Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il 25 Maggio è entrato in vigore ufficialmente il Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla privacy relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati personali nell’Unione, che abroga la direttiva 95/46/CE.

Il testo – pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) lo scorso 4 maggio – diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Il testo è disponibile QUI. Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA.

Schermata 2016-03-20 alle 19.44.42Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) modificata in base al Regolamento Generale sulla Protezione dei Dati, di cui si attende a breve la pubblicazione nella Gazzetta Ufficiale dell’Unione europea.

Come già riportato su questo blog, il Regolamento europeo di prossima emanazione conferma la figura del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) che dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili.

Il Responsabile della protezione dei dati personali, impiegato sulla base di un contratto con il titolare del trattamento o dal responsabile del trattamento, dovrà essere una figura che possa operare in assenza di conflitti di interesse.

Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi normativi e verificare l’attuazione e l’applicazione del Regolamento e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati e alle politiche del titolare o del responsabile del trattamento in materia di privacy. Se richiesto, potrà fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.  Il suo ruolo, inoltre, prevede che possa essere il punto di contatto non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.

Il testo normativo relativo al Data Protection Officer si fonda sulla proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, come successivamente modificata a seguito degli emendamenti di Parlamento europeo e Consiglio Ue.

La scheda del Garante è disponibile QUI.

Ultimo capitolo della nostra analisi sul testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema, di grande attualità dei trasferimenti di dati all’estero.

La Proposta di regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).

Con riguardo alla prima deroga, è la stessa Commissione europea ad aver adottato una serie di pacchetti di “clausole-tipo” sulla scorta dell’art. 26 della direttiva 95/46/CE: attraverso l’inserimento di tali clausole standard nel contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo importatore. In particolare, la Commissione si è resa promotrice dell’elaborazione di clausole contrattuali tipo attraverso quattro diverse decisioni (rispettivamente, del 15 giugno 2001, 27 dicembre 2001, 27 dicembre 2004 e 5 febbraio 2010) che rivestono una particola importanza nell’ottica di semplificare i rapporti internazionali.

L’adozione di clausole contrattuali tipo non è, tuttavia, l’unico strumento tramite il quale operare legittimamente un trasferimento di dati verso Paesi terzi: infatti, sebbene possano essere impiegate esclusivamente nell’ambito di trasferimenti di dati infra-gruppo, sempre più frequente è il ricorso alle cc.dd. binding corporate rules (BCR), una serie di clausole che stabiliscono principi vincolanti al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo d’impresa (corporate). In questo caso, le clausole incorporano i principi fondamentali in materia di protezione dei dati personali, come ad esempio i principi di correttezza e legittimità del trattamento, finalità, necessità e proporzionalità dei dati, l’obbligo del titolare di fornire l’informativa, e così via. Tali clausole traggono efficacia dall’autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi ex art. 44, lett. a) del d.lgs. 196/2003, la quale viene concessa solo a seguito dell’espletamento della procedura a livello europeo, che vede la cooperazione tra le Autorità Garanti dei diversi Stati membri che risultano coinvolti nel flusso transfrontaliero di dati.

Le stesse Autorità Garanti nazionali non possono, tuttavia, adottare provvedimenti contrari ad una decisione di adeguatezza dell’esecutivo europeo, sulla scorta di quanto stabilito dalla Corte di Giustizia europea nella recentissima sentenza Schrems del 6 ottobre 2015 (C-364/14): in altre parole, qualora la Commissione abbia già dichiarato legittimo il trasferimento di dati verso un determinato Paese terzo, l’Autorità Garante nazionale non potrà adottare provvedimenti interni di sospensione o di divieto di trasferimenti di dati nei confronti di quei sistemi terzi già reputati adeguati dalla Commissione.

Ciò non toglie che il Garante possa esaminare le doglianze dei cittadini che lamentino una mancanza di protezione dei propri dati trasferiti in un Paese terzo; in tal caso, qualora le domande risultino fondate, il Garante avrà il dovere di “agire in giustizia” (par. 63-65), ossia di proporre ricorso alle autorità giurisdizionali del proprio Stato membro ai fini di un rinvio pregiudiziale ai giudici europei che esamineranno la validità della decisione di adeguatezza della Commissione.

Per maggiori approfondimenti sul contenuto e sulla portata della decisione della Corte di giustizia sul caso Shrems si rimanda all’analisi di Giusella Finocchiaro.

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema delle responsabilità e degli oneri del controller e la figura del Data Protection Officer.

La Proposta di regolamento responsabilizza maggiormente i controller (titolari del trattamento), i quali saranno, in particolare, gravati dalla predisposizione di misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (art. 30). A carico dei medesimi viene posto, inoltre, l’obbligo di comunicare senza ritardo sia alle autorità sia agli interessati i cc.dd. data breach, ossia le violazioni dei dati avvenute durante le operazioni di trattamento (artt. 31 e 32).

Viene poi prevista la figura dei joint controller (contitolari), i cui ruoli e le cui responsabilità dovranno essere ripartite sulla base di un accordo a cui gli stessi interessati potranno far riferimento, fatta salva una diversa determinazione da parte della legge europea o nazionale (art. 24).

A tutela del rispetto dei diritti e delle libertà fondamentali dei cittadini e a garanzia della conformità delle operazioni di trattamento al Regolamento, vengono confermate le figure del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) e di una Supervisory Authority indipendente a livello nazionale (rispettivamente, artt. 35 e 46). Mentre il primo dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili, l’Autorità di sorveglianza dovrà essere obbligatoriamente istituita in ogni Stato membro. Quest’ultima ha, tra gli altri, il primario obiettivo di garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’Unione europea (art. 46), potendo contare anche sui meccanismi di one-stop-shop (o “sportello unico”) che prevedono una collaborazione reciproca tra le diverse autorità nazionali e la possibilità di adottare una decisione di controllo unica nei casi transfrontalieri che comportano un coinvolgimento plurimo delle Autorità (art. 54a).

In quest’ottica di mutua assistenza è da segnalare anche l’istituzione di un Comitato europeo per la protezione dei dati (art. 64), che dovrebbe comprendere rappresentanti di tutte le 28 Autorità di controllo indipendenti e sostituire il c.d. “Gruppo Art. 29”, cioè il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, di cui all’articolo 29 della dir. 95/46/CE.

Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato il 15 febbraio 2016 su Forum PA. Questo articolo fa parte del dossier “Speciale CAD: Cad corrotto, Agenda digitale infetta”. Per la versione completa del dossier rimandiamo al sito di Forum PA.

Il 1° luglio 2016 entrerà in vigore il Regolamento europeo 910/2014, noto come e-IDAS, che comporterà alcune rilevanti innovazioni in materia di identità digitale, di firme elettroniche e di servizi fiduciari.

Trattandosi di Regolamento europeo, quindi direttamente applicabile, non era tecnicamente necessario revisionare il Codice dell’Amministrazione digitale. Non è una direttiva, ma un Regolamento. Non sono quindi necessari atti di recepimento, come invece accade per le direttive europee. Non è uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto che crea un’identica normativa europea per i 28 Stati.

Certo la riforma del CAD avrebbe comunque potuto essere utile, per favorire il coordinamento con la nuova normativa europea. Tuttavia il legislatore, quanto meno nella bozza pubblicata, va oltre il Regolamento europeo e, in taluni casi, in conflitto. Ciò comporterà i costi dell’incertezza giuridica per le imprese italiane che avrebbero invece potuto godere del vantaggio dell’esperienza accumulata nell’ambito della digitalizzazione e confluita in gran parte nel Regolamento europeo.

Affronto qui soltanto il tema del documento informatico e delle firme, oggi disciplinati dagli artt. 20 e seguenti del CAD.

Il Regolamento europeo prevede un approccio a due livelli (two-tier approach): in estrema sintesi solo la firma qualificata è equivalente alla sottoscrizione autografa; per il resto vige il principio della non discriminazione, cioè il principio secondo il quale non può essere negato valore giuridico ad un documento informatico per il solo fatto che è in forma elettronica.

Il legislatore italiano ha applicato questo principio nel CAD attualmente vigente, disponendo che il documento informatico, con o senza firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

La ratio della norma è che non conoscendo a priori quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, conseguentemente con un livello di sicurezza assai variabile, è il giudice che valuta caso per caso quanto vale.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore giuridico del documento cui essa è associata.

Il nuovo art. 21 del CAD sarebbe il seguente:

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Secondo questa proposta, il documento sottoscritto con firma elettronica sarebbe idoneo a soddisfare il requisito della forma scritta e avrebbe l’efficacia probatoria prevista dall’art. 2702 c.c. Qualora la modifica apportata all’art. 21 fosse confermata, il documento recante una firma elettronica semplice sarebbe equiparato alla scrittura privata di cui all’art. 2702 c.c., se fosse idoneo a soddisfare le regole tecniche previste da un apposito regolamento.

Il regolamento, si immagina, dovrebbe cristallizzare le tipologie di firma elettronica oggi diffuse presumibilmente con un approccio analitico e casistico, di per sé inevitabilmente non esaustivo e fermo nel tempo. O invece, fare riferimento a principi generali e standard che non potrebbero che ricalcare altre tipologie di firma elettronica come, per esempio, la firma elettronica avanzata. Dunque un regolamento arduo da immaginare, che richiederà anni (3 anni si è atteso il regolamento sulla firma elettronica avanzata) e che nel frattempo bloccherà un mercato consolidato. Con quale vantaggio? Certo non si eviterà la consulenza tecnica d’ufficio, dal momento che il giudice si rivolgerà quasi certamente al CTU per verificare se le prescrizioni del regolamento sono rispettate nel caso concreto. Certo non si creerà maggiore certezza a priori, perché sarà comunque il giudice ex post a valutare se nella fattispecie si tratta di firma elettronica conforme al regolamento. Tutto questo con un vizio di fondo: tentare di rendere non neutra la firma elettronica, che è invece tecnologicamente neutra. Se questo approccio regolatorio è valido per la firma digitale che fa già nella definizione normativa riferimento ad una specifica tecnologia, non lo è per la firma elettronica che invece nasce tecnologicamente neutra.

Nulla cambierebbe invece nella disciplina relativa alla firma elettronica avanzata, qualificata e digitale, sempre che siano corretti alcuni errori, se interpreto correttamente l’intenzione del legislatore. Nell’attuale versione della proposta di riforma del CAD è infatti omesso il richiamo all’art. 2702 c.c. per i documenti che recano queste tipologie di firme, ed è anche omesso il richiamo alla presunzione di utilizzo del dispositivo di firma per i documenti con firma elettronica avanzata.

Il 4 febbraio 2016, presso il rinnovato Museo Storico Alfa Romeo di Arese, l’Associazione Italiana Professionisti Security Aziendale, e l’Associazione Italiana Direttori del Personale e l’agenzia investigativa AXERTA hanno organizzano un Convegno di aggiornamento legislativo e di condivisione di best practices della security aziendale sul tema del Jobs Act e delle possibilità di controllo in azienda.

Scopo del convegno, definire come poter operare in concreto per salvaguardare il patrimonio aziendale grazie ad un confronto trasversale con 7 relatori di rilevanza nazionale, esperti in diritto penale e del lavoro, privacy, security, risorse umane ed investigazione.

Fra gli esperti, Giusella Finocchiaro è intervenuta con una relazione dedicata all Privacy e alla protezione dei dati personali. Su richiesta dei partecipanti, pubblichiamo QUI LE SLIDE a supporto della relazione della Prof. Avv. Giusella Finocchiaro, presentate al convegno.

Il documento è condivisibile liberamente secondo licenza “Creative Commons Attribution-NonCommercial-NoDerivs”.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

posted by admin on novembre 19, 2014

Eventi

(No comments)

La Facoltà di Scienze Giuridiche e Sociali dell’Universidad Rey Juan Carlos (URJC) di Madrid ospiterà il 20 e il 21 novembre 2014 il congresso internazionale “Nuevas Orientaciones del Derecho Civil en Europa”.

L’evento è organizzato dalla Fundación Cultural del Notariado y el Centro de Estudios de Derecho de la Persona y del Patrimonio della Universidad Rey Juan Carlos ed è diretto da Palmira Delgado, decano del Colegio Notarial de Castilla La Mancha y Monserrat Pereña, professore ordinario di Diritto Civilel presso la URJC.

Le due giornate saranno suddivise in tre conferenze (due inaugurali ed una di chiusura) e cinque sessioni (parte generale, Diritto della persona, Deritto di beni e Contratti, Diritto di Famiglia e Diritto di successione). I 30 relatori dell’evento sono professori universitari, notai e giuristi sia spagnoli che internazionali. Le relazioni verteranno su temi di attualità differenti ma in relazione allo spazio giuridico comune dell’Unione Europea, come il tema della giurisdizione volontaria, l’identità digitale, le clausole dei contratti, ecc.

La Prof. Avv. Giusella Finocchiaro sarà tra i relatori della prima giornata, nella sessione “diritti della persona”, con un intervento dedicato all’identità digitale.

Per un approfondimento sul nuovo Regolamento UE sull’identità digitale rimandiamo all’articolo di Giusella Finocchiaro apparso su Agenda Digitale il 5 giugno 2014.

Per maggiori informazioni il programma dell’evento è disponibile QUI.