Un piccolo libro sulla privacy, il GDPR e come attuarlo

Di Idraulici della privacy

Un libro breve e di taglio pratico (poca teoria, molti esempi) su come applicare il GDPR.

Gli Idraulici della privacy sono un gruppo selezionato di consulenti e manager in ambito della protezione dei dati personali che quotidianamente si sporcano le mani per affrontare, se serve anche con spirito da artigiani, le necessità dei propri clienti o colleghi. I membri del gruppo condividono le criticità che incontrano, propongono interpretazioni normative, si scambiano e raccontano esperienze ed elaborano chiavi di lettura sulle più varie e diverse tematiche privacy. Questo confronto costante permette al singolo professionista di arricchire le proprie conoscenze, gli strumenti e le soluzioni a sua disposizione per risolvere anche le situazioni più spinose.

Il ricavato di questo libro, completato nella prima metà del 2020 durante l'emergenza COVID-19, sarà devoluto in beneficenza.

• Lingua: Italiano
• Editore: Idraulici della privacy
• Data di uscita: 10 ago 2020
• ISBN: 9788835890706

Anteprima del libro

IDRAULICI DELLA PRIVACY

Il GDPR e come attuarlo

Un piccolo libro sulla privacy

Versione Agosto 2020

Indice dei contenuti

1. Introduzione

2. Un po’ di storia

2.1. Privacy e GDPR

3. Qualche definizione

4. I principi

4.1. Principio di liceità, correttezza e trasparenza

4.1.1. Basi giuridiche per dati non particolari o giudiziari

4.1.1.1. Il legittimo interesse, una base giuridica particolare

4.1.1.2. Basi giuridiche e riferimenti normativi

4.1.2. Basi giuridiche per dati particolari

4.2. Principio di limitazione della finalità

4.3. Principio di minimizzazione dei dati

4.4. Principio di esattezza

4.5. Principio di limitazione della conservazione (e diritto all’oblio)

4.6. Principio di integrità e riservatezza

4.7. Principio di responsabilizzazione (accountability)

5. Gli attori

5.1. Interessato

5.2. Autorità di controllo (DPA) e Garante privacy

5.3. Titolare

5.4. Contitolare

5.5. Responsabile

5.5.1. Selezione dei responsabili

5.5.2. Contratti con i responsabili (o nomine o DPA)

5.5.3. Chiusura del contratto

5.5.4. Casi particolari relativi ai responsabili

5.5.5. Filiere di fornitura

5.5.6. Accesso del personale del fornitore ai dati

5.6. Designati e responsabilità interne

5.7. Data protection officer (DPO)

5.7.1. Compiti del DPO

5.7.2. Indipendenza del DPO

5.7.3. Quando prevedere il DPO

5.7.4. Competenze e profilo del DPO

5.7.5. Risorse del DPO

5.8. Autorizzato

5.8.1. Impegno alla riservatezza

5.8.2. Autorizzazione esplicita

5.8.3. Istruzione, sensibilizzazione e formazione

5.9. Amministratore di sistema

5.9.1. Chi sono gli AdS

5.9.2. Misure per gli AdS

5.9.3. Critiche al Provvedimento

6. Il registro dei trattamenti

6.1. Unità organizzativa (o funzione)

6.2. Referente

6.3. Interessati

6.4. Informazioni (o dati personali)

6.5. Tipi di dati personali

6.6. Trattamento e finalità

6.7. Ruolo dell’organizzazione

6.8. Base giuridica del trattamento

6.9. Destinatari

6.10. Trasferimento Extra UE

6.11. Tempi di conservazione

6.12. Archivi

6.13. Fonti dei dati personali

7. Informativa

7.1. Elementi dell’informativa

7.1.1. Finalità del trattamento

7.1.2. Destinatari

7.1.3. Trasferimenti in Paesi extra-UE

7.1.4. Tempi di conservazione

7.1.5. Diritti dell’interessato

7.1.6. Possibili conseguenze per la mancanza di comunicazione dei dati

7.1.7. Esistenza di processi decisionali automatizzati

7.1.8. Altri elementi

7.2. Consegnare l’informativa

8. Consenso

8.1. Come ottenere il consenso

8.2. Modificare il consenso

8.3. Dati particolari

8.4. Registro pubblico delle opposizioni (uso di numeri pubblici)

8.5. Consenso dei minori

9. Trasferimento dei dati

9.1. Trasferimento dei dati ad altri titolari

9.2. Trasferimento dei dati ad altri responsabili

9.3. Trasferimento dei dati nei Paesi extra-UE o extra-SEE

9.3.1. Autorizzazione da parte della Commissione

9.3.2. Norme vincolanti d’impresa

9.3.3. Clausole tipo di protezione dei dati

9.3.4. Codici di condotta

9.3.5. Meccanismi di certificazione

9.3.6. Eccezioni (deroghe)

10. Esercizio dei diritti dell’interessato

10.1. Diritti dell’interessato

10.1.1. Nota sul diritto di opposizione

10.1.2. Nota sulla portabilità

10.1.3. Nota sulla cancellazione (diritto all’oblio)

10.1.4. Nota sull’accesso dell’interessato e copia dei dati

10.1.5. Nota sulle persone decedute

10.2. Canali di comunicazione per l’interessato

10.3. Riconoscere l’interessato

10.4. Comunicazione con i responsabili e i titolari

11. Misure di sicurezza

11.1. Fonti delle misure di sicurezza

11.2. Misure generali per i dati

11.2.1. Identificare e autorizzare gli autorizzati

11.2.2. Riesaminare le autorizzazioni

11.2.3. Minimizzazione

11.2.4. Controllo della provenienza dei dati

11.2.5. Gestire i tempi di conservazione

11.2.6. Informativa

11.2.7. Consenso

11.2.8. Esercizio dei diritti dell’interessato

11.2.9. Accesso dell’interessato e copia dei dati

11.2.10. Anonimizzare e pseudonimizzare i dati personali

11.2.11. Etichettare i dati

11.3. Misure informatiche

11.3.1. Inventario degli asset

11.3.2. Identificazione e autenticazione

11.3.3. Accedere ai sistemi in emergenza e azzerare le password

11.3.4. Controllo dell’archiviazione

11.3.5. Tracciamento

11.3.6. Configurazione e hardening

11.3.7. Backup

11.3.8. Acquisizione e sviluppo del software

11.3.9. Prevenzione del malware

11.3.10. Patching e aggiornamento del software

11.3.11. Cifrare i dati personali

11.3.12. Dismissione dei supporti

11.3.13. Integrità dei trasferimenti

11.3.14. Sicurezza della rete IT e firewall

11.4. Misure fisiche

11.4.1. Inventario degli asset

11.4.2. Accesso fisico

11.4.3. Sicurezza da eventi naturali o accidentali

11.4.4. Copie dei dati

11.4.5. Controllo dell’archiviazione

11.4.6. Controllo dei trasferimenti

11.4.7. Distruzione dei documenti

11.5. Processi comuni

11.5.1. Gestione degli autorizzati

11.5.2. Competenze degli autorizzati

11.5.3. Regole comportamentali per gli autorizzati

11.5.4. Regole comportamentali per gli interessati

11.5.5. Gestire i progetti

11.5.6. Gestire gli incidenti le violazioni ai dati personali (data breach)

11.5.6.1. Il processo di gestione degli incidenti

11.5.6.2. La notifica all’autorità di controllo

11.5.6.3. La notifica agli interessati

11.5.7. Gestire le vulnerabilità

11.5.8. Audit

11.5.9. Vulnerability assessment

11.5.10. Gestire i fornitori

11.5.11. Gestire i clienti (titolari o super-responsabili)

11.5.12. Monitorare i cambiamenti normativi

12. Certificazioni e adesione ai codici di condotta

12.1. Codici di condotta

12.2. Certificazioni

13. Trattamenti particolari

13.1. Dati relativi a condanne penali e reati (cosiddetti dati giudiziari)

13.2. Personale interno (lavoratori)

13.2.1. Indagini sui lavoratori

13.2.2. Controllo a distanza

13.2.3. Informativa

13.2.4. Mailbox dei dipendenti

13.2.5. Video e foto

13.3. Marketing e pubblicità

13.3.1. L’eccezione per servizi e prodotti analoghi

13.3.2. Il registro delle opposizioni

13.4. Sanità

13.5. Videosorveglianza

13.6. Offerta di servizi informatici agli interessati

13.6.1. Configurazione delle applicazioni

13.6.2. Cookie

13.7. Comunicazioni elettroniche

14. Valutazione del rischio privacy e Privacy impact assessment (DPIA)

14.1. Premessa

14.1.1. Pubblicazioni

14.1.2. Considerazione sui metodi

14.2. Valutazione del rischio relativo alla privacy

14.2.1. Le minacce

14.2.1.1. Identificare le minacce

14.2.1.2. Valutare la verosimiglianza delle minacce

14.2.2. Valutare gli impatti

14.2.3. Calcolo del livello di rischio

14.2.4. Trattamento del rischio

14.3. Data privacy impact assessment (DPIA)

14.3.1 Data privacy impact assessment (DPIA)

14.3.2. Cos’è il Data Privacy impact assessment (DPIA)

14.3.3. Chi realizza la DPIA

14.3.4. Come realizzare una DPIA

14.3.5. La consultazione preventiva

14.3.6. Le DPIA libere

15. Sistema di gestione per la privacy

15.1. Adempimenti privacy;

15.2. Ispezioni da parte dell’Autorità

15.3. Sistema di gestione della protezione dei dati

16. Lo standard ISO/IEC 27701:2019

17. Un progetto privacy

18. Appendice A – Modello di clausole contrattuali con i fornitori

19. Appendice B – Modelli di informativa

19.1. Informativa sul trattamento dei dati del personale e dei collaboratori

19.2. Informativa per i visitatori di un sito web

Gli Autori

Note

1. Introduzione

Questo breve libro ha l’ambizione di illustrare la normativa privacy attualmente (metà 2020) in vigore e fornire degli strumenti per attuarne i requisiti.

La parte teorica, per quanto presente, sarà quanto più ridotta al necessario per giustificare le interpretazioni e gli approcci in modo esaustivo. Chi volesse approfondirla può disporre di ampia letteratura sull’argomento.

Tra i numerosi testi consigliamo:

Francesco Modafferi. Lezioni di diritto alla protezione dei dati personali, alla riservatezza e all’identità personale. Lulu, 2015 (ISBN 978-1-326-46405);

Eduardo Ustaran e altri. European Privacy: Law and Practice for Data Protection Professionals. Portsmouth: IAPP Publications, 2011;

AA.VV. Manuale sul diritto europeo in materia di protezione dei dati. Agenzia dell’Unione europea per i diritti fondamentali e Consiglio d’Europa, 2018 [1];

Franco Pizzetti. Privacy e il diritto Europeo alla protezione dei dati personali, vol. I e II. G. Giappichelli Editore, 2017.

Questo libro non presenta una bibliografia. I riferimenti di pubblicazioni e di siti web, tranne quelli sopra indicati, sono riportati nelle note.

2. Un po’ di storia

Il termine privacy può essere tradotto con il termine intimità, intesa come vita privata. Questa, come sappiamo, è oggetto di rispetto soprattutto presso i Paesi Occidentali e solo da pochi secoli.

Negli USA il 15 dicembre 1890 i giuristi Samuel Warren e Louis Brandeis pubblicarono sulla rivista Harvard Law Review un articolo denominato The right to privacy considerato uno dei saggi più influenti nella storia della legge americana. In tale documento è evocato il concetto di diritto alla privacy come right to be left alone, ossia diritto di essere lasciato da solo.

Negli anni Ottanta e Novanta del XX secolo si promossero sempre più interventi legislativi in merito alla protezione dei dati personali, ossia un sottoinsieme della privacy nel suo complesso.

In Europa, a fine 1995, fu approvata la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio, che imponeva agli Stati membri l’emissione di normative nazionali in merito alla protezione dei dati personali. La Direttiva indicava i principi che le normative nazionali dovevano assicurare.

In Italia fu quindi approvata nel 1996 la Legge 675 dal titolo Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, a cui fu poi affiancato nel 1999 il DPR 318 con le misure minime da applicare per garantire la sicurezza dei dati personali trattati dalle persone fisiche o giuridiche.

Nel 2003 la Legge 675 fu sostituita dal Decreto legislativo 196 (che incorporava nell’Allegato B anche un aggiornamento del DPR 318), dal titolo Codice in materia di protezione dei dati personali, ma spesso chiamato Codice privacy.

Nel 2016 fu approvato, dopo anni di discussioni, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati), più noto in inglese come General data protection regulation o GDPR.

Questa normativa ha prevalenza su quelle nazionali (con le dovute eccezioni). In altre parole, se una normativa italiana è in contrasto con il Regolamento, allora non ha valore. Per questo, seppure in ritardo, il D. Lgs. 101/2018 ha modificato il D. Lgs. 196/2003 dove non ottemperava o era in contrapposizione con il GDPR.

La normativa richiede che ogni Paese istituisca un’Autorità nazionale di controllo in materia di protezione dei dati personali (in inglese, Data protection authority o DPA). Questa autorità, in Italia, dove è attiva sin dal 1996, ha nome di Garante per la protezione dei dati personali ed è spesso indicata più semplicemente come Garante privacy o con la sigla GPDP (vedere anche paragrafo 5.1).

Il Garante ha l’autorità per emanare Provvedimenti, ossia normativa supplementare, sentenze e Linee guida. Il Garante italiano è stato molto prolifico nell’emanazione di normativa supplementare, a differenza di altre autorità europee. Dal 2018, anche i Provvedimenti generali del Garante privacy sono stati modificati per una completa ottemperanza al GDPR.

A partire dal 25 maggio 2018, è attivo il Comitato dei Garanti Europei (European Data Protection Board o EDPB) [2] , che ha sostituito il Working Party 29 (o WP29, istituito dalla Direttiva 95/46/CE) e ha il compito di armonizzare gli interventi in ambito europeo, emanando, ad esempio, linee guida relative a specifici trattamenti. Negli ultimi 2 anni, il Comitato ne ha pubblicate 14, oltre ad aver recepito alcune linee guida emesse in precedenza dal WP 29 [3].

Il contesto normativo prevede norme separate relativamente alla riservatezza delle comunicazioni elettroniche, oggetto del la Direttiva 2002/58/CE, detta anche Direttiva ePrivacy, poi modificata dalla Direttiva 2009/136 e attualmente oggetto di discussione per modifica o per la sua sostituzione con un nuovo Regolamento.

Da prestare attenzione anche alla normativa non direttamente pertinente la protezione dei dati personali, ma che presenta aree di sovrapposizione più o meno ampie con le altre: le norme che disciplinano la sicurezza degli Stati nazionali ( Direttiva (UE) 2016/1148) e le normative in contesto cybersecurity (termine ormai affermato, nonostante la sua infelice natura), in particolare la Direttiva 2008/114/CE sulle infrastrutture critiche, la Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi e il Regolamento (UE) 2019/881 noto come Cybersecurity Act.

In questo libro è trattato esclusivamente il tema della protezione dei dati personali.

Per comodità, nel seguito del libro, quando parleremo dell’insieme della normativa (Leggi, Decreti legislativi, Regolamenti, Provvedimenti del GPDP, eccetera) in materia di protezione dei dati personali, useremo la dicitura normativa privacy.

La normativa privacy è destinata ad evolvere nei prossimi anni. Oltre al GDPR si dovrà tener conto varie normative di adeguamento nazionale, di altri regolamenti in fase di adozione (per esempio il Regolamento ePrivacy), di pareri o linee guida delle DPA e dell’EDPB, di standard internazionali (per esempio la ISO/IEC 27701 e i controlli privacy del NIST o di ENISA) e di schemi di certificazione, non ancora disponibili.

È pertanto necessario controllare periodicamente i siti dell’autorità italiana e quello dell’EDPB [4].

2.1. Privacy e GDPR

Il termine privacy, ormai da tempo entrato nel linguaggio comune degli italiani, spesso con utilizzo improprio, è in realtà assente dal testo del GDPR.

Ma cosa significa privacy? Si hanno solitamente 4 opzioni: vita privata abbondantemente utilizzato dal Garante Italiano per tradurre i documenti ufficiali dall’inglese, intimità, solitudine e riserbo.

Quante volte è stata usata la frase: Ho bisogno della mia privacy per dire a qualcuno di non scocciare? Quante volte è stato sentenziato: Chi si preoccupa della propria privacy, è perché ha qualcosa da nascondere. Quante volte si è dibattuto se sacrificare la privacy di fronte a necessità contingenti, ritenute sempre più urgenti. Ma la privacy non è questo, è molto di più.

Purtroppo il termine privacy è stato nel tempo spogliato e privato del suo più intrinseco valore, nel tentativo di semplificarne la comprensione e renderlo più fruibile per tutti. Finché nella testa di tutti noi la privacy verrà considerata mero riserbo, permarranno pregiudizi e superficiali valutazioni sulla sua importanza.

La vera privacy, come visto nel precedente excursus storico e come si vedrà al capitolo 4 I Principi, è molto di più e non va fraintesa con sue limitative interpretazioni.

3. Qualche definizione

Si intende come dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (articolo 4, paragrafo 1 , del GDPR). Una persona fisica può essere identificata attraverso il nome e cognome, un numero di identificazione (p.e. il codice fiscale, il numero di carta d’identità o il numero di telefono fisso o mobile), i dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica o fisiologica