GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

Transcript

1 GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati 12 aprile 2018

2 Una nuova disciplina Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation - GDPR ) in vigore il 25 maggio 2016 e applicabile dal 25 maggio 2018 abroga la direttiva 95/46/CE

3 Le novità del GDPR Nuove condizioni per il consenso, rafforzato il principio di trasparenza Ripartizione degli obblighi e accountability Individuazione del Data Protection Officer Valutazione preventiva e continuativa del rischio Inasprimento delle sanzioni

4 Il consenso e le sue alternative Introdotto articolo ad hoc per le condizioni del consenso (art. 7) onere della prova del consenso in capo al titolare linguaggio chiaro, semplice, comprensibile richiesta di consenso chiaramente distinguibile revocabilità del consenso in qualsiasi momento Mantenute basi giuridiche del trattamento alternative al consenso (art. 6) esecuzione contrattuale obbligo legale del titolare salvaguardia di interessi vitali esecuzione compito di pubblico interesse ( )

5 Il principio di trasparenza (1/2) Rafforzato il principio di trasparenza nel fornire informazioni da parte del titolare all interessato (art. 12) Arricchito il contenuto delle informazioni da fornire all interessato prima dell inizio del trattamento (art. 13), tra cui: le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento ove applicabile, l intenzione del titolare del trattamento di trasferire dati personali e lo strumento giuridico sulla base del quale viene effettuato il trasferimento il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo

6 Il principio di trasparenza (2/2) Focus: la società X (titolare) emette fatture unicamente in forma elettronica per tutti i servizi offerti. Decide di stipulare un contratto di servizio con il cliente Y alla luce del GDPR, la società X, alla stipulazione del contratto, dovrà fornire al cliente Y adeguata informativa privacy, anche in merito al trattamento dei dati effettuato per l emissione della fattura elettronica in particolare, dovrà fornire le informazioni aggiuntive richieste dal GDPR es. periodo di conservazione dei dati o, in caso affidi la conservazione delle fatture ad una società situata extra-ue, dovrà informare il cliente del trasferimento dei dati e dello strumento utilizzato per effettuarlo

7 I soggetti attivi del trattamento (1/2) Titolare principio di accountability Contitolari definizione dei ruoli e delle responsabilità mediante accordo interno (art. 26) Responsabile ruolo, compiti e poteri (art. 28) ammessa la figura del sub-responsabile

8 I soggetti attivi del trattamento (2/2) Focus: il sub-responsabile la società X (titolare) affida la conservazione delle proprie fatture elettroniche alla società Y la quale assume quindi il ruolo di responsabile esterno del trattamento. A sua volta, la società Y si avvale dell infrastruttura informatica gestita dalla società Z alla luce del GDPR, la società Z si qualificherà come subresponsabile

9 Accountability e valutazione del rischio Designare un Data Protection Officer, qualora obbligatorio (art. 37) Tenere registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30) Adottare misure di sicurezza adeguate (art. 32) Notificare il data breach all Autorità Garante ed eventualmente comunicarlo all interessato (artt. 33 e 34) Procedere alla valutazione d impatto sulla protezione dei dati (art. 35) e alla consultazione preventiva, ove necessario (art. 36)

10 Data protection officer Designazione obbligatoria trattamento effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali) trattamenti che richiedono il monitoraggio sistematico degli interessati su larga scala trattamento su larga scala di particolari categorie di dati se previsto espressamente dal diritto dell Unione o degli Stati membri Figura interna o esterna Requisiti e compiti specifici

11 Registro delle attività del trattamento Focus: la società X (titolare) nomina responsabile del trattamento una società terza, che offre servizi di conservazione delle fatture elettroniche secondo il GDPR, non solo il titolare ma anche il responsabile del trattamento è obbligato alla tenuta del registro di tutte le categorie di attività relative al trattamento svolte per conto della società X

12 Sicurezza del trattamento Focus: la società X (titolare) si avvale del servizio di emissione di fatture elettroniche effettuato da una società situata sul territorio europeo che, per tale finalità, tratta i dati personali dei suoi clienti in virtù del GDPR, la società X dovrà assicurarsi che la società a cui affida l emissione delle proprie fatture elettroniche adotti misure tecniche e organizzative di sicurezza adeguate

13 Adempimenti in caso di data breach Focus: la società X (titolare) subisce un attacco informatico che causa la perdita di alcune fatture elettroniche contenenti dati sensibili dei clienti ai sensi del GDPR, la società X dovrà procedere alla notifica della violazione di sicurezza al Garante e alla comunicazione all interessato

14 Valutazione d impatto In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche derivante dal trattamento, il titolare effettua, prima di procedervi, una valutazione dell impatto sulla protezione dei dati personali (art. 35) Tipologie di trattamento per cui è richiesta la valutazione d impatto: valutazione sistematica e globale di aspetti personali relativi a persone fisiche basata su trattamenti automatizzati o profilazione trattamento su larga scala di dati sensibili sorveglianza sistematica su larga scala di una zona accessibile al pubblico

15 Trasferimento di dati all estero (1/2) Ampliato il novero dei soggetti destinatari del flusso di dati oltre ai Paesi terzi, trasferimento è ammesso anche verso organizzazioni internazionali Ampliato il ventaglio di strumenti utilizzabili per il trasferimento decisione di adeguatezza clausole contrattuali standard (SCC) norme vincolanti d impresa (BCR) codici di condotta e certificazioni disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici deroghe in specifiche situazioni

16 Trasferimento di dati all estero (2/2) Focus: la società X (titolare) si affida a un servizio di conservazione delle fatture in cloud di una società terza, la cui sede legale è in Europa ma che si avvale di server situati in Stati extra-ue in base al GDPR, la società X dovrà valutare la sussistenza di una base di legittimità per il trasferimento (decisione adeguatezza, garanzie adeguate tra cui BCR, SCC, e così via)

17 Grazie per l attenzione! Studio legale Finocchiaro