Slide proiettate all'eevento di formazione organizzato dallo Studio Legale IUS40, tenutosi a Novara il 9 febbraio 2018. Il Regolamento Europeo sulla protezione dei dati personali è un tema di grande attualità.
1. L’adeguamento al Regolamento UE 2016/679
(GDPR): opportunità e criticità
Avv. Pietro Calorio
Novara, 9 febbraio 2018
in collaborazione con
2. Il comune sentire
oscilla tra questo
e questo...
Vignetta di Dino Aloi nell’opuscolo
“Privacy: primi passi” di Ethos Academy Editore
Adeguamento al GDPR: opportunità e criticità - slide 2 di 34Avv. Pietro Calorio
Via, parliamo di privacy!
3. “Privacy”: concetto bifronte
‘opacità’: diritto a essere ‘lasciati soli’
‘trasparenza’: diritto ad avere controllo sui dati
L'adeguamento al GDPR: opportunità e criticità - slide 3 di 34Avv. Pietro Calorio
4. In realtà, in fondo,
parliamo di SAGGEZZA
DIKW
pyramid
Adeguamento al GDPR: opportunità e criticità - slide 4 di 34Avv. Pietro Calorio
5. Dato (nel linguaggio corrente):
“descrizione elementare, spesso codifcata, di un'entità, di un
fenomeno, di una transazione, di un avvenimento o di altro.
L'elaborazione dei dati può portare alla conoscenza di un’
Informazione
“l'insieme di dati, correlati tra loro, con cui un'idea
(o un fatto) prende forma ed è comunicata”
Adeguamento al GDPR: opportunità e criticità - slide 5 di 34Avv. Pietro Calorio
6. Elaborazione di dati
(data processing)
DATA /
Viene data “forma” a un elemento
Adeguamento al GDPR: opportunità e criticità - slide 6 di 34Avv. Pietro Calorio
8. Il signifcato giuridico di (data) Processing (Trattamento)
(art. 4, comma 1 lett. a) d. lgs. 196/2003 - Codice Privacy)
“qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modifcazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di
dati, anche non registrati in una banca di dati”
= ogni “evento di contatto” con i dati
(ben oltre la “mera” elaborazione,
per come la intenderebbe il data scientist)
Adeguamento al GDPR: opportunità e criticità - slide 8 di 34Avv. Pietro Calorio
9. “Processing” secondo il GDPR
(art. 4, sottoparagrafo 1, n. 2, Regolamento UE 2016/679)
“qualsiasi operazione o insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati personali o insiemi
di dati personali, come la raccolta, la registrazione, l’organizzazione, la
strutturazione, la conservazione, l’adattamento o la modifca,
l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione,
il raffronto o l’interconnessione,
la limitazione, la cancellazione o la distruzione”
La parola “elaborazione” sparisce:
È conferma della maggiore ampiezza della nozione giuridica
→ queste norme sono volte alla TUTELA della PERSONA
Adeguamento al GDPR: opportunità e criticità - slide 9 di 34Avv. Pietro Calorio
10. “Identikit” del GDPR
(Regolamento UE 2016/679)
● “General Data Protection Regulation”
● Direttamente applicabile in tutti i Paesi UE
● Aggiorna e abroga la “Direttiva Madre” (95/46), ormai superata
● In vigore dal maggio 2016, applicabile dal 25 maggio 2018
● Risultato di 4 anni di dibattito
● Si applica in maniera ubiquitaria (sia ai soggetti stabiliti in UE
sia ai trattamenti di dati di persone fsiche che si trovano in UE)
● Pensato (anche) per proteggere dai grandi “collettori” di dati
● E’ la prima parte del “pacchetto” di norme UE sui dati
(seguiranno quelle sul “free fow” - libera circolazione dei dati non
personali)
Adeguamento al GDPR: opportunità e criticità - slide 10 di 34Avv. Pietro Calorio
11. Attuale situazione normativa in Italia
● Il D. Lgs. 196/2003 (Codice Privacy) è tuttora in vigore
● Alcuni provvedimenti generali del Garante decadono il 25/5/2018
● Delega al Governo ad adeguare il Codice (art. 13 L. 25/10/2017 n. 163)
● Alcuni interventi (anche discutibili) sono già stati attuati
● Le autorità di controllo europee e nazionali emanano linee
guida, vademecum e pareri che forniscono sovente spunti
importanti
● Il quadro è in continua e tumultuosa evoluzione
Adeguamento al GDPR: opportunità e criticità - slide 11 di 34Avv. Pietro Calorio
12. GDPR - a cosa si applica (1 di 2)
Dato Personale
“qualsiasi informazione riguardante una persona fsica
identifcata o identifcabile («interessato»); si considera
identifcabile la persona fsica che può essere identifcata,
direttamente o indirettamente, con particolare riferimento a
un identifcativo come il nome, un numero di identifcazione,
dati relativi all’ubicazione, un identifcativo online o a uno o più
elementi caratteristici della sua identità fsica, fsiologica,
genetica, psichica, economica, culturale o sociale”
Adeguamento al GDPR: opportunità e criticità - slide 12 di 34Avv. Pietro Calorio
13. GDPR - a cosa si applica (2 di 2)
Dati Particolari
➔ genetici
➔ biometrici
➔ relativi alla salute
➔ relativi alle condanne penali e ai reati o a connesse misure di sicurezza
●Il Codice Privacy parlava di “dati sensibili”
Non esiste una lista, ma solo dei criteri
Cos’è dunque dato personale?
Adeguamento al GDPR: opportunità e criticità - slide 13 di 34Avv. Pietro Calorio
14. GDPR - a chi si applica
1) Controller (Titolare): decide mezzi e fnalità del trattamento
2) Processor (Responsabile): tratta dati per conto del Controller
3) Authorised (“Incaricato”): persona fsica dipendente da 1 o 2
4) Data Subject (Interessato): persona fsica a cui si riferiscono i dati
5) Recipient (Destinatario): chi riceve comunicazione di dati
Adeguamento al GDPR: opportunità e criticità - slide 14 di 34Avv. Pietro Calorio
15. Chi tratta dati personali deve
➔farlo per fnalità legittime, esplicite e preventivamente defnite
➔applicare principi (minimizzazione, privacy by design, privacy by default)
➔garantire esercizio di diritti (limitazione, cancellazione (“oblio”), portabilità)
➔implementare misure tecniche (pseudonimizzazione, cifratura)
Adeguamento al GDPR: opportunità e criticità - slide 15 di 34Avv. Pietro Calorio
16. Adempimenti a carico
di Controller e Processor
(1 di 2)
● Informativa agli Interessati (elementi nuovi)
● Indicazione della base giuridica (tra cui consenso)
● Attuazione misure tecniche e organizzative “adeguate”
● Misure di sicurezza e Valutazione dei rischi
● Dimostrazione/rendicontazione di quanto attuato
(principio dell’accountability)
Adeguamento al GDPR: opportunità e criticità - slide 16 di 34Avv. Pietro Calorio
17. Adempimenti a carico
di Controller e Processor
(2 di 2)
● Valutazione di impatto privacy (DPIA)
● Notifca delle violazioni di dati (data breach notifcation)
● Registro dei Trattamenti (con qualche eccezione)
● Nomina di un Data Protection Offcer (con qualche eccezione)
● Riesame e aggiornamento delle misure ove necessario
Adeguamento al GDPR: opportunità e criticità - slide 17 di 34Avv. Pietro Calorio
18. Il Data Subject ha diritto di
● ricevere l’informativa
● accedere ai dati
● chiederne rettifca e cancellazione (“oblio”)
● opporsi al trattamento o chiederne la limitazione
● richiedere la portabilità dei dati
● proporre reclamo ad un’Autorità di Controllo
● dare mandato a organizzazioni per la tutela dei
propri diritti (art. 80 - class action)
Adeguamento al GDPR: opportunità e criticità - slide 18 di 34Avv. Pietro Calorio
19. Altri principi, istituti e soggetti rilevanti
● Trasferimenti di dati extra UE (condizioni di ammissibilità)
● Codici di Condotta
● Certifcazione di Trattamenti, Sigilli e Marchi (organismi preposti)
● Associazioni e organismi rappresentativi di Controller e Processor
● Spazi al legislatore nazionale su temi specifci (attività
giornalistica, rapporti di lavoro, archivistica, statistica, ricerca
scientifca e storica)
Adeguamento al GDPR: opportunità e criticità - slide 19 di 34Avv. Pietro Calorio
20. Responsabilità
● Il Controller deve provare di non aver alcuna responsa-
bilità (= di avere attuato le misure adeguate)
● Il Processor risponde solo se non ha rispettato il
regolamento o ha operato senza osservare le legittime
istruzioni del Controller
● Il Data Subject danneggiato può rivolgersi all’uno o
all’altro, che sono responsabili in solido (con possibilità di
regresso interno)
→ fondamentali gli accordi di trattamento dati
Adeguamento al GDPR: opportunità e criticità - slide 20 di 34Avv. Pietro Calorio
21. Sanzioni
● Amministrative pecuniarie: due fasce
➔ Bassa: fno a €10M e 2% fatturato annuo globale
➔ Alta: fno a €20M e 4% fatturato annuo globale
➔ Cumulo giuridico in caso di più violazioni (art. 83.3)
➔ Criteri per graduare la sanzione
➔ Non sono previste soglie minime
● Penali (decide lo Stato Membro)
Adeguamento al GDPR: opportunità e criticità - slide 21 di 34Avv. Pietro Calorio
22. Cosa va fatto?
● Mappatura dei dati personali e dei trattamenti
● Mappatura dei fornitori / servizi che trattano dati
● Analisi dei rischi ai diritti e libertà degli Interessati
(il “rischio privacy” è operativo, normativo e reputazionale allo stesso tempo)
● Creazione, implementazione e aggiornamento di un
Sistema di Gestione della Privacy
● Valutare la necessità di nominare un DPO
● Pianifcare attività di formazione
Adeguamento al GDPR: opportunità e criticità - slide 22 di 34Avv. Pietro Calorio
23. Cosa è utile fare?
● Analisi delle lacune, attuali e in prospettiva GDPR
● Stabilire priorità negli interventi (forse non è tutto urgente)
● Se del caso, investimenti (sicurezza e formazione)
● A valle, valutare coperture assicurative sui rischi informatici
● Non temere le sanzioni, ma essere consapevoli dei problemi
● Cercare di utilizzare l’adeguamento al GDPR come
un’opportunità, abituandosi ad “indossare gli occhiali della
sicurezza e della privacy”: passare dalla data protection alla
DATA GOVERNANCE
Adeguamento al GDPR: opportunità e criticità - slide 23 di 34Avv. Pietro Calorio
24. Opportunità
● Vantaggi competitivi (da adesione a certifcazioni)
● Miglioramento dei processi e riduzione di costi
● Snidare ineffcienze e intuire possibilità
● Tutela della reputazione e del know-how
● Valorizzare il patrimonio informativo aziendale
● Conseguenze derivanti da un quadro regolatorio
più stabile e di respiro internazionale
Adeguamento al GDPR: opportunità e criticità - slide 24 di 34Avv. Pietro Calorio
25. Ma mi interessa tutto ciò
se non tratto dati personali?
Se ho soltanto, insomma, informazioni
● NON relative a persone fsiche
● relative a persone fsiche NON identifcabili (dati
anonimi)
?
Adeguamento al GDPR: opportunità e criticità - slide 25 di 34Avv. Pietro Calorio
26. I dati più importanti per un’impresa,
spesso, NON sono dati personali
● Brevetti, progetti, piani commerciali, processi,
know-how, invenzioni industriali
● Informazioni riservate di vario genere
Un NDA può bastare
(approccio giuridico)?
Adeguamento al GDPR: opportunità e criticità - slide 26 di 34Avv. Pietro Calorio
27. E’ problema solo tecnico? NEMMENO
Adeguamento al GDPR: opportunità e criticità - slide 27 di 34Avv. Pietro Calorio
28. Occorre promuovere la
CULTURA del DATO nell’impresa
dal punto di vista tecnico (certamente),
ma a monte attenzione massima ai fattori
UMANI → formazione, istruzione, consapevolezza, motivazione
GIURIDICI → contratti, policy e procedure
Le medesime misure (tecniche e organizzative)
proteggono tanto i dati personali
quanto le informazioni riservate
Necessaria la cooperazione tra funzioni aziendali
Adeguamento al GDPR: opportunità e criticità - slide 28 di 34Avv. Pietro Calorio
29. In breve, da due angoli visuali diversi:
DATI =
bene aziendale da tutelare e valorizzare
PROTEZIONE DEI DATI
= non mera esigenza di compliance, ma
Corporate Social Responsibility (= 231!)
“Sì al proftto, nel rispetto dei diritti fondamentali”
Adeguamento al GDPR: opportunità e criticità - slide 29 di 34Avv. Pietro Calorio
30. ✔PASSWORD (computer, apparati di rete, wi-f, smartphone):
aggiornamento, custodia adeguata, salvataggio informatico (non
su agende o fogliacci, ci sono software appositi – es. KeePass)!
✔BACKUP, DISASTER RECOVERY, BUSINESS CONTINUITY:
TRAGICO considerarle solo quando si perdono i dati!!! →
http://messaggeroveneto.gelocal.it/udine/cronaca/2016/10/14/news/rubati-i-computer-ditta-in-ginocchio-
1.14249804
✔SERVIZI CLOUD: risolve problemi di backup ma occhio a
come trattano i dati, occorre saper leggere le CDS
(collocazione geografca dei server; tempi di intervento in caso di guasti;
uso crittografa)
✔Ma la sicurezza è anche FISICA (attenzione alla carta e alle
persone, non necessariamente solo i dipendenti!)
"No Privacy without Security”
Adeguamento al GDPR: opportunità e criticità - slide 30 di 34Avv. Pietro Calorio
31. Backup: una defnizione
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 31 di 34Avv. Pietro Calorio
Grazie a Simone Aliprandi
32. Backup: non il modo migliore
Adeguamento al GDPR: opportunità e criticità - slide 32 di 34Avv. Pietro Calorio
33. Anno del Signore 2015
e-mail da uno studio legale:
“purtroppo ieri sera sono stati
rubati i computer sia dell’avv. X
che dell’avv. Y: chiediamo pertanto
a tutti di rimandare le mail
dell’anno 2015, compresa, se
possibile, l’eventuale risposta.
Grazie della collaborazione.”
“Non fatelo a casa!”
Adeguamento al GDPR: opportunità e criticità - slide 33 di 34Avv. Pietro Calorio
34. Presentazione preparata da Pietro Calorio
Avvocato – Consulente Privacy
(Certifcato TÜV Italia n° Reg. CDP_3341 - schema sviluppato in accordo alla ISO/IEC 17024:2012)
http://it.linkedin.com/in/pietrocalorio/
@PietroCalorio
Rilasciata con licenza Creative Commons (http://www.creativecommons.org)
Attribuzione - Non commerciale - Condividi allo stesso modo 4.0 Internazionale
(CC BY-NC-SA 4.0)
GRAZIE PER L’ATTENZIONE