GDPR: Adempimenti e sanzioni. Valentina Amenta

Transcript

1 GDPR: Adempimenti e sanzioni Valentina Amenta

2 GDPR: Adempimenti e sanzioni Il Registro dei trattamenti Il Data Breach Sanzioni 2

3 Il Registro dei trattamenti Si configura come: lo strumento che consente una gestione più incisiva della privacy all interno dell organizzazione rappresenta un elemento imprescindibile per l individuazione e la realizzazione di un numero significativo di azioni inserite nell Action Plan per l adeguamento al GDPR 3

4 Il Registro dei Trattamenti: finalità Monitoraggio dei trattamenti per l Autorità e per il titolare Dimostrazione della conformità al Regolamento Cooperazione con l Autorità di controllo Considerando 82 GDPR 4

5 Il Registro dei trattamenti IMPORTANTE: Gli obblighi di tenuta dei registri non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all Art. 9, par. 1 cioè dati sensibili e biometrici o i dati personali relativi a condanne penali e reati. 5

6 Il Registro dei Trattamenti: Soggetti obbligati Tutti i Titolari /contitolari del trattamento Tutti i responsabili del trattamento Registro del Titolare Registro del Responsabile 6

7 Il Registro del Titolare Il Registro del titolare deve contenere: Dati di contatto (art.30, p.1.,lett. a): Titolare, RPD, Contitolare (specificando i trattamenti); Finalità del trattamento (art.30, p.1.,lett. b): indicazione del trattamento con la base giuridica che sottende al trattamento; Categoria interessati (art.30, p.1.,lett. c): descrizione delle categorie di interessati (ad es. dipendenti, beneficiari di provvidenze, cittadini, disabili,.); Categoria di dati personali (art.30, p.1.,lett. c): descrizione delle particolari categorie di dati (ad es. origine raziale, etnica, coinvolgimenti in sindacati, partiti politici, ); 7

8 Il Registro del Titolare Categorie destinatari dei dati (art.30, p.1., lett. d): destinatari della comunicazione, compresi paesi terzi e organizzazioni internazionali; Trasferimento dati verso un Paese terzo /organizzazione internazionale (art.30, p.1.,lett. e): ove presenti; Termini per la cancellazione dei dati (art.30, p.1.,lett. f): ove presenti; Descrizione delle misure di sicurezza tecniche e organizzative (art.30, p.1.,lett. g) Contenuti ulteriori: Adesione a codici di condotta, Certificazioni 8

9 Il Registro del Responsabile Il Registro del Responsabile deve contenere: Dati di contatto (art.30, p.2.,lett. a): del Responsabile e di ogni titolare per conto del quale agisce, e, ove applicabile del RPD; Categorie dei trattamenti effettuati per conto di ogni titolare (art.30, p.2.,lett. b); Ove presenti, trasferimenti verso un paese terzo o un organizzazione internazionale (art.30, p. 2.,lett. c); Ove possibile, descrizione generale delle misure di sicurezza tecniche e organizzative (art.30, p. 2.,lett. d); Contenuto ulteriore 9

10 Il Registro dei trattamenti: Tenuta e gestione Forma scritta Istituzione immediata Art. 30, par.3 Formato elettronico Da aggiornare al mutuare di uno degli elementi 10

11 Il Registro del Trattamento Mancata adozione Termine: 24 Maggio 2018 Sanzione Amministrativa Violazione del principio di Accontability 11

12 Il Data Breach Secondo le definizione contenute nel Gdpr per violazione dei dati personali (data breach) si intende: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l accesso ai dati personali trasmessi, conservati o comunque trattati 12

13 Data Breach: modalità di comunicazione Il Gdpr distingue due modalità di comunicare un Data Breach: 1) La comunicazione della violazione di dati all autorità nazionale di protezione dei dati personali (Art.33 GDPR); 2) La comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi, c.d. Interessati (Art.34 del GDPR); 13

14 Il Data Breach: elementi distintivi Eventuali sanzioni Soggetto tenuto alla notifica Termini per la notifica Eventuali responsabilit à Contenuto della notifica Modalità della notifica 14

15 Il Data Breach: Art. 33 GDPR In caso di violazione, il Titolare del trattamento notifica la violazione all Autorità di controllo Senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza Se avvenuta dopo le 72 ore dev essere corredata dei motivi del ritardo. 15

16 Il Data Breach: Art. 33 GDPR IMPORTANTE: Il Responsabile del Trattamento informa il Titolare del Trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione 16

17 Il Data Breach: contenuti della notifica Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; Notifica all Autorità di Controllo Descrivere le probabili conseguenze della violazione dei dati personali; Descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 17

18 Il Data Breach: Art. 33 GDPR IMPORTANTE: La documentazione in oggetto deve essere conservata diligentemente per eventuali verifiche dell Autorità Garante 18

19 Il Data Breach: Comunicazione di una violazione dei dati all interessato L art. 34, GDPR sancisce che: Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all art.33, par. 3, lett.b), c), d) 19

20 Il Data Breach: Comunicazione della violazione all Interessato Comunicare il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere informazioni Descrivere le Probabili conseguenze della violazione dei dati personali Descrivere le misure adottate o di cui si propone l adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, de del caso per attuarne i possibili effetti negativi. 20

21 Il Data Breach: Art. 34, p. 3, GDPR Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;, b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 21

22 Il Data Breach: Esempi CASI Le cartelle cliniche non sono disponibili per un periodo di 30 ore a causa di un attacco informatico Un di marketing viene inviata al destinatario nel campo "a" o "cc" consentendo in tal modo la diffusione di dati Un breve black out della durata di alcuni minuti impedisce il funzionamento del call center del titolare del trattamento e quindi i clienti non possono accedere ai propri dati Il titolare del trattamento subisce un attacco ransomware che provoca la crittografia di tutti i dati. Non sono disponibili backup e i dati non possono essere ripristinati NOTIFICA ALL'AUTORITA' DI CONTROLLO Si, per gravi conseguenze per il benessere del paziente e la sua privacy Si, la notifica dell'autorità di Vigilanza può essere obbligatoria se: 1) un numero elevato di persone è interessato; 2) vengono rilevati dati sensibili; 3) vengono diffusi altri dati, quali password No Si, riferire all'autorità di Vigilanza COMUNICAZIONE AGLI INTERESSATI Si Si, comunicare in base al tipo di dato violato No A seconda della natura dei dati personali interessati e del possibile effetto della mancanza di disponibilità dei dati NOTE La notifica potrebbe essere non necessaria se non vengono rivelati dati sensibili Non si tratta di una violazione dei dati personali, ma si tratta comunque di un incidente registrabile ai sensi dell'art. 33, par. 5

23 Le sanzioni amministrative pecuniarie (Art.83) Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; il carattere doloso o colposo della violazione; le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; le categorie di dati personali interessate dalla violazione; la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. 23

24 Sanzioni pecuniarie per violazione di obblighi del Titolare e Responsabile Le sanzioni pecuniarie sono previste per violazioni di: Obblighi del titolare del trattamento e del Responsabile del Trattamento Art. 8 Condizioni applicabili al consenso dei minori Art.11 Trattamento che non richiede l identificazione Art. 25 Protezione dei dati fin dalla progettazione e protezione di default Art.27 Rappresentanti di Responsabili del trattamento non stabiliti nell Unione Art.28 Responsabile del Trattamento Art.29 Trattamento sotto l autorità del titolare del trattamento e del Responsabile del trattamento Art.30 Registri delle attività di trattamento Art.31 Cooperazione con l Autorità di controllo Art.32 Sicurezza del Trattamento Art.33 Notificazione di una violazione dei dati personali all Autorità di Controllo Art.34 Comunicazione di una violazione dei dati personali all interessato Art.35 Valutazione d impatto sulla protezione dei dati Art.36 Consultazione preventiva Artt. 37, 38, 39 Designazione (Posizioni e compiti) del responsabile della protezione dei dati Obblighi dell organismo di certificazione Obblighi dell organismo di controllo 24

25 Sanzioni amministrative pecuniarie Fino a Per le imprese fino al 2% del fatturato mondiale totale annuo dell esercizio precedente Violazione 25

26 Sanzioni pecuniarie per violazioni di principi base del trattamento Le sanzioni pecuniarie sono previste per violazioni di: Artt. 5, 6, 7 e 9 - Principi di base del trattamento, comprese le condizioni relative al consenso (Principi applicabili al trattamento di dati personali; Liceità del trattamento; Condizioni per il consenso; Trattamento di categorie particolari di dati personali); Artt. Da 12 a 22 Diritti degli interessati Artt. Da 44 a 49 Trasferimenti di dati personali a un destinatario in un paese o un organizzazione internazionale; Qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (Disposizioni relative a specifiche situazioni di trattamento dei dati) Mancata osservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell autorità di controllo ai sensi dell art.58, par. 2, o il negato accesso in violazione dell art.58, par. 1 26

27 Sanzioni amministrative pecuniarie Fino a Per le imprese fino al 4% del fatturato mondiale totale annuo dell esercizio precedente Violazione 27

28 Sanzioni: Risarcimento del Danno Art. 82, Diritto al Risarcimento e Responsabilità 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2.

29 Grazie per l attenzione! l inizio è la parte più importante del lavoro (Platone) 29