La privacy non è un’informativa

Ormai sono quindici anni che ci occupiamo di privacy ed applicazione della normativa nelle aziende.

Il nostro approccio è produttivo e rivolto alle aziende, senza imporre inutili procedure, superflui documenti da compilare o assurde richieste di sicurezza fisica.

Mi viene in mente quando nel 2004 mi chiamò un caro amico di mio padre, uno dei più stimati commercialisti di Bologna, e mi chiese “Stefano, è vero che devo costruire un caveau per conservare i dati dei miei clienti?”. Io risi e gli spiegai i principi della normativa e l’inutilità di tale soluzione.

Il mantra che mi sento dire da quando anni a questa parte invece è che la privacy è solo un’informativa. Dai devi fare solo due informative cosa vuoi che sia. Oppure mi dicono di essere in regola con la normativa perché hanno fatto le informative.

Non era così con la 196/03 non lo è, a maggior ragione, con il nuovo Regolamento Europeo UE2016/679.

 L’informativa è la parte più visibile della normativa, la prima che viene data all’interessato e la prima che gli organi preposti al controllo vedono. Ma non è tutta la privacy. sia chiaro.

Non mi metto in quanto momento a fare l’elenco, infinito, di tutti gli adempimenti che sono necessari, ma esprimo solo un paio di concetti.

Il primo, il più importante, è quello de ”Accountability” cioè della responsabilizzazione dell’azienda sul trattamento dei dati personali. Non ci sono più regolette da seguire per trattare e proteggere i dati in modo corretto ma il focus viene sposato sulle esigenze dell’imprenditore e sulla sua necessità di trattare e proteggere i dati personali.

E qui si apre un mondo molto interessate sia dal punto di vista del trattamento dei dati che dal punto di vista della sicurezza. Si pensi ad esempio alla necessità di informare clienti o potenziale clienti di un nuovo servizio.

Con il principio de ”Accountability” e del bilanciamento degli interessi, il nostro imprenditore, utilizzando gli strumenti giuridici giusti, può informare i suoi clienti anche se non un esplicito consenso ed in alcuni casi può anche informare potenziali clienti se per gli stessi esistono reali vantaggi.

Ovviamente i vantaggi non sono un prezzo più basso o un’offerta imperdibile. E tutto quanto lo si può fare tramite i processi privacy (privacy by design) adottati dall’azienda e ponderati con un consulente competente e smart.

Da qui si desume che la privacy della tua azienda non può essere uguale alla privacy dell’azienda del tuo vicino o peggio ancora del tuo concorrente, in quanto per avere un vantaggio competitivo rispetto a loro, devi studiare un sistema di gestione delle informazioni diverso.

L’altro grande nodo che riguarda sempre il concetto di “Accountability” è quello della sicurezza del dato. Una volta bastava installare un’antivirus, un backup settimanale, le password ed apre diavolerie informatiche simili ed eri in regola con la normativa. Se succedeva qualcosa nessuno poteva dirti nulla.

Oggi invece il principio è completamente cambiato. La responsabilizzazione della sicurezza del dato è tua. E non puoi adottare solo le misure prescritte dal vecchio codice ma devi avere misure idonee a proteggere il dato. Quindi backup giornalieri se non orari, un disaster recovery efficiente, e tutte quelle misure necessarie per proteggere il dato.

E se succede qualcosa?

Per prima cosa devi fare una denuncia di Data Breach all’Autorità, poi devi ulteriormente implementare le misure di sicurezza e soprattutto devi prepararti ad un’ispezione nella quale le Autorità valuteranno se le misure da te installate fossero adeguate a fermare i malintenzionati. Certo, mi dirai che entrano pure alla Nasa se vogliono, ed è per quello che se hai adottato le misure idonee ed hai avito un problema di Data Breach potresti non essere sanzionato.

Ma se chiudi i recinti dopo che i buoi sono scappati, non avere dubbi che le Autorità non perdoneranno.

Il Costo del DPO – Data Protection Officer

Responsabile della protezione (RDP)

Competenze e costi della figura professionale privacy

 

Con l’entrata in vigore del GDPR, dal 25/5/2018, si è resa obbligatoria per alcuni tipi di azienda la figura del DPO, un consulente altamente specializzato nella normativa e pratica in materia di protezione dei dati, capace di adempiere ai propri compiti.

Ci dovremmo pertanto trovare di fronte ad una figura di elevato livello professionale, di comprovata formazione, competenza ed esperienza, operante nel settore da diversi anni, e perennemente aggiornato.

 

Il responsabile della protezione dei dati deve essere designato in base alle sue qualità professionali, in particolar modo della conoscenza specialistica della normativa e delle prassi per la protezione dei dati, ovvero della sua capacità di assolvere ai compiti designati dall’art. 39 del GDPR.

Le mansioni indicate dal suddetto articolo sono:

  • informare e fornire consulenza al Titolare, o al Responsabile, e ai suoi dipendenti che eseguono il trattamento dei dati, in merito agli obblighi derivanti dal nuovo Regolamento e da altre disposizioni dell’Unione o degli Stati membri relativamente alla protezione dei dati (cfr. art 35)
  • sorvegliare che tali norme vengano rispettate, insieme alle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, compresi formazione e attribuzione delle responsabilità del personale che esegue i trattamenti o addetti alle attività di controllo
  • laddove richiesto, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati dell’introduzione di nuove tecnologie nel processo di protezione, e controllarne lo svolgimento ai sensi dell’art. 35
  • cooperare con il Garante ed ogni organo di controllo avente l’autorità
  • operare da punto di contatto con l’autorità per il controllo per tutte le questioni annesse al trattamento, tra cui la consultazione preventiva ai sensi dell’art. 36, e le consultazioni inerenti a qualunque altra questione.

 

Come si evidenzia dalle specifiche dell’art. 39, ci troviamo di fronte ad una figura che svolge prettamente attività di consulenza, ovvero predisposta ad informare l’azienda in merito agli adempimenti normativi previsti e sorvegliarne l’osservanza degli stessi, con relativa applicazione. Anche per questo è altamente sconsigliato che il DPO sia un dipendente stesso dell’azienda, ma una figura consulenziale esterna ad essa.

 

Se ne deduce pertanto che, in ambito di costi, non possa essere una tariffa fissa, ma correlata sempre al tipo di interventi che il DPO deve operare nell’azienda, essendo una serie di aspetti altamente variabili sia da azienda ad azienda, sia nel tempo per la stessa azienda, laddove opera cambiamenti della sua attività, anche lievi.

Se prendiamo in considerazione

  • la grandezza dell’azienda,
  • il campo in cui opera,
  • il numero dei dipendenti,
  • la complessità dei trattamenti effettuati dal Titolare,
  • il tipo e la quantità di dati trattati,
  • la versatilità delle procedure,
  • la presenza di un sistema di gestione
  • le infrastrutture IT,
  • l’esposizione del sistema alle varie tipologie di Data Breach,

ci si rende conto come non sia possibile stabilire un costo forfettario per ogni azienda,ma che deve essere correlato a tutti questi, e molti altri, aspetti aziendali, valutati attentamente dopo aver conosciuto l’azienda in modo non superficiale come possa essere in un paio di incontri.

 

Di conseguenza, un DPO capace, consapevole e professionale non potrà mai stabilire una tariffa senza conoscere l’azienda ed avere eseguito almeno un Audit per conoscere meglio l’azienda e la tipologia di trattamenti effettuati. Chi si presenta a voi proponendo il servizio di Data Protection Officer a tariffa fissa, vi sta offrendo un servizio spesso scadente, solo per darvi una figura di “carta” e facendovi credere di essere compliant alla normativa.

Per concludere citiamo il Professor Francesco Pizzetti, docente di diritto all’Università di Torino e precedente Presidente dell’Autorità Garante della Privacy Italiana:

“Importante verificare che il DPO sia esperto in protezione dei dati e conosca bene il core Business aziendale. Il costo dipende poi da tutto questo. Sapendo che un buon DPO è un investimento anche se costa relativamente molto. Un cattivo DPO, soprattutto se incompetente, è un rischio gravissimo anche se (e soprattutto se) si fa pagare poco. Di solito vuol dire che sa di valere poco e comunque darà poco.”

 

California Consumer Privacy Act (CCPA)

Il 28 giugno 2018 il governatore Jerry Brown ha firmato il California Consumer Privacy Act (CCPA), considerate da molti come una delle leggi sulla Privacy più dure degli Stati Uniti.

Il CCPA è stato concepito per proteggere i californiani dalle società che accedono indiscriminatamente ai loro dati. Permette inoltre che i loro dati non vengano venduti.
E’ chiaramente una risposta ad un’iniziativa che si sarebbe dovuta votare a Novembre e che, nonostante non tutti siano soddisfatti della nuova legge, è stata pertanto ritirata.

Tuttavia, lo stato della California condurrà un periodo di consultazione pubblica prima del 2020 per permettere di fornire le opportunità di rafforzare questa nuova legge.

Il CCPA è stato appena varato, e sarà senza dubbio oggetto di molte analisi, ma qui intanto offriamo una prima panoramica.

Vi sono molte leggi e regolamenti sui dati, negli Stati Uniti, ma il CCPA è molto chiaro su ciò che propone, ed è, come detto, probabilmente la legge più dura in materia di privacy. La California spesso conduce a innovazioni, e possiamo aspettarci che altri stati, se non il governo federale stesso, adottino questa legge. In ogni caso, questo Stato comprende un mercato talmente vasto che la maggior parte delle aziende statunitensi sono attive lì, e dovranno seguire in ogni caso il CCPA.

Questo è destinato alle imprese che hanno un’entrata annuale pari o superiore ai 25 milioni di $, o che commercializzano dati di più di 50.000 utenti o endpoint, o il cui ricavato dalle entrate della vendita dei dati superi il 50% del fatturato.

CCPA VS. GDPR

Possiamo notare come il CCPA sia stato chiaramente influenzato dal GDPR dell’Unione Europea, ed è interessante confrontare i due atti legislativi.

Ad esempio, come il GDPR, anche il CCPA contempla il diritto all’oblio, il diritto alla portabilità, e all’accesso ai dati. A differenza del GDPR, però, prevede che i danni espliciti possono essere concessi ai singoli in caso di violazione dei dati.

Il CCPA, a differenza, non parla di titolare o soggetto dei dati, ma di “consumatore”, ovvero una persona fisica residente in California. Per persona fisica si intende però un individuo, una ditta, una società, una joint venture, un sindacato, un’associazione, una società a responsabilità limitata, un comitato o una qualsiasi altra organizzazione o gruppo di persone che agiscono in concerto.
Nel CCPA è il “consumatore”, e non la persona, che è salvaguardato nei suoi diritti.
Nel GDPR si parla di “Data Controller” e “Data Processor”, mentre il CCPA si occupa solo di “business”.

Altra differenza interessante tra GDPE e CCPA e la differenza tra dati e metadati.
Il CCPA dichiara molto chiaramente che il consumatore ha il diritto di essere informato delle categorie di dati personali, categorie di fonti di dati, e di categorie di terzi con cui un’azienda condivide i dati personali. Nel GDPR, invece, si parla solo di dati personali, e della necessità di un linguaggio semplice per la divulgazione agli interessati. L’enfasi che il CCPA posta sulle categorie solleva interessanti dubbi sui metadati, ovvero come le categorie, il modo in cui sono definite, e il modo in cui le informazioni sono effettivamente suddivise in categorie. Ovviamente, il CCPA tutela anche i diritti sui dati effettivi.

Un’altra differenza interessante è la specificità delle rivelazioni. Il GDPR afferma che agli interessati devono essere fornite spiegazioni chiare e specifiche su quali scopi verranno utilizzati i dati personali, e il controllore dei dati ha una certa libertà su come farlo. Il CCPA è invece più prescrittivo. Specifica che un’azienda “deve fornire un collegamento chiaro e ben visibile sulla home page internet aziendale, intitolata “Non vendere le mie informazioni personali”, ad una pagina Web internet che consenta ad un consumatore (o ad una persona autorizzata dal consumatore stesso) di scegliere se accettare o meno la vendita delle proprie informazioni personali”.

Il CCPA parla di inferenze in un modo che il GDPR non fa. Il GDPR ha un linguaggio sulla costruzione di un “profilo” di un soggetto dei dati. Il CCPA sembra invece andare oltre, includendo inferenze sui consumatori come parte delle informazioni personali. Nello specifico, le informazioni personali includono “inferenze tratte da qualsiasi informazione identificata in questa suddivisione per creare il profilo di un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, gli atteggiamenti, l’intelligenza, le abilità e le attitudini del consumatore.”

Un’altra distinzione tra GDPE e CCPA è che i danni possono essere concessi agli individui. Nel GDPR è possibile riscuotere multe per inadempienza che rappresentano il 4% delle entrate globali o 20 milioni di euro, a seconda di quale sia il maggiore importo. Il CCPA prevede che, in caso di violazione dei dati, un’azienda debba risarcire il consumatore da 100 a 750 dollari. Le stime di ciò che una violazione dei dati costa ad un’organizzazione in passato sono state nella gamma da 100 a 200 dollari, quindi questo potrebbe ora aumentare in modo significativo.

Ma ciò che il CCPA dà con una mano, si riprende con l’altra. I consumatori possono portare azioni, ma ci sono una serie di condizioni che devono essere soddisfatte perché si possa procedere, come informare il Procuratore Generale, che può agire al posto del consumatore. C’è inoltre qualche discussione sulle azioni legali collettive nel CCPA, e ovviamente lo Stato della California non vuole che questa legge porti ad una “fame frenetica” di contenziosi di class action. Potrebbe quindi essere difficile contenere questo aspetto, e c’è da attendersi sicuramente un intenso lobbismo da parte di gruppi legali, durante il periodo della consultazione pubblica nel 2019, per consentire alle imprese di essere più aperte alle cause legali collettive.

LA PRIVACY DEI DATI È QUI PER RIMANERVI.

Ci sarebbe molto di più da scrivere sul CCPA, ma per ora finiamo qui il nostro intervento. Quello che per ora possiamo già vedere, confrontando il CCPA e il GDPR, è che l’area della privacy dei dati è qualcosa che i governi stanno prendendo molto sul serio. Si può inoltre vedere che ci sono diversi patrimoni legali e culturali che influenzano il modo in cui le disposizioni legislative sono presentate dalle diverse giurisdizioni.
Sta infine diventando molto chiaro che i “dati” sono un’area così ampia che diverse leggi affrontano (o ignorano) diverse parti di esso, senza che nessuna di queste sia veramente completa, per la loro vastità e varietà.

Di sicuro, ci aspettiamo sviluppi interessanti, in merito.

Brexit e GDPR Privacy

Il governo Britannico ha pubblicato il “white paper” nel quale specifica le relazioni con l’Unione Europea dopo la Brexit. Il governo Britannico deve ancora definire come saranno trattai e trasferiti i dati personali tra UE e UK dopo la Brexit.

Ancorché il 25 maggio 2018 sia entrato in vigore il GDPR anche in UK. Tuttavia un’orientamento del governo UK si può intravedere nel punto 8.39 del “white paper” nel quel cita che la Commissione Europea è in grado di riconoscere gli standard di protezione dei dati di paesi terzi e decretarne l’essenziale equivalenza al GDPR.

Nel frattempo, durante il Brexit, UK tenterà di mantenere stabile il trasferimento dei dati tra UK e UE.

Bisognerà attendere le evoluzioni per capire anche come si comporteranno con il GDPR attualmente in vigore UK e quindi se lo aboliranno, se faranno una nuova normativa o se ritorneranno alla precedente legislazione.

Se un indirizzo email è presente su un social network non significa che posso inviargli mail commerciali!!!

Il Garante della Privacy dice:

No al social spam. 

Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

Il Garante non è nuovo a questi interventi e si è mosso su segnalazione di una società subissata di mail promozionali non richieste.

Dagli accertamenti, svolti presso la società dall’Autorità, in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social.

Dobbiamo ricordarci che le Linee guida sull’attività promozionale ed il contratto allo spam, emanate il 4 luglio 2013, hanno disciplinato il fenomeno del “social spam”, rendendo illecito il trattamento degli indirizzi di posta elettronica raccolti dai social network ed utilizzati per fini commerciali.

 

Il Garante ha ribadito che gli indirizzi reperiti sui social network non possono essere usati liberamente e, soprattutto, non possono essere usati a fini commerciali, scardinando la tesi sostenuta dalla società, rea di aver inviato le mail commerciali, la quale sosteneva che la semplice iscrizione a social network (Facebook, Linkedin, ecc) implica il consenso all’utilizzo dei dati personali per l’attività di marketing effettuate da terze persone. La non liceità dell’uso dei dati presi dai social, o più in generale dal web, è dovuta al fatto che le funzioni sociali dei social network sono preordinate alla condivisione di informazioni e allo sviluppo di contatti professionali, e non alla commercializzazione di prodotti e servizi.Questa opinione è sostenuta anche da tutte le altre Autorità per la Privacy europee.

Quindi cosa rischia chi fa uso delle mail reperite sui social network per fini commerciali?

La società in oggetto ha preso una ingente sanzione amministrativa, comunemente chiamante multa, e il blocco dei trattamenti, cioè il divieto di utilizzare le mail fino ad oggi raccolte, costringendola a ricominciare la raccolta dei contatti mail secondo quanto previsto dalla normativa.

 

Arriva il nuovo regolamento Privacy. La tua azienda è pronta?

Dopo quasi 4 anni da quando era stato presentata la proposta dalla Commissione UE nel gennaio del 2012, è stato finalmente approvato, a dicembre del 2015, il nuovo Regolamento Europeo sulla protezione dei dati (Privacy), che dalla metà del 2016, introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE. In Italia, prenderà il posto dell’attuale Codice Privacy (D.Lgs. 196/03).

Con il nuovo Regolamento UE sulla privacy, che dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea, vengono confermate importanti novità che erano già contenute nella proposta originaria del 2012, come il diritto all’oblio, il diritto alla portabilità dei dati, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi (data breaches), modalità di accesso ai propri dati personali più facili per gli interessati, il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, e il concetto di “privacy by design”. Ma arrivano anche tagli di costi e meno burocrazie per le piccole e medie imprese al fine di stimolare la crescita economica e del mercato digitale: non saranno ad esempio più obbligatorie notifiche alle autorità di vigilanza, con un risparmio per le pmi di 130 milioni di euro l’anno,  e la possibilità di addebitare un contributo agli interessati per le richieste di accesso ai dati manifestamente infondate o eccessive.

La figura del responsabile della protezione dei dati (data protection officer) sarà una figura facoltativa per le piccole medie imprese, che non avranno neppure l’obbligo di effettuare la valutazione dell’impatto (privacy impact assessment), a meno che non esista un rischio elevato.

I testi definitivi saranno ora formalmente adottati dal Parlamento europeo e dal Consiglio nell’arco del 2016. Le aziende avranno due anni per adeguarsi.

Sentiamo in merito cosa ha detto Antonello Soro, Presidente del Garante per la protezione dei dati personali, in una recente intervista a Italia Oggi.

Più responsabilizzazione per abbattere la burocrazia

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali

(di Antonio Ciccia Messina, ItaliaOggi, 7 marzo 2016)

Valutazioni di impatto, sistemi di certificazione e di notificazione delle violazioni, nomina quando necessario, di un privacy officer: sono alcuni degli adempimenti cui le imprese devono prepararsi del periodo di transitorio, prima che il regolamento entri a regime. A sottolinearlo è Antonello Soro, presidente del Garante della privacy, che crede in una ricaduta economica positiva del nuovo sistema normativo.

Presidente Soro a che punto è l’iter del regolamento europeo? A quando la definitiva approvazione?

Il 18 dicembre è stato raggiunto l’accordo politico tra gli Stati sul pacchetto di riforma in materia di protezione dei dati personali. Il passaggio successivo prevede che il parlamento europeo esprima formalmente il proprio voto per arrivare, presumibilmente, alla pubblicazione in Gazzetta ufficiale dell’Unione europea entro la prima metà del 2016. Da quel momento il regolamento sarà immediatamente esecutivo e gli Stati membri avranno a disposizione due anni di tempo per adeguare, ove necessario, i propri ordinamenti e garantire l’allineamento fra le disposizioni nazionali esistenti (ove mantenute) e le nuove norme.

A una prima lettura del testo disponibile pare che il regolamento comporti nuovi adempimenti (valutazione impatto privacy, nomina obbligatoria di un responsabile interno) e un sistema sanzionatorio più pesante. Non è in contraddizione con l’obiettivo di semplificazione per le imprese e per le P.A.?

Il regolamento rappresenta una tappa fondamentale per garantire lo sviluppo di un mercato unico digitale con enormi vantaggi competitivi per tutte le imprese, comprese quelle di piccole e medie dimensioni, che ne sapranno cogliere le opportunità. Come più volte ribadito dalla stessa Commissione europea, i tagli in termini di oneri burocratici e di semplificazione saranno effettivi se le imprese, in conformità alle nuove disposizioni, ripenseranno attivamente alle modalità di gestione e di utilizzo dei dati personali attraverso una loro maggiore responsabilizzazione. Con riferimento, invece, alle modifiche al sistema delle sanzioni amministrative, che tutte le Autorità devono poter comminare, si prevede che siano definite entro una soglia pecuniaria massima (che può arrivare anche al 2 e al 4% del fatturato di una azienda) e nel rispetto di criteri fissati nel regolamento.

Cosa devono fare imprese, professionisti e p.a. nel biennio di vacatio legis?

Durante la fase di transizione, nel corso della quale mi auguro che il parlamento non attenda l’ultimo momento utile per adottare la relativa normativa di adeguamento, è necessario che le aziende, ma anche le pubbliche amministrazioni, inizino a ripensare i processi di trattamento dei dati alla luce delle nuove realtà (valutazioni di impatto, sistemi di certificazione e di notificazione delle violazioni) nonché a dotarsi, quando necessario, di un privacy officer.

Come cambia il ruolo dei Garanti nazionali?

Questo è uno dei punti di maggiore rilevanza. E invero, oltre a creare un insieme unico di norme, che renderà più semplice per le imprese operare in ambito Ue, il meccanismo del c.d. sportello unico (unitamente al meccanismo di coerenza) attribuirà, in estrema sintesi, la competenza ad assumere ogni tipo di misura, nonché a esercitare eventuali poteri correttivi, all’autorità del paese dove ha sede lo «stabilimento principale» della società. In questa prospettiva, per le autorità nazionali sarà notevolmente implementato il sistema (co-) decisionale in sede europea e rafforzato in modo significativo il ruolo del Board europeo che riunirà tutte le autorità di protezione dei dati.