ICT Insider di Marzo 2012

ICT Insider
ISSUE 01
Marzo 2012
Contatti
Via De Togni 14 – 20123 – Milano
Tel: +39 02 84573267
NEWS
Google cambia la Privacy
Policy: contrasto con la
UE
Via delle Lame 24 – 40122 – Bologna
Secondo Google, la sua
nuova privacy policy fornirà
agli utenti un servizio
migliore; i Garanti europei,
invece, hanno “forti dubbi” e
temono lo scavalcamento
delle regole privacy europee.
L’Authority
francese,
P.za San Salvatore in Lauro 13 – 00186 – Roma
incaricata di valutare la
riforma, ha chiesto a Google
di mettere in stand-by le
nuove regole.
Leggi
Europa, USA e Privacy:
Obama risponde con il
Consumer Privacy Bill of
Rights
Quasi all’unisono con la
proposta
del
nuovo
Regolamento privacy UE,
esce
negli
USA
un
documento
che
rafforzerebbe i diritti privacy
dei consumatori americani,
da sempre meno tutelati
degli
europei.
Esplicito
Tel: +39 051 0491814
Tel: +39 06 97842491
Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD). Proposal for a REGULATION OF THE
EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the
processing of personal data and on the free movement of such data (General Data Protection Regulation)
Dopo più di due anni di consultazioni, la Commissione Europea ha proposto il 25 gennaio scorso delle
ampie misure di riforma del quadro legislativo europeo sulla protezioni dei dati personali.
Ecco alcuni elementi chiave:

Un’unica legge privacy in Europa. La proposta assumerà la forma di un Regolamento applicabile in tutti gli
Stati membri dell’Unione Europea, senza bisogno, come invece avviene per le Direttive, di essere recepito con
norme nazionali.
Quale sarà l'impatto del nuovo Regolamento privacy europeo? Enorme. Non solo sostituirà
la Direttiva 95/46/EC - che fu la direttiva "madre" della privacy nel nostro continente - ma di fatto abrogherà, per
incompatibilità, buona parte dei "Codici privacy" nazionali, incluso quello italiano.

Applicazione a Società con sede UE ed Extra-UE. Oltre che alle Società che hanno stabilimento nell’UE, il
nuovo Regolamento troverà applicazione anche nei confronti delle Società con sede extra UE che: offrono beni
o servizi a soggetti interessati residenti nell’UE o ne monitorano il comportamento. Ciò sostituisce il parametro
della “ubicazione della strumentazione utilizzata per il trattamento” con un parametro riferito alla
“targettizzazione dei soggetti interessati”.

“One-stop-shop” per Titolari UE ma non per Titolari non UE. Il controllo sui Titolari comunitari verrà
effettuato dall’Autorità Garante per la protezione dei dati personali dello Stato Membro in cui il Titolare stesso
ha la sua sede principale. La previsione del concetto di "stabilimento principale" del titolare, infatti, mira ad
evitare che un'impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato.
Inoltre, è previsto il ruolo di "lead authority", in modo tale che vi sia un solo Garante di volta in volta
responsabile dei procedimenti multi-Stato. I Titolari ubicati fuori dalla UE, invece, dovranno designare un
Rappresentante in uno degli Stati Membri in cui si trovano i soggetti interessati cui si riferiscono i dati trattati
per fornire loro beni o servizi, ossia il cui comportamento viene monitorato. Tale Rappresentante potrà essere
interpellato da “qualunque Autorità Garante”.

Concetto di “dati personali” e nuove definizioni. La definizione di “soggetto interessato” ricomprende
chiunque possa essere identificato (direttamente o indirettamente) dal Titolare del trattamento. Solo le persone
fisiche possono essere “soggetti interessati”. Il Regolamento dunque non si applica alle persone giuridiche,
nemmeno quando la denominazione della persona giuridica contenga i nomi di persone fisiche.
L’identificazione può avvenire mediante riferimento a “numero di identificazione, dati di ubicazione, identificatori
online” o altri fattori. Il Regolamento inoltre introduce un’area di nuove definizioni, come “violazione dei dati
personali”, “dati biometrici”, “dati genetici”, “stabilimento principale”, “dati inerenti alla salute”, “minore” (definito
come qualunque persona al di sotto dei 18 anni di età).

Previsione delle figure dei “joint controllers” (Titolari congiunti) Tali soggetti potranno “spartirsi” le
responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi:
questa figura potrebbe rivelarsi d’aiuto, in particolare, nel settore relativo alla fornitura dei serivizi di cloud
computing (fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile).

Trasferimento di dati. Le esistenti restrizioni europee sul trasferimento di dati verso Paesi che non offrono
un’adeguata protezione rimangono vigenti. Il trasferimento mediante strumenti contrattuali sarà possibile
utilizzando clausole contrattuali standard adottate dalla Commissione Europea o da Autorità garanti e clausole
contrattuali ad hoc stipulate tra il Titolare e il Responsabile previa autorizzazione dell’Autorità Garante.
L’adozione di Binding Corporate Rules (BCRs, norme vincolanti di impresa) è semplificata, e tale regime è
esteso anche ai Responsabili del trattamento; un’intera sezione del Regolamento è dedicata alle BCRs. La
bozza del Regolamento mantiene le originarie deroghe per il trasferimento dei dati a Paesi Terzi, come il
consenso, ma aggiunge una nuova deroga per trasferimenti occasionali o limitati, se necessari per legittimo
interesse del Titolare.
Leggi
Leggi
* partner law firms
Nuova proposta di Regolamento Europeo in materia di protezione
di dati personali: elementi chiave
l’intento di “interazione con
gli schemi privacy dei
partner internazionali”: ora
dipenderà
dall’effettiva
applicazione.
Nuovo Regolamento
Privacy UE: gli USA si
preparano al
cambiamento
Secondo un sondaggio
condotto
da
Tufin
Technologies, leader nel
mercato delle Security
Policy
Management
solutions, i gestori della
sicurezza
dei
network
americani temono le nuove
regole privacy europee, in
particolare
le
nuove
sanzioni. La maggioranza
di essi si fida di più dei
software automatizzati di
verifica degli adempimenti,
che non del controllo
umano.
* Amburgo
Amsterdam
Atene
Bruxelles
Londra
Madrid
Parigi
Varsavia
Vienna
EVENTI
03 Marzo 2012
Luca Bolognini intervistato
da 2024 di Radio 24 su
privacy e nuove tecnologie.
06 Marzo 2012
Privacy Breakfast su "The
Transfer of Personal Data to
Third Countries in the





Consenso. Analogamente alle regole già esistenti, il trattamento legittimo si fonda su alcune basi, come il consenso,
quando è necessario per l’esecuzione di un contratto con il soggetto interessato, per adempiere a un obbligo di legge, o
per legittimo interesse del Titolare. Il Regolamento tuttavia ora contiene una sezione a sé sul consenso, definito come
“qualsiasi manifestazione di volontà libera, informata ed esplicita”. Il consenso non può essere utilizzato come base
legale per il trattamento dei dati personali laddove ci sia “un evidente squilibrio fra il soggetto interessato e il Titolare del
trattamento”, e il Titolare ha l’onere di provare che il soggetto interessato ha acconsentito al trattamento. Il consenso
non fornisce una valida base legale nemmeno “laddove il soggetto interessato non abbia operato una genuina e libera
scelta, e non sia in condizione di rifiutare o revocare il consenso senza subire conseguenze penalizzanti”.
Minori di 13 anni. Il trattamento di dati personali relativi a minori di 13 anni di età è legittimo solo se il consenso è
prestato o autorizzato dal genitore o dal tutore del minore. Il Titolare deve compiere ragionevoli sforzi per ottenere un
consenso verificabile, “ tenuto conto delle tecnologie disponibili”.
Nuovi diritti per gli interessati. Il Regolamento contiene un nuovo “diritto all’oblio” che impone al Titolare l’obbligo
specifico di cancellare determinati dati, e di compiere i passi necessari per cancellare i collegamenti a tali dati quando
fossero stati resi pubblici (anche mediante comunicazioni a terze parti che trattano tali dati). Un nuovo diritto sulla
portabilità dei dati consentirà ai soggetti interessati di ottenere copia dei propri dati dal Titolare, in un formato
“standardizzato” e che permetta “l’ulteriore utilizzo da parte del soggetto interessato”. La Commissione si riserva il diritto
di specificare il formato elettronico e gli standard tecnici per abilitare tale trasmissione.
Data Protection Impact Assessment (Valutazione preventiva dell’impatto privacy). Viene imposto sul Titolare
l’obbligo di una preventiva valutazione degli impatti privacy in caso di trattamenti che presentino particolari rischi “con
riferimento ai diritti ed alle libertà dei soggetti interessati”. Sono per esempio ritenuti tali i trattamenti per mezzo di
strumenti automatizzati volti all’analisi ed alla previsione dello stato di salute dell’interessato, della sua situazione
economica, a gusti e preferenze del medesimo. Tale valutazione - che può anche essere svolta dal Responsabile per
conto del Titolare – dovrà in sostanza individuare i rischi e le contromisure al fine di rendere il trattamento conforme al
Regolamento.
Notificazione di violazione di dati personali. Il Titolare del trattamento deve notificare violazioni di dati personali
all’Autorità Garante, “senza ingiustificato ritardo e, quando possibile, entro 24 ore”. Il Titolare deve inoltre notificarla ai
soggetti interessati i cui dati personali potrebbero essere “compromessi” – per esempio, se la violazione può sfociare in
furto di identità o frode, danno fisico, significativa umiliazione o danno alla reputazione” – senza ingiustificato ritardo, a
meno che il Titolare dimostri, in maniera soddisfacente per l’Autorità Garante, di aver posto in essere adeguate misure
tecnologiche di sicurezza che rendano i dati inintelligibili. Viene introdotto il principio della cosiddetta "accountability",
per il quale ogni Titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere
adottato i modelli organizzativi e le misure logiche, fisiche, elettroniche di sicurezza per proteggere i dati.

Obbligo di designazione di un Data Protection Officer. I soggetti pubblici e le imprese con 250 dipendenti e più,
hanno l’obbligo di designare un Data Protection Officer, che dovrà presentare elevati requisiti di competenza, garantisca
indipendenza e, a tal proposito, potrà anche essere esterno all'ente/impresa, per esempio un avvocato esperto in
materia privacy.

Inasprimento dell’impianto sanzionatorio. Il Regolamento contiene un’elaborata sezione di sanzioni amministrative.
Rispecchiando le sanzioni della legge europea sulla concorrenza, ciascuna Autorità competente avrebbe ora il potere di
imporre sanzioni amministrative e di adattarle in base al volume d’affari annuo globale di un’impresa. Le Autorità Garanti
potranno imporre alle imprese sanzioni fino a € 1.000.000, o, in caso di imprese, fino al 2% del loro volume d'affari
annuo a livello mondiale.

“Data protection by design” e “data protection by default”. È previsto l’obbligo di attenersi, nell’ideazione di nuovi
prodotti o servizi, ai principi di “data protection by design” e “data protection by default”, come saranno dettagliati in
seguito con atti delegati della Commissione Europea.
Tra luci (molte, per l’unificazione delle regole europee e per il superamento di parecchi formalismi) e ombre (altrettante, per
le difficoltà applicative, per l’inasprirsi delle sanzioni e l’intensificarsi delle responsabilità e degli adempimenti preventivi),
non resta che prepararci – magari anticipando in veste di “best practice” l’attuazione di alcune regole nelle imprese – e
contribuire al dibattito, in attesa che il testo finale venga approvato da Parlamento UE e Consiglio.
I soci fondatori
Avv. Paolo Balboni
Avv. Luca Bolognini
M: (+39) 3356685806
M: (+39) 3468470418
E: [email protected]
E: [email protected]
www.ictlegalconsulting.com
General Data Protection
Regulation
Framework",
organizzato da EPA e Axel
Voss MEP al Parlamento
Europeo, Bruxelles.
08-09 Marzo 2012
Luca Bolognini e Paolo
Balboni sono docenti al
corso
per
diventare
Consulente
Privacy
(certificazione
Tüv),
organizzato da Federprivacy
a Taranto.
19 Marzo 2012
Paolo Balboni è relatore su
“Cloud Computing in sanità”
al convegno internazionale
organizzato
dall’ente
israeliano
Kupat
Holim
Maccabi, in collaborazione
con l’ULSS 8 Asolo,
a
Gerusalemme.
27 Marzo 2012
“Privacy
ragionare
Spritz”
assieme
per
sulla
rivoluzione nell’ambito della
gestione della privacy: le
novità del decreto "Salva
Italia"
e
del
decreto
"Semplificazioni" e come si
inquadrano
nell'ampia
proposta di riforma del
nuovo Regolamento Privacy
Europeo, organizzato da
MagNews in colaborazione
con ICT Legal Consulting, a
Milano.
28 Marzo 2012
Workshops
sul
nuovo
Regolamento Europeo sulla
Privacy e gli impatti su Cloud
Computing, organizzato da
Karin-Riis-Jørgensen,
Chairwoman di EPA e Trine
Bramsen,
MP
Social
Democrats, al Parlamento
Danese a Copenhagen.