Il ruolo del Garante per la protezione dei dati personali alla luce dell'evoluzione della normativa comunitaria e interna, Francesco Modafferi, Garante per la protezione dei dati personali
Disposizioni di vigilanza di Banca d'Italia per gli intermediari finanziari
Similar to Il ruolo del Garante per la protezione dei dati personali alla luce dell'evoluzione della normativa comunitaria e interna, Francesco Modafferi, Garante per la protezione dei dati personali
Smau Milano 2016 CSIG - Data Protection OfficerSMAU
Similar to Il ruolo del Garante per la protezione dei dati personali alla luce dell'evoluzione della normativa comunitaria e interna, Francesco Modafferi, Garante per la protezione dei dati personali (20)
LA GOVERNANCE DEI CONTROLLI SOCIETARI E LE FUNZIONI DI CONTROLLO INTERNO
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evoluzione della normativa comunitaria e interna, Francesco Modafferi, Garante per la protezione dei dati personali
1. Di cosa parleremo?
C’era una volta il segreto bancario
L’attività di controllo del Garante
L’attività ispettiva nel quadro dei poteri
istruttori
La collaborazione con la Guardia di finanza
Il ruolo dell’enforcement nel quadro del
nuovo regolamento europeo
4. Segreto bancario
• Istituto giuridico
L’ordinamento riconosce in linea di
principio il segreto bancario e lo configura
come “divieto per le banche di rivelare
notizie da esso coperte, fuori da
specifiche ipotesi di deroga in cui esse
sono obbligate a fornire informazioni o
documenti e a sottostare alle indagini”.
• Interesse protetto
Il segreto non tutela solo interessi privati
dei clienti, ma quelli generali inerenti il
sistema economico = Fiducia dei clienti
nelle banche
7. La riservatezza dei dati bancari dipende solo dalla legge sulla privacy?
La nozione di dato personale è applicabile anche ai dati bancari delle persone fisiche (dall’entrata in
vigore del Dl 6 dicembre 2011, n. 2011, i dati relativi alle persone giuridiche, enti e associazioni sono
esclusi dall’ambito di applicazione della disciplina)
Tutela del segreto bancario e protezione dei dati personali rimangono però distinte
8. La compressione del c.d. segreto bancario incontra dei limiti?
L’ingresso nel nostro ordinamento della disciplina sulla protezione dei dati personali impone
di rivedere l’approccio della Corte Costituzionale secondo la quale: “alla riservatezza cui
le banche sono tenute nei confronti delle operazioni dei propri clienti non si può
applicare il paradigma di garanzia proprio dei diritti di libertà personale, poiché
alla base del segreto bancario non ci sono valori della persona umana da
tutelare: ci sono, più semplicemente, istituzioni economiche e interessi patrimoniali, ai
quali, secondo la giurisprudenza costante di questa Corte, quel paradigma non è
applicabile.”
Il segreto bancario non è quindi comprimibile, fermi restando la valutazione di altri
aspetti, oltre il limite del rispetto delle regole della protezione dei dati personali.
9. Ma concretamente ha ancora senso parlare di segreto?
Segreto è un fatto o un’informazione conosciuta da pochi e che non deve essere divulgata (*)
Banca Gruppo
Circuito
interbancario
Circuito vigilanza
Deroghe
(*) Def. Dizionario della lingua italiana Sabatini-Coletti
11. I provvedimenti dell’Autorità
Provvedimento
generale del 12
maggio 2011
Oggetto: prescrizioni in relazione
al trattamento di dati personali
della clientela effettuate dai
dipendenti di istituti di credito (sia
quelle che comportano
movimentazione di denaro, sia
quelle di sola consultazione, c.d.
inquiry).
Termine: 30 mesi da pubblicazione
provv edimento su gazzetta
ufficiale (3 dicembre 2013)
Oggetto: Chiarimenti in
ordine alla 'tracciabilità' delle
operazioni bancarie; proroga
del termine per completare
l'attuazione delle misure
originariamente
prescritte.
Proroga termine: + 6 mesi
( 3 giugno 2014)
Provvedimento 18
luglio 2013
12. 12
Il metodo
Problema:
• Dati conservati nei data base di alcune
banche erano stati oggetto di indebito
accesso da parte di alcuni dipendenti
che li hanno comunicati a terzi che li
hanno utilizzati per scopi personali
(separazioni giudiziali, procedure
esecutive, pignoramenti presso terzi,
ecc)
Soluzione:
• Accertamenti e provvedimenti del
Garante che hanno portato al
provvedimento sulla tracciabilità
delle operazioni bancarie
13. Misure necessarie:
Prescrizioni
Definizione del ruolo
dell’outsourcer a cui è
affidata la gestione
dei dati bancari
Tracciamento delle
operazioni di
accesso ai dati
bancari effettuata
da un incaricato
Conservazione dei
log per almeno 24
mesi dalla data di
registrazione
dell'operazione
Implementazione di
alert che individuino
comportamenti
anomali o a rischio
Audit interno
14.
15. Introduzione
Nell’ambito della disciplina sulla protezione dei dati personali, quella
relativa alle ispezioni e alle sanzioni è la parte che ha subìto nel tempo i
cambiamenti più rilevanti.
Come viene utilizzato lo strumento
ispettivo dal Garante?
16. Linee di attività
Attività di controllo
effettuata anche
mediante accessi, di
natura ispettiva, alle
banche dati
Prescrizioni di
misure necessarie e
opportune/ blocchi
o divieti
Preventiva
Successiva
Attività di indirizzo per mezzo dei pareri, di
provvedimenti generali e linee guida
17. Attività di controllo e provvedimenti generali
Ispezioni
Fase istruttoria
(ante)
Attività
provvedimentale
Fase di vigilanza
(post)
Ispezioni
18. L’attività istruttoria
Gli strumenti per lo svolgimento delle istruttorie del Garante sono
sostanzialmente due:
l’ispezione che prevede l’intervento, presso la
sede ove si svolge il trattamento, di funzionari
dell’Autorità appositamente incaricati di acquisire
informazioni o documenti e/o di effettuare gli
accessi alle banche dati;
la richiesta di informazioni che si concretizza
nell’inviare una missiva con la quale si richiede al
titolare del trattamento la trasmissione di
documenti, ovvero la comunicazione, in forma
scritta, di dati, notizie, informazioni o altri elementi
suscettibili di valutazione.
19. I compiti
controllare se i trattamenti sono effettuati nel rispetto della
disciplina applicabile
esaminare i reclami e le segnalazioni e provvedere sui ricorsi
prescrivere anche d'ufficio ai titolari del trattamento le
misure necessarie o opportune al fine di rendere il trattamento
conforme alle disposizioni vigenti
vietare anche d'ufficio, in tutto o in parte, il trattamento
illecito o non corretto dei dati o disporne il blocco
promuovere la sottoscrizione di codici deontologici
segnalare al Parlamento e al Governo l'opportunità di
interventi normativi
20. Input dell’attività ispettiva
(richieste informali di controllo a fronte delle quali può
essere avviata un’istruttoria preliminare)
(richiesta circostanziata di intervento del Garante in
relazione ad una violazione della normativa. Comporta
l’apertura di un’istruttoria preliminare)
(attraverso i quali si fanno valere i diritti di cui all’art. 7; 60
giorni per la decisione)
(diretta conoscenza, notizie stampa, Internet, programmi
ecc.)
Segnalazioni
Reclami
Ricorsi
Di iniziativa
20
21. • Il Garante determina
semestralmente la
programmazione ispettiva
indicando ambiti di intervento
e obiettivi numerici del
controllo
• La programmazione tiene
conto anche delle attività che
possono essere delegate alla
Guardia di finanza
La programmazione delle ispezioni di iniziativa
25. Il protocollo prevede che la G. di F. collabori con il Garante attraverso:
il reperimento di dati ed informazioni sui soggetti da controllare
l’assistenza nei rapporti con l’Autorità Giudiziaria
la partecipazione di proprio personale agli accessi alle banche dati, ispezioni e
verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento
lo sviluppo di attività delegate per l’accertamento delle violazioni di natura
penale o amministrativa
la contestazione diretta delle sanzioni amministrative rilevate nell’ambito delle
attività delegate
Il protocollo d’intesa
25
31. Gli strumenti legislativi comunitari
Il regolamento ha portata
generale. Esso è
obbligatorio in tutti i suoi
elementi e direttamente
applicabile in ciascuno
degli Stati membri.
La direttiva vincola lo
Stato membro cui è rivolta
per quanto riguarda il
risultato da raggiungere,
salva restando la
competenza degli organi
nazionali in merito alla
forma e ai mezzi.
La decisione è obbligatoria
in tutti i suoi elementi. Se
designa i destinatari è
obbligatoria soltanto nei
confronti di questi.
Le raccomandazioni e i
pareri non sono vincolanti.
Art. 288 del Trattato sul funzionamento dell’Unione europea (TFUE)
32. La soluzione scelta
Regolamento del Parlamento europeo e del Consiglio
concernente la tutela delle persone fisiche con riguardo al
trattamento dei dati personali e la libera circolazione di
tali dati (regolamento generale sulla protezione dei dati)
Regolamento
Direttiva che dovrà disciplinare i trattamenti per finalità di
giustizia e di polizia (attualmente esclusi dal campo di
applicazione della direttiva 95/46/CE).
Direttiva
33. Premessa
Per garantire un livello uniforme di protezione delle persone fisiche in tutta
l’Unione e prevenire disparità che possono ostacolare la libera circolazione
dei dati nel mercato interno, è necessario un regolamento che:
garantisca certezza del diritto e trasparenza agli operatori economici, comprese
le micro, piccole e medie imprese
offra alle persone fisiche in tutti gli Stati membri il medesimo livello di
azionabilità dei diritti
definisca obblighi e responsabilità dei responsabili del trattamento e degli
incaricati del trattamento
assicuri un monitoraggio costante del trattamento dei dati personali
assicuri sanzioni equivalenti in tutti gli Stati membri
assicuri una cooperazione efficace tra le autorità di controllo dei diversi Stati
membri
34. I principi di fondo
Continuità
• La trasparenza – informativa
• Il consenso (e i casi di
esclusione)
• Le misure di sicurezza
• I codici di condotta
Novità
• Il diritto alla portabilità dei dati
• Le nuove definizioni (profilazione,
dati genetici e biometrici)
• I data breach
• La Valutazione di impatto per
trattamenti che presentano rischi
specifici e la consultazione
preventiva
• Registro delle attività di
trattamento
• Il Privacy officer
• Certificazione
• Comitato europeo per la protezione
dei dati personali e meccanismo di
“Coerenza”
• Abolizione della notificazione