Corso E-Lex / Maggioli – Adeguamento al Regolamento Privacy

Entro il 25 maggio 2018, tutte le amministrazioni – al pari dei soggetti privati – dovranno adeguarsi nuovo Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”). C’è solo un anno per completare il percorso di adeguamento e le pubbliche amministrazioni, nella mia esperienza, sono molto indietro… anche sotto il profilo della consapevolezza di quello che sta per cambiare. Per questo motivo, l’8 giugno a Roma si terrà un’iniziativa formativa – organizzata con Gruppo Maggioli – nell’ambito della quale io e il mio socio Giovanni Maria Riccio affronteremo le principali problematiche del Regolamento, con particolare attenzione alle criticità che possono incontrare le pubbliche amministrazioni (come ad esempio il provvedimento di nomina del Data Protection Officer o le modalità per adeguare i contratti in essere con i propri fornitori). Per info su programma e iscrizioni cliccate qui: https://lnkd.in/d8deZrD

Garanti UE: approvate Linee Guida per l’attuazione del nuovo Regolamento Privacy

Come molti già sapranno, il nuovo Regolamento Privacy (Regolamento UE 2016/679), pubblicato lo scorso 4 maggio ed entrato in vigore il 24 dello stesso mese, sarà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

Quello che ancora in pochi sanno è, tuttavia, che per la sua completa attuazione sarà richiesta e si renderà necessaria la collaborazione degli Stati Membri, che dovranno, a tal fine, seguire quanto indicato dal Gruppo dei Garanti UE (WP 29) nei propri provvedimenti.

Un primo passo in tal senso si è avuto lo scorso 13 dicembre, giorno nel quale sono state approvate, dal Gruppo dei Garanti Ue (WP 29), una serie di Linee Guida relative ad alcune delle principali novità introdotte con il nuovo Regolamento Privacy.

I documenti, al momento disponibili solo in lingua inglese, si concentrano principalmente su tre profili: il Data Protection Officer, il diritto alla portabilità dei dati, i criteri per l’individuazione dell’Autorità Capofila.

1. Il Data Protection Officer o Responsabile del trattamento è una figura prevista dal Regolamento Privacy all’art. 37.
In particolare al DPO compete: fornire consulenza al titolare o al responsabile sugli obblighi derivanti dalla normativa; sorvegliare l’osservanza dell’applicazione del regolamento; cooperare con le autorità di controllo.
È opportuno evidenziare in tale sede come la sua nomina sarà obbligatoria per tutti i soggetti pubblici e solo per alcuni soggetti privati e dovrà possedere una serie di competenze tecniche e professionali, nonché godere di indipendenza ed inamovibilità nell’ambito dell’organizzazione gestita dal titolare del trattamento, secondo quanto indicato nel documento promosso dal WP 29.

2. Sicuramente, il diritto alla portabilità dei dati è una delle novità maggiormente apprezzate del nuovo Regolamento europeo. Consiste, essenzialmente, nel diritto dell’interessato sia di poter ricevere in formato strutturato, comune e leggibile i dati da lui forniti ad un titolare del trattamento, sia di poter agevolmente trasferire i dati da lui forniti, da un titolare del trattamento ad un altro. Considerando l’era digitale nella quale viviamo e che i social network e la posta elettronica rappresentino strumenti indispensabili nella vita privata e lavorativa di ciascuno di noi, è chiaro che questa novità rappresenti sicuramente un profilo innovativo e rilevante che incarna l’essenza della libertà di scelta dell’utente rispetto ai servizi offerti sul mercato dai diversi operatori. Le linee guida promosse dal Gruppo dei Garanti tendono ad evidenziare tale assunto.

3. Da ultimo, ma non per importanza, il Gruppo dei Garanti Ue si è anche espresso con un separato documento sui criteri da dover seguire per la corretta individuazione dell’Autorità Capofila nel caso in cui trattamenti siano transnazionali e coinvolgano la competenza di più Autorità nazionali di Controllo.

È innegabile che quanto approvato pochi giorni fa, dal Gruppo dei Garanti Ue, rappresenti solo un primo passo, seppur apprezzabile, nel lungo percorso che potrà ritenersi effettivamente concluso, forse, nel 2018.

La complessità dell’opera di riforma, rispetto alla quale molti degli operatori presenti sul mercato dovranno quotidianamente ed attentamente interfacciarsi, per evitare di incorrere nelle pesanti sanzioni milionarie previste dal nuovo Regolamento, appare dunque sempre più chiara.

Lo Studio E-Lex, grazie all’esperienza maturata, assiste e supporta pubbliche amministrazioni e privati nel processo di adeguamento alla normativa europea. Per maggiori informazioni e contatti, clicca qui.

Start up e diritto: cosa bisogna sapere?

In questo video, pubblicato da SMAU Academy, Giovanni Maria Riccio, socio dello studio e-Lex spiega i principi giuridici della start-up.

 

Corso di aggiornamento: Il nuovo Regolamento generale sulla protezione dei dati personali

Lo Studio Legale e-Lex organizza quattro incontri di formazione e di aggiornamento sul nuovo Regolamento Generale in materia di protezione dei dati personali. Ogni incontro avrà la durata di quattro ore e sarà tenuto presso la sede dello studio, nel centro storico di Roma (zona Largo Argentina). Ai partecipanti sarà distribuito materiale informativo, contenente le maggiori novità legislative e giurisprudenziali in materia di privacy, oltre ad una raccolta di articoli curata dai soci dello studio. È prevista una sezione Q&A, per rispondere ai quesiti dei partecipanti. Il corso è gratuito per i soggetti rientranti nella categorie dei destinatari, fino ad esaurimento dei posti disponibili.

Destinatari

Data Protection Officer, Avvocati in-house, Responsabili HR e gestione del personale, Digital specialist, Responsabili marketing e social media, Sviluppatori software, Pubbliche amministrazioni.

Programma

Primo incontro

Introduzione al Regolamento

Ambito di applicazione soggettivo e oggettivo

Dati personali, dati sensibili, dati giudiziari, dati anonimi

Principi del Regolamento (Liceità, finalità, necessità, proporzionalità, pertinenza)

One Stop Shop

Titolare del trattamento, responsabile, data protection officer

Titolarità nei gruppi societari

Q&A

Secondo incontro

Informativa e consenso

Diritti dell’interessato

Diritto di accesso e riscontro all’interessato

Portabilità

Regole di accountability

Privacy by Design e Privacy by Default

Diritto all’oblio, rettificazione, cancellazione

Q&A

Terzo incontro

Particolari tipologie di trattamento (giornalisti, minori, ecc.)

Profilazione e Registro delle opposizioni

Big data e compliance normativa

Privacy impact assessments (PIA) e data audit

Misure di sicurezza

Mappatura dei flussi di dati

Risk management, data breach e obblighi del titolare

Q&A

Quarto incontro

Trasferimento di dati all’estero. Il Privacy Shield

Data retention e cloud computing

Codici di condotta e certificazioni

Le Autorità Garanti (nazionali ed europee)

Reclami, ricorsi e segnalazioni

Sanzioni

Risarcimento danni

Q&A

Docenti

Guido Scorza Partner dello studio e-Lex. Insegna presso le Università di Bologna e di Roma. Assiste compagnie di telecomunicazioni, startup, società editoriali.

Giovanni Maria Riccio Partner dello studio e-Lex. Professore di Diritto della comunicazione nell’Università di Salerno, assiste compagnie di telecomunicazioni, società radiofoniche e agenzie pubblicitarie.

Ernesto Belisario Partner dello studio e-Lex. Consulente di pubbliche amministrazioni, enti ospedalieri e startup. Esperto di archiviazione documentale, è consulente governativo.

Alessandro Di Gioia Partner dello studio e-Lex. Assiste società radiofoniche, agenzie pubblicitarie, incubatori e startup.

Maria Laura Salvati Senior associate dello studio e-Lex. Consulente di compagnie telefoniche e startup.

 

Date

10 novembre 2016 – 15-19

17 novembre 2016 – 15-19

24 novembre 2016 – 15-19

1 dicembre 2016 – 15-19

Nel corso di ogni giornata formativa è previsto un coffee & tea break e, al termine, un light aperitif.

Sede 

Studio legale e-Lex

Via dei Barbieri 6

00186 – Roma

Per maggiori informazioni: posta@e-lex.it

 

Le novità in tema di Data Protection Officer

Una delle maggiori novità del Regolamento privacy è rappresentata dall’introduzione della figura del data protection officer (o responsabile della protezione dei dati). Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è facoltativa.

Il responsabile della protezione dei dati sembra presentare numerose analogie con il datenschutzbeauftragter introdotto nell’ordinamento tedesco nel 2003. Il diritto tedesco, al pari dell’originaria formulazione dell’art. 37 del Regolamento, àncora l’obbligo di nomina del DPO alla presenza di un numero minimo di dipendenti preposti a mansioni che implicano il trattamento di dati personali.

Un’ulteriore corrispondenza si rinviene nell’art. 38, par. 1 del Regolamento, stabilisce che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, nonché nel divieto di penalizzare il DPO per il suo ruolo, atteso il divieto, in capo al titolare del trattamento, di rimuoverlo o penalizzarlo “per l’adempimento dei propri compiti”. Il Regolamento segue la legge tedesca anche nell’assegnare al DPO il diritto di relazionare “direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, evitando rapporti diretti con altri soggetti.

A ben vedere, di là dalle singole disposizioni, sembra essere circolata l’idea di fondo del modello tedesco, basato su di un approccio di corporate self-monitoring (e di self-responsibility), nel quale le società si fanno carico dell’adeguamento e del controllo capillare sulla gestione dei dati personali. Un complesso uniforme di regole che si rimette alla self-governance delle imprese le quali, incentivate da un quadro sanzionatorio molto rigoroso, hanno interesse a rispettare la disciplina applicabile.

La nomina di un DPO è obbligatoria in tre casi:

  1. a) per le amministrazioni e gli organismi pubblici, con esclusione delle autorità giurisdizionali quando esercitano le loro funzioni;
  2. b) laddove le attività principali di titolare o responsabile consistano in trattamenti che, per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) laddove le attività principali di titolare o responsabile consistano in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale), di dati genetici, di dati giudiziari e di dati biometrici.

L’obbligo è imposto, quindi, solo sulle grandi società o, per essere più precisi, sulle società che trattano una mole significativa di dati personali o di dati rientranti nel c.d. “nocciolo duro” della privacy.

L’art. 37 ammette poi che un gruppo imprenditoriale o più enti pubblici possano nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

In caso di nomina del DPO – che, ai sensi del comma 6 dell’art. 37, può essere un dipendente o un soggetto esterno – è necessario che i suoi dati di contatto siano resi pubblici e comunicati al Garante nazionale.

La scelta se nominare un soggetto interno o esterno è rimessa al titolare del trattamento: chi scrive, tuttavia, è dell’avviso che, soprattutto gli enti pubblici e le medie e grandi imprese, dovrebbero preferire un soggetto esterno attesa la difficoltà di reperire, all’interno del proprio organigramma, professionisti dotati dei requisiti di esperienza e professionalità richiesti dalla normativa comunitaria.

Corte di Cassazione: dopo due anni, diritto all’oblio sugli articoli

Il dibattito sul difficile, e a volte mal riuscito, equilibrio tra diritto all’ oblio “the right to be forgotten” e il diritto di cronaca, espressione del diritto alla libera manifestazione del pensiero riconosciuto dall’art. 21 della Costituzione, si riaccende dopo l’ultima pronuncia della Corte di Cassazione n. 13161 del 24 giugno 2016. Perché la pronuncia porta a riflettere? Semplice, perché costituisce una palese distorsione di quanto affermato fin ora rispetto al diritto all’oblio. Proviamo a fare chiarezza.

La Corte di Cassazione già in passato con un’importante pronuncia n. 5525 del 4 aprile 2012, aveva preso posizione sul diritto all’oblio. Il caso riguardava un politico che, arrestato per corruzione nel lontano 1993 per poi essere successivamente assolto, lamentava che nell’archivio online di un’importante testata giornalistica, comparisse a distanza di molti anni, la notizia del suo arresto senza però che venisse fatta alcuna menzione dell’epilogo della vicenda risoltasi con la sua assoluzione. La Suprema Corte in quella sede, richiamando la disciplina prevista dal Codice Privacy d.lgs. 196/2003, ed in particolare l’art.11, sottolineava come l’interessato avesse diritto a che le informazioni oggetto di trattamento rispondessero non solo ai criteri di pertinenza, proporzionalità e necessità, ma fossero anche esatte e coerenti con la sua identità personale. E così, se da un lato si riconosceva che l’interesse del pubblico all’informazione può a volte costituire limitazione al diritto alla riservatezza del soggetto a cui i dati si riferiscono, nondimeno il diritto all’oblio, inteso come diritto “a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo abbiano perso rilevanza per la generalità dei consociati”, deve essere riconosciuto all’interessato. Tuttavia, così come sostenuto dai giudici, ciò non esclude che per la rilevanza storica del fatto di cronaca, anche a distanza di tempo, possa comunque persistere un interesse del pubblico alla conoscenza della notizia ma di questa devono darsi necessari aggiornamenti attraverso la predisposizione di sistemi volti ad indicare, nel corpo dell’articolo pubblicato o a margine dello stesso, i successivi sviluppi della vicenda, perché una notizia non aggiornata è una notizia non vera.

La sentenza sottolinea il vero cuore del diritto all’oblio che non è quello del singolo di poter cancellare la storia censurando il diritto di cronaca, ma il diritto dello stesso a che la notizia venga contestualizzata ed aggiornata offrendo una visione coerente della propria identità personale.

Si giunge così alla nota sentenza del 2014 cd. Google Spain della Corte di giustizia C-131/12, che ha avuto certamente il merito di riconoscere il diritto all’oblio del singolo nei confronti del gestore di un motore di ricerca. In questo caso, il diritto all’oblio è stato inteso quale diritto di ogni singola persona di richiedere direttamente al gestore del motore di ricerca, o in caso di inerzia di questo alle autorità competenti, la rimozione dall’elenco dei risultati di ricerca effettuata digitando il proprio nome, di link che riportano a pagine web pubblicate da soggetti terzi e contenenti informazioni a lui relative, e ciò a prescindere dal fatto che le informazioni vengano rimosse direttamente anche dalla pagina web dell’editore o che si tratti di informazioni veritiere e pubblicate lecitamente. Il diritto del singolo alla deindicizzazione dei risultati è giustificato infatti dalla circostanza, sottolineata dagli stessi giudici, che grazie all’attività del motore di ricerca, gli utenti del web possono accedere ad una moltitudine di informazioni, spesso irreperibili in altro modo nel mare di internet, che consentono di tracciare il profilo del soggetto su cui si incentra la ricerca. È evidente l’ingerenza di tale profilazione sulla vita privata del soggetto. Ma quel che è ancora più importante sottolineare, in tale sede, è che il diritto all’oblio così inteso non può riconoscersi a prescindere proprio perché potrebbero esserci evidenti ripercussioni negative sul legittimo interesse ad essere informati e, come sostengono i giudici della Corte,

se indubbiamente i diritti della persona interessata prevalgono, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta nonché dall’interesse del pubblico a ricevere tale informazione, il quale può variare in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica.”

I giudici della Corte Europea attentamente colgono l’importanza che tale diritto del singolo sia valutato nel caso di specie e riconosciuto in presenza di determinati presupposti. Ed è apprezzabile come tale principio sia stato correttamente richiamato in un recente provvedimento del Garante Privacy n. 4988654 del 31 marzo 2016 in cui si è negato il diritto all’oblio per un ex- terrorista.

Ma, proprio alla luce del quadro appena tracciato, occorre esaminare la posizione ampiamente criticata ed assunta dalla Corte di Cassazione con la pronuncia del 24 giugno 2016 n 13161/2016. I giudici infatti, andando ben oltre il diritto del singolo alla deindicizzazione dei risultati offerti da un motore di ricerca, in presenza di determinate condizioni, sembrano aver dato netta prevalenza alla riservatezza del singolo a discapito del diritto di cronaca intervenendo seppur indirettamente sugli archivi online di testate giornalistiche. Hanno affermato, sulle orme di quanto detto dal Tribunale nel procedimento in commento, che

la facile accessibilità e consultabilità dell’articolo giornalistico, superiore quelle dei quotidiani cartacei, tenuto conto dell’ampia diffusione locale del giornale online, consentiva di ritenere che dalla data di pubblicazione fino a quella della diffida stragiudiziale fosse trascorso sufficiente tempo perché le notizie divulgate potessero aver soddisfatto gli interessi pubblici sottesi al diritto di cronaca giornalistica”.

In sostanza, seppur la rimozione dell’articolo dall’archivio della testata online, nel caso di specie fosse avvenuta spontaneamente, quel che assume rilievo è che la Cassazione, a circa due anni dai fatti oggetto della notizia di un procedimento ancora in corso, appellandosi ad un presunto diritto all’oblio, e ritendendo soddisfatto l’interesse pubblico ad esser informati, ha consentito che il diritto di cronaca cedesse il passo al diritto alla reputazione del singolo.

Ma a questo punto è opportuno chiedersi se con tale pronuncia la Corte abbia o meno innescato un pericolosissimo meccanismo, non solo per la distorsione del diritto all’oblio quale possibilità del singolo di cancellare ogni traccia del passato, ma soprattutto per l’interferenza che i giudici potrebbero avere rispetto al diritto di cronaca.

Altra spinosa questione sarà poi rintracciare una coerenza tra tale pronuncia della Cassazione e l’art. 17 del Nuovo regolamento Privacy 2016/679 che sarà applicato dal 2018, e che espressamente riconosce il “diritto alla cancellazione” quale diritto all’oblio. Infatti, se da un lato l’articolo al comma 1 riconosce che in presenza di uno dei motivi elencati ,

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, dall’altro, al comma 3, viene precisato che tale obbligo di cancellazione, trova il proprio limite qualora il trattamento dei dati del soggetto richiedente sia necessario “a) per l’esercizio del diritto alla libertà di espressione e di informazione” o “d) a fini di archiviazione nel pubblico interesse”.

Dalla breve disamina fatta è evidente come la partita dell’equilibrio tra diritto all’oblio e diritto di cronaca, si giochi su un terreno ancora fertile in cui il ruolo degli avvocati e dei giudici assume rilevanza preminente per evitare interpretazioni fallaci e pericolose di un diritto, come quello all’oblio, che in una realtà informatica come la nostra, assumerà un sempre maggior rilievo.

Lo scudo privacy ci tutelerà?

Dopo essere trascorsi oltre nove mesi dalla Sentenza della Corte di Giustizia Europea che ha annullato l’accordo di “safe harbor” in materia di privacy, lo scorso 12 luglio la Commissione Europea ha finalmente raggiunto una nuova intesa con gli Stati Uniti per regolare il trasferimento oltreoceano dei dati personali europei.

L’accordo, definito in modo molto eloquente dagli stessi componenti della Commissione come “Scudo UE-USA per la privacy” viene descritto come “un sistema nuovo e solido che offrirà agli europei la protezione dei dati personali, e alle imprese la certezza del diritto. Rafforzerà le norme sulla protezione dei dati, che saranno fatte rispettare più rigorosamente, offrirà garanzie riguardo all’accesso da parte delle autorità pubbliche e semplificherà per le singole persone le possibilità di ricorso in caso di reclamo”.

 

Lo Scudo privacy prevederà, infatti, obblighi rigorosi per le imprese statunitensi che aderiranno allo Scudo, il cui rispetto sarà costantemente sottoposto a verifica da parte del Dipartimento del Commercio USA.

Saranno previste, inoltre, maggiori garanzie relativamente all’accesso ai dati da parte del governo statunitense. Quest’ultimo ha, in particolare, assicurato ufficialmente che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza sarà soggetto a garanzie e sistemi di vigilanza più stringenti, cercando di escludere, così, attività indiscriminate di sorveglianza di massa sui dati personali.

Inoltre, al fine di fornire una tutela sostanziale dei diritti individuali, lo Scudo privacy disporrà anche di meccanismi di composizione delle controversie per coloro che riterranno di aver subito un abuso.

Le persone potranno rivolgersi perfino alle rispettive autorità nazionali di protezione dei dati le quali, attraverso la collaborazione con la Commissione federale del Commercio USA, assicureranno che i casi di reclamo siano effettivamente esaminati e risolti.

Infine, qualora tutti i mezzi di tutela a disposizione dovessero alla fine dimostrarsi vani, il caso oggetto di presunto abuso sarà sottoposto ad un procedimento arbitrale predisposto ad hoc.

Da quanto affermato nel comunicato stampa pubblicato dalla Commissione la “decisione di adeguatezza” dell’accordo è stato già notificato agli Stati membri, entrando così in vigore automaticamente.

A partire dal prossimo 1° agosto, invece, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio statunitense.

Grazie allo Scudo privacy gli accordi commerciali tra UE e USA, messi a dura prova dall’invalidazione del safe harbor, potranno ora tornare finalmente a navigare nelle acque tranquille di una disciplina più chiara. Tuttavia, ci si domanda: per i cittadini sarà altrettanto efficace? Noi vi terremo aggiornati!

 

La Corte di Cassazione sulle telefonate mute

La Corte di Cassazione, con sentenza depositata il 4 febbraio scorso, ha confermato l’illiceità delle cc.dd. telefonate mute.

Molti call center, infatti, per ridurre i tempi morti tra una telefonata e l’altra, generano chiamate per mezzo di sistemi automatizzati, senza che vi sia un operatore disponibile a rispondere. Ciò determina lunghi silenzi e, in taluni casi, imbarazzo o preoccupazione nel destinatario della chiamata (alle volte contattato anche 10 o 15 volte nello spazio di poche ore). (altro…)

Il Garante privacy sanziona la formazione di elenchi telefonici con dati presi dal web

Il Garante per la protezione dei dati personali ha sanzionato una società che “pescava” on line, per mezzo di appositi software, dati e informazioni per realizzare elenchi telefonici.

Il Garante ha ricordato la necessità di utilizzare il DBU (data base degli utenti) l’archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

L’unica possibile alternativa è rappresentata dalla possibilità di raccogliere i consensi dei singoli utenti.

Ulteriori informazioni sul caso sono disponibili sul sito del Garante.

La Commissione e gli Stati Uniti si accordano sul Privacy Shield

La Commissione europea e il governo americano hanno raggiunto un’intesa sul Privacy Shield, l’accordo che dovrebbe sostituire i safe harbor agreement dopo la sentenza Schrems della Corte di Giustizia.
Il testo dell’accordo non è stato ancora licenziato, ma prevedrà maggiori garanzie per i cittadini comunitari, l’impegno da parte degli Stati Uniti di limiti chiari, garanzie e meccanismi di controllo nelle attività di sorveglianza per motivi di sicurezza nazionale e regole certe per le imprese.
Il comunicato stampa della Commissione europea è disponibile all’indirizzo http://europa.eu/rapid/press-release_IP-16-216_en.htm.