Dopo 10 anni servizio, il Codice della Privacy sta per essere sostituito dal nuovo Regolamento Europeo sulla protezione dei dati personali. Tutti gli stati membri UE dovranno applicare la stessa norma, tutelare gli stessi diritti e proporre le stesse garanzie ai cittadini. Ma cosa prevede la nuova norma e cosa cambia davvero per il cittadino? Avremo davvero maggior tutela? E quali saranno le sanzioni per le aziende che violeranno il Regolamento?
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolamento Europeo - Digital for Business
1. 16/05/2013
1
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Ex manager di alcune importanti aziende italiane, si occupa di Privacy, Modello organizzativo
e Web protection.
Per formazione è un informatico, ma non ha mai scritto una riga di software.
Ha lavorato per 25 anni in ambito marketing in Toro Assicurazioni, Seat Pagine Gialle, Gruppo
Formula, Bassani Finanziaria, Dylog, IBM S.I.
Nel 1996 entra in Chiocciola S.r.l., società di consulenza direzionale specializzata in direct
marketing, e-mail marketing, ricerche di mercato.
Nel 2001, insieme con alcuni partners, fonda Applicando S.r.l..
Ha frequentato i corsi di specializzazione del Garante della Privacy, del colonnello Umberto
Luciano Corino
Rapetto, del prof. Giovanni Ziccardi e del dottor Gerardo Costabile, nonché i corsi di
formazione per Privacy Officer ottenendo la certificazione TUV.
Membro del Comitato Scientifico di FederPrivacy, è referente provinciale per detta
associazione.
E’ coautore, con l’avvocato Valentina Corino, del manuale “Codice in materia di protezione dei
dati personali D.lgs. 30 giugno 2003, n° 196 - Gli articoli da sapere, le norme e i comportamenti
da rispettare”.
Con Giuseppe Izzinosa e Claudio Pasqua ha scritto il libro “Internet per l'artigianato e la
piccola impresa”, curando la sezione "Privacy and security sul web".
E’ relatore in convegni su Privacy, Sicurezza sui luoghi di lavoro, Risk Management. E'
docente ai corsi di formazione di Eurofins Modulo Uno.
E’ consulente di imprese, enti locali e associazioni di categoria.
3. 16/05/2013
3
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Misure e accorgimenti prescritti ai titolari dei trattamenti
relativamente alle attribuzioni delle funzioni di
amministratore di sistema
Semplificazione delle misure di sicurezza contenute nel
disciplinare tecnico di cui all'Allegato B)
Dati persone giuridiche non personali
Abolizione del DPS
Nuove disposizioni in materia di videosorveglianza
Nuove regole per il marketing
Registro delle opposizioni e Opt-ou
Linee guida in materia di trattamento di dati personali dei lavoratori
per finalità di gestione del rapporto di lavoro alle dipendenze di datori
di lavoro privati
Lavoro: linee guida del Garante per posta elettronica e
internet
Videosorveglianza - Provvedimento generale
d.lgs. 196/2003 Codice in materia di
protezione di dati personali
6. 16/05/2013
6
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
• restano ferme le definizioni fondamentali, ma con alcune
significative aggiunte (dato genetico, dato biometrico);
• viene introdotto il principio dell'applicazione del diritto UE anche
ai trattamenti di dati personali non svolti nell'UE, se relativi
all'offerta di beni o servizi a cittadini UE o tali da consentire il
monitoraggio dei comportamenti di cittadini UE;
• si stabilisce il diritto degli interessati alla "portabilità del dato"• si stabilisce il diritto degli interessati alla "portabilità del dato"
(ad. es. nel caso in cui si intendesse trasferire i propri dati da un
social network ad un altro) ma anche il "diritto all’oblio", ossia di
decidere quali informazioni possano continuare a circolare (in
particolare nel mondo online) dopo un determinato periodo di
tempo, fatte salve specifiche esigenze (ad esempio, per
rispettare obblighi di legge, per garantire l’esercizio della libertà
di espressione, per consentire la ricerca storica);
7. 16/05/2013
7
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
• scompare l'obbligo per i titolari di notificare i trattamenti di dati
personali, sostituito da quello di nominare un "data protection officer" per
tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di
dipendenti o appartenenti a determinati settori di attività;
• viene introdotto il requisito del "privacy impact assessment"
(valutazione dell'impatto-privacy) oltre al principio generale detto "privacy
by design" (cioè la previsione di misure a protezione dei dati già al
momento della progettazione di un prodotto o di un software);momento della progettazione di un prodotto o di un software);
• si stabilisce l'obbligo per tutti i titolari di notificare all'autorità
competente le violazioni dei dati personali ("personal data breaches");
• si fissano più specificamente poteri (anche sanzionatori) e requisiti di
indipendenza delle autorità nazionali di controllo, il cui parere sarà
indispensabile qualora si intendano adottare strumenti normativi,
comprese le leggi, che impattino sulla protezione dei dati personali.
9. 16/05/2013
9
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Articolo 28 – Documentazione
1. Ogni responsabile del trattamento, incaricato del trattamento ed eventuale
rappresentante del responsabile del trattamento conserva la documentazione di tutti i
trattamenti effettuati sotto la propria responsabilità.
3. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale
rappresentante del responsabile del trattamento mettono la documentazione a
disposizione dell’autorità di controllo, su richiesta.
Articolo 31 - Notificazione di una violazione dei dati personali all’autorità di controllo
4. Il responsabile del trattamento documenta la violazione dei dati personali, incluse le
circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi
rimedio. La documentazione deve consentire all’autorità di controllo di verificare il rispetto
del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.
Articolo 79 - Sanzioni amministrative
5. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500.000 EUR o,
per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:
(f) omette di conservare o non conserva in modo sufficiente la documentazione di cui
all’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;
11. 16/05/2013
11
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
15%
5%
eventiindesiderati
comportamento comportamento+ fattori esterni fattoriesterni
80%
12. 16/05/2013
12
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
le contromisure procedurali …. non modificano i comportamenti
le contromisure fisiche e tecniche …. riducono errori e violazioni
involontari, ma tendono ainvolontari, ma tendono a
perdere efficacia con il tempo
le contromisure fisiche e tecniche …. riducono per un brevissimo
tempo errori e violazioni
volontari
13. 16/05/2013
13
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
adottare idonee contromisure fare in modo che i lavoratori
possano assumere
comportamenti sicuri
AREAINTERVENTO
fare formazione fare in modo che i lavoratori
sappiano assumere
comportamenti sicuri
motivazione, leadership, premi fare in modo che i lavoratori
vogliano assumere
comportamenti sicuri
AREAINTERVENTOAREANONINTERVENTO
14. 16/05/2013
14
qualche buona ragione per prepararsi in tempo
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
eventi indesiderati con conseguenze
eventi indesiderati con conseguenze
1
10
AREA DI INTERVENTO
eventi indesiderati con conseguenze
eventi indesiderati mancati
comportamenti pericolosi
10
100
?
AREA DI NON INTERVENTO
15. 16/05/2013
15
qualche buona ragione per prepararsi in tempo
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
prevenire la commissione di illeciti e di reati
individuare responsabilità
comminare provvedimenti disciplinari e sanzioni
ragioni
giuridiche
comminare provvedimenti disciplinari e sanzioni
giuridiche
prevenire e ridurre le inefficienze
ridurre gli errori, le violazioni, gli eventi indesiderati
prevenire i furti (dati, brevetti, identità …)
ragioni manageriali
ed economiche