L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Transcript

1 REGOLAMENTO EUROPEO DATA PROTECTION 679/ 2016 L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION Corso introduttivo al nuovo regolamento UE in materia di protezione dei dati 7 settembre 2017 Gubbio

2 IL PERCORSO DELLA NORMATIVA EUROPEA q Iter legislativo durato oltre 4 anni ( ) q Il Regolamento entra in vigore il 24 maggio 2016 q Concessi agli Stati membri due anni per recepire le disposizioni nel diritto nazionale con apposite norme. q Dal 25 maggio 2018 le disposizioni saranno direttamente applicabili in tutta l'unione europea.

3 OBIETTIVO DELLA NORMATIVA consulenza aziendale data protection & auditing Parità di condizioni per i cittadini europei Norme più rigide sulla protezione dei dati per consentire ai cittadini di controllare maggiormente i loro dati (l interessato è al «centro») Sanzioni severe (fino a 20 mln di euro o 4% del fatturato mondiale annuo) La mancanza di fiducia nelle vecchie regole di protezione dei dati ha impedito un pieno sviluppo dell'economia digitale Il 15% delle persone sente di avere il controllo completo delle informazioni fornite in rete

4 ORGANIZZARE UN CORRETTO SISTEMA DP L implementazione di un sistema Data protection presuppone alcune domande preliminari per l azienda: 1. se tratta dati personali 2. quali dati personali tratta 3. come tratta i dati personali q Chi agisce nel trattamento (ruoli) q Perché vengono trattati i dati (finalità) q

5 TRATTAMENTO DI DATI PERSONALI 1. se tratta dati personali 4 qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione

6 DATI PERSONALI 2. Quali dati personali 4 qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale dipendenti CONSUMATORI fornitori CV CLIENTI Utenti web?

7 PRINCIPI DI LICEITA DEL TRATTAMENTO v Dati trattati modo modo lecito, corretto e trasparente v Finalità determinate, esplicite e legittime 5 v Trattamento compatibile con la finalità v Dati adeguati, pertinenti e limitati a quanto necessario v Dati esatti e aggiornati 3. Come tratta i dati personali v Adozione di misure per cancellare o rettificare tempestivamente i dati inesatti v Dati conservati per un tempo non superiore al conseguimento delle finalità v Misure tecniche e organizzative per adeguata sicurezza e protezione

8 ACCOUNTABILITY Il nuovo concetto di responsabilizzazione comporta per il Titolare il compito di mettere in atto misure tecniche e organizzative adeguate per garantire la conformità al Regolamento 5 Il titolare del trattamento è competente per il rispetto dei principi del regolamento ed in grado di comprovarlo 24 Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.

9 LE PRIME AZIONI DA AVVIARE IN AZIENDA 1. Mappatura dei trattamenti (HR, Vendite, IT, MKTG, ) 2. Identificazione dei soggetti che intervengono nel trattamento Titolare, co-titolare Responsabili (esterni, interni se del caso) Nomine/atti giuridicamente vincolanti Incaricati Ø Data Protection Officer (DPO) 3. formazione 32 Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento

10 LA MAPPA DEL TRATTAMENTO consulenza aziendale data protection & auditing la consapevolezza del Titolare parte dalla conoscenza del flusso dei dati Origine (interessato, terzi) dato a chi viene comunicato Chi lo tratta Finalità Modalità Tempi Livelli di accesso Realizzare una mappatura di tutti i trattamenti realizzati in azienda

11 I RUOLI TITOLARE: soggetto (persone fisica, giuridica, ente..) che determina le finalità e i mezzi del trattamento È l azienda nel suo complesso RESPONSABILE: soggetto (persone fisica, giuridica, ente..) che tratta i dati per conto del Titolare Interno opportuno in realtà complesse, soggetto di alto profilo e competenza esterno obbligatorio per outsourcing attività Atti giuridico scritto controfirmato per accettazione con vincoli prestabiliti INCARICATO: persona che ha accesso ai dati personali e agisce sotto l autorità del Titolare o del Responsabile Tutti i lavoratori individuati con istruzioni privacy per le sole specifiche mansioni della propria attività

12 FORMAZIONE 29 Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento 32 Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento Definire piani di formazione per tutti i soggetti che intervengono nel trattamento (verifiche, sessioni refresh, )

13 INFORMATIVA Continua a rappresentare il «PASSAPORTO» del trattamento è OBBLIGATORIA SEMPRE CONCISA CHIARA E INTELLEGIBILE SCRITTA/CON MEZZI ELETTRONICI q Identità Titolare q Finalità e base giuridica q Soggetti a cui vengono comunicati i dati (categorie destinatari) q Trasferimenti extra UE e garanzie adottate q Periodo di conservazione q Diritto accesso e portabilità q Diritto revoca consenso (se applicabile) q Diritto reclamo reclamo Autorità controllo q Natura obbligatoria o facoltativa e conseguenze q Esistenza processo automatizzato di profilazione, logiche e conseguenze Verifica necessità adeguamento informative

14 BASE GIURIDICA DEL TRATTAMENTO Condizioni necessarie per rendere legittimo il trattamento q Esecuzione contratto o misure pre-contrattuali q Obblighi di legge q Salvaguardia interessi vitali q Interesse pubblico q Perseguimento legittimo interesse del Titolare q CONSENSO Identificazione base giuridica indicazione nell Informativa- impostare modalità per documentarla

15 CONSENSO Necessario in assenza di altre base giuridiche per rendere legittimo il trattamento 7 q INFORMATO q SPECIFICO q LIBERO q INEQUIVOCABILE q GRANULARE E SPECIFICO PER SINGOLA FINALITA q REVOCABILE CON LA STESSA FACILITA CON CUI VIENE CONCESSO Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Impostazione procedure per tracciabilità/gestione consensi Adeguamento sistemi

16 DIRITTI DEGLI INTERESSATI consulenza aziendale data protection & auditing All interessato viene riconosciuto il controllo dei propri dati q Diritti di accesso q Diritto alla correzione dei dati inesatti e non aggiornati q Diritto alla cancellazione dei dati (oblio) q Diritto di sottrarsi a decisioni automatizzate e profilazione q Diritto di sottarsi al marketing diretto q Diritto alla portabilità dei dati Tempi di riscontro è 1 mese (+ 2 se complessa) Impostazione procedure per garantire la copertura di tutti i diritti degli interessati, compresa cancellazione e portabilità Aggiornamento delle procedure per rispetto dei tempi di riscontro delle istanze e per giustificare eventuale diniego

17 IN GENERALE I NUOVI ADEMPIMENTI Accountability e obbligo della prova Data protection Officer (DPO) enti pubblici, monitoraggio su larga scala, dat particolari su larga scala Registro dei trattamenti > 250 dipendenti, non occasione e dati «particoliari» con rischi per l interessato Privacy by design e by default 35 Valutazione d impatto e consultazione preventiva Data breaches Codici di condotta e certificazioni

18 PMI Semplificazioni e deroghe per piccole e medie imprese le istituzioni e gli organi dell'unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell'applicare il regolamento Codici di condotta e certificazioni NO registro trattamenti

19 Grazie per la vostra attenzione