Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Per le imprese che si stanno preparando all’entrata in vigore delle nuove norme per la protezione dei dati personali, prevista a maggio del 2018, una delle novità più significative è la valutazione d’impatto sulla protezione dei dati, una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive il 12 settembre 2017.

È ormai più di un anno che si parla del nuovo GDPR, il Regolamento europeo in materia di protezione dei dati personali, il Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 andrà a sostituire la direttiva 95/46/CE.

Dottrina ed esperti in materia di privacy, ma anche istituzioni e organismi europei hanno tentato di fornire indicazioni operative agli Stati e agli operatori per facilitare il loro adeguamento alla nuova disciplina. Il Gruppo di lavoro Art. 29, ad esempio, ha adottato una serie di linee guida volte a chiarire alcuni adempimenti del Regolamento che, per via del carattere innovativo ovvero per via della loro onerosità e complessità, hanno attirato sin da subito l’attenzione – e i timori – delle imprese.

Tra questi una delle novità maggiormente discusse è la valutazione d’impatto sulla protezione dei dati. Dal momento che tale adempimento è stato oggetto di innumerevoli commenti, può brevemente ricordarsi che si tratta di una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare sulla base della natura, dell’oggetto, del contesto e delle finalità del trattamento. Attraverso un’analisi dei flussi informativi la valutazione d’impatto è volta all’individuazione dei rischi derivanti dal trattamento e, quindi, dei mezzi e degli strumenti da adottare per contrastarli.

Con il presente contribuito si intende offrire una guida pratica agli operatori che intendano o debbano procedere alla valutazione d’impatto, alla luce dell’art. 35 del Regolamento e delle Guidelines on Data Protection Impact Assessment (DPIA) adottate il 4 aprile 2017 dal Gruppo Art. 29.

L’articolo continua su Digital 4 Executive.

Venerdì 8 settembre è stato approvato in esame preliminare dal Consiglio dei Ministri il decreto legislativo recante modifiche e integrazioni al Codice dell’Amministrazione Digitale, d.lgs. 7 marzo 2005, n. 82 (“CAD”). Naturalmente si tratta di un testo preliminare suscettibile di subire delle modifiche e che dovrà acquisire ancora molte approvazioni (parere del Garante per la protezione dei dati personali, della Conferenza unificata, del Consiglio di Stato, nonché della Commissione parlamentare per la semplificazione e delle Commissioni parlamentari competenti per materia e per i profili finanziari). Probabilmente ci sarà anche una consultazione pubblica. Solo dopo questi passaggi il Consiglio dei Ministri potrà procedere all’esame definitivo del testo normativo che verrà successivamente pubblicato in Gazzetta Ufficiale.

L’ultima modifica del CAD è stata effettuata per integrare nell’ordinamento italiano (tecnicamente, il recepimento non era necessario) il Regolamento europeo EIDAS.

D’altronde, la digitalizzazione è una necessità attuale (basti pensare al settore bancario) e non più un optional. Infatti il nuovo CAD introduce espressamente la “Carta di cittadinanza digitale”.

Fra i molti restyling, segnaliamo le più importanti modifiche al CAD vigente.

Firma elettronica

Com’è noto, nel nostro ordinamento giuridico attualmente sono enumerate quattro tipologie di firme elettroniche: la firma elettronica, la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale, di cui in questo blog ci siamo occupati molte volte. Le ultime tre hanno sostanzialmente il medesimo valore giuridico della sottoscrizione autografa, e conferiscono al documento informatico il medesimo valore giuridico della scrittura privata. Ma con alcune rilevanti differenze. Infatti, la firma elettronica avanzata è tecnologicamente neutra. La più diffusa applicazione della firma elettronica avanzata è la firma grafometrica. Inoltre, diverse sono le modalità di disconoscimento nelle diverse tipologie di firma.

Ora la nuova versione del CAD introduce una revisione delle disposizioni sulla firma elettronica. Si aggiunge alla firma digitale, alla firma elettronica qualificata e alla firma elettronica avanzata, un nuovo processo di firma. È quello che prevede che il documento sia formato “previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’art. 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”. Dunque, un nuovo processo di firma elettronica avanzata che, non è difficile immaginare, sarà integrato da SPID.

Al contrario, il valore giuridico del documento informatico senza firma e del documento informatico con firma elettronica restano liberamente valutabili in giudizio, sulla base di quattro criteri: qualità, sicurezza, integrità e immodificabilità. È il giudice a decidere, ad esempio, e sempre più frequentemente, quanto vale un’email.

Domicilio digitale

Già da molti anni, con la PEC e prima ancora con alcune disposizioni in materia di posta elettronica, pur senza definirlo in questo modo, il legislatore italiano ha cercato di introdurre nell’ordinamento il domicilio digitale.

Nella nuova versione del CAD, il domicilio digitale è l’indirizzo elettronico, eletto conformemente allo stesso CAD, valido al fine delle comunicazioni aventi valore legale. Non è più costituito soltanto da un indirizzo PEC, ma per le persone fisiche sono previste anche altre modalità. In particolare, è previsto che “Le persone fisiche possono altresì eleggere il domicilio digitale avvalendosi del servizio di cui all’articolo 64-bis”.

È obbligatorio per i soggetti espressamente indicati dall’art. 2 del CAD il quale è stato modificato: esso ora comprende: le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione; i gestori di servizi pubblici in relazione ai servizi di pubblico interesse; le società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate, nonché le società da esse partecipate, salvo che queste ultime siano, non per il tramite di società quotate, controllate o partecipate da amministrazioni pubbliche.

È obbligatorio anche per i professionisti iscritti in albi ed elenchi e per le imprese e le società. Il domicilio digitale sarà automaticamente costituito dall’indirizzo indicato da professionisti, imprese e società in albi, elenchi e registri. Peraltro, come accennato, già oggi la medesima funzione del domicilio digitale è svolta dalla PEC, obbligatoria per molti soggetti.

Un emanando regolamento stabilirà le modalità di individuazione del domicilio digitale per le persone fisiche per le quali non è obbligatoria la PEC e le modalità per colmare il divario digitale.

Le comunicazioni trasmesse al domicilio digitale producono gli stessi effetti delle raccomandate con ricevuta di ritorno e delle notificazioni. Si intendono spedite se inviate al proprio gestore e consegnate se rese disponibili al domicilio digitale del destinatario, salva la prova cha la mancata consegna sia dovuta a fatto non imputabile al destinatario. Dunque sarà il destinatario a dovere provare di non avere ricevuto a causa, per esempio, di malfunzionamento del sistema.

SPID

Il sistema di identificazione digitale sul quale molto è stato investito in questi anni è rafforzato dal decreto in commento. Innanzitutto, si prevede, come già accennato, un nuovo processo di firma elettronica avanzata, basata (anche se questo non è esplicitato) sostanzialmente su SPID.

Poi si dispone nel nuovo art. 64 che “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID” .

E ancora, nel novellato art. 65 si dispone che istanze e dichiarazioni possono essere trasmesse alla pubblica amministrazione in una delle forme di cui all’art. 20, dunque anche con il nuovo processo di firma elettronica avanzata che prevede l’utilizzo di SPID.

posted by Giusella Finocchiaro on settembre 9, 2017

Miscellanee

(No comments)

Il 9 settembre 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro sulle novità introdotte dal decreto legislativo che modifica il Codice dell’Amministrazione Digitale.

In arrivo una nuova firma elettronica “avanzata”, con la previa autenticazione del titolare, mentre si allarga la portata del domicilio digitale. È stato approvato ieri, in esame preliminare dal Consiglio dei ministri, il decreto legislativo proposto dalla ministra Marianna Madia che modifica il Cad, il Codice dell’amministrazione digitale approvato con il Dlgs 82/2005. Il Cad è stato modificato già cinque volte. Fra i molti ritocchi in arrivo segnaliamo le modifiche principali di interesse per le imprese, che riguardano le firme elettroniche e il domicilio digitale.

Continua su Il Sole 24Ore.

posted by admin on settembre 8, 2017

PA telematica

(No comments)

Il Consiglio dei ministri riunito venerdì 8 settembre 2017, su proposta della Ministra per la semplificazione e la pubblica amministrazione Maria Anna Madia ha approvato, in esame preliminare, un decreto legislativo che introduce disposizioni integrative e e correttive al decreto legislativo 26 agosto 2016, n. 179, recante modifiche e integrazioni al codice dell’amministrazione digitale (decreto legislativo 7 marzo 2005, n 82).

Il decreto integra e modifica alcune disposizioni del Codice dell’amministrazione digitale, in conformità a quanto previsto dalla legge delega, al fine di accelerare l’attuazione dell’agenda digitale europea, dotando cittadini, imprese e amministrazioni di strumenti e servizi idonei a rendere effettivi i diritti di cittadinanza digitale.

Il nuovo intervento legislativo porta avanti l’opera di razionalizzazione delle disposizioni contenute nel Codice dell’amministrazione digitale e di deregolamentazione già avviata con il precedente intervento. Si rafforza la natura di “carta di cittadinanza digitale” della prima parte del Codice, concentrando in essa le disposizioni che attribuiscono a cittadini e imprese il diritto a identità e domicilio digitale, alla fruizione di servizi pubblici online in maniera semplice e mobile-oriented, a partecipare effettivamente al procedimento amministrativo per via elettronica e ad effettuare pagamenti online.

Tra gli obiettivi, quello di promuovere integrazione e interoperabilità tra i servizi pubblici erogati dalle diverse amministrazioni e garantire maggiore certezza giuridica in materia di formazione, gestione e conservazione dei documenti digitali.

Il decreto mira a rafforzare l’applicabilità dei diritti di cittadinanza digitale e accrescere il livello di qualità dei servizi pubblici e fiduciari in digitale e promuovere un processo di valorizzazione del patrimonio informativo pubblico e garantire un utilizzo più efficace dei dati pubblici attraverso moderne soluzioni di data analysis.

La compilazione di moduli predefiniti per dialogare con la Pubblica Amministrazione, specialmente online o in assenza di un addetto, può portare i cittadini ad avere dubbi sul tipo di risposte corrette e legittime. Su questo tema abbiamo ricevuto una domanda da un lettore che pubblichiamo a beneficio di quanti si sono trovati nella stessa situazione di incertezza.

Salve, se nella domanda di un concorso inserisco il mio numero di cellulare sia nella utenza fissa che in quella mobile, possono accusarmi di dichiarazione mendace?

Il concetto di “dichiarazione mendace” si riferisce, di regola, ad altre tipologie di informazioni, quali, ad esempio, gli stati o le qualità personali, l’assenza di precedenti penali, etc. La circostanza che lei abbia inserito lo stesso numero in entrambi i campi può a buon diritto lasciare intendere la disponibilità di una sola utenza, oppure costituire mero errore di compilazione. Il fatto che il numero sia ripetuto, del resto, dovrebbe consentire al terzo di percepire immediatamente l’errore, senza integrare un’ipotesi di mendacio.

Il Garante privacy ha emanato un provvedimento urgente per semplificare gli adempimenti e consentire trattamenti di dati non previsti dalla legge sui vaccini.

In considerazione dell’imminente avvio dell’anno scolastico, il Garante ha adottato con procedura urgente un provvedimento a valenza generale che autorizza una comunicazione di dati personali non sensibili dalle scuole alle autorità sanitarie. Dal primo settembre 2017 le scuole, sia pubbliche che private, e i servizi educativi per l’infanzia possono trasmettere l’elenco degli iscritti alle Asl territoriali, per l’attività di verifica della regolarità vaccinale e per l’avvio delle procedure previste (ad esempio la convocazione dei genitori), nonché per la pianificazione delle attività necessarie a mettere a disposizione dei genitori la documentazione prevista dal decreto.

Tale decisione risponde alla richiesta dell’Ufficio Scolastico Regionale per la Toscana e di numerose altre amministrazioni su scala nazionale che hanno manifestato l’intenzione di effettuare uno scambio automatico di dati sulla regolarità vaccinale – anche in assenza di una specifica norma che lo consentisse – al fine di favorire il rispetto degli obblighi vaccinali nei termini previsti dalla legge.

Il Garante ricorda che, al fine di semplificare la procedura, le aziende sanitarie possono già inviare di propria iniziativa i certificati o altre attestazioni vaccinali alle famiglie, per consegnarli alle scuole, senza dover aspettare che siano i genitori stessi a richiederli, nonché inviare altre comunicazioni relative agli obblighi vaccinali, anche a seguito di accordi con gli istituti scolastici.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Agenda Digitale il primo settembre 2017.

Si è ormai ampiamente trattato delle novità introdotte nella disciplina della protezione dei dati personali ad opera del nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, direttamente applicabile a partire dal 25 maggio 2018.

Fin dalle prime letture si è evinto il carattere stringente e cautelativo della nuova disciplina, che si distingue per un approccio basato sul rischio del trattamento e sulla responsabilità o, per dirla con le parole del Regolamento, sulla accountability dei soggetti attivi del trattamento.

A conferma di ciò basti osservare l’ampio novero di obblighi che il Regolamento pone a carico del titolare e del responsabile del trattamento. Adempimenti intesi, in particolare, alla progettazione dell’intero trattamento alla luce dei principi di privacy by design e by default, con l’obiettivo di assicurare che le misure – tecnologiche e organizzative – di sicurezza siano adeguate rispetto al potenziale rischio a cui il trattamento espone i dati.

Nel quadro degli obblighi volti alla misurazione del rischio correlato alle attività di trattamento, spicca, per onerosità e rilevanza, la c.d. valutazione d’impatto (meglio conosciuta anche come DPIA – Data Protection Impact Assessment), una misura preventiva che impone al titolare di verificare se il trattamento esponga i dati ad un rischio elevato, tenendo conto delle specificità del trattamento stesso: la natura, l’oggetto, il contesto, le finalità, nonché l’uso di nuove tecnologie. Sebbene sia fortemente raccomandata per ogni tipologia di trattamento, la valutazione d’impatto non è obbligatoria se non nei casi specificatamente indicati dal Regolamento ovvero qualora sia previsto dal diritto degli Stati membri.

Un particolare ambito in cui appare non solo appropriato, ma doveroso procedere alla valutazione d’impatto è quello lavorativo. Pare, infatti, rientrare nell’ipotesi di un monitoraggio sistematico di dati relativi a soggetti vulnerabili il trattamento effettuato in un contesto lavorativo.

“Vulnerabili”: il termine non è impiegato a caso. È così che il Gruppo di lavoro Articolo 29 definisce i dipendenti nelle proprie “Linee guida in materia di valutazione d’impatto sulla protezione dei dati”, emanate il 4 aprile 2017, ove il contesto lavorativo è ritenuto rischioso per i diritti degli interessati considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro. Il Gruppo Articolo 29, che già in passato aveva fornito indicazioni in materia di diritti dei lavoratori nell’ambito della protezione dei dati personali (si rinvia all’opinion 8/2001, WP48, e al documento di lavoro WP55 del 2002), dedica la recente opinion 2/2017 al tema del trattamento dei dati in ambito lavorativo.

In questa sede il Gruppo dei Garanti europei ha aggiornato le proprie considerazioni in materia alla luce delle nuove disposizioni e, in particolare, dei nuovi obblighi introdotti dal Regolamento.

Confermando che il trattamento dei dati in ambito lavorativo deve necessariamente uniformarsi ai principi di trasparenza, necessità e minimizzazione, il Gruppo sottolinea come il consenso non sia un presupposto di legittimità sicuro e affidabile, giacché il lavoratore non può ritenersi completamente libero di acconsentire o di opporsi al trattamento in ragione della relazione contrattuale che lo lega al datore di lavoro. Pertanto, secondo il Gruppo, sarebbero da preferire altre basi di legittimità, come l’esecuzione del contratto di lavoro, l’obbligo legale in capo al titolare-datore di lavoro ovvero il legittimo interesse di quest’ultimo.

Tuttavia, l’individuazione delle condizioni di legittimità del trattamento non è sufficiente quando si parla di controllo dei lavoratori: occorre una policy chiara, comprensibile e completa – ribadisce il Gruppo – che informi i lavoratori circa lo svolgimento delle attività di monitoraggio e le relative finalità.

È proprio tra i pilastri della legittimità di trattamento e della trasparenza che si inserisce la valutazione d’impatto, la misura di tutela risk-based che incorpora un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza e di segretezza delle comunicazioni dei lavoratori. Secondo il parere del Gruppo di lavoro, l’introduzione di qualsiasi tecnologia volta al monitoraggio e al controllo dei lavoratori dovrebbe essere preceduta da una valutazione d’impatto al fine di verificare se il trattamento dei dati (e le modalità con cui esso viene effettuato) siano proporzionati al rischio che il datore di lavoro deve fronteggiare.

A seguito di una esposizione teorica del framework, dei principi fondamentali e delle novità del Regolamento, il Gruppo dei Garanti dedica ampio spazio all’esame degli scenari di trattamento che possono presentarsi nella prassi di un’organizzazione, con particolare riferimento all’impiego delle nuove tecnologie. Il Gruppo si sofferma segnatamente sulle tecnologie che permettono di monitorare i lavoratori non solo sul luogo di lavoro, bensì anche nelle proprie case e, in generale, nella propria sfera privata. Ciò accade ad esempio ove si usino tecnologie BYOD (Bring Your Own Device) che permettono al lavoratore di impiegare i propri dispositivi personali per finalità lavorative. L’utilizzo promiscuo potrebbe generare il rischio di trattare informazioni che esulano dalla sfera lavorativa: al fine di scongiurare tale eventualità, il Gruppo raccomanda di adottare misure appropriate che permettano di distinguere l’uso del dispositivo a seconda della finalità.

Infine, nel declinare la protezione offerta ai lavoratori, i Garanti europei tengono conto non solo dell’evoluto contesto tecnologico, ma anche di quello imprenditoriale: il trattamento effettuato all’interno di un gruppo imprenditoriale avente sedi in diversi Stati potrebbe comportare il trasferimento dei dati dei lavoratori verso Stati terzi. In tal caso – così come nell’ipotesi dell’impiego di applicazioni e servizi cloud-based che comportano un flusso transfrontaliero di dati – il trasferimento sarà legittimo a condizione che il Paese terzo importatore dei dati assicuri un adeguato livello di protezione dei dati personali.

Per riassumere, dunque: legittimità, trasparenza, proporzionalità, bilanciamento di interessi, minimizzazione. Queste le parole chiavi (e i pilastri) del trattamento dei dati in ambito lavorativo.

A margine di quanto sinora esposto, occorre ricordare che l’art. 88, 1° comma del Regolamento prevede che gli Stati membri possano dettare “con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”. Ciò non può che indurre a riflettere sull’adeguatezza delle modifiche apportate alla legge 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”) ad opera della recente riforma c.d. Jobs Act. Occorrerà dunque valutare se le nuove disposizioni siano effettivamente sufficienti alla luce delle raccomandazioni del Gruppo di lavoro europeo e a fronte degli scenari prospettati ovvero se si rivelerà necessario un nuovo intervento da parte del legislatore italiano.