Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

In cosa consiste la valutazione d’impatto?

Con il nuovo Regolamento privacy il titolare del trattamento è chiamato a valutare il rischio a cui il proprio trattamento potrebbe esporre i dati trattati e, quindi, i diritti e le libertà fondamentali delle persone fisiche. La valutazione d’impatto consiste quindi in un “processo continuo” da riesaminare periodicamente e in occasione di eventuali mutamenti sostanziali, il cui risultato finale è rappresentato da una rassegna delle attività svolte per valutare il rischio derivante dal trattamento e dei mezzi, degli strumenti e delle misure adottate per contrastarlo.

Quando occorre effettuare tale valutazione?

La valutazione d’impatto andrebbe svolta dal titolare prima di procedere al trattamento, ossia in una fase in cui sia ancora possibile apportare modifiche e adottare misure tali da mitigare l’eventuale rischio emergente dalla valutazione. Tale adempimento rientra infatti nell’ambito dell’approccio di sicurezza proattiva adottato dal GDPR, consistente in una serie di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.

Si tratta di un adempimento obbligatorio?

La valutazione d’impatto è obbligatoria solo in taluni casi, cioè quando il trattamento consista in: 1) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o 3) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (per il concetto di larga scala, si veda LINK Faq sul DPO). È poi previsto che l’Autorità Garante per la protezione dei dati personali rediga e pubblichi un elenco delle tipologie di trattamenti soggetti a tale adempimento.

Anche nei casi in cui non debba procedersi obbligatoriamente alla valutazione d’impatto, quest’ultima rappresenta una misura raccomandata, poiché consente al titolare di individuare le eventuali situazioni di rischio e di porvi rimedio prima di arrecare danni agli interessati ovvero di violare la normativa.

Chi deve procedere alla valutazione d’impatto?

Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, la responsabilità rimane in capo al titolare che dovrà quindi vigilare attentamente sulla conduzione della valutazione d’impatto.

Come evidenziato anche dal Regolamento, il titolare dovrebbe poi consultarsi fin dall’inizio con il Data Protection Officer e con i responsabili del trattamento. E? altresì previsto che, ove necessario, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) raccolga le opinioni degli interessati o dei loro rappresentanti sul trattamento che si intende effettuare, documentando l’eventuale difformità di opinioni, nonché le motivazioni che hanno indotto ad agire diversamente da quanto emerso dalle consultazioni.

Come si effettua la valutazione d’impatto?

Una volta esaminata l’obbligatorietà o facoltatività della conduzione della valutazione, occorre procedere ad una ricognizione sistematica dei trattamenti che presentano un rischio elevato. Per ciascun trattamento (o categoria di trattamento) andranno quindi raccolte informazioni circa: a) la natura, la finalità e il contesto del trattamento; b) le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati; c) una descrizione funzionale delle operazioni di trattamento e, in particolare, dei flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento); d) le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento; e) i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.

Successivamente, occorrerà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate: per ciascun trattamento andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Grazie alla documentazione e alle informazioni così raccolte, sarà possibile procedere all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.

Una volta identificati i rischi, occorrerà infine provvedere alla gestione dei medesimi. In questa fase sarà dunque necessario scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato.

Dove conservo la valutazione d’impatto?

I risultati e le osservazioni emersi in sede di valutazione d’impatto devono confluire in un report finale, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi. Il report dovrà altresì recare l’indicazione specifica dell’organizzazione o del progetto per cui la valutazione d’impatto è stata condotta, nonché i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente.

Pillola: gli adempimenti successivi alla valutazione d’impatto

Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29, nelle sue Guidelines on DPIA adottate il 4 aprile 2017 e revisionate il 4 ottobre 2017, raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.

Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’Autorità Garante italiana per la protezione dei dati personali, al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.

ratingBlackMirror

Il rating reputazionale rappresentato nell'episodio "Nosedive" della serie Tv "Black Mirror"

Il progetto per la misurazione del “rating reputazionale” viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone, lo ha stabilito il Garante per la protezione dei dati personali.

Elaborato da un’associazione e e da una società preposta alla gestione dell’iniziativa, il progetto consiste in una piattaforma web e un archivio informatico che raccoglie grande quantità informazioni personali su diversi tipi di individui (candidati, imprenditori, liberi professionisti ma anche privati cittadini) caricate dagli utenti o provenienti dal web. Attraverso un algoritmo, il sistema sarebbe poi in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale, attribuendo un punteggio (rating) alla loro reputazione online.

Il Garante ha rilevato che il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni, del pervasivo impatto sugli interessati e delle modalità di trattamento. Infatti, il progetto presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di migliaia di cittadini. Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

L’Autorità ha espresso dubbi anche in merito all’asserita oggettività delle valutazioni, sottolineando che la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. Vista la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Da un punto di vista generale, il Garante ha inoltre manifestato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.

Anche le misure di sicurezza del sistema, basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, sono state definite “davvero inadeguate” dall’Autorità Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Il Garante ha pertanto disposto il divieto di qualunque operazione di trattamento presente e futura per il progetto di rating reputazionale.

Obblighi rigorosi per le imprese che operano sui dati, trasparenza e tutela dei diritti, questi i principi fondamentali su cui si fonda il nuovo accordo fra EU e USA per gli scambi transatlantici di dati personali a fini commerciali.

Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del “EU-US Privacy Shield.” Lo scudo UE-USA per la privacy dà riscontro ai requisiti stabiliti dalla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell’Unione europea ha l’invalidato il vecchio regime, il Safe Harbour, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

La decisione la Corte accoglieva il ricorso di un cittadino austriaco, Max Schrems, intrapreso nel 2013 nei confronti Facebook. Muovendo dalle rivelazioni del caso Snowden, Schrems aveva denunciato le violazioni al diritto alla riservatezza dei cittadini da parte della NSA, ritenendo perciò il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con l’accordo del Privacy Shield gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile.

Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti.

Inoltre, il Privacy Shield permetterà a chiunque ritenga che  sia stato compiuto un abuso sui dati che lo riguardano il diritto a presentare una querela attraverso vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno un’analisi annuale che consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.

Il nuovo regime scaturisce dall’accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d’America. In seguito, la Commissione ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Il 25 Maggio è entrato in vigore ufficialmente il Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla privacy relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati personali nell’Unione, che abroga la direttiva 95/46/CE.

Il testo – pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) lo scorso 4 maggio – diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Il testo è disponibile QUI. Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA.

Il 4 febbraio 2016, presso il rinnovato Museo Storico Alfa Romeo di Arese, l’Associazione Italiana Professionisti Security Aziendale, e l’Associazione Italiana Direttori del Personale e l’agenzia investigativa AXERTA hanno organizzano un Convegno di aggiornamento legislativo e di condivisione di best practices della security aziendale sul tema del Jobs Act e delle possibilità di controllo in azienda.

Scopo del convegno, definire come poter operare in concreto per salvaguardare il patrimonio aziendale grazie ad un confronto trasversale con 7 relatori di rilevanza nazionale, esperti in diritto penale e del lavoro, privacy, security, risorse umane ed investigazione.

Fra gli esperti, Giusella Finocchiaro è intervenuta con una relazione dedicata all Privacy e alla protezione dei dati personali. Su richiesta dei partecipanti, pubblichiamo QUI LE SLIDE a supporto della relazione della Prof. Avv. Giusella Finocchiaro, presentate al convegno.

Il documento è condivisibile liberamente secondo licenza “Creative Commons Attribution-NonCommercial-NoDerivs”.

Pubblicato dal Garante per la protezione dei dati personali il bilancio delle attività ispettive e sanzionatorie dell’ultimo anno.

Nel 2014, l’ammontare delle sanzioni applicate dal Garante Privacy nei confronti di pubbliche amministrazioni e società private raggiunge i 5 milioni di euro. La somma, con un incremento di quasi un milione rispetto al 2013, è in larga parte dovuta a violazioni in materia di misure di sicurezza, omessa o carente informativa, uso illecito di dati personali.

Sono 385 gli accertamenti ispettivi avviati che hanno coinvolto, tra gli altri, laboratori di analisi, società farmaceutiche, gestori di nodi di interscambio internet, società che gestiscono sistemi di mobile payment, app mediche e operatori telefonici.

Registrate anche 577 sanzioni amministrative contestate, che riguardano soprattutto casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione di violazioni di dati personali.

Infine il Garante ha inviato all’autorità giudiziaria 39 segnalazioni relative a casi di mancata adozione delle misure minime di sicurezza, violazioni connesse al controllo a distanza dei lavoratori, accesso abusivo a sistemi informatici o telematici, false dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti dell’Autorità

Per quanto riguarda il 2015, in aggiunta ai procedimenti avviati lo scorso anno, sono già previsti 150 accertamenti di verifica, focalizzati sul trattamento dei dati personali nei sistemi di mobile payment, del fascicolo sanitario elettronico, del telemarketing e dei call-center operanti all’estero.

Il Garante della privacy ha accolto le istanze di due società telefoniche che intendono utilizzare i dati di geolocalizzazione dei propri lavoratori.

Al fine di ottimizzare la gestione delle risorse presenti sul territorio, migliorare la qualità degli interventi tecnici e facilitare eventuali interventi di soccorso, due compagnie di telecomunicazione si sono rivolte al Garante per richiedere il via libera alla raccolta delle informazioni geografiche rilevate attraverso app attive sugli smartphone dei dipendenti.

L’Autorità ha autorizzato il trattamento dei dati, prescrivendo tuttavia stringenti misure di sicurezza a tutela della riservatezza dei dipendenti. Sarà permessa la geolocalizzazione, ma non l’accesso ad altri dati sensibili, quali SMS, email ecc. e i lavoratori dovranno essere sempre consapevoli della propria tracciabilità. A questo fine, gli smartphone geolocalizzati dovranno essere dotati di un’icona ben visibile che indichi quando la funzione di localizzazione è attiva, e che i dipendenti siano sempre tenuti al corrente del trattamento di dati effettuato dalle società. Inoltre, la rilevazione dei dati non potrà essere continuativa, ma relativa ad intervalli di tempo. A garanzia di questa prescrizione saranno disponibili solo i dati dell’ultima rilevazione, che cancelleranno di volta in volta quelli della precedente.

Con questi accorgimenti, il sistema adottato dalle due società è stato ritenuto conforme al principio di liceità, poiché in grado di garantire un incremento di velocità dei servizi offerti ai clienti, l’ottimizzazione degli interventi tecnici, e il soccorso tempestivo in caso di difficoltà dei dipendenti. La procedura risulta inoltre conforme anche ai principi di necessità, pertinenza e non eccedenza.

Come di consueto, prima di attivare il sistema, le due società dovranno notificare all’Autorità il trattamento dei dati sulla localizzazione.

isoLa International Organization for Standardization (ISO) e la International Electrotechnical Commission (IEC) hanno adottato un nuovo standard internazionale per la protezione delle informazioni d’identificazione personale (Personally Identifiable Information o “PII”) da parte dei fornitori di servizi di public cloud.

La nuova certificazione, denominata ISO/IEC 27018, è intesa a offrire uno standard come unico riferimento per l’adempimento degli obblighi della normativa europa in materia di protezione dei dati personali.

Lo standard ISO 27018 è modellato specificatamente per i servizi cloud, quali ad esempio Amazon web services e Google Compute Engine, ed è il primo standard internazionale in materia di privacy per questo genere di servizi.

L’ISO 27018 è la risposta diretta alla richiesta dei Garanti Europei di un quadro regolatorio per i servizi cloud che possa contribuire ad infondere fiducia nell’utilizzo di sistemi di archiviazione in remoto.

La certificazione è finalizzata a mantenere riservati i dati personali degli utenti garantendo e impedendo che tali informazioni possano essere riutilizzate per secondi fini senza l’esplicita approvazione dei detentori di diritti.

Per potere ottenere la certificazione ISO 27018, un cloud service deve sottoporsi a un controllo da parte di un certificatore e per mantenerla sarà necessario sottoporsi ad un controllo periodico ogni tre anni.

L’attenzione internazionale verso il tema del diritto all’oblio come aspetto integrante della difesa della reputazione online è al centro dell’intervento di Giusella Finocchiaro al prossimo convegno Optime.

L’evento è volto a trattare il problema della diffamazione on line con completezza, approfondimento scientifico e orientamento alle soluzioni praticabili. In particolare il convegno illustrerà le nuove modalità attraverso le quali può essere arrecata lesione all’immagine sul web e, esponendo i recenti orientamenti della giurisprudenza nazionale e comunitaria e le recenti novità normative, analizzerà soluzioni di monitoraggio e tecnologie utili a prevenire il fenomeno e a intervenire per contenere i danni provocati dalla lesione all’immagine aziendale.

Giusella Finocchiaro interverrà con una relazione sulla privacy e il diritto all’oblio nella recente giurisprudenza comunitaria. Il suo intervento illustrerà in particolare la sentenza della Cassazione n. 5525 del 5 aprile 2012 in tema di diritto all’oblio e la decisione della Corte di Giustizia dell’Unione Europea del 13 maggio 2014.

Entrambi gli aspetti sono già stati oggetto di approfondimento su questo blog. Per la sentenza della Corte di Cassazione si veda il saggio di Giusella Finocchiaro “Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione”, pubblicato su “Il diritto dell’informazione e dell’informatica” anno XXVIIC Fasc.3 – 2012, che abbiamo proposto QUI ai lettori. Per la decisione della Corte di Giustizia Europea si rimanda invece a QUESTO post.

IDENTITÀ PERSONALE SU
INTERNET: IL DIRITTO ALLA
CONTESTUALIZZAZIONE
DELL’INFORMAZIONE

Il convegno di Optime è rivolto ai Responsabili del Servizio Legale, ai Responsabili della Brand Protection, ai Responsabili delle Pubbliche Relazioni, ai Responsabili dei Sistemi Informativi di imprese, banche e assicurazioni, avvocati e consulenti.

L’evento si terrà a Milano, il 15 ottobre 2014. Per maggiori informazioni e per le iscrizioni si rimanda alla pagina di Optime dedicata all’evento.

Annunciato uno “sweep day” di verifica per le applicazioni scaricabili su smartphone e tablet.

Il Garante per la privacy avvierà un’indagine sulla correttezza delle procedure e sul livello di sicurezza delle app scaricabili su smartphone e tablet, verificando l’uso corretto dei dati degli utenti e delle richieste di autorizzazione per i download in conformità alla normativa italiana per la protezione dei dati.

Inserita nel quadro di cooperazione delle autorità Garanti dei Paesi aderenti al Global Privacy Enforcement Network (GPEN), l’azione del Garante aderisce all’iniziativa Privacy Sweep 2014, focalizzandosi su una “azione a tappeto” nell’ambito delle applicazioni mediche, settore tanto in crescita quanto critico per la gestione di dati di profili sanitari.

Lo “sweep” dell’Autority, che interesserà alcune delle 50 più importanti app disponibili sulle maggiori piattaforme, avrà luogo in una data compresa tra il 12 e il 18 maggio 2014, nel corso della settimana indicata dal GPEN per l’azione coordinata della rete delle Autorità Privacy a livello globale.

L’azione del Garante, che provvederà con interventi prescrittivi o sanzionatori in caso di violazione,sarà inserita in una ampia operazione volta ad accrescere la consapevolezza della necessità della protezione dei dati personali, favorire il rispetto delle norme a salvaguardia degli utenti, sviluppare azioni di sensibilizzazione e formazione del pubblico sull’uso delle applicazioni mobili e promuovere iniziative globali sulla privacy.

I risultati dell’indagine dello Sweep Day saranno resi noti nell’autunno 2014.