Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Italia) l’approccio alla Privacy [I Parte]

563 views

Published on

Seminario del 24 Ottobre 2013 tenuto dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2013

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
563
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
13
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Italia) l’approccio alla Privacy [I Parte]

  1. 1. Privacy  by  design:  le  nuove  norme   europee  che  rivoluzioneranno   (anche  in  Italia)  l’approccio  alla   Privacy   24  O%obre  2013  –  Seminario  CSIG   Centro  Studi  Informa0ca  Giuridica  di  Milano   Avv. Andrea Maggipinto Ing. Igor Serraino www.serraino.it www.maggipinto.org Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   1  
  2. 2. Agenda   v  Scenario     v  Una  nuova  Norma;va  Privacy   v  “Privacy  by  Design”   v  Data  Protec;on  Officer   v  Security  e  Privacy  Impact  Analysis     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   2  
  3. 3. Scenario  aBuale        DireCva  “Madre”  95/46/CE                  Legge  675/96      Decisione  Quadro  2008/977/GAI        DireQva  97/66/CE                  DireCva  2002/58/CE  (e  s.m.i.)           D.Lgs.  196/2003  (e  s.m.i.)     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   3  
  4. 4. Perché  un  intervento  a  livello  europeo?   “Ogni  persona  ha  diri:o  alla  protezione  dei  da0  di  cara:ere  personale   che  la  riguardano”   Ø   Art.  8  della  “Carta  dei  diriQ  fondamentali  dell’Unione  europea”   Ø   Art.  16  del  TFUE  -­‐  Tra%ato  sul  Funzionamento  dell’Unione  Europea     “Ogni  persona  ha  diri:o  al  rispe:o  della  propria  vita  privata  e   familiare,  del  proprio  domicilio  e  della  propria  corrispondenza”   Ø   Art.  8  Convenzione  Europea  dei  DiriQ  dell’Uomo       Evoluzione  tecnologica   (e  dei  “costumi”)            Social  Networking,  Web  2.0,  Cloud,    Pubblicità  comportamentale,  next?   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   4  
  5. 5. ABeggiamenU  nei  confronU  della  protezione  dei  daU   §   Il  58  %  degli  europei  ri;ene  che  non  si  possa  fare  altro  che  rivelare   informazioni  personali  se  si  vogliono  o%enere  prodoQ  o  servizi.   §   Il  79  %  degli  uten;  di  si;  di  condivisione  e  di  re;  sociali  è  incline  a   rivelare  il  proprio  nome,  il  51  %  la  propria  fotografia  e  il  47  %  la   propria  nazionalità.  Chi  fa  acquis;  online  di  norma  fornisce  il  proprio   nome  (90  %),  il  proprio  indirizzo  (89  %)  e  il  numero  di  telefono   cellulare  (46  %).     §   Soltanto  un  terzo  degli  europei  sa  che  esiste  un’autorità  pubblica   nazionale  responsabile  della  protezione  dei  da;  personali  (33  %).   §   Poco  più  di  un  quarto  dei  frequentatori  di  re;  sociali  (26  %)  e  ancora   meno  acquiren;  online  (18  %)  pensano  di  avere  pieno  controllo  dei   propri  da;  personali.   [Speciale  Eurobarometro  359,  giugno  2011]   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   5  
  6. 6. “Is  There  a  Dark  Lining  in  the  Cloud?”   Viviane  Reding,  Vice-­‐President  of  the  European  Commission:       “Consumers  who  store  data  in  the  cloud  risk  losing  control   over  their  photos,  contacts  and  e-­‐mails.  Data  is  whirling  around   the  world  …”         “The  EU's  data  protec5on  rules  have  stood  the  test  of  0me,   but  now  they  need  to  be  modernized  to  reflect  the  new   technological  landscape”       [Wall  Street  Journal,  25.01.2011]     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   6  
  7. 7. ObieCvi   Armonizzare  l’a%uale  quadro  norma;vo  (troppo  frammentato)   Ø   sviluppo  del  mercato  unico     Ø   a%uare  poli;che  comuni   Ø   diminuire  incertezza  giuridica   Ø   limitare  i  rischi       In  pra;ca:   Ø   favorire  la  circolazione  e  i  flussi  di  da;  e  informazioni   Ø   la  raccolta  e  la  condivisione  transfrontaliera  dei  da;     Ø   incrementare  la  fiducia  dei  ci%adini  europei  nei  Servizi  della  Società   dell’informazione     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)     7  
  8. 8. StarUng  the  “Privacy  EvoluUon”   Comunicazione  Commissione  EU,  “Un  approccio  globale  alla  protezione   dei  da5  personali  nell'unione  europea”,  4.11.2010  COM(2010)  609   Comunicazione  della  Commissione  EU,  “Salvaguardare  la  privacy  in  un   mondo  interconnesso  -­‐  Un  quadro  europeo  della  protezione  dei  da5  per   il  XXI  secolo”,  25.1.2012  COM(2012)  9  final     Ø   Necessità  di  un  nuovo  quadro  giuridico  per  la  protezione  dei  da0   personali  nell’Unione  Europea       q   Regolamento  Europeo  del  Parlamento  europeo  e  del  Consiglio   concernente  la  tutela  delle  persone  fisiche  con  riguardo  al  tra%amento   dei  da;  personali  e  la  libera  circolazione  di  tali  da;  (regolamento   generale  sulla  protezione  dei  daU)   q   DireQva  del  Parlamento  europeo  e  del  Consiglio  concernente  la  tutela   delle  persone  fisiche  con  riguardo  al  tra%amento  dei  da;  personali  da   parte  delle  autorità  competen;  a  fini  di  prevenzione,  indagine,   accertamento  e  perseguimento  di  rea0  o  esecuzione  di  sanzioni  penali,  e   la  libera  circolazione  di  tali  da;   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   8  
  9. 9. Perché  un  “Regolamento”?   ArUcolo  16  TFUE   1.  Ogni  persona  ha  diri%o  alla  protezione  dei  da;  di  cara%ere  personale  che  la   riguardano.   2.  Il  Parlamento  europeo  e  il  Consiglio,  deliberando  secondo  la  procedura   legisla;va  ordinaria,  stabiliscono  le  norme  relaUve  alla  protezione  delle   persone  fisiche  con  riguardo  al  traBamento  dei  daU  di  caraBere  personale   da  parte  delle  is;tuzioni,  degli  organi  e  degli  organismi  dell'Unione,  nonché   da  parte  degli  Sta;  membri  nell'esercizio  di  aQvità  che  rientrano  nel  campo   di  applicazione  del  diri%o  dell'Unione,  e  le  norme  relaUve  alla  libera   circolazione  di  tali  daU.  Il  rispe%o  di  tali  norme  è  sogge%o  al  controllo  di   autorità  indipenden;.     Regolamento,  strumento  idoneo Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)        applicabilità  dire%a   9  
  10. 10. Verso  una  nuova  disciplina   “Regolamento  generale  sulla  protezione  dei  daU”     COM(2012)  11  final,  Bruxelles,  25.1.2012  -­‐  Proposta  di   “REGOLAMENTO  DEL  PARLAMENTO  EUROPEO  E  DEL  CONSIGLIO   concernente  la  tutela  delle  persone  fisiche  con  riguardo  al   tra%amento  dei  da;  personali  e  la  libera  circolazione  di  tali  da;”       Ø   oltre  160  risposte  alla  pubblica  consultazione     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   10  
  11. 11. Disposizioni  Generali   ArUcolo  1  -­‐  OggeBo  e  finalità   1.  Il  presente  regolamento  stabilisce  norme  rela;ve  alla  protezione   delle  persone  fisiche  con  riguardo  al  tra%amento  dei  da;  di  cara%ere   personale  e  norme  rela;ve  alla  libera  circolazione  di  tali  da;.   2.  Il  presente  regolamento  tutela  i  diriQ  e  le  libertà  fondamentali  delle   persone  fisiche,  in  par;colare  il  diri:o  alla  protezione  dei  da0   personali.   3.  La  libera  circolazione  dei  da5  personali  nell’Unione  non  può  essere   limitata  né  vietata  per  moUvi  aCnenU  alla  tutela  delle  persone   fisiche  con  riguardo  al  traBamento  dei  daU  personali.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   11  
  12. 12. Disposizioni  Generali   ArUcolo  2  -­‐  Campo  di  applicazione  materiale   1.  Il  presente  regolamento  si  applica  al  tra%amento  interamente  o   parzialmente  automaUzzato  di  da;  personali  e  al  tra%amento  non   automaUzzato  di  da;  personali  contenu;  in  un  archivio  o  des;na;  a   figurarvi.   2.  Le  disposizioni  del  presente  regolamento  non  si  applicano  ai   tra%amen;  di  da;  personali:  […]    d)  effe%ua;  da  una  persona  fisica   senza  finalità  di  lucro  per  l’esercizio  di  aQvità  esclusivamente   personali  o  domes;che;   3.  Il  presente  regolamento  lascia  impregiudicata  l’applicazione  della   direCva  2000/31/CE,  in  par;colare  le  norme  rela;ve  alla   responsabilità  dei  prestatori  intermediari  di  servizi  di  cui  ai  suoi  ar;coli   da  12  a  15.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   12  
  13. 13. Disposizioni  Generali   ArUcolo  3  -­‐  Campo  di  applicazione  territoriale   1.  Il  presente  regolamento  si  applica  al  tra%amento  dei  da;  personali   effe%uato  nell’ambito  delle  aQvità  di  uno  stabilimento  di  un   responsabile  del  tra%amento  o  di  un  incaricato  del  tra%amento   nell’Unione.   2.  Il  presente  regolamento  si  applica  al  traBamento  dei  daU  personali   di  residenU  nell’Unione  effeBuato  da  un  responsabile  del   traDamento  che  non  è  stabilito  nell’Unione,  quando  le  aQvità  di   tra%amento  riguardano:   a)  l’offerta  di  beni  o  la  prestazione  di  servizi  ai  suddeQ  residen;   nell’Unione,  oppure   b)  il  controllo  del  loro  comportamento.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   13  
  14. 14. Disposizioni  Generali   ArUcolo  4  -­‐  Definizioni   Ai  fini  del  presente  regolamento  s’intende  per:  […]   “interessato”:  la  persona  fisica  iden;ficata  o  iden;ficabile,   dire%amente  o  indire%amente,  con  mezzi  che  il  responsabile  del   tra%amento  o  altra  persona  fisica  o  giuridica  ragionevolmente  può   u;lizzare,  con  par;colare  riferimento  a  un  numero  di  iden;ficazione,  a   da;  rela;vi  all’ubicazione,  a  un  iden;fica;vo  on  line  o  a  uno  o  più   elemen;  cara%eris;ci  della  sua  iden;tà  gene;ca,  fisica,  fisiologica,   psichica,  economica,  culturale  o  sociale;     “responsabile  del  traBamento”:  la  persona  fisica  o  giuridica,  l’autorità   pubblica,  il  servizio  o  qualsiasi  altro  organismo  che,  singolarmente  o   insieme  ad  altri,  determina  le  finalità,  le  condizioni  e  i  mezzi  del   tra%amento  di  da;  personali;  […]     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   14  
  15. 15. Disposizioni  Generali   [con0nua  art.  4]   “consenso  dell’interessato”:  qualsiasi  manifestazione  di  volontà  libera,   specifica,  informata  ed  esplicita  con  la  quale  l’interessato  acce%a,   mediante  dichiarazione  o  azione  posi5va  inequivocabile,  che  i  da;   personali  che  lo  riguardano  siano  ogge%o  di  tra%amento   “violazione  dei  daU  personali”:  violazione  di  sicurezza  che  comporta   accidentalmente  o  in  modo  illecito  la  distruzione,  la  perdita,  la  modifica,   la  rivelazione  non  autorizzata  o  l’accesso  ai  da;  personali  trasmessi,   memorizza;  o  comunque  elabora;   “norme  vincolanU  d’impresa”:  le  poli5che  in  materia  di  protezione  dei   da;  personali  applicate  da  un  responsabile  del  tra%amento  o  incaricato   del  tra%amento  stabilito  nel  territorio  di  uno  Stato  membro  dell’Unione   al  trasferimento  o  al  complesso  di  trasferimen;  di  da;  personali  a  un   responsabile  del  tra%amento  o  incaricato  del  tra%amento  in  uno  o  più   paesi  terzi,  nell’ambito  di  un  gruppo  di  imprese   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   15  
  16. 16. Principi   ArUcolo  5  -­‐  Principi  applicabili  al  traBamento  di  daU  personali   I  da;  personali  devono  essere:   a)  tra%a;  in  modo  lecito,  equo  e  trasparente  nei  confron;  dell’interessato;   b)  raccol;  per  finalità  determinate,  esplicite  e  legiWme,  e  successivamente   tra%a;  in  modo  non  incompa;bile  con  tali  finalità;   c)  adegua;,  per;nen;  e  limita5  al  minimo  necessario  rispe%o  alle  finalità   perseguite;  i  da0  possono  essere  tra:a0  solo  se  e  nella  misura  in  cui  le   finalità  non  conseguibili  a:raverso  il  tra:amento  di  informazioni  che  non   contengono  da0  personali;   d)  esaQ  e  aggiorna;  […]   e)  Conserva;  …  per  un  arco  di  tempo  non  superiore  al  conseguimento  delle   finalità  per  le  quali  sono  tra%a;;  […]   f)  tra%a;  soDo  la  responsabilità  del  responsabile  del  traDamento,  che   assicura  e  comprova,  per  ciascuna  operazione,  la  conformità  alle   disposizioni  del  presente  regolamento.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   16  
  17. 17. DiriC  dell’interessato   ArUcolo  11  -­‐  Informazioni  e  comunicazioni  trasparenU   1.  Il  responsabile  del  tra%amento  applica  poli5che  trasparen5  e   facilmente  accessibili  con  riguardo  al  tra%amento  dei  da;  personali  e   ai  fini  dell’esercizio  dei  diriQ  dell’interessato.   2.  Il  responsabile  del  tra%amento  fornisce  all’interessato  tuDe  le   informazioni  e  le  comunicazioni  rela5ve  al  traDamento  dei  da;   personali  in  forma  intelligibile,  con  linguaggio  semplice  e  chiaro  e   adeguato  all’interessato,  in  par;colare  se  le  informazioni  sono   des;nate  ai  minori.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   17  
  18. 18. Il  Responsabile  e  l’Incaricato  del  TraBamento   ArUcolo  22  -­‐  Responsabilità  del  responsabile  del  traBamento   1.  Il  responsabile  del  tra%amento  adoDa  poli5che  e  aDua  misure   adeguate  per  garan5re  ed  essere  in  grado  di  dimostrare  che  il   traDamento  dei  da5  personali  effeDuato  è  conforme  al  presente   regolamento.   2.  Le  misure  di  cui  al  paragrafo  1  comprendono,  in  par;colare:     (a)  la  conservazione  della  documentazione  ai  sensi  dell’arUcolo  28;   (b)  l’a:uazione  dei  requisi0  di  sicurezza  dei  da;  di  cui  all’arUcolo  30;   (c)  l’esecuzione  della  valutazione  d’impa:o  sulla  protezione  dei  da;  ai   sensi  dell’arUcolo  33;   (d)  il  rispe%o  dei  requisi;  di  autorizzazione  preven0va  o  di  consultazione   preven0va  dell’autorità  di  controllo  ai  sensi  dell’arUcolo  34,  paragrafi  1  e   2;   (e)  la  designazione  di  un  responsabile  della  protezione  dei  da0  ai  sensi   dell’arUcolo  35,  paragrafo  1.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   18  
  19. 19. Il  Responsabile  e  l’Incaricato  del  TraBamento   […]   3.  Il  responsabile  del  tra%amento  me%e  in  a%o  meccanismi  per   assicurare  la  verifica  dell’efficacia  delle  misure  di  cui  ai  paragrafi  1  e   2.  Qualora  ciò  sia  proporzionato,  la  verifica  è  effe%uata  da  revisori   interni  o  esterni  indipenden;  (audi;ng).   4.  Alla  Commissione  è  conferito  il  potere  di  ado:are  aW  delega0   conformemente  all’ar;colo  86  al  fine  di  precisare  i  criteri  e  i  requisi0   concernen0  le  misure  adeguate  di  cui  al  paragrafo  1  diverse  da  quelle   specificate  al  paragrafo  2,  le  condizioni  riguardan0  i  meccanismi  di   verifica  e  di  audit  di  cui  al  paragrafo  3  e  il  criterio  di  proporzionalità  di   cui  al  paragrafo  3,  e  al  fine  di  contemplare  misure  specifiche  per  le   micro,  piccole  e  medie  imprese.     Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   19  
  20. 20. “Privacy  by  Design”  e  “Privacy  by  Default”   ArUcolo  23  -­‐  Protezione  fin  dalla  progeBazione  e  protezione  di  default   1.  Al  momento  di  determinare  i  mezzi  del  traDamento  e  all’aDo  del   traDamento  stesso,  il  responsabile  del  tra%amento,  tenuto  conto   dell’evoluzione  tecnica  e  dei  cos;  di  a%uazione,  me%e  in  a%o  adeguate   misure  e  procedure  tecniche  e  organizza0ve  in  modo  tale  che  il   tra:amento  sia  conforme  al  presente  regolamento  e  assicuri  la  tutela  dei   diriQ  dell’interessato.   2.  Il  responsabile  del  tra%amento  me%e  in  a%o  meccanismi  per  garan;re   che  siano  tra%a;,  di  default,  solo  i  da0  personali  necessari  per  ciascuna   finalità  specifica  del  tra%amento  e  che,  in  par;colare,  la  quan0tà  dei  da0   raccol0  e  la  durata  della  loro  conservazione  non  vadano  oltre  il  minimo   necessario  per  le  finalità  perseguite.  In  par;colare  deQ  meccanismi   garan;scono  che,  di  default,  non  siano  resi  accessibili  da;  personali  a  un   numero  indefinito  di  persone.   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   20  
  21. 21. What  is  Privacy  by  Design?   Una  nuova  concezione  della  privacy  che  si  affianca  al  tradizionale   approccio  norma;vo  (v.  Risoluzione  proposta  dalla  Commissioner   dell'Ontario,  Canada,  alla  Conferenza  mondiale  dei  Garan;  Privacy,   Gerusalemme,  27-­‐29  o%obre  2010)       Ø   Building  privacy  into  technologies,  business  processes,  and   networked  infrastructures  from  the  ground  up.   Ø   Goal:  to  establish  and  achive  highest  possible  standards  of   accountability,  confidence,  and  trust  in  management  of  PII   (Personally  Iden;fiable  Informa;on).   Ø   Beyond  compliance.       Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)       21  
  22. 22. Una  nuova  Visione   Linee  di  azione:   Ø   tecnologia   Ø   pra;che  commerciali   Ø   proge%azione  di  stru%ure  e  infrastru%ure     Principi  fondamentali:   q   a%eggiamento  proaQvo  e  non  reaQvo   q   privacy  by  default   q   privacy  incorporata  nell’archite%ura     q   massima  funzionalità  (win-­‐win)   q   protezione  per  l’intero  ciclo  vitale  delle  informazioni   q   visibilità  e  trasparenza   q   centralità  dell’utente  (rispe%o  della  riservatezza)   Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   22  
  23. 23. Questa  la  Privacy  del  Terzo  Millennio   -­‐ Privacy  by  Design   -­‐  Accountability     -­‐   Minimizzazione  dei  da;   -­‐  Conservare  documen;  sul  “modello  organizza;vo  e  di  sicurezza  privacy”   -­‐   DiriBo  all’oblio  (salvo  però  specifici  obblighi  di  legge,  garanzie  della     libertà  di  espressione  e  con;nuità  della  ricerca  storica)   -­‐  Diri%o  dell’interessato  alla  "portabilità  del  dato"  (es.  trasferire  i  propri   da;  da  un  social  network  ad  un  altro)   -­‐  Maggiori  poteri,  anche  sanzionatori,  ai  Garan;   -­‐  No;fica  delle  violazioni  all’Autorità   -­‐  Data  Protec;on  Officer   -­‐  Introdo%o  il  requisito  del  “privacy  impact  assessment”  (valutazione   dell’impa%o-­‐privacy)       Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)   23  
  24. 24. " " ! To be continued.. Ing. Igor Serraino Avv. Andrea Maggipinto www.serraino.it igor@serraino.it www.maggipinto.org andrea.maggipinto@studiomra.it http://www.linkedin.com/pub/igor-serraino/14/27b/b3 it.linkedin.com/in/andreamaggipinto Privacy  by  Design  (Avv.  Maggipinto  –  Ing.  Serraino)  

×