4 anni fa
Regolamento UE Privacy: iter di adeguamento
Come ormai è noto, il 25 Maggio 2018 sarà direttamente applicabile il Regolamento UE Privacy 2016/679, in sostituzione degli attuali Codici Privacy nazionali di ogni singolo Paese UE. Entro tale data, PA e imprese dovranno essere compliant, senza possibilità di usufruire di un ulteriore periodo di adattamento. Infatti è bene ricordare che il Regolamento UE Privacy è in vigore dal 24 Maggio 2016 e la data di applicazione diretta del 25 Maggio 2018 è, appunto, funzionale all'iter di adeguamento che PA e imprese dovranno necessariamente intraprendere in questo periodo. Tuttavia, ad oggi, la consapevolezza di dover procedere con questo percorso di compliance è ancora bassa e percepito come un ulteriore, nonché costoso, passaggio puramente burocratico, con il rischio concreto di arrivare a Maggio 2018 senza aver compiuto i necessari step normativi. Regolamento UE Privacy: i principi di "privacy by default" e "privacy by design" Per intenderci, non sarà possibile l'approccio già riscontrato per la messa a norma dei siti web con riferimento alla Cookies Policy, in quanto il Regolamento UE Privacy impone adempimenti strutturati e corposi, che richiedono tempi tecnici adeguati e variabili a seconda della complessità della realtà in cui si dovrà operare. Il punto fondamentale consiste nel fatto che, a cambiare, è il concetto di fondo stesso: se oggi, per essere in regola, è sufficiente adempiere alla prescrizioni minime indicate dalla legge, il Regolamento UE Privacy introduce il principio di accountability, che ribalta completamente l'approccio attuale. Secondo il Regolamento UE Privacy, infatti, le PA e le imprese avranno l'obbligo di dimostrare di aver adottato tutte le misure necessarie per garantire il rispetto della privacy e dovranno essere gli stessi soggetti ad individuare tali misure di sicurezza. Questo significa che non si potrà prescindere da determinate attività propedeutiche alla costruzione del documento probatorio. In particolare, al fine di individuare gli interventi concreti da svolgere, bisognerà in primis effettuare un censimento dei trattamenti dei dati, anche in ottica di data retention, ossia la conservazione dei dati che dovranno essere pseudonimizzati e cancellati automaticamente al raggiungimento della finalità di ciascun trattamento: cd "privacy by default". Successivamente andrà disegnato il sistema di gestione dei dati - cd "privacy by design" - e sarà fondamentale l'aspetto IT connesso al trattamento dei dati. Non meno importante sono il registro dei trattamenti, che sarà il documento che dovrà dimostrare di aver adottato tutte le misure necessarie, anche a seguito del calcolo del rischio di ogni trattamento, e la figura del DPO (Data Protection Officer o Responsabile della Protezione dei Dati), obbligatoria in alcune circostanze. "Il principio di accountability ribalta completamente l'approccio" Sanzioni elevate In definitiva, quindi, risulta di primaria importanza intraprendere quanto prima l'iter di adeguamento alle norme previste dal Regolamento UE Privacy, per non farsi trovare impreparati il 25 Maggio 2018 e, di conseguenza, potenzialmente sanzionabili. Soprattutto se si considera quanto siano pesanti le sanzioni con possono arrivare ai valori massimi di Euro 20 milioni o del 4% del fatturato mondiale (tra le due, la sanzione più gravosa).
5 anni fa
Linee Guida dei Garanti Europei sul nuovo Regolamento Privacy: la figura del DPO
Il Working Party 29 - Gruppo dei Garanti Privacy dei Paesi UE - ha approvato in data 13 dicembre 2016 tre documenti con indicazioni su importanti novità relative al nuovo Regolamento Privacy che sarà direttamente applicabile negli Stati membri a decorrere dal 25 Maggio 2018. Tra i temi affrontati dalle linee guida vi è la figura del DPO (Data Protection Officer o Responsabile della Protezione dei Dati), obbligatoria in alcune specifiche ipotesi. Per quanto concerne il DPO, è indubbio che sia una figura oggetto di discussione da parte degli addetti ai lavori in quanto esistono alcuni dubbi centrali circa la sua effettiva natura e competenze. Obbligo di nomina del DPO L’art. 37 del Regolamento Privacy prevede che il titolare del trattamento debba obbligatoriamente designare un responsabile della protezione dei dati (il DPO appunto) nelle seguenti ipotesi: quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10. Il DPO è designato in funzione delle qualità professionali, con particolare riguardo alla conoscenza specialistica della normativa e alle pratiche in materia di protezione dei dati. Tale figura, di livello manageriale, può essere un dipendente del titolare del trattamento oppure un libero professionista esterno che adempie ai suoi compiti in base a un contratto di servizi. I compiti del DPO L’art. 39 del Regolamento Privacy dettaglia i compiti del DPO: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy nonché da altre disposizioni dell'Unione Europea o degli Stati membri relative alla protezione dei dati;b) sorvegliare l'osservanza del Regolamento Privacy, di altre disposizioni dell'Unione Europea o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del Regolamento Privacy;d) cooperare con l'autorità di controllo;e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del Regolamento Privacy ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Il DPO deve essere obbligatoriamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e gli interessati possono contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento Privacy. Il DPO deve godere di ampia autonomia e non può riceve alcuna istruzione per quanto riguarda l'esecuzione dei propri compiti. Il Regolamento Privacy, inoltre, specifica all'art. 38 che il DPO non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento. Dubbi applicativi La criticità consiste nel fatto che il Regolamento Privacy non fornisce alcuna precisa indicazione circa la definizione di trattamento su “larga scala”, ipotesi cioè in cui la nomina del DPO è obbligatoria. Le Linee Guida precisano che non è possibile dare un numero preciso per quanto riguarda la quantità di dati elaborati o il numero di persone interessate, non escludendo, però, la possibilità che in itinere si possa sviluppare una prassi consolidata, al fine di specificare in termini oggettivi e quantitativi ciò che costituisce il trattamento su larga scala di alcuni tipi di attività. Le Linee Guida, comunque, raccomandano alcuni elementi da prendere in considerazione per determinare se il trattamento è effettuato o meno su larga scala: il numero di persone interessate - sia come un numero specifico o come percentuale della popolazione in questione;il volume di dati e/o la gamma di differenti elementi di dati in elaborazione;la durata o la permanenza dell'attività di elaborazione dei dati;l'estensione geografica dell'attività di trasformazione, individuando alcuni esempi di trattamenti su larga scala come: l'elaborazione dei dati del paziente nel corso normale delle attività di un ospedale;il trattamento dei dati di viaggio di persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio, il monitoraggio tramite schede di viaggio);l'elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;il trattamento dei dati personali (profilazione) per la pubblicità di un motore di ricerca;il trattamento dei dati (contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet; fornendo anche esempi che non costituiscono l'elaborazione su larga scala: il trattamento dei dati dei pazienti da parte di un singolo medico;il trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato. Anche la nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel Regolamento Privacy, ma comprende in modo chiaro tutte le forme di monitoraggio e profilazione su internet, anche ai fini della pubblicità comportamentale (si veda il considerando 24). Compliance In conclusione, come è normale che sia a seguito della promulgazione di una nuova normativa nel periodo di adattamento, le imprese e i professionisti del settore stanno attendendo di conoscere con maggiore precisione le ipotesi concrete di obbligo di nomina del DPO. D'altra parte, come è facile intuire, tale figura sarà centrale nel sistema privacy del futuro prossimo e avrà un impatto di notevoli dimensioni in quanto nuovo elemento di compliance d’impresa.
5 anni fa
Droni: innovazione, mercato e privacy
L’evento #LegalHack: Drones del 12 dicembre, organizzato da Torino Legal Hackers in collaborazione con Talent Garden Torino, ha permesso a startupper e giuristi di approfondire la correlazione tra sviluppi di mercato e evoluzione normativa con riferimento ai droni. I droni sono silenziosi, agili e non espongono i piloti a rischi: rendono quindi possibili operazioni irrealizzabili anche con gli elicotteri che, per via di dimensioni, peso, spostamenti d’aria e costi, non possono avvicinarsi a taluni obbiettivi o muoversi in spazi ristretti. Nel corso dell’incontro del 12 dicembre lo startupper Simone Russo, fondatore di Immodrone, ha fornito importanti dati inerenti le applicazioni dei droni e i numeri del mercato di riferimento in un dialogo costruttivo con Riadi Piacentini, esperto di privacy, e con lo scrivente in tema di regolamentazione attuale e possibili modifiche future. La Commissione Europea crede alle potenzialità economiche dei droni e quindi ha deciso di avocare a sé la responsabilità normativa al fine di creare un mercato comune europeo dei droni. I numeri del mercato di riferimento I droni rappresentano un’opportunità economica fondamentale in numerosi settori e con alti tassi di crescita: il mercato italiano vale oggi già € 350.000.000,00 con un tasso di crescita del 16%;secondi i dati della Commissione Europea, il mercato dei droni varrà circa € 15 miliardi nei prossimi anni in Europa con la generazione di circa 150.000 posti di lavoro;le previsioni globali parlano di un mercato mondiale pari a € 86 miliardi nel prossimo decennio con tassi di crescita del 150%. E i trend attuali ne sono la dimostrazione: gli USA contano circa 350.000 piloti (dati febbraio 2016) e in UE ce ne sono circa 20.000, di cui 1.000 in Italia. Da un punto di vista di produzione, il mercato è nettamente condotto dalla cinese DJI che, con un fatturato di USD 1 miliardo, detiene circa il 70% del mercato, seguita da Parrot (Francia). I settori di applicazione Le applicazioni civili dei droni coprono innumerevoli campi e svariate finalità, passando dal settore agricolo a quello umanitario, dalla raccolta dati alla logistica: mappature geografiche e urbanistiche: nuvole di punti per la modellazione 3D (come la mappatura del Cervino) o per la progettazione di immobili;ispezioni civili e industriali: tetti di edifici, tralicci e piattaforme petrolifere;termografia per certificazioni energetiche;fotogrammetria per terreni ed edifici;agricoltura di precisione: applicazione di diserbanti e insetticidi; studio delle colture per migliorare efficienza e fertilità; in Italia oggi si sta diffondendo nella viticoltura di precisione per il rapporto costi/benefici;interventi di aiuto in zone colpite da calamità naturali non raggiungibili da altri mezzi;prevenzione, sicurezza e controllo;logistica: consegna di prodotti dove Amazon è in prima linea;nautica: riprese di yacht (costi più bassi rispetto all’elicottero) o di barche a vela (riprese ravvicinate impraticabili da un elicottero per lo spostamento d’aria);matrimoni: riprese video; cinematografia. Questo elenco, non esaustivo, evidenzia i determinanti impatti che i droni hanno e avranno nei più svariati settori economici e sociali. Sicurezza I droni sollevano preoccupazioni dal punto di vista della sicurezza per cui sono state previste  svariate precauzioni regolamentari e tecniche. Per esempio: i droni non possono volare ad altezza superiore ai 150 m.;è vietato il volo dei droni nel raggio di 5 km attorno agli aeroporti per non creare difficoltà al traffico aereo;il sorvolo di zone rilevanti (i.e. Piazza San Pietro a Roma o Piazza Duomo a Milano) è vietato per motivi di terrorismo;i droni sono spesso equipaggiati con un terminatore di volo azionato da remoto, con un paracadute per evitare danni, con sistemi di controllo ridondanti;i piloti devono essere muniti di apposita assicurazione. Privacy e Droni Il secondo aspetto sensibile da un punto di vista sociale è la privacy, tema ancora legato alle specifiche normative locali. Per esempio, una sentenza svedese ha equiparato l’uso di una videocamera equipaggiata a un drone alla videosorveglianza, attività lecita solo dietro specifica autorizzazione. In Italia, l’art. 34 del Regolamento ENAC, dedicato alla privacy, si limita a citare l’argomento prevedendo, da un lato, l’obbligo di far presente all’ENAC se l’operazione possa comportare il trattamento di dati personali e, dall’altro, l’applicazione integrale del Codice Privacy (in particolare dell’art. 3). Quindi, in Italia non esiste una disciplina privacy dedicata ai droni ed è necessario ragionare sui principi generali partendo proprio dall’art. 3 del Codice Privacy. Tale articolo esprime il principio di necessità del trattamento dei dati secondo cui i prodotti (software e hardware) devono essere configurati in modo da favorire l’uso di dati anonimi o aggregati cosicché l’interessato sia identificabile solo se necessario. A oggi, dunque, non esistono regole specifiche e, se consideriamo che il Codice Privacy italiano risale al 2003, è facile rendersi conto di come le regole generali in tema privacy siano inadeguate alla nuova realtà informatica e tecnologica. A livello europeo, l’intervento più recente sul tema privacy è la Opinion 1/2015 on Privacy and Data Protection Issues relating to the utilisation of Drones adottata dallo Article 29 Data Protection Working Party (gruppo di lavoro formato dalle autorità garanti locali) in data 16 giugno 2015. In questo documento, il Working Party: rileva i numerosi rischi privacy associati all’uso dei droni quali assenza di trasparenza sul trattamento, sul tipo di dati raccolti e sulle finalità;ricorda l’applicabilità dei principi di proporzionalità e trasparenza nella raccolta e trattamento dei dati;raccomanda a policymakers e costruttori di seguire i principi di privacy by design e privacy by default. E il nuovo regolamento europeo in materia di privacy, che diventerà applicabile il 25 maggio 2018, si muove proprio in questo senso e ha un focus specifico sulle nuove tecnologie (ma non disciplina nello specifico l’uso dei droni). Infatti, diventano concetti chiave i menzionati principi di: privacy by design:  i processi e i prodotti, sin dalla fase di progettazione, devono essere tali da tutelare i dati personali che saranno successivamente trattati;privacy by default: i dati personali devono essere sempre trattati in modo da tutelare l’interessato. ****** Vi aspetto il prossimo mese per la seconda parte del resoconto sull’evento #LegalHack: Drones, incentrato sugli aspetti normativi, ormai prossimi a una positiva evoluzione per il settore. Sull'Autore: Raffaele Battaglini (LLM. presso The University of Edinburgh) è un avvocato esperto di internazionalizzazione e di innovazione delle imprese.