2° CONGRESSO ANNUALE ASSO DPO 2016

su 18 gennaio 201618 gennaio 2016 da Matteo Colomboin DPO, Regolamento UELascia un commento

Dopo il successo della prima edizione del Congresso Annuale di ASSO DPO, l’Associazione Data Protection Officer si presenta con un nuovo evento che conferma la propria posizione all’interno del panorama Internazionale in materia di Privacy e Data Protection Officer.

Il programma quest’anno prevede due giornate:

18/04 Pre-Congresso con Tavola Rotonda

19/04 Congresso Annuale

Nel pomeriggio del 18 aprile 2016 presso il Museo di Storia Naturale di Milano organizzeremo una Tavola Rotonda con le principali Associazioni Privacy Europee e alcuni DPO italiani per discutere del Ruolo del Data Protection Officer in Europa.

Il 19 aprile 2016 dalle ore 9.00 alle 17.00, la prestigiosa sede di Palazzo Mezzanotte a Milano – London Stock Exchange Group accoglierà invece il Congresso Internazionale.

Nel centro nevralgico della città si confronteranno come relatori i più importanti Referenti Privacy/DPO di Multinazionali e Autorità Garanti. Un panel di interlocutori a livello Europeo che riconferma l’importanza e l’impatto del nuovo Regolamento Privacy UE.

Visti i posti limitati, soprattutto per il pre-congresso con solo 120 posti disponibili, per premiare i nostri associati sino al 01 febbraio 2016 le iscrizioni saranno concesse in prelazione solo ai soci ASSO DPO.

CLICCARE QUI PER ISCRIVERSI

Quindi vi invito ad iscriverVi entro tale data al fine di evitare di perdere la possibilità di partecipare a questo evento fondamentale e imperdibile per tutti i professionisti della Privacy.

SERVIZIO DI TRADUZIONE SIMULTANEA ITALIANO/INGLESE E INGLESE/ITALIANO

Per maggiori informazioni: www.congressoassodpo.it

Matteo Colombo
Presidente di ASSO DPO

2nd ANNUAL CONGRESS ASSO DPO 2016

su 18 gennaio 2016 da Matteo Colomboin DPO, Regolamento UELascia un commento

After the successful first edition of the ASSO DPO Congress, the Italian Association of Data Protection Officer ASSO DPO is deligthed to announce the next ASSO DPO Annual Congress which confirms our position in the international field of Privacy and Data Protection.

This year the Program is divided in two days:

18/04 Pre-Congress Workshop with the Round Table

19/04 Main Annual Congress

On 18^th April 2016 afternoon at Natural History Museum we are going to organize a Round Table with the main European Privacy Associations to discuss the Role of the Data Protection Officer in Europe.

On 19^thApril 2016 from 09:00 a.m. to 17:00 p.m, Palazzo Mezzanotte – the Italian Stock Exchange Headquarter (London Stock Exchange Group – http://www.lseg.com/it/palazzo-en) will be the location of our International Congress.

In the heart of the city, European Data Protection Authorities, Italian and European DPOs will discuss and share their insights on Data Protection. A panel of Speakers at european level will confirm the importance and the impact of the new Regulation in Privacy field.

SIMULTANEOUS TRANSLATION SERVICE ITALIAN / ENGLISH AND ENGLISH / ITALIAN

For more information: www.congressoassodpo.it

Matteo Colombo
ASSO DPO PRESIDENT

Il DPO dopo l’accordo del Trilogo sul Regolamento Europeo Privacy

su 17 dicembre 20157 gennaio 2016 da Matteo Colomboin DPO, Regolamento UE, Unione EuropeaLascia un commento

Il 15 dicembre 2015, è stato raggiunto un accordo in sede di Trilogo sul testo del Regolamento Europeo sul trattamento dei dati personali.

Cliccare qui per leggere il testo del Regolamento

Il Regolamento, agli artt. 35, 36 e 37, ha definito quale dovrà essere il ruolo del Data Protection Officer all’interno delle nostre organizzazioni.

Cliccare qui per leggere la traduzione non ufficiale degli artt. 35, 36 e 37.

Qui di seguito vi forniamo una breve sintesi rispetto a quanto previsto per questa figura:

LA DESIGNAZIONE

La designazione del D.P.O. è obbligatoria quando:

(a) il trattamento è effettuato da un’autorità o un ente pubblico, fatta eccezione per i tribunali che esercitano l’attività giudiziaria; o
(b) le attività principali del Data Controller o Data Processor consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala; o
(c) le attività principali del Data Controller o Data Processor consistono nel trattamento su larga scala di categorie speciali di dati (dati sensibili) ai sensi dell’Articolo 9 e di dati relativi alle condanne penali e reati di cui all’Articolo 9a;
(d) se previsto dal diritto dell’Unione o dal diritto dello Stato membro (comma 4). Un gruppo di imprese può designare un unico D.P.O., a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento. Più autorità o enti pubblici possono designare un unico D.P.O., tenendo conto della loro struttura e dimensione organizzativa.

I REQUISITI

Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti di cui all’Articolo 37. Può essere un soggetto interno (ossia un membro dello staff del Data Controller o Processor), oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi.

LA POSIZIONE

Il D.P.O. deve essere correttamente e tempestivamente coinvolto in tutte le tematiche che riguardano la protezione dei dati personali. Il Data Controller o Processor deve fornirgli le risorse necessarie per svolgere i propri compiti, per mantenersi aggiornato, nonché l’accesso ai dati personali e alle operazioni di trattamento. Gli interessati possono contattarlo in merito a tutte le questioni relative al trattamento dei dati nonché per l’esercizio dei propri diritti. Il D.P.O. non deve ricevere alcuna istruzione per quanto riguarda l’esercizio dei propri compiti, non deve venire dimesso o penalizzato in ragione dell’esecuzione delle proprie funzioni, e riferisce direttamente al più alto livello di gestione del Data Controller o Processor. Può svolgere altre attività, purché non siano in conflitto d’interessi. Dev’essere vincolato al segreto o alla riservatezza in merito alla prestazione dei suoi compiti, nel rispetto del diritto dell’Unione o dello Stato membro.

I COMPITI

Il D.P.O. deve:

(a) informare e consigliare il Data Controller o Processor e gli impiegati che trattano i dati personali circa i loro obblighi ai sensi della normativa in materia di protezione dei dati;
(b) controllare il rispetto della normativa in materia di protezione dei dati e delle regole del Data Controller o Processor in materia di protezione dei dati personali;
(c), (d), (e): …. (non riproposti nel testo)
(f) fornire consulenza ove richiesto per quanto riguarda il P.I.A.: Privacy Impact Assessment e monitorare i relativi adempimenti;
(g) cooperare con l’autorità di vigilanza (Autorità Garante Privacy);
(h) agire come punto di contatto per l’autorità di vigilanza sulle questioni relative al trattamento dei dati personali. Deve prendere in debito considerazione i rischi associati alle operazioni di trattamento, avuto riguardo alla natura, allo scopo, al contesto ed alle finalità del trattamento.

Fonte: www.statewatch.org

Autori: Matteo Colombo e Laura Asnaghi

REGOLAMENTO PRIVACY UE: ULTIMI PASSI

su 30 novembre 201530 novembre 2015 da Matteo Colomboin DPO, Regolamento UELascia un commento

Oggi, 30 novembre 2015, si è tenuta la Commissione LIBE (Libertà civili, giustizia e affari interni), nel corso della quale gli attori coinvolti hanno sintetizzato lo stato dei lavori relativi al futuro Regolamento Privacy UE.

La negoziazione sul futuro Regolamento dovrebbe terminare nei prossimi due Triloghi, che si terranno uno il 10 dicembre e l’altro il 15 dicembre 2015.

I relatori, tra i quali vi è Jan Philipp Albrecht, hanno riferito che sono stati raggiunti accordi pressoché definitivi sul Capo 1 (Disposizioni Generali), ad eccezione dell’ambito di applicazione, Capo 2 (Principi), Capo 3 (Diritti dell’interessato), Capo 6 (Autorità di Controllo indipendenti), Capo 7 (Cooperazione e Coerenza), Capo 8 (Ricorsi, Responsabilità e Sanzioni), Capo 9 (Disposizioni relative a specifiche situazioni di trattamento dati: stato di salute, rapporti di lavoro, ricerca scientifica) e Capo 10 (Atti delegati).

Mancano, ad oggi, accordi sui seguenti principali istituti:

Data Protection Officer: l’obiettivo è di non lasciare ai singoli Stati la facoltatività della nomina, ma di ricercare uno standard, seppur minimo, di obbligatorietà della nomina per settori specifici;
Data Breach: si deve trovare un accordo sugli indicatori di rischio che ne facciano scattare l’obbligatorietà;
Consenso: si sta cercando un accordo su come debba essere espresso, quando debba essere ripetuto e su quale debba essere l’informativa minima;
Ricerca scientifica: si sta discutendo su quale debba essere la tutela, soprattutto per dati sensibili raccolti in occasione di ricerche epidemiologiche;
Sanzioni: si è trovato un accordo generale sulla percentuale di sanzione, che dovrebbe pari nel massimo al 2% del fatturato mondiale annuo, ma si sta ancora discutendo su come raggiungere un’armonizzazione da parte di tutte le Autorità Garanti nazionali nella relativa applicazione.

Si è raggiunto un importante accordo per quanto riguarda l’anonimizzazione dei dati, la portabilità dei dati ed il principio generale dell’approccio basato sul rischio (P.I.A.).

Rimane un tema che, seppur questo Regolamento permetterà un’armonizzazione importante e necessaria per il mercato digitale europeo, vi sono ben 68 casi di apertura alle singole normative statali che potranno derogare al Regolamento (Es. diritto del lavoro, sicurezza pubblica, salute, ecc.).

Il Regolamento sarà approvato all’inizio del 2016 ed avrà efficacia decorsi due anni (inizio 2018).

Autori: Matteo Colombo e Laura Asnaghi

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

su 13 novembre 201513 novembre 2015 da Matteo Colomboin DPO, Regolamento UE, Senza categoria, Unione EuropeaLascia un commento

In questi giorni ho avuto modo di leggere un interessante articolo pubblicato da IAPP (International Association of Privacy Professionals) e di confrontarmi con alcuni colleghi DPO che lavorano a Bruxelles.

La domanda che tutti ci poniamo è:

Alla fine del Trilogo la figura del DPO sarà obbligatoria o solo suggerita ?

Come sapete negli ultimi 3 anni sono state redatte 3 diverse versioni di bozze di Regolamento Privacy UE ed in particolare quelle di: Commissione Europea, Parlamento Europeo e Consiglio d’Europa.

Se inizialmente le bozze di Regolamento della Commissione e del Parlamento parlavano di DPO obbligatorio per una serie di aziende, l’ultima versione del Consiglio d’Europa (CDE) ha rivisto sostanzialmente l’articolo 35 prevedendo la figura del DPO facoltativa ad eccezione di disposizioni specifiche dei singoli Stati membri.

In questi mesi, in sede di Trilogo, la divisione delle parti è rimasta, ma entro fine dicembre 2015 dovranno terminare i lavori e gli Stati arriveranno ad una posizione comune che, sia pure di compromesso, dovrà essere trovata.

I “rumors” dicono che un accordo potrebbe essere trovato rendendo la figura del DPO obbligatoria in due casi:

Numero di persone interessate. Dalle iniziali 5.000 si dovrebbe passare ad una cifra compresa fra 50.000 e 500.000 (quindi grandi DB – si pensi al marketing o alla P.A.);
Tipologia dei dati trattati. Ossia nel caso in cui l’attività principale del Data Controller riguardasse il trattamento di dati speciali (ex dati sensibili e giudiziari) ed in particolare dati sanitari. A ciò si aggiungano i Data Controller che trattano dati finanziari o dati di minori.

13 novembre 2015

Autore: Matteo Colombo

Corte di Giustizia Europea e Safe Harbor | che fare ?

su 8 ottobre 20159 ottobre 2015 da Matteo Colomboin DPO, Garante Privacy, Regolamento UE, Safe Harbor, Unione EuropeaLascia un commento

La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"?

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO, in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015

Job Act e Privacy

su 17 settembre 201517 settembre 2015 da Matteo Colomboin DPO, Garante Privacy, Job ActLascia un commento

Oggi, 17 settembre 2015, è stato finalmente pubblicato sul sito del Governo Italiano: http://www.governo.it/backoffice/allegati/79287-10412.pdf il testo definitivo della riforma dell’art. 4 dello Statuto dei Lavoratori.

Titolo II
Disposizioni in materia di rapporto di lavoro e pari opportunità

Capo I Disposizioni in materia di rapporto di lavoro

ART. 23
Modifiche all’articolo 4 della legge 20 maggio 1970, n. 300 e all’articolo 171 del decreto legislativo 30 giugno 2003, n. 196)

L’articolo 4 della legge 20 maggio 1970, n. 300 è sostituito dal seguente:

ART. 4. Impianti audiovisivi e altri strumenti di controllo

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

Commento: E’ quindi possibile utilizzare da parte delle aziende impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, previa concertazione con le parti sindacali nelle modalità descritte, limitatamente alle 3 ipotesi elencate e più precisamente:
a) Esigenze organizzative e produttive;
b) Sicurezza del lavoro;
c) Tutela del patrimonio aziendale.
Permane il divieto di utilizzo di impianti audiovisivi e di altri strumenti che abbiano quale finalità unica e esclusiva il controllo a distanza del lavoratore.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Commento: l’esclusione dell’accordo sindacale si amplia, oltre che a strumenti di registrazione accessi e delle presenze (vedi badge) a quegli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer | smartphone | posta elettronica ecc.).

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Commento: E’ questa una delle parti più contestate perché stabilisce che se viene data idonea informativa al lavoratore ai sensi dell’art. 13 e se si seguono i dettami del TU Privacy (compresi Provvedimenti e Linee guida specifici) le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari.

Questo cambia approccio rispetto all’indirizzo giurisprudenziale che sino ad oggi ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore e rispetto alla Raccomandazione del 1°aprile 2015 del Consiglio d’Europa, che fra l’altro auspica la minimizzazione dei controlli difensivi svolti attraverso strumenti elettronici.

Ultimo baluardo per un divieto di controllo massivo degli strumenti di lavoro rimane quindi l’applicazione dei fondamentali principi Privacy (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione) ai quali probabilmente il Garante Privacy dedicherà uno o più nuovi Provvedimenti specifici alla luce della riforma del Job Act.

4. L’articolo 171 del decreto legislativo 30 giugno 2003, n. 196, è sostituito dal seguente:

“ART. 171. Altre fattispecie.

1. La violazione delle disposizioni di cui all’articolo 113 e all’articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della legge n. 300 del 1970”.

Commento: La riforma introduce una sanzione specifica per i casi di inosservanza dell’art. 4 dello Statuto dei Lavoratori ossia quella prevista dall’art. 38 della stessa legge. Pertanto, salvo che il fatto non costituisca più grave reato, la sanzione sarà l’ammenda da 154 a 1.549 euro o l’arresto da 15 giorni a un anno, con applicazione di entrambe le pene (sia l’ammenda e sia l’arresto) nei casi più gravi e ferma restando la possibilità, per il giudice, di quintuplicare l’ammenda (facendola quindi arrivare a 7.745 euro) qualora dovesse ritenerla inefficace negli importi ordinari, sulla base delle condizioni economiche del datore di lavoro.

Matteo Colombo

Privacy: nuova Legge dello Stato Russo: che fare ?

su 11 settembre 201511 settembre 2015 da Matteo Colomboin DPOLascia un commento

Legge Federale russa n. 242 del 21 luglio 2014

Il 1 settembre 2015 è entrata in vigore la Legge Federale russa n. 242 del 21 luglio 2014.
La nuova legge sulla localizzazione dei dati personali prescrive che tutti i dati personali dei cittadini russi trattati da società estere, siano conservati e trattati in Russia senza esenzioni per i dati commerciali. L’operatore estero dovrà garantire che la registrazione, la sistematizzazione, il salvataggio, l’archiviazione, l’aggiornamento e il recupero dei dati personali dei cittadini russi debbano essere effettuati solo in database situati nello Stato Russo.

Chi è soggetto a tale Legge?

Le società estere con presenza legale in Russia;
Le società estere non presenti legalmente in Russia ma che forniscono servizi on-line ai cittadini russi (es. e-commerce).

A titolo esemplificativo rientrano nell’applicazione normativa:

a) utilizzo di siti web registrati e/o ubicati in Russia;
oppure
b) utilizzo di un sito internet in lingua russa;

e almeno una delle seguenti opzioni:

siti che offrono la possibilità di effettuare pagamenti in rubli;
annunci pubblicitari per la promozione di un sito internet in Russia;
strategie di marketing che coinvolgono cittadini russi.

Principali azioni da intraprendere:

Risk Assessment per stabilire se la società tratta dati come previsto dalla Localisation Law russa
policy interne e definire dove far risiedere i dati in Russia
informative e consensi specifici
notifica alla Local DPA (Roskomnadzor)
Data Transfer Agreement

Fonte: http://eng.rkn.gov.ru/

Dossier Sanitario Elettronico

su 4 agosto 20154 agosto 2015 da Matteo Colomboin DPO, Garante PrivacyLascia un commento

DataGuidance, editor inglese leader mondiale in materia Privacy che si avvale della collaborazione di importanti Privacy Officer internazionali, ha pubblicato un articolo scritto dall’A.D. di Labor Project srl e Presidente di ASSO DPO, Dott. Matteo Colombo, sul tema del Dossier Sanitario Elettronico.

Cliccare qui per registrarsi al sito di DataGuidance e leggere l’intero articolo

Cliccare qui per leggere un estratto dell’articolo