LA TUTELA DELL ECONOMIA E DELLA FINANZA: IL RUOLO DELLA GUARDIA DI FINANZA E DELLE AUTORITÀ GARANTI NELLA PROSPETTIVA DELL UNIONE EUROPEA INNOVAZIONI NORMATIVE E SVILUPPI DELLA PROTEZIONE DEI DATI PERSONALI Cosimo Comella <c.comella@gpdp.it> Dipartimento informatica e tecnologie
EVOLUZIONE DELLA PROTEZIONE DEI DATI PERSONALI IN EUROPA Telecom Package (2009) Proposta di regolamento generale sulla protezione dei dati personali (2012) Proposta di direttiva per i trattamenti per scopi di polizia e di giustizia Giurisprudenza della ECJ European Court of Justice 2
IL NUOVO QUADRO NORMATIVO DELLE COMUNICAZIONI ELETTRONICHE Telecom Package 3 Direttiva 2009/136/CE Modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori
LE INNOVAZIONI IN TEMA DI DATA BREACH (VIOLAZIONI DEI DATI) La direttiva 2009/136/CE e il Telecom Package Introduzione dell obbligo di notificazione dei data breaches Limitazioni alla possibilità di controllo o profilazione degli utenti nei servizi di comunicazione elettronica e nei servizi della società dell informazione Esigenze di aggiornamento e revisione della direttiva-quadro 95/46/CE sulla protezione dei dati personali 4
LE INNOVAZIONI IN TEMA DI DATA BREACH (VIOLAZIONI DEI DATI) Obbligo di notificazione dei data breaches occorsi nell esercizio di servizi di comunicazione elettronica Considerazioni in favore di un estensione di tale obbligo a settori diversi dalle TLC Ruolo di ENISA, EDPS, WP29, DPA nazionali 5
LE INNOVAZIONI IN TEMA DI DATA BREACH (VIOLAZIONI DEI DATI) I soggetti obbligati sono attualmente i soli fornitori di servizi di comunicazione elettronica Comunicazione senza indebiti ritardi all Autorità competente della avvenuta violazione di dati personali da essi detenuti Comunicazione agli interessati nei casi in cui possa prodursi pregiudizio per la privacy delle persone Viene prefigurata un estensione generalizzata dell obbligo di notifica delle violazioni dei dati personali a tutti i titolari pubblici e privati (whereas 59, directive 2009/136/CE), anche tenendo conto delle proposte di modifica del quadro normativo della protezione dei dati personali 6
GENERALIZZAZIONE DEGLI OBBLIGHI DI NOTIFICAZIONE DEI DATA BREACHES (59) [ ] Those notification requirements are limited to security breaches which occur in the electronic communications sector. However, the notification of security breaches reflects the general interest of citizens in being informed of security failures which could result in their personal data being lost or otherwise compromised, as well as of available or advisable precautions that they could take in order to minimise the possible economic loss or social harm that could result from such failures. The interest of users in being notified is clearly not limited to the electronic communications sector, and therefore explicit, mandatory notification requirements applicable to all sectors should be introduced at Community level as a matter of priority. [ ] the Commission, in consultation with the European Data Protection Supervisor, should take appropriate steps without delay to encourage the application throughout the Community of the principles embodied in the data breach notification rules contained in Directive 2002/58/EC (Directive on privacy and electronic communications), regardless of the sector, or the type, of data concerned. 7
DATA BREACHES E FURTI DI IDENTITÀ Nella direttiva 2009/136/CE si è tenuto conto, in particolare, del fatto che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l usurpazione d identità (cfr. whereas 61) 8
EVOLUZIONE NORMATIVA DELLA DATA PROTECTION EUROPEA Riforma su impulso della Commissione UE, del Parlamento e del Consiglio (2012) Finalità: rafforzare i diritti della on line data protection e stimolare l economia digitale Protezione dati è diritto fondamentale (Trattato Lisbona) Superare l attuale direttiva 46/95/EU e la Decisione quadro 2008/977/GAI (cooperazione giudiziaria e di polizia) Regolamento generale protezione dati + Direttiva (per attività giudiziaria e di polizia, materia penale) 9
LA PROPOSTA DI REGOLAMENTO GENERALE SULLA DATA PROTECTION Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) 25 gennaio 2012 10
LA PROPOSTA DI DIRETTIVA SUI TRATTAMENTI PER GIUSTIZIA E POLIZIA Proposta di DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati 25 gennaio 2012 11
PERCHÉ UN REGOLAMENTO uniformità normativa nell UE attuazione più efficace principi fondamentali immutati più attenzione a nuove tecnologie neutralità tecnologica riduzione oneri amministrativi per SME Maggiore collaborazione fra autorità europee sanzioni europee 12
PRINCIPALI NOVITÀ INTRODOTTE DAL REGOLAMENTO 13 Chi offre servizi o prodotti nell UE deve rispettare le norme UE Diritto all oblio Minori oneri (no a notificazione dei trattamenti) Maggiore responsabilizzazione per i data controller (Privacy by Design, Privacy Impact Assessment) Data Protection Officer (obbligatorio a certe condizioni)
PRINCIPALI NOVITÀ INTRODOTTE DAL REGOLAMENTO 14 Sportello unico (one-stop shop) per le imprese multinazionali Board europeo della protezione dati (al posto del WP29 - gruppo ex art. 29) con poteri di indirizzo e chiarificatori per la collaborazione fra DPA europee Quadro sanzionatorio uniforme Importo sanzioni in percentuale variabile del fatturato annuo, entro un limite massimo
PRINCIPALI NOVITÀ INTRODOTTE DAL REGOLAMENTO Il Regolamento introduce la nozione di main establishment nell UE al fine di individuare la DPA competente su titolari e responsabili che abbiano diverse sedi nel territorio dell Unione (Articolo 4(13)). Il Regolamento non risolve il problema degli eventuali effetti della legge nazionale oltre quelli rivolti al main establishment Ulteriore complessità derivante, per esempio, nel cloud computing dalla possibilità che titolari e responsabili siano sottoposti a giurisdizioni sovrapposte 15
PRINCIPALI NOVITÀ INTRODOTTE DAL REGOLAMENTO La proposta di regolamento prevede che rientrino nella portata della disciplina comunitaria sulla protezione dei dati quei trattamenti che comportino: L offerta di beni e servizi a interessati nell Unione Europea Il controllo dei comportamenti di interessati residenti nell Unione europea Le attività di controllo includono la profilazione su Internet volta a consentire scelte rispetto agli individui o per analizzare o predire gusti personali, comportamenti e attitudini (recital 21) 16
OPPORTUNITÀ E DIFFICOLTÀ APPLICATIVE DEL NUOVO REGOLAMENTO Passaggio da approccio burocratico, con notificazione formale dei trattamenti, a un regime in cui il titolare debba assicurare e dimostrare che soddisfi tutti i requisiti posti dal regolamento. Esigenza di maggior dettaglio e specificazione di come l obiettivo dell accountability possa essere perseguito in concreto. Mutamento significativo dell approccio europeo alla compliance. I titolari stabiliti nell UE dovranno mantenere documentazione relativa ai trattamenti, eseguire valutazioni di impatto dei trattamenti a rischio, assicurare adeguata protezione dei dati trasferiti all esterno dell UE. I cloud service providers stabiliti in UE saranno sottoposti a questo tipo di misure, che dovrebbero accrescere il livello di protezione dei trattamenti svolti nel territorio dell Unione. 17
PERCHÉ UNA DIRETTIVA IN MATERIA PENALE E DI POLIZIA I principi della protezione dei dati devono valere per tutti i trattamenti nazionali, non solo per i dati oggetto di scambio in un quadro di cooperazione intra-ue (ex Decisione quadro 2008/977) Garanzia di maggiore flessibilità per gli Stati Membri (riconoscimento tradizioni nazionali, specifiche e motivate esigenze investigative) 18
DIRETTIVA IN MATERIA PENALE E DI POLIZIA Principi generali applicabili in ogni caso (accuratezza, liceità) Diritti interessati (accesso, rettifica ) limitabili esclusivamente su base legislativa (in conformità ai principi della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali - CEDU) Data protection officer (obbligatorio) Trasferimenti dati (limiti) Misure di sicurezza dettagliate Sanzioni (principio generale) 19
EVOLUZIONE DELLA GIURISPRUDENZA EUROPEA ECJ E IL CASO GOOGLE SPAIN European Court of Justice Sentenza della Corte (grande sezione) del 13 maggio 2014 Google Spain SL e Google Inc. contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González. Domanda di pronuncia pregiudiziale: Audiencia Nacional - Spagna Causa C-131/12 Principio di stabilimento Diritto all oblìo 20
SOME THOUGHTS ABOUT THE SOCIAL IMPLICATIONS OF ACCESSIBLE COMPUTING E. E. David, Jr., Bell Telephone Laboratories, Inc. and R. M. Fano, Massachusetts Institute of Technology, Cambridge, Massachusetts (*) 21 The very power of advanced computer systems makes them a serious threat to the privacy of the individual. If every significant action is recorded in the mass memory of a community computer system, and programs are available for analyzing them, the daily activities of each individual could become open to scrutiny. While the technical means may be available for preventing illegal searches, where will society draw the line between legal and illegal? Will the custodians of the system be able to resist pressure from government agencies, special-interest groups, and powerful individuals? And what about the custodians themselves? Can society trust them with so much power?
SOME THOUGHTS ABOUT THE SOCIAL IMPLICATIONS OF ACCESSIBLE COMPUTING E. E. David, Jr., Bell Telephone Laboratories, Inc. and R. M. Fano, Massachusetts Institute of Technology, Cambridge, Massachusetts (*) These are very difficult questions indeed. For many purposes, information can be depersonalized before it is put into the central file. We can devise means for providing the equivalent of safe deposit boxes for private information. A hierarchical file system, personal and modular on the lower levels, and impersonal and merged on the upper levels, is another possibility. Processing and access by other than the owner could be restricted to the upper levels. In any case, privacy can be preserved if the lower levels are left decentralized. (*) AFIPS Fall Joint Computer Conference November 30 - December 1, 1965, Las Vegas, NV - USA 22
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Autorità amministrativa indipendente, sede a Roma operativa dal 8 maggio 1997 Fondamenti: direttiva 95/46/CE, recepita con Legge 675/1996 (abrogata), oggi d.lgs. 30 giugno 2003 n. 196 «Codice per la protezione dei dati personali» 23
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Organo collegiale con quattro componenti eletti da Camera e Senato che restano in carica sette anni (mandato non rinnovabile) Presidente eletto tra i componenti Attuale composizione: Antonello Soro (Presidente), Augusta Iannini (Vicepresidente), Licia Califano, Giovanna Bianchi Clerici (eletti nel 2012) Si avvale dell Ufficio composto da 125 unità di personale (16 dirigenti e 109 funzionari e impiegati operativi) e diretto da un Segretario generale 24
PER MAGGIORI INFORMZIONI www.gpdp.it (sito istituzionale) Email: garante@gpdp.it URP: 06-696771 25
FINE 26