Il Regolamento Europeo Data Protection: opportunità di

Il Regolamento Europeo Data Protection:
opportunità di una adozione proattiva
Incontro Club TI del 24 settembre 2012
Claudio Copelli
1
La Privacy in Europa e in Italia: Milestones
Dal 1995 ad oggi in Europa
La legislazione sulla “Privacy” in Europa è governata principalmente da 2 direttive
 95/46/EC (generica)
 Regolamento n. 45/2001 Istituzioni Communitarie
 2002/58/EC emendata dalla 2009/136/EC (per le Telecomunicazioni)
 Council Framework Decision 2008/977/JHA Criminalità
 2009/140/EC Framework per le Comunicazioni elettroniche
Ogni paese (27) ha attuato la direttiva nel proprio ordinamento giuridico
Dal 1995 ad oggi in Italia
 Legge 31 dicembre 1996, n. 675
 D.PR. 28 luglio 1999, n.318 Regolamento recante norme per l'individuazione delle misure minime di
sicurezza per il trattamento dei dati personali
 D.Lgs. 28 dicembre 2001, n. 467 ‘’Disposizioni correttive ed integrative della normativa in materia di
protezione dei dati personali’’
 D.Lgs. 30 giugno 2003,n. 196 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati
personali’’ e Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B)
 D.Lgs. 6 dicembre 2011 n. 201 “Salva Italia”
2
La Privacy in Europa e in Italia: Situazione attuale
 Differenti interpretazioni della direttiva (27 differenti leggi)
 Difficoltà di gestire e coordinare le regole e i processi di scambio di dati tra singoli
paesi dell’Unione e in ambito extraeuropeo
 Prevalente sfiducia dei Titolari verso la Normativa per gli oneri burocratici con
scarso valore aggiunto (L’EU prevede saving pari a 2,3 Miliardi di Euro/anno
applicando una sola legge; 130 milioni di Euro per le sole notificazioni).
 Scarsa cultura sul tema della Privacy e conoscenze frammentarie della Protezione
dei dati da parte degli interessati con conseguente scarsa fiducia nell’utilizzo dei
sistemi online di business (solo il 33% degli europei è a conoscenza dell’esistenza di
data personal authority)
 Il 74% degli europei ritiene che i social network e l’utilizzo di internet sono necessari
per migliorare la vita, ma solo il 26% degli utenti di social network e ancora meno gli
acquirenti on-line (18%), sentono di avere il controllo completo dei loro dati.
Fonte Special Eurobarometer 359 - 2011
3
La Riforma UE della Data Protection: le motivazioni
I ‘’Driver’’ della Riforma
Le nuove tecnologie, Il Cloud Computing,
la Virtualizzazione, le Applicazioni Web e
Mobile, e la tecnologia Wireless
Il miglioramento dei
trasferimenti internazionali di
dati in ambito Globale
le imprese dell'UE devono garantire
adeguata protezione dei dati personali
ai loro clienti (individui) per favorire la
crescita del mercato interno
Un quadro giuridico più solido e coerente,
affiancato da accordi istituzionali ed efficaci
misure di attuazione
4
L’impatto tecnologico: trend di crescita
Previsioni di crescita dei volumi e delle tipologie di dati
17,7 EB
Utilizzi in cui ‘’l’individuo’’ è maggiormente coinvolto
8.9 EB
Fonte CISCO VNI June 2011
5
Il Regolamento: la Struttura
Gli Adempimenti Normativi
Data
Protection
Officer Role
D.P.A.
Data
Protection
Audit
D.B.N.
Data
Breach
Notification
I Modelli Organizzativi e Tecnologici a
supporto della Protezione dei dati
Personali
Privacy By
Design
Approach
P.I.A.
Privacy
Impact
Assessment
Data Protection Framework Process
6
Il Regolamento: Highlight sulla Normativa 1
 E’ un Regolamento che ha valore per tutti gli Stati membri dell’Unione e quindi rispetto alla Direttiva
95/46 definisce in dettaglio gli ambiti normativi
 Il Nuovo Regolamento si ispira alla direttiva europea 95/46 per quanto riguarda i principi di attuazione
della tutela dei dati personali.
 La protezione prevista dal presente regolamento si applica alle persone fisiche
 Esistono due livelli di responsabilità primaria il Responsabile e l’Incaricato
 Esiste l’obbligo per i responsabili del trattamento di fornire informazioni trasparenti, comprensibili e
facilmente accessibili, in relazione anche ai servizi erogati ai minori.
 E’ stata introdotta la figura obbligatoria del responsabile della protezione dei dati (D.P.O.) per il settore
pubblico e, nel settore privato
 Il responsabile del trattamento e l’incaricato del trattamento devono mettere in atto misure adeguate per
la sicurezza dei trattamenti, ai sensi dell’articolo 17, paragrafo 1, della direttiva 95/46/CE.
(La direttiva, concernente la tutela delle persone fisiche per i trattamenti svolti per fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, anch’essa in fase di approvazione, oltre a far riferimento alla dir. 95/46,
relativamente alle misure di sicurezza dei dati, accorpa quanto definito dalla Decisione Quadro 2008/977/GAI (cooperazione
giudiziaria e di polizia in materia penale). In particolare vengono definiti 10 tipi di misure/controlli che il responsabile deve
attuare (controllo accesso alle attrezzature, dei supporti dei dati, della memorizzazione, dell’utente, dell’accesso ai dati, della
trasmissione, dell’introduzione, del trasporto, del recupero e dell’autenticità.)
7
Il Regolamento: Highlight sulla Normativa 2
 È introdotto l’obbligo per i responsabili e gli incaricati del trattamento di conservare la
documentazione delle operazioni effettuate sotto la propria responsabilità, in sostituzione della notifica
generale all’autorità di controllo.
 E’ stato introdotto l’obbligo per responsabili e incaricati del trattamento di effettuare una valutazione
d’impatto (P.I.A.) in materia di protezione dei dati
 E’ stato introdotto l’obbligo di notificazione e comunicazione delle violazioni di dati personali (D.B.N.)
 Le sanzioni amministrative pecuniarie previste sono fino a 1 000 000 EUR o, per le imprese, fino al 2%
del fatturato mondiale/A
 La Commissione può stabilire moduli standard per il consenso, per i diritti dell’interessato, le norme
tecniche riguardanti i requisiti PIA e la relativa documentazione, la documentazione del Responsabile, la
notificazione, procedure e documentazione DBN, moduli e procedure per l’autorizzazione preventiva e la
consultazione preventiva, le norme tecniche riguardanti i meccanismi di certificazione, ecc.
8
Il Regolamento: i Modelli Organizzativi e Tecnologici
Responsabile della Protezione dei Dati (Data Protection Officer)
La figura è obbligatoria per il settore pubblico e, nel settore privato per un’impresa con 250 o più dipendenti, oppure, quando le
attività principali del responsabile del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico
degli interessati.
Privacy nel ciclo di vita (Privacy by Design)
Attuare concretamente il principio della ‘Privacy by Design' significa che, unitamente all’uso di tecnologie PET (Privacy
Enhanced Technology), Privacy e Protezione dei dati sono ‘’assemblate’’ in tutta l'intero ciclo di vita delle tecnologie e dei
sistemi di business, dalla fase di individuazione, disegno, progettazione e distribuzione, utilizzo e dismissione.
Valutazione di Impatto sulla Protezione dei Dati (Privacy Impact Analysis - PIA)
Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli
interessati, il responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei
dati personali.
Notifica delle Violazioni di Accesso ai Dati Dati (Data Bridge Notification) Non appena viene a conoscenza di una
violazione, il responsabile del trattamento la deve notificare all’autorità di controllo senza ritardo e, quando possibile, entro
24 ore.
Quando la violazione rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del
trattamento, dopo aver notificato all’autorità comunica la violazione all’interessato senza ritardo.
Audit di Compliance della Data Protection
Prevede 2 aree la Normativa Privacy e l’Organizzazione e il Contesto tecnologico
9
La Governance e la Gestione della Data Protection
L’ adeguamento alla nuova normativa Europea può essere “anticipato” in logica proattiva
adottando Modelli organizzativi e Tecnologici derivati dalle Good Practices internazionali, per
supportare lo svolgimento dei
Processi operativi di Gestione della Data Protection
• Cobit 5, per permettere una governance della Data Protection come parte della governance
d’impresa, specialmente in contesti articolati e con una distribuzione a livello internazionale.
• Gli standard ISO (es. La serie ISO 27000 e ISO 22301, etc) assicurano l’adeguatezza delle
misure di sicurezza e di Business Continuity dei dati personali
• Prince2 fornisce il metodo per facilitare il rispetto del principio di “privacy by design” durante
il ciclo di vita della tecnologia e dei sistemi applicativi.
• BSC Balaced Score Cards per valutazioni di performance interna e benchmarking
10
La Privacy in Europa e nel Mondo
… e nel mondo
 ….. Il 27 aprile 2010 a TAIWAN è stato approvato un emendamento alla legge sulla
protezione dei dati personali che amplia il campo di applicazione della normativa che si
applicherà a tutti gli individui, entità giuridiche e le imprese che raccolgono dati
personali, non solo alle agenzie governative e alle industrie designate ai sensi della
Computer-Processed Personal Data Protection Act ("CPPDPA") ......
 ...... nel febbraio 2012 negli Stati Uniti l'amministrazione Obama ha pubblicato una
proposta , “Consumer Data Privacy in a Networked World: A Framework for Protecting
Privacy and Promoting Innovation in the Global Digital Economy.” Questo quadro di
riferimento definisce la Consumer Privacy Bill of Rights .......
 …….a Marzo 2012 a Singapore, il Ministero dell'Informazione, Comunicazioni e delle
Arti(MICA) ha proposto una legge per proteggere i dati personali dei consumatori che
sarà presentata in Parlamento entro il terzo trimestre di quest'anno. Nel progetto di legge
è stato proposto un "sunrise period" di almeno 18 mesi dopo l’approvazione per
permettere alle organizzazioni di adeguarsi al nuovo regime normativo………
11
Un approccio proattivo
6 motivi su cui riflettere
1. Identificare la tipologia del business in cui è necessario l’adeguamento (Gaming, Sanità,
Biomedicali e Diagnostici, Assicurativi, Telecomunicazione, Marketing, Servizi, ecc.)
2. Essere consapevoli che i principi di Responsibilità e di Accountability, richiesti dal
Regolamento, devono essere formalizzati e coerenti con la Governance dell’organizzazione
3. Valutare l’impatto organizzativo , dei tempi e dei costi per essere compliant alla nuova
normativa
4. Considerare che la nuova normativa ha due obiettivi primari: la protezione dei dati personali
dell’individuo e la crescita del Business (in particolare quello on-line)
5. Considerare in quale area geografica si opera e quale è il panorama della data protection nel
nostro contesto di business
6. Valutare cosa si è costruito con la 196/2003 e quanto può essere riutilizzato per l’adeguamento
al nuovo regolamento EU.
12
Grazie per l’attenzione
13