Upload
magnews
View
542
Download
1
Tags:
Embed Size (px)
DESCRIPTION
Un “Privacy Spritz” per condividere le novità introdotte in ambito di gestione della privacy: il decreto "Salva Italia" e il decreto "Semplificazioni". Come si inquadrano nell'ampia proposta di riforma del nuovo Regolamento Privacy Europeo? Alcuni consigli pratici per un trattamento dei dati personali conforme alla normativa ma anche coerente alle esigenze di business.
Citation preview
Sala conferenze Netcomm, via Sacchi 7, Milano
27 marzo 2012, ore 16.30
Avv. Dr. Paolo Balboni
ICT Legal Consulting, European Privacy Association e Istituto Italiano Privacy
[email protected] - www.ictlegalconsulting.com - www.europeanprivacyassociation.eu
www.istitutoitalianoprivacy.it - www.paolobalboni.eu
Who is Who?
2
Socio fondatore di ICT Legal Consulting, Direttore dell’European Privacy Association, Cloud
Computing Sector Director e Responsabile Affari Esteri dell’Istituto Italiano Privacy, Avvocato del
Foro di Milano specializzato in Diritto delle nuove tecnologie e tutela dei dati personali. Svolge
attività di consulenza legale, a favore di multinazionali, principalmente in tema di protezione dei
dati personali, contratti informatici, commercio elettronico, cloud computing, responsabilità dei
fornitori di servizi Web 2.0, responsabilità dei fornitori di contenuti su internet e terminali mobili,
firme elettroniche, conservazione sostitutiva, proprietà intellettuale. Assiste altresì persone
celebri su questioni relative a privacy e diritti d’autore. Vanta una considerevole esperienza nei
settori: IT, media & entertainment, e-Health, moda e bancario. Autore del libro ‘Trustmarks in
Ecommerce’, Paolo Balboni è Ricercatore associato presso l’Università di Tilburg (Olanda) dove
insegna il corso di master “Liability of Web 2.0 Service Providers”; nonché Assistente alla
cattedra di Diritto di internet all’ Università di Bologna (Italia). Consulente legale scelto per i
progetti dell’European Network and Information Security Agency (ENISA) su ‘Cloud Computing
Risk Assessment’, ‘Security and Resilience in Governmental Clouds’ e ‘Common Assurance
Maturity Model – Beyond the Cloud (CAMM)’, Paolo Balboni è spesso coinvolto in studi della
Commissione europea relativi a nuove tecnologie e tutela dei dati personali, nonché relatore a
convegni internazionali su tali temi. Laureato in giurisprudenza all’Università di Bologna nel 2002,
ha conseguito il dottorato (Ph.D.) in Diritto comparato delle nuove tecnologie all’Università di
Tilburg nel 2008. Parla correntemente l’italiano, l’inglese e l’olandese ed ha una buona
conoscenza di tedesco, francese e spagnolo. [email protected]
Struttura, obiettivi e aspettative
3
1. I principi privacy e il marketing online
2. Le novità privacy introdotte dai decreti “Salva Italia
e “Semplificazioni”
3. Il nuovo Regolamento Privacy europeo e i suoi
impatti concreti
4. Q&A e consigli pratici
Glossario
5
• Dato personale
• Dato personale sensibile
• Interessato
• Titolare del trattamento
• Responsabile/i del trattamento
• Incaricato/i del trattamento
• Comunicazione e diffusione
• Banca di dati / database
• Garante per la protezione dei dati personali
Livelli di responsabilità
6
NB: chi pone in essere un trattamento di dati personali deve
necessariamente ricadere in una di queste tre categorie.
Applicazione Codice Privacy
7
Il principio generale è sancito all’art. 5 d.lgs. 196/03, che stabilisce appunto che il
Codice Privacy si applica al trattamento di dati personali effettuato da chiunque:
- è stabilito nel territorio dello stato italiano, anche se i dati sono detenuti all'estero;
oppure
- è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega,
per il trattamento, strumenti situati nel territorio italiano anche diversi da quelli
elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione
europea. In questo caso, il Titolare designa un proprio rappresentante stabilito nel
territorio italiano ai fini dell'applicazione della disciplina sul trattamento dei dati
personali.
Principi generali: INFORMATIVA
8
L’informativa deve contenere i seguenti elementi ex art. 13:
• identificazione delle modalità e della/e finalità del/i trattamento/i;
• indicazione dell’obbligatorietà o facoltatività del conferimento dei dati e
delle conseguenze dell’eventuale rifiuto del consenso;
• indicazione dell’ambito di conoscibilità dei dati (comunicazione,
diffusione, accesso da parte di soggetti che fanno parte della struttura del
Titolare del trattamento);
• diritti dell’Interessato;
• identificazione e contatti del Titolare del trattamento e degli eventuali
Responsabili.
Principi generali: DIRITTI INTERESSATO
• Diritti di accertamento
• Diritti di operare modifiche sui dati (integrazione, correzione, aggiornamento)
• Diritto di porre fine al trattamento e chiedere la cancellazione dei dati
• Diritto di opposizione al trattamento. Se il trattamento è finalizzato all’ invio di
materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato
o di comunicazione commercial, l’opposizione non necessita di cause giustificative.
si esercitano senza alcuna formalità
I diritti
vanno soddisfatti dal Titolare entro 15 gg.
9
Principi generali: CONSENSO
10
• opt-in
• libero, espresso, specifico e informato
eccezione al consenso ex art. 24.1.b
-non è dovuto quando il trattamento è necessario per eseguire obblighi
derivanti da un contratto del quale è parte l’interessato e per adempiere,
prima della conclusione del contratto, a specifiche richieste del soggetto a cui
dati si riferiscono
eccezione al consenso ex art. 130.4
- non è dovuto in caso di vendita diretta di beni e servizi analoghi a
quelli già oggetto di precedente vendita diretta
Es.: form di iscrizione per adesione ad una newsletter promozionale
11
Es.: due trattamenti nella stessa informativa
12
A. Adesione a newsletter promozionale del Titolare e di terzi
13
B. Partecipazione a concorso e profilazione
Es.: due trattamenti nella stessa informativa
Es.: due trattamenti nella stessa informativa
C. Due trattamenti vincolati l’uno all’altro
14
ERRATO!
Cookie e Online Behavioural Advertising
• Informativa
• Consenso
• Obbligo di notificazione al Garante (profilazione)
15
La persona giuridica esce dalla tutela privacy • Le persone giuridiche, associazioni ed enti non ricadono più nell’applicazione del Codice
Privacy
• Attenzione all’ ‘abbonato’: il telemarketing su elenchi continua ad essere tutelato, nel senso che la lettera f) dell’art. 4 comma 2 del Codice privacy, che definisce il concetto di ‘abbonato’, è l’unica parte a non essere modificata e la persona giuridica continua a rientrarvi: se letto in combinato con gli artt. 129 e 130 comma 3-bis del Codice privacy, ecco che il regime di opposizione e di iscrizione nel registro continuerà ad applicarsi alle persone giuridiche. Così, se e quando sarà emanato il regolamento attuativo, anche gli invii di posta cartacea agli indirizzi fisici degli abbonati persone giuridiche saranno tutelati.
DUBBI:
• Le persone giuridiche che siano abbonati, cioè siano parte di un contratto con un fornitore di servizi di comunicazione elettronica (ex art. 4 c.2 lett. f) Codice Privacy), ma il cui numero o indirizzo non sia contenuto negli elenchi, non avranno altra tutela che quella prevista agli artt. 122, in materia di monitoraggio degli utenti nei servizi di comunicazione, e 126, in materia di geolocalizzazione, del Codice Privacy?
• Gli abbonati aziende o enti, che non siano dunque “soggetti interessati”, non potranno ricorrere al Garante in caso di violazioni delle norme che continuano a riguardarli: potranno solo adire l’autorità giudiziaria?
17
Abolizione del DPS
18
In riferimento all'obbligo, finora previsto, dell'aggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), si segnala che il d.l. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”(GU n.33 del 9-2-2012), ha, tra l'altro, modificato alcune disposizioni del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS). Pertanto, “salvo che intervengano modifiche da parte del Parlamento, l'obbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno.”(Sito Garante Privacy)
3a SEZIONE
19
ICT Insider
NEWS
Google cambia la
Privacy Policy: contrasto
con la UE
Secondo Google, la sua
nuova privacy policy fornirà
agli utenti un servizio
migliore; i Garanti europei,
temono lo scavalcamento
delle regole privacy europee.
incaricata di valutare la
riforma, ha chiesto a Google
di mettere in stand-by le
nuove regole.
Leggi
Europa, USA e Privacy:
Obama risponde con il
Consumer Privacy Bill of
Rights
proposta del nuovo
Regolamento privacy UE,
esce negli USA un
documento che rafforzerebbe
i diritti privacy dei
consumatori americani, da
sempre meno tutelati degli
privacy dei partner
Leggi
Nuovo Regolamento
Privacy UE: gli USA si
preparano al
cambiamento
Secondo un sondaggio
condotto da Tufin
Technologies, leader nel
mercato delle Security Policy
Management solutions, i
gestori della sicurezza dei
network americani temono le
nuove regole privacy
europee, in particolare le
nuove sanzioni. La
maggioranza di essi si fida di
più dei software
automatizzati di verifica degli
adempimenti, che non del
controllo umano.
Leggi
Nuova proposta di Regolamento Europeo in materia di protezione
di dati personali: elementi chiave
Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD). Proposal for a REGULATION OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on
the free movement of such data (General Data Protection Regulation)
Dopo più di due anni di consultazioni, la Commissione Europea ha proposto il 25 gennaio scorso delle ampie misure di
riforma del quadro legislativo europeo sulla protezioni dei dati personali.
Ecco alcuni elementi chiave:
La proposta assumerà la forma di un Regolamento applicabile in tutti gli Stati
nazionali. Quale sarà l'impatto del nuovo Regolamento privacy europeo? Enorme. Non solo sostituirà la Direttiva
95/46/EC - che fu la direttiva "madre" della privacy nel nostro continente - ma di fatto abrogherà, per incompatibilità,
buona parte dei "Codici privacy" nazionali, incluso quello italiano.
Applicazione a Società con sede UE ed Extra-UE. Oltre che alle Società che hann
Regolamento troverà applicazione anche nei confronti delle Società con sede extra UE che: offrono beni o servizi a
-stop- UE ma non per Titolari non UE. Il controllo sui Titolari comunitari verrà effettuato
d
principale. La previsione del concetto di "stabilimento principale" del titolare, infatti, mira ad evitare che un'impresa
attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato. Inoltre, è previsto il ruolo di
"lead authority", in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi -Stato. I
Titolari ubicati fuori dalla UE, invece, dovranno designare un Rappresentante in uno degli Stati Membri in cui si
trovano i soggetti interessati cui si riferiscono i dati trattati per fornire loro beni o servizi, ossia il cui comportamento
viene monitorato. Tale Rappresentante potrà
possa essere identificato (direttamente o indirettamente) dal Titolare del trattamento. Solo le persone fisiche
quando la denominazione della persona giuridica contenga i nomi di persone fisiche.
mediante
sotto dei 18 anni di età).
Previsione delle figure dei joint controllers
responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa
ad
oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile).
Trasferimento di dati. Le esistenti restrizioni europee sul trasferimento di dati verso Paesi che non offrono
zzando
clausole contrattuali standard adottate dalla Commissione Europea o da Autorità garanti e clausole contrattuali ad
Corporate Rules (BCRs, norme vincolanti di impresa) è semplificata, e tale regime è esteso anche ai Responsabili
originarie deroghe per il trasferimento dei dati a Paesi Terzi, come il consenso, ma aggiunge una nuova deroga per
trasferimenti occasionali o limitati, se necessari per legittimo interesse del Titolare.
Contatti
Via De Togni 14
20123 Milano
Tel: +39 02 84573267
Via delle Lame 24
40122 Bologna
Tel: +39 051 0491814
P.za San Salvatore in Lauro 13
00186 Roma
Tel: +39 06 97842491
I S S U E 0 1
M a r z o 2 0 1 2
* Amburgo
Amsterdam
Atene
Bruxelles
Londra
Madrid
Parigi
Varsavia
Vienna
* partner law firms
Grazie per l’attenzione!
Avv. Dr. Paolo Balboni
ICT Legal Consulting, European Privacy Association e Istituto Italiano Privacy
[email protected] - www.ictlegalconsulting.com - www.europeanprivacyassociation.eu
www.istitutoitalianoprivacy.it - www.paolobalboni.eu
21
ICT Legal Consulting
22
ICT Legal Consulting è uno studio legale italiano costituito nel 2011 con sedi a Milano, Bologna e Roma e
presente, attraverso studi professionali associati, in altri otto paesi Europei (Austria, Belgio, Francia,
Germania, Grecia, Paesi Bassi, Polonia, Regno Unito e Spagna). E’ stato creato da Paolo Balboni e Luca
Bolognini, che hanno raggruppato un gruppo di fidati professionisti altamente specializzati nel diritto
dell’Informazione, delle Comunicazioni, della Privacy e delle Tecnologie.
I nostri avvocati, contraddistinti da competenze uniche nell’ICT, svolgono attività di consulenza legale, a
favore di multinazionali e di imprese innovative, principalmente in tema di protezione dei dati personali,
contratti informatici, e-health, e-commerce, e-marketing, advertising, cloud computing, responsabilità dei
fornitori di servizi Web 2.0, responsabilità dei fornitori di contenuti su internet e terminali mobili, scommesse
online, giochi di abilità online, firme elettroniche, gestione documentale e conservazione sostitutiva, energie
rinnovabili. Inoltre forniamo assistenza completa con riferimento alla tutela proprietà intellettuale: diritto
d’autore, marchi, design, brevetti, concorrenza sleale, protezione dei consumatori.
I nostri professionisti hanno sviluppato una considerevole esperienza nei seguenti settori: comunicazioni,
media & entertainment, IT, servizi sanitari, moda, energetico e smart grids, servizi bancari/finanziari ed e-
Government, responsabilità amministrativa penale d’impresa (231/01). www.ictlegalconsulting.com