Smau milano 2013 pierluigi perri

Titolo della presentazione Avv. Prof. Aggr. Pierluigi Perri

Il Privacy Officer: questo sconosciuto.

Titolo della presentazione

About me

•  Avvocato; •  Ricercatore universitario presso l’Università degli Studi di Milano; •  Professore aggregato di Informa=ca Giuridica Avanzata; •  DoAore di ricerca in Informa=ca Giuridica e DiriAo dell’informa=ca; •  Membro del comitato scien=fico di IISFA e AIPSI; •  Ecc. ecc. ecc. (per maggiori informazioni cercatemi su LinkedIn)


Agenda

•  Privacy Officer: definizione •  L’esperienza del Privacy Officer all’estero

•  La discussione in aAo in sede europea •  Gli ul=mi sviluppi

•  Raffronto con la norma=va nazionale in materia di privacy


Privacy Officer: definizione

•  Il Privacy Officer è quel professionista, interno o esterno a una determinata struAura, che ha il compito di sovrintendere a tuT i processi che riguardano il traAamento dei da= personali compiu= all’interno della stessa, intervenendo in piena indipendenza e autonomia qualora individui problemi che potrebbero comportare un traAamento dei da= che presen= rischi di distruzione o perdita, anche accidentale, dei da= stessi, di accesso non autorizzato o di traAamento non consen=to o non conforme alle finalità della raccolta.


Pun@ rilevan@

•  Professionista -‐> perché si possa parlare di Privacy Officer bisogna far riferimento a figure professionali, al pari dell’amministratore di sistema.

•  Interno o esterno -‐> il Privacy Officer può essere sia un soggeAo interno sia un soggeAo esterno alla struAura.

•  Sovrintendere -‐> il Privacy Officer deve possedere competenze trasversali ai vari campi del sapere interessa= dalle norme sulla privacy, prime fra tuAe il diriAo e l’informa=ca.

•  Intervenendo in piena indipendenza e autonomia -‐> il Privacy Officer non può essere solo un “parafulmine” ma deve avere sia autonomia di azione sia, in certa misura, patrimoniale.


Differen@ acronimi per indicare il Privacy Officer

•  A seconda del contesto di riferimento potremo dis=nguere:

–  DPO (Data Protec=on Officer)

–  CPO (Chief Privacy Officer)

–  PO (Privacy Officer)

–  [ITA] Responsabile della protezione dei da=


Applicazioni già esisten@ del Privacy Officer: USA

•  Negli USA, alcuni tes= di legge prevedono espressamente l’indicazione di un Privacy Officer.

•  Il testo cardine in tal senso è l’HIPAA (Health Insurance Portability and Accountability Act).

•  Il ruolo del Privacy Officer ex HIPAA, quindi, è streAamente legato al traAamento delle PHI (Protected Health Informa=on).


Applicazioni già esisten@ del Privacy Officer: Germania

•  Primo Paese europeo nel quale si is=tuisce la figura del Privacy Officer.

•  Il BDSG richiede la cos=tuzione di un Privacy Officer in caso la struAura presen= dieci o più dipenden= che si occupano di traAamento automa=zzato di da= personali.

•  In caso di traAamento non automa=zzato, la struAura dovrà presentare ven= o più dipenden= dedi= al traAamento di da= personali.

•  In caso non venga nominata tale figura, la sanzione può essere fino a 50.000 euro per ogni singolo manager che abbia omesso di nominarlo.

•  Deve svolgere i propri compi= con indipendenza e autonomia.

•  Deve potersi aggiornare a spese del datore di lavoro.


Uno speIro si aggira per l’Europa?

•  Il 25 gennaio 2012 è stata depositata, da parte della Commissione Europea, la bozza del nuovo Regolamento per il traAamento dei da= personali che avrà immediata efficacia all’interno dei Paesi UE.

•  Questo Regolamento è aAualmente in discussione.

•  Andrà a sos=tuire la DireTva 95/46/CE.


Regolamento vs. DireNva

•  Regolamento -‐> è un aAo legisla=vo vincolante. Deve essere applicato in tuT i suoi elemen= nell'intera Unione europea (es. il DOP).

•  DireNva -‐> è un aAo legisla=vo che stabilisce un obieTvo che tuT i paesi dell'UE devono realizzare. Ciascuno Stato membro può però decidere come procedere.


Il Data Protec@on Officer (DPO) nella bozza di Regolamento

•  L’ar=colo 35 della bozza di Regolamento introduce la figura obbligatoria del responsabile della protezione dei da= per il seAore pubblico e, nel seAore privato, per le grandi imprese o allorquando le aTvità principali del responsabile del traAamento e dell’incaricato del traAamento consistono in traAamen= che richiedono il controllo regolare e sistema=co degli interessa=.

•  L’ar=colo 36 precisa la posizione del responsabile della protezione dei da=.

•  L’ar=colo 37 stabilisce i principali compi= del responsabile della protezione dei da=.


Quando designarlo?

•  Il responsabile del tra/amento e l’incaricato del tra/amento designano sistema4camente un responsabile della protezione dei da4 quando: –  a) il tra/amento è effe/uato da un’autorità pubblica o da un organismo

pubblico, oppure –  b) il tra/amento è effe/uato da un’impresa con 250 o più dipenden4, oppure –  c) le aBvità principali del responsabile del tra/amento o dell’incaricato del

tra/amento consistono in tra/amen4 che, per la loro natura, il loro ogge/o o le loro finalità, richiedono il controllo regolare e sistema4co degli interessa4.


Definizioni

•  (5) “responsabile del tra/amento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del tra/amento di da4 personali; quando le finalità, le condizioni e i mezzi del tra/amento sono determina4 dal diri/o dell’Unione o dal diri/o di uno Stato membro, il responsabile del tra/amento o i criteri specifici applicabili alla sua nomina possono essere designa4 dal diri/o dell’Unione o dal diri/o dello Stato membro;

•  (6) “incaricato del tra/amento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora da4 personali per conto del responsabile del tra/amento;


Definizioni ex D.Lgs. 196/03

•  f) "4tolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro 4tolare, le decisioni in ordine alle finalità, alle modalità del tra/amento di da4 personali e agli strumen4 u4lizza4, ivi compreso il profilo della sicurezza;

•  g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo prepos4 dal 4tolare al tra/amento di da4 personali;

•  h) "incarica4", le persone fisiche autorizzate a compiere operazioni di tra/amento dal 4tolare o dal responsabile;


Per quanto tempo?

•  Il responsabile del tra/amento o l’incaricato del tra/amento designa un responsabile della protezione dei da4 per un periodo di almeno due anni. Il mandato del responsabile della protezione dei da4 è rinnovabile. Durante il mandato può essere des4tuito solo se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.


Breaking news!

•  La parte rela=va ai criteri quan=ta=vi è stata oggeAo di modifiche il 21 oAobre u.s. ad opera del Civil Liber=es, Jus=ce and Home Affairs CommiAee.

•  In par=colare, si è modificata la parte rela=va alla designazione del DPO, che adesso dovrà essere designato se l’azienda o la PA traAano da= rela=vi a 5000 interessa= o più all’anno o se la loro aTvità principale consiste nel traAamento di da= sensibili o nella monitorizzazione sistema=ca (?) delle persone.

•  Il DPO potrà svolgere i propri compi= per la durata di quaAro anni se interno alla struAura o di due anni se esterno ad essa.

•  Il DPO deve rives=re una posizione che gli consenta di svolgere i propri compi= con la necessaria indipendenza e di avere una protezione speciale (?) contro il licenziamento.


Gruppi di imprese ed en@ pubblici

•  Si può designare un unico Responsabile della protezione dei da= sia per le imprese facen= capo ad un unico gruppo sia per più en= pubblici tenuto conto della stru/ura organizza4va dell’autorità pubblica o dell’organismo pubblico.


CaraIeris@che del Responsabile della protezione dei da@

•  Il responsabile del tra/amento o l’incaricato del tra/amento designa il responsabile della protezione dei da4 in funzione delle qualità professionali, in par4colare della conoscenza specialis4ca della norma4va e delle pra4che in materia di protezione dei da4, e della capacità di adempiere ai compi4 di cui all’ar4colo 37. Il livello necessario di conoscenza specialis4ca è determinato in par4colare in base al tra/amento di da4 effe/uato e alla protezione richiesta per i da4 personali tra/a4 dal responsabile del tra/amento o dall’incaricato del tra/amento.


Chi ci ricorda?

•  Art. 29 D.Lgs. 196/03 •  2. Se designato, il responsabile è individuato tra soggeB che per esperienza, capacità ed

affidabilità forniscano idonea garanzia del pieno rispe/o delle vigen4 disposizioni in materia di tra/amento, ivi compreso il profilo rela4vo alla sicurezza.

•  4.1 Valutazione delle caraAeris=che soggeTve dell’Amministratore di Sistema •  L'a/ribuzione delle funzioni di amministratore di sistema deve avvenire previa

valutazione dell'esperienza, della capacità e dell'affidabilità del sogge/o designato, il quale deve fornire idonea garanzia del pieno rispe/o delle vigen4 disposizioni in materia di tra/amento ivi compreso il profilo rela4vo alla sicurezza.

•  Anche quando le funzioni di amministratore di sistema o assimilate sono a/ribuite solo nel quadro di una designazione quale incaricato del tra/amento ai sensi dell'art. 30 del Codice, il 4tolare e il responsabile devono a/enersi comunque a criteri di valutazione equipollen4 a quelli richies4 per la designazione dei responsabili ai sensi dell'art. 29.


Pun@ sui quali il DPO dovrà prestare idonea garanzia

•  Provvedimen= del Garante

•  Norma=ve di seAore

•  Regolamen= di seAore

•  Adempimen= documentali

•  TraAamen= di da= sensibili

•  Marke=ng

•  TraAamen= di da= dei lavoratori

•  Best prac=ce in materia di privacy

•  Cer=ficazioni aziendali (ISO 9001 ad es.)

•  Altre norma=ve che investono l’aTvità aziendale nella sua interezza (D.Lgs. 231/01 ad es.)


Incompa@bilità

•  Il responsabile del tra/amento o l’incaricato del tra/amento si assicura che ogni altra funzione professionale del responsabile della protezione dei da4 sia compa4bile con i compi4 e le funzioni dello stesso in qualità di responsabile della protezione dei da4 e non dia adito a confli/o di interessi.

•  Ergo, non è compa=bile ad esempio con una figura apicale che svolga già altre mansioni ineren= il traAamento dei da=.


Esterno o interno?

•  Il responsabile della protezione dei da4 può essere assunto dal responsabile del tra/amento o dall’incaricato del tra/amento oppure adempiere ai suoi compi4 in base a un contra/o di servizi.


Pubblicità e riscontro agli interessa@

•  Il responsabile del tra/amento o l’incaricato del tra/amento comunica il nome e le coordinate di conta/o del responsabile della protezione dei da4 all’autorità di controllo (aka il Garante) e al pubblico.

•  Gli interessa4 hanno il diri/o di conta/are il responsabile della protezione dei da4 per tu/e le ques4oni rela4ve al tra/amento dei loro da4 personali e presentare richieste per esercitare i diriB riconosciu4 dal presente regolamento.


Coinvolgimento

•  Il responsabile del tra/amento o l’incaricato del tra/amento si assicura che il responsabile della protezione dei da4 sia prontamente e adeguatamente coinvolto in tu/e le ques4oni riguardan4 la protezione dei da4 personali.


Indipendenza e autonomia

•  Il responsabile del tra/amento o l’incaricato del tra/amento si assicura che il responsabile della protezione dei da4 adempia alle funzioni e ai compi4 in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei da4 riferisce dire/amente ai superiori gerarchici del responsabile del tra/amento o dell’incaricato del tra/amento.

•  Problemi: –  non riceve alcuna istruzione? –  esistono superiori gerarchici al =tolare del traAamento?


Risorse

•  Il responsabile del tra/amento o l’incaricato del tra/amento sos4ene il responsabile della protezione dei da4 nell’esecuzione dei suoi compi4 e gli fornisce personale, locali, a/rezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compi4 di cui all’ar4colo 37.

•  Problemi: –  difficoltà applica=ve nella P.A.? –  ulteriori cos= per le imprese?


Compi@ “minimi” del Responsabile della protezione dei da@

•  Il Responsabile della protezione dei da= deve almeno: –  informare e consigliare il responsabile del traAamento o l’incaricato del

traAamento in merito agli obblighi derivan= dal […] regolamento e conservare la documentazione rela=va a tale aTvità e alle risposte ricevute;

–  sorvegliare l’aAuazione e l’applicazione delle poli=che del responsabile del traAamento o dell’incaricato del traAamento in materia di protezione dei da= personali, compresi l’aAribuzione delle responsabilità, la formazione del personale che partecipa ai traAamen= e gli audit connessi;

–  sorvegliare l’aAuazione e l’applicazione del […] regolamento, con par=colare riguardo ai requisi= concernen= la protezione fin dalla progeAazione, la protezione di default, la sicurezza dei da=, l’informazione dell’interessato e le richieste degli interessa= di esercitare i diriT riconosciu= dal […] regolamento;


Compi@ “minimi” del Responsabile della protezione dei da@ /2

–  garan=re la conservazione della documentazione di cui all’ar=colo 28;

–  controllare che le violazioni dei da= personali siano documentate, no=ficate e comunicate ai sensi degli ar=coli 31 e 32;

–  controllare che il responsabile del traAamento o l’incaricato del traAamento effeAui la valutazione d’impaAo sulla protezione dei da= e richieda l’autorizzazione preven=va o la consultazione preven=va nei casi previs= dagli ar=coli 33 e 34;

–  controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria inizia=va o su sua richiesta;

–  fungere da punto di contaAo per l’autorità di controllo per ques=oni connesse al traAamento e, se del caso, consultare l’autorità di controllo di propria inizia=va.


Documentazione di cui all’art. 28?

•  Ogni responsabile del tra/amento, incaricato del tra/amento ed eventuale rappresentante del responsabile del tra/amento conserva la documentazione di tuB i tra/amen4 effe/ua4 so/o la propria responsabilità.

•  2. La documentazione con4ene almeno le seguen4 informazioni: –  a) nome e coordinate di conta/o del responsabile del tra/amento, o di ogni corresponsabile

del tra/amento o incaricato del tra/amento, e dell’eventuale rappresentante del responsabile del tra/amento;

–  b) nome e coordinate di conta/o dell’eventuale responsabile della protezione dei da4; –  c) finalità del tra/amento, compresi i legiBmi interessi persegui4 dal responsabile del

tra/amento qualora il tra/amento si basi sull’ar4colo 6, paragrafo 1, le/era f); –  d) descrizione delle categorie di interessa4 e delle per4nen4 categorie di da4 personali; –  e) indicazione dei des4natari o delle categorie di des4natari dei da4 personali, compresi i

responsabili del tra/amento cui sono comunica4 i da4 personali ai fini del perseguimento dei loro legiBmi interessi;

–  f) se del caso, indicazione dei trasferimen4 di da4 verso un paese terzo o un’organizzazione internazionale, compresa l’iden4ficazione del paese terzo o dell’organizzazione internazionale e, per i trasferimen4 di cui all’ar4colo 44, paragrafo 1, le/era h), la documentazione delle garanzie adeguate;

–  g) indicazione generale dei termini ul4mi per cancellare le diverse categorie di da4; –  h) descrizione dei meccanismi di cui all’ar4colo 22, paragrafo 3 [verifica dell’efficacia delle

misure adoAate a tutela dei da= personali] .


In principio fu il DPS

•  19.1. l'elenco dei traAamen= di da= personali; •  19.2. la distribuzione dei compi= e delle responsabilità nell'ambito delle struAure preposte al traAamento

dei da=; •  19.3. l'analisi dei rischi che incombono sui da=; •  19.4. le misure da adoAare per garan=re l'integrità e la disponibilità dei da=, nonchè la protezione delle

aree e dei locali, rilevan= ai fini della loro custodia e accessibilità; •  19.5. la descrizione dei criteri e delle modalità per il ripris=no della disponibilità dei da= in seguito a

distruzione o danneggiamento di cui al successivo punto 23; •  19.6. la previsione di interven= forma=vi degli incarica= del traAamento, per renderli edoT dei rischi che

incombono sui da=, delle misure disponibili per prevenire even= dannosi, dei profili della disciplina sulla protezione dei da= personali più rilevan= in rapporto alle rela=ve aTvità, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adoAate dal =tolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamen= di mansioni, o di introduzione di nuovi significa=vi strumen=, rilevan= rispeAo al traAamento di da= personali;

•  19.7. la descrizione dei criteri da adoAare per garan=re l'adozione delle misure minime di sicurezza in caso di traAamen= di da= personali affida=, in conformità al codice, all'esterno della struAura del =tolare;

•  19.8. per i da= personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adoAare per la cifratura o per la separazione di tali da= dagli altri da= personali dell'interessato.


Quindi…

•  Prima facie, il Regolamento imporrebbe nuovamente un obbligo documentale che comprenderebbe e amplierebbe quello che era il DPS.


Sanzioni

•  La bozza di Regolamento prevede una sanzione, da irrogarsi da parte del Garante, fino a 1 000 000 EUR o, per le imprese, fino al 2% del fa/urato mondiale annuo, a chiunque, con dolo o colpa […] non designa un responsabile della protezione dei da4 o non garan4sce le condizioni per l’adempimento dei compi4 del responsabile della protezione dei da4, in violazione degli ar4coli 35, 36 e 37.


Grazie per l’aIenzione!

Avv. Prof. Aggr. Pierluigi Perri

e-‐mail(s): pierluigi.perri_at_unimi.it pierluigi.perri_at_mpslaw.it

Documents

Smau milano 2013 pierluigi perri