MEPLAW GROUP

venerdì 27 aprile 2018

PRIVACY PILLS : 5 - I Soggetti Coinvolti

TITOLARE, COTITOLARE, RESPONSABILE E INCARICATO AL TRATTAMENTO

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".

PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"

PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"

La pillola di oggi riguarda: Titolare, Contitolare, Responsabile e Incaricato del Trattamento

Il GDPR innova parzialmente i diritti dell’Interessato rispettivamente al trattamento dei propri dati personali.

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali, ovvero decide il «perché» e il «come» devono essere trattati i dati personali. I dipendenti che trattano i dati personali all’interno dell’organizzazione aziendale lo fanno per adempiere ai compiti di titolare del trattamento dell’azienda/organizzazione.

Il contitolare del trattamento si configura quando, l’azienda/organizzazione insieme a una o più organizzazioni definisce congiuntamente il «perché» e il «come» devono essere trattati i dati personali. I contitolari del trattamento sono tenuti a stipulare un accordo che definisca le rispettive responsabilità nel rispetto delle norme del GDPR. I contitolari del trattamento sono tenuti a comunicare alle persone i cui dati sono oggetto di trattamento, i contenuti del summenzionato accordo.

Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento ed è, solitamente, un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Un’attività tipica svolta dai responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’istallazione di sistemi e l’archiviazione su cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.

Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.

Cosa cambia:

• Il GDPR disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

• Il nuovo regolamento, inoltre, fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.

• Infine, il GDPR consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).

Cosa Fare?

Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.

Il consiglio proposto per tutte le pills è oltremodo valido per questo argomento che presenta profili di valutazione della presenza e consistenza delle lettere d’incarico all’interno dell’azienda. L’unico consiglio che possiamo proporre per rendersi conto della necessità dell’adeguamento al GDPR è quello di ricercare le lettere d’incarico di responsabili e incaricati e confrontarne il contenuto con le prescrizioni degli articoli sopra citati.

A differenza delle pills precedenti riproporremo gli esempi elaborati dalla Commissione Europea per valutare la propria posizione e quella dei propri Partner.

Titolare del trattamento e responsabile del trattamento

Un birrificio ha molti dipendenti. Firma un contratto con una società addetta all’elaborazione delle buste paga per pagare gli stipendi. Il birrificio indica a tale società quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il sistema informatico e conserva i dati dei dipendenti. Il birrificio è il titolare del trattamento e la società addetta all’elaborazione delle buste paga è il responsabile del trattamento.

Contitolari del trattamento

La tua azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la tua azienda/organizzazione ha un contratto con un’altra azienda che consente di offrire servizi a valore aggiunto. Questi servizi includono la possibilità per i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi e DVD che la baby-sitter può portare con sé. Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

venerdì 13 aprile 2018

PRIVACY PILLS: 4 - L'interessato

PRIVACY PILLS : 4 - I DIRITTI DELL'INTERESSATO

Tematiche già affrontate:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".

PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"

La pillola di oggi riguarda: I DIRITTI DELL'INTERESSATO

Il GDPR innova parzialmente i diritti dell’Interessato rispettivamente al trattamento dei propri dati personali.

Cosa cambia:

• Il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

• Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti.

• Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).

• La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Diritto di Accesso

• Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.

• Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Diritto all’Oblio

• Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).

• Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1).

Limitazione del Trattamento

• Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare).

• Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Diritto alla Portabilità dei Dati

• Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).

• Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare (si veda il considerando 68 per maggiori dettagli).

• Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile

Cosa Fare?

I diritti degli interessati al trattamento e il loro eventuale esercizio pongono un compito gravoso sulle spalle del Titolare del trattamento il quale, per potersi concentrare esclusivamente sul suo business, dovrà necessariamente incaricare una o più persone per ottemperare a tutti gli obblighi che gli sono imposti. La scelta sarà obbligatoria ed alternativa.

- Incaricare un soggetto interno alla propria società, attribuendogli attraverso una lettera d’incarico specifica anche tutte le mansioni per l’espletamento dei diritti summenzionati diritti. Questa soluzione incontra notevoli controindicazioni poiché l’incaricato interno si troverà da solo a relazionarsi con una materia totalmente nuova per lui e dovrà sottrarre tempo ed energie alle sue mansioni ordinarie.

- Assumere come dipendente uno o più nuovi soggetti (a seconda delle dimensioni dell’impresa), esperti della materia, che trattino esclusivamente il tema della privacy. Anche questa soluzione incontra un ostacolo determinante ovvero il costo del lavoro; assumere uno o più dipendenti per una mansione potrebbe generare dei costi tali da costringere l’imprenditore ad assumersi il rischio di una multa molto salata.

- La terza soluzione è quella che emerge da una giusta compensazione di tutti gli interessi in gioco e prevede la conclusione di un contratto che potrebbe conoscere tante sfumature quante sono le necessità dell’imprenditore in tema di privacy. Per gli imprenditori meno soggetti agli obblighi del GDPR sarebbe ipotizzabile un contratto base di consulenza per l’espletamento dei diritti degli interessati al trattamento, incaricando così una società di gestire tutte le richieste di esercizio dei singoli diritti. Per tutti gli imprenditori avveduti, ovvero quelli che hanno capito quanto la raccolta e l’elaborazione di dati personali sia una miniera d’oro e non l’ennesima spesa da affrontare, è lo stesso GDPR a imporre l’adozione del Data Protection Officer (DPO, per l’Italia Responsabile della Protezione dei Dati o RPD), il quale, fra le sue mansioni, svolgerà anche quella di rendere effettivo e accessibile l’esercizio dei diritti degli interessati.

A cura di:

Avv. Fabio Maggesi

Dott. Giovanni Gaeta

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

giovedì 5 aprile 2018

PRIVACY PILLS : 3 - Il Responsabile

PRIVACY PILLS 3 : IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)

Il testo del regolamento abroga la precedente normativa, concepita in un periodo nel quale solo una ridotta parte della popolazione europea utilizzava la rete internet, non esistevano le nuove tecnologie sempre in evoluzione all’interno di social media o per il tramite di app e marketplace di nuova generazione, inoltre non esisteva l’attuale “società della sorveglianza elettronica” nella quale, più o meno inconsapevolmente, sono gli stessi cittadini a pubblicare i propri dati personali all’interno delle piattaforme digitali.

Attraverso questa rubrica pubblicheremo alcune informazioni “in pillole” per cercare di dare un’idea dell’enorme cambiamento che sta avvenendo nel mondo della Privacy. Le pillole saranno tematiche e riguarderanno alcune fra le principali novità che incideranno direttamente nella quotidianità degli operatori.

Tematiche già trattate:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".

La pillola di oggi riguarda: IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)

Il Responsabile per la Protezione dei Dati (RPD) o Data Protection Officer (DPO) è una figura introdotta dal GDPR. Storicamente già conosciuta in alcune legislazioni europee, è un professionista (interno o esterno) con un ruolo aziendale e con competenze giuridiche, informatiche, di risk management e di analisi dei processi; la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, ovvero la Protezione dei Dati Personali, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Quali sono i compiti del DPO:

· informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

· verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;

· fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

· fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;

· fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

DPO obbligatorio, le indicazione del Garante Italiano

Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico proporremo alcune semplici idee per poter approcciare alle novità del GDPR.

Per questa Pills è stato lo stesso GARANTE italiano per la Protezione dei Dati Personali a chiarire le novità introdotte dal GDPR, attraverso la pubblicazione di alcune risposte alle domande più frequenti inoltrategli.

Il GDPR esplicita l’obbligatorietà del DPO nei seguenti casi:

a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;

b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;

c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Il GARANTE ha chiarito che “Sono tenuti alla designazione del responsabile della protezione dei dati personali i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o i trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati e che il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile del trattamento dei dati personali

Pertanto, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

A cura di:

Avv. Fabio Maggesi

Dott. Giovanni Gaeta

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

venerdì 30 marzo 2018

PRIVACY PILLS : 2 - L'Informativa

Abbiamo già Affrontato in una prima Pillola ( Articolo Online del 20 Marzo ) la tematica relativa al Consenso.

Tematica già Trattata:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"

La pillola di oggi riguarda: L'INFORMATIVA

Il GDPR evidenzia come Il titolare del trattamento debba adottare misure appropriate per fornire all'interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro con maggiore attenzione alle fattispecie afferenti ai casi di informazioni destinate specificamente ai minori.
Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

Cosa cambia per l’informativa:

Il GDPR introduce 2 tipi di novità in ordine al contenuto dell’informativa e alle modalità con le quali deve essere redatta e fornita.

Il contenuto

• I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice.
In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

• Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

• Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Le modalità

• Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58 GDPR).

• L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.

• Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall’articolo 23, paragrafo 1, di quest’ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b) ) – a differenza di quanto prevede l’art. 13, comma 5, lettera c) del Codice.

• L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

NOTA: ogni volta che le finalità cambiano il regolamento impone di informarne l’interessato prima di procedere al trattamento ulteriore.

Cosa Fare?

Un primo esempio di come adeguare il proprio sistema di protezione dei dati personali è quello di prevedere uno studio delle categorie di dati che vengono trattati e creare un’informativa ad hoc per ciascuna categoria da allegare ai contratti con i quali nascono i singoli rapporti giuridici.

Un secondo consiglio per le informative presentate su pagine web è di inserire all’interno della pagina una finestra di testo scorribile dove riportare esclusivamente l’informativa, oltre ad inserirla all’interno dei Termini di Servizio, ed eventualmente consentire la prosecuzione della navigazione esclusivamente dopo la lettura della stessa.

Da ultimo, una rotta che potrebbe portare ad un adeguamento sereno, potrebbe essere quella di prevedere, per ciascuna informativa di cui al primo consiglio, una scheda riassuntiva con le informazioni essenziali accompagnate da riferimenti grafici in modo da centrare la “forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile”.

A cura di:

Avv. Fabio Maggesi

Dott. Giovanni Gaeta

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

GDPR - Quadro Normativo e Novità

LA PRIVACY EUROPEA 2.0.:

IL REGOLAMENTO UE N. 2016/679 E LE PRINCIPALI NOVITÀ

GDPR, PIA, DPO…Cosa sono questi nuovi acronimi che investiranno ufficialmente la vita delle aziende europee dal 25 maggio 2018 e di cui, con sensibile ritardo, si comincia finalmente a parlare?

Come purtroppo non ancora tutti sanno, sta per entrare in vigore il Regolamento UE 2016/679 (GDPR - General Data Protection Regulation) sulla Privacy che manderà definitivamente in cantina la direttiva 95/46/CE.

COSA CAMBIA?

Innanzitutto, trattandosi di regolamento e non più di direttiva, sarà direttamente applicabile in tutti gli Stati membri dell’Unione ed obbligatorio in tutti i suoi elementi, non essendo più demandato ad ogni Stato, come avviene per una direttiva, di raggiungere un determinato risultato, lasciandolo libero di deciderne le modalità più opportune.

Teoricamente, siamo di fronte ad un radicale cambiamento del concetto di privacy o quantomeno del sistema di regole che la tutelano. La realtà globalizzata ed il web 2.0 hanno generato un valore economicamente apprezzabile ad ogni singolo dato personale, trasformando il marketing e incidendo sui rapporti tra i vari Stati, soprattutto le grandi potenze mondiali.

Ebbene finalmente il legislatore se ne è preoccupato, maturando la necessità di dotarsi di un sistema di regole lungimirante, tanto aperto quanto rigido nei suoi confini, che garantisca al contempo il diritto alla privacy, sancito dalle più importanti fonti nazionali ed internazionali, ed un trattamento dei dati più trasparente e sicuro.

LE PRINCIPALI NOVITA’

APPLICAZIONE DELLA NORMATIVA

Con la vecchia disciplina occorreva prendere a riferimento la sede del Titolare del trattamento dei dati, lì dove il Regolamento, invece, sposta l’attenzione sul soggetto i cui dati sono trattati. Una delle principali conseguenze è che, per la prima volta, il Titolare che si trovi fuori dall’Unione Europea sarà soggetto alla normativa europea.

Inoltre è prevista l’introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi.

IL TRATTAMENTO DEL DATO E CATEGORIE DI DATI

Il trattamento del dato dovrà avvenire nel rigoroso rispetto dei seguenti principi: liceità, correttezza, trasparenza, aggiornamento, integrità, responsabilizzazione, necessità, finalità e minimizzazione.

Si tratta di principi, tra cui alcuni già noti, che hanno un'enorme incidenza nell'intero Regolamento UE, soprattutto, come di seguito illustrato, sull'informazione ed il consenso nonché sulla pianificazione e gestione della privacy per le aziende.

Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico” e viene tipicizzato il dato sanitario, inteso come dato che traspare dalla prestazione di servizi di assistenza sanitaria, parte della più amplia categoria dei "dati relativi alla salute".

E' stata anche Introdotta la categoria del trattamento dati dei minori.

Nonostante il Regolamento UE non utilizzi espressamente il termine dati sensibili e sensibilissimi, rubricandoli in "categorie particolari di dati personali", la sostanza non muta. Quello che invece è oggetto di modifica è la protezione rafforzata di tali dati di cui il trattamento è di default vietato, salvo ipotesi ben delineate che non prevedono più l'autorizzazione del Garante.

NUOVI DIRITTI

Con il Regolamento Europeo è sancito il diritto alla portabilità dei dati che permetterà ad ogni interessato di pretendere la restituzione del dato concesso, anche su supporto elettronico.

Viene altresì chiaramente normato il diritto all’oblio, ossia il diritto ad essere completamente dimenticato da chi ha trattato i propri dati.

ALTRE NOVITA’ CHE INTERESSANO PRINCIPALEMTE LE IMPRESE

Esordisce il principio di Accountability (responsabilità verificabile) per cui è demandato ad ogni singolo Titolare di dotarsi preventivamente di una struttura organizzata e di idonee misure di sicurezza. Chi non lo farà sarà soggetto a sanzione, a prescindere dall’utilizzo effettivo del dato.

PRIVACY BY DESIGN E PRIVACY BY DEFAULT

Oggetto di rielaborazione sono le procedure di raccolta e gestione dei dati secondo la logica by design & by default, preordinate per attuare una tutela preventiva e proattiva del trattamento dei dati. In particolare, la privacy by design esige un'impostazione del trattamento basato su una tutela preventiva, tramite la previsione e attuazione di misure tecniche e organizzative adeguate come l'anonimizzazione e pseudonimizzazione, mentre la privacy by default disciplina un controllo costante sul trattamento affinchè lo stesso avvenga nel rispetto della normativa in vigore, riducendo il rischio di violazione dei dati.

INFORMAZIONE E CONSENSO

Non a caso prima si parlava di informativa sulla privacy ed oggi di informazione. Viene abbandonato il concetto di adempimento burocratico dell’informativa come atto complesso da acquisire per un trattamento lecito dei dati e si passa ad una informazione accessibile, concisa e scritta con linguaggio chiaro e semplice che deve, allo stesso tempo, fornire tutte le informazioni necessarie sulla vita del proprio dato personale trattato.

Il nuovo consenso deve essere anche inequivocabile, oltre che informato, libero e specifico. Dunque per essere valido il consenso deve essere espresso in modo non equivoco, anche con un’azione concludente positiva, fatto salvo, si capisce, l’onere eventuale e successivo del Titolare della relativa prova.

VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (PIA – Privacy Impact Assessment)

Occorrerà effettuare una valutazione degli impatti privacy, analizzando i rischi sulla scorta delle attuali lacune nel trattamento, le misure di sicurezza in dotazione ed i protocolli di verifica periodica.

COMUNICAZIONI AL GARANTE

Salvo casi specifici come il trattamento di dati genetici, non si dovrà più informare il Garante su un particolare trattamento dei dati ma la notifica al Garante nel giro di poche ore e la comunicazione all’interessato sono punti fermi del Regolamento in caso di violazione dei dati, salvo ipotesi ben individuate.

D.P.O. - DATA PROTECTION OFFICER

Nasce questa nuova figura per enti ed aziende che effettuano il trattamento di determinate categorie di dati. Tralasciando quanto previsto per gli enti pubblici, sarà obbligatorio dotarsi di un D.P.O. se le “attività principali” consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”, oppure se siamo di fronte ad un trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari).

Il D.P.O. potrà essere sia una figura interna od esterna all’azienda, purché risposta al requisito della reperibilità, periodicamente rinnovata, dalla comprovata qualifica e che gestirà i rapporti con il Garante.

DATA BREACH

Si avrà una violazione dei dati con la diffusione, trasmissione, transito o comunicazione, non autorizzate, degli stessi ad opera di un soggetto non autorizzato

Risulteranno rilevanti l'errore umano, quale l'errata consegna del dato, pubblicazione ovvero distruzione nonché gli attacchi e gli accessi non autorizzati alle applicazioni web ed ai dispositivi.

Il principio di responsabilizzazione imporrà determinati comportamenti quali la notifica al Garante entro 72 H dalla violazione ovvero 48 H se trattasi di dossier sanitario, salvo dover diversamente poi chiarire le ragioni del ritardo ovvero aver reso inoffensiva la violazione.

Salvo ipotesi tassative, sarà altresì obbligatoria la comunicazione all'interessato della violazione con doviziosa descrizione di quanto accaduto, indicando i comportamenti che l'interessato dovrà tenere per attenuare i potenziali effetti negativi dell'uso improprio dei dati.

SANZIONI

Senza voler scendere troppo nel dettaglio e tentando di offrire una panoramica generale, le violazioni alle norme a presidio della privacy by design, comporteranno una sanzione pecuniaria sino a € 10 Milioni ovvero il 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; mentre le violazioni alle norme a presidio della privacy by default, comporteranno una sanzione pecuniaria sino a € 20 Milioni ovvero il 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Il Regolamento UE detta i criteri per la determinazione della sanzione, individuando fondamentalmente solo il massimo della sanzione.

E' demandato ad ogni singolo Stato membro la previsione di ulteriori sanzioni alle violazioni descritte dal Regolamento UE ma non oggetto di sanzione.

Ad oggi, il sistema sanzionatorio italiano rimane quello del Titolo III del Codice della Privacy che prevede sanzioni amministrative, penali ed accessorie.

SVILUPPI

Il Consiglio dei Ministri, lo scorso 21 marzo, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

Dunque, sconfessando i più scettici che non credevano in un tempestivo intervento del legislatore nazionale alle prese con l'avvio della nuova legislatura, sembra che il 25 maggio l'Italia godrà anche di una normativa interna concepita sulla scorta del Regolamento UE, scongiurando espressamente l'ipotesi di dover ricorrere all'ancora vigente Codice della Privacy per colmare un evidente vulnus normativo.

Roma, 27 marzo 2018

Avv. Alfonso Massimo Cimò

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

martedì 20 marzo 2018

PRIVACY PILLS : 1 - Il Consenso

LA NUOVA NORMATIVA EUROPE SULLA PRIVACY (GDPR 2018)

Il testo del regolamento abrogherà la precedente normativa, concepita in un periodo nel quale solo una ridotta parte della popolazione europea fruiva della rete internet.

Per il periodo di specie non esistevano le tecnologie come oggi individuate ed in ogni caso l'evoluzione delle stesse non era così repentina.

Ciò che oggi certamente risulta, inoltre, di veloce crescita è sviluppo è indiscutibilmente il mondo dei social media o delle App nonchè dei marketplace di nuova generazione.

All'epoca, da non sottovalutare, inoltre, non esisteva l’attuale “società della sorveglianza elettronica” nella quale, più o meno inconsapevolmente, sono gli stessi cittadini a pubblicare i propri dati personali all’interno delle piattaforme digitali.

Attraverso l'odierna rubrica posta in essere in più capitoli, daremo luce ad alcune informazioni “in pillole” onde tentare di fornire un’idea più consapevole del sistematico cambiamento che sta avvenendo nel mondo della Privacy.

Le pillole saranno tematiche e riguarderanno alcune fra le principali novità che incideranno direttamente nella quotidianità degli operatori del settore.

La pillola di oggi riguarda: IL CONSENSO

Il Consenso, secondo definizione del GDPR è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Cosa cambia per il consenso:

• Per i dati “sensibili” (" é vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonchè trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona ... si veda Art. 9 Regolamento GDPR ) il consenso deve essere “esplicito”;

lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati

(compresa la profilazione – Art. 22).

• Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”(per i dati sensibili); inoltre, il titolare (Art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

• Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Cosa Fare?

Un primo esempio di come adeguare il proprio sistema di protezione dei dati personali è quello di prevedere una procedura dedicata all’acquisizione del consenso per i minori, grazie alla quale poter reperire il doppio consenso necessario al trattamento.

Altro esempio di adeguamento è quello di analizzare con cura la tipologia dei dati trattati e le modalità del trattamento, prevedendo, ove necessario delle caselle non precompilate o menu a tendina, sempre non precompilate, dove richiedere esplicitamente il consenso ad un trattamento specifico, affiancando le due modalità con delle microfinestre a scorrimento dove inserire esclusivamente il riferimento alla disciplina specifica prevista all’interno dell’informativa sulla privacy.

Ultimo dei consigli di questa pills e quello di dotarsi di un cookie tecnico da agganciare alla pagina nella quale si richiede il consenso al trattamento che permetta di conservare correttamente nel tempo la scelta effettuata da parte dell’utente i cui dati verranno trattati

A cura di:

Avv. Fabio Maggesi

Dott. Giovanni Gaeta

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

mercoledì 24 maggio 2017

Legittimità del Sequestro di un Sito web

LA LEGGITTIMITA DEL SEQUESTRO DEI SITI WEB

Il continuo sviluppo della tecnologia, dei sistemi informatici e delle prestazioni di natura 2.0. pretendono una continuativa operatività del legislatore italiano necessaria, nei tempi odierni, per adeguare la norma alle innovazioni di interesse informatico e quindi coadiuvare il cittadino nella ricerca di quella giustizia che diversamente troverebbe difficoltà nella sua esecuzione.

Molto spesso, infatti, si rinviene necessario l'utilizzo del diritto ordinario per far fronte a tutti quegli aspetti funzionali che, strumentalizzati all'interno del web, pongono un importante problematica di interesse soggettivo per colui che, ingiustamente, potrebbe trovarsi a difendere la propria immagine a seguito di falsa rappresentazione della realtà all'interno di una testata giornalistica.

In questo si rinviene una importante Sentenza della Corte di Cassazione ( Sentenza n. 31022/15 ) che ci aiuterà a risolvere le perplessità che molto spesso attanagliano l'utente colpito da attacchi mediatici online.
Ed in relazione alla sentenza sarà opportuno comprendere come sottoporre un sito web ad un sequestro preventivo ex Art. 321 c.p.p. sia possibile .

Concetti di Diritto:

Quando parliamo di Sequestro Preventivo ci riferiamo a quanto sancito dall' Art. 321 del c.p.p e quindi letteralmente:

Quando vi è pericolo che la libera disponibilità di una cosa pertinente al reato possa aggravare o protrarre le conseguenze di esso ovvero agevolare la commissione di altri reati, a richiesta del pubblico ministero, il giudice competente a pronunciarsi nel merito ne dispone il sequestro con Decreto motivato. Prima dell'esercizio dell'azione penale provvede il Giudice per le indagini preliminari.
Il Giudice può altresì disporre il sequestro delle cose di cui è consentita confisca, il sequestro preventivo è una misura cautelare che può essere disposta in due ipotesi: o per evitare che la disponibilità di una cosa pertinente al reato possa far persistere o aggravare le conseguenze dello stesso, oppure per evitare che ciò possa agevolare la commissione di altri reati"

La cassazione per stabilire se dovrà rendersi necessario applicare l'istituto sancito dal codice di procedura penale avrà quindi l'obbligo di chiarire preliminarmente due fondamentali tematiche e quindi;

Ricondurre la nozione di "SITO WEB" al concetto di "COSA" ( daltronde il Sito web è un bene immateriale e non tangibile );
Nel merito la Corte nella sentenza su citata risponde in modo affermativo, richiamando il principio sancito dalla normativa di Budapest sul "CyberCrime" (Convenzione Consiglio d'Europa 32 Novembre 2001 ) in cui viene espressamente equiparato un dato informatico al concetto di "cosa pertinente al reato" così come previsto dal nostro Codice penale nell' Art. 321 c.p.p.
Specificatamente, per stabilire l’espressione “informazioni relative agli abbonati” la Convenzione designa tale denominazione come ogni informazione detenuta in forma di dato informatico o sotto altra forma da un fornitore di servizi e relativa agli abbonati ad un proprio servizio e diversa dai dati relativi al traffico o al contenuto e attraverso la quale è possibile stabilire: a. il tipo di servizio di comunicazione utilizzato, le disposizioni tecniche prese a tale riguardo e il periodo del servizio;
b. l’identità dell’abbonato, l’indirizzo postale o geografico, il telefono e gli altri numeri d’accesso, i dati riguardanti la fatturazione e il pagamento, disponibili sulla base degli accordi o del contratto di fornitura del servizio;
c. ogni altra informazione sul luogo di installazione dell’apparecchiatura della comunicazione, disponibile sulla base degli accordi o del contratto di fornitura del servizio
Estendere ad un sito web i confini dl sequestro preventivo sanciti dal codice di procedura penale. Il sequestro è infatti ricompreso nel nostro diritto tra le misure cautelari"Reali" che non impongono alcun "facere" all'imputato mentre per il caso di un sito web si ritiene opportuno "obbligare a fare" ( nello specifico al gestore del sito ) e quindi a bloccare la sezione o la pagina web incriminata. Tuttavia la Corte di Cassazione ci spiega come tale attività di "facere" sia in realtà fattibile perchè la norma và integrata con quanto disposto dal noto D.lgs. 70/2003 (già attuativo della Direttiva Comunitaria 200/31/CE ) all'Art. 14 comma 3 che testualmente recita : " L'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza può esigere anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 2, impedisca o ponga fine alle violazioni commesse" e quindi nell'Art. 15.1.e che testualmente recita " L'autorità giudiziaria agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un'autorità amministrativa ne ha disposto la rimozione o la disabilitazione".
Valutare la persistenza dei requisiti previsti per le misure Cautelari e quindi il "Fumus Boni Iuris" ed il "periculum in mora".

E' quindi sempre necessaria una valutazione completa della problematica sottoposta al professionista ma quanto oggi previsto dalla norma sicuramente potrà aiutare il soggetto, minacciato dal vedersi intrappolato all'interno di una morsa mediatica ormai sempre più condivisa come la rete 2.0., ad uscire dal terrore di mantenere online notizie od informazioni lesive.

A tale presupposto, poi, sarà necessario l'affiancamento di un legale che, ottenuto tale titolo potrà procedere come da intese.

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net