D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Transcript

1 D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T: F a x : w w w. d g r s. i t

2 GDPR Dopo sei mesi a che punto siamo? D i p a r t i m e n t o I C T & I P L a p o C u r i n i G a l l e t t i G i u l i a S a l a M i l a n o, 1 3 / 1 1 /

3 Uomo, avvocato, residente a Milano, lavora nell ambito privacy, presente al Workshop sul GDPR dello IAB Forum Nome: Mario Cognome: Rossi QUALI SONO I DATI PERSONALI? 100 persone a Milano hanno comprato una cabriolet nera

4 qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale COSA S INTENDE PER DATI PERSONALI? TUTTO! NB: PSEUDONIMIZZAZIONE ANONIMIZZAZIONE

5 QUALI SONO LE CATEGORIE PARTICOLARI DI DATI PERSONALI? (CD. DATI SENSIBILI) I n d i r i z z o I P D a t i B a n c a r i A n a l i s i C l i n i c h e S t a t o d i G r a v i d a n z a O p i n i o n i P o l i t i c h e T i t o l o d i S t u d i o

6 COSA SI INTENDE PER CATEGORIE PARTICOLARI DI DATI PERSONALI (O CD. DATI SENSIBILI)? Dati personali che rivelano l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all orientamento sessuale della persona

7 PER COMINCIARE: ALCUNI IMPORTANTI RIFERIMENTI Regolamento UE 2016/679, cd. GDPR Direttamente applicabile in Europa dal 25 maggio Normativa generale Codice della Privacy Modificato dal D. Lgs. 101/2018, in vigore dal 19 settembre Normativa «speciale» e per i cookies? Direttiva 2002/58 CE Titolo X del Codice Privacy novellato Provvedimento del Garante Privacy sui cookies

8 GDPR: NOVITÀ PRINCIPALI Ambito di applicazione territoriale Trattamento nell'ambito delle attività di uno stabilimento situato nell UE Accountability Ricorso ad adeguate misure tecniche e organizzative Essere in grado di dimostrare conformità al GDPR Offerta di beni/prestazione di servizi a interessati che si trovano nell UE Monitoraggio del comportamento di interessati nella misura in cui ha luogo nell'ue Sanzioni Calcolate anche in misura percentuale (dal 2% al 4%) sul fatturato globale annuo mondiale

9 CODICE PRIVACY: COSA REGOLA? Precisa il GDPR, dove questo lo richiede Es.: consenso dei minori. In Italia, è valido a partire dai 14 anni (prima serve il consenso dei genitori) Definisce le modalità di tutela dell'interessato e le sanzioni Es.: gli interessati, qualora ritenessero violati i loro diritti, potranno proporre reclamo al Garante o ricorso dinanzi all Autorità Giudiziaria Discipline speciali Ambito giudiziario Trattamenti in ambito sanitario Difesa e sicurezza dello Stato Trattamenti nell ambito del rapporto di lavoro Istruzione Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici Altri trattamenti in ambito pubblico o di interesse pubblico Giornalismo, libertà di informazione e di espressione Comunicazioni elettroniche * * Non è possibile fare comunicazioni commerciali per finalità di marketing basandosi sul legittimo interesse! * E ancora possibile invece il cd. SOFT-SPAM

10 CODICE PRIVACY: DECRETO DI ARMONIZZAZIONE Autorizzazioni Generali del Garante CASI SPECIFICI (trattamenti per finalità di interesse pubblico; dei dati sanitari nell ambito dei rapporti di lavoro; dei dati biometrici, ecc.): valutazione compatibilità tramite un provvedimento generale ALTRI CASI: cessano di esistere Altre disposizioni transitorie e finali Dal 25/05/2018, i provvedimenti del Garante continuano ad applicarsi, in quanto compatibili Per i primi 8 mesi dal 19 settembre, il Garante tiene conto, ai fini dell applicazione delle sanzioni e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie

11 IL PRINCIPIO DI ACCOUNTABILITY: COME ADEGUARSI? Garantire, ed essere in grado di dimostrare, che le operazioni di trattamento vengano effettuate in conformità alla normativa del Garante Privacy by Default Misure di Sicurezza Privacy by Design ACCOUNTABILITY DPIA Registro dei trattamenti DPO

12 PRIVACY BY DEFAULT E BY DESIGN Privacy by default Misure tecniche e organizzative (ad esempio, pseudonimizzazione) funzionali a garantire che, fin dalla raccolta, vengano trattati solamente i dati personali necessari alle finalità perseguite secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità Privacy by design Prodotti, applicazioni e servizi che tengano conto, sin dalla progettazione, delle regole e dei principi di protezione dei dati: minimizzazione a priori non solo della raccolta dei dati, ma anche dei trattamenti successivi effettuati integrazione dei principi esistenti in materia di protezione dei dati personali nei prodotti e servizi

13 MISURE DI SICUREZZA Allegato B del Codice della Privacy abrogato: Non esistono più le misure minime Elencazione presente nell art. 32 del GDPR: Meramente esemplificativa Le misure di sicurezza devono tenere conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi (probabilità e gravità)

14 DPO Nomina obbligatoria -tra l altro- se l attività principale è un trattamento che richiede monitoraggio regolare e sistematico degli interessati su larga scala Da nominare in funzione delle sue qualità professionali e conoscenze specialistiche Deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni di data protection Può essere un soggetto interno oppure esterno alla società ma deve sempre essere indipendente e non devono sorgere conflitti di interesse! Attenzione: deve essere effettuata la comunicazione al Garante!

15 DPIA Da effettuare prima dell inizio del trattamento in caso di rischio elevato (in particolare, uso nuove tecnologie) Obbligatoria se (i) c è valutazione sistematica di aspetti personali delle persone; (ii) c è trattamento di categorie particolari di dati su larga scala; (iii) c è sorveglianza sistematica su larga scala di zona accessibile al pubblico Cosa prevede? (i) descrizione trattamenti e finalità; (ii) valutazione necessità, proporzionalità e rischi dei trattamenti; (iii) misure previste per affrontare i rischi Attenzione: possibilità di utilizzo del software PIA elaborato dall Autorità garante francese CNIL

16 REGISTRO DEI TRATTAMENTI Chi è obbligato ai sensi del GDPR? Imprese e organizzazioni con più di 250 dipendenti Chi svolge trattamenti che: Possono presentare un rischio per i diritti e le libertà dell interessato Non sono occasionali Includono il trattamento di categorie particolari di dati o di dati giudiziari Chi dovrebbe tenerlo secondo il Garante? TUTTI Attenzione: obbligo che tutti i titolari impongono ai responsabili!

17 REGISTRO DEI TRATTAMENTI

18 DATA BREACH Una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l accesso ai dati personali trasmessi, conservati o comunque trattati 1. Violazione della riservatezza (es. divulgazione non autorizzata o accidentale del dato) 2. Violazione dell integrità (es. alterazione non autorizzata o accidentale del dato) 3. Violazione della disponibilità (es. blocco dell accesso o distruzione non autorizzata o accidentale del dato) TO-DO-LIST per il Titolare, quando ricorrono condizioni specifiche (attenzione al rischio per i diritti e le libertà degli interessati): 1. Comunicazione al Garante 2. Comunicazione agli interessati e il Responsabile? Deve comunicarlo al titolare, che deve poi decidere come procedere!

19 SANZIONI >>> TWO TIERS Fino a 20M o 4% del fatturato mondiale annuo gravi violazioni dei diritti fondamentali (ad esempio: diritti degli interessati, requisiti del trattamento ) Fino a 10M o 2% del fatturato mondiale annuo violazioni minori di requisiti organizzativi (ad esempio: registri, data protection by design e data protection by default )

20 POTERI CORRETTIVI Avvertimenti Ammonimenti Ordini Revoca di certificazioni

21 QUESTI I PRINCIPALI OBBLIGHI IMPOSTI DALLA NORMATIVA A CHE PUNTO SI TROVA LA TUA AZIENDA? DA DOVE BISOGNA PARTIRE?

22 LE (PRINCIPALI) DOMANDE DA PORSI Dati personali trattati: è stata fatta una mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati sono condivisi )? È chiara la base giuridica per il trattamento dei dati personali (ad es. consenso, contratto, obbligo di legge )? In caso di consenso dell interessato, vi è un sistema per registrare e gestire su base continuativa il consenso? Sono state fornite informative privacy a tutti gli interessati, in particolare contenenti tutti gli elementi previsti dal GDPR (ad es. dati di contatto del DPO, base giuridica ecc.)? Sono state implementate misure tecniche ed organizzative adeguate per integrare i principi esistenti in materia di protezione dei dati personali nei propri prodotti e servizi? Sono state fissate delle policies per il trattamento dei dati personali? Vi è un sistema di verifica del loro rispetto?

23 LE (PRINCIPALI) DOMANDE DA PORSI Sono impartite istruzioni vincolanti agli incaricati che trattano dati personali? Sono effettuati trattamenti al di fuori dell UE? Se sì, su che base e con quali misure? Gli incaricati sono stati formati sulla disciplina in materia di privacy? È stato verificato se si ricade o meno nell obbligo di nomina di un DPO? Siete in grado di identificare, gestire e risolvere eventuali data breach? È stata formalizzata una nomina con tutti i responsabili esterni del trattamento? È stato implementato un sistema per la gestione e l evasione delle richieste di esercizio dei diritti degli interessati? È stato verificato se si ricade o meno nell obbligo di effettuare una DPIA?

24 P e r i n f o r m a z i o n i e c h i a r i m e n t i : l a p o. c u r i n i g a l l e t t d g r s. i t g i u l i a. s a l d g r s. i t d i p a r t i m e n t o. i c d g r s. i t