Sala conferenze Netcomm, via Sacchi 7, Milano

27 marzo 2012, ore 16.30

Avv. Dr. Paolo Balboni

ICT Legal Consulting, European Privacy Association e Istituto Italiano Privacy

paolo.balboni@ictlegalconsulting.com - www.ictlegalconsulting.com - www.europeanprivacyassociation.eu

www.istitutoitalianoprivacy.it - www.paolobalboni.eu

Who is Who?

2

Socio fondatore di ICT Legal Consulting, Direttore dell’European Privacy Association, Cloud

Computing Sector Director e Responsabile Affari Esteri dell’Istituto Italiano Privacy, Avvocato del

Foro di Milano specializzato in Diritto delle nuove tecnologie e tutela dei dati personali. Svolge

attività di consulenza legale, a favore di multinazionali, principalmente in tema di protezione dei

dati personali, contratti informatici, commercio elettronico, cloud computing, responsabilità dei

fornitori di servizi Web 2.0, responsabilità dei fornitori di contenuti su internet e terminali mobili,

firme elettroniche, conservazione sostitutiva, proprietà intellettuale. Assiste altresì persone

celebri su questioni relative a privacy e diritti d’autore. Vanta una considerevole esperienza nei

settori: IT, media & entertainment, e-Health, moda e bancario. Autore del libro ‘Trustmarks in

Ecommerce’, Paolo Balboni è Ricercatore associato presso l’Università di Tilburg (Olanda) dove

insegna il corso di master “Liability of Web 2.0 Service Providers”; nonché Assistente alla

cattedra di Diritto di internet all’ Università di Bologna (Italia). Consulente legale scelto per i

progetti dell’European Network and Information Security Agency (ENISA) su ‘Cloud Computing

Risk Assessment’, ‘Security and Resilience in Governmental Clouds’ e ‘Common Assurance

Maturity Model – Beyond the Cloud (CAMM)’, Paolo Balboni è spesso coinvolto in studi della

Commissione europea relativi a nuove tecnologie e tutela dei dati personali, nonché relatore a

convegni internazionali su tali temi. Laureato in giurisprudenza all’Università di Bologna nel 2002,

ha conseguito il dottorato (Ph.D.) in Diritto comparato delle nuove tecnologie all’Università di

Tilburg nel 2008. Parla correntemente l’italiano, l’inglese e l’olandese ed ha una buona

conoscenza di tedesco, francese e spagnolo. paolo.balboni@ictlegalconsulting.com

Struttura, obiettivi e aspettative

3

1. I principi privacy e il marketing online

2. Le novità privacy introdotte dai decreti “Salva Italia

e “Semplificazioni”

3. Il nuovo Regolamento Privacy europeo e i suoi

impatti concreti

4. Q&A e consigli pratici

1a SEZIONE

4

Glossario

5

• Dato personale

• Dato personale sensibile

• Interessato

• Titolare del trattamento

• Responsabile/i del trattamento

• Incaricato/i del trattamento

• Comunicazione e diffusione

• Banca di dati / database

• Garante per la protezione dei dati personali

Livelli di responsabilità

6

NB: chi pone in essere un trattamento di dati personali deve

necessariamente ricadere in una di queste tre categorie.

Applicazione Codice Privacy

7

Il principio generale è sancito all’art. 5 d.lgs. 196/03, che stabilisce appunto che il

Codice Privacy si applica al trattamento di dati personali effettuato da chiunque:

- è stabilito nel territorio dello stato italiano, anche se i dati sono detenuti all'estero;

oppure

- è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega,

per il trattamento, strumenti situati nel territorio italiano anche diversi da quelli

elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione

europea. In questo caso, il Titolare designa un proprio rappresentante stabilito nel

territorio italiano ai fini dell'applicazione della disciplina sul trattamento dei dati

personali.

Principi generali: INFORMATIVA

8

L’informativa deve contenere i seguenti elementi ex art. 13:

• identificazione delle modalità e della/e finalità del/i trattamento/i;

• indicazione dell’obbligatorietà o facoltatività del conferimento dei dati e

delle conseguenze dell’eventuale rifiuto del consenso;

• indicazione dell’ambito di conoscibilità dei dati (comunicazione,

diffusione, accesso da parte di soggetti che fanno parte della struttura del

Titolare del trattamento);

• diritti dell’Interessato;

• identificazione e contatti del Titolare del trattamento e degli eventuali

Responsabili.

Principi generali: DIRITTI INTERESSATO

• Diritti di accertamento

• Diritti di operare modifiche sui dati (integrazione, correzione, aggiornamento)

• Diritto di porre fine al trattamento e chiedere la cancellazione dei dati

• Diritto di opposizione al trattamento. Se il trattamento è finalizzato all’ invio di

materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato

o di comunicazione commercial, l’opposizione non necessita di cause giustificative.

si esercitano senza alcuna formalità

I diritti

vanno soddisfatti dal Titolare entro 15 gg.

9

Principi generali: CONSENSO

10

• opt-in

• libero, espresso, specifico e informato

eccezione al consenso ex art. 24.1.b

-non è dovuto quando il trattamento è necessario per eseguire obblighi

derivanti da un contratto del quale è parte l’interessato e per adempiere,

prima della conclusione del contratto, a specifiche richieste del soggetto a cui

dati si riferiscono

eccezione al consenso ex art. 130.4

- non è dovuto in caso di vendita diretta di beni e servizi analoghi a

quelli già oggetto di precedente vendita diretta

Es.: form di iscrizione per adesione ad una newsletter promozionale

11

Es.: due trattamenti nella stessa informativa

12

A. Adesione a newsletter promozionale del Titolare e di terzi

13

B. Partecipazione a concorso e profilazione

Es.: due trattamenti nella stessa informativa

Es.: due trattamenti nella stessa informativa

C. Due trattamenti vincolati l’uno all’altro

14

ERRATO!

Cookie e Online Behavioural Advertising

• Informativa

• Consenso

• Obbligo di notificazione al Garante (profilazione)

15

2a SEZIONE

16

La persona giuridica esce dalla tutela privacy • Le persone giuridiche, associazioni ed enti non ricadono più nell’applicazione del Codice

Privacy

• Attenzione all’ ‘abbonato’: il telemarketing su elenchi continua ad essere tutelato, nel senso che la lettera f) dell’art. 4 comma 2 del Codice privacy, che definisce il concetto di ‘abbonato’, è l’unica parte a non essere modificata e la persona giuridica continua a rientrarvi: se letto in combinato con gli artt. 129 e 130 comma 3-bis del Codice privacy, ecco che il regime di opposizione e di iscrizione nel registro continuerà ad applicarsi alle persone giuridiche. Così, se e quando sarà emanato il regolamento attuativo, anche gli invii di posta cartacea agli indirizzi fisici degli abbonati persone giuridiche saranno tutelati.

DUBBI:

• Le persone giuridiche che siano abbonati, cioè siano parte di un contratto con un fornitore di servizi di comunicazione elettronica (ex art. 4 c.2 lett. f) Codice Privacy), ma il cui numero o indirizzo non sia contenuto negli elenchi, non avranno altra tutela che quella prevista agli artt. 122, in materia di monitoraggio degli utenti nei servizi di comunicazione, e 126, in materia di geolocalizzazione, del Codice Privacy?

• Gli abbonati aziende o enti, che non siano dunque “soggetti interessati”, non potranno ricorrere al Garante in caso di violazioni delle norme che continuano a riguardarli: potranno solo adire l’autorità giudiziaria?

17

Abolizione del DPS

18

In riferimento all'obbligo, finora previsto, dell'aggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), si segnala che il d.l. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”(GU n.33 del 9-2-2012), ha, tra l'altro, modificato alcune disposizioni del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS). Pertanto, “salvo che intervengano modifiche da parte del Parlamento, l'obbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno.”(Sito Garante Privacy)

3a SEZIONE

19

ICT Insider

NEWS

Google cambia la

Privacy Policy: contrasto

con la UE

Secondo Google, la sua

nuova privacy policy fornirà

agli utenti un servizio

migliore; i Garanti europei,

temono lo scavalcamento

delle regole privacy europee.

incaricata di valutare la

riforma, ha chiesto a Google

di mettere in stand-by le

nuove regole.

Leggi

Europa, USA e Privacy:

Obama risponde con il

Consumer Privacy Bill of

Rights

proposta del nuovo

Regolamento privacy UE,

esce negli USA un

documento che rafforzerebbe

i diritti privacy dei

consumatori americani, da

sempre meno tutelati degli

privacy dei partner

Leggi

Nuovo Regolamento

Privacy UE: gli USA si

preparano al

cambiamento

Secondo un sondaggio

condotto da Tufin

Technologies, leader nel

mercato delle Security Policy

Management solutions, i

gestori della sicurezza dei

network americani temono le

nuove regole privacy

europee, in particolare le

nuove sanzioni. La

maggioranza di essi si fida di

più dei software

automatizzati di verifica degli

adempimenti, che non del

controllo umano.

Leggi

Nuova proposta di Regolamento Europeo in materia di protezione

di dati personali: elementi chiave

Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD). Proposal for a REGULATION OF THE EUROPEAN

PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on

the free movement of such data (General Data Protection Regulation)

Dopo più di due anni di consultazioni, la Commissione Europea ha proposto il 25 gennaio scorso delle ampie misure di

riforma del quadro legislativo europeo sulla protezioni dei dati personali.

Ecco alcuni elementi chiave:

La proposta assumerà la forma di un Regolamento applicabile in tutti gli Stati

nazionali. Quale sarà l'impatto del nuovo Regolamento privacy europeo? Enorme. Non solo sostituirà la Direttiva

95/46/EC - che fu la direttiva "madre" della privacy nel nostro continente - ma di fatto abrogherà, per incompatibilità,

buona parte dei "Codici privacy" nazionali, incluso quello italiano.

Applicazione a Società con sede UE ed Extra-UE. Oltre che alle Società che hann

Regolamento troverà applicazione anche nei confronti delle Società con sede extra UE che: offrono beni o servizi a

-stop- UE ma non per Titolari non UE. Il controllo sui Titolari comunitari verrà effettuato

d

principale. La previsione del concetto di "stabilimento principale" del titolare, infatti, mira ad evitare che un'impresa

attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato. Inoltre, è previsto il ruolo di

"lead authority", in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi -Stato. I

Titolari ubicati fuori dalla UE, invece, dovranno designare un Rappresentante in uno degli Stati Membri in cui si

trovano i soggetti interessati cui si riferiscono i dati trattati per fornire loro beni o servizi, ossia il cui comportamento

viene monitorato. Tale Rappresentante potrà

possa essere identificato (direttamente o indirettamente) dal Titolare del trattamento. Solo le persone fisiche

quando la denominazione della persona giuridica contenga i nomi di persone fisiche.

mediante

sotto dei 18 anni di età).

Previsione delle figure dei joint controllers

responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa

ad

oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile).

Trasferimento di dati. Le esistenti restrizioni europee sul trasferimento di dati verso Paesi che non offrono

zzando

clausole contrattuali standard adottate dalla Commissione Europea o da Autorità garanti e clausole contrattuali ad

Corporate Rules (BCRs, norme vincolanti di impresa) è semplificata, e tale regime è esteso anche ai Responsabili

originarie deroghe per il trasferimento dei dati a Paesi Terzi, come il consenso, ma aggiunge una nuova deroga per

trasferimenti occasionali o limitati, se necessari per legittimo interesse del Titolare.

Contatti

Via De Togni 14

20123 Milano

Tel: +39 02 84573267

Via delle Lame 24

40122 Bologna

Tel: +39 051 0491814

P.za San Salvatore in Lauro 13

00186 Roma

Tel: +39 06 97842491

I S S U E 0 1

M a r z o 2 0 1 2

* Amburgo

Amsterdam

Atene

Bruxelles

Londra

Madrid

Parigi

Varsavia

Vienna

* partner law firms

4a SEZIONE

20

Grazie per l’attenzione!

Avv. Dr. Paolo Balboni

ICT Legal Consulting, European Privacy Association e Istituto Italiano Privacy

paolo.balboni@ictlegalconsulting.com - www.ictlegalconsulting.com - www.europeanprivacyassociation.eu

www.istitutoitalianoprivacy.it - www.paolobalboni.eu

21

ICT Legal Consulting

22

ICT Legal Consulting è uno studio legale italiano costituito nel 2011 con sedi a Milano, Bologna e Roma e

presente, attraverso studi professionali associati, in altri otto paesi Europei (Austria, Belgio, Francia,

Germania, Grecia, Paesi Bassi, Polonia, Regno Unito e Spagna). E’ stato creato da Paolo Balboni e Luca

Bolognini, che hanno raggruppato un gruppo di fidati professionisti altamente specializzati nel diritto

dell’Informazione, delle Comunicazioni, della Privacy e delle Tecnologie.

I nostri avvocati, contraddistinti da competenze uniche nell’ICT, svolgono attività di consulenza legale, a

favore di multinazionali e di imprese innovative, principalmente in tema di protezione dei dati personali,

contratti informatici, e-health, e-commerce, e-marketing, advertising, cloud computing, responsabilità dei

fornitori di servizi Web 2.0, responsabilità dei fornitori di contenuti su internet e terminali mobili, scommesse

online, giochi di abilità online, firme elettroniche, gestione documentale e conservazione sostitutiva, energie

rinnovabili. Inoltre forniamo assistenza completa con riferimento alla tutela proprietà intellettuale: diritto

d’autore, marchi, design, brevetti, concorrenza sleale, protezione dei consumatori.

I nostri professionisti hanno sviluppato una considerevole esperienza nei seguenti settori: comunicazioni,

media & entertainment, IT, servizi sanitari, moda, energetico e smart grids, servizi bancari/finanziari ed e-

Government, responsabilità amministrativa penale d’impresa (231/01). www.ictlegalconsulting.com