IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

Transcript

1 IL REGOLAMENTO PRIVACY EUROPEO n.679/2016 Avv. Barbara Anzani

2 ENTRATA IN VIGORE del Regolamento Privacy 25

3 AMBITO DI APPLICAZIONE del Regolamento OGGETTO e FINALITA Art. 1 Il presente Regolamento stabilisce norme relative alla PROTEZIONE delle PERSONE FISICHE con riguardo al TRATTAMENTO dei DATI PERSONALI

4 Ambito di applicazione del Regolamento Art. 1 - PROTEGGE i diritti e le libertà fondamentali delle persone fisiche (IN PARTICOLARE IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI); - NON LIMITA la libera circolazione dei dati personali nell Unione Europea.

5 Ambito di applicazione del Regolamento Il Regolamento si applica: Art. 2 - al trattamento interamente automatizzato o parzialmente automatizzato dei dati personali; - al trattamento dei dati NON automatizzato dei dati personal.

6 Ambito di applicazione del Regolamento Art. 3 Individuazione territoriale Il Regolamento si applica al trattamento dei dati personali effettuati nell'ambito delle attività di uno stabilimento da parte di un TITOLARE del trattamento o di un Responsabile del trattamento nell'unione Europea, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'unione

7 Definizioni del Regolamento Art. 4 DATO PERSONALE Qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente con:

8 Definizioni del Regolamento Art. 4 DATO PERSONALE -nome; -Numero di identificazione; -Dati relativi all'ubicazione; -Identificativo on line; -Uno o più elementi caratteristici della sua identità fisica,fisiologica, genetica, psichica, economica, culturale o sociale.

9 Definizioni del Regolamento Art. 4 TRATTAMENTO Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali

10 Definizioni del Regolamento Art. 4 TRATTAMENTO -Raccolta; -Registrazione; -Organizzazione; -Strutturazione; -Conservazione; -Adattamento/modifica; -Estrazione; -Consultazione; -Uso; -Comunicazione con trasmissione; -Diffusione; -Cancellazione/distruzione

11 Novità del Regolamento Art. 4 Nuove definizioni PROFILAZIONE Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi alla persona fisica PSEUDONIMIZZAZIONE

12 Novità del Regolamento 1) Tratta i dati meno che puoi; 2) Distribuisci la responsabilità e documenta i trattamenti; 3) Favorisci l'anonimizzazione e la pseudonimizzazione.

13 Obiettivo del Regolamento sulle imprese La gestione dei dati personali non sarà più solo un ADEMPIMENTO ma dovrà divenire un PROCESSO AZIENDALE che incide sull'organizzazione delle imprese

14 Impatto del Regolamento sulle imprese 1) Responsabilizzazione o accountability: - data protection by default; - data protection dy design; 2) Privacy Impact Assessment i; Nuovi adempimenti Privacy: 3) Nomina del Data Protection Officer DPO (ove necessario); 4) Designazioni/nomina del Responsabile; 5) Adozione obbligatoria di strumenti per la sicurezza del trattamento; 6) Registridelle attività di trattamento; 7) Adempimenti per violazioni dei dati personali (data breach); 8) Diritti dell'interessato ( diritto all'informativa diritto all'oblio diritto alla portabilità); 9) Consenso

15 Impatto del Regolamento sulle imprese 1 Accountability Adozione da parte del TITOLARE di MISURE ADEGUATE ed EFFICACI le quali consistono in misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali sia effettuato conformente al regolamento

16 Impatto del Regolamento sulle imprese 1 Accountability DATA PROTECTION BY DEFAULT: le misure tecniche e organizzative funzionali a garantire che vengano trattati i soli dati personali necessari alle finalità perseguite. DATA PROTECTION BY DESIGN: le misure tecniche e organizzative già presenti in azienda e rappresentate da prodotti e servizi che, sin dalla loro progettazione, minimizzino la raccolta dei dati ed il loro successivo trattamento.

17 Cosa cambia con il principio di Accountability D. LGS. 196/2003 (TU PRICAVY) RGDP 679/2016 Artt. da 33 a 36 Allegato B (disciplinare tecnico in materia di misure minime di sicurezza per trattamento con sistemi elettronici) - Sistema di autenticazione informatica; - Sistema di autorizzazione; - Altre misure di sicurezza Art. 24 Tenuto conto della natura, dell ambito di applicazione, del contesto e delle finalità del trattamento, nonchè dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario

18 Accountability 1) MISURE ADEGUATE Il termine adeguate si riferisce al fatto che le misure adottate dal titolare debbano tenere conto del contesto e delle specifiche circostanze in cui avviene il trattamento. L'analisi dell'adeguatezza avviene ex ante cioè prima che il trattamento venga effettuato da parte del titolare. 2) MISURE EFFICACI le misure tecniche e organizzative sono appropriate rispetto al trattamento effettuato con una valutazione ex post dell'efficacia. Gli audit interni ed esterni sono metodi comuni di verifica. Art. 24 prevede, infatti, che le misure debbano essere riesaminate ed aggiornate qualora necessario

19 Impatto del Regolamento sulle imprese 1 2 Privacy Impact Assessment Art. 24 parla di RISCHI I Titolari dovranno effettuare una valutazione degli impatti privacy fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, nei casi in cui per sua natura, oggetto o finalità il trattamento alla base degli stessi presenti rischi specifici per i diritti e le libertà degli interessati

20 Impatto del Regolamento sulle imprese 12 Privacy Impact Assessment Per i trattamenti potenzialmente rischiosi occorrerà: - condurre l'analisi dei rischi; - definire i Gap rispetto alla corretta gestione dei rischi; - stabilire un Action Plan per colmare i gap rilevati; - controllare annualmetne gli interventi effettuati per ridurre i rischi.

21 Impatto del Regolamento sulle imprese 13 Data Protection Officer Figura creata a garanzia dell'accountability (art. 37) "Il Titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta.. MANAGER DEL TRATTAMENTO DEI DATI

22 Impatto del Regolamento sulle imprese 13 Data Protection Officer - Il trattamento è effettuato da un autorità pubblica o da un organismo pubblico; - Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazioni e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su LARGA SCALA - imprese che trattino i dati che per natura, oggetto o finalità siano definite categorie "a rischio" dalla normativa

23 Impatto del Regolamento sulle imprese 13 Cosa si intende per LARGA SCALA? le imprese che trattino i dati di un rilevante numero di persone (c.d. INTERESSATI)

24 Impatto del Regolamento sulle imprese 13 Nomina DPO Deve essere designato come soggetto referente del Garante e opera con piena autonomia e competenza professionale. Può essere un soggetto interno o esterno e il suo mandato, può essere revocabile e rinnovabile. Deve possedere competenze giuridiche e di privacy. E' il referente verso l'autorità Garante.

25 Impatto del Regolamento sulle imprese 14 Art. 28 Nomina del RESPONSABILE La designazione di un Responsabile del trattamento è funzionale ad individuare le responsabilità di coloro che si occupano materialmente di trattare i dati personali

26 Impatto del Regolamento sulle imprese 14 FORMA Nomina del RESPONSABILE Il Responsabile deve essere nominato con: -Un contratto; -Altro atto giuridico a norma del diritto dell'ue.

27 Impatto del Regolamento sulle imprese RUOLO del RESPONSABILE 1 4 La figura del Responsabile è analoga al soggetto delegato ai sensi dell'art. 16 del D. Lgs. 81/08. Atto di nomina deve avere: - DATA CERTA; - Il Responsabile deve possedere "tutti i requisiti di professionalità ed esperienza richiesti dalla specifica delle funzioni delegate". natura

28 Impatto del Regolamento sulle imprese 1 5 Art. 32 ADOZIONE OBBLIGATORIA STRUMENTI PER LA SICUREZZA DEL TRATTAMENTO Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tcniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendono: a) La pseudonimizzazione e la cifratura dei dati personali; b) La capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) La capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

29 Impatto del Regolamento sulle imprese 16 Art. 30 REGISTRI DELLE ATTIVITA DI TRATTAMENTO Ogni Titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

30 Impatto del Regolamento sulle imprese 1 Contenuto del Registro del Titolare a) I dati del Titolare del trattamento del Contitolare del responsabile; b) Finalità del trattamento; c) Una descirizione delle categorie degli interessati e delle categorie di dati personali; d) Le categorie dei destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terno od organizzazioni internazionali; Ove possibile: e) i trasferimenti di dati personali verso un paese terno o un organizzazione internazionale; f) I termini per la cancellazione delle diverse categorie di dati; g) Una descrizione generale delle misure di sicurezza tecniche e organizzative. 6

31 Impatto del Regolamento sulle imprese 16 Contenuto del Registro del Responsabile a) I dati del Responsabile e/o dei Responsabili; b) I dati del Titolare per conto del quale agisce; c) Le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; Ove possibile: d) i trasferimenti di dati personali verso un paese terno o un organizzazione internazionale; f) Una descrizione generale delle misure di sicurezza tecniche e organizzative.

32 Impatto del Regolamento sulle imprese 1 6 I Registri dei Trattamenti NON si applicano Alle imprese o alle Organizzazioni con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari (art. 9 origine razziale o etnica, opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati biometrici, dati genetici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona)

33 Impatto del Regolamento sulle imprese 17 DATA BREACH (Violazione dei dati personali) Art " la Violazione dei dati personali consiste nella violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione la perdita la modifica la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati"

34 Impatto del Regolamento sulle imprese 17 Violazione dei dati personali Art. 33 NOTIFICA ALL'AUTORITA' DI CONTROLLO, individuata ai sensi dell'art 55, a cura del Titolare entro le 72 ore dal momento in cui ne è venuto a conoscenza Le attività operative possono essere delegate dal Titolare al Responsabile o al personale dipendente

35 Impatto del Regolamento sulle imprese 1 Violazione dei dati personali 7 PROCEDURA Art. 33 1) Il Responsabile informa il Titolare della violazione; 2) La notifica deve contenere: - Descrizione della natura della violazione dei dati personali; - I dati del DPO; - Descrizione delle possibili conseguenze derivanti dalla violazione dei dati; - Descrizione delle misure adottate o di cui il Titolare si propone l adozione per porre rimedio.

36 Impatto del Regolamento sulle imprese 17 DATA BREACH SANZIONI L'inadempimento del Titolare all'obbligazione di notificazione al Garante è sanzionabile nel massimo secondo l'art a) ossia fino a Euro (dieci milioni) o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente

37 Impatto del Regolamento sulle imprese 8 1 DIRITTI DELL'INTERESSATO A) Diritto all'informativa; B) Diritto di accesso; C) Consenso al trattamento; D) Diritto alla limitazione del trattamento; E) Diritto alla cancellazione e "oblio"

38 Diritti dell'interessato 1 8A DIRITTO ALL'INFORMATIVA Art. 14 "Qualora i dati non siano stati ottenuti presso l'interessato, il titolare del trattamento fornisce all'interessato le seguenti informazioni: a) Identità e dati di contatto del titolare del trattamento; b) I dati di contatto del responsabile; c) Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) Le categorie dei dati personali in questione; e) L'intenzione del titolare di trasferire i dati personali a un destinatario in un paese terzo o ad un'organizzazione internazionale".

39 Diritti dell'interessato 8A 1 DIRITTO ALL'INFORMATIVA Art. 14 Inoltre,l'informativa deve contenere: a) Il periodo di conservazione dei dati personali oppure i criteri per determinare tale periodo; b) In caso di espresso consenso dell'interessato (art. 6) i legittimi interessi perseguiti dal Titolare; c) L'esistenza del diritti dell'interessato di chiedere al titolare l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento oltre al diritto alla portabilità dei dati; d) L'esistenza del diritti di revocare il consensoin qualsiasi momento senza pregiudicare la liceità del trattamento; e) Il diritto di proporre reclamo ad un'autorità di controllo; f) La fonte da cui hanno origine i dati personali (esempio se provengono da fonti accessibili al pubblico)

40 Diritti dell'interessato 8A 1 DIRITTO ALL'INFORMATIVA Art. 14, 3 comma Il Titolare del trattamento fornisce le informazioni: a) Entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro UN MESE; b) Nel caso in cui i dati siano destinati alla comunicazione con l'interessato e/o ad altro destinatario, al più tardi al momento della PRIMA COMUNICAZIONE

41 Diritti dell'interessato 1 DIRITTO di ACCESSO Art. 15 L'interessato ha il diritto di ottenere dal Titolare del trattamento la conferma che sia, o meno, in corso un trattamento dei dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) Le categorie dei dati personali in questione; c) I destinatari o le categorie di destinatari a cui i dati saranno comunicati; d) Il periodo di conservazione dei dati personali.; e). 8B

42 Diritti dell'interessato 8B 1 DIRITTO all'oblio Art. 17 L'interessato ha diritto di ottenere dal titolare la CANCELLAZIONE dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare ha l'obbligo di cancellare senza ingiustificato ritardo

43 Diritti dell'interessato 8B 1 DIRITTO all'oblio CONDIZIONI: A) I dati personali non sono più necessari rispetto alle finalità; B) L'interessato revoca il consenso; C) Opposizione al trattamento se i dati vengono trattati illecitamente.

44 Diritti dell'interessato 8C 1 CONSENSO AL TRATTAMENTO Art Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento

45 Diritti dell'interessato 8C 1 CONSENSO AL TRATTAMENTO Art. 7 Qualora il trattamento sia basato sul consenso, il Titolare del trattamento deve essere in grado di dimostrare che l'interessato abbia prestato il proprio consenso al trattamento dei propri dati personali.

46 Il Regolamento Europeo Privacy Grazie per l'attenzione! Avv. Barbara Anzani