protezione dei dati personali

Riflessioni sulla figura del «Privacy Officer» nel Regolamento UE sulla privacy

La normativa sulla privacy ha avuto una rapida evoluzione, da ultimo con il Regolamento dell’UE n. 2016/679, relativo sia alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, sia alla libera circolazione dei dati personali medesimi.

Il regolamento, pubblicato nella Gazzetta Ufficiale dell’UE il 4 maggio 2016, è entrato in vigore il 24 maggio del medesimo anno, ma si applicherà solamente a decorrere dal 25 maggio 2018.

La normativa è complessa e rilevanti sono le novità introdotte dal legislatore europeo, tra cui l’istituzionalizzazione della figura del «Responsabile della protezione dei dati personali», nota come «Privacy Officer» o «Data Protection Officer» (DPO).
Si tratta di soggetto diverso dal «responsabile del trattamento», già ampiamente noto nella nostra esperienza giuridica quale soggetto preposto dal titolare per “governare” o “gestire” in tutto o in pare il trattamento dei dati personali.

Il «Privacy Officer» viene designato sistematicamente dal titolare e dal responsabile del trattamento quando il trattamento dei dati è effettuato da un soggetto pubblico (un’autorità pubblica o un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali). Viene altresì designato sistematicamente nel caso in cu ile attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, nonché quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di particolari categorie di dati personali, quali i dati sensibili (idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, quelli biometrici in grado di identificare in modo univoco una persona fisica, i dati relativi alla saluta o alla vita sessuale o, ancora, all’orientamento sessuale di una persona) o di dati relativi a condanne penali e a reati.
Il regolamento europeo prevede che il Privacy Officer sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti che la normativa gli riserva: a) informare e fornire consulenza al titolare e al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dalla normativa nazionale e internazionale in tema di data protection; b) sorvegliare l’osservanza del regolamento europeo sulla privacy e delle altre normative nazionali e internazionali sulla medesima materia,  nonché l’osservanza delle privacy policies adottate dal titolare o dal responsabile (anche con riferimento all’attribuzione delle responsabilità, alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti dei dati ed alle connesse attività di controllo); c) fornire, se richiesto, un parere in merito alla valutazione dell’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (v. art. 35); d) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con tale autorità per le questioni connesse al trattamento (come ad esempio in cui sorge l’obbligo di consultazione preventiva del Garante, per i trattamenti che, a seguito di valutazione d’impatto sulla protezione dei dati personali, presentino rischi elevati, ovvero nel caso in cui si rendesse opportuno procedere a consultazione per qualunque altra questione). Al Privacy Officer viene altresì richiesto, nell’eseguire i propri compiti, di considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento medesimo.

Si comprende allora che tale figura deve necessariamente possedere sia conoscenze specialistiche della normativa sulla privacy, sia adeguate conoscenze interdisciplinari in materia di analisi dei rischi (in ambito informatico e non) e di gestione degli eventi critici.

Il Privacy Officer può essere designato tra i dipendenti del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizi. Una volta nominato, il titolare o il responsabile del trattamento devono rendere pubblici i dati di contatto del Privacy Officer, a cui possono rivolgersi sia gli interessati, sia l’autorità di controllo.

La normativa non richiede che il Privacy Officer sia individuato tra soggetti iscritti in appositi albi (non previsti per tale disciplina) o in associazioni di categoria, né richiede che sia in possesso di certificazioni.

Il presupposto necessario per la designazione è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e – al contempo – di gestione della protezione dei dati oggetto di trattamento. In altre parole, deve possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico-informatico ed organizzativo).
Sorge dunque la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di curare una preparazione specialistica in tal senso e vedersela attestata da titoli idonei, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L’istituzione della figura del Privacy Officer nel nuovo regolamento europeo, per la verità già anticipata in alcuni provvedimenti del Garante e già operante in altri Paesi dell’UE, offre dunque nuove opportunità di sbocco professionale (o di crescita professionale) in un settore in rapida espansione, la cui crescente complessità richiede persone preparate e competenti.

La formazione migliore passa attraverso Corsi di Alta Formazione o di Master attivati dalle Università più sensibili a tali temi. Titoli universitari incentrati sulla figura del Privacy Officer vendono rilasciati, ad esempio, dall’Università di Bologna con il Corso di Alta Formazione in «Web Security e Privacy Officer» e con il Master in «Trattamento dei dati personali e Privacy Officer», attivati nell’a.a. 2016/17 (i cui termini per la presentazione delle domande sono in scadenza, rispettivamente, il 7 novembre e il 9 dicembre del 2016). Ovviamente è indispensabile che il processo di formazione sia continuo, essendo necessario coltivare un aggiornamento professionale costante.
Fabio Bravo

www.fabiobravo.it

Privacy e Decreto Sviluppo. Semplificazioni per le imprese

Già si leggono i primi commenti al decreto legge sullo sviluppo, varato dal Governo.

Dal testo messo a disposizione, anche in data odierna, sul sito del Governo (nella forma di Schema di Decreto Legge), si leggono le norme di semplificazione varate a beneficio delle imprese, tra cui quelle in materia di protezione dei dati personali (privacy).

Le modifiche sono rilevanti. Si segnalano, tra le altre:

a) quelle sull’esclusione della normativa in materia di protezione dei dati personali nei rapporti reciproci tra imprese, enti, associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter (con contestuale introduzione della discutibile definizione di “finalità amministrativo-contabili”, che è del seguente tenoreAi fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro

b) quelle sulla gestione dei curricula e sull’esenzione dall’obbligo di fornire informativa ex art. 13 in caso di trasmissione spontanea da parte degli interessati;

c) quelle sulla sostituzione dell’obbligo del DPS con un’autocertificazione ove il trattamento di dati sensibili e giudiziari concerne non solo dipendenti e collaboratori, anche se extracomunitari, ma anche il loro coniuge o i parenti;

e così via.

 

In particolare all’art. 6 (“Ulteriori riduzione e semplificazioni degli adempimenti burocratici“) del predetto decreto si trova disposto:

1. Per ridurre gli oneri derivanti dalla normativa vigente e gravanti in particolare sulle piccole e medie imprese sono apportate con il seguente provvedimento, operativo in una logica che troverà ulteriori sviluppo, le modificazioni che seguono:

a) in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese;

(…)

2. Conseguentemente, alla disciplina vigente sono apportate, tra l’altro, le seguenti modificazioni:

a) al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

1) all’articolo 5 è aggiunto in fine il seguente comma:

“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”;

2) all’articolo 13, comma 5, è aggiunto in fine il seguente comma:

“5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;

3) all’articolo 24, comma 1, lettera g) le parole: “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate” sono soppresse e dopo la lettera i) sono aggiunte le seguenti:

“i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis;

i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;

4) all’articolo 26, comma 3, dopo la lettera b) è aggiunta la seguente:

“b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.”;

5) all’articolo 34, il comma 1-bis è sostituito dai seguenti:

“1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.

1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“;

6) all’articolo 130, comma 3-bis, dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,“.

 

La mofidica è rilevante. Se ne parlerà molto. Ritornerò sicuramente con altri interventi.

Fabio Bravo

www.fabiobravo.it

La sentenza sul caso Google. L'intervista integrale a Stefano Rodotà (AUDIO)

Sono molte le parole di commento alla sentenza resa sul caso Google – Vividown.

Tra tutte mi sembrano significative le parole di Stefano Rodotà, nell’intervista (integrale) rilasciata per Repubblica.it, che può essere scoltata qui.

Vi invito ad ascoltarle attentamente. Le sfumature sono stante e gli aspetti trattati molteplici.

Nella prima parte del discorso emerge chiamaramente, come già ho avuto occasione di anticipare su questo blog, che occorrerà verificare nelle motivazioni della sentenza se v’è stato o meno l’accertamento, nel merito, in ordine alla eventuale intempestiva rimozione dei contenuti illeciti, pur a fronte della effettiva conoscenza.

Molti media sostengono infatti che la rimozione sia avvenuta tempestivamente a partire dal momento in cui v’è stata la richiesta, a Google, da parte delle pubbliche autoirtà italiane, dimenticando che il video in questione è rimasto per diversi mesi on-line, nonostante le segnalazioni pervenute a Google da parte degli utenti della rete, rimasti basiti a fronte della visione del filmato, che era stato incluso da chi ha fatto l’uploading nella categoria dei filmati “divertenti”.

Come afferma anche Rodotà, se il Tribunale di Milano fosse giunto alle sue conclusioni dopo aver accertato l’intempestiva rimozione del filmato dalla conoscenze effettiva dell’illiceità dello stesso, e dunque dopo aver riscontrato la colpa omissiva del gestore dela piattaforma di filesharing, la sentenza non sarebbe affatto rivoluzionaria, in quanto avrebbe applicato la normativa vigente, senza imporre affatto un intervento di tipo censorio.

Ovviamente, occorrerà attendenre il deposito del testo integrale della sentenza per poter arrivare a delle riflessioni critiche, adesive o meno. Nel frattempo mi sembra che le grida proclamanti lo scandalo, mosse da gran parte della stampa italiana e da quella internazionale, siano un po’ troppo affrettate e premature e rischiano di disinformare seriamente.

Non va mai dimenticato, poi, che per l’ipotesi di diffamazione v’è stata una pronuncia di assoluzione.

L’incongruenza è solo apparente, mi sembra, se si andasse a leggere (lo ripeto nuovamente) il tenore delle norme in materia di commercio elettronico (d.lgs. 70/2003 di recepimento della direttiva 2000/31/CE), dato che in tale corpo normativo è prevista una significativa esclusione all’art. 1, co. 2, ove si legge che:

Non rientrano nel campo di applicazione del presente decreto (…) le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni di cui alla legge 31 dicembre 1996, n. 675 e al decreto legislativo 13 maggio 1998, n. 171 e successive modifiche e integrazioni

I riferimenti normativi sono da intendersi ora aggiornati anche al vigente Codice in materia di protezione dei dati personali.

Come già ho avuto modo di sostenere molte volte, il rapporto tra la disciplina in materia di responsabilità dei providers di cui al d.lgs. 70/2003 e la disciplina in materia di protezione dei dati personali si presenta come una delle questioni più spinose da affrontare e che impongono una rilettura delle norme de jure condendo, anche nell’annunciato percorso di modifica della direttiva sul commercio elettronico.

Fabio Bravo

www.fabiobravo.it

Tracciamento elettronico degli sciatori. Il Garante per la privacy dice no al servizio Daily-ski-times check di Dolomiti Superski

Un interessante servizio ideato da Dolomiti Superski consente allo sciatore di verificare su Internet i dati relativi alla propria performance sciistica, sistematicamente tracciata da un chip presente sullo skipass.

Il servizio in questione, denominato “Daily-Ski-Times-Check“, si è imbattutto tuttavia in un provvedimento del Garante per la privacy, che ne ha decretato la sospensione per via della possibile contrarietà alle norme vigenti in materia di protezione dei dati personali.

La sospensione del servizio risulta anche dalla pagina Internet ad esso dedicata sul sito di Dolomiti Superski, ove alla data di oggi (28/01/2010) si legge la seguente dicitura (cfr. immagine):

Daily-Ski-times check. Check della propria performance sciistica

A seguito dell’intervento del Garante per la Protezione dei Dati personali ed in attesa di specifici chiarimenti il servizio è sospeso”.

La notizia è stata diramata anche dalla stampa locale (“Privacy degli sciatori. Il Garante blocca il Grande Fratello del DOlomiti Superski”):

“Il Dolomiti Superski ha momentaneamente sospeso il servizio daily check, quello grazie al quale gli utenti, collegandosi al sito internet www.dolomitisuperski.com, attraverso il codice del loro skipass potevano “ricostruire” la loro sciata, con i dati relativi al chilometraggio ed al dislivello raccolti al passaggio dagli impianti di risalita.

(…)

I responsabili del consorzio di impiantisti hanno ora 30 giorni di tempo per chiedere un incontro al garante, in occasione del quale contano di chiarire ogni aspetto della vicenda”.

Nell’articolo in questione viene riportata la posizione del Direttore di Dolomiti Superski:

«Il nostro è un normalissimo sistema di registrazione dei passaggi, come quelli adottati in tutto il resto del mondo», commenta il direttore del Dolomiti Superski, Franz Perathoner, che non nasconde una certa sorpresa per la contestazione arrivata dal garante. «I controlli risalgono addirittura al febbraio dell’anno scorso – spiega Perathoner -. Guardia di Finanza e garante avevano diffuso in proposito una nota, pubblicata anche dall’Alto Adige, con la quale riconoscevano la sostanziale osservanza della normativa vigente. Ci erano state chieste ulteriori delucidazioni, ma sembrava tutto in ordine. Il 7 gennaio, quasi un anno dopo, ci è invece arrivata la contestazione».

Ma qual è, nella sostanza, l’obiezione del garante? «Sostiene che dovremmo informare gli sciatori che il loro passaggio viene registrato, ma lo abbiamo già fatto. Mi spiego: ci sono due tipi di skipass, quelli fino a sette giorni e quelli “ricaricabili”. Per questi ultimi richiediamo i dati anagrafici dell’utente, anche per applicare gli sconti per over 65 e under 16. Ma per il trattamento dei dati, facciamo firmare il consenso».

Perathoner respinge poi la tesi che il daily check sia una sorta di Grande Fratello delle piste da sci. «Non è mica la videosorveglianza, non abbiamo l’equalizzazione geografica dello sciatore. Il tornello si apre solo se l’utente ha un certo biglietto, noi dobbiamo poter controllare se è valido. Se il daily check non si potrà più riattivare, non lo riattiveremo – conclude Perathoner -, ma vorrei sottolineare che nella stagione 2008/2009 furono 400 mila gli sciatori che se ne servirono. E dalla sospensione del servizio riceviamo 20/30 e-mail di protesta al giorno».

Seguiremo insieme l’evolversi della vicenda, che non mancherò di commentare più diffusamente.

Fabio Bravo

www.fabiobravo.it

Relazione su Privacy e Periti alla Sapienza

Domani alla Sapienza, in occasione di un convegno organizzato dal Dipartimento di Scienze Psichiatriche – Osservatorio dei comportamenti e della devianza, terrò una relazione su “Privacy e periti“, incentrata sulle Linee Guida in materia di trattamento dei dati personali da parte dei consulenti tecnici e dei periti rese dal Garante per la privacy nel 2008, che già ho avuto modo di commentare in altro convegno nazionale sull’aggiornamento professionale e sulla responsabilizzazione dei consulenti tecnici e dei periti.

In questo convegno, in cui mi è stato chiesto di co-presiedere la sessione di lavoro dedicata alla “Normativa”, calerò il discorso anche sulle peculiarità che la disciplina della privacy presenta nei diversi tipi di indagine peritale che i tecnici si trovano di volta in volta ad effettuare, in relazione alla natura degli accertamenti da espletare (grafologici, psichiatrici, computer forensics, contabile, etc.).

Ecco il testo delle Linee guida del Garante.

Fabio Bravo

www.fabiobravo.it

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books