smau milano 2013 pierluigi perri
Post on 27-Jun-2015
183 Views
Preview:
TRANSCRIPT
Titolo della presentazione Avv. Prof. Aggr. Pierluigi Perri
Il Privacy Officer: questo sconosciuto.
Titolo della presentazione
About me
• Avvocato; • Ricercatore universitario presso l’Università degli Studi di Milano; • Professore aggregato di Informa=ca Giuridica Avanzata; • DoAore di ricerca in Informa=ca Giuridica e DiriAo dell’informa=ca; • Membro del comitato scien=fico di IISFA e AIPSI; • Ecc. ecc. ecc. (per maggiori informazioni cercatemi su LinkedIn)
Titolo della presentazione
Agenda
• Privacy Officer: definizione • L’esperienza del Privacy Officer all’estero
• La discussione in aAo in sede europea • Gli ul=mi sviluppi
• Raffronto con la norma=va nazionale in materia di privacy
Titolo della presentazione
Privacy Officer: definizione
• Il Privacy Officer è quel professionista, interno o esterno a una determinata struAura, che ha il compito di sovrintendere a tuT i processi che riguardano il traAamento dei da= personali compiu= all’interno della stessa, intervenendo in piena indipendenza e autonomia qualora individui problemi che potrebbero comportare un traAamento dei da= che presen= rischi di distruzione o perdita, anche accidentale, dei da= stessi, di accesso non autorizzato o di traAamento non consen=to o non conforme alle finalità della raccolta.
Titolo della presentazione
Pun@ rilevan@
• Professionista -‐> perché si possa parlare di Privacy Officer bisogna far riferimento a figure professionali, al pari dell’amministratore di sistema.
• Interno o esterno -‐> il Privacy Officer può essere sia un soggeAo interno sia un soggeAo esterno alla struAura.
• Sovrintendere -‐> il Privacy Officer deve possedere competenze trasversali ai vari campi del sapere interessa= dalle norme sulla privacy, prime fra tuAe il diriAo e l’informa=ca.
• Intervenendo in piena indipendenza e autonomia -‐> il Privacy Officer non può essere solo un “parafulmine” ma deve avere sia autonomia di azione sia, in certa misura, patrimoniale.
Titolo della presentazione
Differen@ acronimi per indicare il Privacy Officer
• A seconda del contesto di riferimento potremo dis=nguere:
– DPO (Data Protec=on Officer)
– CPO (Chief Privacy Officer)
– PO (Privacy Officer)
– [ITA] Responsabile della protezione dei da=
Titolo della presentazione
Applicazioni già esisten@ del Privacy Officer: USA
• Negli USA, alcuni tes= di legge prevedono espressamente l’indicazione di un Privacy Officer.
• Il testo cardine in tal senso è l’HIPAA (Health Insurance Portability and Accountability Act).
• Il ruolo del Privacy Officer ex HIPAA, quindi, è streAamente legato al traAamento delle PHI (Protected Health Informa=on).
Titolo della presentazione
Applicazioni già esisten@ del Privacy Officer: Germania
• Primo Paese europeo nel quale si is=tuisce la figura del Privacy Officer.
• Il BDSG richiede la cos=tuzione di un Privacy Officer in caso la struAura presen= dieci o più dipenden= che si occupano di traAamento automa=zzato di da= personali.
• In caso di traAamento non automa=zzato, la struAura dovrà presentare ven= o più dipenden= dedi= al traAamento di da= personali.
• In caso non venga nominata tale figura, la sanzione può essere fino a 50.000 euro per ogni singolo manager che abbia omesso di nominarlo.
• Deve svolgere i propri compi= con indipendenza e autonomia.
• Deve potersi aggiornare a spese del datore di lavoro.
Titolo della presentazione
Uno speIro si aggira per l’Europa?
• Il 25 gennaio 2012 è stata depositata, da parte della Commissione Europea, la bozza del nuovo Regolamento per il traAamento dei da= personali che avrà immediata efficacia all’interno dei Paesi UE.
• Questo Regolamento è aAualmente in discussione.
• Andrà a sos=tuire la DireTva 95/46/CE.
Titolo della presentazione
Regolamento vs. DireNva
• Regolamento -‐> è un aAo legisla=vo vincolante. Deve essere applicato in tuT i suoi elemen= nell'intera Unione europea (es. il DOP).
• DireNva -‐> è un aAo legisla=vo che stabilisce un obieTvo che tuT i paesi dell'UE devono realizzare. Ciascuno Stato membro può però decidere come procedere.
Titolo della presentazione
Il Data Protec@on Officer (DPO) nella bozza di Regolamento
• L’ar=colo 35 della bozza di Regolamento introduce la figura obbligatoria del responsabile della protezione dei da= per il seAore pubblico e, nel seAore privato, per le grandi imprese o allorquando le aTvità principali del responsabile del traAamento e dell’incaricato del traAamento consistono in traAamen= che richiedono il controllo regolare e sistema=co degli interessa=.
• L’ar=colo 36 precisa la posizione del responsabile della protezione dei da=.
• L’ar=colo 37 stabilisce i principali compi= del responsabile della protezione dei da=.
Titolo della presentazione
Quando designarlo?
• Il responsabile del tra/amento e l’incaricato del tra/amento designano sistema4camente un responsabile della protezione dei da4 quando: – a) il tra/amento è effe/uato da un’autorità pubblica o da un organismo
pubblico, oppure – b) il tra/amento è effe/uato da un’impresa con 250 o più dipenden4, oppure – c) le aBvità principali del responsabile del tra/amento o dell’incaricato del
tra/amento consistono in tra/amen4 che, per la loro natura, il loro ogge/o o le loro finalità, richiedono il controllo regolare e sistema4co degli interessa4.
Titolo della presentazione
Definizioni
• (5) “responsabile del tra/amento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del tra/amento di da4 personali; quando le finalità, le condizioni e i mezzi del tra/amento sono determina4 dal diri/o dell’Unione o dal diri/o di uno Stato membro, il responsabile del tra/amento o i criteri specifici applicabili alla sua nomina possono essere designa4 dal diri/o dell’Unione o dal diri/o dello Stato membro;
• (6) “incaricato del tra/amento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora da4 personali per conto del responsabile del tra/amento;
Titolo della presentazione
Definizioni ex D.Lgs. 196/03
• f) "4tolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro 4tolare, le decisioni in ordine alle finalità, alle modalità del tra/amento di da4 personali e agli strumen4 u4lizza4, ivi compreso il profilo della sicurezza;
• g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo prepos4 dal 4tolare al tra/amento di da4 personali;
• h) "incarica4", le persone fisiche autorizzate a compiere operazioni di tra/amento dal 4tolare o dal responsabile;
Titolo della presentazione
Per quanto tempo?
• Il responsabile del tra/amento o l’incaricato del tra/amento designa un responsabile della protezione dei da4 per un periodo di almeno due anni. Il mandato del responsabile della protezione dei da4 è rinnovabile. Durante il mandato può essere des4tuito solo se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.
Titolo della presentazione
Breaking news!
• La parte rela=va ai criteri quan=ta=vi è stata oggeAo di modifiche il 21 oAobre u.s. ad opera del Civil Liber=es, Jus=ce and Home Affairs CommiAee.
• In par=colare, si è modificata la parte rela=va alla designazione del DPO, che adesso dovrà essere designato se l’azienda o la PA traAano da= rela=vi a 5000 interessa= o più all’anno o se la loro aTvità principale consiste nel traAamento di da= sensibili o nella monitorizzazione sistema=ca (?) delle persone.
• Il DPO potrà svolgere i propri compi= per la durata di quaAro anni se interno alla struAura o di due anni se esterno ad essa.
• Il DPO deve rives=re una posizione che gli consenta di svolgere i propri compi= con la necessaria indipendenza e di avere una protezione speciale (?) contro il licenziamento.
Titolo della presentazione
Gruppi di imprese ed en@ pubblici
• Si può designare un unico Responsabile della protezione dei da= sia per le imprese facen= capo ad un unico gruppo sia per più en= pubblici tenuto conto della stru/ura organizza4va dell’autorità pubblica o dell’organismo pubblico.
Titolo della presentazione
CaraIeris@che del Responsabile della protezione dei da@
• Il responsabile del tra/amento o l’incaricato del tra/amento designa il responsabile della protezione dei da4 in funzione delle qualità professionali, in par4colare della conoscenza specialis4ca della norma4va e delle pra4che in materia di protezione dei da4, e della capacità di adempiere ai compi4 di cui all’ar4colo 37. Il livello necessario di conoscenza specialis4ca è determinato in par4colare in base al tra/amento di da4 effe/uato e alla protezione richiesta per i da4 personali tra/a4 dal responsabile del tra/amento o dall’incaricato del tra/amento.
Titolo della presentazione
Chi ci ricorda?
• Art. 29 D.Lgs. 196/03 • 2. Se designato, il responsabile è individuato tra soggeB che per esperienza, capacità ed
affidabilità forniscano idonea garanzia del pieno rispe/o delle vigen4 disposizioni in materia di tra/amento, ivi compreso il profilo rela4vo alla sicurezza.
• 4.1 Valutazione delle caraAeris=che soggeTve dell’Amministratore di Sistema • L'a/ribuzione delle funzioni di amministratore di sistema deve avvenire previa
valutazione dell'esperienza, della capacità e dell'affidabilità del sogge/o designato, il quale deve fornire idonea garanzia del pieno rispe/o delle vigen4 disposizioni in materia di tra/amento ivi compreso il profilo rela4vo alla sicurezza.
• Anche quando le funzioni di amministratore di sistema o assimilate sono a/ribuite solo nel quadro di una designazione quale incaricato del tra/amento ai sensi dell'art. 30 del Codice, il 4tolare e il responsabile devono a/enersi comunque a criteri di valutazione equipollen4 a quelli richies4 per la designazione dei responsabili ai sensi dell'art. 29.
Titolo della presentazione
Pun@ sui quali il DPO dovrà prestare idonea garanzia
• Provvedimen= del Garante
• Norma=ve di seAore
• Regolamen= di seAore
• Adempimen= documentali
• TraAamen= di da= sensibili
• Marke=ng
• TraAamen= di da= dei lavoratori
• Best prac=ce in materia di privacy
• Cer=ficazioni aziendali (ISO 9001 ad es.)
• Altre norma=ve che investono l’aTvità aziendale nella sua interezza (D.Lgs. 231/01 ad es.)
Titolo della presentazione
Incompa@bilità
• Il responsabile del tra/amento o l’incaricato del tra/amento si assicura che ogni altra funzione professionale del responsabile della protezione dei da4 sia compa4bile con i compi4 e le funzioni dello stesso in qualità di responsabile della protezione dei da4 e non dia adito a confli/o di interessi.
• Ergo, non è compa=bile ad esempio con una figura apicale che svolga già altre mansioni ineren= il traAamento dei da=.
Titolo della presentazione
Esterno o interno?
• Il responsabile della protezione dei da4 può essere assunto dal responsabile del tra/amento o dall’incaricato del tra/amento oppure adempiere ai suoi compi4 in base a un contra/o di servizi.
Titolo della presentazione
Pubblicità e riscontro agli interessa@
• Il responsabile del tra/amento o l’incaricato del tra/amento comunica il nome e le coordinate di conta/o del responsabile della protezione dei da4 all’autorità di controllo (aka il Garante) e al pubblico.
• Gli interessa4 hanno il diri/o di conta/are il responsabile della protezione dei da4 per tu/e le ques4oni rela4ve al tra/amento dei loro da4 personali e presentare richieste per esercitare i diriB riconosciu4 dal presente regolamento.
Titolo della presentazione
Coinvolgimento
• Il responsabile del tra/amento o l’incaricato del tra/amento si assicura che il responsabile della protezione dei da4 sia prontamente e adeguatamente coinvolto in tu/e le ques4oni riguardan4 la protezione dei da4 personali.
Titolo della presentazione
Indipendenza e autonomia
• Il responsabile del tra/amento o l’incaricato del tra/amento si assicura che il responsabile della protezione dei da4 adempia alle funzioni e ai compi4 in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei da4 riferisce dire/amente ai superiori gerarchici del responsabile del tra/amento o dell’incaricato del tra/amento.
• Problemi: – non riceve alcuna istruzione? – esistono superiori gerarchici al =tolare del traAamento?
Titolo della presentazione
Risorse
• Il responsabile del tra/amento o l’incaricato del tra/amento sos4ene il responsabile della protezione dei da4 nell’esecuzione dei suoi compi4 e gli fornisce personale, locali, a/rezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compi4 di cui all’ar4colo 37.
• Problemi: – difficoltà applica=ve nella P.A.? – ulteriori cos= per le imprese?
Titolo della presentazione
Compi@ “minimi” del Responsabile della protezione dei da@
• Il Responsabile della protezione dei da= deve almeno: – informare e consigliare il responsabile del traAamento o l’incaricato del
traAamento in merito agli obblighi derivan= dal […] regolamento e conservare la documentazione rela=va a tale aTvità e alle risposte ricevute;
– sorvegliare l’aAuazione e l’applicazione delle poli=che del responsabile del traAamento o dell’incaricato del traAamento in materia di protezione dei da= personali, compresi l’aAribuzione delle responsabilità, la formazione del personale che partecipa ai traAamen= e gli audit connessi;
– sorvegliare l’aAuazione e l’applicazione del […] regolamento, con par=colare riguardo ai requisi= concernen= la protezione fin dalla progeAazione, la protezione di default, la sicurezza dei da=, l’informazione dell’interessato e le richieste degli interessa= di esercitare i diriT riconosciu= dal […] regolamento;
Titolo della presentazione
Compi@ “minimi” del Responsabile della protezione dei da@ /2
– garan=re la conservazione della documentazione di cui all’ar=colo 28;
– controllare che le violazioni dei da= personali siano documentate, no=ficate e comunicate ai sensi degli ar=coli 31 e 32;
– controllare che il responsabile del traAamento o l’incaricato del traAamento effeAui la valutazione d’impaAo sulla protezione dei da= e richieda l’autorizzazione preven=va o la consultazione preven=va nei casi previs= dagli ar=coli 33 e 34;
– controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria inizia=va o su sua richiesta;
– fungere da punto di contaAo per l’autorità di controllo per ques=oni connesse al traAamento e, se del caso, consultare l’autorità di controllo di propria inizia=va.
Titolo della presentazione
Documentazione di cui all’art. 28?
• Ogni responsabile del tra/amento, incaricato del tra/amento ed eventuale rappresentante del responsabile del tra/amento conserva la documentazione di tuB i tra/amen4 effe/ua4 so/o la propria responsabilità.
• 2. La documentazione con4ene almeno le seguen4 informazioni: – a) nome e coordinate di conta/o del responsabile del tra/amento, o di ogni corresponsabile
del tra/amento o incaricato del tra/amento, e dell’eventuale rappresentante del responsabile del tra/amento;
– b) nome e coordinate di conta/o dell’eventuale responsabile della protezione dei da4; – c) finalità del tra/amento, compresi i legiBmi interessi persegui4 dal responsabile del
tra/amento qualora il tra/amento si basi sull’ar4colo 6, paragrafo 1, le/era f); – d) descrizione delle categorie di interessa4 e delle per4nen4 categorie di da4 personali; – e) indicazione dei des4natari o delle categorie di des4natari dei da4 personali, compresi i
responsabili del tra/amento cui sono comunica4 i da4 personali ai fini del perseguimento dei loro legiBmi interessi;
– f) se del caso, indicazione dei trasferimen4 di da4 verso un paese terzo o un’organizzazione internazionale, compresa l’iden4ficazione del paese terzo o dell’organizzazione internazionale e, per i trasferimen4 di cui all’ar4colo 44, paragrafo 1, le/era h), la documentazione delle garanzie adeguate;
– g) indicazione generale dei termini ul4mi per cancellare le diverse categorie di da4; – h) descrizione dei meccanismi di cui all’ar4colo 22, paragrafo 3 [verifica dell’efficacia delle
misure adoAate a tutela dei da= personali] .
Titolo della presentazione
In principio fu il DPS
• 19.1. l'elenco dei traAamen= di da= personali; • 19.2. la distribuzione dei compi= e delle responsabilità nell'ambito delle struAure preposte al traAamento
dei da=; • 19.3. l'analisi dei rischi che incombono sui da=; • 19.4. le misure da adoAare per garan=re l'integrità e la disponibilità dei da=, nonchè la protezione delle
aree e dei locali, rilevan= ai fini della loro custodia e accessibilità; • 19.5. la descrizione dei criteri e delle modalità per il ripris=no della disponibilità dei da= in seguito a
distruzione o danneggiamento di cui al successivo punto 23; • 19.6. la previsione di interven= forma=vi degli incarica= del traAamento, per renderli edoT dei rischi che
incombono sui da=, delle misure disponibili per prevenire even= dannosi, dei profili della disciplina sulla protezione dei da= personali più rilevan= in rapporto alle rela=ve aTvità, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adoAate dal =tolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamen= di mansioni, o di introduzione di nuovi significa=vi strumen=, rilevan= rispeAo al traAamento di da= personali;
• 19.7. la descrizione dei criteri da adoAare per garan=re l'adozione delle misure minime di sicurezza in caso di traAamen= di da= personali affida=, in conformità al codice, all'esterno della struAura del =tolare;
• 19.8. per i da= personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adoAare per la cifratura o per la separazione di tali da= dagli altri da= personali dell'interessato.
Titolo della presentazione
Quindi…
• Prima facie, il Regolamento imporrebbe nuovamente un obbligo documentale che comprenderebbe e amplierebbe quello che era il DPS.
Titolo della presentazione
Sanzioni
• La bozza di Regolamento prevede una sanzione, da irrogarsi da parte del Garante, fino a 1 000 000 EUR o, per le imprese, fino al 2% del fa/urato mondiale annuo, a chiunque, con dolo o colpa […] non designa un responsabile della protezione dei da4 o non garan4sce le condizioni per l’adempimento dei compi4 del responsabile della protezione dei da4, in violazione degli ar4coli 35, 36 e 37.
Titolo della presentazione
Grazie per l’aIenzione!
Avv. Prof. Aggr. Pierluigi Perri
e-‐mail(s): pierluigi.perri_at_unimi.it pierluigi.perri_at_mpslaw.it
top related