Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
3. Panorama
D.lgs. 30 giugno 2003, n. 196 Codice in Materia di Protezione dei
Dati Personali
Provvedimento Garante del 27 novembre 2008 per
l’attribuzione delle funzioni di Amministratore di Sistema
Regolamento (UE) 2016/679 del Parlamento Europeo e del
Consiglio relativo alla Protezione delle Persone Fisiche con
Riguardo al Trattamento dei Dati Personali
1
3
2
4. D.lgs. 30 giugno 2003, n. 196
Codice in Materia di
Protezione dei Dati
Personali
5. Ampiezza della tutela
Trattamento: qualunque operazione o complesso di operazioni, svolti con o
senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti: la
raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la
consultazione, la modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione.
5
Decreto Legislativo 30 giugno 2003, n. 196
“Codice in materia di protezione dei dati personali”
Dati Personali: qualunque informazione relativa a persona fisica identificata o identificabile,
anche indirettamente mediante riferimento a qualsiasi altra informazione (contrapposti ai dati
anonimi)
Dati sensibili: dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di
salute e la vita sessuale.
Dati giudiziari: dati personali idonei a rilevare alcuni provvedimenti giudiziari, eventuali carichi
pendenti, la qualità di imputato o di indagato e la soccombenza ad eventuali sanzioni
amministrative dipendenti da reato.
Oggetto della tutela
6. Principi Generali
I dati personali devono essere:
• Trattati in modo lecito e secondo correttezza;
• Raccolti e registrati per uno scopo determinato;
• Pertinenti e completi rispetto alle finalità della raccolta;
• Conservati per un periodo non superiore a quello necessario
per il raggiungimento dello scopo;
• Custoditi e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei dati e
alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.
7. Le Misure di Sicurezza
I dati trattati devono essere protetti da misure di sicurezza
preventive per ridurre al minimo i rischi di distruzione, perdita,
accesso non autorizzato ai dati. La legge distingue tra
1. Misure minime
Il complesso delle misure
tecniche, informatiche,
organizzative, logistiche e
procedurali di sicurezza che
configurano il livello minimo di
protezione richiesto in relazione
ai rischi previsti dall’art. 31 del
Codice per la Protezione dei Dati
Personali
2. Misure idonee
I dati personali oggetto di
trattamento sono custoditi e
controllati anche in relazione:
a. Alle conoscenze acquisite in
base al progresso tecnico;
b. Alla natura dei dati;
c. Alle specifiche caratteristiche
del trattamento.
8. 1. Misure Minime (i)
Trattamento dei dati con strumenti elettronici
a. Autenticazione informatica
b.Procedure di gestione delle credenziali di autenticazione
c. Utilizzazione di un sistema di autorizzazione
d.Aggiornamento periodico dell’individuazione dell’ambito di
trattamento consentito agli incaricati e addetti alla gestione e
manutenzione sistemi
e. Protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti, accessi non consentiti
f. Procedure per la custodia di copie di back-up e per ripristino della
disponibilità dei dati e dei sistemi
9. 1. Misure Minime (ii)
Trattamento dei dati con strumenti non elettronici
a. Aggiornamento periodico ambito di trattamento consentito
b.Procedure per l’idonea custodia di atti e documenti
c. Procedure per la conservazione di determinati atti in archivi ad
accesso selezionato
d.Individuazione modalità di accesso per l’identificazione degli
incaricati
Le misure minime di sicurezza privacy sono obbligatorie e la loro
mancata implementazione ha risvolti anche sul piano penale
(artt. 33-36 e Allegato B del Codice Privacy)
10. 2. Misure Idonee
Le c.d. misure idonee non possono essere predefinite in quanto
vanno valutate alla luce del progresso tecnologico.
Il Garante ha fornito alcuni esempi di misure idonee
«i dati personali oggetto del trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al
progresso tecnico» (art. 31 D.Lgs. 196/2003)
La c.d. distanza di cortesia appare in goni caso una misura opportuna per
prevenire l’accesso non autorizzato da parte di terzi, che può avvenire anche in
modo passivo (ad es., da parte di uno dei componenti la «fila», il quale si limiti ad
ascoltare da una posizione molto vicina all’operatore di sportello e al cliente, il
dialogo tra questi ultimi eventualmente concernente dati personali.
(Provv. 30 marzo 1998 [doc. web n. 39646])
«La sicurezza non è un prodotto, ma un processo. Un processo, che, possiamo
aggiungere, è strettamente legato sia alla invenzione di macchine e sistemi più
progrediti, che alla creazione di applicazioni software sempre più sofisticate.»
(Scheneier, 2004)
11. Allegato B Codice Protezione
Dati Personali
Disciplinare tecnico in materia di misure minime di sicurezza
• Specificazione analitica dell’insieme delle misure di sicurezza
logiche, fisiche ed organizzative, che configurano il livello minimo di
protezione richiesto in relazione ai rischi previsti dall’art. 31 del
Codice.
• Gli obblighi indicati nell’allegato B non devono intendersi esaustivi,
ma rappresentano un sottoinsieme della più apia categoria delle
misure idonee.
• Nel 2014 il Garante ha segnalato la necessità di aggiornare le
prescrizioni in base al progresso scientifico. I principi di revisione
dovrebbero essere ispirati a criteri di semplificazione e di maggiore
effettività delle misure (non solo adempimenti burocratici).
12. Provvedimento 27 novembre 2008
Misure e accorgimenti
relativamente alle
attribuzioni delle funzioni di
amministratore di sistema
13. Amministratori di Sistema
Ampia definizione: Figure professionali finalizzate alla gestione e alla
manutenzione di un impianto di elaborazione o di sue componenti e
altre figure equiparabili dal punto di vista dei rischi relativi alla
protezione dei dati, quali gli amministratori di basi di dati, gli
amministratori di reti e di apparati di sicurezza e gli amministratori di
sistemi software complessi.
Misure prescritte
1. Valutazione delle caratteristiche soggettive;
2. Designazioni individuali;
3. Elenco degli amministratori di sistema;
4. Verifica delle attività;
5. Servizi in outsourcing;
6. Verifica delle attività;
7. Registrazione degli accessi.
14. Regolamento (UE) 2016/679
Relativo alla protezione
delle persone fisiche con
riguardo al trattamento dei
dati personali, nonché alla
libera circolazione di tali dati
15. Misure Tecniche ed Organizzative Adeguare
«Al fine di garantire un trattamento corretto e trasparente nel rispetto
dell'interessato, tenendo in considerazione le circostanze e il contesto
specifici in cui i dati personali sono trattati, è opportuno che il titolare del
trattamento utilizzi procedure matematiche o statistiche appropriate per la
profilazione, metta in atto misure tecniche e organizzative adeguate al fine
di garantire, in particolare, che siano rettificati i fattori che comportano
inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire
la sicurezza dei dati personali secondo una modalità che tenga conto dei
potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che
impedisca tra l'altro effetti discriminatori nei confronti di persone fisiche
[…].» (Considerando 71)
«La tutela dei diritti e delle libertà delle persone fisiche relativamente al
trattamento dei dati personali richiede l'adozione di misure tecniche e
organizzative adeguate per garantire il rispetto delle disposizioni del
presente regolamento.» (Considerando 78)
16. Principi Generali
• Minimizzazione dei dati: devono essere raccolti solo i dati
adeguati, pertinenti e limitati a quanto necessario rispetto alle
finalità per le quali sono trattati (Principi di proporzionalità e di
necessità)
• Titolare e Responsabile del trattamento sono tenuti ad “attuare
misure tecniche e organizzative” adeguate tenendo conto “dello
stato dell’arte e dei costi di attuazione, nonché della natura, del
campo di applicazione, del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche” (Articolo 32)
• Misure di mitigazione del rischio quali “la pseudonimizzazione e la
cifratura dei dati personali; la capacità di assicurare la continua
riservatezza, integrità, disponibilità e resilienza dei sistemi e dei
servizi che trattano i dati personali; la capacità di ripristinare
tempestivamente la disponibilità e l’accesso dei dati in caso di
incidente fisico o tecnico; una procedura per provare, verificare e
valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento”.
17. Data Protection Impact Assessment
Valutazione d'impatto sulla protezione dei dati (Art. 35)
1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,
considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un
rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti
previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un
insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione
dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in
particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata
su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni
che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone
fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9,
paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
18. Data Protection Impact Assessment
Valutazione d'impatto sulla protezione dei dati (Art. 35)
1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,
considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un
rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti
previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un
insieme di trattamenti simili che presentano rischi elevati analoghi. (…)
L’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per
i trattamenti delicati e ad alto rischio (ad es.. il monitoraggio
sistematico e su larga scala); le piccole medie imprese non avranno
l’obbligo di effettuare la valutazione d’impatto sulla protezione dei
dati (“privacy impact assessment”), tranne nel caso in cui il
trattamento presenti un rischio elevato per i diritti e le libertà delle
persone fisiche. In tal caso il responsabile dovrà preventivamente
consultare l’Autorità di controllo.
19. Registro delle Attività di Trattamento (i)
Ai senti dell’Articolo 30, Titolare e Responsabile del
trattamento dovranno tenere un registro delle attività di
trattamento svolte sotto la propria responsabilità.
(…) Tale registro contiene tutte le seguenti informazioni:
a)il nome e i dati di contatto del titolare del trattamento e,
ove applicabile, del contitolare del trattamento, del
rappresentante del titolare del trattamento e del
responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle
categorie di dati personali; 4.5.2016 L 119/50 Gazzetta
ufficiale dell'Unione europea IT
(segue)
20. Registro delle Attività di Trattamento (ii)
d) le categorie di destinatari a cui i dati personali sono
stati o saranno comunicati, compresi i destinatari di
paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso
un paese terzo o un'organizzazione internazionale,
compresa l'identificazione del paese terzo o
dell'organizzazione internazionale e, per i trasferimenti
di cui al secondo comma dell'articolo 49, la
documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la
cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di
sicurezza tecniche e organizzative di cui all'articolo 32,
paragrafo 1.
21. Notifica di una violazione dei dati
Definizione «violazione dei dati personali»: la violazione di
sicurezza che comporta accidentalmente o in modo illecito
la distruzione, la perdita, la modifica, la divulgazione non
autorizzata o l'accesso ai dati personali trasmessi,
conservati o comunque trattati.
Articolo 33
1. In caso di violazione dei dati personali, il titolare del trattamento
notifica la violazione all'autorità di controllo competente a norma
dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72
ore dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio per
i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità
di controllo non sia effettuata entro 72 ore, è corredata dei motivi del
ritardo. (…)
22. Notifica di una violazione dei dati
2. Il responsabile del trattamento informa il titolare del trattamento senza
ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le
categorie e il numero approssimativo di interessati in questione nonché le categorie
e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati
o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare
del trattamento per porre rimedio alla violazione dei dati personali e anche, se del
caso, per attenuarne i possibili effetti negativi.
(…)
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali,
comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti
adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di
verificare il rispetto del presente articolo.
23. Data Breach
Affidabilità nel trattamento dei dati e delle informazioni di
titolarità dei propri clienti in sede di instaurazione della relazione
professionale
Requisiti di sicurezza che devono essere soddisfatti per avere
accesso alle informazioni di proprietà del cliente (anche in
relazione alla natura e grado di confidenzialità delle stesse)
Garantire - ricordando
l’evoluzione tecnologica
e specializzazione
tematica - che i dati dei
clienti raccolti, trattati e
conservati dalla propria
struttura siano al sicuro
da qualsiasi accesso
abusivo ed uso improprio
Le violazioni delle
informazioni e dei
dati personali (data
breach) possono
allontanare i clienti
e distruggere la
credibilità
SICUREZZA
24. Tendenza diffusa dei clienti (es. multinazionali) di vigilanza e audit
sull'attività di trattamento dei propri dati e informazioni all'interno
della sfera operativa dello Studio al fine di verificare che il livello di
protezione sia adeguato
• Relazioni e stesura di report sulle misure di sicurezza adottate,
su base periodica o su richiesta del cliente
• Puntuali dichiarazioni di conformità in relazione a quanto
stabilito dalla normativa privacy
• Liste di controllo e Risk assessment questionnaire con domande
mirate e risposte multiple
• consegna di copia del Documento Programmatico sulla Sicurezza
• “Sigillo” privacy, incoraggiato dal nuovo Regolamento europeo
al fine di certificare il livello di protezione dei dati garantito dai
titolari del trattamento.
26. Obblighi di Sicurezza
1. Definizione della struttura organizzativa (Titolare, Responsabile, Incaricato del
trattamento) e rispettive competenze in tema di gestione della sicurezza;
• Mappatura completa dei flussi di dati interni ed esterni;
• Definizione e verifica annuale dei profili di autorizzazione;
• Formazione;
• Previsione di controlli e azioni disciplinari in caso di condotte anomale.
2. Censimento periodico dei dati e delle informazioni trattate, dei supporti fisici
ed elettronici di trattamento e conservazione;
• Analisi dei rischi ed individuazione delle rispettive strategie di gestione;
• Redazione, verifica ed aggiornamento di procedure di sicurezza interna e risk
management;
• Periodica verifica delle misure di sicurezza adottate (audit interni, colloqui con
IT, questionari di autovalutazione, report, ecc.);
• Ripristino disponibilità dei dati e realizzazione di copie di sicurezza (backup e
disaster recovery).
27. Roma
Via delle Quattro
Fontane, 20
00184 Roma
Tel. +39 06 478751
Fax +39 06 4871101
Milano
Piazza Belgioioso, 2
20121 Milano
Tel. +39 02 763741
Fax +39 02 76009628
Bologna
Via Massimo
D'Azeglio, 25
40123 Bologna
Tel. +39 051 6443611
Fax +39 051 271669
Padova
Piazza Eremitani, 18
35121 Padova
Tel. +39 049 6994411
Fax +39 049 660341
Torino
C.so Vittorio
Emanuele II, 83
10128 Torino
Tel. +39 011 5660277
Fax +39 011 5185932
Abu Dhabi
Penthouse 2102
CI Tower - 32nd St.
P.O. Box 42790
Abu Dhabi
Tel. +971 2 815 3333
Fax +971 2 679 6664
Brussels
184, Avenue Molière
B-1050 Brussels
Tel. +32 23401550
Fax +32 23401559
London
6 - 8 Tokenhouse
Yard
London EC2R 7AS
Tel. +44 2073971700
Fax +44 2073971701
New York
1221 Avenue of the
Americas - 42nd Floor
New York, NY 10020
Tel. +1 212 957 9600
Fax +1 212 957 9608
Le nostre Sedi
Hong Kong
Unit 208 - 2nd Floor
St. George’s Building
2 Ice House Street
Central - Hong Kong
Tel. + 852 21563490
Fax + 852 21563499
In Italia…
… e all’estero
28. Il presente documento è stato elaborato da Gianni, Origoni, Grippo, Cappelli & Partners e reso disponibile a mero scopo informativo. Il presente documento è aggiornato alla data
indicata sulla prima pagina. Le informazioni contenute nel presente documento, di cui non si garantisce la completezza, non costituiscono né un parere legale, né un esame esaustivo
della materia, né possono sostituirsi a un parere rilasciato su specifiche questioni concrete.
Gianni, Origoni, Grippo, Cappelli & Partners non può essere ritenuto responsabile per eventuali danni, diretti o indiretti, derivanti dall’utilizzo improprio del presente documento o del
suo contenuto o comunque connessi al suo utilizzo. Il presente documento non può essere riprodotto, distribuito o pubblicato in tutto o in parte, per qualsiasi scopo, senza l’espressa
autorizzazione da parte di Gianni, Origoni, Grippo, Cappelli & Partners. Per qualsiasi ulteriore chiarimento si prega di contattare Gianni, Origoni, Grippo, Cappelli & Partners.
Grazie per l’attenzione