Archives: 23 Aprile 2018

Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA – I VIDEO DELL’EVENTO FORMATIVO

Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA – I VIDEO DELL’EVENTO FORMATIVO

Sono disponibili sul Canale Youtube istituzionale del Garante i video degli interventi tenuti nel corso dell’incontro “Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA”, che si è svolto a Bari lo scorso 15 gennaio 2018.

L’evento è parte di un ciclo formativo promosso dall’Autorità per favorire la conoscenza delle nuove norme e offrire supporto nell’attuazione degli adempimenti previsti per tutti i soggetti (pubblici e privati) che effettuano trattamenti di dati per lo svolgimento di un compito di interesse pubblico.

 

I VIDEO

– Saluti istituzionali – Antonio Decaro, Presidente Anci, Sindaco della Città di Bari, Sindaco della Città Metropolitana Michele Emiliano, Presidente Regione Puglia

– Il Garante per la protezione dei dati personali nel nuovo sistema di regole europee – Antonello Soro, Presidente del Garante per la protezione dei dati personali

– Dati personali e pubblica amministrazione. Il principio di responsabilizzazione e l’interazione con l’Autorità

– Come cambiano i principi e i diritti degli interessati

– Organizzazione privacy, ruoli e adempimenti

 Il Responsabile della Protezione dei dati (RPD) in ambito pubblico

– Il Registro delle attività di trattamento

– “Data protection by default and by design”, valutazione di impatto e consultazione preventiva

– Sicurezza, minimizzazione dei rischi e data breach

– Chiusura dei lavori

 

Fonte: GarantePrivacy.it
documento web: 8452018
risorsa: http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8452018

 

Attenti ai dispositivi innocui spesso nascondono trappole – Intervista ad Antonello Soro

Attenti ai dispositivi innocui spesso nascondono trappole
Intervista di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Francesco Malfetano, “Il Messaggero”, 11 aprile 2018)

Presidente Antonello Soro, l’Internet of Things sta rivoluzionando il modo di vivere la tecnologia con nuove soluzioni e servizi che facilitano la quotidianità e ottimizzano i tempi di produzione. Qual è il prezzo, quali rischi per gli utenti? Soprattutto, fino a che punto ci si può spingere? In che modo gli utenti possono opporsi all’uso illecito dei dati personali?

“Si stima che presto ogni oggetto, persino il nostro abbigliamento, sarà connesso e che in dieci anni vi saranno 150 miliardi di sensori in rete, 20 volte di più della popolazione mondiale. Ogni cosa, dunque, sarà “smart”: non solo i telefoni ma anche auto, case, città; l’intemet degli oggetti e l’analisi dei big data convergeranno con l’intelligenza artificiale e i sistemi biometrici; vivremo, dunque, in un pianeta “intelligente”. Tutto ciò favorirà certamente, per un verso, un netto miglioramento della qualità della vita, liberandoci – come già oggi è evidente – del peso di molte incombenze quotidiane e dischiudendo possibilità prima precluse”.

Però non bisogna sottovalutare i rischi ai quali la “connessione di tutto” espone l’utente.

“Sicuro. In primo luogo va considerato il rischio di hackeraggio di questi dispositivi, non sempre adeguatamente protetti e tuttavia tali da consentire l’accesso a una molteplicità di dati, spesso sensibili, con danni rilevanti per l’interessato. E’ pertanto indispensabile verificare – prima dell’utilizzo di ciascun dispositivo, in base alla relativa informativa – le caratteristiche e le implicazioni del trattamento, limitare la categoria dei dati accessibili e, in caso di uso illecito dei propri dati, opporvisi. Non bastasse, rivolgersi al Garante per ottenere la cessazione del trattamento”.

Invece cosa può fare l’autorità? Dal 25 maggio entrerà in vigore il nuovo “Regolamento europeo in materia di protezione dei dati personali”. Cosa cambia per utenti e aziende?

“L’esigenza di adeguare la normativa all’evoluzione tecnologica, comporta anzitutto un’anticipazione della soglia di tutela dei dati alla fase della progettazione dei sistemi, secondo i criteri di privacy by design e privacy by default, inscrivendo così nelle stesse tecnologie le misure di garanzie per gli utenti. Ma l’innovazione principale concerne la responsabilizzazione del titolare: principio su cui fonda il Regolamento e che impone a imprese e professionisti di adottare strategie aziendali che garantiscano un livello di tutela dei dati personali adeguato al rischio connesso al trattamento e idonee misure preventive”.

Il caso Cambridge Analytica e quello Russiagate hanno fatto da detonatore per la questione della profilazione – e più in generale dei Big Data – chiarendo come questo potere sia spesso concentrato nelle mani di pochi. Quali pericoli si nascondono dietro?

“Queste vicende dimostrano come il passaggio dalla profilazione commerciale a quella politico-elettorale determini effetti dirompenti per la democrazia. Attraverso il possesso delle informazioni sulle paure, gli orientamenti, le aspirazioni dei cittadini, si propongono a ciascuno di essi non solo notizie che sovra-rappresentano o, al contrario, sotto-stimano i fenomeni reali così da assecondarne le idee, ma anche progetti politici ritagliati su queste specifiche esigenze, rendendo così possibile la manipolazione del consenso e, in ultima analisi, un pesantissimo condizionamento del risultato elettorale. Il tutto è aggravato dalla concentrazione di tali informazioni (e del conseguente potere di condizionamento) in capo a poche imprese, capaci così di spiegare effetti determinanti su questioni di rilevanza primaria”.

Big data e privacy dei dati sulla salute sono conciliabili?

“La normativa di protezione dati (il nuovo Regolamento in particolare) mira, tra l’altro, a coniugare le esigenze di riutilizzo di dati su larga scala – in particolare big data – per fini di utilità sociale con il diritto degli interessati alla protezione delle informazioni che li riguardano. In tal senso, ad esempio, si prevede che – anche qualora non possa svolgersi su dati del tutto anonimi – l’archiviazione di dati per fini di ricerca, anche scientifica, è possibile previa adozione di misure, quali tra le altre la pseudominimizzazione, idonee a minimizzare l’impatto del trattamento sugli interessati”.

Le smart city sono al centro della rivoluzione dell’IoT. Siamo pronti a gestire la mole di dati che produrranno? Quanto è sicuro oggi vivere in una casa intelligente?

“Le nostre città stanno divenendo fonti sempre più rilevanti di dati, anche personali, laddove forniscano informazioni su come un soggetto vive lo spazio cittadino. All’incremento dei dati che le smart city producono (funzionale alla loro innovazione e migliore fruibilità) deve, tuttavia, corrispondere una parallela crescita di consapevolezza in ordine alla necessità di proteggere il flusso informativo così generato, per fini tanto di sicurezza cibernetica quanto di tutela della privacy dei cittadini. Esigenza analoga si ravvisa anche rispetto alla “smart home””.

Quanto incide l’apparente “innocuità” di oggetti di uso quotidiano, connessi però al web, sui nostri comportamenti?

“Incide. Talvolta ci induce a sottovalutare la possibilità che essi rappresentino il canale di accesso elettivo per attacchi informatici e hacker capaci di sfruttarne le vulnerabilità. Inoltre, di questi dispositivi sottovalutiamo la capacità di rivelare, mediante l’uso secondario dei dati raccolti, stili di vita, capacità economica, persino patologie o dipendenze. E’ dunque quantomai necessario un utilizzo consapevole e attento di strumenti, quali questi, tanto utili quanto rischiosi”.

 

Fonte: GarantePrivacy.it
documento web: 8354402
risorsa: http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8354402

Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato

Nuove Faq sul Responsabile della Protezione dei Dati (RPD)
in ambito privato

(in aggiunta a quelle adottate dal Gruppo Art. 29
in Allegato alle Linee guida sul RPD)

 

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

3. Chi sono i soggetti privati obbligati alla sua designazione?

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

 

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link:http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292

7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Fonte: GarantePrivacy.it
Documento web: 8036793
Risorsa: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793

Caso Cambridge Analytica – “Non basta dire ‘mi dispiace’ “: Il Gruppo “Articolo 29” istituisce un Gruppo di lavoro sui social media

Caso Cambridge Analytica – “Non basta dire ‘mi dispiace’ “: Il Gruppo “Articolo 29” istituisce un Gruppo di lavoro sui social media

Bruxelles,  11 aprile – Il Gruppo di lavoro “Articolo 29” (WP29), che riunisce le autorità europee per la protezione dei dati, dichiara di sostenere pienamente le indagini avviate dalle autorità nazionali per la privacy sui dati personali raccolti e utilizzati direttamente dai social media o per loro tramite. Inoltre, il WP29 istituirà un Gruppo di lavoro sui social media allo scopo di definire in questo ambito una strategia di lungo periodo.

Andrea Jelinek, la Presidente del WP29, ha affermato quanto segue: “Ribadiamo l’impegno ad assistere e collaborare con l’autorità per la protezione dei dati del Regno Unito (Information Commissioner Office, ICO) nelle indagini che sta conducendo su Cambridge Analytica e Facebook. Intendiamo, inoltre, proseguire nelle attività di cooperazione avviate attraverso il Facebook Contact Group(1) e creare un fronte comune.

“Questo è l’inizio di una nuova era per la protezione dei dati. Una delle priorità fondamentali sarà tutelare le persone da ogni utilizzo illecito dei loro dati personali sulle piattaforme dei social media.

“Molto semplicemente, una piattaforma che fattura miliardi di dollari non può cavarsela con un ‘mi dispiace’. Oggi, tutti parlano di Cambridge Analytica e Facebook, ma noi vogliamo guardare più avanti e più lontano. Per questo motivo abbiamo istituito un Gruppo di lavoro sui social media. Quello cui stiamo assistendo in questi giorni probabilmente è soltanto uno dei molti esempi di pratiche assai più diffuse che prevedono lo sfruttamento dei social media come bacino ove raccogliere dati personali per finalità commerciali o politiche. Ma il WP29 sa bene che si tratta di una problematica più ampia in cui sono coinvolti anche altri soggetti, come gli sviluppatori di app e i cosiddetti data brokers. Il Gruppo di lavoro sui social media continuerà a operare una volta che il Comitato europeo per la protezione dei dati avrà iniziato la propria attività. Il Comitato potrà contare su un’ampia gamma di poteri per garantire un’applicazione coerente del Regolamento.”

Il WP29 attualmente si riunisce a Bruxelles. Il prossimo 25 maggio, con la piena applicazione del Regolamento generale sulla protezione dei dati, sarà sostituito dal Comitato europeo per la protezione dei dati.

Fonte: GarantePrivacy.it
Documento web: 8360015
Indirizzo: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8360015