Comitato Europeo per la protezione dei dati | European Data Protection Board – Terza sessione plenaria 2018

EDPBOARDIl 25 e il 26 settembre 2018, le autorità europee per la protezione dei dati, riunite nel comitato europeo per la protezione dei dati (EDPB) si sono incontrate per la loro terza sessione plenaria.

Durante la plenaria sono stati discussi una vasta gamma di argomenti. Segnalo fra l’altro:

Decisione di adeguatezza UE-Giappone

I membri del Board hanno discusso la bozza di decisione sull’adeguatezza UE-Giappone che hanno ricevuto dal commissario Věra Jourová.  Il Board esaminerà ora a fondo il progetto di decisione.

Elenchi di DPIA

L’EDPB ha raggiunto un accordo e adottato i 22 pareri che stabiliscono criteri comuni per gli elenchi della valutazione dell’impatto sulla protezione dei dati (DPIA).

Queste liste costituiscono uno strumento importante per l’applicazione coerente del GDPR in tutta l’UE.

La DPIA è un processo per aiutare a identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone.

Per aiutare a chiarire i tipi di trattamento che potrebbero richiedere una DPIA, il GDPR richiede alle autorità nazionali di vigilanza di creare e pubblicare elenchi di tipi di operazioni che potrebbero comportare un rischio elevato.

Il Consiglio ha ricevuto 22 liste nazionali con un totale di 260 diversi tipi di trattamento.

I 22 pareri sulle liste DPIA sono previsti dall’art. 35.4 e dall’art. 35.6 GDPR e sono in linea con le linee guida precedenti stabilite dal Gruppo di lavoro articolo 29.

Linee guida sull’ambito territoriale di applicazione GDPR

L’EDPB ha adottato una nuova bozza di linee guida, che contribuirà a fornire un’interpretazione comune dell’ambito di applicazione territoriale del GDPR e fornirà ulteriori chiarimenti sull’applicazione del GDPR in varie situazioni, in particolare laddove il Titolare del trattamento o il responsabile del trattamento è stabilito al di fuori dell’UE, anche sulla designazione di un rappresentante. Le linee guida saranno soggette a una consultazione pubblica.

Fonte: European Data Protection Board

Certificazione del DPO: occorre una norma europea (EN)

Negli ultimi mesi la discussione sul ruolo del Data Protection Officer, delle figure privacy e sulla loro certificabilità si è fatto sempre più acceso.

In Italia, oltre ad alcuni schemi proprietari sulla figura del DPO, come quello di CEPAS, sono in corso i lavori UNI (Ente nazionale italiano di unificazione) per definire una norma tecnica UNI/UNINFO Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza che definisca i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

In Spagna l’Autorità Garante Privacy | Agencia Española de Protección de Datos (AEPD) in collaborazione con ENAC, l’Ente di normazione nazionale, ha presentato uno schema di certificazione per i Data Protection Officer.

Seppure questi schemi sono e saranno ad adesione volontaria, sono visti come punto di riferimento per fornire al mercato contenuti ed elementi minimi per un meccanismo di certificazione che possa servire come garanzia per stabilire le qualifiche e le professionalità dei futuri Data Protection Officer.

Tuttavia, la figura del DPO dovrebbe essere europea e quindi le aziende si aspettano che i requisiti e le qualifiche siano uniformi in tutti gli Stati membri UE e non che vi siano schemi nazionali diversi; in quest’ultimo caso verrebbe meno lo spirito della riforma.

Quindi così come il WP29 (in futuro Comitato Europeo per la Protezione dei dati EDPB) è chiamato ad intervenire per assicurare, fra l’altro, un’applicazione coerente del Regolamento Privacy (UE) 2016/679; potremmo auspicare che il CEN (European Committee for Standardization), organismo di normazione europea, elabori di concerto con l’EDPB una norma EN sul Data Protection Officer.

Ricordo infatti che le norme EN devono essere obbligatoriamente recepite dai Paesi membri CEN e la loro sigla di riferimento diventa, nel caso dell’Italia, UNI EN. Queste norme servono ad uniformare la normativa tecnica in tutta Europa, quindi non è consentita l’esistenza a livello nazionale di norme che non siano in armonia con il loro contenuto.

La formalizzazione di una norma EN sarebbe quindi un modo veramente efficace per uniformare a livello europeo criteri, qualifiche caratteristiche del Data Protection Officer (DPO) e delle figure privacy a questi affiancate: la stessa filosofia del GDPR.

Matteo Colombo

NUOVO LIBRO: Regolamento Privacy UE 2016/679 | Principi generali e Ruolo del Data Protection Officer

Qual è la funzione di un DPO?

Quali cambiamenti porta in Europa e in Italia il nuovo Regolamento Privacy (UE)2016/679?

Cosa succederà a partire del 25 maggio 2018?

A queste domande cerca di dare risposta in modo sintetico e chiaro il nuovo libro di Matteo Colombo. Un contributo alla conoscenza del nuovo Regolamento UE con uno speciale approfondimento sulla figura del Data Protection Officer.

Non perdetevelo!

RegolamentoUE

 

Il libro è disponibile su Amazon in formato Kindle e cartaceo.

Cliccare qui per maggiori informazioni e per acquistarlo

WP29: Guidelines sul ruolo del Data Protection Officer

guidelinesSono state finalmente pubblicate e adottate il 13 dicembre 2016 le Guidelines sul ruolo del Data Protection Officer da parte del Working Party 29.

Sono anche disponibili le domande frequenti dei Data Controller sul tema DPO.

Cliccare qui per leggere le Guidelines complete

Cliccare qui per leggere le domande frequenti sul tema DPO

Le guidelines (cliccare qui per leggerle) sono molto ricche e si riportano di seguito alcune precisazioni che sono state fissate sulle definizioni di “attività principale” e trattamenti su “larga scala”.

Sulla definizione di “attività principale”  vengono fornite alcune esemplificazioni sia in senso positivo che negativo ovvero:

  1. Ad esempio, l’attività principale di un ospedale è quella di fornire assistenza sanitaria. Tuttavia, un ospedale non può fornire l’assistenza sanitaria in modo sicuro ed efficace senza l’elaborazione dei dati di salute, come le cartelle cliniche dei pazienti.
    Pertanto, l’elaborazione di tali dati deve essere considerata come una delle attività principali di ogni ospedale e gli stessi devono quindi designare un DPO;
  2. Una società di vigilanza  privata svolge la sorveglianza di un certo numero di centri commerciali e spazi pubblici. La sorveglianza è l’attività principale della società, che a sua volta è indissolubilmente legata al trattamento dei dati personali. Pertanto, questa società deve designare un DPO.

Diversamente per tutte le aziende che svolgono alcune attività ordinarie, ad esempio, pagare i loro dipendenti o trattare dati attraverso attività di supporto IT standard, si tratta di funzioni di supporto necessarie per il “core activity” dell’organizzazione. Queste attività sono necessarie o essenziali e sono solitamente funzioni accessorie; quindi non necessitano di nomina di un DPO.

Sulla definizione di “larga scala”  vengono fornite alcune esemplificazioni sia in senso positivo che negativo ovvero, sono da considerarsi trattamenti su larga scala:

  • l’elaborazione dei dati del paziente in un ospedale;
  • il trattamento dei dati di viaggio delle persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio il monitoraggio via carte di viaggio);
  • l’elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale per fini statistici attraverso un data processor specializzato nella fornitura di questi servizi;
  • il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
  • il trattamento dei dati personali per la pubblicità comportamentale da un motore di ricerca (cookies di profilazione);
  • il trattamento dei dati (i contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet.

Mentre esempi che non costituiscono l’elaborazione su larga scala sono:

  • il trattamento dei dati dei pazienti da parte di un singolo medico;
  • il trattamento di dati giudiziari da parte di un avvocato.

Nei prossimi giorni analizzeremo ancora più nel dettaglio le linee guida.

Matteo Colombo

UN BUON LIBRO PER I DPO IN VACANZA

Alec RossIn questo periodo un po’ tutti consigliano cosa portare sotto l’ ⛱ o in ⛰.

Ecco mi sento di consigliare a tutti i Data Protection Officer la lettura di questo libro illuminante su temi quali la genetica, la robotica, i Big data ecc.

Ho avuto il piacere di conoscere l’autore a Washington durante il Global Privacy Summit e ora il libro è disponibile anche in italiano.

Buona lettura a tutti!

Matteo Colombo

Regolamento Privacy UE

Regolamento Privacy UE: pubblicato nella Gazzetta Ufficiale dell’Unione Europea

Il 4 maggio 2016 sarà ricordato dai DPO europei per la pubblicazione ufficiale del testo del Regolamento Europeo Privacy nella Gazzetta Ufficiale dell’Unione Europea (Serie L. 119 | 04 Maggio 2016).

La denominazione del Testo del Regolamento Europeo Privacy è la seguente: “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla Protezione dei dati”.

Il Regolamento entrerà in vigore il 24 maggio 2016 e sarà applicato a partire dal 25 maggio 2018.

Affrettiamoci a far fronte ai nuovi adempimenti!

Cliccare qui per consultare il testo del Regolamento pubblicato sulla Gazzetta Ufficiale dell’Unione Europea

Autore: Dott. Matteo Colombo | CEO di Labor Project srl e Presidente di ASSO DPO

 

 

 

Gestione della privacy come quella della sicurezza sul lavoro

Intervista di eSanit@ al Dott. Matteo Colombo     CEO di Labor Project srl e Presidente di ASSO DPO

Fonte: www.esanitanews.ite-sanit@

Il recente Congresso annuale della AssoDPO, l’Associazione Data Protection Officer, verteva su numerosi argomenti di primo piano della sicurezza dei dati: gli impatti del nuovo regolamento privacy Ue sulle imprese europee ed extra europee anche in ambito sanitario, il ruolo del DPO in Europa, l’accountability e trasferimento dati all’estero, il data breach. Matteo ColomboVi è anche stata una tavola rotonda con le principali associazioni continentali per la privacy per confrontarsi con il punto di vista dei DPO degli altri paesi. Abbiamo chiesto a Matteo Colombo, presidente ASSO DPO, di raccontarci i principali nodi tematici emersi nella due giorni milanese.

Avevate numerosi argomenti caldi per la discussione. Come l’avete impostata?

«Verteva sul futuro prossimo, alla luce degli adempimenti richiesti dal nuovo regolamento Ue, e su temi come il data breach e l’accountability. Sono stato recentemente in America al Global Privacy Summit. Tenendo conto che gli Usa sono molto più avanti di noi sulla privacy, gli argomenti che interessano sono stati anche lì la crittografia dei dati, l’analisi dei data breach,  la formazione di tutti i soggetti che hanno a che fare con i dati e la governance per la gestione dei dati da parte del Data Protection Officer. AssoDPO nasce per dare strumenti ai professionisti della privacy che si devono ormai muovere su un mercato che non è più solo italiano ma europeo. Teniamo conto che il DPO è il soggetto che si interpone tra il titolare del trattamento e la struttura aziendale. I DPO italiani stanno organizzando il loro lavoro sulla scorta delle esperienze di altri soggetti europei, rimettendo in auge il registro del trattamento, rifacendosi quindi a modelli interni che consentono di tracciare il trattamento, di analizzare e difendere i dati del cittadino e del paziente, lavorando a contatto con il titolare del trattamento medesimo. I DPO hanno a che fare o con case madri estere che stanno cercando di coordinarli oppure lavorano in filiali fuori Italia, quindi stanno cercando di applicare delle policy interne, delle informative comuni, delle regole per  il data breach. Stanno mettendo in piedi un processo aziendale anche senza avere ancora il supporto di una norma ISO».

E per quanto riguarda i dati specificamente sanitari?

«Abbiamo fatto un’analisi legata alla digitalizzazione e ai vantaggi e ai rischi che essa ha per il cittadino-paziente. Le aziende sanitarie devono strutturarsi per difendere i dati e il processo dev’essere governato dal DPO. Al congresso è stato fatto un esempio significativo: a Bologna, l’archivio cartaceo delle cartelle sanitarie è di oltre 20 km. di estensione fisica. La sua  complessità comporta difficoltà nel reperire le informazioni ma lo rende anche più facilmente difendibile rispetto a un archivio digitale, perché la digitalizzazione in un unico database fa sì che sia più facile che avvengano violazioni dei dati. Il nuovo regolamento introduce il concetto della privacy by default e by design e quindi la necessità, per la gestione dei dossier sanitari, di lavorare molto sulla privacy by design, per far sì che i dati vengano lavorati da alcuni soggetti e non da altri, ad esempio dai medici e non dagli amministrativi. Un altro tema portato in primo piano dal nuovo regolamento è la crittografia dei dati per far sì che, in caso di data breach, l’accesso non autorizzato avvenga su dati non aperti. Le aziende sanitarie devono programmare la criptazione dei dati con un investimento che però è modesto, nell’ordine di poche migliaia di euro».

Vi sono stati nel recente passato casi di accessi non autorizzati ai dati sanitari in aziende pubbliche.

«Il colonnello Marco Menegazzo – comandante del Nucleo Speciale Privacy della Guardia di Finanza – ha detto che in questo primo semestre vengono verificati i dossier delle aziende sanitarie pubbliche e quelle private che trattano dati sanitari. Già adesso le aziende che hanno subito data breach hanno l’obbligo di notificarlo e infatti ho casi di soggetti, che seguo, i quali hanno avuto data breach e che hanno comunicato gli accessi abusivi al sistema all’autorità garante. Il nuovo regolamento, imponendo la crittografia dei dati e l’utilizzo di software che osserva la privacy by design non  impone la comunicazione del data breach, perché i dati non sono leggibili. L’investimento sarà bilanciato dal fatto di non dover rendere noto il data breach e viene così meno il problema mediatico di dover avvisare tutti gli interessati, con le conseguenti ricadute d’immagine. Saremo tutti sottoposti a questi investimenti per la sicurezza dei dati. La norma impone misure idonee e ciò comporta un cambio di mentalità: l’atteggiamento deve diventare proattivo».

Avete affrontato anche questioni inerenti la gestione di dati sanitari particolari o in strutture come le Residenze sanitarie assistenziali?

«Un discorso importante è stato quello riguardante i dati sanitari nelle RSA. Hanno dossier sanitari anche se non se ne rendono conto e hanno spesso database di dati leggibili da tutti gli operatori. Quindi dovranno nominare anch’esse un DPO e provvedere alla sicurezza del dossier. È una svolta epocale che richiede investimenti mirati per la difesa del dato. L’autorità garante ha detto che in fase di accertamento il primo quesito che viene posto è sulla governance: chi è il titolare, chi sono i responsabili e chi sono gli incaricati. Occorre un organigramma certo, con ruoli e responsabilità di chi tratta e garantisce la sicurezza. Bisogna capire che la gestione della privacy diventa come quella della sicurezza sul lavoro. Infine, un altro argomento molto interessante su cui è stata posta l’attenzione è il dato genetico e di come in futuro andrà a influire sulle scelte dei cittadini».