Privacy - Nuovo Regolamento Europeo

Transcript

1 Privacy - Nuovo Regolamento Europeo Le aziende hanno necessità di adeguarsi Confindustria Chieti - Pescara 15 Novembre, 2017

2 Agenda Sezione I - Il nuovo Regolamento Europeo sulla Privacy: le principali novità Sezione II - Le novità del Regolamento ed il potenziale impatto ai diversi livelli dell organizzazione Sezione III - Le prime ispezioni delle Autorità Garanti Q&A Ringraziamenti PwC

3 Sezione I Il nuovo Regolamento Europeo sulla Privacy: le principali novità PwC

4 Approvazione ed entrata in vigore Dopo un iter legislativo durato oltre 4 anni, il 14 aprile 2016 il Parlamento Europeo e il Consiglio hanno approvato in via definitiva il Regolamento in materia di protezione dei dati personali, entrato in vigore il 24 maggio Decorso un periodo di transizione pari a due anni, dal 25 maggio 2018 le disposizioni in esso contenute saranno direttamente applicabili in tutta l Unione europea. L entrata in vigore del Regolamento comporterà, di conseguenza, l abrogazione della Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 «relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali» implementata in Italia dal Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). One continent, one law La scelta del Regolamento è determinante per il superamento della frammentazione normativa che ha caratterizzato il panorama europeo in materia di protezione dei dati personali negli ultimi decenni. A differenza della Direttiva, infatti, il Regolamento consente la creazione di una disciplina omogenea in tutta l Unione, essendo direttamente applicabile in tutti gli Stati membri senza la necessità di recepimento locale. PwC 4

5 Sintesi delle principali novità Perimetro La riforma coinvolge tutti gli Stati UE (sostituendo le singole legislazioni nazionali) e chiunque tratti dati di cittadini europei (a prescindere dalla localizzazione sede legale del titolare del trattamento) Responsabilità Viene disciplinato in modo più dettagliato il ruolo di responsabile del trattamento, il contenuto del contratto di nomina e le relative responsabilità, anche dirette nei confronti degli interessati Informative chiare Viene rafforzato l obbligo di fornire informative semplici e chiare al fine di rafforzare il controllo degli interessati rispetto al trattamento dei propri dati personali Diritto all oblio La riforma introduce il diritto dell interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali al ricorrere di determinate specifiche ipotesi Perimetro Responsabilità Informative Data portability Viene introdotto il diritto alla portabilità del dato che permette all interessato di ricevere i propri dati su un formato strutturato e leggibile e/o di farli trasmettere da un titolare all altro Privacy by design & by default Il titolare deve implementare misure idonee a proteggere i dati sin dal momento di determinazione dei mezzi di trattamento (privacy by design) e garantire solo il trattamento dei dati necessari al perseguimento di specifiche finalità per cui sono raccolti (privacy by default) Data breach notification Viene previsto che determinate violazioni di dati debbano essere segnalate sia al Garante che agli interessati senza ritardo e, in alcuni casi, entro 72 ore dalla violazione. Sanzioni La riforma ha incrementato in modo molto significativo le sanzioni derivanti dall inosservanza delle disposizioni in tema di privacy, sino ad un massimo di o al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore Registri del trattamento Il regolamento introduce l obbligo per il titolare e il responsabile del trattamento di conservare, anche in formato elettronico, un registro dei trattamenti effettuati, contenente alcuni specifici dettagli Data Protection Officer Viene introdotta, per talune tipologie di titolari, la figura del Data Protection Officier (DPO), che ha i compiti di sorvegliare l osservanza delle disposizioni privacy, fornire consulenza e pareri e fungere da contatto con il Garante o gli interessati Privacy Impact Assessment Viene introdotto l obbligo per ciascun titolare di svolgere, e di conseguenza documentare, una autovalutazione del rischio derivante dai trattamenti effettuati e, sulla base degli esiti delle analisi, di effettuare una consultazione preventiva con l Autorità garante PwC 5

6 Capo I Disposizioni generali PRINCIPALI DEFINIZIONI (art. 4) Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); è identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l organizzazione, la strutturazione, la conservazione, l adattamento o la modifica, l estrazione, la consultazione, l uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l interconnessione, la limitazione, la cancellazione o la distruzione Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di dettapersona fisica Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile Consenso dell interessato: qualsiasi manifestazione di volontà, libera, specifica, informata e inequivocabile dell interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento PwC 6

7 Capo I Disposizioni generali PRINCIPALI DEFINIZIONI (art. 4) (segue) Titolare del trattamento («data controller»):la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali Responsabile del trattamento («data processor»): la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento Titolare/contitolari Responsabile DPO Sub-Responsabile Organizzazione del titolare Organizzazione del responsabile PwC Data Protection Officer: nuova figura del responsabile della protezione dei dati (DPO), obbligatoria in presenza di determinati requisiti aziendali, che dovrà essere designato dal Titolare e dal Responsabile del trattamento. Il DPO può essere un dipendente del proponente o un soggetto esterno vincolato da un contratto di servizi, che sia (i) esperto nella protezione dei dati e (ii) idoneo a progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo con i sistemi di gestione aziendali, per curare l'adozione di misure minime di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge 7

8 Capo I Disposizioni generali AMBITO DI APPLICAZIONE MATERIALE (art. 2) Il Regolamento si applica a: trattamenti interamente o parzialmente automatizzati e non automatizzati (i.e. manuali ) contenuti in archivio o destinati a figurarvi trattamenti di dati di persone fisiche. Il Regolamento non si applica ai trattamenti di dati personali effettuati: per attività che non rientrano nell ambito di applicazione del diritto dell Unione dagli Stati membri nell esercizio di attività rientranti nella politica estera e di sicurezza comune da persona fisica per l esercizio di attività di carattere esclusivamente personale o domestico (QUINDI SENZA COLLEGAMENTI A ATTIVITA COMMERCIALE E PROFESSIONALE) dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardi contro minacce alla pubblica sicurezza e la prevenzione delle stesse PwC 8

9 Capo I Disposizioni generali AMBITO DI APPLICAZIONE TERRITORIALE (art. 3) Il Regolamento si applica: al trattamento dei dati qualora il titolare o il responsabile sia stabilito nell Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell Unione se il titolare o responsabile del trattamento non è stabilito nell Unione quando il trattamento ha ad oggetto: l offerta di beni o la prestazione di servizi ad interessati all interno dell Unione; il monitoraggio del comportamento degli interessati all interno dell Unione. PwC 9

10 Capo II Principi Principi generali applicabili al trattamento AMBITO (art. DI APPLICAZIONE 5) Liceità, correttezza e trasparenza nei confronti dell interessato Limitazione delle finalità Minimizzazione dei dati Esattezza Limitazione della conservazione Integrità e riservatezza Responsabilizzazione del titolare Il titolare del trattamento è competente per il rispetto dei principi e in grado di comprovarlo PwC 10

11 Capo II Principi Liceità del trattamento (art. 6) AMBITO DI APPLICAZIONE CONSENSO Esecuzione contratto Obbligo legale Salvaguardia interessi vitali Compito di interesse pubblico Perseguimento legittimo interesse titolare Il consenso deve essere informato, libero, specifico ed inequivocabile. Una novità rispetto alla previgente normativa consiste nella circostanza che non è richiesta una forma specifica, salvo eccezioni specifiche. In generale, deve considerarsi perfettamente valido anche il consenso espresso attraverso comportamento concludente, purché «inequivocabile», salvo in ipotesi di trattamento di dati sensibili, decisioni unicamente basate su trattamento automatizzato e trasferimenti di dati in Paesi extra UE non ritenuti «adeguati». Condizioni per il consenso (art. 7) Profilo probatorio: Profilo formale: il titolare deve essere in grado di dimostrare che l interessato ha espresso il proprio consenso se il consenso è prestato in una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Profilo dell efficacia: l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. Il consenso è revocato con la stessa facilità con cui è accordato PwC 11

12 Capo III Diritti dell interessato DIRITTO ALL INFORMATIVA Il diritto all informativa, già previsto nella previgente normativa, viene ulteriormente dettagliato ed arricchito dal Regolamento che, in particolare, ne ravvisa tre tipologie: informativa «diretta», in occasione della raccolta dei dati personali presso l interessato. Non è necessario un contatto diretto, ciò che conta è che la fonte di provenienza dei dati sia immediatamente l interessato e non altro titolare di trattamento; informativa «successiva», in occasione della raccolta dei dati personali da altro titolare (es. fonte pubblicamente accessibile, web, registri pubblici, etc.); informativa «ulteriore», in occasione del mutamento della finalità rispetto a dati già raccolti in uno dei casi precedenti. Ferma restando la necessità di acquisire il consenso dell interessato in ipotesi di informativa «diretta», quella «successiva» poggia su una condizione di liceità diversa dal consenso, come ad esempio un obbligo di legge, l'adempimento di un compito di interesse pubblico, legittimo interesse del titolare, etc. Il quest ultimo caso, la circolazione dei dati comporta la necessità per il primo titolare di informare l interessato ed acquisirne il consenso alla comunicazione e, per il secondo titolare di fornire l informativa «successiva» «entro un termine ragionevole dall ottenimento dei dati personali, ma il più tardi entro un mese». Il trattamento per finalità ulteriori costituisce una deroga ai principi generali e, pertanto, è possibile solo previo consenso PwC 12

13 Capo III Diritti dell interessato CONTENUTI DELL INFORMATIVA Informativa ex art. 13, D.Lgs 196/2003 Estremi identificativi del titolare, dell eventuale rappresentante e del responsabile Finalità e modalità del trattamento NA Natura obbligatoria o facoltativa del conferimento dei dati e conseguenza del rifiuto Soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati e l ambito di diffusione degli stessi NA NA Diritti di cui all art. 7, D.Lgs. 196/2003 Informativa ex art. 13, Regolamento (c.d. Informativa «diretta») Identità del titolare e dell eventuale rappresentante, contatti di costoro e del DPO Finalità del trattamento Base legittima del trattamento. Se questa è costituita da interesse legittimo, ciò va specificato Eventuali obblighi di legge o di contratto alla base della fornitura dei dati personali e conseguenze del rifiuto Ambito di circolazione dei dati per destinatari o categorie specificando, ove l ambito sia extra UE, se vi è una decisione di adeguatezza, o in mancanze le garanzie di cui agli artt. 46, 47 e 49.1, Regolamento Durata del trattamento (eventuale) Processo decisionale basato unicamente su trattamento automatizzato, logica utilizzata, conseguenze per l interessato Diritti dell interessato: accesso, rettifica/integrazione, cancellazione, limitazione, opposizione, portabilità, reclamo ad Autorità garante, revoca del consenso PwC 13

14 Capo III Diritti dell interessato DIRITTO D ACCESSO L interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento che lo riguardi e in tal caso di ottenere l accesso ai dati personali e una serie di informazioni tra cui: le finalità del trattamento le categorie di dati personali in questione i destinatari a cui i dati personali sono stati o saranno comunicati quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo l'esistenza del diritto dell'interessato di chiedere al titolare la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento il diritto di proporre reclamo a un'autorità di controllo qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine l'esistenza di profilazione e informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. PwC 14

15 Capo III Diritti dell interessato DIRITTO DI RETTIFICA L interessato ha diritto di ottenere dal titolare la rettifica di dati personali inesatti senza giustificato ritardo. Tenuto conto della finalità del trattamento, l interessato ha anche il diritto di ottenere l integrazione dei dati. PROCESSO DECISIONALE AUTOMATIZZATO - PROFILAZIONE L interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Questa disposizione non si applica qualora la decisione: a) sia necessaria per la conclusione o l esecuzione di un contratto b) sia autorizzata dal diritto dell Unione o dello Stato membro cui è soggetto il titolare che precisa misure adeguate a tutela dell interessato c) si basi sul consenso esplicito dell interessato PwC 15

16 Tenuta dei registri del trattamento TENUTA DEI REGISTRI DEL TRATTAMENTO Il Regolamento introduce l obbligo per titolare e responsabile del trattamento di registrare e conservare, anche su formato elettronico, la documentazione relativa ai trattamenti effettuati. Tale adempimento sostituisce la figura della notifica al Garante previsto dalla normativa italiana fino ad oggi in vigore. Devono tenere il registro i titolari ed i responsabili: a) che effettuano il trattamento nell ambito di imprese o organizzazioni con più di 250 dipendenti; b) che effettuano trattamenti che possano presentare rischi per i diritti e le libertà degli interessati; c) che effettuano trattamenti non occasionali di categorie particolari di dati (sensibili, biometrici, ecc.) Il registro deve indicare: nome e dati di contatto del titolare; finalità del trattamento; categorie di interessati e di dati trattati; categorie di terzi a cui i dati possono essere comunicati; trasferimenti di dati verso paesi terzi ed indicazione delle adeguate garanzie; termini ultimi per la cancellazione; descrizione generale delle misure di sicurezza; PRINCIPIO DI ACCOUNTABILITY Il titolare del trattamento è tenuto a porre in essere misure tecniche ed organizzative idonee a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto previsto dal regolamento. PwC 16

17 Codici di condotta e certificazione CODICI DI CONDOTTA CERTIFICAZIONE (adozione volontaria) Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del regolamento Le associazioni e gli altri organismi che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto all'autorità di controllo competente che lo approva, se ritiene che offra in misura sufficiente garanzie adeguate. Monitoraggio Il codice di condotta contiene i meccanismi che consentono all'organismo accreditato di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti. La Certificazione è rilasciata dagli organismi di certificazione o dall'autorità di controllo competente. Non riduce la responsabilità del titolare e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti. 7. La certificazione è rilasciata per un periodo massimo di tre anni e può essere rinnovata. La certificazione è revocata, se del caso, dagli organismi di certificazione o dall'autorità di controllo competente, qualora non siano o non siano più soddisfatti i requisiti. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato. PwC 17

18 Il responsabile della protezione dei dati DATA PROTECTION OFFICER Il titolare e il responsabile del trattamento sono tenuti a nominare un DPO se: a) il trattamento è effettuato da un autorità pubblica o da un organismo pubblico; b) il trattamento, per la sua natura, il suo scopo o le sue finalità, implica il regolare o sistematico monitoraggio degli interessati su larga scala; c) l attività del titolare ha prevalentemente ad oggetto il trattamento, su larga scala, di dati sensibili (i.e. relativi alla salute o alla vita sessuale, genetici, giudiziari, biometrici); Il DPO è incaricato delle seguenti funzioni: informare il Titolare o il Responsabile del Trattamento sugli adempimenti richiesti dalla normativa; verificare la conformità del trattamento con le disposizioni del Regolamento; fornire supporto per l impact assessment; cooperare con l Autorità di controllo. Il DPO dovrà avere le seguenti caratteristiche: essere designato in funzione delle sue qualità professionali (i.e. conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e della capacità di adempiere ai compiti di cui esso è responsabile); agire in totale indipendenza; avere accesso a risorse umane e finanziarie necessarie ad adempiere ai propri compiti; riportare direttamente ai superiori gerarchici del titolare o del responsabile del trattamento (i.e. il CEO). Un gruppo di imprese può nominare un unico responsabile della protezione dei dati purché questo sia facilmente raggiungibile da ciascuno stabilimento PwC 18

19 Sanzioni AMBITO DI APPLICAZIONE INCREMENTO DELLE SANZIONI Il regolamento ha introdotto un profondo cambiamento nel sistema sanzionatorio, oggi caratterizzato da un notevole aumento del massimo edittale. In particolare, la recente normativa prevede due livelli di sanzioni: Fino a o al 2% del fatturato mondiale totale annuo dell esercizio precedente, se superiore Rientrano nel primo livello, tra le altre, la violazione delle disposizioni in materia di: Fino a o al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore Rientrano nel secondo livello, tra le altre, la violazione delle disposizioni in materia di: designazione del DPO, e adempimenti connessi; principi generali applicabili al trattamento; valutazione di impatto; condizioni di liceità del trattamento, incluso il mansioni e responsabilità del responsabile del consenso; trattamento; trattamento di categorie particolari di dati; accordo tra i contitolari del trattamento per la rispetto dei diritti dell interessato; determinazione delle rispettive responsabilità; principi per il trasferimento dei dati extra UE; registri delle attività di trattamento; norme nazionali in tema di rapporti di lavoro. misure di sicurezza adeguate; notifica al Garante di una violazione dei dati personali; comunicazione all interessato di una violazione dei dati personali; Privacy by design e by default. PwC 19

20 2016: sanzioni e perimetro dell attività ispettiva SANZIONI PRIMO SEMESTRE 2016: SIGNIFICATIVO INCREMENTO Newsletter del Garante n. 419 del 15 settembre 2016 Le sanzioni riscosse sono state pari ad 1 milione e 900 mila Euro (più 5% rispetto al primo semestre 2015). Le sanzioni contestate sono state superiori a 2000 (più 44% rispetto al primo semestre 2015). PIANO ISPETTIVO SECONDO SEMESTRE 2016: AMBITI DI INTERVENTO Deliberazione del Garante n. 327 del 28 luglio 2016 Società di telemarketing e call center. Trattamenti di dati personali effettuati dai Patronati con riferimento al 730 precompilato. Concessionarie di giochi on line. Alcuni sistemi informativi dell ISTAT. Le società che si occupano di ristrutturazione del debito. Come di prassi: (i) istruttore avviate su segnalazioni, reclami e ricorsi dei cittadini; (b) verifica dell obbligo di notificazione; (c) il rispetto delle norme sull informativa ed il consenso, nonché (d) l adozione di misure di sicurezza a protezione dei dati personali sensibili trattati da soggetti pubblici e privati. PwC 20

21 Sezione II - Le novità del Regolamento ed il potenziale impatto ai diversi livelli dell organizzazione PwC

22 Il potenziale impatto ai diversi livelli dell organizzazione Responsabile del Trattamento Data Protection Officer (DPO) Privacy By Design e By Default Anonimizzazione e pseudonimizzazione Privacy Impact Assessment Portabilità dei dati Diritto all oblio Data Breach Notification Misure di Sicurezza Sanzioni Impatti Organizzativi Impatti Tecnico -Organizzativi Impatti Tecnici Impatti Economici PwC 22

23 Privacy by design/privacy by default PRIVACY BY DESIGN / PRIVACY BY DEFAULT Già implicitamente introdotti dalla normativa precedente, il nuovo Regolamento per la prima volta espressamente disciplina i concetti di Privacy by design e Privacy by default. Privacy by design Consiste nell obbligo del titolare del trattamento di tenere in considerazione le previsioni dettate dal Regolamento sin dal momento della progettazione dei sistemi informatici con cui il trattamento verrà posto in essere, e per tutta la durata dello stesso. In fase di raccolta dei requisiti sarà necessario che il titolare del trattamento tenga immediatamente conto delle previsioni imposte dalla nuova normativa. Privacy by default Consiste nell obbligo del titolare del trattamento di porre in essere meccanismi volti a garantire, di default, cheoggetto del trattamento saranno unicamente quei dati strettamente necessari al perseguimento delle specifiche finalità per cui sono stati raccolti. In altri termini, la tutela della protezione dei dati personali deve diventare l impostazione predefinita. i.e. «ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza». PwC 23

24 Privacy impact assessment PRIVACY IMPACT ASSESSMENT Quando il trattamento, in particolare se effettuato per mezzo delle nuove tecnologie, perlasuanatura, ilsuooggetto, olesuefinalità, presenta rischi specifici per i diritti e le libertà degli interessati Il trattamento non presenta un alto grado di rischi specifici Privacy Impact Assessment Descrizione generale del trattamento Assessment della necessità e proporzionalità del trattamento in relazione alle finalità Valutazione dei rischi e le misure previste per affrontarli (ISO31000, ISO27005:12, ecc) Le misure di sicurezza e i meccanismi per garantire la protezione dei dati (anonimizzazoine e psuedominizzazione)! Il trattamento presenta alto grado di rischi specifici Le autorità di controllo dovranno rendere pubblico un elenco delle tipologie di trattamento che richiedono un privacy impact assessment, nonché un elenco di trattamenti che, al contrario, non richiedono tale verifica. Al momento qualunque tipo di formulazione circa i trattamenti che potrebbero ricadere nell ambito di applicazione è prematura. Il responsabile prima di procedere al trattamento consulta l autorità di controllo, la quale deve pronunciarsi entro un termine predeterminato. PwC 24

25 Data Portability DATA PORTABILITY Il Regolamento ha rafforzato notevolmente i diritti riconosciuti in capo alle persone fisiche, introducendo, in particolare, il diritto alla portabilità dei dati Il diritto alla portabilità dei dati consente all interessato, di ottenere: 1) la restituzione dei propri dati forniti su un formato strutturato, di uso comune e leggibile da dispositivo automatico; 2) se tecnicamente fattibile, la trasmissione diretta dei dati da un titolare del trattamento all altro. Perché l interessato possa esercitare il diritto alla portabilità dei dati è necessario che il trattamento: sia basato sul consenso dell interessato o sia effettuato in esecuzione di un contratto, nonpotendo pertanto essere esercitato laddove il trattamento sia fondato su un presupposto giuridico diverso; sia effettuato con mezzi automatizzati. PwC 25

26 Diritto all Oblio DIRITTO ALL OBLIO Il Regolamento ha introdotto il diritto dell interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano. Su richiesta dell interessato, il titolare deve provvedere alla cancellazione senza ingiustificato ritardo. L interessato può esercitare il diritto alla cancellazione dei dati se ricorrono i seguenti motivi: i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti; l interessato revoca il consenso sulla base del quale il trattamento è stato effettuato o vengono meno gli altri presupposti del trattamento; l interessato si oppone al trattamento e non sussiste alcun motivo legittimo del titolare; i dati sono trattati illecitamente; idatidevonoesserecancellatiperadempiereun obbligo legale previsto dall Unione / Stato membro cui è soggetto il titolare del trattamento; i dati sono raccolti relativamente all offerta di servizi della società dell informazione. L interessato non può esercitare il diritto alla cancellazione dei dati se, tra le altre cose, il trattamento è necessario per: l esercizio del diritto alla libertà di espressione e di informazione; l adempimentodiunobbligolegaleprevistodal diritto dell Unione / Stato membro cui è soggetto il titolare o per l esecuzione di un compito svolto nel pubblico interesse o nell esercizio di pubblici poteri di cui è investito il titolare; l accertamento, l esercizio o la difesa di un diritto in sede giudiziaria. PwC 26

27 Misure di Sicurezza (art. 32) MISURE DI SICUREZZA Punto di attenzione: le «Misure di sicurezza» non sono definite Articolo 32 : «Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento». PwC 27

28 Misure di Sicurezza (art.32) L applicazione delle misure di sicurezza non è più direttamente collegata ad un requisito normativo esplicito che descriva le misure minime da implementare, ma viene introdotto il principio di «misure adeguate» al fine di presidiare in modo corretto i rischi legati alla gestione dei dati personali e valutabili in funzione delle finalità e del contesto in cui questi dati vengono utilizzati. Sviluppo sicuro Pseudonominizzazione Crittografia Anonimizzazione Antivirus Password Policy Data Protection Impact Assessmet Livello di Rischio Misure di sicurezza Segregazione dei compiti La valutazione degli impatti deve essere fatta ex-ante il trattamento dei dati e deve dare origine ad una valutazione del rischio. Alto Basso La valutazione del rischio deve essere aggiornata a fronte di variazioni rilevanti del contesto o dei potenziali impatti. Alte Basse Le misure di sicurezza possono essere quindi un mix di processi, tecnologie e formazione e devono garantire: l integrità dei dati personali; la sicurezza dei sistemi e dei servizi che trattano i dati personali; la possibilità di data recovery in caso di incidente fisico o tecnico; l accesso ai dati soltanto da parte del personale autorizzato e solo per gli scopi previsti dalla legge. Anti-spam Training & Awareness Intrusion Prevention System Firewall Disaster Recovery Backup & Restore SIEM PwC 28

29 Data Breach Notification DATA BREACH NOTIFICATION Il Regolamento prevede obblighi informativi in capo al titolare del trattamento in caso di personal data breach sia nei confronti della competente Autorità di controllo senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è giunto a conoscenza, sia nei confronti dell interessato, nel caso in cui dalla violazione possa derivare un elevato rischio per i diritti e le libertà dell individuo. Il responsabile deve documentare la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio La notificazione deve contenere: Natura della violazione dei dati Identità e coordinate di contatto del Data Protection Officer Conseguenze della violazione Misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione, incluse quelle per attenuarne gli effetti Non è richiesta nel caso in cui: 1) siano state adottate misure tecniche ed organizzative tali da rendere i dati incomprensibili per i non autorizzati; 2) siano adottate misure idonee ad evitare il sopraggiungere di un rischio elevato per gli interessati; 3) la comunicazione implicherebbe sforzi sproporzionati. DATA BREACH Accesso non autorizzato ai dati personali, distruzione accidentale o perdita dei dati, divulgazione, modificazione, copia o rimozione in assenza di autorizzazione. PwC 29

30 Recenti chiarimenti del Garante Italiano Ambito Registri delle attività di trattamento (art. 30) Previsione Regolamento Europeo Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. (omissis) Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato Suggerimento del Garante Italiano di apr 2017 (omissis) la tenuta del registro non è aspetto formale bensì parte integrante di una corretta gestione dei dati personali. Per tale ragione si invitano tutti i Titolari, a prescindere dalla dimensione, a compiere un accurata ricognizione (omissis) PwC 30

31 Recenti chiarimenti del Garante Italiano Ambito Sicurezza del trattamento (art. 32) Previsione Regolamento Europeo Tenendo conto dello stato dell'arte, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Suggerimento del Garante Italiano di apr 2017 (Omissis) La lista di cui al paragrafo 1 è una lista aperta e non esaustiva. (omissis) Dopo il non potranno sussistere obblighi generalizzati di adozione di misure minime (ex Allegato B) poiché la valutazione sarà rimessa caso per caso in base ai rischi PwC 31

32 Linee Guida del Working Party 29 (ex art 29 Direttiva 95/46) Ambito Privacy Impact Assessment (art. 35) Previsione Regolamento Europeo (omissis) La valutazione contiene almeno: (omissis) c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. Linea Guida (apr 2017) Tabella 3 ex DPS? No, 21 pagine di linea guida E le proposte applicative? Quella tedesca: 47 pagg Quella spagnola: 72 pagg PwC 32 Quella inglese: 51 pagg

33 Sezione III - Le prime ispezioni delle Autorità Garanti PwC

34 Le prime ispezione delle Autorità Garanti Caso Google Spagna Fonte: ANSAmed 20/12/2016 [ ] L'Agenzia spagnola per la protezione dei dati (AEPD) ha imposto una multa a Google contestando tre "gravi infrazioni" alla legge sulla privacy. Per ogni infrazione la multa è di 300 mila euro, per complessivi 900 mila euro.[ ] [ ] L'Agenzia considera che Google "violi gravemente" il diritto alla riservatezza dei dati riconosciuto a tutti i cittadini dall'articolo 18 della Costituzione spagnola. Il procedimento che ha portato all'attuate provvedimento era stato avviato nel giugno scorso contro il colosso statunitense. Si contestano la politica sulla privacy; la mancanza di informazioni chiare; l'assenza di scopi specifici nei vari servizi; il trattamento sproporzionato dei dati dell'utente e la conservazione degli stessi oltre i tempi normali.[ ] PwC 34

35 Le prime ispezione delle Autorità Garanti Caso Transfer Money Fonte: Tech Economy 21/03/2017 [ ] Il Garante per il trattamento dei dati personali ha emesso una sanzione di 11 milioni di euro che dovrebbe far riflettere le imprese italiane. Il Garante italiano già deteneva il record della più alta sanzione emessa nell Unione europea per la violazione della normativa privacy: 1 milione di euro nel 2014 nei confronti di Google per la raccolta di immagini relative al servizio Google Street View. E stavolta non è stato da meno. [ ] [ ] Il Garante ha sanzionato una società inglesee4aziendeitalianeche raccoglievano e trasferivano somme di denaro in Cina a favore di imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche delle leggi sulla protezione dei dati personali. Tali società eludevano le leggi antiriciclaggio tramite trasferimenti di denaro frazionati in importi tali da essere al di sotto della soglia di rilevanza, attribuendole a migliaia di ignari individui i cui dati personali venivano trattati in violazione di legge. [ ] PwC 35

36 Le prime ispezione delle Autorità Garanti Caso Tim Fonte: Digital Day 15/05/2017 [ ] Secondo la sentenza del tribunale di Milano, che di fatto conferma la sanzione del Garante della Privacy, TIM avrebbe esercitato in modo illecito le proprie attività di telemarketing e in particolare usato(illecitamente)idatidi2milionidiex clienti. L'operatore li avrebbe contattati nella speranza di riconquistarli, ma secondo la normativa sulla privacy (da cui la sanzione del Garante) tale attività è lecita solo se l'utente ha espressamente fornito il consenso ad essere ricontattato. [ ] [ ] Secondo quanto emerso dal procedimento, TIM avrebbe ricontattato 2 milioni di clienti proprio al fine di ottenere questo consenso: l'azienda la considerava un'attività lecita poichè non pubblicitaria, il Garante (con successiva conferma da parte del Tribunale di Milano) è di diverso avviso poichè parte di un'attività di telemarketing volta a "riconquistare" il cliente perso. L'operatore può contattare liberamente le persone qualora si avvalga dell'elenco telefonico,mainquestocasoèstatousatoun database di ex-clienti, il che impone a TIM di ottenere il consenso (prima) di lanciarsi in attività di telemarketing diretto. [ ] * Importo della sanzione in fase di determinazione. PwC 36

37 Le prime ispezione delle Autorità Garanti Caso Facebook Francia Fonte: ictbusiness.it 17/05/2017 [ ]IlCnilhasottolineatocomela sanzione, applicata sia a Facebook Inc sia a Facebook Ireland, èpartedi un indagine a livello europeo che è portata avanti anche in Belgio, Paesi Bassi, Spagna e Germania. L ente ha inoltre aggiunto che la multa, ridicola in confronto ai numeri generati dal social network (435 miliardi di dollari di capitalizzazione di mercato e ultimo fatturato trimestrale di circa 8 miliardi), ha toccato il tetto massimo oltre cui il Cnil non poteva andare a inizio indagine. Una legge francese, poi modificata a ottobre 2016, imponeva infatti questo limite alle sanzioni applicabili. [ ] [ ] A maggio dell anno prossimo scatterà infatti l obbligo per tutte le aziende comunitarie che trattano informazioni di clienti e utenti di rispettare puntigliosamente il nuovo regolamento approvato da Bruxelles nel L insieme di norme, noto come Gdpr, in caso di violazioni prevede anche multe fino a un massimo del 4 per cento del fatturato globale delle società colte in fallo. [ ] PwC 37

38 Le prime ispezione delle Autorità Garanti Caso Telecom Fonte: Il Fatto Quotidiano.it 19/05/2017 [ ] coinvolgendo almeno 644 utenti e linee telefoniche. Ma a colpire non è solo l estensione della violazione ma la sua durata: il data breach avrebbe avuto inizio, a quanto pare, tra il 2001 e il 2003, edèandato avanti finora tra la sostanziale indifferenza della società telefonica che, pur essendo conscia del problema (le segnalazioni e i reclami degli utenti erano stati, infatti, numerosi) non ha approntato le dovute misure per arginare il fenomeno e non ha nemmeno comunicato l avvenuto data breach al Garante, così come espressamente richiesto dalla normativa in vigore. [ ] [ ] Tuttavia non si può non rimanere interdetti nel constatare amaramente la gravità non solo della condotta negligente e omissiva da parte di Telecom, che ovviamente non ha provveduto a porre in essere neppurelemisurenecessariecheilgaranteaveva prescritto in un suo provvedimento già nel 2006, ma anche dell inerzia della stessa società a fronte delle numerose segnalazioni degli utenti interessati che si sono susseguite nel corso degli anni. [ ] * Importo della sanzione in fase di determinazione. PwC 38

39 Le prime ispezione delle Autorità Garanti Caso Enel Fonte: Digital Day 25/05/2017 [ ] Ecco perché i grandi gruppi che vivono di servizi ai consumatori stanno cambiando strada. E'ilcasodiEnel che ha annunciato che "non chiamerà più al telefono per stipulare nuovi contratti di fornitura per elettricità a gas", a partire dal prossimo primo giugno. Enel si muove così senza aspettare le nuove norme, promesse dal Governo, per mettere un freno al telemarketing selvaggio. [ ] [ ] Di un fenomeno collegato al telemarketing si è occupata, di recente, anche un'altra autorità di controllo. L'Antitrust ha aperto un procedimento nei confronti proprio di Enel, assieme ad A2a ed Acea per operazioni di recupero clienti passati ad altri operatori, approfittando della loro posizione dominante sul mercato. Tutto ciò utilizzando dati già in possesso, compresi i numeri di telefono e indirizzi. [ ] * Importo della sanzione in fase di determinazione. PwC 39

40 Le prime ispezione delle Autorità Garanti Caso Wind Tre Fonte: key4biz 05/06/2017 [ ] Wind Tre dovrà comunicare per iscritto a oltre 5mila clienti di aver subito un attacco informatico lo scorso 20 marzo, che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per l accesso al loro profilo online e al rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti. Lo ha stabilito il Garante Privacy nel suo provvedimento n. 226 dell 11 maggio scorso, a tutela di tutte le vittime dell attacco informatico, potenzialmente esposte al rischio di furti di identità e di accessi non autorizzati ai dati personali. [ ] [ ] Il Garante invece, ha ribadito che la sola acquisizione delle credenziali di accesso è già di per sé fonte di potenziale pregiudizio, indipendentemente dal loro effettivo utilizzo da parte degli hacker. In altre parole, in caso di data breach l azienda doveva avvertire tutti i clienti vittima del furto delle credenziali enon soltanto i 402 clienti per i quali risultava un accesso all area personale al momento del suo rilevamento il 20 marzo. [ ] * Importo della sanzione in fase di determinazione. PwC 40

41 Q&A PwC

42 Grazie! PwC