Un aiuto per adeguarsi al GDPR: i codici di condotta
1. Un aiuto per adeguarsi al
GDPR: I codici di condotta
Lorenzo Chiriatti
Direttore Affari Legali Gruppo DADA e
Presidente del Gruppo di lavoro tecnico
del CISPE
2. Parliamo di
● ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?
● I CODICI DI CONDOTTA, COSA SONO E PERCHE’ SONO UTILI
● CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
● INTERESSANTE, MA COME POSSIAMO CREARNE UNO?
● PARLIAMO DELL’ESPERIENZA DEL CISPE
● CONCLUSIONI
Un aiuto per
adeguarsi al
GDPR: I codici di
condotta
3. Un breve quadro d’insieme
• Cos’è il GDPR?
ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?
• Chi è coinvolto?
• Quando diverrà pienamente applicabile?
6. Dove siamo:
ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?
57%
Le aziende che stanno
lavorando allo sviluppo
di piani di conformità.
(sondaggio Marsh, ottobre 2017)
11%
Delle imprese ha
risposto di non aver
intrapreso alcuna
azione in questo senso.
(sondaggio Marsh, ottobre 2017)
78%
La percentuale dei
responsabili IT delle
aziende coinvolte che non
comprende l’impatto della
nuova normativa, oppure
che non ne è proprio a
conoscenza.
(ricerca eset idc, novembre 2016)
19%
Delle imprese con un
fatturato annuo
inferiore ai 50 milioni
di euro ha risposto di
non aver intrapreso
alcuna azione in questo
senso.
(sondaggio Marsh, ottobre 2017)
7. Un’opportunità da cogliere ma…occhio alle spine
ENTRA IN VIGORE IL GDPR. COS’È ? SIAMO PRONTI ?
il GDPR è una norma «aperta»
Un fattore di partecipazione e
responsabilizzazione degli
attori, ma anche una
complessità in più da gestire
9. I codici di condotta, un vestito su misura, più semplice da indossare
I codici di condotta, un vestito su misura,
più semplice da indossare
I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Art. 40 GDPR
● L’Unione e gli Stati membri incoraggiano l'elaborazione di codici di
condotta
● Sono strumento per la corretta applicazione e per precisare il GDPR
● Adeguano il codice alle specificità dei vari settori di trattamento e
delle esigenze specifiche delle micro, piccole e medie imprese
11. I codici di condotta, un vestito su misura, più semplice da indossare
Tramite i codici si apre il dialogo e si porta
trasparenza tra imprese e cittadini
I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Considerando 99 GDPR
occorre consultare gli interessati, e tener conto delle
osservazioni ricevute e delle opinioni espresse
12. Nei codici si trova il corretto
bilanciamento degli interessi
di cittadini e aziende
13. I codici di condotta, un vestito su misura, più semplice da indossare
… con effetti positivi in caso di sanzioni
I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Art. 83 co. 2 GDPR
Al momento di decidere se infliggere una sanzione
amministrativa pecuniaria e di fissare l'ammontare della stessa si
tiene debito conto dell'adesione ai codici di condotta
14. I codici di condotta, un vestito su misura, più semplice da indossare
Uno strumento per avere regole certe e chiare
I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Art. 40, co. 9 GDPR
La Commissione può decidere che un codice di condotta ha
validità generale all'interno dell'Unione»
16. Google e HTTPS
Il Web cambia faccia
I legittimi interessi di imprese e cittadini
CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Art. 40 GDPR
«Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o
responsabili del trattamento possono elaborare i codici di condotta…allo scopo di precisare
l'applicazione del presente regolamento, ad esempio relativamente a:
a) il trattamento corretto e trasparente dei dati;
b) i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;»
17. Google e HTTPS
Il Web cambia faccia
I nuovi diritti dei cittadini
CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Continua l’ Art. 40 GDPR
«c) la raccolta dei dati personali;
d) la pseudonimizzazione dei dati personali;
e) l'informazione fornita al pubblico e agli interessati;
f) l'esercizio dei diritti degli interessati;»
18. Google e HTTPS
Il Web cambia faccia
Privacy by default, privacy by design e sicurezza
CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Continua l’ Art. 40 GDPR
«g) l'informazione fornita e la protezione del minore e le modalità con cui è
ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a
garantire la sicurezza del trattamento di cui all'articolo 32;»
Considerando 98 : i codici calibrano gli obblighi di titolare e responsabile in
funzione di data protection.
19. Google e HTTPS
Il Web cambia faccia
Data breach e trasferimenti dati all’estero
CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Continua l’ Art. 40 GDPR
«i) la notifica di una violazione dei dati personali alle autorità di
controllo e la comunicazione di tali violazioni dei dati personali
all'interessato;
j) il trasferimento di dati personali verso paesi terzi o
organizzazioni internazionali; …»
21. Google e HTTPS
Il Web cambia faccia
Un solo stato
membro… «facile»!
INTERESSANTE…MA COME POSSIAMO CREARNE UNO?
Se il codice di condotta si riferisce a attività di
trattamento in un solo Stato membro
Art. 40 co 5 GDPR
Autorità di controllo competente ai sensi dell'articolo 55
parere sulla conformità al GDPR del progetto di codice
e verifica se esso offre garanzie adeguate
22. Google e HTTPS
Il Web cambia faccia
Un codice valido in
tutta Europa?
INTERESSANTE…MA COME POSSIAMO CREARNE UNO?
Se il codice di condotta si riferisce a attività di trattamento in più Stati membri
Art. 40 co 7, 8 e 9 GDPR
● Autorità di controllo competente ai sensi dell'articolo 55
● Comitato Europeo per la Protezione dei Dati, per il parere sulla conformità
al GDPR del progetto di codice e verifica delle garanzie adeguate
● il Comitato trasmette il suo parere alla Commissione.
● La Commissione può dare al codice validità generale all'interno
dell'Unione
26. Google e HTTPS
Il Web cambia faccia
Il codice di condotta del CISPE:
un caso concreto
PARLIAMO DELL’ESPERIENZA DEL CISPE
● Cos’è il CISPE?
● Perché è nato?
27. Google e HTTPS
Il Web cambia faccia
Lo scopo del codice di condotta del CISPE
PARLIAMO DELL’ESPERIENZA DEL CISPE
● Dedicato al mondo degli IaaS (infrastructure
as a service) provider europei
● Offrire ai clienti la possibilità di avvalersi di
responsabili del trattamento certificati
29. Google e HTTPS
Il Web cambia faccia
Prima di tutto, di nuovo, la trasparenza
PARLIAMO DELL’ESPERIENZA DEL CISPE
Trasparenza tra provider e cliente
● Giugno 2017, incontro a Firenze con i clienti
italiani
● il codice apre un canale di informazione tra
provider e cliente
● information security management system
30. Google e HTTPS
Il Web cambia faccia
Qualità certificata e trasparente
PARLIAMO DELL’ESPERIENZA DEL CISPE
Sistema per l’adesione al Codice
● Self-assesment e certificazione terza e indipendente
● Sigilli di qualità diversificati
31. Google e HTTPS
Il Web cambia faccia
Gli europei e l’Europa al centro
PARLIAMO DELL’ESPERIENZA DEL CISPE
Governance e compliance
● un ruolo centrale alle piccole e medie imprese europee
● L’impegno degli aderenti di trattare i dati solo in Europa
● Sistema di enforcement a garanzia del rispetto del codice