Archivio mensile:novembre 2017

I CODICI DI CONDOTTA E LE CERTIFICAZIONI IN AMBITO DATA PROTECTION

Il Regolamento europeo prevede l’onere della prova in capo al titolare e al responsabile del trattamento: questi quindi dovranno essere in grado di dimostrare di aver messo in atto misure organizzative e di sicurezza adeguate sia alla particolare tipologia di dati che trattano sia agli specifici trattamenti che effettuano.
Best practice, codici di condotta e certificazioni possono, di conseguenza, essere utilizzati come elementi di prova.

dpocorso
Codici di condotta

Secondo il Regolamento, l’elaborazione di codici di condotta dovrebbe essere incoraggiata dagli Stati membri. In particolare, questi dovrebbero essere redatti dalle associazioni e dalle organizzazioni che rappresentano categorie di titolari del trattamento o di responsabili del trattamento e dovrebbero tenere conto delle caratteristiche specifiche dei settori di riferimento e delle diverse esigenze connesse alle dimensioni aziendali.

In particolare, secondo l’art. 40 del Regolamento, potrebbero concernere:

il trattamento corretto e trasparente dei dati,
i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici,
la raccolta dei dati personali,
la pseudonimizzazione,
l’informazione fornita al pubblico e agli interessati,
l’esercizio dei diritti degli interessati,
la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore,
le misure di sicurezza,
la notifica dei data breach e la relativa comunicazione agli interessati,
il trasferimento di dati personali verso paesi terzi,
le procedure stragiudiziali di composizione delle controversie.

Il progetto di codice dovrà essere sottoposto all’Autorità garante nazionale e questa esprimerà un parere sul progetto. Se il parere è positivo e l’applicazione del Codice riguarda solamente lo Stato membro in cui è presentato, l’Autorità registrerà e pubblicherà il Codice realizzato.

Nel caso in cui, invece, il progetto di codice di condotta si riferisca a trattamenti realizzati in vari Stati membri, prima che vi sia approvazione definitiva, occorre un secondo esame a livello europeo, con il coinvolgimento del Comitato europeo per la protezione dei dati. Qualora anche a seguito di tale controllo, il progetto ottenga un parere favorevole, sarà registrato e pubblicato.

Ai sensi del Regolamento, inoltre, la Commissione ha il potere di decidere che il codice di condotta abbia validità generale all’interno dell’Unione: in tal modo, il codice è reso applicabile a tutto il settore di riferimento, in tutto il territorio dell’Unione Europea.

Tutti i Codici di condotta sono raccolti dal Comitato in un apposito registro e la Commissione è tenuta a dare pubblicità a quelli che hanno acquisito validità generale.
Le certificazioni

kit_privacy

Il Regolamento inoltre, incoraggia l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati.

La certificazione è:

volontaria
accessibile tramite una procedura trasparente
rilasciata al titolare o al responsabile del trattamento da appositi organismi di certificazione o dall’Autorità garante – per un periodo massimo di tre anni, rinnovabili.

Gli organismi di certificazione devono possedere un livello di conoscenza della materia adeguato, essere indipendenti ed essere accreditati. Per poter ottenere l’accreditamento, gli organismi devono dimostrare indipendenza e competenze specifiche e presentare le procedure che intendono seguire ai fini della verifica del rispetto dei criteri.
Livelli di responsabilità

L’aver aderito ad un codice di condotta o l’essersi certificato, non libera il titolare né il responsabile del trattamento dalla responsabilità di conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.

Alla luce di quanto fino ad ora descritto, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’ammontare della stessa, si terrà in conto anche dell’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Aspettative

Nei tavoli di lavoro a Bruxelles, tra le proposte delle delegazioni italiane, vi sarebbe quella di imporre un obbligo di certificazione privacy per poter accedere alla partecipazione di specifici bandi di gara delle Pubbliche Amministrazioni. Altre delegazioni si sono spinte anche oltre, proponendo certificazioni obbligatorie anche sui prodotti.

Ad oggi nessuno può sapere con certezza quanto tempo potrà essere necessario a che il gruppo dei garanti europei decida di attivare le certificazioni e i codici di condotta.

Prima che possano essere emanate le linee guida dal comitato europeo dei garanti infatti, si rendono necessari almeno due passaggi:

la piena attuazione del Regolamento, con costituzione e insediamento del Gruppo dei Garanti Europei, le cui linee guida saranno vincolanti per le autorità degli Stati membri;
la definizione da parte del comitato dei criteri di certificazione e di quelli relativi agli enti che potranno essere certificati.

L’interesse che da subito si è manifestato sui codici di condotta e le certificazioni previste nel GDPR, è stato enorme e ha indotto certificatori e altri portatori di interessi economici a schierarsi per cercare di conquistare un posto in prima fila.

La sola cosa certa è che ad oggi non esiste ancora la possibilità di certificare la conformità di uno specifico trattamento al GDPR e tanto meno esiste la possibilità di certificare una generalizzata conformità aziendale.

Fonte [Ipsoa, EuroPrivacy]

Profilazione e decisioni automatizzate afferenti ad interessati

In data 3 ottobre 2017 l’articolo 29 working party ha pubblicato un documento di approfondimento, che ben chiarisce aspetti legati a decisioni automatizzate e profilazione, che riguardino interessati. Trattandosi di un tema che attira una sempre maggiore attenzione e che è aperto a interpretazioni discordanti, raccomando caldamente ai responsabili del trattamento dei dati di leggere attentamente questo documento

 

Si tratta di un problema in continua espansione, perché sono sempre più numerosi i titolari che utilizzano queste strategie, in quanto viene incrementata l’efficacia del trattamento e si risparmiano risorse preziose. Articolo 29 working party mette bene in evidenza come, a fronte di questi vantaggi per i titolari, si possono presentare rischi significativi per i diritti degli individui.

Il documento, dopo aver ampliato la definizione di profilazione e decisioni automatiche, illustrate nel regolamento generale, passa ad esaminare quali sono le eccezioni a questa proibizione generalizzata.

 

Queste tipologie di trattamenti possono essere fatte nell’ambito della gestione di un contratto con l’interessato, nell’ambito di procedure autorizzate dall’unione europea o da leggi nazionali, oppure a seguito di un esplicito consenso rilasciato dall’interessato.

Ciò premesso, vediamo quali sono i diritti che comunque competono agli interessati.

 

Il primo e fondamentale diritto è evidentemente quello di essere tempestivamente informati di queste modalità di trattamento, con una chiara illustrazione di quali potrebbero essere le conseguenze.

Rimane sempre in vigore il diritto di accesso al titolare per avere ogni possibile informazioni su queste specifiche modalità di trattamento e inoltre viene sottolineato il fatto che una qualsiasi decisione, che riguardi un interessato, non può essere solo basato su processi automatizzati, ma deve essere riesaminata ed eventualmente convalidata da una persona fisica, cioè un incaricato del trattamento.

 

Poiché è possibile che impostazioni e classificazioni non corrette dei dati possano portare a decisioni non corrette, è fondamentale che il titolare del trattamento adotti ogni possibile misura, a salvaguardia della correttezza delle decisioni.

Ove comunque tali procedimenti vengano attuati, essi debbono evidentemente essere legittimi e trasparenti e devono essere applicati utilizzando la minima quantità di dati necessaria, oltre tutto caratterizzata da una elevata accuratezza ed una appropriata limitazione del tempo di archiviazione di questi dati.

 

Il documento elaborato dall’articolo 29 working party prevede, come è logico, il diritto alla rettifica, cancellazione e limitazione del trattamento, che è sempre in carico all’interessato.

Particolari attenzioni devono essere poste quando l’attività di profilazione si riferisce a minori.

I titolari faranno inoltre attenzione a gestire correttamente questa attività automatizzata, perché in alcuni casi potrebbe essere indispensabile sviluppare una valutazione di impatto sulla protezione dei dati.

 

Il documento si conclude con un primo annesso, che illustra tutt’una serie di raccomandazioni, corrispondenti ad atteggiamenti oltremodo prudenziali, cui dovrebbe attenersi il titolare del trattamento.

Un secondo annesso riepiloga gli articoli coinvolti, con gli eventuali “considerando” e commenti relativi.

Ancora una volta, siamo davanti a un preziosissimo documento, che aiuta i titolari del trattamento a sviluppare attività sempre più efficienti, efficaci e sicure!

Allegato wp29 251(pdf, 0.8 MB)

Fonte: Puntosicuro.it

Facebook, foto di minori sui social solo con il consenso di entrambi i genitori

Per pubblicare sui social network gli scatti dei figli minorenni serve il consenso di entrambi i genitori perché “l’inserimento di foto di minori sui social network costituisce comportamento potenzialmente pregiudizievole per essi”. È questa la motivazione con cui un giudice del Tribunale di Mantova ha stabilito che entrambi i coniugi devono essere d’accordo prima di caricare in rete le foto dei figli, altrimenti dovranno essere rimosse.
“Ciò determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non, le quali possono essere malintenzionate e avvicinarsi ai bambini” scrive il giudice Mauro Bernardi, che rileva anche il pericolo che qualcuno “con procedimenti di fotomontaggio”, ne tragga “materiale pedopornografico da far circolare tra gli interessati”.
La sentenza è arrivata dopo la denuncia di un padre che, nel processo per la separazione, aveva richiesto la revisione dell’accordo sull’affido dei bambini e la loro residenza con la madre dopo che, nonostante il suo parere contrario, questa aveva pubblicato in rete le foto dei loro figli, uno di un anno e mezzo e l’altro di tre anni e mezzo.
Il giudice ha imposto la rimozione delle foto, richiamandosi all’articolo 10 del codice civile sulla tutela dell’immagine, ad alcuni articoli del decreto legislativo 196 del 2003 sulla tutela della riservatezza dei dati personali, sulla convenzione di New York, ratificata dall’Italia nel 1991, sulla tutela dei minori e sul regolamento dell’Unione Europea del 2016 che entrerà in vigore l’anno prossimo.
Fonte: Il Fatto Quotidiano

La nuova collana editoriale privacy Scuola

privacy_scuola

Abbiamo pubblicato la nuova collana editoriale privacy europea SCUOLA, una serie di strumenti (software e corso on line) per aiutare i consulenti e i dirigenti scolastici ad applicare correttamente i nuovi adempimenti privacy del Reg. Ue 2016/679 nelle scuole.

La collana editoriale è costituita da:
_ Kit software privacy europea SCUOLA
_ Software Audit privacy europea SCUOLA
_ Corso on lin esperto privacy europea SCUOLA

Puoi accedere ai video di presentazione di queste novità dal seguente link

Garanti Ue, varate le Linee guida sulla valutazione di impatto privacy

home
SOFTWARE PER REALIZZARE LA VALUTAZIONE D’IMPATTO TRATTAMENTI

Adottate dalle Autorità  di protezione dati europee riunite nel Gruppo di lavoro ex art.29 le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment). La DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità  e  facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche.

La DPIA è uno strumento importante:  aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l’adozione di misure idonee a garantirne il rispetto. In altri termini, laDPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme.  Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

È possibile utilizzare un’unica DPIA per valutare più trattamenti che presentino delle analogie (ad es. un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza). E una analisi  di impatto privacy può essere utile anche per valutare l’effetto di un nuovo dispositivo tecnologico. In ogni caso, a prescindere dalla sua obbligatorietà, la DPIA rappresenta sempre una buona prassi per Pa e imprese.

Per assicurare un’interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri  in vista dell’elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).

L’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell’analisi (quando il trattamento è soggetto a tale valutazione),  lo svolgimento non corretto o la mancata consultazione dell’Autorità di controllo competente ove ciò sia necessario, possono comportare l’applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro  e, se si tratta di un’impresa, fino al 2% del fatturato globale annuo.

Fonte: Garante Privacy

Privacy: anche l’italia fa un piano di adeguamento al GDPR

Fonte: Studio Legale Stefanelli e Stefanelli – Alessandra Delli Ponti

Non c’è  più molto tempo per adeguarsi al  Regolamento UE (UE) 2016/679 sulla protezione dei dati. 

Ma “cosa resta” e “cosa è abrogato” del Codice Privacy e dei provvedimenti del Garante?

Noi addetti ai lavori, e soprattutto Aziende pubbliche e private siamo in attesa di un’interpretazione nazionale ufficiale e incontrovertibile.

È indubbio, infatti, che il GDPR sia direttamente applicabile, ma lo stesso regolamento stabilisce che sono destinate a rimanere in vigore tutte le norme non espressamente in contraddizione con il GDPR, quindi senza una pronuncia chiara del Legislatore e del Garante si rischia una grande confusione.

Non a caso molti altri Paesi UE, come la Germania, hanno emanato una nuova legge privacy in attuazione del GDPR o, comunque hanno creato un raccordo tra la vecchia e la nuova normativa. In Italia, lo scorso 17 ottobre, la Camera dei Deputatati ha approvato, in via definitiva, la Legge di delegazione europea 2016-2017, che rappresenta uno degli strumenti legislativi volti ad assicurare il periodico adeguamento dell’ordinamento nazionale a quello dell’Unione Europea: in particolare lo scopo della legge è garantire il recepimento delle Direttive europee e all’attuazione di altri Atti dell’Unione, delegando il Governo ad adottare i necessari Decreti Legislativi entro sei mesi dalla sua entrata in vigore.

Tra le deleghe assegnate al Governo, è prevista all’articolo 13 l’adozione di uno o più Decreti Legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento UE 2016/679, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, che, a partire dal 25 maggio 2018 diventerà esecutivo in tutti i Paesi dell’Unione Europea, rinnovando in maniera significativa il sistema della disciplina in materia di privacy.

Un punto critico del passaggio tra le due normative è il sistema sanzionatorio.

Il Governo dovrà, quindi, “adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse“. Sono stati confermati, inoltre, i princìpi e criteri direttivi specifici che il Governo dovrà seguire nell’esercizio della delega parlamentare. In particolare, spetta ora al Governo:

a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;

b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;

c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;

d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal Regolamento (UE) 2016/679.

Alcune preoccupazioni sono inevitabili. Innanzitutto, sulla delega al Garante: se lo spirito della legge era ed è quello di arrivare ad una unico corpo di norme aggiornato alle novità del Regolamento, prevedere che quel testo possa essere affiancato da ulteriori “provvedimenti attuativi ed integrativi” affidati al Garante, potrebbe tradursi nell’ennesima moltiplicazione di fonti di riferimento.

Poi sui tempi: il piano di riordino previsto dal Parlamento dovrà essere portato a compimento entro sei mesi dalla data di entrata in vigore della Legge. Non molti, per la verità, considerata la complessità della materia e l’eterogeneità delle fonti da armonizzare. Ma anche troppi, se si considerano gli interessi dei titolari del trattamento (Aziende e Pubblici) di avere quanto prima chiariti i dubbi su vecchia e nuova normativa. Una cosa è certa: il Codice privacy e il GDPR continueranno a coesistere e, dal 25 maggio 2018, saranno entrambi applicabili. È indispensabile valutare attentamente ogni motivo di conflitto tra disposizioni nazionali ed europee e a parere di chi scrive “il tempo stringe”.

Pubblicato il business report – “Come realizzare un audit privacy e quale modulistica utilizzare”

home

Questo business report presenta le modalità operative per realizzare l’audit privacy.

I contenuti riguardano indicazioni operative per condurre l’audit in maniera corretta, sono inclusi quesiti di esempio da utilizzare e tre moduli operativi: modello di schema check list audit privacy, modello pianificazione audit privacy, modello di rapporto audit privacy.

Formato: pdf
18 pag. formato A5
In offerta a 29 euro i.e.

Estratto Business Report

Invio per email entro 2 ore se effettui il pagamento con carta di credito (entro 24 ore con pagamento mediante bonifico bancario).
paypal

Bonifico bancario – Importo Iva inclusa: 35,38 euro
IBAN IT54 Y070 7202 4060 2900 0604 344 – Emil Banca  intestato a Edirama di M. Rapparini – Una volta effettuato il bonifico inviare copia via email a ediramaweb@gmail.com

 

%d blogger hanno fatto clic su Mi Piace per questo: