Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Nell’inserto “Focus Norme & Tributi” dedicato alle ”Le nuove regole per la privacy” uscito in edicola mercoledì 22 novembre sono pubblicati diversi articoli dedicati alla tutela dei dati personali firmati dalla Prof. Giusella Finocchiaro e dai suoi collaboratori, tra cui gli avvocati Alessandro Candini e Matilde Ratti.

Il Focus è disponibile anche online per gli abbonati al Sole 24 Ore ed è consultabile a QUESTA pagina.

Ecco, in sintesi, i titoli degli articoli e gli argomenti trattati.

1) Impatto dell’accountability: “Strumenti di compliance volontaria per attenuare la pericolosità” di Alessandro Candini e Giusella Finocchiaro.

La  ridefinizione dei profili di compliance aziendale costituisce una delle più importanti novità del regolamento Ue 679/2016. L’articolo presenta un’analisi dello strumento offerto dal registro di trattamento come supporto nella valutazione dei rischi e definisce le responsabilità di primo e secondo livello.

2) L’approccio basato sul rischio: “Valutazione e monitoraggio per l’adeguatezza delle misure” di Giusella Finocchiaro.

La più significativa novità contenuta nel Regolamento è costituita dal principio di accountability in base al quale il titolare del trattamento ha l’obbligo di conformarsi alla normativa vigente e di dimostrare di averlo fatto. Occorre quindi produrre una documentazione che attesti le scelte e dimostri di essere in regola.

3) L’organigramma: “Titolare e responsabile figure centrali del trattamento” di Giusella Finocchiaro e Laura Greco.

Titolare e responsabile sono le figure chiave di ogni trattamento dei dati personali. L’articolo analizza i vincoli contrattuali per i soggetti attivi del trattamento e la nuova figura di subresponsabile.

4) Servizi esterni: “Per i cloud l’esigenza di accountability” di Giusella Finocchiaro e Maria Chiara Meneghetti.

I servizi di cloud computing sono uno strumento fondamentale ma è necessario superare le criticità legate alla qualificazione dei soggetti e il trasferimento di dati all’estero.

5) L’utilizzo delle informazioni: “Tra codice privacy e regolamento il consenso resta il punto di partenza” di Giusella Finocchiaro e Matilde Ratti.

Il nuovo regolamento europeo conferma l’approccio del Codice Privacy italiano (il d.lgs. 196 del 2003) basato sull’informativa e sul consenso per il trattamento dei dati personali da parte di soggetti privati e professionisti. Il “sì” espresso per il trattamento dev’essere per fini semplici e facilmente revocabili.

6) La tutela: “Attività di marketing solo se chiaramente autorizzata” di Giusella Finocchiaro e Maria Chiara Meneghetti

Nel ridefinire le condizioni per la prestazione di un legittimo consenso, il regolamento introduce in capo al titolare l’onere probatorio di dimostrarne la raccolta e in capo all’interessato un importante diritto di revoca. In caso di revoca, l’imprenditore dovrà cessare ogni iniziativa alla quale sia stata negata la continuazione.

red-questionSe una società divulga il numero telefonico di un dipendente commette un illecito? Se un numero di cellulare viene inserito in una chat online o in un  gruppo WhatsApp senza consenso dell’interessato è possibile sporgere denuncia? Cosa accade se chi rende pubblico un numero di telefono privato non è maggiorenne?

Queste sono alcune delle numerose domande che negli ultimi mesi abbiamo ricevuto fra i commenti di questo blog sul tema della diffusione non autorizzata di un numero di telefono cellulare di un privato cittadino. In molti casi si tratta di divulgazioni senza consenso in contesti pubblici come aziende, scuole, forum e chat su Internet, gruppi Whatsapp e altri social network

A beneficio di quanti si trovano in simili situazioni di incertezza ricordiamo che:

Il numero di telefono cellulare è considerato dato personale, in quanto rende l’interessato identificabile.

Il Codice privacy qualifica come illecito penale la condotta di colui che, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, tratta in modo illegittimo i dati personali altrui, se dal fatto deriva un danno per l’interessato.

La circostanza che il fatto sia commesso da un minorenne non esclude la responsabilità penale, purché il minore abbia compiuto gli anni 14.

Resta sempre salvo il diritto ad ottenere il risarcimento del danno subito in sede civile, ove l’interessato abbia subito un pregiudizio serio ed effettivo. In questo caso risponderanno, di regola, gli esercenti la potestà genitoriale sul minore.


Accountability, governance del rischio e nuove tutele per l’interessato: il General Data Protection Regulation porta importanti cambiamenti che hanno un impatto imminente sulla gestione della privacy del settore pubblico e privato.

Il GDPR istituisce un nuovo quadro a tutela della privacy, introducendo nuovi obblighi e nuove tutele. Valutazione d’impatto, registro dei trattamenti, procedure di notifica del data breach, nomina del Data Protection Officer: sono solo alcune forme con cui il GDPR responsabilizza i titolari di trattamento che, oggi più che mai, devono fare della sicurezza dei dati un elemento centrale della propria strategia aziendale.

Data l’imminente entrata in vigore del Regolamento, che sarà applicabile a partire dal 25 maggio 2018, occorre attivarsi per recepire adeguatamente tutte le novità e per affrontare con consapevolezza il cambiamento. Per evitare di farsi trovare impreparati, la Bologna Business School propone un corso di due giornate rivolto ad amministratori, imprenditori, dirigenti, manager e chiunque abbia un ruolo di responsabilità con l’obiettivo di comprendere le implicazioni giuridiche e organizzative del regolamento.

Il corso, che si svolge sotto la direzione didattica di Giusella Finocchiaro, offre una panoramica delle novità introdotte in materia di privacy, delineando un percorso da seguire per l’adeguamento al GDPR. Le lezioni si focalizzeranno sugli adempimenti operativi necessari per essere conformi alla nuova normativa (designazione del Data Protection Officer, progettazione del trattamento by design, revisione delle informative e nuovi moduli del consenso, risk assessment, diritti degli interessati) e sui principali aspetti applicativi (cloud computing, profilazione, trattamento a scopo di marketing).

Il corso si terrà nelle giornate dell’1 e 15 dicembre 2017. La scadenza delle iscrizioni è il 27 novembre 2017.

Per informazioni ed iscrizioni si rimanda alla pagina della Bologna Business School.

telefonoIn data 8 novembre 2017 il Parlamento ha approvato in via definitiva il ddl “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017” in cui si prevede una proroga dei tempi di conservazione dei dati di traffico telefonico e telematico, aumentando fino a 6 anni gli obblighi di conservazione imposti ai fornitori di servizi di comunicazioni elettroniche, per esigenze di contrasto al terrorismo.

In attuazione dell’articolo 20 della direttiva (UE) 2017/541 sulla lotta contro il terrorismo, al fine di garantire strumenti di indagine efficaci in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a) del codice di procedura penale, il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta è stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

Il testo del ddl approvato è consultabile QUI.

posted by admin on novembre 7, 2017

Eventi

(No comments)

Le normative e il contesto di mercato a livello nazionale ed internazionale indirizzano sempre più verso un’economia di tipo digitale. Se spesso sono chiari gli obiettivi da raggiungere con la trasformazione digitale, molto meno lo sono i percorsi da intraprendere. Come intervenire sui processi esistenti per renderli digitali? Quali sono le prossime scadenze normative? In definitiva, come riorganizzare il proprio business nell’ottica di un’economia totalmente digitale già alle porte?

Queste le domande a cui verrà data risposta nel corso della conferenza “Pronti per l’economia digitale?” organizzata da Intesa Spa martedì 14 novembre 2017 alle 9:30 presso l’IBM Client Center di Milano.

Alle 10.15  Giusella Finocchiaro introdurrà i principali cambiamenti introdotti dal nuovo Regolamento per la protezione dei dati europeo.

Nell’ottica di un’integrazione dei processi end to end, unitamente a casi pratici durante l’evento saranno affrontate anche tematiche quali la fatturazione elettronica B2B nel contesto di mercato e in prospettiva europea, l’efficienza di filiera con i portali B2B, i processi interni tracciati e sicuri, la firma elettronica e i workflow approvativi.

La partecipazione è libera e gratuita. Per consultare il programma e per la registrazione si rimanda a QUESTA pagina.

Continua l’analisi sulla proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

L’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.

La Commissione individua due ostacoli principali alla piena affermazione della libertà di imprese e PA di scegliere il luogo in cui conservare e gestire i propri dati.

Il primo ostacolo è rappresentato dalle ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri. Le ragioni che negli anni hanno spinto i diversi Stati a imporre l’archiviazione a livello locale dei dati delle proprie imprese o PA risiede principalmente in ragioni legate alla maggiore sicurezza e al più facile controllo da parte delle autorità nazionali. Si pensi ad esempio alle misure di conservazione dei dati in materia finanziaria, di contabilità e bilancio delle imprese previste da Germania, Danimarca, Belgio e altri stati nord europei, che richiedono l’archiviazione entro i confini dello stato membro. O anche ai dati inerenti alle vincite e alle transazioni in materia di gioco d’azzardo che stati come Bulgaria, Polonia e Romania impongono di conservare in territorio nazionale. Inoltre, anche ove non siano espresse specifiche restrizioni territoriali nazionali, la prassi imprenditoriale e il sentimento comune hanno comunque portato a privilegiare una conservazione localizzata dei dati, rinunciando alle alternative proposte oltre-confine.

Il secondo ostacolo alla liberalizzazione, invece, deriva dalle limitazioni del mercato privato che, attraverso le c.d. pratiche di vendor-lock in, impediscono la portabilità dei dati tra sistemi informatici. Tale diffuso fenomeno commerciale nasce dalla volontà dei fornitori di creare un rapporto di dipendenza artificiosa tra il cliente e i beni e servizi da essi forniti. Il cliente viene posto nella condizione di non poter acquistare beni e servizi concorrenti, senza che il passaggio di fornitore comporti il sostenimento di significativi oneri economici e riorganizzativi. Questa sorta di “fidelizzazione forzata” viene attuata sia attraverso l’adozione da parte del fornitore di tecnologie o standard diversi rispetto a quelli utilizzati dai concorrenti; sia attraverso la previsione di condizioni contrattuali particolarmente penalizzanti in caso di passaggio.

Per mettere un freno alla diffusione di tali pratiche e disposizioni, la Commissione, con la proposta di regolamento, intende affrontare le problematiche attraverso quattro linee d’azione.

In primo luogo, viene introdotto il generale principio di libera circolazione dei dati tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.

In secondo luogo, nell’intento di rassicurare i legislatori nazionali, viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.

In terzo luogo, la proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.

Infine, viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.

In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente inferiore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy, come quello di libera circolazione e di portabilità dei dati, attraverso un ampliamento del loro raggio d’azione.

Dopo l’adozione del Regolamento UE 2016/679 (Regolamento generale privacy, RGPD) e la recente proposta di regolamento che porterà all’abrogazione dell’attuale Direttiva 2002/58/EC (Direttiva e-privacy), la Commissione europea aggiunge un ulteriore tassello al suo progetto di espansione e regolamentazione del mercato digitale europeo, avanzando la proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

Il regolamento si affiancherebbe e integrerebbe l’attuale (e futura) disciplina europea in materia di dati, colmando quella che viene ritenuta una dannosa lacuna nel panorama normativo: la circolazione dei dati-non personali. Attraverso l’adozione e a breve implementazione del Regolamento privacy si è infatti venuta a creare la paradossale situazione per cui mentre per i dati personali è espresso il principio di una libera circolazione entro i confini europei (art. 1, comma 3° del Regolamento), lo spostamento dei dati “non-personali” risulta ancora subordinato agli obblighi di localizzazione disposti da alcune normative nazionali. Le imprese di alcuni paesi non sarebbero cioè ancora libere di scegliere tra i diversi provider di servizi cloud per la gestione e conservazione dei propri dati, a causa di alcune limitazioni territoriali imposte all’archiviazione degli stessi.

È ormai chiaro da tempo che la Commissione europea sia impaziente di affermare a livello internazionale una forte data economy “made in” UE. La rivoluzione operata dalle nuove tecnologie digitali basate sullo sfruttamento di dati, dal cloud computing all’Internet of things, offre nuove opportunità di sviluppo, crea nuovi servizi e mobilità nel mercato e, soprattutto, attira ingenti volumi di investimenti. La tendenza è confermata dalle statistiche: nel 2016 il mercato europeo dei dati si stima abbia raggiunto i 60 miliardi di Euro, con la previsione di un quasi raddoppio della cifra entro il 2020 . Numeri che si attestano comunque ben al di sotto del potenziale espresso da altre nazioni, tra cui gli Stati Uniti, che primeggiano ancora indisturbate nel settore digitale.

Per l’Europa la vera corsa al digitale è iniziata nel 2015, quando la Commissione ha adottato una strategia per il mercato unico digitale europeo, i cui pilastri sono stati individuati nella necessità di 1. migliorare l’accesso ai beni e servizi digitali in tutta Europa per imprese e consumatori; 2. creare un contesto favorevole e parità di condizioni affinché le reti digitali e i servizi innovativi possano svilupparsi; 3. massimizzare il potenziale di crescita dell’economia digitale.

Sulla base di queste linee direttive, nei passati due anni è stato adottato un eterogeneo ventaglio di azioni mirate alla modernizzazione normativa di alcuni settori e al rafforzamento delle tutele e della fiducia di utenti e consumatori (tra cui si collocano, l’adozione del RGPD, la proposta di regolamento e-Privacy, la proposta di regolamento sul copyright e quella sui digital content). A queste si sono affiancati pacchetti di misure dirette ad affrontare le tematiche di accessibilità e riutilizzo di dati pubblici o di pubblico interesse, di promozione di soluzioni di cloud europee e di una migliore collaborazione digitale tra pubbliche amministrazioni.

Un panorama, quindi, già costellato da numerose iniziative che, pur perseguendo ciascuna uno specifico obiettivo, disegnano insieme la trama di un neonato ecosistema digitale. In questo quadro, si inserisce la nuova proposta di regolamento per un libero flusso di dati-non personali.

[continua]