Italia e UE

Privacy e protezione dei dati, ecco le urgenze 2020

A livello nazionale, il 2020 si prospetta denso di impegni: fitta l’agenda delle cose da fare sulla scrivania del garante. Facciamo il punto su quanto è stato fatto lo scorso anno e su cosa si prospetta per quello appena iniziato

14 Gen 2020
Anna Cataleta

Avvocato, Senior Partner P4I

Gabriele Faggioli

CEO Gruppo Digital360, presidente Clusit, Responsabile Scientifico Osservatorio Cybersecurity & Data Protection Politecnico di Milano

data-protection

Il 2019 è stato un anno decisivo per l’attuazione e per una migliore comprensione del GDPR e, in generale, per la data protection. Facciamo il punto sulle attività più significative del 2019 e sugli interventi più attesi per il 2020.

Il 2019 di privacy e data protection

A livello sia europeo sia nazionale, tenendo conto delle esigenze concrete degli operatori, sono stati stabiliti dei punti fermi e sono state date importanti indicazioni interpretative, e al tempo stesso operative, con riferimento a modalità e settori significativi del trattamento dei dati personali.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Tra i provvedimenti più innovativi o comunque di maggior impatto attuativo,

  • il Comitato europeo per la protezione dei dati (l’ex WP29 oggi denominato EDPB) ha adottato:
  • le Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del GDPR[1] chiarendo le procedure e le regole per la presentazione, l’approvazione e la pubblicazione dei codici di condotta di cui agli artt. 40 e 41 del GDPR, a livello sia nazionale che europeo;
  • le Linee guida 3/2019 sul trattamento di dati personali attraverso sistemi di videosorveglianza[2] che illustrano alle imprese i principi generali a cui attenersi nell’installazione di tali sistemi, anche con riferimento alla base giuridica applicabile, ai tempi di conservazione, ai diritti degli interessati, alle misure tecniche e organizzative da adottare ed alle terze parti a cui è possibile comunicare/diffondere le immagini videoregistrate e regolano altresì il complesso rapporto tra dati biometrici e trattamenti effettuati tramite dispositivi video;
  • le “Linee guida 4/2019 relative all’interpretazione dei principi di Privacy by design & by default” di cui all’art. 25 del GDPR[3] che illustrano gli orientamenti pratici in materia e, tra l’altro, forniscono indicazioni circa i meccanismi di certificazione a cui i soggetti coinvolti possono ricorrere al fine di dimostrare il rispetto dei suddetti principi
  • il Garante europeo della protezione dei dati (l’European Data Protection Supervisor – EDPS) ha emanato:
  • le “Linee Guida sulla valutazione della proporzionalità delle misure che comportano limitazioni dei diritti fondamentali relativi alla privacy e alla protezione dei dati personali”[4], indirizzate ai responsabili politici per garantire l’applicazione della normativa UE sulla data protection;
  • le “Linee Guida sui concetti di Titolare, Responsabile e contitolarità ai sensi del Reg. (UE) 2018/1725”[5]
  • l’ENISA (l’Agenzia Europea per la sicurezza informatica) è intervenuta sul tema della sicurezza dei dati (oggi con l’avvento del GDPR parte integrante della protezione dei dati) con Linee Guida, Prassi ed eventi sull’implementazione di misure tecniche standard con riferimento, inter alia, alla PSD2 (Nuova Direttiva sui pagamenti digitali), all’IoT (l’Internet delle cose), alla NIS (Direttiva sulla sicurezza delle reti e dei sistemi di informazione) ed ai meccanismi di certificazione in tema di sicurezza informatica.
  • il Garante italiano per la protezione dei dati personali, in esito ad una serie di iniziative sul GDPR avviate sia a livello nazionale sia su input delle Autorità competenti a livello europeo,:
  • Ha verificato la conformità dei Codici di deontologia e di buona condotta , oggi Regole deontologiche,per i trattamenti di dati personali effettuati nell’esercizio dell’attività giornalistica, per fini statistici o di ricerca scientifica, nonché per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria[6];
  • ha emanato il Provvedimento n. 157 del 30 luglio 2019 che in allegato propone un modello di notifica delle violazioni dei dati personali indicando quali siano le informazioni da trasmettere necessariamente alla competente Autorità di controllo ai sensi dell’art. 33 del GDPR;
  • ha pubblicato il Manuale RPD contenente le linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del GDPR, frutto di una collaborazione transnazionale che ha coinvolto esperti, giuristi e funzionari delle Autorità di controllo di diversi Paesi, tra cui il Garante italiano medesimo[7].

Le sanzioni

Sul terreno delle sanzioni, dopo il periodo iniziale di “clemenza” nella fase immediatamente successiva al 25 maggio 2018 (data di piena applicazione del Reg. UE 2016/679 “GDPR”), i procedimenti avviati e conclusi nel 2019 con l’irrogazione di sanzioni amministrative pecuniarie.

Le Autorità di controllo maggiormente attive, oltre a quella italiana, in ambito ispettivo e sanzionatorio sono state, in particolare, Belgio (6), Bulgaria (15), Francia (5), Germania (12), Repubblica Ceca (7), Romania (17), Spagna (31) e Ungheria (13).

Le sanzioni più significative, per numero e come entità, hanno riguardato principalmente la violazione degli artt. 5 (principi generali in materia di protezione dati), 6 (basi giuridiche che legittimano il trattamento), 12 e 13 (informativa sul trattamento dei dati raccolti presso l’interessato e modalità di fornitura di tali informazioni), 12 e 15-22 (diritti degli interessati e modalità di esercizio di tali diritti) con particolare riguardo agli artt. 15 (diritto di accesso) e 17 (diritto di cancellazione), 25 (principio di privacy by design), 32 (misure di sicurezza tecniche e organizzative insufficienti) e 33 (mancata notifica di una violazione di dati personali “data breach”) del GDPR.

Gli interventi più attesi per il 2020

Terminata la ricognizione (su alcune) delle attività più significative del 2019, ci accingiamo a fare il punto sugli interventi più attesi per il 2020 in ambito data protection.

A livello europeo, avranno un ruolo determinante:

  • il Regolamento e-Privacy: dopo l’ennesimo clamoroso stop imposto dal Parlamento Europeo lo scorso dicembre ci si aspetta, infatti, un intervento delle Istituzioni Europee per il varo di questo Regolamento volto ad abrogare la Direttiva 2002/58/CE e a creare un quadro normativo omogeneo e coerente a livello europeo, al pari del GDPR, nello specifico contesto delle comunicazioni elettroniche.

Il nuovo Regolamento dovrà superare le incongruenze della attuale direttiva con il GDPR ed occuparsi di una pluralità di temi delicatissimi e molto sentiti: cookies, data driven adverstising, web marketing, metadati, 5G, IoT e dovrà fornire gli strumenti necessari per contrastare reati quali il terrorismo, la pedopornografia e l’abuso di minori attraverso modalità informatiche.

  • le prossime assemblee plenarie e le Nuove Guidelines dall’EDPB in programma: ci si aspetta che il Board si pronunci sul digital marketing e sui cookie, in un’ottica di armonizzazione ed al fine di chiarire i dubbi sorti a seguito delle recenti pronunce ed indicazioni date da alcune Corti ed Autorità di Controllo comunitarie[8] e poi si è in attesa delle versioni finali delle citate Linee Guida 3/2019 sulla videosorveglianza e delle Linee Guida sul diritto alla cancellazione (c.d. diritto all’oblio). Tali ultime Linee Guida sono strutturate in due sezioni: la Parte 1, relativa ai presupposti validi per una richiesta di deindicizzazione, e la Parte 2, incentrata sulle eccezioni opponibili ex art. 17.3, GDPR avverso le richieste di delisting. Per il momento è stata pubblicata solo la Parte 1 (Linee Guida 5/2019), attualmente sottoposta a consultazione pubblica.[9]

Un ruolo significativo ci si attende, infine, dalla neonata Commissione di Controllo Coordinato chiamata a vigilare sui grandi sistemi informativi Ue, sotto la guida di Giuseppe Busia, attuale segretario generale dell’Autorità per la protezione dei dati italiana. Tale nuovo organismo avrà tra i suoi compiti quelli di fornire supporto alle Autorità garanti della protezione dei dati personali nello svolgimento di audit ed ispezioni, di fornire indicazioni sull’interpretazione ed applicazione delle norme, di elaborare proposte armonizzate per la soluzione delle problematiche che le verranno sottoposte e di promuovere attività di sensibilizzazione rispetto ai diritti in materia di protezione dei dati.

Gli impegni 2020 del Garante

A livello nazionale, il 2020 si prospetta denso di impegni per l’eligendo collegio dell’Autorità Garante italiana per la protezione dei dati personali (l’attuale collegio scade il 31 marzo 2020).

Infatti, sulla scrivania del Garante c’è una fitta agenda di “to do list” che presuppone ritmi serrati per colmare il gap venutosi a creare in conseguenza dello stallo politico che si è concretizzato nell’attuale regime di prorogatio. Tra le tematiche di maggior rilevanza ed urgenza rientrano i seguenti temi su cui la richiesta di intervento è trasversale ed unanime:

  • il Digital & Direct Marketing ed i cookie: si tratta di due dei temi più dibattuti dell’ultimo anno.

L’ultimo provvedimento del Garante in materia di cookie risale ormai al 2014 e mentre molti dei colleghi europei hanno già prodotto delle Linee Guida per regolamentare quello che è riconosciuto come uno dei segmenti più remunerativi e controversi del mercato dei servizi online, l’Autorità italiana non si è ancora espressa. L’urgenza di intervenire su un provvedimento ormai obsoleto è legata al rischio di non conformità con le prescrizioni del GDPR in materia di consenso ed è dettata anche dai recenti interventi giurisprudenziali in tal senso, non ultima la ormai celebre sentenza della Corte di Giustizia[10] che ha acceso il dibattito sulle tecnologie di tracciamento nello scorso autunno.

  • l’attività promozionale ed il contrasto allo spam: Anche in questo caso l’ultimo provvedimento dell’Authority di Piazza Venezia risale al lontano 2013. Da un punto di vista tecnologico sono trascorsi eoni e alcune delle disposizioni di quello storico e (all’epoca) dirompente provvedimento non appaiono più in linea, né in grado di regolare una realtà profondamente mutata.
  • la verifica di compatibilità dei provvedimenti precedenti all’entrata in vigore del GDPR: durante il biennio 2018/2019 il Garante si è occupato di verificare e, ove necessario, “tradurre” ai sensi del GDPR alcuni dei suoi provvedimenti a carattere generale. Resta il fatto che una gran parte dell’attività regolatoria dell’Authority è ad oggi ancorata alla previgente disciplina creando notevoli problematiche in tema di applicabilità delle previsioni ivi contenute. Ci si aspetta, dunque, che il Garante stilli quanto prima un ulteriore elenco dei documenti riconosciuti compatibili con il GDPR e dia avvio ad una cospicua produzione di provvedimenti, di natura sia generale sia speciale, che vadano a colmare gli inevitabili “vuoti” normativi.

Altro aspetto su cui il Garante per la protezione dei dati personali dovrà pronunciarsi è quello dei casi di liceità e delle garanzie circa il trattamento dei dati personali relativi a condanne penali e reati (art. 10 del GDPR). I casi di liceità dovranno essere tassativamente individuati con l’atteso Decreto del Ministero della Giustizia, come previsto ai sensi dell’art. 2-octies, co. 2 del novellato Codice Privacy e su tale decreto dovrà essere raccolto il parere del Garante ex art. 17, co. 3, della L. 23 agosto 1988, n. 400.

Infine, anche se, come è ovvio, trattasi di tema su cui l’urgenza è meno sentita dagli operatori, il Garante dovrà individuare il Piano delle attività ispettive per il 2020: in merito, ci si aspetta che l’Authority si indirizzi verso le attività di trattamento che non sono già state oggetto dell’attività ispettiva programmata nei precedenti semestri del 2019.

___________________________________________________________________

  1. adottate in data 4 giugno 2019 ad esito di consultazione pubblica
  2. adottate in data 10 luglio 2019 ma di cui si attende il testo definitivo all’esito della consultazione pubblica
  3. adottate in data 13 novembre 2019 ma ancora in fase di consultazione pubblica
  4. del 19 dicembre 2019.
  5. del 7 novembre 2019.
  6. in data 16 gennaio 2019.
  7. Il Manuale, elaborato nell’ambito del progetto T4Data finanziato dall’UE, è stato approvato il 23 luglio 2019 nella sua prima versione, in inglese, e pubblicato nella versione italiana il 2 ottobre 2019.
  8. In particolare si segnalano le Linee guida dell’ICO (UK) pubblicate sul sito il 3 luglio 2019, la Délibération 2019-093 del CNIL (Francia) e le Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien – linee guida per i fornitori di servizi telematici della DSK (Germania).
  9. Le Guidelines 5/2019, adottate dall’EDPB il 2 dicembre 2019, resteranno in consultazione pubblica fino al 5 febbraio 2020. 
  10. Causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV / Planet49 GmbH

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Link