Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Transcript

1 Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

2 Le norme e i regolamenti Direttiva 95/46/CE Recepita in Italia con la legge 675/96 e il DPR 318/1999 Codice per la protezione dei dati personali d.lgs 196/03 (e allegati) Provvedimento del garante della privacy 27/11/2008 (amministratori di sistema) Regolamento europeo privacy (GDPR) n. 679/2016 Regolamento eidas n. 910/2014 Codice dell amministrazione digitale d.lgs n.82/2005

3 La tutela dei dati personali Regolamento 679 del 14 aprile 2016 È entrato in vigore il 24 maggio 2016 Gli enti devono adeguarsi entro il 25 maggio 2018 È direttamente applicabile: non ha bisogno di essere recepito da alcun atto Obiettivo: armonizzare le regole privacy dei vari stati e aggiornare le normative europee alla centralità del web I dati devono essere trattati in modo da garantire un adeguata sicurezza e riservatezza al fine di impedire l accesso o il loro utilizzo non autorizzato Garantire agli enti, alle organizzazioni e ai servizi la circolazione di dati informazioni nel rispetto del diritto alla privacy e delle

4 La struttura del regolamento 11 capi e 99 articoli Disposizioni generali e principi (capi I e II) Requisiti di attuazioni per gli enti, le aziende ed i servizi (capi III, IV, V, VIII) Tematiche di governance (capi VI autorità di controllo VII, IX e X) Disposizioni finali (capo XI) Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificata. (vengono poi distinti dati particolari, penali ) Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l ausilio di processi automatizzati applicate a dati personali

5 Principi riconosciuti - Diritto alla protezione dei dati la gestione dei dati personali di cittadini UE implica la strutturazione di processi e tecnologie adeguate per la protezione di tali dati - Diritto al consenso attivo ovvero il diritto a revocare in qualsiasi momento il consenso dato - Portabilità dei dati senza che il responsabile del trattamento possa impedirlo

6 Principi riconosciuti - Diritto all oblio: - Se non è più necessario l uso dei dati per lo scopo originario - Se l interessato revoca il consenso - Se l interessato si oppone - Se sono trattati illegittimamente - Se i dati devono essere cancellati per legge - Diritto all informazione trasparente chiara semplice e comprensibile - Data breach obbligo di informare il soggetto in merito alle violazioni avvenute

7 Principio di responsabilità Obblighi di chi effettua il trattamento Dimostrare di aver adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati Tracciabilità di tutte le operazioni di trattamento Devono essere identificate tutte le misure di sicurezza adottate, assicurando e comprovando la conformità di ciascuna operazione alle disposizioni del Regolamento Principio di minimizzazione dei dati da raccogliere Limitazione della conservazione

8 CODICE PRIVACY VS. GDPR D. Lgs. 196/2003 Reg. UE 2016/679

9 Cambia il concetto di privacy La privacy diviene un processo di gestione del dato e della sua protezione. (dati associati ad una persona fisica sia oggettivi es. il luogo di residenza che presuntivi es. una qualsiasi opinione espressa ad una persona) PRIVACY BY DEFAULT E PRIVACY BY DESIGN Diviene fondamentale sapere: - Quale dato viene trattato - Da chi - Per quanto tempo REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

10 I ruoli della privacy Titolare del trattamento Persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali - Mette in atto le misure tecniche ed organizzative adeguate per garantire e dimostrare che il trattamento è effettuato conformemente al regolamento UE Responsabile del trattamento È designato dal titolare per occuparsi del trattamento dei dati con un contratto o altro atto giuridico. Nel contratto saranno indicati: - La materia disciplinata e la durata del trattamento - La natura e la finalità del trattamento - Il tipo di dati personali e le categorie di interessati - Gli obblighi e i diritti del titolare

11 DPO Data Protection Officer Controlla che le procedure siano conformi alla normativa e ne vigila la corretta esecuzione Requisiti Competenze informatiche Responsabilità Sorvegliare i profili privacy Competenze normative Indipendenza Autonomia di risorse È il punto di riferimento per i cittadini in materia di privacy (13/12/2016 pubblicazione Linee guida (WP art. 29)) Prime indicazioni del Garante (newsletter 15/09/2017) Nuove FAQ su RPD in ambito pubblico (15/12/2017) Riferisce direttamente al titolare del trattamento Consiglia e sorveglia sull applicazione del regolamento Cooperare con l autorità di controllo

12 Quale documentazione produrre? È necessario elaborare un sistema di gestione della privacy (i regolamenti interni, le procedure e la documentazione aggiornata) Istituire registro delle attività di trattamento dei dati Valutazione di impatto sulla protezione dei dati Principio di responsabilità Informativa consenso Principio di trasparenza

13 Il registro è relativo alla descrizione delle misure di sicurezza: - Tecniche - Organizzative Registro delle attività di trattamento Deve contenere le attività di trattamento svolte sotto la responsabilità del titolare (o del responsabile) 1. Nome e dati del titolare (o del responsabile) del trattamento 2. Le finalità del trattamento 3. Una descrizione delle categorie di interessati e delle categorie dei dati personali 4. Le categorie di destinatari a cui i dati sono comunicati 5. I termini ultimi per la cancellazione delle diverse categorie di dati 6. Una descrizione delle misure di sicurezza tecniche e organizzative (art. 32) 7. (Indicazione di eventuali trasferimenti fuori UE)

14 DPS VS registro dei trattamenti Guida operativa per redigere DPS Finalità perseguita o attività svolta Categorie di Interessati Natura dei dati trattati (S, G) Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati Eventuale banca dati Ubicazione fisica dei supporti di memorizzazione Tipologia di dispositivi di accesso Tipologia di Interconnessione ART. 30 GDPR Titolare, Contitolare, rappresentante, RPD Finalità del trattamento Categorie di interessati Categorie di dati personali Categorie di destinatari a cui i dati personali sono stati o saranno comunicati Descrizione generale delle misure di sicurezza tecniche e organizzative Trasferimenti di dati personali verso un paese terzo Termini ultimi previsti per la cancellazione

15 Ad esempio (art.32): Psudonimizzazione e la cifratura dei dati personali Quali misure per garantire la sicurezza? La capacità di assicurare su base permanente la riservatezza, l illegalità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento La capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico Una procedura di test, verificare e valutare l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento L adesione a un codice di condotta approvato Il possesso di certificazioni rilasciate da enti accreditati

16 Valutazione dell impatto sulla protezione dei dati PIA (art. 35) L articolo 35 del GDPR prevede, in caso di nuovi trattamenti di dati, di effettuare una valutazione preliminare dell impatto sulla protezione dei dati che tali nuovi trattamenti comporterebbero. 1. Descrizione dei trattamenti previsti e delle relative finalità 2. Valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità 3. Una valutazione dei rischi per i diritti degli interessati 4. Le misure attuate per prevenire ed affrontare i rischi Qualora le misure non siano sufficienti per garantire la privacy occorre indicare le azioni necessarie per garantire livelli adeguati Il titolare del trattamento procede a un riesame (annuale)

17 Violazione dati personali

18 Violazione dati personali

19 Strumenti: informative e consenso Rispondono al principio di trasparenza Devono essere trasparenti le modalità con cui sono raccolti, utilizzati consultati e trattati i dati personali Informativa: deve essere data in forma concisa, trasparente, intelligibile, facilmente accessibile e con linguaggio chiaro e semplice Deve indicare: l identità del titolare e del DPO la completa finalità del trattamento i tempi e i criteri dei meccanismi di conservazione Diritto di inviare reclamo all autorità di controllo Può essere fornita anche tramite icone standard a livello europeo (ancora non definite) È fornita per iscritto o con alti mezzi (oralmente o in formato elettronico) Va indicato il periodo di conservazione

20 Le icone standard

21 Strumenti: consenso «inequivocabile» Il trattamento dei dati personali deve fondarsi sul consenso dell interessato (se non c è un contratto esplicito es. cookie sui siti-) tramite il consenso l interessato accetta che i dati che lo riguardino siano oggetto di trattamento Deve essere chiesto per ogni singola finalità Deve esserci un azione esplicita per darlo (es. un clic sull ok) Non configura consenso il silenzio, l inattività o la preselezione di caselle Non è obbligatorio il consenso quando il trattamento è necessario per il legittimo interesse del titolare e alle sue finalità (ad eccezione delle attività di profilazione) Le finalità devono essere data nelle informative (considerando 47) Il titolare del trattamento deve essere in grado di dimostrare che l interessato ha acconsentito al trattamento

22 Sanzioni (art. 83) Fino a 10 milioni di euro o 2% del fatturato mondiale totale annuo dell anno precedente Se violati gli obblighi del titolare e del responsabile Fino a 20 milioni di euro o 4% del fatturato mondiale totale annuo dell anno precedente Se sono violati i principi dettati in materia di principi base del trattamento ed in particolare del consenso, i diritti degli interessati, le disposizioni in materia di trasferimenti di dati in paesi terzi o in caso di negato accesso

23 Cosa resta - Cosa cambia Protezione delle sole persone fisiche Definizione di trattamento Definizione di dato personale Principi relativi al trattamento dei dati Liceità del trattamento Obbligo informativa Diritto all oblio Portabilità dei dati Privacy by default e by design Responsabilizzazione dei titolare Registro dei trattamenti Notifica in caso di data breach Valutazione d impatto DPO Sanzioni

24 SISTEMA GESTIONE PRIVACY (SGP)

25 NOMINE «INCARICATI» DPO «RESPONSABILI» RESPONSABILI IN OUTSOURCING

26 Privacy: che fare ora? A. Raccogliere meno dati possibile (es. SPID) B. Attuare la pseudonimizzazione mascherare l identità delle persone 1- Predisporre il registro dei trattamenti 2- Determinare i tempi di conservazione dei dati 3- Valutare per ogni trattamento la fonte dei dati 4- Nominare un Data Privacy Officer 5- Predisporre il documento di valutazione di impatto del trattamento dei dati (PIA privacy Impact Assessment) 6- Data breach (es. attraverso software specifici)

27 Grazie per l attenzione Ing. Aldo Lupi: Privacy Officer certificato TÜV Rivedi il seminario sul canale YouTube ENCODATA