Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
PCT: deposito di documenti non digitalizzabili e di formati di file non ammessi
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguamento al GDPR
1. Protezione e circolazione dei dati (anche
personali): opportunità e criticità, verso
l’adeguamento al Regolamento UE 2016/679
(GDPR)
Avv. Pietro Calorio
Politecnico di Torino, 15 gennaio 2018
2. Il comune sentire
oscilla tra questo
e questo...
Vignetta di Dino Aloi nell’opuscolo
“Privacy: primi passi” di Ethos Academy Editore
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 2 di 32Avv. Pietro Calorio
Via, parliamo di privacy!
3. Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 3 di 32Avv. Pietro Calorio
In realtà, in fondo,
parliamo di SAGGEZZA
DIKW
pyramid
4. Dato (nel linguaggio corrente):
“descrizione elementare, spesso codifcata, di un'entità, di un
fenomeno, di una transazione, di un avvenimento o di altro.
L'elaborazione dei dati può portare alla conoscenza di un’
Informazione
“l'insieme di dati, correlati tra loro, con cui un'idea
(o un fatto) prende forma ed è comunicata”
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 4 di 32Avv. Pietro Calorio
5. Elaborazione di dati
(data processing)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 5 di 32Avv. Pietro Calorio
DATA /
Viene data “forma” a un elemento
6. Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 6 di 32Avv. Pietro Calorio
Data processing →
Information
Information
processing →
Knowlegde
Knowledge
processing →
Wisdom
7. Il signifcato giuridico di (data) Processing (Trattamento)
(art. 4, comma 1 lett. a) d. lgs. 196/2003 - Codice Privacy)
“qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modifcazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di
dati, anche non registrati in una banca di dati”
= ogni “evento di contatto” con i dati
(ben oltre la “mera” elaborazione,
per come la intenderebbe il data scientist)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 7 di 32Avv. Pietro Calorio
8. “Processing” secondo il GDPR
(art. 4, sottoparagrafo 1, n. 2, Regolamento UE 2016/679)
“qualsiasi operazione o insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati personali o insiemi
di dati personali, come la raccolta, la registrazione, l’organizzazione, la
strutturazione, la conservazione, l’adattamento o la modifca,
l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione,
il raffronto o l’interconnessione,
la limitazione, la cancellazione o la distruzione”
La parola “elaborazione” sparisce:
È conferma della maggiore ampiezza della nozione giuridica
→ queste norme sono volte alla TUTELA della PERSONA
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 8 di 32Avv. Pietro Calorio
9. “Identikit” del GDPR
(Regolamento UE 2016/679)
● “General Data Protection Regulation”
● Direttamente applicabile a tutti i Paesi UE
● Aggiorna e abroga la “Direttiva Madre” (95/46), ormai superata
● In vigore dal maggio 2016, applicabile dal 25 maggio 2018
● Risultato di 4 anni di dibattito
● Si applica in maniera ubiquitaria (sia ai soggetti stabiliti in UE
sia ai trattamenti di dati di persone fsiche che si trovano in UE)
● Pensato (anche) per proteggere dai grandi collettori di dati
● E’ la prima parte del “pacchetto” di norme UE sui dati
(seguiranno quelle sul “free fow” - libera circolazione dei dati non
personali)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 9 di 32Avv. Pietro Calorio
10. Attuale situazione normativa in Italia
● Il D. Lgs. 196/2003 (Codice Privacy) è tuttora in vigore
● Alcuni provvedimenti generali del Garante decadono il 25/5/2018
● Delega al Governo ad adeguare il Codice (art. 13 L. 25/10/2017 n. 163)
● Alcuni interventi (anche discutibili) sono già stati attuati
● Le autorità di controllo europee e nazionali emanano linee
guida, vademecum e pareri che forniscono sovente spunti
importanti
● Il quadro è in continua e tumultuosa evoluzione
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 10 di 32Avv. Pietro Calorio
11. GDPR - a cosa si applica (1 di 2)
Dato Personale
“qualsiasi informazione riguardante una persona fsica
identifcata o identifcabile («interessato»); si considera
identifcabile la persona fsica che può essere identifcata,
direttamente o indirettamente, con particolare riferimento a
un identifcativo come il nome, un numero di identifcazione,
dati relativi all’ubicazione, un identifcativo online o a uno o più
elementi caratteristici della sua identità fsica, fsiologica,
genetica, psichica, economica, culturale o sociale”
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 11 di 32Avv. Pietro Calorio
12. GDPR - a cosa si applica (2 di 2)
Dati Particolari
➔ genetici
➔ biometrici
➔ relativi alla salute
➔ relativi alle condanne penali e ai reati o a connesse misure di sicurezza
●Il Codice Privacy parlava di “dati sensibili”
Non esiste una lista, ma solo dei criteri
Cos’è dunque dato personale?
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 12 di 32Avv. Pietro Calorio
13. GDPR - a chi si applica
1) Controller (Titolare): decide mezzi e fnalità del trattamento
2) Processor (Responsabile): tratta dati per conto del Controller
3) Authorised (“Incaricato”): persona fsica dipendente da 1 o 2
4) Data Subject (Interessato): persona fsica a cui si riferiscono i dati
5) Recipient (Destinatario): chi riceve comunicazione di dati
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 13 di 32Avv. Pietro Calorio
14. Chi tratta dati personali deve
● farlo per fnalità legittime, esplicite e preventivamente defnite
● applicare principi (minimizzazione, limitazione, cancellazione (“oblio”), privacy by
design, privacy by default) e tecniche (pseudonimizzazione, cifratura)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 14 di 32Avv. Pietro Calorio
15. Adempimenti a carico
di Controller e Processor
(1 di 2)
● Informativa agli Interessati (elementi nuovi)
● Ottenimento del consenso (ove necessario)
● Attuazione misure tecniche e organizzative “adeguate”
● Misure di sicurezza e Valutazione dei rischi
● Dimostrazione/rendicontazione di quanto attuato (prin-
cipio dell’accountability)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 15 di 32Avv. Pietro Calorio
16. Adempimenti a carico
di Controller e Processor
(2 di 2)
● Valutazione di impatto privacy (DPIA)
● Notifca delle violazioni di dati (data breach notifcation)
● Registro dei Trattamenti (con qualche eccezione)
● Nomina di un Data Protection Offcer (con qualche eccezione)
● Riesame e aggiornamento delle misure ove necessario
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 16 di 32Avv. Pietro Calorio
17. Il Data Subject ha diritto di
● ricevere l’informativa
● accedere ai dati
● chiederne rettifca e cancellazione (“oblio”)
● opporsi al trattamento o chiederne la limitazione
● richiedere la portabilità dei dati
● proporre reclamo ad un’Autorità di Controllo
● dare mandato a organizzazioni per la tutela dei
propri diritti (art. 80 - class action)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 17 di 32Avv. Pietro Calorio
18. Altri principi, istituti e soggetti rilevanti
● Trasferimenti di dati extra UE (condizioni di ammissibilità)
● Codici di Condotta
● Certifcazione di Trattamenti, Sigilli e Marchi (organismi preposti)
● Associazioni e organismi rappresentativi di Controller e Processor
● Spazi al legislatore nazionale su temi specifci (attività
giornalistica, rapporti di lavoro, archivistica, statistica, ricerca
scientifca e storica)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 18 di 32Avv. Pietro Calorio
19. Responsabilità
● Il Controller che deve provare di non aver alcune
responsabilità (= di avere attuato le misure adeguate)
● Il Processor risponde solo se non ha rispettato il
regolamento o ha operato senza osservare le legittime
istruzioni del Controller
● Il Data Subject danneggiato può rivolgersi all’uno o
all’altro, che sono responsabili in solido (con possibilità di
regresso interno)
→ fondamentali gli accordi di trattamento dati
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 19 di 32Avv. Pietro Calorio
20. Sanzioni
● Amministrative pecuniarie: due fasce
➔ Fascia bassa: fno a €10M e 2% fatturato annuo globale
➔ Fascia alta: fno a €20M e 4% fatturato annuo globale
➔ Cumulo giuridico in caso di più violazioni (art. 83.3)
➔ Criteri per graduare la sanzione
➔ Non sono previste soglie minime
● Penali (decide lo Stato Membro)
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 20 di 32Avv. Pietro Calorio
21. Cosa va fatto?
● Mappatura dei dati personali e dei trattamenti
● Mappatura dei fornitori / servizi che trattano dati
● Analisi dei rischi (quello privacy è operativo,
normativo e reputazionale allo stesso tempo)
● Creazione, implementazione e aggiornamento di un
Sistema di Gestione della Privacy
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 21 di 32Avv. Pietro Calorio
22. Cosa è utile fare?
● Analisi delle lacune, attuali e in prospettiva GDPR
● Stabilire priorità negli interventi (forse non è tutto urgente)
● Se del caso, investimenti (sicurezza e formazione)
● A valle, valutare coperture assicurative sui rischi informatici
● Cercare di utilizzare l’adeguamento al GDPR come
un’opportunità, abituandosi ad “indossare gli occhiali della
sicurezza e della privacy”
● Non temere le sanzioni, ma essere consapevoli dei problemi
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 22 di 32Avv. Pietro Calorio
23. Opportunità
● Vantaggi competitivi (da adesione a certifcazioni)
● Miglioramento dei processi e riduzione di costi
● Snidare ineffcienze e intuire possibilità
● Tutela della reputazione e del know-how
● Valorizzare il patrimonio informativo aziendale
● Conseguenze derivanti da un quadro regolatorio
più stabile e di respiro internazionale
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 23 di 32Avv. Pietro Calorio
24. Ma mi interessa tutto ciò
se non tratto dati personali?
Se ho soltanto, insomma, informazioni
● NON relative a persone fsiche
● relative a persone fsiche NON identifcabili (dati
anonimi)
?
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 24 di 32Avv. Pietro Calorio
25. I dati più importanti per un’impresa,
spesso, NON sono dati personali
● Brevetti, progetti, invenzioni industriali
● Informazioni riservate di vario genere
Un NDA può bastare
(approccio giuridico)?
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 25 di 32Avv. Pietro Calorio
26. Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 26 di 32Avv. Pietro Calorio
E’ problema solo tecnico? NEMMENO
27. Occorre promuovere la
CULTURA del DATO nell’impresa
dal punto di vista tecnico (certamente),
ma a monte attenzione massima ai fattori
UMANI → formazione, istruzione, consapevolezza, motivazione
GIURIDICI → contratti, policy e procedure
Le medesime misure (tecniche e organizzative)
proteggono tanto i dati personali
quanto le informazioni riservate
Necessaria la cooperazione tra funzioni aziendali
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 27 di 32Avv. Pietro Calorio
28. ✔PASSWORD (computer, apparati di rete, wi-f, smartphone):
aggiornamento, custodia adeguata, salvataggio informatico (non
su agende o fogliacci, ci sono software appositi – es. KeePass)!
✔BACKUP, DISASTER RECOVERY, BUSINESS CONTINUITY:
TRAGICO considerarle solo quando si perdono i dati!!! →
http://messaggeroveneto.gelocal.it/udine/cronaca/2016/10/14/news/rubati-i-computer-ditta-in-ginocchio-
1.14249804
✔SERVIZI CLOUD: risolve problemi di backup ma occhio a
come trattano i dati, occorre saper leggere le CDS
(collocazione geografca dei server; tempi di intervento in caso di guasti;
uso crittografa)
✔Ma la sicurezza è anche FISICA (attenzione alla carta e alle
persone, non necessariamente solo i dipendenti!)
"No Privacy without Security”
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 28 di 32Avv. Pietro Calorio
29. Backup: una defnizione
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 29 di 32Avv. Pietro Calorio
Grazie a Simone Aliprandi
30. Backup: non il modo migliore
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 30 di 32Avv. Pietro Calorio
31. Anno del Signore 2015
e-mail da uno studio legale:
“purtroppo ieri sera sono stati
rubati i computer sia dell’avv. X
che dell’avv. Y: chiediamo pertanto
a tutti di rimandare le mail
dell’anno 2015, compresa, se
possibile, l’eventuale risposta.
Grazie della collaborazione.”
“Non fatelo a casa!”
Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 31 di 32Avv. Pietro Calorio
32. Presentazione preparata da Pietro Calorio
Avvocato – Consulente Privacy
(Certifcato TÜV Italia n° Reg. CDP_3341 - schema sviluppato in accordo alla ISO/IEC 17024:2012)
http://it.linkedin.com/in/pietrocalorio/
@PietroCalorio
Rilasciata con licenza Creative Commons (http://www.creativecommons.org)
Attribuzione - Non commerciale - Condividi allo stesso modo 4.0 Internazionale
(CC BY-NC-SA 4.0)
GRAZIE PER L’ATTENZIONE