Un aiuto per adeguarsi al GDPR: I codici di condotta
Lorenzo ChiriattiDirettore Affari Legali Gruppo DADA e
Presidente del Gruppo di lavoro tecnico del CISPE
Parliamo di● ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?
● I CODICI DI CONDOTTA, COSA SONO E PERCHE’ SONO UTILI
● CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
● INTERESSANTE, MA COME POSSIAMO CREARNE UNO?
● PARLIAMO DELL’ESPERIENZA DEL CISPE
● CONCLUSIONI
Un aiuto per adeguarsi al
GDPR: I codici di condotta
Un breve quadro d’insieme
• Cos’è il GDPR?
ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?
• Chi è coinvolto?
• Quando diverrà pienamente applicabile?
Dove siamo:ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?
57%Le aziende che stanno lavorando allo sviluppo di piani di conformità.
(sondaggio Marsh, ottobre 2017)
11% Delle imprese ha risposto di non aver intrapreso alcuna azione in questo senso.
(sondaggio Marsh, ottobre 2017)
78% La percentuale dei responsabili IT delle aziende coinvolte che non comprende l’impatto della nuova normativa, oppure che non ne è proprio a conoscenza.
(ricerca eset idc, novembre 2016)
19% Delle imprese con un fatturato annuo inferiore ai 50 milioni di euro ha risposto di non aver intrapreso alcuna azione in questo senso.
(sondaggio Marsh, ottobre 2017)
Un’opportunità da cogliere ma…occhio alle spine
ENTRA IN VIGORE IL GDPR. COS’È ? SIAMO PRONTI ?
il GDPR è una norma «aperta»
Un fattore di partecipazione e responsabilizzazione degli attori, ma anche una complessità in più da gestire
I codici di condotta, un vestito su misura, più semplice da indossare
I codici di condotta, un vestito su misura, più semplice da indossare
I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Art. 40 GDPR
● L’Unione e gli Stati membri incoraggiano l'elaborazione di codici di
condotta
● Sono strumento per la corretta applicazione e per precisare il GDPR
● Adeguano il codice alle specificità dei vari settori di trattamento e
delle esigenze specifiche delle micro, piccole e medie imprese
I codici di condotta, un vestito su misura, più semplice da indossare
Tramite i codici si apre il dialogo e si porta trasparenza tra imprese e cittadini
I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Considerando 99 GDPR
occorre consultare gli interessati, e tener conto delle
osservazioni ricevute e delle opinioni espresse
I codici di condotta, un vestito su misura, più semplice da indossare
… con effetti positivi in caso di sanzioniI CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Art. 83 co. 2 GDPR
Al momento di decidere se infliggere una sanzione
amministrativa pecuniaria e di fissare l'ammontare della stessa si
tiene debito conto dell'adesione ai codici di condotta
I codici di condotta, un vestito su misura, più semplice da indossare
Uno strumento per avere regole certe e chiareI CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI
Art. 40, co. 9 GDPR
La Commissione può decidere che un codice di condotta ha
validità generale all'interno dell'Unione»
Google e HTTPSIl Web cambia faccia
I legittimi interessi di imprese e cittadiniCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Art. 40 GDPR«Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o
responsabili del trattamento possono elaborare i codici di condotta…allo scopo di precisare
l'applicazione del presente regolamento, ad esempio relativamente a:
a) il trattamento corretto e trasparente dei dati;
b) i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;»
Google e HTTPSIl Web cambia faccia
I nuovi diritti dei cittadiniCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Continua l’ Art. 40 GDPR
«c) la raccolta dei dati personali;
d) la pseudonimizzazione dei dati personali;
e) l'informazione fornita al pubblico e agli interessati;
f) l'esercizio dei diritti degli interessati;»
Google e HTTPSIl Web cambia faccia
Privacy by default, privacy by design e sicurezzaCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Continua l’ Art. 40 GDPR
«g) l'informazione fornita e la protezione del minore e le modalità con cui è
ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a
garantire la sicurezza del trattamento di cui all'articolo 32;»
Considerando 98 : i codici calibrano gli obblighi di titolare e responsabile in
funzione di data protection.
Google e HTTPSIl Web cambia faccia
Data breach e trasferimenti dati all’esteroCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO
Continua l’ Art. 40 GDPR
«i) la notifica di una violazione dei dati personali alle autorità di
controllo e la comunicazione di tali violazioni dei dati personali
all'interessato;
j) il trasferimento di dati personali verso paesi terzi o
organizzazioni internazionali; …»
Google e HTTPSIl Web cambia faccia
Un solo stato membro… «facile»!
INTERESSANTE…MA COME POSSIAMO CREARNE UNO?
Se il codice di condotta si riferisce a attività di
trattamento in un solo Stato membro
Art. 40 co 5 GDPR
Autorità di controllo competente ai sensi dell'articolo 55
parere sulla conformità al GDPR del progetto di codice
e verifica se esso offre garanzie adeguate
Google e HTTPSIl Web cambia faccia
Un codice valido in tutta Europa?
INTERESSANTE…MA COME POSSIAMO CREARNE UNO?
Se il codice di condotta si riferisce a attività di trattamento in più Stati membri
Art. 40 co 7, 8 e 9 GDPR
● Autorità di controllo competente ai sensi dell'articolo 55
● Comitato Europeo per la Protezione dei Dati, per il parere sulla conformità
al GDPR del progetto di codice e verifica delle garanzie adeguate
● il Comitato trasmette il suo parere alla Commissione.
● La Commissione può dare al codice validità generale all'interno
dell'Unione
Google e HTTPSIl Web cambia faccia
Il codice di condotta del CISPE: un caso concreto
PARLIAMO DELL’ESPERIENZA DEL CISPE
● Cos’è il CISPE?
● Perché è nato?
Google e HTTPSIl Web cambia faccia
Lo scopo del codice di condotta del CISPEPARLIAMO DELL’ESPERIENZA DEL CISPE
● Dedicato al mondo degli IaaS (infrastructure
as a service) provider europei
● Offrire ai clienti la possibilità di avvalersi di
responsabili del trattamento certificati
Google e HTTPSIl Web cambia faccia
Prima di tutto, di nuovo, la trasparenzaPARLIAMO DELL’ESPERIENZA DEL CISPE
Trasparenza tra provider e cliente
● Giugno 2017, incontro a Firenze con i clienti
italiani
● il codice apre un canale di informazione tra
provider e cliente
● information security management system
Google e HTTPSIl Web cambia faccia
Qualità certificata e trasparentePARLIAMO DELL’ESPERIENZA DEL CISPE
Sistema per l’adesione al Codice
● Self-assesment e certificazione terza e indipendente
● Sigilli di qualità diversificati
Google e HTTPSIl Web cambia faccia
Gli europei e l’Europa al centroPARLIAMO DELL’ESPERIENZA DEL CISPE
Governance e compliance
● un ruolo centrale alle piccole e medie imprese europee
● L’impegno degli aderenti di trattare i dati solo in Europa
● Sistema di enforcement a garanzia del rispetto del codice
Un aiuto a cittadini e imprese per
capire ed applicare il GDPR…
…riducendo i rischi e cogliendo tutte le opportunità della
nuova norma!