ICT Insider di Marzo 2012
Transcript
ICT Insider di Marzo 2012
ICT Insider ISSUE 01 Marzo 2012 Contatti Via De Togni 14 – 20123 – Milano Tel: +39 02 84573267 NEWS Google cambia la Privacy Policy: contrasto con la UE Via delle Lame 24 – 40122 – Bologna Secondo Google, la sua nuova privacy policy fornirà agli utenti un servizio migliore; i Garanti europei, invece, hanno “forti dubbi” e temono lo scavalcamento delle regole privacy europee. L’Authority francese, P.za San Salvatore in Lauro 13 – 00186 – Roma incaricata di valutare la riforma, ha chiesto a Google di mettere in stand-by le nuove regole. Leggi Europa, USA e Privacy: Obama risponde con il Consumer Privacy Bill of Rights Quasi all’unisono con la proposta del nuovo Regolamento privacy UE, esce negli USA un documento che rafforzerebbe i diritti privacy dei consumatori americani, da sempre meno tutelati degli europei. Esplicito Tel: +39 051 0491814 Tel: +39 06 97842491 Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD). Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) Dopo più di due anni di consultazioni, la Commissione Europea ha proposto il 25 gennaio scorso delle ampie misure di riforma del quadro legislativo europeo sulla protezioni dei dati personali. Ecco alcuni elementi chiave: Un’unica legge privacy in Europa. La proposta assumerà la forma di un Regolamento applicabile in tutti gli Stati membri dell’Unione Europea, senza bisogno, come invece avviene per le Direttive, di essere recepito con norme nazionali. Quale sarà l'impatto del nuovo Regolamento privacy europeo? Enorme. Non solo sostituirà la Direttiva 95/46/EC - che fu la direttiva "madre" della privacy nel nostro continente - ma di fatto abrogherà, per incompatibilità, buona parte dei "Codici privacy" nazionali, incluso quello italiano. Applicazione a Società con sede UE ed Extra-UE. Oltre che alle Società che hanno stabilimento nell’UE, il nuovo Regolamento troverà applicazione anche nei confronti delle Società con sede extra UE che: offrono beni o servizi a soggetti interessati residenti nell’UE o ne monitorano il comportamento. Ciò sostituisce il parametro della “ubicazione della strumentazione utilizzata per il trattamento” con un parametro riferito alla “targettizzazione dei soggetti interessati”. “One-stop-shop” per Titolari UE ma non per Titolari non UE. Il controllo sui Titolari comunitari verrà effettuato dall’Autorità Garante per la protezione dei dati personali dello Stato Membro in cui il Titolare stesso ha la sua sede principale. La previsione del concetto di "stabilimento principale" del titolare, infatti, mira ad evitare che un'impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato. Inoltre, è previsto il ruolo di "lead authority", in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi-Stato. I Titolari ubicati fuori dalla UE, invece, dovranno designare un Rappresentante in uno degli Stati Membri in cui si trovano i soggetti interessati cui si riferiscono i dati trattati per fornire loro beni o servizi, ossia il cui comportamento viene monitorato. Tale Rappresentante potrà essere interpellato da “qualunque Autorità Garante”. Concetto di “dati personali” e nuove definizioni. La definizione di “soggetto interessato” ricomprende chiunque possa essere identificato (direttamente o indirettamente) dal Titolare del trattamento. Solo le persone fisiche possono essere “soggetti interessati”. Il Regolamento dunque non si applica alle persone giuridiche, nemmeno quando la denominazione della persona giuridica contenga i nomi di persone fisiche. L’identificazione può avvenire mediante riferimento a “numero di identificazione, dati di ubicazione, identificatori online” o altri fattori. Il Regolamento inoltre introduce un’area di nuove definizioni, come “violazione dei dati personali”, “dati biometrici”, “dati genetici”, “stabilimento principale”, “dati inerenti alla salute”, “minore” (definito come qualunque persona al di sotto dei 18 anni di età). Previsione delle figure dei “joint controllers” (Titolari congiunti) Tali soggetti potranno “spartirsi” le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa figura potrebbe rivelarsi d’aiuto, in particolare, nel settore relativo alla fornitura dei serivizi di cloud computing (fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile). Trasferimento di dati. Le esistenti restrizioni europee sul trasferimento di dati verso Paesi che non offrono un’adeguata protezione rimangono vigenti. Il trasferimento mediante strumenti contrattuali sarà possibile utilizzando clausole contrattuali standard adottate dalla Commissione Europea o da Autorità garanti e clausole contrattuali ad hoc stipulate tra il Titolare e il Responsabile previa autorizzazione dell’Autorità Garante. L’adozione di Binding Corporate Rules (BCRs, norme vincolanti di impresa) è semplificata, e tale regime è esteso anche ai Responsabili del trattamento; un’intera sezione del Regolamento è dedicata alle BCRs. La bozza del Regolamento mantiene le originarie deroghe per il trasferimento dei dati a Paesi Terzi, come il consenso, ma aggiunge una nuova deroga per trasferimenti occasionali o limitati, se necessari per legittimo interesse del Titolare. Leggi Leggi * partner law firms Nuova proposta di Regolamento Europeo in materia di protezione di dati personali: elementi chiave l’intento di “interazione con gli schemi privacy dei partner internazionali”: ora dipenderà dall’effettiva applicazione. Nuovo Regolamento Privacy UE: gli USA si preparano al cambiamento Secondo un sondaggio condotto da Tufin Technologies, leader nel mercato delle Security Policy Management solutions, i gestori della sicurezza dei network americani temono le nuove regole privacy europee, in particolare le nuove sanzioni. La maggioranza di essi si fida di più dei software automatizzati di verifica degli adempimenti, che non del controllo umano. * Amburgo Amsterdam Atene Bruxelles Londra Madrid Parigi Varsavia Vienna EVENTI 03 Marzo 2012 Luca Bolognini intervistato da 2024 di Radio 24 su privacy e nuove tecnologie. 06 Marzo 2012 Privacy Breakfast su "The Transfer of Personal Data to Third Countries in the Consenso. Analogamente alle regole già esistenti, il trattamento legittimo si fonda su alcune basi, come il consenso, quando è necessario per l’esecuzione di un contratto con il soggetto interessato, per adempiere a un obbligo di legge, o per legittimo interesse del Titolare. Il Regolamento tuttavia ora contiene una sezione a sé sul consenso, definito come “qualsiasi manifestazione di volontà libera, informata ed esplicita”. Il consenso non può essere utilizzato come base legale per il trattamento dei dati personali laddove ci sia “un evidente squilibrio fra il soggetto interessato e il Titolare del trattamento”, e il Titolare ha l’onere di provare che il soggetto interessato ha acconsentito al trattamento. Il consenso non fornisce una valida base legale nemmeno “laddove il soggetto interessato non abbia operato una genuina e libera scelta, e non sia in condizione di rifiutare o revocare il consenso senza subire conseguenze penalizzanti”. Minori di 13 anni. Il trattamento di dati personali relativi a minori di 13 anni di età è legittimo solo se il consenso è prestato o autorizzato dal genitore o dal tutore del minore. Il Titolare deve compiere ragionevoli sforzi per ottenere un consenso verificabile, “ tenuto conto delle tecnologie disponibili”. Nuovi diritti per gli interessati. Il Regolamento contiene un nuovo “diritto all’oblio” che impone al Titolare l’obbligo specifico di cancellare determinati dati, e di compiere i passi necessari per cancellare i collegamenti a tali dati quando fossero stati resi pubblici (anche mediante comunicazioni a terze parti che trattano tali dati). Un nuovo diritto sulla portabilità dei dati consentirà ai soggetti interessati di ottenere copia dei propri dati dal Titolare, in un formato “standardizzato” e che permetta “l’ulteriore utilizzo da parte del soggetto interessato”. La Commissione si riserva il diritto di specificare il formato elettronico e gli standard tecnici per abilitare tale trasmissione. Data Protection Impact Assessment (Valutazione preventiva dell’impatto privacy). Viene imposto sul Titolare l’obbligo di una preventiva valutazione degli impatti privacy in caso di trattamenti che presentino particolari rischi “con riferimento ai diritti ed alle libertà dei soggetti interessati”. Sono per esempio ritenuti tali i trattamenti per mezzo di strumenti automatizzati volti all’analisi ed alla previsione dello stato di salute dell’interessato, della sua situazione economica, a gusti e preferenze del medesimo. Tale valutazione - che può anche essere svolta dal Responsabile per conto del Titolare – dovrà in sostanza individuare i rischi e le contromisure al fine di rendere il trattamento conforme al Regolamento. Notificazione di violazione di dati personali. Il Titolare del trattamento deve notificare violazioni di dati personali all’Autorità Garante, “senza ingiustificato ritardo e, quando possibile, entro 24 ore”. Il Titolare deve inoltre notificarla ai soggetti interessati i cui dati personali potrebbero essere “compromessi” – per esempio, se la violazione può sfociare in furto di identità o frode, danno fisico, significativa umiliazione o danno alla reputazione” – senza ingiustificato ritardo, a meno che il Titolare dimostri, in maniera soddisfacente per l’Autorità Garante, di aver posto in essere adeguate misure tecnologiche di sicurezza che rendano i dati inintelligibili. Viene introdotto il principio della cosiddetta "accountability", per il quale ogni Titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere adottato i modelli organizzativi e le misure logiche, fisiche, elettroniche di sicurezza per proteggere i dati. Obbligo di designazione di un Data Protection Officer. I soggetti pubblici e le imprese con 250 dipendenti e più, hanno l’obbligo di designare un Data Protection Officer, che dovrà presentare elevati requisiti di competenza, garantisca indipendenza e, a tal proposito, potrà anche essere esterno all'ente/impresa, per esempio un avvocato esperto in materia privacy. Inasprimento dell’impianto sanzionatorio. Il Regolamento contiene un’elaborata sezione di sanzioni amministrative. Rispecchiando le sanzioni della legge europea sulla concorrenza, ciascuna Autorità competente avrebbe ora il potere di imporre sanzioni amministrative e di adattarle in base al volume d’affari annuo globale di un’impresa. Le Autorità Garanti potranno imporre alle imprese sanzioni fino a € 1.000.000, o, in caso di imprese, fino al 2% del loro volume d'affari annuo a livello mondiale. “Data protection by design” e “data protection by default”. È previsto l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi di “data protection by design” e “data protection by default”, come saranno dettagliati in seguito con atti delegati della Commissione Europea. Tra luci (molte, per l’unificazione delle regole europee e per il superamento di parecchi formalismi) e ombre (altrettante, per le difficoltà applicative, per l’inasprirsi delle sanzioni e l’intensificarsi delle responsabilità e degli adempimenti preventivi), non resta che prepararci – magari anticipando in veste di “best practice” l’attuazione di alcune regole nelle imprese – e contribuire al dibattito, in attesa che il testo finale venga approvato da Parlamento UE e Consiglio. I soci fondatori Avv. Paolo Balboni Avv. Luca Bolognini M: (+39) 3356685806 M: (+39) 3468470418 E: [email protected] E: [email protected] www.ictlegalconsulting.com General Data Protection Regulation Framework", organizzato da EPA e Axel Voss MEP al Parlamento Europeo, Bruxelles. 08-09 Marzo 2012 Luca Bolognini e Paolo Balboni sono docenti al corso per diventare Consulente Privacy (certificazione Tüv), organizzato da Federprivacy a Taranto. 19 Marzo 2012 Paolo Balboni è relatore su “Cloud Computing in sanità” al convegno internazionale organizzato dall’ente israeliano Kupat Holim Maccabi, in collaborazione con l’ULSS 8 Asolo, a Gerusalemme. 27 Marzo 2012 “Privacy ragionare Spritz” assieme per sulla rivoluzione nell’ambito della gestione della privacy: le novità del decreto "Salva Italia" e del decreto "Semplificazioni" e come si inquadrano nell'ampia proposta di riforma del nuovo Regolamento Privacy Europeo, organizzato da MagNews in colaborazione con ICT Legal Consulting, a Milano. 28 Marzo 2012 Workshops sul nuovo Regolamento Europeo sulla Privacy e gli impatti su Cloud Computing, organizzato da Karin-Riis-Jørgensen, Chairwoman di EPA e Trine Bramsen, MP Social Democrats, al Parlamento Danese a Copenhagen.
Documenti analoghi
Il Regolamento Europeo Data Protection: opportunità di
la sicurezza dei trattamenti, ai sensi dell’articolo 17, paragrafo 1, della direttiva 95/46/CE. (La direttiva, concernente la tutela delle persone fisiche per i trattamenti svolti per fini di preve...
DettagliRipasso Privacy - Dipartimento di Matematica e Informatica
nuove finalità e trattamenti che non trovino giustificazione in una legge o regolamento. Il trattamento dei dati diversi da quelli sensibili e giudiziari è consentito per quelle attività di minore ...
Dettagli