L’intervento si propone di fornire alcune sintetiche indicazioni sui cambiamenti che l’attuale disciplina privacy (TU 196/2003) subirà per effetto dell’applicazione -a far data dal 25.05.2018- del Nuovo Regolamento Europeo 2016/679 (GDPR), in tema di protezione dei dati personali. Particolare attenzione sarà dedicata a taluni aspetti pratici particolarmente rilevanti quali la compliance richiesta alle aziende e il cloud computing.
Per richiedere accesso al canale contenente le sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
4. e
#cloudconferenceitalia
• L’attuale codice della privacy (D.Lgs. 196/2003)
• Il nuovo regolamento europeo in tema di tutela dei dati personali
• Cloud e trattamento dei dati: la valutazione del rischio nel nuovo assetto
europeo
Di che cosa parleremo
La nuova privacy: dal TU 196/2003 al Regolamento 2016/679 UE
6. e
#cloudconferenceitalia
• Art. 4 - definizioni e tipologia di dati
• Artt. 7 e 8 - diritto di accesso ed esercizio dei diritti
• Artt. 11 e 13 (regole per tutti i trattamenti) – modalità di trattamento e requisiti dei dati, informativa
• Artt. 23, 24 e 26 (regole ulteriori per i privati) – consenso, trattamento senza consenso e garanzie per i
dati sensibili
• Artt. 28, 29 e 30 (soggetti che effettuano il trattamento) – titolare, responsabile e incaricato del
trattamento
• Artt. 31, 33 e 34 (sicurezza dei dati) – obblighi di sicurezza, misure minime di sicurezza, trattamenti con
strumenti elettronici
• Artt. 37 e 38 (Adempimenti) – notifica al Garante
• Artt. 42 e 43 - Trasferimento di dati all’estero
Disposizioni generali
Norme principali
7. e
#cloudconferenceitalia
• Trattati con liceità e correttezza
• Raccolti per scopi determinati, espliciti e legittimi
• Pertinenti, completi e non eccedenti
• Conservati per un periodo non eccedente lo scopo del trattamento
Modalità di trattamento dei dati
I dati personali oggetto di trattamento sono:
8. e
#cloudconferenceitalia
• Finalità e modalità trattamento
• La natura obbligatoria o facoltativa del conferimento dei dati
• Conseguenze del rifiuto di rispondere
• Soggetti/categorie di soggetti cui i dati possono essere comunicati
• Estremi identificativi del titolare e del responsabile del trattamento
Informativa
Contenuto
9. e
#cloudconferenceitalia
• Espresso
• Intero trattamento o una/più operazioni dello stesso
• Libero e specifico rispetto ad un trattamento chiaramente individuato
• Documentabile per iscritto
• Previa informativa ex art. 13
• In forma scritta se riguarda dati sensibili
Consenso
Il consenso deve essere:
10. e
#cloudconferenceitalia
• Consenso scritto dell’interessato
• Previa autorizzazione del Garante
Art. 26, co.3: casi in cui non servono consenso e autorizzazione
Garanzie per i dati sensibili
Presupposti per il trattamento dei dati sensibili
12. e
#cloudconferenceitalia
• Obbligo di adozione delle misure che assicurino un livello minimo di
protezione dei dati personali
• Esempio: misure minime indicate dall’art. 34
Misure minime di sicurezza
(art. 33)
13. e
#cloudconferenceitalia
• Autenticazione informatica
• Adozione di procedure di gestione delle credenziali di autenticazione
• Utilizzazione di un sistema di autorizzazione
• Aggiornamento periodico ambito trattamento
• Protezione strumenti elettronici da accessi non consentiti
• Custodia copie di sicurezza
• Tecniche di cifratura
Misure minime per i trattamenti con strumenti elettronici
(art. 34)
14. e
#cloudconferenceitalia
• Art. 42 – il trasferimento dati verso paese UE è sempre consentito
• ArtT. 43 e 44 – casi in cui è consentito il trasf. dati verso paese extra Ue
Trasferimento dati all’estero
15. e
#cloudconferenceitalia
• dati genetici, biometrici o che indicano la posizione geografica;
• dati trattati con l’ausilio di strumenti elettronici volti:
a. a definire il profilo/la personalità;
b. ad analizzare abitudini/scelte di consumo;
c. Monitorare l’utilizzo di servizi di comunicazione elettronica
Notifica
Notifica al Garante, se il trattamento riguarda:
17. e
#cloudconferenceitalia
• Liceità, correttezza e trasparenza del trattamento;
• Limitazione della finalità della raccolta;
• Minimizzazione ed esattezza dei dati raccolti;
• Limitazione della conservazione nel tempo;
• Integrità e riservatezza;
• Responsabilizzazione del titolare del trattamento.
Principi fondamentali
18. e
#cloudconferenceitalia
• Dati personali, trattamento e profilazione
• Privacy e organizzazione ente
• Interessato, informativa e consenso
• Diritto di accesso dell’interessato
• Analisi rischi e misure di sicurezza
• Sanzioni
Modifiche
Norme del Regolamento che rappresentano modifiche del TU 196/2003
20. e
#cloudconferenceitalia
• Colui che tratta i dati per conto del titolare
• Interno (opzionale)
• Esterno (obbligatorio)
a. Necessario nei casi di esternalizzazione di attività
b. Contratto che disciplina le attività (trattamenti) esternalizzate e che impone
vincoli prestabiliti
Responsabile del trattamento
22. e
#cloudconferenceitalia
L’informativa va resa
• Al momento della raccolta (dati sono raccolti presso l’interessato);
• Alla prima comunicazione, massimo entro 1 mese (dati raccolti presso terzi)
• Una tantum
Informativa
Tempistica
24. e
#cloudconferenceitalia
• Dati di contatto del DPO
• Intenzione di trasferire i dati extra UE e garanzie
• Periodo di conservazione o criteri per determinarlo
• Diritto di accesso e portabilità
• Diritto di proporre reclamo al Garante
• Esistenza di un processo di profilazione, la logica utilizzata e le conseguenze
per l’interessato
Informativa
Contenuto
26. e
#cloudconferenceitalia
• Consenso dell’interessato
• Esecuzione del contratto (o di misure precontrattuali)
• Esecuzione di un obbligo di legge
• Salvaguardia interessi vitali (dell’interessato o di un terzo)
• Compito di interesse pubblico o esercizio di pubblici poteri
• Perseguimento interesse legittimo del titolare
• Compatibilità ex art. 6, par. 4
NB: alternatività
Condizioni di liceità
27. e
#cloudconferenceitalia
• Condizione di liceità
• Successivo all’informativa
• Autorizzazione o diniego all’utilizzo dei dati
• Informato
• Specifico
• Granulare
• Libero
• Consapevole e inequivocabile
Consenso
28. e
#cloudconferenceitalia
• Sono i dati qualificati dal nostro TU Privacy come dati sensibili (origine
razziale, opinioni politiche, salute, vita sessuale)
• Il loro trattamento è vietato, a meno che:
• Consenso
• Necessario per assolvere ad obblighi di legge
• Per finalità di particolare rilievo (tutela della vita, della salute, diritto di tutela
giudiziaria)
Dati particolari
Art. 9, Reg.
29. e
#cloudconferenceitalia
• Diritto di accesso
• Diritto di rettifica
• Diritto all’oblio
• Diritto di limitazione del trattamento
• Diritto alla portabilità dei dati
Centralità dell’interessato
Generale diritto di controllo
30. e
#cloudconferenceitalia
• Data protection officer
• Accountability
• Registro dei trattamenti
• Valutazione d’impatto
• Data breaches
• Privacy by design e by default
Novità
Nuovi adempimenti introdotti dal Reg. 679/2016 UE
32. e
#cloudconferenceitalia
Obbligatoria
a. Per enti pubblici
a. Per Privati, quando le attività principali consistono in:
• trattamenti che richiedono monitoraggio regolare e sistematico su larga scala;
• trattamento su larga scala di dati particolari o penali
DPO
Designazione
33. e
#cloudconferenceitalia
• Tempestivamente e adeguatamente coinvolto nelle problematiche riguardanti
la protezione dei dati personali.
• Risorse necessarie per assolvere ai compiti ex art. 39, per accedere ai dati
personali e ai trattamenti e per mantenere la conoscenza specialistica.
• Riferimento al vertice gerarchico aziendale (titolare o responsabile del
trattamento).
• Obbligo di segretezza e riservatezza
DPO
Ruolo e posizione nell’azienda
34. e
#cloudconferenceitalia
• Informare e fornire consulenza al titolare del trattamento o al responsabile
del trattamento nonché ai dipendenti che eseguono il trattamento in merito
agli obblighi privacy e protezione dei dati;
• Sorvegliare l'osservanza del Regolamento e di altre disposizioni relative alla
protezione dei dati nonché delle politiche del titolare del trattamento o del
responsabile del trattamento in materia di protezione dei dati personali;
• Fornire un parere in merito alla valutazione d'impatto sulla protezione dei
dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
DPO
Compiti
35. e
#cloudconferenceitalia
• Cooperare con l'autorità di controllo
• Fungere da punto di contatto per l'autorità di controllo per questioni
connesse al trattamento
• Valutazione dei rischi del trattamento, tenuto conto della natura, dell'ambito
di applicazione, del contesto e delle finalità del medesimo.
DPO
Compiti
36. e
#cloudconferenceitalia
• Ruolo centrale e strategico
• Punto di contatto tra l’esterno (Autorità) e l’interno
dell’azienda
• Indipendenza e professionalità
DPO
Riassumendo
37. e
#cloudconferenceitalia
• Obbligati: Titolare e dal Responsabile del trattamento
• Hanno ad oggetto l’attività di trattamento (forma scritta, anche
elettronica)
• A disposizione del Garante
• Obbligo non applicabile alle imprese che abbiano meno di 250
dipendenti
• DPS
Registro dei trattamenti
(art. 30 Reg)
38. e
#cloudconferenceitalia
• nome e dati di contatto del titolare del trattamento (del contitolare del trattamento, del
rappresentante del titolare del trattamento e del responsabile della protezione dei dati);
• le finalità del trattamento;
• descrizione categorie di interessati e delle categorie di dati personali;
• categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i
destinatari di paesi terzi od organizzazioni internazionali)
• trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale,
• termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art.32,
paragrafo 1.
Registro tenuto dal Titolare
Contenuto
39. e
#cloudconferenceitalia
• nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare
del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante
del titolare del trattamento o del responsabile del trattamento (e, del responsabile della
protezione dei dati);
• categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
• trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale;
• descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32,
paragrafo 1.
Registro tenuto dal Responsabile
Contenuto
40. e
#cloudconferenceitalia
• Valutazione d’impatto sulla protezione dei dati (Data Protection
Impact Assestment – DPIA) art. 35 Reg. 679/2016
• Linee guida DIPIA del WP29 adottate in data 04.04.2017 (rev.
04.10.2017)
Valutazione d’impatto
41. e
#cloudconferenceitalia
Quando il trattamento può presentare un rischio elevato:
• art. 35, co.1 (definizione generale)
• art. 35, co.3 (esempi di trattamento che possa presentare rischi elevati)
Attenzione
ipotesi ex art. 35, co.3, non sono esaustive; le linee guida indicano ulteriori categorie/tipologie
di rischio elevato
Valutazione d’impatto
Quando è obbligatoria?
42. e
#cloudconferenceitalia
Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,
considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un
rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua,
prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla
protezione dei dati personali.
• Uso di nuove tecnologie
• Natura, oggetto, contesto e finalità del trattamento
• Rischio elevato per i diritti e le libertà delle persone fisiche
• Prima di procedere al trattamento
Valutazione d’impatto
Art. 35, co.1
43. e
#cloudconferenceitalia
a) valutazione sistematica e globale di aspetti personali relativi a persone
fisiche, basata su un trattamento automatizzato, compresa la profilazione, e
sulla quale si fondano decisioni che hanno effetti giuridici o incidono in
modo analogo significativamente su dette persone fisiche;
b) trattamento, su larga scala, di categorie particolari di dati personali di cui
all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui
all'articolo 10;
c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico
Valutazione d’impatto
Art. 35, co. 3
44. e
#cloudconferenceitalia
1. Valutazione o scoring (assegnazione di un punteggio), inclusa profilazione,
specialmente per risultati lavorativi, situazione economica, salute, preferenze
e interessi personali, reputazione comportamento, localizzazione e
movimenti;
2. Decisioni automatizzate, con ricadute legali o simili;
3. Monitoraggio sistematico
4. Dati sensibili
5. Dati trattati su larga scala
Linee guida DIPIA
Criteri di rischio elevato
45. e
#cloudconferenceitalia
6. Raffronto di dati
7. Interessati appartenenti a fasce deboli
8. Innovazioni tecnologiche
9. Trasferimenti di dati extra UE
10. Trattamento di dati che incidono sull’accesso a servizi o contratti
Linee guida DIPIA
Criteri di rischio elevato
46. e
#cloudconferenceitalia
Un trattamento che includa almeno 2 dei 10 criteri
è un trattamento che presenta rischi elevati
e necessita di una valutazione d’impatto
Linee guida DPIA
Regola del 2
48. e
#cloudconferenceitalia
• Obbligato: titolare del trattamento
• misure tecniche e organizzative adeguate
• per attuare, fin dalla progettazione, i principi di protezione dei dati e
integrare nel trattamento le necessarie garanzie al fine tutelare i diritti degli
interessati;
• per garantire che siano trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalità del trattamento
Privacy by design e by default
Art. 25 Reg.
49. e
#cloudconferenceitalia
• Eventi che comportano perdita, distruzione o diffusione indebita
dei dati
• Pericoli per la riservatezza e danni per gli interessati
Data breach (artt. 33 e 34)
Violazione di dati
50. e
#cloudconferenceitalia
Obbligo di notifica al Garante (massimo entro 72 ore)
• Descrizione del caso, tipo di violazione, numero di interessati, possibili danni
• Misure di contrasto adottate
Obbligo di comunicazione, anche all’interessato, senza ritardo
• In caso di rischio elevato (frode, furto identità, danno immagine, …)
• Per disposizione del Garante (in caso di inattività inziale del titolare)
Data breach
Quali obblighi
52. e
#cloudconferenceitalia
• Premessa
• Inquadramento dei rischi privacy nel cloud
• Aspetti giuridico-legali:
a) la centralità del contratto
b) Misure di sicurezza (minime e idonee)
Cloud e trattamento dei dati
La valutazione del rischio alla luce del Reg. 679/2017 UE
53. e
#cloudconferenceitalia
Identificazione e analisi delle problematiche di conformità alla normativa sulla
protezione dei dati personali per un’azienda stabilita in Italia che volesse fruire
di soluzioni cloud, quindi:
1. Titolare del trattamento stabilito in Italia
2. Compliance normativa privacy
Aspetti contrattuali
Definizione dei ruoli e delle responsabilità correlati alla protezione dei dati personali
adozione delle misure di sicurezza appropriate per l’ambiente cloud
Organizzazione aziendale, controllo e auditing
Premessa
Obiettivi indagine
54. e
#cloudconferenceitalia
• Perdita dei dati
• Minacce interne
• Crimini informatici
• Diminuzione di controllo
• Aumento di esposizione
• Localizzazione del dato:
i. Data-at-reset
ii. Data-in-transit
iii. Data-in-process
Rischi privacy nel cloud
Principali criticità da valutare anteriormente all’adozione di soluzione cloud
55. e
#cloudconferenceitalia
• Qualificazione giuridica del contratto di cloud computing
• Legge applicabile
• Sicurezza dei dati e privacy
• Definizione dei ruoli e responsabilità
• Catene di cloud
• Luogo del trattamento e trasferimento dei dati all’estero
Aspetti giuridico legali
Contratto & sicurezza
56. e
#cloudconferenceitalia
• L’utente non ha il controllo fisico dell’infrastruttura;
• Attuazione di altre forme «contrattuali» di controllo;
• Spesso i contratti di cloud impongono il Foro del cloud provider: potrebbe
essere un problema per l’effettiva tutela dei diritti dell’utente
Problematica connessa:
Il cloud provider deve indicare i paesi in cui sono collocati i data center
Legge applicabile
57. e
#cloudconferenceitalia
• Il cloud provider deve rispettare gli obblighi di sicurezza imposti dal TU 196/2003 (e –a partire
dal 25.05.2018- dal Reg. 679/16 UE)
• Applicabilità TU 196/2003 (e Reg. 679/16 UE):
a) Fornitore stabilito in Italia (art. 5, co. 1, TU)
b) Fornitore non stabilito nell’UE e utilizzi strumenti situati in Italia (art. 5, co. 2, TU)
NB: dal 25.05.2018, la normativa di riferimento è l’art. 3 Reg. (Ambito di applicazione territoriale)
• Altre norme di carattere generale: clausola 25, All. B, TU (autodichiarazione)
Sicurezza dei dati e privacy
Profili generali
58. e
#cloudconferenceitalia
• Fornitore (cloud provider)
• Cliente (utente)
Ai fini privacy, si possono delineare di due seguenti scenari:
1. Autonomia nella titolarità del trattamento, fornitore e cliente sono entrambi titolari. (una effettiva, e
non solo formale, libertà decisionale nel definire i caratteri essenziali del trattamento da parte di
entrambi e il flusso di informazioni che si instaurerà fra di essi verrà necessariamente qualificato in
termini di trasmissione di dati fra autonomi titolari del trattamento);
2. Un titolare e un responsabile, rispettivamente, il cliente ed il fornitore (scambio di dati potrà essere
più semplicemente ricondotto ad un flusso di informazioni interno alle modalità di trattamento).
Definizione dei ruoli e responsabilità
Soggetti coinvolti nel rapporto di cloud
59. e
#cloudconferenceitalia
• Il server del fornitore è situato nel territorio di uno Stato membro della UE o di uno Stato che, secondo le
decisioni della Commissione UE, garantisce un adeguato livello di protezione dei dati personali: il
trasferimento è lecito;
• Il server del fornitore è situato nel territorio di uno Stato terzo che non è giudicato dalla Commissione
UE garantire un adeguato livello di protezione dei dati personali: in tal caso, le pattuizioni fra il
cliente e il fornitore devono contenere le clausole contrattuali tipo approvate dalla Commissione EU
relative al trasferimento extra UE dei dati personali da un titolare del trattamento a un responsabile del
trattamento;
• Il fornitore è una società del medesimo Gruppo del cliente, il server è situato nel territorio di uno Stato
terzo che non è giudicato dalla Commissione UE garantire un adeguato livello di protezione dei
dati personali e nel Gruppo sono operative le Bcr secondo il previsto regime autorizzatorio: in tal caso,
il trasferimento dei dati personali negli Stati extra UE ove operano le società del Gruppo (e quindi il
fornitore) soggette alle Bcr è lecito.
Luogo del trattamento e trasferimento dei dati all’estero
Ubicazione del server - Scenari ipotizzabili
60. e
#cloudconferenceitalia
• Artt. 42-45 TU 196/2003
• Artt. 44-50 Reg. 679/2016; in particolare:
- art. 46 (trasferimento soggetto a garanzie adeguate)
- art. 47 (norme vincolanti d’impresa)
• Accordi internazionali: Privacy Shield
Trasferimento dati all’estero
Normativa di riferimento
62. e
#cloudconferenceitalia
• Responsabilità del cloud provider e SLA
• Proprietà dei dati e dei contenuti
• Modifiche delle condizioni d’uso e di servizio
• Limite al recesso del provider e termine del contratto
• Condizioni di auditabilità
• Recepimento normativa italiana
• Procedura di notifica degli incidenti di sicurezza
• Clausole penali
NB: difficile negoziabilità
Accordi contrattuali
Principali clausole del contratto di cloud
63. e
#cloudconferenceitalia
TU 196/2003
a) elenco di misure minime che devono essere adottate da ogni titolare del trattamento
(misure minime)
b) Il titolare deve proteggere i dati personali trattati in relazione alla natura del trattamento
effettuato, alla tipologia dei dati stessi e coerentemente con le tecnologie disponibili
(misure idonee e preventive)
Reg. 679/2016 UE
Misure si sicurezza
Minime ed adeguate
64. e
#cloudconferenceitalia
a) Autenticazione informatica
b) Adozione di procedure di credenziali di autenticazione
c) Utilizzazione di un sistema di autorizzazione
d) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
e) Protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non
consentiti
f) Adozione di procedure per la custodia di copia di sicurezza, il ripristino della disponibilità dei dati e dei
sistemi
g) DPS
h) Adozione di tecniche di cifratura o di codici identificativi
Misure minime
Artt. 33, 34, 35 e 36 TU 196/2016 e Disciplinare Tecnico (All. B)
65. e
#cloudconferenceitalia
• Il TU 196/2003 NON definisce alcun elenco di misure idonee;
• l’individuazione delle misure idonee:
a. deve essere effettuata in concreto e per ciascun contesto aziendale
b. attiene al processo generale di valutazione dei rischi
NB: l’analisi dei rischi connessi all’adozione di soluzioni di cloud computing deve essere
opportunamente valutata.
Misure idonee di sicurezza
Art. 31 TU 196/2003
66. e
#cloudconferenceitalia
1. Utilizzare solo reti e protocolli sicuri per la trasmissione dati tra la propria azienda e il provider
2. Criptare il dato a riposo nel database nell’infrastruttura del provider
3. Rimuovere, se possibile, la chiave di criptazione dalla disponibilità del cloud provider, di modo che i dati siano nel
cloud ma le chiavi no.
4. Richiedere al provider forme di autenticazione per poter autenticare i propri utenti tramite i propri sistemi e senza
dover ridondare account e password nell’infrastruttura del provider
5. Richiedere il tracciamento delle attività degli amministratori di sistema, anche andando oltre le misure richieste dal
relativo provvedimento del Garante che limita l’obbligo ai soli log-in e log-out..
6. Notifica immediata di qualsiasi evento di sicurezza, secondo protocolli di comunicazione e di alert da definire.
7. Formazione
8. Misure di sicurezza fisica
Misure idonee
Ipotesi per i servizi cloud
67. e
#cloudconferenceitalia
• Art. 20 – diritto alla portabilità dei dati
Obbligo, per il Cloud Priovider, di fornire all'interessato in un formato strutturato, di uso
comune e leggibile da un dispositivo automatico i suoi dati personali;
Diritto, per l'interessato (utente cloud), di trasmettere tali dati ad un altro cloud provider, senza
impedimenti da parte del precedente fornitore di servizi.
• Art. 32 – sicurezza del trattamento
Fornitori di servizi cloud (titolari e/o responsabili del trattamento) dovranno adottare misure
tecniche ed organizzative adeguate (ad es. la pseudoanimizzazione, cifratura dei dati, la
tempestiva disaster recovery ripristinando accesso e disponibilità dei dati, cancellazione
sicura e definitiva dei dati, backup compresi…) per garantire un livello di sicurezza adeguato.
Cloud e valutazione del rischio
Le «risposte» offerte dal Reg. 679/2016
68. e
#cloudconferenceitalia
• Artt. 5, co.2, 24 e ss – accountability (responsabilizzazione del titolare)
• Artt. 33 e 34 – Data Breach (notifica di violazione dei dati)
• Art. 35 e 36 – valutazione d’impatto e consultazione preventiva
Cloud e valutazione del rischio
Ulteriore misure preventive di sicurezza rinvenibili nel Reg. 679/2016