IL NUOVO GDPR COME ARRIVARE PREPARATI AL 25 MAGGIO 2018

Transcript

1 IL NUOVO GDPR COME ARRIVARE PREPARATI AL 25 MAGGIO 2018

2 Lo Studio MD LEGAL mette al servizio delle imprese tutta la passione e le competenze sviluppate dai propri Professionisti in anni di stretta collaborazione al fianco di Imprese ed Imprenditori. Lo Studio è strutturato secondo la logica della BOUTIQUE LEGALE, per offrire un servizio cucito su misura dell Impresa, capace di adattarsi alle specificità della stessa. CHI SIAMO 2

3 Lo STUDIO MD LEGAL offre servizi di consulenza ed assistenza alle imprese principalmente in materia di: governance; contrattualistica; diritto societario; banche; litigation; antiriciclaggio; merger acquisition; gestione rischi legali dell impresa. Offre inoltre un integrato servizio di assistenza e consulenza, secondo una logica di Business Partnership in materia di: pianificazione fiscale, finanziaria, strategica, legale a supporto di processi di crescita equilibrati e sostenibili; pianificazione e gestione di processi di turnaround aziendale; procedure concorsuali. I NOSTRI SERVIZI 3

4 IL GDPR Sintesi delle principali novità 4

5 Il 25 Maggio 2018 entrerà il vigore il nuovo Regolamento Europeo sulla privacy (Reg. UE 2016/679, o GDPR 2018). Chi deve adeguarsi a tale Regolamento? TUTTE LE IMPRESE che trattano dati relativi a persone fisiche (clienti, dipendenti, ecc ) Cosa si rischia in caso di mancato o tardivo adeguamento? Le sanzioni possono arrivare fino a 20 milioni di euro o il 4% del fatturato mondiale annuo. IL TEMPO RIMASTO PER ADEGUARSI E POCO: LA TUA IMPRESA E PRONTA? 5

6 Il GDPR mira, nell ambito della protezione dei dati personali, a rafforzare i diritti della categoria di soggetti più deboli (individuati come gli «INTERESSATI»), introducendo una serie di obblighi per i c.d. «TITOLARI» per tali intendendo l impresa o la persona fisica che conservano ed utilizzano dati personali per le più svariate finalità. Lo scopo del GDPR è quello di rendere più omogenea ed efficace la protezione dei dati personali di tutti i cittadini dell Unione Europea. IN COSA CONSISTE IL GDPR? 6

7 Il GDPR è ispirato al c.d. PRINCIPIO DI RESPONSABILIZZAZIONE DEL TITOLARE (ACCOUNTABILITY), che obbliga lo stesso ad effettuare una serie di valutazioni e a dotarsi di strumentazione aggiornata/aggiuntiva. In particolare il titolare deve: aggiornare le proprie informative; sviluppare efficaci piani di risposta alle violazioni dei dati; formare il proprio personale; limitare, per quanto possibile, l uso dei dati; dotarsi di una nuova figura di controllo, il Data Protection Officer; tenere un registro dei trattamenti svolti. PRINCIPIO DI ACCOUNTABILITY 7

8 Diritto a non essere sottoposto ad un trattamento automatizzato (art. 22) Diritto di opposizione (art. 21) Diritto alla portabilità (art. 20) Diritto all agevolazione dell esercizio dei diritti (art. 12 par. 2) Diritto all identificazione dell interessato (art. 12 par. 2-6) DIRITTI INTRODOTTI E/O RAFFORZATI DAL GDPR Diritto di limitazione del trattamento (art. 18) Diritto all informazione (art ) Diritto all accesso (art. 15) Diritto di rettifica (art. 16) Diritto all oblio (art. 17) 8

9 AD OGNI DIRITTO DELL INTERESSATO CORRISPONDE UN OBBLIGO PER IL TITOLARE 9

10 Consiste nell obbligo, da parte del Titolare, di agevolare l esercizio da parte dell Interessato, dei diritti previsti dal GDPR, con strutture giuridiche ed informatiche idonee. Il Titolare, a norma degli artt , dovrà espletare le richieste dell Interessato senza ingiustificato ritardo e comunque non oltre il termine di 1 MESE. DIRITTO ALL AGEVOLAZIONE DELL ESERCIZIO DEI DIRITTI 10

11 Previsto dagli artt , comporta l obbligo, da parte del Titolare, di comunicare all Interessato: identità del Titolare; finalità del Trattamento; contatti del DPO (Data Protection Officer), ove nominato, ed ogni ulteriore informazione necessaria per assicurare un trattamento trasparente e lecito. DIRITTO ALL INFORMAZIONE 11

12 Il diritto di opposizione comporta l obbligo, da parte del Titolare, di: informare l interessato della possibilità di esercitare il diritto di opposizione al Trattamento dei dati, già al primo contatto con lo stesso; prevedere strumenti che ne consentano agevolmente l esercizio e ne accolgano automaticamente la richiesta. DIRITTO DI OPPOSIZIONE 12

13 Il diritto all identificazione prevede che il Titolare sia tenuto a porre in essere ogni sforzo ragionevole per identificare l Interessato. DIRITTO ALL IDENTIFICAZIONE 13

14 Il Titolare è obbligato a consentire all Interessato l accesso ai propri dati personali. Per far ciò occorre: rivedere le proprie procedure interne; formare i dipendenti. E possibile prevedere un costo ragionevole per la richiesta di accesso ai dati, ove vi siano i presupposti. DIRITTO DI ACCESSO AI DATI PERSONALI 14

15 Il diritto di rettifica e cancellazione prevede l obbligo da parte del Titolare, ove richiesto, di: rettificare i dati personali dell Interessato; cancellare i dati personali dell Interessato ove il Trattamento non si più giustificato. Ove i dati siano stati comunicati a soggetti terzi, il Titolare deve dotarsi di procedure e modelli idonei a notificare la richiesta anche a tali soggetti affinché agiscano di conseguenza. Sono previsti anche casi di esenzione da tale obbligo. DIRITTO DI RETTIFICA E CANCELLAZIONE 15

16 Il Titolare ha l obbligo di accertarsi che il personale abbia riconosciuto e sappia come gestire un istanza di limitazione del Trattamento. Deve inoltre adeguare i sistemi interni e le procedure in modo che agevolino la richiesta di limitazione di Trattamento da parte dell Interessato. DIRITTO DI LIMITAZIONE DI TRATTAMENTO 16

17 La portabilità consiste nel trasferimento dei dati dell Interessato da un Titolare ad un altro. I Titolari hanno l obbligo di fornire una copia dei dati in possesso in formato elettronico all Interessato, consentendo dunque a tale soggetto di salvarli sul proprio dispositivo. Per far ciò occorre che i meccanismi di portabilità siano semplici e consentano l interoperabilità tra più dispositivi. DIRITTO ALLA PORTABILITA 17

18 L Interessato deve avere la possibilità di rinunciare ad un trattamento automatizzato (es: sconti dei supermercati) dei propri dati. Ciò comporta per il Titolare l obbligo di accertare che: il consenso al Trattamento automatizzato sia sempre fornito in modo esplicito; il Trattamento automatizzato sia autorizzato da una norma di legge dell Unione Europea. DIRITTO DI NON ESSERE SOTTOPOSTO A TRATTAMENTO AUTOMATIZZATO 18

19 GLI ULTERIORI OBBLIGHI DEL TITOLARE 19

20 Previsto dall art. 31 tra gli specifici obblighi del Titolare, deve contenere: i contatti del DPO (Data Protection Officer); l indicazione dei dati personali che sono trattati; le finalità del Trattamento; i soggetti interessati dal Trattamento. Il GDPR esenta alcuni Titolari dalla tenuta di tale registro, anche se è sempre consigliabile dotarsene. REGISTRO DEI TRATTAMENTI 20

21 Il Titolare ha l obbligo di favorire la cooperazione con le ANC (Autorità Nazionali di Controllo), istituite in ogni Stato Membro, le quali gestiscono i reclami e accertano eventuali violazioni del GDPR. COOPERAZIONE CON LE ANC 21

22 Il Titolare deve dotarsi di misure adeguate a minimizzare i rischi derivanti dalla distribuzione, perdita, modifica o divulgazione dei dati personali custoditi. Ciò è possibile tramite: cifratura dei dati; pseudonimizzazione; rapido ripristino della disponibilità di accesso in caso di incidenti tecnici o fisici; costante assicurazione di riservatezza, integrità e disponibilità dei sistemi atti alla conservazione dei dati. MISURE DI SICUREZZA 22

23 Qualora si verifichi un ipotesi di c.d. data breach (furto o diffusione accidentale di dati), il Titolare ha l obbligo di: notificare la violazione all ANC entro 72 ore; comunicare all Interessato la violazione; porre in essere tutti gli atti idonei a minimizzare i danni. Si rende quindi necessario aggiornare ed implementare le procedure interne di protezione dei dati personali e garantire sistemi in grado di identificare e contrastare rapidamente la violazione. DATA BREACH 23

24 La Valutazione di impatto è lo strumento con cui si individuano i potenziali rischi connessi al Trattamento dei dati. Ogni Titolare deve effettuare una Valutazione preliminare al fine di assicurare che le misure di sicurezza siano adeguate alla tipologia del rischio. VPI VALUTAZIONE DI IMPATTO 24

25 Il DPO è il soggetto preposto all osservanza, alla valutazione e all organizzazione del Trattamento dei dati personali e ne garantisce la conformità al GDPR. E compito del Titolare nominarlo e comunicarne i dati sul proprio sito internet, ove sia necessario per la particolare mole di dati personali trattati. DPO DATA PROTECTION OFFICER 25

26 PREVENIRE È MEGLIO CHE CURARE Contatta lo Studio MD LEGAL per una prima consulenza gratuita o per ulteriori informazioni. mdlegal.donatoc@gmail.com MD Legal - Avvocati e Giuristi d'impresa -