Garanti UE: approvate Linee Guida per l’attuazione del nuovo Regolamento Privacy

Come molti già sapranno, il nuovo Regolamento Privacy (Regolamento UE 2016/679), pubblicato lo scorso 4 maggio ed entrato in vigore il 24 dello stesso mese, sarà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

Quello che ancora in pochi sanno è, tuttavia, che per la sua completa attuazione sarà richiesta e si renderà necessaria la collaborazione degli Stati Membri, che dovranno, a tal fine, seguire quanto indicato dal Gruppo dei Garanti UE (WP 29) nei propri provvedimenti.

Un primo passo in tal senso si è avuto lo scorso 13 dicembre, giorno nel quale sono state approvate, dal Gruppo dei Garanti Ue (WP 29), una serie di Linee Guida relative ad alcune delle principali novità introdotte con il nuovo Regolamento Privacy.

I documenti, al momento disponibili solo in lingua inglese, si concentrano principalmente su tre profili: il Data Protection Officer, il diritto alla portabilità dei dati, i criteri per l’individuazione dell’Autorità Capofila.

1. Il Data Protection Officer o Responsabile del trattamento è una figura prevista dal Regolamento Privacy all’art. 37.
In particolare al DPO compete: fornire consulenza al titolare o al responsabile sugli obblighi derivanti dalla normativa; sorvegliare l’osservanza dell’applicazione del regolamento; cooperare con le autorità di controllo.
È opportuno evidenziare in tale sede come la sua nomina sarà obbligatoria per tutti i soggetti pubblici e solo per alcuni soggetti privati e dovrà possedere una serie di competenze tecniche e professionali, nonché godere di indipendenza ed inamovibilità nell’ambito dell’organizzazione gestita dal titolare del trattamento, secondo quanto indicato nel documento promosso dal WP 29.

2. Sicuramente, il diritto alla portabilità dei dati è una delle novità maggiormente apprezzate del nuovo Regolamento europeo. Consiste, essenzialmente, nel diritto dell’interessato sia di poter ricevere in formato strutturato, comune e leggibile i dati da lui forniti ad un titolare del trattamento, sia di poter agevolmente trasferire i dati da lui forniti, da un titolare del trattamento ad un altro. Considerando l’era digitale nella quale viviamo e che i social network e la posta elettronica rappresentino strumenti indispensabili nella vita privata e lavorativa di ciascuno di noi, è chiaro che questa novità rappresenti sicuramente un profilo innovativo e rilevante che incarna l’essenza della libertà di scelta dell’utente rispetto ai servizi offerti sul mercato dai diversi operatori. Le linee guida promosse dal Gruppo dei Garanti tendono ad evidenziare tale assunto.

3. Da ultimo, ma non per importanza, il Gruppo dei Garanti Ue si è anche espresso con un separato documento sui criteri da dover seguire per la corretta individuazione dell’Autorità Capofila nel caso in cui trattamenti siano transnazionali e coinvolgano la competenza di più Autorità nazionali di Controllo.

È innegabile che quanto approvato pochi giorni fa, dal Gruppo dei Garanti Ue, rappresenti solo un primo passo, seppur apprezzabile, nel lungo percorso che potrà ritenersi effettivamente concluso, forse, nel 2018.

La complessità dell’opera di riforma, rispetto alla quale molti degli operatori presenti sul mercato dovranno quotidianamente ed attentamente interfacciarsi, per evitare di incorrere nelle pesanti sanzioni milionarie previste dal nuovo Regolamento, appare dunque sempre più chiara.

Lo Studio E-Lex, grazie all’esperienza maturata, assiste e supporta pubbliche amministrazioni e privati nel processo di adeguamento alla normativa europea. Per maggiori informazioni e contatti, clicca qui.

Google: nuovi obblighi dal Garante Privacy

Con un provvedimento prescrittivo dello scorso 10 luglio si è conclusa l’istruttoria – avviata il 2 aprile 2013 dal Garante per la protezione dei dati personali italiano – volta al controllo della liceità e della correttezza dei trattamenti dei dati personali operati da Google Inc. a seguito della nuova privacy policy adottata dalla società.

Nel gennaio 2012 Google aveva, infatti, annunciato che dal successivo 1° marzo avrebbe unificato in un unico documento le regole di gestione dei dati relative alla fornitura dei diversi servizi – dalla posta elettronica (Gmail) alle mappe on line (Google Street View), dalla gestione dei pagamenti (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, libri, musica, riviste, giochi (Google Play), dal social network (Google Plus) alla diffusione e visualizzazione di filmati (You Tube), ecc… – procedendo, in questo modo, all’integrazione e interoperabilità dei diversi prodotti e all’incrocio dei dati degli utenti relativi all’utilizzo di una pluralità di servizi.

Benché Google abbia adottato nel corso della predetta procedura una serie di misure e di modifiche della propria privacy policy, al fine di renderla quanto più possibile conforme alle disposizioni di legge in materia, all’esito dell’istruttoria il Garante Privacy italiano ha comunque riscontrato una serie di criticità riguardanti, in particolare: a) l’inadeguatezza dell’informativa fornita agli utenti: b) la mancata richiesta di consenso per finalità di profilazione; c) l’incertezza sui tempi di conservazione dei dati.

a) L’Autorità ha prescritto a Google di adottare – in conformità alle disposizioni di cui all’art. 13 del Codice Privacy – un sistema di informativa strutturato a più livelli che in ogni caso chiarisca all’utente che i suoi dati personali sono monitorati e utilizzati anche a fini di profilazione per pubblicità mirata e che tali dati vengono raccolti anche con tecniche più sofisticate dei semplici cookie, come il fingerprinting;

b) quanto al consenso, il Garante ha stabilito che l’utilizzazione da parte di Google dei dati personali degli utenti a fini di profilazione e pubblicità comportamentale personalizzata non potrà che avvenire previa acquisizione del consenso degli utenti stessi – secondo le modalità previste dagli artt. 23 e 24 del Codice Privacy -, non potendosi intendere il semplice utilizzo del servizio da parte dell’utente come accettazione incondizionata al trattamento dei propri dati.

A tal fine l’autorità ha indicato un meccanismo semplice e innovativo che consenta all’utente di scegliere in modo consapevole se fornire o meno il proprio consenso alla profilazione;

c) in relazione alla conservazione dei dati, Google dovrà definire tempi certi di conservazione, sulla base dell’art. 11, lettera e) del Codice Privacy, sia per quanto riguarda quelli mantenuti sui sistemi “attivi” che per quanto riguarda quelli archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione di dati personali provenienti dagli utenti in possesso di un account Google, il Garante ha stabilito che tali richieste siano soddisfatte entro un termine massimo di due mesi (da intendersi come 62 giorni solari), se i dati sono conservati su sistemi “attivi”, e entro sei mesi (da intendersi come 180 giorni solari), laddove si tratti di dati archiviati su sistemi di back up.

Quanto alle richieste di cancellazione relative all’esercizio del diritto all’oblio avanzate in ordine ai risultati ottenuti attraverso l’utilizzo del motore di ricerca (Google search), l’Autorità ha ritenuto opportuno attendere gli sviluppi applicativi della recente pronuncia della Corte di Giustizia dell’Unione Europea del 13 maggio scorso (Causa C-131/12).

Si tratta, dunque, di un provvedimento – il primo in Europa – che non si limita a richiamare il rispetto delle disposizioni dettate in materia di protezione dei dati personali, ma che indica in concreto le misure da adottarsi affinché sia assicurata la conformità alla legge.

Per farlo Google avrà 18 mesi di tempo dalla notifica del provvedimento, a cui si rinvia per la lettura integrale.

The New Cookies Provisions of the Italian Data Protection Authority

The new provisions on consent and privacy policy for using cookies, held by the Italian Data Protection Authority, has been published yesterday in the Official Gazette.

First of all, the long-expected provision emphasizes the distinction between the so-called technical cookies and the so-called profiling cookies. In order to process the first ones will be sufficient to provide users with a privacy policy, while, for using the latter ones a specific consent, even if through a simplified procedure, will be required.

In this regard, however, the DPA recalls that when cookies are used for profilization it is also necessary to notify to the authority this treatment before starting it.

The other essential demarcation underlined by the provision is between the so-called “first party cookies”, i.e. cookies “launched” on users’ devices directly from the editor of the website or otherwise under his control, and the so-called “third-party cookies”, which are installed on devices by third parties other than the editor of the visited website.

This distinction is essential since it draws a line between the liability of publishers, whose work is limited to the processing of personal data related to the installation of his own cookies – no matter if technical or profiling – and the liability of other subjects which use, as a part of advertising contracts, the pages of the editor of the website to install their own cookies on users’ devices.

On this point the DPA is clear: as for the to third parties cookies, the editor acts as a mere technical intermediary and does not have any responsibility for privacy infringements.

From a practical point of view, the editor is expected to provide a privacy policy, to be published through a special banner shown on the homepage of the website. The banner should be articulated on two distinct levels. The first one advising users that cookies are installed through the website, from first and third parties, allowing users to provide their consent without examining the terms of such data processing. The second one – accessible through a link to be posted on same banner – through which the editor should provide further information, especially for third parties cookies, concerning the different treatments, allowing user  to provide their consent in a selective way, even for each single cookie .

Taking into account the difficult technical implementation of the new rules, the DPA has postponed for 12 months the deadline to comply with the new measures.

The full text is available here.

In Gazzetta Ufficiale le indicazioni del Garante Privacy sui Cookie

È stato pubblicato ieri sulla Gazzetta Ufficiale il provvedimento con il quale il Garante per il trattamento dei dati personali ha dettato regole e modalità relative alla prestazione dell’informativa ed all’acquisizione del consenso sull’uso dei cookie.

Atteso ormai da tempo il provvedimento ribadisce, innanzitutto, la netta distinzione tra i cookie c.d. tecnici e quelli di profilazione, chiarendo che per i primi sarà sufficiente dare un’informativa ai visitatori del sito mentre per i secondi sarà necessario chiedere ed ottenere apposito consenso, benché attraverso la procedura, decisamente semplificata, delineata nel provvedimento.

Al riguardo, peraltro, il Garante ricorda che allorché i cookie siano utilizzati con finalità di profilazione è necessario procedere alla notificazione del relativo trattamento prima di iniziarlo.

L’altra linea di demarcazione essenziale delineata dal Garante nell’universo dei cookie è quella tra i “biscottini” c.d. “di prima parte” ovvero “lanciati” sui dispositivi degli utenti direttamente dal gestore del sito visitato o, comunque, sotto il suo controllo e i cookie c.d. di “terze parti”, ovvero installati sui dispositivi da soggetti diversi dal gestore del sito visitato.

Si tratta di una distinzione di fondamentale rilievo giacché essa consente di tracciare una linea di demarcazione netta tra la responsabilità degli editori che si ferma ai trattamenti di dati personali connessi all’installazione dei propri cookie – tecnici e di profilazione c.d. “di prima parte” – e quella della miriade di piccoli, grandi e grandissimi soggetti che utilizzano, nell’ambito dei contratti pubblicitari, le pagine degli editori per installare, sui dispositivi degli utenti, i propri cookie.

Sul punto il Garante è chiaro e inequivoco: l’editore, in relazione ai cookie c.d. “di terza parte” si trova in una posizione di semplice intermediario tecnico e non può avere alcuna responsabilità sotto il profilo della privacy.

Da un punto di vista pratico, la soluzione proposta nel provvedimento prevede un’informativa, da fornirsi attraverso un apposito banner in evidenzia sulla pagina web di accesso al sito da parte del visitatore – che si tratti della home page o di una pagina diversa – articolata su due distinti livelli: un primo contenente un’indicazione sintetica della circostanza che attraverso il sito sono installati cookie di prime e di terze parti e viene offerta al visitatore la possibilità di prestare il consenso senza approfondire i termini di tali trattamenti ed una seconda – accessibile attraverso un link da pubblicare sul medesimo banner – attraverso la quale occorrerà, invece, specie per i cookie di “terze parti” fornire agli interessati una dettagliata informazione circa i soggetti titolari dei diversi trattamenti, garantendo la possibilità di prestare il consenso in modo selettivo per ogni singolo cookie.

Consapevole della non facile implementazione tecnica delle nuove regole, il Garante ha posticipato di 12 mesi – a partire da ieri 3 giugno – il termine per adeguarsi al provvedimento.

Il testo integrale è disponibile qui.

Privacy: il Parlamento Europeo non accetta altri rinvii

Ho un messaggio chiaro al Consiglio: ogni ulteriore rinvio sarebbe irresponsabile”.

Così si è espresso, senza nascondere la propria delusione, Jan Philipp Albrecht, relatore per il regolamento generale della protezione dati, dopo l’approvazione in prima lettura da parte del Parlamento Europeo con 621 voti a favore, 10 contrari e 22 astensioni. La riforma del pacchetto protezione dati infatti, non potrà vedere la luce entro la fine di questo mandato.

A detta di Albrecht, il ritardo nella riforma sarebbe ascrivibile esclusivamente alla mancata presa di posizione da parte del Consiglio dinanzi all’indecisione di alcuni Stati membri. Il rischio è che, una volta insediato il nuovo Parlamento con le elezioni europee di maggio, il lavoro fatto fino ad potrebbe andare completamente perso.

Nel comunicato stampa diffuso, il Parlamento Europeo sintetizza tutte le novità che si sarebbero volute raggiungere con l’introduzione del nuovo regolamento generale e della direttiva: un maggiore controllo dei dati da parte dei soggetti interessati, una più semplice circolazione degli stessi all’interno del territorio dell’Unione e sanzioni più dure per chi infrange le regole.

In merito a questo ultimo punto, è molto interessante notare come la direzione presa dal Parlamento, molto lontana dalla proposta della Commissione, sembra essere caratterizzata da una maggiore severità: le imprese che non rispettano le regole imposte, rischierebbero multe fino a 100 milioni di euro o fino al 5% del fatturato mondiale annuo. Una presa di posizione che conferma quanto i deputati considerino serio il problema della tutela della privacy.

Al centro della nuova riforma è anche la circolazione dei dati personali in Rete, con restrizioni sulla profilazione, semplificazione delle procedure per la cancellazione dei propri dati e, soprattutto, l’obbligo per le imprese di rendere informative più chiare e comprensibili.

Al momento non si può far altro che attendere l’elezione dei nuovi deputati per conoscere le sorti della riforma.

Convegno “Privacy Outlook – Il nuovo Regolamento Europeo tra attese e preoccupazioni”

locandina privacy outlook

Lunedì 24 febbraio a Roma presso la Sala del Cenacolo della Camera dei deputati avrà luogo il convegno “Privacy Outlook – Il nuovo Regolamento Europeo tra attese e preoccupazioni”. L’incontro ha lo scopo di approfondire le misure previste dal nuovo Regolamento Europeo sulla tutela della privacy, presentato il 25 dicembre 2012 ed in corso di approvazione.

Il Prof. Avv. Giovanni Maria Ricciosenior partner dello studio E-Lex, sarà tra i relatori dell’evento al quale interverranno anche Giovanni Buttarelli, Garante europeo aggiunto per la protezione dei dati personali; Luigi Montuori, dirigente al Garante italiano e capo del dipartimento comunicazioni e reti telematiche; Emilio De Capitani, ex funzionario del Parlamento europeo; Giusella Finocchiaro, professore ordinario di diritto di internet e diritto privato all’Università di Bologna; Luigi Birritteri, capo dipartimento dell’organizzazione giudiziaria del Ministero della Giustizia; Giuseppe Corasaniti, sostituto procuratore generale presso la Corte Suprema di Cassazione; Fabio Bartolomeo, direttore generale di Statistica del Ministero della Giustizia; Marco Cappato, ex deputato europeo, vincitore del premio “Europeo dell’anno” da parte del settimanale “European voice”.