sabato 3 dicembre 2016

Pensa ai dati! La vera privacy parte da te.

di Marco Maglio

Think Privacy! E’ un messaggio che invita alla moderazione e alla cautela chi usa informazioni aziendali. Viene diffuso nei luoghi di lavoro attraverso manifesti, volantini, gadget vari, tutti personalizzati con questa formula che fa riflettere sull’importanza che la protezione dei dati personali assume nella vita di tutti i giorni.

Nel mondo anglosassone è da tempo uno slogan conosciuto dai dipendenti di grandi aziende organizzazioni multinazionali.

Sono campagne di comunicazione interna che diffondono la cultura della riservatezza per l’utilizzo dei documenti e delle banche dati aziendali. Gestire senza cura i dati di un cliente, di un fornitore, di un collega, significa mancare di rispetto a queste persone e può causare danni irreparabili per l’azienda. Le conseguenze negative determinate dall’abuso delle informazioni riservate sono costituite dalle possibili sanzioni che i Titolari del trattamento possono essere costretti a subire. Con le nuove norme introdotte dal Regolamento Generale Europeo sui dati personali che sarà operativo in tutta l’Unione Europea dal 2018 le sanzioni previste per illecito uso dei dati personali possono arrivare fino al 4% del fatturato mondiale per un Gruppo multinazionale e fino a venti milioni di euro per una singola azienda.
Ma i danni riguardano l’immagine dell’azienda e la sua reputazione: una società che tratta male i dati è una società che dimostra di essere disorganizzata e disattenta, irrispettosa e pericolosa: un’azienda da evitare per lavoratori, clienti, prospect.

Le aziende hanno compreso che i dati sono la “materia prima” della New Economy: occorre custodire con cura questo patrimonio, prevenendo azioni che possono metterlo a rischio. Da qui è nata l’idea di svolgere vere e proprie campagne di comunicazione interne che rendano concrete le linee guida che gli uffici legali aziendali pubblicano per imporre procedure di sicurezza.

L’idea è piaciuta alle istituzioni e nel Regno Unito, l’Information Commissioner Office, la locale autorità per la protezione dei dati personali, ha diffuso un toolkit, rivolto soprattutto alle piccole e medie imprese (perché il tema riguarda tutte le aziende), che spiega come gestire queste campagne di comunicazioni interne. E’ nato un Consorzio non profit che aiuta imprese ed enti a divulgare questi materiali (Tutti i dettagli sono nel sito www.thinkprivacy.org ).

E negli altri Paesi cosa succede? L’iniziativa inizia a diffondersi e già si segnalano molte imprese che hanno deciso di cimentarsi in questa campagna. Sotto l’egida dell’osservatorio Europeo per la Data Protection per il prossimo 28 gennaio 2017 (Giornata europea della Protezione dei dati personali) verranno lanciate iniziative analoghe a quella inglese. In Italia lo slogan prescelto sarà “Pensa ai dati!”.Speriamo che l’effetto di questo invito sia compreso in tutta la sua importanza. Basta poco per rispettare le persone con le quali entriamo in contatto sul luogo di lavoro. La vera privacy comincia da ognuno di noi.
 

sabato 4 giugno 2016

Il verbal order e la conferma del contratto concluso al telefono


Verbal order: cosa cambia con i provvedimenti dell'Antitrust del 2015? A due anni dalla riforma del codice del consumo, alcuni provvedimenti dell’Antitrust hanno fornito importanti indicazioni operative sulle norme riguardanti il verbal order. 

Questi sono due dei dieci provvedimenti emanati dall'Autorità su questo tema



Vediamo nel dettaglio cosa è cambiato con l'avvocato Marco Maglio, specializzato in privacy e protezione dati, ospite dell'evento organizzato da AdSalsa "Il verbal order tra Antitrust e riforma della privacy"






domenica 1 maggio 2016

Dieci cose da sapere e dieci cose da fare ora per prepararsi al nuovo regolamento europeo sui dati personali


Il nuovo Regolmento Europeo è ormai una realtà. Entrerà definitivamente in vigore nel maggio 2018 ma occorre prepararsi subito al cambiamento che sarà significativo. Non cambieranno solo gli adempimenti cui siamo oggi abituati. Cambierà l'organizzaizone delle aziende e aumenterà l'importanza che la tutela dei dati personali assumerà per garntire il rispetto delle norme vigenti.

Per capire quali sono le cose essenziali da sapere e cosa bisogna fare ora la Redazione di Diritto & Marketing in collaborazione con lo Studio Legale Maglio & Partners ha preparato una presentazione che spiega in trenta slides le prossime azioni da intraprendere.

Ci sono dieci cose da sapere e dieci cose da fare ora.

Per scoprire quali sono basta leggere qui sotto la presentazione che illustra le novità con taglio pratico e guardando alle esigenze concrete delle imprese e degli enti che dovranno da subito cimentarsi con questa nuova normativa.

La presentazione è consultabile qui.

sabato 5 marzo 2016

Il Web Data Scraping e le tentazioni del marketing

di Marco Maglio
 
Se un dato è pubblicato sul web si può usare liberamente a fini di marketing? No ed è per questo che il  web data scraping resta una pratica vietata
 _______________

 Ne abbiamo parlato tempo fa  in questo Post dedicato al marketing ed alle tentazioni di usare ogni dato che ci passa sotto il naso.

Anche voi sapete resistere a tutto tranne che alle tentazioni?

Ognuno potrà rispondere come gli suggerisce la sua legge interiore. Certo è che invece i professionisti del marketing nell'era dei social e di quella enorme banca dati a cielo aperto che è diventata il web devono imparare a resiste ad almeno una tentazione: copiare i dati disponibili ed usarli senza aver dato un'inforamtiva e aver raccolto il consenso degli interessati.

La tentazione è forte ma bisogna resistere per non incorrere in pesanti sanzioni.

Lo ha ribadito recentemente il Garante per la protezione dei dati personali che ha pronunciato una solenne sconfessione dei software che raccolgono on line in maniera sistematica e indiscriminata dati e informazioni per realizzare liste da utilizzare a fini di marketing.

Chi intende raccogliere tali dati deve acquisire il consenso libero, informato, specifico per ogni finalità che intende perseguire: invio di messaggi a fini promozionali, analisi degli interessi e profilazione, comunicazione a terzi.

Il Garante lo dice da tempo (il primo provvedimento a tale riguardo risale al maggio 2001 e le linee guida per l'uso dei dati a fini promozionali e per il contrasto allo spamming del luglio 2013 ribadiscono queste regole). Ma ancora più recentemente il Garante dichiarato illecito e ha vietato ad una società la formazione e la diffusione on line di un elenco telefonico contenente dati di oltre 12.500.000 persone non raccolti dal dbu ma da altri siti web senza il consenso degli utenti. I dati trattati in modo illecito dovranno essere cancellati dalla società autrice di questa attività.

Questa volta il Garante condanna in modo ancora più espicito la pratica del web scraping, la pesca a strascico che permette di raccogliere mediante software una enorme massa di dati presente in rete.

Svolgere queste attività senza il consenso degli interessati costituisce un trattamento particolarmente invasivo per l’agevole reperibilità dei dati anche mediante i più comuni motori di ricerca e per la possibilità che essi possano essere utilizzati anche per ulteriori trattamenti (ad es. marketing indesiderato).

In definitiva viene ribadito il principio per cui non basta che un dato sia pubblico per ritenere che esso sia liberamente utilizzabile. Questo conferma ancora una volta di più, se ce ne fosse bisogno, che la normativa sui dati personali non protegge la privacy delle persone ma previene gli utilizzi impropri dei dati riferiti agli individui, a prescindere dal fatto che questi dati siano riservati o noti a tutti.

Ciò che la normativa protegge è il diirtto all'autodeterminazione individuale: ognuno di noi ha diritto ad esercitare un controllo sulle informazioni che lo riguardano e a impedirne utilizzi abusivi in assenza del suo consenso, salvi i casi specifici in cui la normativa non preveda la necessità di tale consenso.

Occorre quindi resistere alle tentazioni, con buona pace di Oscar Wilde. I dati non si trattano all'insaputa degli intessati. Il nuovo regolamento europeo sulla data protetion lo renderà ancora più chiaro ed evidente ma già oggi la regola fondamentale resta questa e faremo bene tutti a ispirare le nostre azioni a questo basilare principio

lunedì 15 febbraio 2016

Il nuovo regolamento europeo in materia di dati personali: una mappa per conoscerlo. ( seconda parte)

di Marco Maglio


Abbiamo disegnato nell'articolo precedente i pumi cinque punti della nuova mappa delle regole in materia di dati personali disegnata dal Regolamento Europeo che è in fase di pubblicazione nella Gazzett Ufficiale dell'Unione Europea.

Ecco qui di seguito gli altri cinque punti per completare il quadro di riferimento


6)  meno burocrazie più sostanza: cessa l'obbligo della notificazione al Garante

Fino ad oggi chi effettuata alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione, analisi sulla puntualità dei pagamenti e altre tipologie di trattamenti particolarmente invasivi) e' tenuto ad effetuare un adempimento preventivo: si tratta della notificazione al Garante per la protezione dei dati personali.

Con la riforma europea che entrerà in vigore nel 2018 cambierà tutto. Viene abolito l’obbligo di Notificazione di specifici trattamenti  all’Autorità Garante.

Tale  adempimento  è  considerato  dal Legislatore  europeo  come  un  obbligo  che  comporta  oneri  amministrativi  e finanziari  senza  aver  mai  veramente  contribuito  a  migliorare  la  protezione  dei dati  personali  (in  particolare  per  le  piccole  e  medie  imprese). 

Si è quindi deciso di abolire tale obbligo generale di notificazione  e  sostituirlo  con  meccanismi  e  procedure  efficaci  che  si concentrino  piuttosto  su  quelle  operazioni  di  trattamento  che  potenzialmente presentano  rischi  specifici  per  i  diritti  e  le  libertà  degli  interessati,  per  la  loro natura, portata o finalità.

Tali trattamenti saranno  l’effettuazione della valutazione di impatto nel trattamento dei dati.

7)  Un nuovo protagonista della privacy aziendale: il Data Privacy Officer

Se fino ad oggi siamo stati abituati a prevedere i tre ruoli classici nel trattamento dei dati (titolare, responsabile ed incaricato), prepariamoci ad un grosso cambiamento. A parte le novità puramente terminologiche (noi italiani scopriremo infatti con sorpresa che quello che chiamiamo Titolare nel linguaggio eruopeo si chiama Responsabile del trattamento  che è colui che definisce le finalità del trattamento, mentre chi noi chiamiamo oggi Responsabile nella terminologia europea viene chiamato Incaricato, mentre quelli che noi oggi in Italia chiamiamo incaricati non sono previsti dal nuovo ordinamento europeo) prepariamoci a veder nascere una nuova stella nel firmamento  della privacy aziendale: nascerà infatti nel 2018 la nuova figura del Data Privacy Officer (DPO) o meglio del Responsabile della protezione dei dati personali.

Sarà una figura obbligatoria se:
a) chi tratta i dati è un soggetto pubblico
b) si trattano rivelanti quantità di dati personali
c) si trattano sistematicamente dati sensibili o giudiziaria

Il DPO, che può essere un consulente esterno all'azienda, deve possedere requisiti di professionalità ed indipendenza ed autonomia di spesa diventando una sorta di auditor interno dei processi di trattamento dei dati personali e il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contrstazioni rivolte a chi tratta i dati personali in azienda.

I compiti essenziali del DPO sono questi

a) informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
b) vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) verificare l’attuazione e l’applicazione del Regolamento europeo; la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
d) garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
f) controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
g) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
h) controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.


8)  I nuovi principi della protezione della privacy fin dalla sua progettazione (privacy by design) e della protezione di default di dati e sistemi (privacy by default).

Vengono introdotti nel sistema normativo europeo due nuovi principi fondativi dell'apporccio evoluto al corretto trattamento dei dati personali: la privacy by design e la privacy by default.

Vediamo di cosa si tratta. Privacy by design significa che la tutela dei dati personali deve essere pensata ed organizzata fin dalla fase progettuale della raccolta di informazioni.  Diventa obbligatorio  prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati.
Bisgonerà analizzare i flussi di dati connessi all'attività che si vuole effetutare e adotttare criteri che minimizzino i rischi del trattamento e riducano le quantità dei dati trattati (si parla di minimization of data)

Privacy by default significa che occorrerà prevenire raccolte di dati non necessari, per le finaltià perseguite, evitando di acquisire inforamzioni eccedenti rispetto agli obiettivi dichisrati nell'informativa. La privacy quindi di acquisisce come presupposto delle attività di trattamento e cessa di essere, come è oggi, un obiettivo secondario da perseguire rispettando adempimenti formali. La privacy cessa di essere un mero requisito legale e diventa un elemento intrinseco del processo di gestione delle informazioni. Questa è la vera essenza della riforma. Chi non capisce questo sarà destinato a vagare alla ricerca di un centro di gravità permanente. Privacy by design e by default si fondono in un unico precetto organizzativo che diventa , quindi, la vera stella polare nel cammino verso il corretto trattamento dei dati personalizza

9)  viene introdotto l'obbligo di autodenuncia per le violazioni di dati patite da chi tratta dati

All'estero esiste da tempo questa regole estesa a tutti coloro che trattano dati personali: si parla di data breach notification, che è l'obbligo di segnalare all'Autorità le violazioni di dati subite da chi li tratta.  Per violazione dei dati personali (c.d. “personal data breaches”), si intende: la distruzione, la perdita, la modifica, la rivelazione non autorizzata o  l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati.

In Italia tale obbligo esiste solo per gli operatori di comunicazioni elettroniche ma con la riforma europea tutti dovranno abituarsi a questo nuovo standard di sicurezza: chi tratta dati,  in  caso  di  una  violazione, dovrà  mettere  in  atto  due  differenti  azioni:
  1. la  notificazione  della  violazione all’Autorità di controllo entro 72 ore dal fatto
  2. la segnalazione al diretto interessato (senza ritardo ingiustificato).

Il mancato rispetto di questo obbligo comporta sanzioni penali.
Appare chiaro che questo nuovo standard comporterà interventi significativi per l'adozione di software di monitoraggio (cd. Software sentinella) che segnalino immediatemente le violazioni e per l'ottenimento di adeguate coperture assicurative che proteggano dai crescenti rischi legati al cosiddetto cyber risk.

10) le sanzioni di nuova generazione

Cone la riforma europea si passa dalle sanzioni a cifra fissa alle sanzioni “personalizzate”.

Fino ad oggi in Italia le sanzioni erano definite entro misure che potevano arrivare fino a 360.000 euro salvo incrementi dovuti alle dimensioni dell'impresa ed alla particolare gravità delle violazioni. Con la riforma le sanzioni diventeranno molto più pesanti:
  1. Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
  2. Fino al 4% del fatturato complessivo (consolidato) per i Gruppi societari

Si tratta di un cambio di passo significativo. E' chiaro che queste sanzioni sono pensate per incidere sulle condotte dei grandi gruppi multinazionali che trattano dati in diverse aree geografiche e spesso cercano di individuare i paradisi legali del trattamento dei dati personali per eludere norme e criteri di comportamento definiti dalle nazioni più rigorose.

Dulcis in fundo: consenso e profilazione

Abbiamo completato la mappa ma non abbiamo ancora parlato di due elementi essenziali, fino ad ora, per chi gestisce i dati a fini di comunicazione commerciale: il consenso e la profilazione.

Cosa dice il nuovo regolamento a questo riguardo?

Con una certa sorpresa, accolta con toni fortemente critici dai difensori della privacy individuale, la riforma apre spazi nuovi per chi voglia sperimentare e cogliere opportunità interessanti.

Per quanto riguarda il consenso, che noi siamo abituati a considerare valido solo se formulato con una dichiarazione espressa (è l'effetto del cosiddetto sitema dell'opt in che l'Italia ha adottato con convinzione fin dal 1997, anno di entrata in vigore della prima normativa sui dati personali), si introduce un approccio di chiaro sapore anglosassone meno formalista e più sostanziale.

Secondo il nuovo regolamento europeo (così recita il Considerando 25 del testo approvato) “il consenso dovrebbe essere espresso mediante un'azione positiva inequivocabile con la quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante  dichiarazione scritta, anche elettronica, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche  o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in questo contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere dato per
l'insieme delle finalità del trattamento. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso”.

Questo di fatto dà spazio, entro certi limiti, a forme di consenso desunto da comportamenti concludenti espressi mediante azioni positive da parte dell'interessato. E' un grosso cambiamento che apre spazi nuovi rispetto ai rigidi steccati dell'opt in che pure restano formalmente in piedi.  Va tenuto conto che la definizione di “consenso dell'interessato” fornita dal regolamento è questa : “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”
E' quindi sparito il riferimento, originariamente previsto dal testo, al carattere esplicito del consenso che, a certe condizioni si può desumere in base al comportamento attivo dell'interessato.

Quanto alla profilazione, che per molti consisterebbe nella semplice analisi e clusterizzazione di un data base, il regolamento da risposte molto precise.  In particolare la riforma  chiarisce che la profilazione consiste nell'analisi di dati cui fa seguito un'azione automatica senza l'intervento dell'uomo. Quindi se si analizzano con strumenti informatici i dati presenti nei propri archivi e poi l'elaborazione dei dati stessi viene sottoposta alla valutazione preventiva di una persona prima dell'utilizzo dei dati stessi, per adattare e verificare i dati stessi, non si effettua profilazione. Quindi non occorre un consenso specifico per svolgere tale attività di analisi.

E così la mappa è completa: non resta che affrontare le nuove regole, capirle e soprattutto tenere a mente che la nuova tutela dei dati personali è un diventato un essenziale processo organizzativo stategico per le imprese cessando di essere un  semplicistico susseguirsi di adempimenti formali.

venerdì 15 gennaio 2016

Il nuovo regolamento europeo in materia di dati personali: una mappa per conoscerlo. (Prima parte)


 di Marco Maglio



 
Si avvicinano a grandi passi gli appuntamenti con la riforma europea che riscriverà profondamente le norme che regolano l'utilizzo dei dati personali.

Ne abbiamo parlato in un precedente articolo ed ora è il momento di vedere cosa è successo, cosa succederà e cosa occorre sapere

Cosa è successo

Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue. 
Il pacchetto prevede due documenti normativi di cui è stata proposta l'approvazione:

  1. Il Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la vecchia Direttiva 95/46
  2. La Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).

Dopo tre anni di discussione i due testi sono orami stati definiti e hanno formato oggetto della procedura di condivisione tra le tre istituzioni dell' Unione Europea preposta alla produzione di testi normativi:  la Commissione, il Parlamento e il Consiglio.

Il 18 dicembre 2015 è stato in particolare definito il testo del Regolamento (destianto a entrare in vigore direttamente, senza necessità di singole leggi di recepimento) e ora ne è prossima l'approvazione formale e la pubblicazione in Gazzetta Ufficiale

Cosa succederà

Dopo l'approvazione e la pubblicazione (prevista entro il primo trimestre 2016) ci saranno due anni di tempo prima che il testo entri in vigore nei 28 stati membri dell'Unione. In questo periodo transitorio ogni Stato dovrà armonizzarsi con gli altri paesi e favorire la creazione delle condizioni necessarie per l'applciazione unifrome delle nuove norme.

Sarà un periodo intenso in cui i singoli Garanti nazionali avranno un ruolo essenziale per favorire l'efficace entrata in vigore delle normativa.  Da subito comunque bisogna attendersi che le nuove norme europee genereranno un'accelerazione nel processo di armonizzazione e nel cambiamento delle ormai consolidate abitudini legate alla normativa nazionale che è destianta ad essere in gran parte sostituita dal nuovo Regolamento europeo.

Vediamo ora quali sono i punti essenziali della nuova mappa della data protection europea.

Cosa occorre sapere: la riforma in dieci punti

In rapida succesione ecco cosa cambia con la nuova normativa

1) cambiano i criteri per stabilire a chi si applicano le norme

La domanda è classica: “se una società extraeurope tratta dati di cittadini europi quale legge si applica?” Fino ad oggi si applica la legge del titolare del trattamento cioè di chi raccoglie i dati.
Cone la riforma cambia tutto:   viene  introdotto  il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.
E’ una rivoluzione rispetto alla regola precedente in base alla quale la normativa applicabile è quella del luogo in cui ha sede il Titolare del trattamento
Facebook e Google saranno soggette alla normativa europea.


2)  cambiano gli obblighi a carico di chi tratta i dati: il nuovo criterio dell'accountability

Fino ad oggi gli adempimenti in materia di dati personali erano basati su criteri formali e sulla logica dell'effettivo abuso dei dati raccolti. Si era sanzionati se gli adempimenti non erano stati applicati e se le autorità di controllo lo rilevavano e lo contestavano.

Ora invece diventa obligatorio  elaborare  un  sistema  documentale  di  gestione  della  privacy contenente  tutti  gli  atti,  regolarmente  aggiornati,  elaborati  per  soddisfare  i requisiti di conformità al Regolamento.

E' la logica dell'accountability, cioè della corretta organizzazione e della documentazione e tracciabilità obbligatoria delle attività di trattamento. Chi non oganizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto a prescindere dall'abusivo utilizzo dei dati che ne possa essere derivato o meno

3)  cambia l'informativa

L'informativa non sarà più uno strumento burocratico e formale. Deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, se del caso in formato elettronico. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

Inoltre occorrerà informare gli interessati sull'origine dei dati trattati e indicare il tempo di conservazione dei dati

4)  nuovi meccanismi semplificati per l'esercizio dei diritti degli interessati

Oggi esercitare i diritti di accesso, modifca, integrazione e cancellazione dei dati personali richiede che l'interessato si attivi e superi a volte difficoltà rilevanti per formulare l'istanza verso chi ha raccolto i suoi dati.
I nuovi criteri  introdotti dal Regolamento invece richiedono di prevedere modalità volte ad agevolare l’esercizio, da parte dell'interessato, dei  suoi diritti, compresi i meccanismi per richiedere e, se del caso,  ottenere gratuitamente, in particolare, l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Diventerà onere di chi raccoglie i dati predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici.

5)  Dal DPS al PIA: analisi dei rischi e valutazione di impatto del trattamento dei dati personali

Siamo stati per ani abituati a gestire un adempimento formale denominato Documento Programmatico sulla Sicurezza (DPS) una fotografia documentata dell'adeguatezza delle misure di sicurezza adottate per trattere i dati personali.
Nel 2012 tale adempimento ha cessato di essere obligatorio ma con il nuovo regolamento euriopeo dovremo presto imparare a destreggiare un nuovo strumento: il Privacy Impact Assessment (PIA) ovvero il documento di valutazione di impatto nel trattamento dei dati.

Sarà una vera e propria analisi dei rischi in concreto generati dal trattamento dei dati aziendali.

Chi raccoglie i dati dovrà effettuare una Valutazione degli impatti determinati dal trattamento dei dati stessi  fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, in particolare nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti  rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre distinte fasi da volgersi periodicamente con cadenza almeno annuale

  1. Analisi dei rischi   (list analisys)
  2. Definizione della lista delle criticità (gap list)
  3. Definizione del programma di intervento (action plan)

La probabilità e la gravità del rischio legato al tratamento dei dati  dovranno essere determinate in funzione della natura, del campo di applicazione, del contesto e delle  finalità del trattamento dei dati. Il rischio dovrà essere considerato in base ad una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

Sarà una vera e propria rivoluzione per quanti sono abituati alle cadenze confortevoli del DPS e all'approccio tecnico informatico alla materia. Con il PIA viene introdotta un'analisi dei processi azienndali profonda che mira a gestire i rischi, prevendoli.

Stay tuned

Per completare la mappa del nuovo regolamento europeo mancano ancora cinque punti. Li  vedremo  nella prossima puntata.  Tra breve su questi schermi …..