venerdì 30 marzo 2018

PRIVACY PILLS : 2 - L'Informativa


Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Abbiamo già Affrontato in una prima Pillola ( Articolo Online del 20 Marzo ) la tematica relativa al Consenso.


Tematica già Trattata:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"


La pillola di oggi riguarda: L'INFORMATIVA
Il GDPR evidenzia come Il titolare del trattamento debba adottare misure appropriate per fornire all'interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro con maggiore attenzione alle fattispecie afferenti ai casi di informazioni destinate specificamente ai minori. 
Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

Cosa cambia per l’informativa:
Il GDPR introduce 2 tipi di novità in ordine al contenuto dell’informativa e alle modalità con le quali deve essere redatta e fornita.
Il contenuto
       I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. 
In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
       Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
       Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Le modalità
• Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58 GDPR).
• L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.
• Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall’articolo 23, paragrafo 1, di quest’ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b) ) – a differenza di quanto prevede l’art. 13, comma 5, lettera c) del Codice.
• L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
NOTA: ogni volta che le finalità cambiano il regolamento impone di informarne l’interessato prima di procedere al trattamento ulteriore.

Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico proporremo alcune semplici idee per poter approcciare alle novità del GDPR
Un primo esempio di come adeguare il proprio sistema di protezione dei dati personali è quello di prevedere uno studio delle categorie di dati che vengono trattati e creare un’informativa ad hoc per ciascuna categoria da allegare ai contratti con i quali nascono i singoli rapporti giuridici.
Un secondo consiglio per le informative presentate su pagine web è di inserire all’interno della pagina una finestra di testo scorribile dove riportare esclusivamente l’informativa, oltre ad inserirla all’interno dei Termini di Servizio, ed eventualmente consentire la prosecuzione della navigazione esclusivamente dopo la lettura della stessa.
Da ultimo, una rotta che potrebbe portare ad un adeguamento sereno, potrebbe essere quella di prevedere, per ciascuna informativa di cui al primo consiglio, una scheda riassuntiva con le informazioni essenziali accompagnate da riferimenti grafici in modo da centrare la “forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile”.

A cura di:

Avv. Fabio Maggesi

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

GDPR - Quadro Normativo e Novità


LA PRIVACY EUROPEA 2.0.: 
IL REGOLAMENTO UE N. 2016/679 E LE PRINCIPALI NOVITÀ

GDPR, PIA, DPO…Cosa sono questi nuovi acronimi che investiranno ufficialmente la vita delle aziende europee dal 25 maggio 2018 e di cui, con sensibile ritardo, si comincia finalmente a parlare?
Come purtroppo non ancora tutti sanno, sta per entrare in vigore il Regolamento UE 2016/679 (GDPR - General Data Protection Regulation) sulla Privacy che manderà definitivamente in cantina la direttiva 95/46/CE.


COSA CAMBIA?
Innanzitutto, trattandosi di regolamento e non più di direttiva, sarà direttamente applicabile in tutti gli Stati membri dell’Unione ed obbligatorio in tutti i suoi elementi, non essendo più demandato ad ogni Stato, come avviene per una direttiva, di raggiungere un determinato risultato, lasciandolo libero di deciderne le modalità più opportune.
Teoricamente, siamo di fronte ad un radicale cambiamento del concetto di privacy o quantomeno del sistema di regole che la tutelano. La realtà globalizzata ed il web 2.0 hanno generato un valore economicamente apprezzabile ad ogni singolo dato personale, trasformando il marketing e incidendo sui rapporti tra i vari Stati, soprattutto le grandi potenze mondiali.
Ebbene finalmente il legislatore se ne è preoccupato, maturando la necessità di dotarsi di un sistema di regole lungimirante, tanto aperto quanto rigido nei suoi confini, che garantisca al contempo il diritto alla privacy, sancito dalle più importanti fonti nazionali ed internazionali, ed un trattamento dei dati più trasparente e sicuro.

LE PRINCIPALI NOVITA’
APPLICAZIONE DELLA NORMATIVA
Con la vecchia disciplina occorreva prendere a riferimento la sede del Titolare del trattamento dei dati, lì dove il Regolamento, invece, sposta l’attenzione sul soggetto i cui dati sono trattati. Una delle principali conseguenze è che, per la prima volta, il Titolare che si trovi fuori dall’Unione Europea sarà soggetto alla normativa europea.
Inoltre è prevista l’introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi.
IL TRATTAMENTO DEL DATO E CATEGORIE DI DATI
Il trattamento del dato dovrà avvenire nel rigoroso rispetto dei seguenti principi: liceità, correttezza, trasparenza, aggiornamento, integrità, responsabilizzazione, necessità, finalità e minimizzazione.
Si tratta di principi, tra cui alcuni già noti, che hanno un'enorme incidenza nell'intero Regolamento UE, soprattutto, come di seguito illustrato, sull'informazione ed il consenso nonché sulla pianificazione e gestione della privacy per le aziende.
Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico” e viene tipicizzato il dato sanitario, inteso come dato che traspare dalla prestazione di servizi di assistenza sanitaria, parte della più amplia categoria dei "dati relativi alla salute".
E' stata anche Introdotta la categoria del trattamento dati dei minori.
Nonostante il Regolamento UE non utilizzi espressamente il termine dati sensibili e sensibilissimi, rubricandoli in "categorie particolari di dati personali", la sostanza non muta. Quello che invece è oggetto di modifica è la protezione rafforzata di tali dati di cui il trattamento è di default vietato, salvo ipotesi ben delineate che non prevedono più l'autorizzazione del Garante.
NUOVI DIRITTI
Con il Regolamento Europeo è sancito il diritto alla portabilità dei dati che permetterà ad ogni interessato di pretendere la restituzione del dato concesso, anche su supporto elettronico.
Viene altresì chiaramente normato il diritto all’oblio, ossia il diritto ad essere completamente dimenticato da chi ha trattato i propri dati.

ALTRE NOVITA’ CHE INTERESSANO PRINCIPALEMTE LE IMPRESE
Esordisce il principio di Accountability (responsabilità verificabile) per cui è demandato ad ogni singolo Titolare di dotarsi preventivamente di una struttura organizzata e di idonee misure di sicurezza. Chi non lo farà sarà soggetto a sanzione, a prescindere dall’utilizzo effettivo del dato. 
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Oggetto di rielaborazione sono le procedure di raccolta e gestione dei dati secondo la logica by design & by default, preordinate per attuare una tutela preventiva e proattiva del trattamento dei dati. In particolare, la privacy by design esige un'impostazione del trattamento basato su una tutela preventiva, tramite la previsione e attuazione di misure tecniche e organizzative adeguate come l'anonimizzazione e pseudonimizzazione, mentre la privacy by default disciplina un controllo costante sul trattamento affinchè lo stesso avvenga nel rispetto della normativa in vigore, riducendo il rischio di violazione dei dati.
INFORMAZIONE E CONSENSO
Non a caso prima si parlava di informativa sulla privacy ed oggi di informazione. Viene abbandonato il concetto di adempimento burocratico dell’informativa come atto complesso da acquisire per un trattamento lecito dei dati e si passa ad una informazione accessibile, concisa e scritta con linguaggio chiaro e semplice che deve, allo stesso tempo, fornire tutte le informazioni necessarie sulla vita del proprio dato personale trattato.
Il nuovo consenso deve essere anche inequivocabile, oltre che informato, libero e specifico. Dunque per essere valido il consenso deve essere espresso in modo non equivoco, anche con un’azione concludente positiva, fatto salvo, si capisce, l’onere eventuale e successivo del Titolare della relativa prova.
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (PIA – Privacy Impact Assessment)
Occorrerà effettuare una valutazione degli impatti privacy, analizzando i rischi sulla scorta delle attuali lacune nel trattamento, le misure di sicurezza in dotazione ed i protocolli di verifica periodica.
COMUNICAZIONI AL GARANTE
Salvo casi specifici come il trattamento di dati genetici, non si dovrà più informare il Garante su un particolare trattamento dei dati ma la notifica al Garante nel giro di poche ore e la comunicazione all’interessato sono punti fermi del Regolamento in caso di violazione dei dati, salvo ipotesi ben individuate.
D.P.O. - DATA PROTECTION OFFICER
Nasce questa nuova figura per enti ed aziende che effettuano il trattamento di determinate categorie di dati. Tralasciando quanto previsto per gli enti pubblici, sarà obbligatorio dotarsi di un D.P.O. se le “attività principali” consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”, oppure se siamo di fronte ad un trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari).
Il D.P.O. potrà essere sia una figura interna od esterna all’azienda, purché risposta al requisito della reperibilità, periodicamente rinnovata, dalla comprovata qualifica e che gestirà i rapporti con il Garante.
DATA BREACH
Si avrà una violazione dei dati con la diffusione, trasmissione, transito o comunicazione, non autorizzate, degli stessi ad opera di un soggetto non autorizzato
Risulteranno rilevanti l'errore umano, quale l'errata consegna del dato, pubblicazione ovvero distruzione nonché gli attacchi e gli accessi non autorizzati alle applicazioni web ed ai dispositivi.
Il principio di responsabilizzazione imporrà determinati comportamenti quali la notifica al Garante entro 72 H dalla violazione ovvero 48 H se trattasi di dossier sanitario, salvo dover diversamente poi chiarire le ragioni del ritardo ovvero aver reso inoffensiva la violazione.
Salvo ipotesi tassative, sarà altresì obbligatoria la comunicazione all'interessato della violazione con doviziosa descrizione di quanto accaduto, indicando i comportamenti che l'interessato dovrà tenere per attenuare i potenziali effetti negativi dell'uso improprio dei dati.
SANZIONI
Senza voler scendere troppo nel dettaglio e tentando di offrire una panoramica generale, le violazioni alle norme a presidio della privacy by design, comporteranno una sanzione pecuniaria sino a € 10 Milioni ovvero il 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; mentre le violazioni alle norme a presidio della privacy by default, comporteranno una sanzione pecuniaria sino a € 20 Milioni ovvero il 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Il Regolamento UE detta i criteri per la determinazione della sanzione, individuando fondamentalmente solo il massimo della sanzione.
E' demandato ad ogni singolo Stato membro la previsione di ulteriori sanzioni alle violazioni descritte dal Regolamento UE ma non oggetto di sanzione.
Ad oggi, il sistema sanzionatorio italiano rimane quello del Titolo III del Codice della Privacy che prevede sanzioni amministrative, penali ed accessorie.

SVILUPPI
Il Consiglio dei Ministri, lo scorso 21 marzo, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Dunque, sconfessando i più scettici che non credevano in un tempestivo intervento del legislatore nazionale alle prese con l'avvio della nuova legislatura, sembra che il 25 maggio l'Italia godrà anche di una normativa interna concepita sulla scorta del Regolamento UE, scongiurando espressamente l'ipotesi di dover ricorrere all'ancora vigente Codice della Privacy per colmare un evidente vulnus normativo.
Roma, 27 marzo 2018

Avv. Alfonso Massimo Cimò

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net


martedì 20 marzo 2018

PRIVACY PILLS : 1 - Il Consenso

          LA NUOVA NORMATIVA EUROPE SULLA PRIVACY (GDPR 2018)



Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il testo del regolamento abrogherà la precedente normativa, concepita in un periodo nel quale solo una ridotta parte della popolazione europea fruiva della rete internet.
Per il periodo di specie non esistevano le tecnologie come oggi individuate ed in ogni caso l'evoluzione delle stesse non era così repentina. 
Ciò che oggi certamente risulta, inoltre, di veloce crescita è sviluppo è indiscutibilmente il mondo dei social media o delle App nonchè dei marketplace di nuova generazione.
All'epoca, da non sottovalutare, inoltre, non esisteva l’attuale “società della sorveglianza elettronica” nella quale, più o meno inconsapevolmente, sono gli stessi cittadini a pubblicare i propri dati personali all’interno delle piattaforme digitali.

Attraverso l'odierna rubrica posta in essere in più capitoli, daremo luce ad alcune informazioni “in pillole” onde tentare di fornire un’idea più consapevole del sistematico cambiamento che sta avvenendo nel mondo della Privacy. 
Le pillole saranno tematiche e riguarderanno alcune fra le principali novità che incideranno direttamente nella quotidianità degli operatori del settore.


La pillola di oggi riguarda: IL CONSENSO

Il Consenso, secondo definizione del GDPR è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.


Cosa cambia per il consenso:
Per i dati “sensibili” (" é vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonchè trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona ... si veda Art. 9 Regolamento GDPR ) il consenso deve essere “esplicito”; 
lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati 
(compresa la profilazione –  Art. 22).
• Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”(per i dati sensibili); inoltre, il titolare (Art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
• Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.



Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico proporremo alcune semplici idee per poter approcciare alle novità del GDPR
Un primo esempio di come adeguare il proprio sistema di protezione dei dati personali è quello di prevedere una procedura dedicata all’acquisizione del consenso per i minori, grazie alla quale poter reperire il doppio consenso necessario al trattamento.
Altro esempio di adeguamento è quello di analizzare con cura la tipologia dei dati trattati e le modalità del trattamento, prevedendo, ove necessario delle caselle non precompilate o menu a tendina, sempre non precompilate, dove richiedere esplicitamente il consenso ad un trattamento specifico, affiancando le due modalità con delle microfinestre a scorrimento dove inserire esclusivamente il riferimento alla disciplina specifica prevista all’interno dell’informativa sulla privacy.
Ultimo dei consigli di questa pills e quello di dotarsi di un cookie tecnico da agganciare alla pagina nella quale si richiede il consenso al trattamento che permetta di conservare correttamente nel tempo la scelta effettuata da parte dell’utente i cui dati verranno trattati

A cura di:
Avv. Fabio Maggesi
Dott. Giovanni Gaeta

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net