Upload
andrea-maggipinto-1k
View
294
Download
0
Embed Size (px)
DESCRIPTION
Seminario del 24 Ottobre 2013 tenuto dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2013
Citation preview
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Avv. Andrea Maggipinto www.maggipinto.org
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Italia) l’approccio alla Privacy 24 O%obre 2013 – Seminario CSIG Centro Studi Informa0ca Giuridica di Milano
1
Ing. Igor Serraino www.serraino.it
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Agenda
v Scenario v Una nuova Norma;va Privacy
v “Privacy by Design”
v Data Protec;on Officer
v Security e Privacy Impact Analysis
2
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Scenario aBuale DireCva “Madre” 95/46/CE Legge 675/96 Decisione Quadro 2008/977/GAI
DireQva 97/66/CE
DireCva 2002/58/CE (e s.m.i.)
D.Lgs. 196/2003 (e s.m.i.)
3
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Perché un intervento a livello europeo? “Ogni persona ha diri:o alla protezione dei da0 di cara:ere personale che la riguardano” Ø Art. 8 della “Carta dei diriQ fondamentali dell’Unione europea” Ø Art. 16 del TFUE -‐ Tra%ato sul Funzionamento dell’Unione Europea
“Ogni persona ha diri:o al rispe:o della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza” Ø Art. 8 Convenzione Europea dei DiriQ dell’Uomo
Evoluzione tecnologica Social Networking, Web 2.0, Cloud, (e dei “costumi”) Pubblicità comportamentale, next?
4
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
ABeggiamenU nei confronU della protezione dei daU § Il 58 % degli europei ri;ene che non si possa fare altro che rivelare informazioni personali se si vogliono o%enere prodoQ o servizi. § Il 79 % degli uten; di si; di condivisione e di re; sociali è incline a rivelare il proprio nome, il 51 % la propria fotografia e il 47 % la propria nazionalità. Chi fa acquis; online di norma fornisce il proprio nome (90 %), il proprio indirizzo (89 %) e il numero di telefono cellulare (46 %). § Soltanto un terzo degli europei sa che esiste un’autorità pubblica nazionale responsabile della protezione dei da; personali (33 %). § Poco più di un quarto dei frequentatori di re; sociali (26 %) e ancora meno acquiren; online (18 %) pensano di avere pieno controllo dei propri da; personali.
[Speciale Eurobarometro 359, giugno 2011]
5
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
“Is There a Dark Lining in the Cloud?”
Viviane Reding, Vice-‐President of the European Commission:
“Consumers who store data in the cloud risk losing control over their photos, contacts and e-‐mails. Data is whirling around the world …”
“The EU's data protec5on rules have stood the test of 0me, but now they need to be modernized to reflect the new technological landscape”
[Wall Street Journal, 25.01.2011]
6
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
ObieCvi
Armonizzare l’a%uale quadro norma;vo (troppo frammentato) Ø sviluppo del mercato unico Ø a%uare poli;che comuni Ø diminuire incertezza giuridica Ø limitare i rischi In pra;ca: Ø favorire la circolazione e i flussi di da; e informazioni Ø la raccolta e la condivisione transfrontaliera dei da; Ø incrementare la fiducia dei ci%adini europei nei Servizi della Società dell’informazione 7
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
StarUng the “Privacy EvoluUon” Comunicazione Commissione EU, “Un approccio globale alla protezione dei da5 personali nell'unione europea”, 4.11.2010 COM(2010) 609 Comunicazione della Commissione EU, “Salvaguardare la privacy in un mondo interconnesso -‐ Un quadro europeo della protezione dei da5 per il XXI secolo”, 25.1.2012 COM(2012) 9 final
Ø Necessità di un nuovo quadro giuridico per la protezione dei da0 personali nell’Unione Europea
q Regolamento Europeo del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al tra%amento dei da; personali e la libera circolazione di tali da; (regolamento generale sulla protezione dei daU) q DireQva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al tra%amento dei da; personali da parte delle autorità competen; a fini di prevenzione, indagine, accertamento e perseguimento di rea0 o esecuzione di sanzioni penali, e la libera circolazione di tali da;
8
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Perché un “Regolamento”?
ArUcolo 16 TFUE 1. Ogni persona ha diri%o alla protezione dei da; di cara%ere personale che la riguardano. 2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legisla;va ordinaria, stabiliscono le norme relaUve alla protezione delle persone fisiche con riguardo al traBamento dei daU di caraBere personale da parte delle is;tuzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Sta; membri nell'esercizio di aQvità che rientrano nel campo di applicazione del diri%o dell'Unione, e le norme relaUve alla libera circolazione di tali daU. Il rispe%o di tali norme è sogge%o al controllo di autorità indipenden;.
Regolamento, strumento idoneo applicabilità dire%a
9
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Verso una nuova disciplina
“Regolamento generale sulla protezione dei daU” COM(2012) 11 final, Bruxelles, 25.1.2012 -‐ Proposta di “REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al tra%amento dei da; personali e la libera circolazione di tali da;” Ø oltre 160 risposte alla pubblica consultazione
10
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Disposizioni Generali
ArUcolo 1 -‐ OggeBo e finalità 1. Il presente regolamento stabilisce norme rela;ve alla protezione delle persone fisiche con riguardo al tra%amento dei da; di cara%ere personale e norme rela;ve alla libera circolazione di tali da;. 2. Il presente regolamento tutela i diriQ e le libertà fondamentali delle persone fisiche, in par;colare il diri:o alla protezione dei da0 personali. 3. La libera circolazione dei da5 personali nell’Unione non può essere limitata né vietata per moUvi aCnenU alla tutela delle persone fisiche con riguardo al traBamento dei daU personali.
11
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Disposizioni Generali ArUcolo 2 -‐ Campo di applicazione materiale 1. Il presente regolamento si applica al tra%amento interamente o parzialmente automaUzzato di da; personali e al tra%amento non automaUzzato di da; personali contenu; in un archivio o des;na; a figurarvi. 2. Le disposizioni del presente regolamento non si applicano ai tra%amen; di da; personali: […] d) effe%ua; da una persona fisica senza finalità di lucro per l’esercizio di aQvità esclusivamente personali o domes;che; 3. Il presente regolamento lascia impregiudicata l’applicazione della direCva 2000/31/CE, in par;colare le norme rela;ve alla responsabilità dei prestatori intermediari di servizi di cui ai suoi ar;coli da 12 a 15.
12
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Disposizioni Generali ArUcolo 3 -‐ Campo di applicazione territoriale 1. Il presente regolamento si applica al tra%amento dei da; personali effe%uato nell’ambito delle aQvità di uno stabilimento di un responsabile del tra%amento o di un incaricato del tra%amento nell’Unione. 2. Il presente regolamento si applica al traBamento dei daU personali di residenU nell’Unione effeBuato da un responsabile del traDamento che non è stabilito nell’Unione, quando le aQvità di tra%amento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddeQ residen; nell’Unione, oppure b) il controllo del loro comportamento.
13
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Disposizioni Generali ArUcolo 4 -‐ Definizioni Ai fini del presente regolamento s’intende per: […] “interessato”: la persona fisica iden;ficata o iden;ficabile, dire%amente o indire%amente, con mezzi che il responsabile del tra%amento o altra persona fisica o giuridica ragionevolmente può u;lizzare, con par;colare riferimento a un numero di iden;ficazione, a da; rela;vi all’ubicazione, a un iden;fica;vo on line o a uno o più elemen; cara%eris;ci della sua iden;tà gene;ca, fisica, fisiologica, psichica, economica, culturale o sociale; “responsabile del traBamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del tra%amento di da; personali; […]
14
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Disposizioni Generali [con0nua art. 4] “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato acce%a, mediante dichiarazione o azione posi5va inequivocabile, che i da; personali che lo riguardano siano ogge%o di tra%amento “violazione dei daU personali”: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai da; personali trasmessi, memorizza; o comunque elabora; “norme vincolanU d’impresa”: le poli5che in materia di protezione dei da; personali applicate da un responsabile del tra%amento o incaricato del tra%amento stabilito nel territorio di uno Stato membro dell’Unione al trasferimento o al complesso di trasferimen; di da; personali a un responsabile del tra%amento o incaricato del tra%amento in uno o più paesi terzi, nell’ambito di un gruppo di imprese
15
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Principi ArUcolo 5 -‐ Principi applicabili al traBamento di daU personali I da; personali devono essere: a) tra%a; in modo lecito, equo e trasparente nei confron; dell’interessato; b) raccol; per finalità determinate, esplicite e legiWme, e successivamente tra%a; in modo non incompa;bile con tali finalità; c) adegua;, per;nen; e limita5 al minimo necessario rispe%o alle finalità perseguite; i da0 possono essere tra:a0 solo se e nella misura in cui le finalità non conseguibili a:raverso il tra:amento di informazioni che non contengono da0 personali; d) esaQ e aggiorna; […] e) Conserva; … per un arco di tempo non superiore al conseguimento delle finalità per le quali sono tra%a;; […] f) tra%a; soDo la responsabilità del responsabile del traDamento, che assicura e comprova, per ciascuna operazione, la conformità alle disposizioni del presente regolamento.
16
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
DiriC dell’interessato ArUcolo 11 -‐ Informazioni e comunicazioni trasparenU 1. Il responsabile del tra%amento applica poli5che trasparen5 e facilmente accessibili con riguardo al tra%amento dei da; personali e ai fini dell’esercizio dei diriQ dell’interessato. 2. Il responsabile del tra%amento fornisce all’interessato tuDe le informazioni e le comunicazioni rela5ve al traDamento dei da; personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in par;colare se le informazioni sono des;nate ai minori.
17
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Il Responsabile e l’Incaricato del TraBamento ArUcolo 22 -‐ Responsabilità del responsabile del traBamento 1. Il responsabile del tra%amento adoDa poli5che e aDua misure adeguate per garan5re ed essere in grado di dimostrare che il traDamento dei da5 personali effeDuato è conforme al presente regolamento. 2. Le misure di cui al paragrafo 1 comprendono, in par;colare: (a) la conservazione della documentazione ai sensi dell’arUcolo 28; (b) l’a:uazione dei requisi0 di sicurezza dei da; di cui all’arUcolo 30; (c) l’esecuzione della valutazione d’impa:o sulla protezione dei da; ai sensi dell’arUcolo 33; (d) il rispe%o dei requisi; di autorizzazione preven0va o di consultazione preven0va dell’autorità di controllo ai sensi dell’arUcolo 34, paragrafi 1 e 2; (e) la designazione di un responsabile della protezione dei da0 ai sensi dell’arUcolo 35, paragrafo 1.
18
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Il Responsabile e l’Incaricato del TraBamento
[…] 3. Il responsabile del tra%amento me%e in a%o meccanismi per assicurare la verifica dell’efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effe%uata da revisori interni o esterni indipenden; (audi;ng). 4. Alla Commissione è conferito il potere di ado:are aW delega0 conformemente all’ar;colo 86 al fine di precisare i criteri e i requisi0 concernen0 le misure adeguate di cui al paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni riguardan0 i meccanismi di verifica e di audit di cui al paragrafo 3 e il criterio di proporzionalità di cui al paragrafo 3, e al fine di contemplare misure specifiche per le micro, piccole e medie imprese.
19
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
“Privacy by Design” e “Privacy by Default”
ArUcolo 23 -‐ Protezione fin dalla progeBazione e protezione di default 1. Al momento di determinare i mezzi del traDamento e all’aDo del traDamento stesso, il responsabile del tra%amento, tenuto conto dell’evoluzione tecnica e dei cos; di a%uazione, me%e in a%o adeguate misure e procedure tecniche e organizza0ve in modo tale che il tra:amento sia conforme al presente regolamento e assicuri la tutela dei diriQ dell’interessato. 2. Il responsabile del tra%amento me%e in a%o meccanismi per garan;re che siano tra%a;, di default, solo i da0 personali necessari per ciascuna finalità specifica del tra%amento e che, in par;colare, la quan0tà dei da0 raccol0 e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In par;colare deQ meccanismi garan;scono che, di default, non siano resi accessibili da; personali a un numero indefinito di persone.
20
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
What is Privacy by Design?
Una nuova concezione della privacy che si affianca al tradizionale approccio norma;vo (v. Risoluzione proposta dalla Commissioner dell'Ontario, Canada, alla Conferenza mondiale dei Garan; Privacy, Gerusalemme, 27-‐29 o%obre 2010)
Ø Building privacy into technologies, business processes, and networked infrastructures from the ground up. Ø Goal: to establish and achive highest possible standards of accountability, confidence, and trust in management of PII (Personally Iden;fiable Informa;on). Ø Beyond compliance.
21
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Una nuova Visione Linee di azione: Ø tecnologia Ø pra;che commerciali Ø proge%azione di stru%ure e infrastru%ure
Principi fondamentali: q a%eggiamento proaQvo e non reaQvo q privacy by default q privacy incorporata nell’archite%ura q massima funzionalità (win-‐win) q protezione per l’intero ciclo vitale delle informazioni q visibilità e trasparenza q centralità dell’utente (rispe%o della riservatezza)
22
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Questa la Privacy del Terzo Millennio -‐ Privacy by Design -‐ Accountability -‐ Minimizzazione dei da; -‐ Conservare documen; sul “modello organizza;vo e di sicurezza privacy” -‐ DiriBo all’oblio (salvo però specifici obblighi di legge, garanzie della libertà di espressione e con;nuità della ricerca storica) -‐ Diri%o dell’interessato alla "portabilità del dato" (es. trasferire i propri da; da un social network ad un altro) -‐ Maggiori poteri, anche sanzionatori, ai Garan; -‐ No;fica delle violazioni all’Autorità -‐ Data Protec;on Officer -‐ Introdo%o il requisito del “privacy impact assessment” (valutazione dell’impa%o-‐privacy) 23
Privacy by Design (Avv. Maggipinto – Ing. Serraino)
Ing. Igor Serraino www.serraino.it [email protected]
Avv. Andrea Maggipinto www.maggipinto.org
""!
To be continued..
it.linkedin.com/in/andreamaggipinto http://www.linkedin.com/pub/igor-serraino/14/27b/b3