruzione e relativi Piani Anticorruzione; la Cooperative compliance fiscale; il Rating di Legalità e D'Impresa e la sua considerazione nel nuovo Codice dei contratti pubblici). Pertanto, tale approccio integrato deve intendersi come processo finalizzato ad assicurare la conformità dell operatività aziendale alle norme vigenti, interne ed esterne, attraverso un approccio che consenta la loro integrazione nei processi aziendali, anche in prospettiva di un miglioramento dell efficacia e dell efficienza complessiva e del controllo. 30

31 Analogie e differenze con il D.Lgs. 231/2001 Nello specifico, alcuni dei comportamenti che costituiscono una minaccia alla sicurezza informatica, sono stati qualificati all interno del nostro ordinamento come condotte penalmente perseguibili ed inseriti tra i reati presupposto della responsabilità degli enti di cui al D.Lgs. n. 231/2001: Delitti informatici e trattamento illecito dei dati (Art. 24-bis del D.Lgs. 231/2001) Art. 24-bis del D.Lgs. 231/2001, introdotto dalla Legge 18 marzo 2008, n. 48: Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.) Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.) Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.) Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.) Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.) 31

32 Retro-front del D.Lgs. 231/2001 per i delitti privacy Delitti in materia di privacy: prima inseriti nel D.Lgs. 231/2001, poi estromessi Nell'agosto 2013* il legislatore aveva inserito nel novero dei reati presupposto ex D.Lgs. 231/2001 i seguenti delitti privacy: trattamento illecito dei dati personali; falsità nelle dichiarazioni notificazioni al Garante; inosservanza dei provvedimenti del Garante. LA PENA PREVISTA In assenza/insufficienza dei Modelli organizzativi previsti dalla normativa 231, se i vertici dell'impresa avessero commesso uno dei delitti previsti in materia di privacy, la Società sarebbe stata soggetta ad una sanzione da 100 a 500 quote (una quota singola può variare da un minimo di 258 fino a un massimo di euro). RETRO-FRONT Il Decreto Legge n. 93/2013 è stato convertito in legge, ma con l esclusione dei reati relativi alla privacy. L'estromissione dei reati privacy dal D.Lgs. 231/2001 potrebbe far pensare ad una scarsa attenzione che le Istituzioni danno alla tutela e riservatezza dei dati personali. Tuttavia ciò è smentito dalla tendenza europea, che ha visto la recente pubblicazione del nuovo Regolamento Europeo in materia di Protezione dei Dati. * Decreto Legge 14/8/2013 n. 93, intitolato Norme urgenti in materia di sicurezza e per il contrasto della violenza di genere in vigore dal 17 agosto 2013 e da convertire in legge entro 3 mesi, aveva modificato ed aggiornato l articolo 24 bis comma 1 del Decreto legislativo 231 del 2001 (Delitti informatici e trattamento illecito di dati in vigore dall aprile 2008) 32

33 Alcune analogie e differenze con il Modello 231 Data Protection Impact Assessment ex Regolamento Privacy Il Rischio Privacy può essere inteso come il rischio relativo alla: Distruzione o perdita di dati; Accesso non autorizzato; Trattamento non consentito; Trattamento non conforme alle finalità della raccolta. VALUTAZIONE DEL RISCHIO Control & Risk Self Assessment ex D.Lgs. 231/2001 Il Rischio ex D.Lgs. 231/2001 è il rischio di commissione di un reato presupposto, ovvero un reato previsto nel catalogo dei c.d. "reati 231". Il Rischio Privacy è calcolato in termini di probabilità ed impatto. Deve essere effettuata una mappatura dei processi aziendali che hanno impatto con il trattamenti dei dati. Il Rischio ex D.Lgs. 231/2001 è calcolato in termini di probabilità ed impatto. Deve essere effettuata una mappatura dei processi aziendali e delle relative attività sensibili ai fini della commissione dei reati 231. Il Rischio residuo viene calcolato considerando l'efficiacia del Sistema di controllo interno, ovvero: Procedure; Formalizzazione delle nomine; Informative effettuate; Raccolta del consenso; Esistenza di un sistema di flussi informativi al DPO; Misure minime di sicurezza; Formazione. Il Rischio residuo viene calcolato considerando l'efficiacia del Sistema di controllo interno, ovvero: Procedure e protocolli 231; Formalizzazione di deleghe e procure; Tracciabilità delle attività e dei controlli; Esistenza di un sistema di flussi informativi all'odv; Formazione; Codice etico. 33

34 Alcune analogie e differenze con il Modello 231 Codice di condotta ex Regolamento Privacy L'art. 40 del Regolamento incoraggia l elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità settoriali e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del regolamento. Tali codici devono essere sottoposti all autorità di controllo dello Stato membro competente (nel caso dell Italia, al Garante Privacy), che esprime un parere di conformità al Regolamento ed approva il codice, registrandolo e pubblicandolo. CODICE ETICO Codice di condotta ex D.Lgs. 231/2001 L adozione di principi etici ai fini della prevenzione dei reati considerati nel D.Lgs. 231/2001 costituisce un elemento essenziale del sistema di controllo preventivo. Ai sensi dell'art. 3 del D.Lgs. 231/2001, i modelli di organizzazione e di gestione possono essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti Tali Modelli/Codice di comportamento possono essere comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati. 34

35 Alcune analogie e differenze con il Modello 231 Data Protection Officer (DPO) ex Regolamento Privacy I compiti assegnati al DPO riguardano: la sorveglianza sull applicazione delle politiche in tema di trattamento dei dati, compresa l attribuzione delle responsabilità, la formazione del personale e l effettuazione degli audit connessi; la sorveglianza sull applicazione del Regolamento, con riguardo, tra l altro, alla progettazione sul trattamento dei dati, alla sicurezza dei dati, alle informazioni dell interessato, ecc.; il controllo sul titolare che effettui la Valutazione d impatto sulla protezione dei dati; il fungere da punto di contatto per l Autorità di controllo per questioni connesse al trattamento; il dare informazioni ai rappresentanti sindacali sui trattamenti che riguardano i dipendenti. Il DPA deve avere disponibilità di risorse economiche e l accesso ai data base aziendali. ORGANO DI CONTROLLO Organismo di Vigilanza (OdV) ex D.Lgs. 231/2001 Ha il compito di vigilare sul funzionamento e l osservanza dei modelli di curare il loro aggiornamento È un organismo dotato di autonomi poteri di iniziativa e di controllo 35

36 Alcune analogie e differenze con il Modello 231 MODELLO ORGANIZZATIVO & PRIVACY COMPLIANCE PROGRAM Compliance program per la gestione delle informazioni personali ex Regolamento Privacy Il nuovo Regolamento europeo in materia di trattamento dei dati personali richiede la definizione di un Compliance program per la gestione delle informazioni personali finalizzato a prevenire i rischi di illecito uso dei dati. Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Secondo l'art. 6 del D.Lgs. 231/2001 l ente non risponde della responsabilità amministrativa in caso di reato commesso dalle persone fisiche che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell ente se ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi. 36

37 Il Privacy compliance program Una ipotesi di struttura e di contenuti del Compliance program per la gestione delle informazioni personali: Le principali definizioni in materia di privacy Obiettivi del manuale di gestione privacy Quadro normativo e principi generali in materia di privacy I rischi in materia di privacy Il trattamento del rischio e le misure di sicurezza minime e idonee Tipologie di dati e trattamento dei dati L autorizzazione ai trattamenti L informativa Il consenso I soggetti che effettuano il trattamento Le sanzioni in materia di privacy La notificazione al garante privacy Data breach La gestione delle richieste di informazioni e ispezioni dell autorita garante Il trasferimento di dati personali all estero Le specificita dei trattamenti dei dati personali nel settore analizzato Privacy e controlli a distanza in ambienti di lavoro Privacy e marketing Allegati: procedure Formulario 37

38 Grazie Referenti Dott. Michele Luigi Giordano Associate Partner Studio Associato (KPMG) E: T:

39 kpmg.com/socialmedia kpmg.com/app Tutte le informazioni qui fornite sono di carattere generale e non intendono prendere in considerazione fatti riguardanti persone o entità particolari. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. Non è consigliabile agire sulla base delle informazioni qui fornite senza prima aver ottenuto un parere professionale ed aver accuratamente controllato tutti i fatti relativi ad una particolare situazione Studio Associato - Consulenza legale e tributaria è un associazione professionale di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. Denominazione e logo KPMG sono marchi e segni distintivi di KPMG International Cooperative ( KPMG International ).