SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Torino 2015 - Guglielmo Troiano
1. Il nuovo regolamento europeo sulla
privacy: stato dell’arte, temi chiave,
ruoli, criticità ed opportunità
Avv. Guglielmo Troiano – Studio legale Array
I contenuti di questa presentazione sono sottoposti a licenza Creative
Commons CC BY 4.0 e sono in parte rielaborazioni degli atti della
Community for Security di Oracle Italia presentati al Security Summit di
Milano il 18 marzo 2015
3. AGENDA
# verso un'approvazione del regolamento
# problematiche applicative
# soggetti
# alcuni principi di base del regolamento
# il data protection officer
# osservatorio permanente
6. ROADMAP - VERSO UNA APPROVAZIONE (?)
25 gennaio 2012
Commissione europea presenta
proposta di regolamento al
Parlamento ed al Consiglio
TESTO UFFICIALE REPERIBILE ALLA URL
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF
7. ROADMAP - VERSO UNA APPROVAZIONE (?)
14 marzo 2014
Parlamento presenta al Consiglio
un testo emendato
TESTO UFFICIALE REPERIBILE ALLA URL
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//IT
8. ROADMAP - VERSO UNA APPROVAZIONE (?)
4 dicembre 2014
Consiglio apporta ulteriori
emendamenti (al testo proposto ed
emendamento dal Parlamento)
TESTO UFFICIALE REPERIBILE ALLA URL
http://data.consilium.europa.eu/doc/document/ST-16140-2014-INIT/it/pdf
9. “il Regolamento sarà approvato verosimilmente entro la
prima metà del 2016”
Antonello Soro, Security Summit, Milano, 18 marzo 2015
ROADMAP - VERSO UNA APPROVAZIONE (?)
10. AUTOSUFFICIENZA REGOLAMENTARE
Normalmente, i regolamenti sono direttamente
efficaci per gli Stati membri in una determinata
materia, senza necessità di trasposizioni nazionali
Ma una legge nazionale può integrarsi con il
regolamento affinché il suo contenuto sia suscettibile
di attuazione concreta …
E QUESTO CE LO DICE ANCHE IL REGOLAMENTO
11. LIMITAZIONI PER GLI INTERESSATI (?)
Art. 21 del Regolamento COM(2012)11
L’Unione o gli Stati membri possono limitare, mediante
misure legislative, la portata degli obblighi e dei diritti
dell'interessato, qualora tale limitazione costituisca una
misura necessaria e proporzionata in una società
democratica …
12. Artt. 78 e 79 del Regolamento COM(2012)11
Gli Stati membri determinano le sanzioni per
violazione delle disposizioni del presente regolamento
…
Ogni autorità di controllo è abilitata a imporre
sanzioni amministrative conformemente al presente
articolo
SANZIONI AMMINISTRATIVE (?)
13. SANZIONI PENALI (?)
Art. 5, c. 2, del TFUE
In virtù del principio di attribuzione, l'Unione agisce
esclusivamente nei limiti delle competenze che le sono
attribuite dagli Stati membri nei trattati per realizzare gli
obiettivi da questi stabiliti. Qualsiasi competenza non
attribuita all'Unione nei trattati appartiene agli Stati
membri.
14. SANZIONI PENALI (?)
Il regolamento non potrà trovare attuazione concreta sulle
sanzioni penali, che l'UE non può fissare direttamente
per difetto di competenza.
Non vi sarà concreta uniformità e armonizzazione e si potrà
eventualmente valutare a quale giurisdizione sottostare
perché più indulgente sulle pene.
15. VALIDITÀ PROVVEDIMENTI DEL GARANTE (?)
Considerando 134 del Regolamento COM(2012)11
Il presente regolamento dovrebbe abrogare la direttiva
95/46/CE. Ciò nondimeno, è opportuno che rimangano in
vigore le decisioni della Commissione e le autorizzazioni
delle autorità di controllo basate sulla direttiva 95/46/CE.
16. QUALI CERTEZZE?
Il Codice Privacy (D.lgs. 196/2003) sarà da considerare
abrogato?
Si ma contiene anche norme che non decadranno, per
esempio, quelle di attuazione della Direttiva 2002/58,
relativa al trattamento dei dati personali e alla tutela della
vita privata nel settore delle comunicazioni elettroniche, o
quelle della Direttiva 2009/136, relativa ai diritti degli utenti
in materia di reti e di servizi di comunicazione elettronica.
17. QUALI CERTEZZE?
I provvedimenti (regolamentari ed autorizzativi) del
Garante Privacy saranno da considerare decaduti?
No ma il Garante si dovrà esprimere (al più presto entro
l'entrata in vigore del Regolamento) con una valutazione,
specifica e concreta, per ogni singolo provvedimento, che
ne confermi la conformità al Regolamento o ne dichiari
l'abrogazione.
18. I SOGGETTI
D.LGS. N. 196/2003 (ITA)
TITOLARE – RESPONSABILE – INCARICATO – INTERESSATO
D.LGS. N. 196/2003 (ENG)
CONTROLLER – PROCESSOR – IN CHARGE OF PROCESSING – DATA
SUBJECT
REGOLAMENTO (COM) 2012/11 (ITA)
RESPONSABILE – NON PREVISTO – INCARICATO – INTERESSATO
REGOLAMENTO (COM) 2012/11 (ENG)
CONTROLLER – NON PREVISTO – PROCESSOR – DATA SUBJECT
19. ALCUNI PRINCIPI (NUOVI) DEL REGOLAMENTO
PRIVACY BY DESIGN – PRIVACY BY DEFAULT
IL RESPONSABILE (TITOLARE) DEVE
- adottare adeguate misure tecniche e organizzative al momento
della progettazione di nuovi prodotti o servizi, in linea con i
principi di privacy by design e by default
- garantire che le impostazioni privacy di default sui servizi e
prodotti rispettino i principi generali della protezione dei dati,
quali la minimizzazione dei dati trattati e la limitazione delle
finalità
20. ALCUNI PRINCIPI (NUOVI) DEL REGOLAMENTO
IERI - ORA
La conformità alla normativa è sempre stata ottenuta con
l’applicazione di controlli tecnici e/o procedurali applicati ex-post
su servizi/applicazioni
DOMANI (MA PERCHÈ NON ANCHE SUBITO?)
Occorrerà effettuare ex-ante privacy impact assessment e
risk assessment, sia nella fase di progettazione di nuovi
servizi/prodotti, sia durante l'intero ciclo di vita degli stessi.
21. ALCUNI PRINCIPI (NUOVI) DEL REGOLAMENTO
CORRESPONSABILI (JOINT CONTROLLERS)
Se il responsabile del trattamento (il nostro TITOLARE)
determina le finalità, le condizioni e i mezzi del trattamento
dei dati personali insieme ad altri, i corresponsabili del
trattamento determinano, mediante accordi interni, le
rispettive responsabilità in merito al rispetto degli obblighi
derivanti dal regolamento, con particolare riguardo alle
procedure e ai meccanismi per l’esercizio dei diritti
dell’interessato.
23. DATA PROTECTION OFFICER
Cosa dice il Regolamento?
# Quando è obbligatorio
# Le funzioni
# La posizione/collocazione nella
struttura in cui opera
# Criteri di scelta
24. Cosa NON dice il Regolamento?
# Che deve avere dei
requisiti specifici
(certificazioni)
DATA PROTECTION OFFICER
25. OBBLIGATORIO NOMINARLO QUANDO
a) titolare è autorità pubblica o organismo pubblico … (OVVERO TUTTI
GLI ENTI PUBBLICI?)
b) titolare è persona giuridica che tratta dati di oltre 5.000 interessati per
12 mesi consecutivi … (IMPRESA UNIPERSONALE, DPO ESTERNO? SE
PER 11 MESI, SI INTERROMPE E RICOMINCIA?)
c) l’attività principale di trattamento, per natura, oggetto o finalità richiede il
controllo regolare o sistematico degli interessati … (PROFILAZIONE?)
d) se i dati appartengono a categorie particolari ai sensi dell'articolo 9,
paragrafo 1 (DATI SENSIBILI), nell'affitto di dati o riguardano dati su minori
o dipendenti in archivi su larga scala.
DATA PROTECTION OFFICER
26. NON E' VIETATO NOMINARLO
IN TUTTI GLI ALTRI CASI
“Nei casi diversi da quelli precedenti, il responsabile del
trattamento, l’incaricato del trattamento o le associazioni e
gli altri organismi rappresentanti le categorie di responsabili
del trattamento o di incaricati del trattamento possono
designare un responsabile della protezione dei dati.”
DATA PROTECTION OFFICER
27. DOCUMENTO NON UFFICIALE PUBBLICATO IL
03.03.2015
Consolidated text of the Commission and Council
Designation of the data protection officer
1. The controller and or the processor may, or where
required by Union or Member State law shall,
designate a data protection officer.
NON PIU' OBBLIGATORIO!?
DATA PROTECTION OFFICER
28. FUNZIONI 1/2
- Sensibilizzare, informare e consigliare in merito agli obblighi derivanti dal
regolamento
- Sorvegliare l’attuazione e l’applicazione delle politiche del titolare
- Sorvegliare l’attuazione e l’applicazione del regolamento
- Garantire la conservazione della documentazione
- Controllare che le violazioni dei dati personali siano documentate, notificate e
communicate
- Controllare che il titolare effettui la valutazione d’impatto sulla protezione dei
dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi
previsti
DATA PROTECTION OFFICER
29. FUNZIONI 2/2
- Controllare che sia dato seguito alle richieste dell’autorità di controllo e,
nell’ambito delle sue competenze, cooperare con l’autorità di controllo di
propria iniziativa o su sua richiesta;
- Fungere da punto di contatto per l’autorità di controllo per questioni connesse
al trattamento e, se del caso, consultare l’autorità di controllo di propria
iniziativa;
- Verificare la conformità con il presente regolamento ai sensi del meccanismo
di consultazione preventiva di cui all'articolo 34;
- Informare i rappresentanti del personale in merito al trattamento dei dati che
riguardano i dipendenti.
DATA PROTECTION OFFICER
30. POSIZIONE (COLLOCAZIONE ORGANICA)
a) coinvolto (O SOLO INFORMATO?) in tutte le questioni riguardanti la
protezione dei dati personali (QUESTIONI POTENZIALMENTE INFINITE)
b) indipendenza nell'adempimento dei compiti (SE DIPENDENTE DEL
TITOLARE, DAVVERO OPERA AUTONOMAMENTE?), non riceve alcuna
istruzione (NEMMENO DAL TITOLARE?), riferisce direttamente ai superiori
gerarchici esecutivi del titolare (E CE NE SONO?). Il titolare designa a tal fine
un membro della direzione esecutivo (MEMBRO NEL CDA?)
c) sostenuto nell’esecuzione dei suoi compiti con tutti i mezzi e ogni altra
risorsa necessaria per adempiere alle sue funzioni e ai suoi compiti ...
compresa la conoscenza professionale …
DATA PROTECTION OFFICER
31. Deve essere scelto in base a
- qualità professionali
- conoscenza specialistica della normativa e delle
pratiche in materia di protezione dei dati
- capacità di adempiere ai compiti previsti
In particolare, il livello necessario di conoscenza specialistica è
determinato in base al trattamento di dati effettuato e alla
protezione richiesta per i dati personali trattati
NON PUO' ESSERE CHIUNQUE
DATA PROTECTION OFFICER
32. Articolo 77 del Regolamento COM(2012)11
Diritto al risarcimento e responsabilità
Chiunque subisca un danno cagionato da un trattamento illecito
o da altro atto incompatibile con il presente regolamento ha il
diritto di ottenere il risarcimento del danno dal responsabile del
trattamento (il nostro TITOLARE) o dall’incaricato del
trattamento.
CHI RISPONDE DEI DANNI?
DATA PROTECTION OFFICER
33. Return on Security Investments
Fascicolo Sanitario Elettronico
Privacy nel Cloud
Mobile e Privacy
Sicurezza nel Social Media
I Primi 100 giorni del Responsabile della
Sicurezza delle Informazioni
Le Frodi nella Rete - Il duplice Ruolo
dell'ICT
http://www.oracle.com/it/technologies/security/partner-171975-ita.html
C4S.CLUSIT.IT
ORACLE COMMUNITY FOR SECURITY