Privacy –Lessonlearned (1996 -2014) · 2015-04-08 · dalla legge 12 luglio 2011, n. 106, in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto

Privacy - Lesson learned

Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014

Privacy – Lesson learned

(1996 - 2014)



Giancarlo Butti (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM

Master di II livello in Gestione aziendale e Sviluppo Organizzativo (MIP-Politecnico di Milano).

Mi occupo di ICT, organizzazione e normativa dai primi anni 80:

• analista di organizzazione, security manager, project manager ed auditor presso gruppi bancari

• consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.

Come divulgatore ho all’attivo:

• oltre 600 articoli su 20 diverse testate

• 19 fra libri e white paper, alcuni dei quali utilizzati come testi universitari

• 5 opere collettive nell’ambito di ABI LAB e Oracle Community for Security

Corsi e seminari:

• docente presso ITER, ABI Formazione, CETIF, INFORMA in ambito privacy, audit ICT e audit normativo e membro della faculty di ABI Formazione.

Socio e proboviro di AIEA (www.aiea.it) e socio del CLUSIT (www.clusit.it).

Partecipo ai gruppi di lavoro di ABI LAB sulla Business Continuity, di ISACA-AIEA su Privacy EU e 263, del Comitato degli esperti per l'innovazione di OMAT360, di Oracle Community forSecurity.





• Mancanza di coordinamento fra i legislatori

• Semplificazioni inapplicabili

• Mancata valutazione delle conseguenze degli

interventi di semplificazione

• Generazione di situazioni ingestibili

• Definizioni lasche e uso improprio dei termini

Problemi



Aspetti di sicurezza nella normativa

privacy– Dlgs 196/03 e relativi Allegati

– Lavoro: le linee guida del Garante per posta elettronica e internet - 01 marzo 2007

– Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008

– Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008

– Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008

– Provvedimento in materia di videosorveglianza - 8 aprile 2010

– Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011



Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato

B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9

dicembre 2008).

Art. 1. Soggetti che possono avvalersi della semplificazione

Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che:

a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;

b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod.civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

I tentativi di semplificazione:

le misure di sicurezza






Un datore di lavoro tratta i dati anche sensibili dei

FAMILIARI dei dipendenti ai fine ad esempio

dell’applicazione della legge 104






Un datore di lavoro tratta i dati anche relativi alla DIAGNOSI dei dipendenti, come del

resto riportato nelle Linee-guida per il trattamento di dati dei dipendenti privati - 23

novembre 2006 (G.U. 7 dicembre 2006, n. 285):

6.3. Denuncia all'Inail. Diversamente, per dare esecuzione ad obblighi di

comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro può anche venire

a conoscenza delle condizioni di salute del lavoratore.

Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'Istituto

assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai

lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da

specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).






L’applicabilità delle semplificazioni si limita quindi in modo certo

solo ai titolari che non abbiano dipendenti, considerando che le

altre caratteristiche richieste per usufruirne non trovano

riscontro nella realtà nel caso della presenza anche di un solo

dipendente.



b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).



La definizione di correnti finalità amministrative e contabili è assolutamente

discrezionale in quanto non definitiva.

Solo nel 2011 verrà introdotta nell’art. 34 del Dlgs 196/03

1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati

per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa,

amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali

finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e

precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e

all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza

sul lavoro. (3).

(3) Comma aggiunto dall'art. 6, comma 2, lett. a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni,

dalla legge 12 luglio 2011, n. 106, in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto legge 25

giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.



La prima semplificazione relativa al DPS è stata introdotta con il Decreto-Legge convertito con modificazioni dalla L. 6 agosto 2008, n. 133 (in SO n.196, relativo alla G.U. 21/08/2008, n.195).

Art. 29. Trattamento dei dati personali 1. All'articolo 34 del ((codice in materia di protezione dei dati personali, di cui al)) decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente: (("1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche‘ a trattamenti comunque effettuati per correnti finalita' amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalita‘ semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1")).


il DPS 1



Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008)

Già citata in precedenza per quanto attiene la semplificazione delle misure di sicurezza


il DPS 2



Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160),

Art. 34. Trattamenti con strumenti elettronici

1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalitàamministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.


il DPS 3




il DPS 3

• Sono quindi esclusi dalla semplificazione tutti quei soggetti che trattano dati sensibili specificatamente, quali ad esempio assicurazioni, medici, dentisti…

• Ma in realtà anche quanti trattano altri dati sensibili come quelli contenuti nei log della navigazione sul web come ci ricorda il Garante per la protezione dei dati personali nelle sue Lavoro: le linee guida del Garante per posta elettronica e internet.




il DPS 4

Articolo 47 del Decreto sulle semplificazioni

(Semplificazioni in materia di dati personali)

1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

…

b) all’articolo 34 sono soppressi la lettera g) del comma 1 e il comma 1-bis;

c ) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.

Il DPS scompare come misura minima di sicurezza

Resta tuttavia l’obbligo di redazione di un documento analogo, anche se non più con scadenza prefissata e senza sanzione penale per il rispetto di quanto prescritto dall’articolo 30 del Dlgs 196/03



Riduzione del perimetro di tutela 1

Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla

legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160)

"3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o

associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i

medesimi soggetti per le finalita' amministrativo - contabili, come definite all'articolo

34, comma 1-ter, non e' soggetto all'applicazione del presente codice.";

Azienda/Ente… Azienda/Ente…NO

Persona fisica

SI

Persona fisica SI




Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla

legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160)

Paradossalmente quindi un professionista deve rilasciare una informativa (e mettere

in atto tutti gli altri adempimenti di tutela) sia che si relazioni con una persona fisica,

sia che si relazioni con un’azienda, mentre quest’ultima deve farlo solo se tratta dati

di persone fisiche.

Azienda/Ente… Azienda/Ente…NO

Persona fisica

SI

Persona fisica SI




Decreto Legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214

Art. 4. Definizioni

1. Ai fini del presente codice si intende per:

b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.



Persona

fisica

Persona

giuridica

Ambiguità

Interpretazioni diverse ad esempio per alcuni casi dubbi come leditte individuali.

Il Garante nella sua pubblicazione “La Privacy dalla

parte dell’impresa” cita seppure in un altro contesto

“…persona fisica (si pensi all’imprenditore individuale)…”.



Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008(G.U. n. 300 del 24 dicembre 2008)

4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettroniciDi seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008).

Alcune conseguenzeprovvedimento sugli amministratori di sistema




Perimetro prudenziale iniziale

comprendente tutti i trattamenti

Perimetro prudenziale iniziale del provvedimento (in assenza di una

definizione di a fini amministrativo-contabili)




Trattamenti ai fini

amministrativi

contabiliAltri trattamenti

(mkt…)

Introduzione nel Dlgs 196/03 della definizione dei trattamenti ai fini amministrativo-contabili

Art. 34 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.




Trattamenti ai fini

amministrativi

contabiliAltri trattamenti

(mkt…)

A seguito della definizione estensiva dei trattamenti amministrativi contabili una azienda normale potrebbe essere anche totalmente al di fuori della portata del perimetro del provvedimento.




Trattamenti ai fini

amministrativi

contabili

Altri trattamenti

(mkt…)

Introduzione del Dlgs 196/03 della riduzione del perimetro dei soggetti tutelati.

Art. 4. Definizioni

1. Ai fini del presente codice si intende per:

b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche

indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione

personale.

Persone fisiche




La notevole riduzione del perimetro conseguente alla definizione dei trattamenti effettuati per finalità amministrativo-contabili (che sono fuori perimetro) e alla riduzione alle sole persone fisiche della tutela del Dlgs 196/03 rende di fatto residuale il perimetro di applicazione del provvedimento sugli amministratori di sistema.

Si pone il problema che ora la tracciatura degli accessi effettuata fuori dal perimetro del provvedimento:

•non è più obbligatoria

•non è giustificabile quindi dal punto di vista normativo

•Non è quindi attuabile senza un valido e dichiarato motivo.

Altrimenti si incorre in un illecito trattamento di dati personali (i log degli amministratori di sistema che vengono tracciati sono dati personali di questi ultimi).




Si presentano quindi 2 diverse possibili soluzioni:

•si riduce il perimetro di tracciatura (soluzione spesso difficilmente praticabile) salvo il caso in sui si riscontri una totale estraneità al provvedimento

•si definiscono nuove finalità per l’attività relativa alla tracciatura



Alcune conseguenze

La semplificazione ha eliminato la tutela sulle persone giuridiche, ma non sulle persone che le rappresentano (rappresentante legale….).

Difatto quindi si deve comunque rilasciare un’informativa a tali soggetti.

Inoltre, le persone giuridiche sono comunque tutelate relativamente al Titolo X – Capo I - Comunicazioni elettroniche, come peraltro precisato dal Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 – 20.



Persona

fisica

Persona

giuridica

Titolo X Cap IPersone fisiche

di

persone giuridiche

Ambito di tutela



Persona

giuridicaPersona

giuridica

Ambito di tutela

pf

pfpf pf pf

pf

pf

pf

Anche se le persone giuridiche non sono tutelate, lo sono le persone fisiche al loro interno.

Le relazioni reali avvengono fra persone fisiche delle quali si trattano i dati (numeri di telefono,e-mail, identificativi…)



Xxxxx yyyy

Xxxxx yyyy

Xxxxx yyyy

20000

500

10000 Dato personale di

persona fisica

Estratto conto di persona giuridica



La gestione dei diritti

Art. 7. Diritto di accesso ai dati personali ed altri diritti

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma

intelligibile.

Art. 8. Esercizio dei diritti

1.I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.

Art. 9. Modalità di esercizio

1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso èannotata sinteticamente a cura dell'incaricato o del responsabile.




Quindi Rossi Mario, in qualità di interessato, può richiedere, senza alcuna formalità, anche oralmente alla Alfa SpA, titolare del trattamento, circa l’esistenza o meno di dati personali che lo riguardano

?InteressatoTitolare




L’unico modo che Alfa SpA ha, per verificare la

richiesta di Mario Rossi, è raccogliere i suoi dati, al fine di verificarne la presenza nei propri archivi.

InteressatoTitolare



Quindi, anche se in precedenza Alfa SpA non trattava i dati di Rossi Mario ora lo fa. L’esercizio dei diritti dell’interessato comporta quindi esso stesso un trattamento. Considerando che il Titolaredeve avere evidenza dell’aver risposto alla richiesta dell’interessato, dovrà conservare tali dati per almeno 10 anni.

E’ evidente che prima di dare corso ad un trattamento, è necessario rilasciare anche una adeguata informativa all’interessato.

InteressatoTitolare




Dlgs 196/03

a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza

l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la

conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il

raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione

e la distruzione di dati, anche se non registrati in una banca di dati;

Allegato B

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari

redige anche attraverso il responsabile, se designato, un documento programmatico sulla

sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento

delle operazioni bancarie - 12 maggio 2011

L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a personale

diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.

Uso non coerente dei termini



Grazie per l’attenzione

Riferimenti

[email protected]

Documents

Privacy –Lessonlearned (1996 -2014) · 2015-04-08 · dalla legge 12 luglio 2011, n. 106, in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto