Data Protection Officer ( e le altre figure previste dal Regolamento UE 679/2016)

Transcript

1 Data Protection Officer ( e le altre figure previste dal Regolamento UE 679/2016) Data Breach Dott. Alberto Befani Auditorium Cosimo Ridolfi di Banca CR Firenze 16 marzo

2 Indice 1. ( designazione, competenze,compiti, responsabilità, natura e inquadramento, conflitti d interessi) 2. Le altre figure previste dal Regolamento (Titolare del trattamento, Responsabile del trattamento, Persone autorizzate al trattamento) 3. Data Breach (oggi e domani) 2

3 (Responsabile della Protezione dei Dati) 3

4 ( Responsabile della Protezione dei Dati) è una figura prevista dal Regolamento UE 679/2016 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. 4

5 Il Responsabile della Protezione dei Dati è citato molte volte nel Regolamento, ad es : considerando 77 (misure per conformità al trattamento); Art. 13 (informativa per raccolta dati presso l interessato); Art. 14 (informativa per raccolta dati non presso l interessato); Art. 30 (registri dell attività di trattamento); Art. 33 (comunicazione di una violazione- data breach); Art. 35 ( Valutazione impatto protezione dati); Art. 37 ( Designazione DPO); Art.38 ( Posizione del DPO); Art. 39 ( Compiti del DPO) Art. 47 ( Norme vincolanti d impresa) Art 81 ( Diritto al risarcimento e responsabilità) 5

6 Art. 37 Regolamento UE 679/2016 Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a)il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; 6

7 b)le attività principali (= le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento **) del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su «larga scala» ** (cioè ad es.si tiene conto di : - numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; - volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; - durata, ovvero la persistenza, dell attività di trattamento; - portata geografica dell attività di trattamento. (** da «Linee guida DPO WP /12/2016») 7

8 Alcuni esempi di trattamento su larga scala **: - trattamento di dati relativi a pazienti svolto da un ospedale nell ambito delle ordinarie attività; - trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio); - trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food; - trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell ambito delle ordinarie attività; - trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; - trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici. NON rientra nel concetto di «larga scala»il trattamento dei dati di pazienti da parte di un singolo medico o quello relativo a condanne penali e reati da parte di un singolo avvocato (** da «Linee guida DPO WP /12/2016») 8

9 Esempi di monitoraggio regolare e sistematico: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc. (** da «Linee guida DPO WP /12/2016») 9

10 c)le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10. *** (art.9 Regolamento: dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona). 10

11 Quando comunque le modalità e i rischi del trattamento risultano, dopo l effettuazione della Valutazione dell impatto richiesta dal Regolamento, tali da rendere utile/necessario il ricorso a una figura professionale che conosca l ambito del trattamento dei dati personali e possa tutelare il Titolare ( o il Responsabile del trattamento). 11

12 Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. 12

13 Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. 13

14 Nei casi diversi da quelli di cui al paragrafo 1, art. 37, il titolare del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell'unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento. 14

15 DESIGNAZIONE (Art. 37 Regolamento): Il responsabile della protezione dei dati è designato dal Titolare e dal Responsabile del trattamento. Nel caso di designazione da parte di un Responsabile del trattamento, si tratterà di un Responsabile esterno oppure di un Responsabile interno delegato appositamente dal Titolare. 15

16 DESIGNAZIONE (Art. 37 Regolamento)- segue: Il responsabile della protezione dei dati è designato per iscritto con analitica elencazione dei compiti e responsabilità, cioè: 1. tutti quelli previsti dalla legge; 2. più eventualmente quelli oggetto di specifica delega di funzioni ( proprie) da parte del Titolare (o del Responsabile) 16

17 DESIGNAZIONE (Art. 37 Regolamento)- segue: Il Responsabile della protezione dei dati è designato in funzione: delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati: e della capacità di assolvere i compiti (previsti dall articolo 39). 17

18 COMPETENZE DPO (Art. 37 Regolamento) : Qualità professionali: 1. Conoscenza della normativa in materia di protezione dei dati personali (Regolamento, linee guida e autorizzazioni Autorità Garante); 2. Conoscenza della normativa specifica del settore di appartenenza dell impresa ( per obbligatorietà trattamenti, data retention etcc.) 3. Conoscenza prassi ( provvedimenti e pareri Autorità Garante); 4. Conoscenza aspetti della sicurezza informatica ( per verifica misure sicurezza adeguate) 18

19 COMPETENZE DPO - segue: Capacità di assolvere i compiti previsti dall art. 39: Conoscenza della realtà aziendale, dei processi interni e delle policies dell azienda, delle politiche e delle prassi di trattamento dei dati personali degli stakeholders dell impresa ( dipendenti, clienti, fornitori, consumatori, operatori sanitari, pazienti, media etcc.) e delle relative modalità ( es. CRM, profilazione, marketing, biometria, geolocalizzazione, videosorveglianza etcc) Capacita relazionali, di management, di leadership, di teamwork. 19

20 COMPETENZE DPO - segue: «Fra le competenze e conoscenze specialistiche necessarie rientrano le seguenti: - conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un approfondita conoscenza del RGPD; - familiarità con le operazioni di trattamento svolte; - familiarità con tecnologie informatiche e misure di sicurezza dei dati; - conoscenza dello specifico settore di attività e dell organizzazione del titolare/del responsabile: - capacità di promuovere una cultura della protezione dati all interno dell organizzazione del titolare/del responsabile.» (** da «Linee guida DPO WP /12/2016») 20

21 COMPETENZE DPO - segue: 21

22 COMPITI DEL DPO (art. 39): Il DPO deve svolgere almeno questi compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l'osservanza del presente Regolamento, di altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo 22

23 COMPITI DEL DPO (art. 39)- segue: c)fornire, se richiesto, un parere in merito alla Valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35; d)cooperare con l Autorità di controllo ( ndr: il Garante Privacy); e e)fungere da punto di contatto per l Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. 23

24 COMPITI DEL DPO (art. 39)- segue: Per quanto concerne la valutazione di impatto (DPIA) sulla protezione dei dati, il titolare o il responsabile dovrebbero consultarsi con il DPO, fra l altro, sulle seguenti tematiche: - se condurre o meno una DPIA; - quale metodologia adottare nel condurre una DPIA; - se condurre la DPIA con le risorse interne ovvero esternalizzandola; - quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate; - se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD. ( da «Linee guida DPO WP /12/2016») 24

25 COMPITI DEL DPO (art. 39)- segue: DPO come referente per gli INTERESSATI Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento. 25

26 COMPITI DEL DPO (art. 39)- segue: Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi..possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento (da «Linee guida DPO WP /12/2016») 26

27 RESPONSABILITA : Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza E responsabile per l espletamento dei propri compiti nei confronti del Titolare o del Responsabile del trattamento che lo hanno designato E responsabile verso l Autorità di Controllo ai fini della cooperazione con la stessa 27

28 RESPONSABILITA : il DPO non è responsabile personalmente in caso di inosservanza del regolamento. Il RGPD chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al presente regolamento (art. 24, paragrafo 1). La responsabilità di garantire l osservanza della normativa in materia di protezione dei dati ricade sul titolare / sul responsabile del trattamento. ( da «Linee guida DPO WP /12/2016») 28

29 SANZIONI IN CASO DI MANCATA NOMINA (quando obbligatoria) Violazione ex art. 83 Regolamento: sanzioni amministrative pecuniarie fino a EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore 29

30 L ATTIVITA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI HA QUINDI IMPATTO SULLE RESPONSABILITA DEL TITOLARE E DEL RESPONSABILE DEL TRATTAMENTO 30

31 RESPONSABILITA previste da Regolamento Articolo 82 Diritto al risarcimento e responsabilità 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile. 31

32 RESPONSABILITA previste da Regolamento Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie (omissis).al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: (omissis); c)le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; d)il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; (omissis). e)eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f)il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; 32

33 RESPONSABILITA previste da Regolamento Articolo 83 (omissis) h)la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i)qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti (omissis) Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave 33

34 RESPONSABILITA previste da Regolamento Articolo 83 (omissis). In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a)gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 ( norme su consenso minori, trattamento senza identificazione, nomina figure privacy, valutazione d impatto, codici di condotta, certificazioni); (omissis). In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a)i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 (liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione, condizioni per il consenso, categorie particolari di dati personali); 34

35 RESPONSABILITA previste da Regolamento Articolo 83 (b)i diritti degli interessati a norma degli articoli da 12 a 22 ((trasparenza, informative, rettifica, oblio, limitazione, portabilità, opposizione, profilazione) (omissis) c)i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d)qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e)l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell Autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. 35

36 INQUADRAMENTO (art. 37): Il responsabile della protezione dei dati può essere: 1. un dipendente del titolare del trattamento o del responsabile del trattamento; 2. oppure assolvere i suoi compiti in base a un contratto di servizi. 36

37 INQUADRAMENTO (art. 37): Se dipendente: Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi. 37

38 INQUADRAMENTO (art. 37): Se dipendente: Il titolare e del trattamento e il responsabile del trattamento sostengono(*) il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie: - per assolvere tali compiti e accedere ai dati personali e ai trattamenti - e per mantenere la propria conoscenza specialistica (FORMAZIONE). «supporto attivo della funzione di DPO da parte del senior management; - tempo sufficiente per l espletamento dei compiti affidati; - supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale; - comunicazione ufficiale della designazione del DPO a tutto il personale; - accesso garantito ad altri servizi all interno della struttura del titolare/del responsabile in modo da ricevere tutto il supporto, le informazioni o gli input necessari; - formazione permanente». (da «Linee guida DPO WP /12/2016») (*). 38

39 INQUADRAMENTO (art. 37): Se dipendente: Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. -nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD; - nessuna penalizzazione o rimozione dall incarico in rapporto allo svolgimento dei compiti affidati al DPO; - nessun conflitto di interessi con eventuali ulteriori compiti e funzioni. (da «Linee guida DPO WP /12/2016») 39

40 INQUADRAMENTO (art. 37): In sostanza il Responsabile della protezione dei dati è uno specialista, inquadrato come Dirigente, Quadro o Impiegato con Funzioni Direttive alle dirette dipendenze gerarchiche o funzionali del vertice aziendale ( direttamente dal Presidente, A.D. o General Manager o Direttore di Funzione/ Dirigente). 40

41 «In base all art. 37, paragrafo 6, il DPO può assolvere i suoi compiti in base a un contratto di servizi. In quest ultimo caso il DPO sarà esterno e le sue funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica. Se il DPO è esterno, si applicano tutti i requisiti fissati negli articoli da 37 a 39. Come indicato nelle linee-guida, se la funzione di DPO è svolta da un fornitore esterno di servizi, i compiti stabiliti per il DPO potranno essere assolti efficacemente da un team operante sotto l autorità di un contatto principale designato e responsabile per il singolo cliente. In tal caso, è indispensabile che ciascun soggetto appartenente al fornitore esterno operante quale DPO soddisfi tutti i requisiti applicabili come fissati nel RGPD. Per favorire efficienza e correttezza, le linee-guida raccomandano di procedere a una chiara ripartizione dei compiti nel team del DPO esterno, attraverso il contratto di servizi, e di prevedere che sia un solo soggetto a fungere da contatto principale e incaricato per ciascun cliente».(**) (** da «Linee guida DPO WP /12/2016») 41

42 INQUADRAMENTO (art. 37): Se consulente/fornitore esterno di servizi: In possesso di adeguate professionalità e capacità, quelle previste dalla legge, formalizzate nel contratto di servizi. Opportuno inserire nel contratto di appalto di servizi o di consulenza clausole che prevedano espressamente responsabilità, oltre che di legge, contrattuali del DPO esterno, sia per l effettuazione delle attività previste dalla legge e dalla nomina, sia per il mantenimento dei requisiti professionali richiesti. 42

43 COINVOLGIMENTO DEL DPO: Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. 43

44 Le altre figure previste dal Regolamento UE 679/

45 Il Titolare del trattamento Art. 24- Responsabilità del Titolare del trattamento (Data Controller) Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 45

46 Il Titolare del trattamento il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento ( formazione) 46

47 Il Titolare del trattamento, In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo (data breach); Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi 47

48 Il Titolare del trattamento, Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento. Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. 48

49 Il Responsabile del trattamento Articolo 28 Responsabile del trattamento ( Data processor) Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico 49

50 Il Responsabile del trattamento COMPITI DEL RESPONSABILE: 1.Trattare i dati personali soltanto su istruzione documentata del titolare del trattamento; 2.Garantire che le persone autorizzate al trattamento dei dati personali (NB: GLI ATTUALI «INCARICATI») si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; 3. Adottare tutte le misure richieste ai sensi dell'articolo 32 ( sicurezza del trattamento); 4. Assistere il titolare del trattamento con misure tecniche e organizzative adeguate; 5. Assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 ( Sicurezza, data breach, valutazione d impatto, consultazione preventiva); 6. Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'unione, relative alla protezione dei dati. 50

51 Il Responsabile del trattamento. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo stabilite dalla Commissione UE o dall Autorità Garante competente 51

52 Persone autorizzate al trattamento dei dati personali Sono richiamate dal Regolamento nei seguenti articoli: -art. 28, comma 3 lett.b le «persone autorizzate al trattamento», come oggetto dell attività di garanzia da parte del Responsabile del trattamento sulla loro riservatezza. - art. 32, comma 4:necessità di istruzione di «chiunque abbia accesso e tratti dati personali» sotto l autorità del Titolare o del Responsabile - art. 39, comma 1 lett.a e b: il DPO deve informare e fornire consulenza.(omissis) ai «dipendenti che eseguono il trattamento» e sensibilizzare e formare «il personale che partecipa ai trattamenti..» 52

53 Data Breach 53

54 DATA BREACH DATA BREACH OGGI ( IN BASE AL D.Lgs 196/2003) - D.Lgs 196/2003 ( art 32-bis «adempimenti conseguenti ad una violazione di dati personali». - Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali - Consultazione pubblica - 26 luglio 2012 (Pubblicato sulla Gazzetta Ufficiale n. 183 del 7 agosto 2012) In sintesi i punti principali delle Linee guida del Garante. Chi deve comunicare le violazioni L'obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L'adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti. La comunicazione al Garante La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell'evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell'entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione(*) disponibile on line sul suo sito ( All'esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove. 54

55 DATA BREACH Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali - Consultazione pubblica - 26 luglio 2012 (Pubblicato sulla Gazzetta Ufficiale n. 183 del 7 agosto 2012) (SEGUE).. La comunicazione agli utenti Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla "attualità" dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. I controlli del Garante Per consentire l'attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi. Le sanzioni Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell'inventario aggiornato è punita con la sanzione da 20mila a 120mila euro. 55

56 DATA BREACH MODELLI DI COMUNICAZIONE DELLA VIOLAZIONE DI DATI PERSONALI: - Modello destinato ai titolari di trattamento di dati personali effettuati tramite dossier sanitario per la comunicazione dei casi di violazione dei dati personali (data breach) (Provvedimento n. 331 del 4 giugno 2015) - Violazione di dati personali che si verificano nelle banche dati della PA - Modello per la segnalazione al Garante (Provvedimento n. 393 del 2 luglio 2015) - Violazione di dati biometrici - Modello per la segnalazione al Garante (Provvedimento n. 513 del 12 novembre 2014) - Modello destinato ai fornitori di servizi di comunicazione elettronica per la comunicazione dei casi di violazione dei dati personali (data breach) Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) - 4 aprile 2013 (Pubblicato sulla Gazzetta Ufficiale n. 97 del 26 aprile 2013) Registro dei provvedimenti n. 161 del 4 aprile

57 DATA BREACH 57

58 DATA BREACH 58

59 DATA BREACH 59

60 DATA BREACH 60

61 DATA BREACH 61

62 DATA BREACH REGOLAMENTO UE 679/2016 Articolo 33 Notifica di una violazione dei dati personali all'autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 62

63 DATA BREACH La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 63

64 DATA BREACH. 4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo. 64

65 DATA BREACH Articolo 34 Comunicazione di una violazione dei dati personali all'interessato 1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. 2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d). 65

66 DATA BREACH 3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a)il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b)il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta 66

67 DATA BREACH GRAZIE PER LA VOSTRA ATTENZIONE 67