Ciclo di incontro formativi Lezioni di aggiornamento anno 2019

Transcript

1 Ciclo di incontro formativi Lezioni di aggiornamento anno 2019 Il Regolamento Generale sulla Protezione dei Dati e il Nuovo Codice della Privacy: una normativa con la quale fare i conti. Approfondimenti su profili applicativi e criticità Avv. Gerolamo Pellicanò Lezione 1 Milano, 7 maggio MILANO Galleria San Carlo, 6 Tel Fax milano@cbalex.com ROMA Via Guido D Arezzo, 18 Tel Fax roma@cbalex.com PADOVA Galleria dei Borromeo, 3 Tel Fax padova@cbalex.com VENEZIA Santa Croce, 251 Tel Fax venezia@cbalex.com D MÜNCHEN Ludwigstrasse 10 Tel. +49 (0) Fax +49 (0) muenchen@cbalex.com

2 IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI E IL NUOVO : UNA NORMATIVA CON LA QUALE FARE I CONTI. APPROFONDIMENTI SU PROFILI APPLICATIVI E CRITICITA Avv. Gerolamo Pellicanò 7 maggio 2019

3 La normativa in materia di protezione dei dati personali (tutti ne parlano, pochi la conoscono) E un corpus normativo articolato E un obbligo di compliance ineludibile per le imprese e i professionisti Bisogna tenerne conto nella contrattualistica Nelle operazioni è richiesta almeno attività di due diligence La violazione comporta almeno gravi sanzioni economiche e reputazionali 2

4 La protezione dei dati è un corpus normativo articolato GDPR Codice della privacy integrato a aggiornato dal D. lg. n. 101/2018 D. lg. n. 101/2018 Normative di settore Provvedimenti del Garante per la protezione dei dati personali: provvedimenti amministrativi, interpretazioni, prescrizioni e linee guida Linee Guida dell European Data Protection Board (EDPB, già Gruppo di lavoro ex art. 29) 3

5 Ambito di applicazione Tutela i dati personali Trattati con strumenti interamente o parzialmente automatizzati o con strumenti non automatizzati se i dati sono contenuti in un archivio o destinati a figurarvi Trattamenti effettuati nell ambito di uno stabilimento da parte di un titolare del trattamento o di responsabile del trattamento nella UE In taluni casi anche trattamenti effettuati da titolari del trattamento o responsabili del trattamento non stabiliti nella UE 4

6 I preliminari adempimenti per la compliance Registro delle attività di trattamento: definizione e strutturazione Privacy by design e by default Analisi dei rischi Valutazione d impatto (DPIA) per singole tipologie di trattamenti Eventuale consultazione preventiva dell autorità di controllo I nuovi trattamenti Le misure di sicurezza del trattamento 5

7 Individuazione dei ruoli e delle responsabilità aziendali in materia di protezione dei dati personali Titolare del trattamento Responsabili del trattamento I Preposti al trattamento (o Referenti aziendali per le aree di competenza) Autorizzati al trattamento Amministratori di sistema Sub responsabili del trattamento Altri: i responsabili del registro delle attività di trattamento, del registro dei diritti degli interessati, del registro delle violazioni di sicurezza Un ruolo chiave: Il RPD (o DPO) 6

8 Le principali basi giuridiche del trattamento Il consenso L esecuzione del contratto o di misure precontrattuali attivate su richiesta dell interessato Obblighi legali Legittimo interesse del titolare o di terzi, se non prevalgono gli interessi, i diritti e le libertà fondamentali dell interessato I dati particolari e giudiziari 7

9 Le procedure Metodologia per l analisi dei rischi e per la DPIA, le misure di sicurezza Procedura per l esercizio dei diritti degli interessati, incluso il diritto alla portabilità Procedura per le violazioni dei dati Procedura per l utilizzo degli strumenti IT nei luoghi di lavoro Procedura per la videosorveglianza 8

10 La modulistica Le informative per le distinte categorie di interessati (personale, fornitori, clienti, potenziali clienti, ecc.) e moduli per acquisizione del consenso, se richiesto Le caratteristiche del consenso Le designazioni (di RPD, Responsabili, Preposti, Autorizzati, Amministratori di sistema, ecc.) Le istruzioni al personale 9

11 I flussi di dati personali infragruppo Le principali tipologie di flussi nei gruppi societari L individuazione della titolarità dei trattamenti di dati personali I presupposti di legittimità dei flussi 10

12 I trasferimenti dei dati al di fuori della UE Verifica dell adeguatezza del livello di protezione dello Stato di destinazione (da parte della Commissione europea) In difetto: le garanzie adeguate per gli organismi e autorità pubblici mediante uno strumento giuridicamente vincolante e avente efficacia esecutiva le norme vincolanti d impresa per le società appartenenti a gruppi le clausole tipo di protezione dei dati adottate dalla Commissione Ue secondo la procedura d esame le clausole di protezione dei dati adottate da un autorità di controllo e approvate dalla Commissione UE un codice di condotta approvato e l impegno vincolante ed esecutivo da parte del titolare o del trattamento nel paese terzo ad applicare le garanzie adeguate un meccanismo di certificazione unitamente all impegno vincolante ed esigibile da parte del titolare o del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati 11

13 I trasferimenti dei dati al di fuori della UE In mancanza di garanzie adeguate: le deroghe l'interessato, dopo essere stato informato dei possibili rischi di tali trasferimenti per l'interessato, per mancanza di una decisione di adeguatezza e di garanzie adeguate, ha acconsentito al trasferimento proposto il trasferimento è necessario all'esecuzione di un contratto tra l'interessato e il titolare del trattamento ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato il trasferimento è necessario per la conclusione o l'esecuzione di un contratto tra il titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato il trasferimento è necessario per importanti motivi di interesse pubblico il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria il trasferimento è necessario per tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso il trasferimento è effettuato a partire da un registro che, a norma del diritto dell'unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell'unione o degli Stati membri 12

14 Le attività formative La formazione costituisce un obbligo per le imprese anche in materia di protezione dei dati personali per tutte le risorse presenti nell organizzazione (sia dipendenti che collaboratori) Il GDPR dispone che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare Il Gruppo ex 29 nel parere n. 3/2010 aveva già richiesto un adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali La centralità della formazione è confermata anche dall art. 32 Sicurezza del trattamento che ribadisce che il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell Unione o degli Stati membri 13

15 Le attività formative La formazione costituisce una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori Non deve costituire un onere burocratico ma è un opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l organizzazione 14

16 Il piano di formazione Il ruolo de RPD: sorvegliare l'osservanza del presente regolamento compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo 15

17 Le verifiche Il principio di accountability comporta la responsabilizzazione di titolari del trattamento e responsabili del trattamento nella predisposizione di idonee misure tecniche e organizzative a protezione dei dati e la dimostrazione con evidenze concrete, oggettive e misurabili della corretta applicazione degli adeguamenti imposti dal GDPR Occorre dare conto, con specifica documentazione diretta anche alle figure apicali e a disposizione dell autorità di controllo, di adeguate e periodiche attività di verifica circa la corretta applicazione delle misure tecniche e organizzative che vengono poste in essere dal titolare del trattamento o dal responsabile del trattamento Il ruolo del RPD 16

18 DOMANDE E RISPOSTE BUON LAVORO! 17

19 Avv. Gerolamo Pellicanò MILANO Galleria San Carlo, 6 Tel. +39 (0) Fax +39 (0) milano@cbalex.com ROMA Via Guido D Arezzo, 18 Tel. +39 (0) Fax +39 (0) roma@cbalex.com PADOVA Galleria dei Borromeo, 3 Tel. +39 (0) Fax +39 (0) padova@cbalex.com VENEZIA Santa Croce, 251 Tel. +39 (0) Fax +39 (0) venezia@cbalex.com D MÜNCHEN Ludwigstrasse, 10 Tel. +49 (0) Fax +49 (0) muenchen@cbalex.com