GDPR: RESPONSABILITA E RESPONSABILIZZAZIONE

Transcript

1 GDPR: RESPONSABILITA E RESPONSABILIZZAZIONE

2 Lo stato dell arte Regolamento Europeo sulla Protezione dei Dati Personali delle Persone Fisiche adottato il 27 Aprile 2016 applicato automaticamente dal 25 Maggio 2018 Legge di Delegazione Europea n. 163 del 25 Ottobre 2018: entro il 6 Maggio 2018 gli Stati membri devono adattare la legislazione interna mediante decreto legislativo comunicato del Consiglio dei Ministri del 21 Marzo 2018: il Codice Privacy del 2003 verrà abrogato e emanato decreto legislativo per disciplinare gli aspetti che il Regolamento lascia agli Stati Membri

3 Struttura e Definizioni 173 premesso che. 99 articoli, divisi in capi, sezioni e commi Titolare del trattamento dei dati personali: chi determina le finalità e i mezzi per il trattamento Responsabile del trattamento: chi tratta i dati personali per conto del responsabile del trattamento il responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento e il suo rapporto con il titolare deve essere regolato da contratto

4 Struttura e Definizioni il Regolamento disciplina unicamente il trattamento dei dati personali delle persone fisiche non si applica alle persone decedute i minori sono tutelati in misura particolare

5 RIVOLUZIONE!!! Codice Privacy prevenire è meglio che curare Regolamento Europeo bisogna prevenire non si potrà curare Art. 24 Accountability = Responsabilizzazione

6 GDPR art. 24 Tenuto conto della natura, dell ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

7 RIVOLUZIONE!!! REATTIVO PROATTIVO

8 RIVOLUZIONE!!! OBBLIGAZIONE DI MEZZI OBBLIGAZIONE DI RISULTATO

9 OBBLIGHI: mettere in atto misure che rendano ogni trattamento conforme alle previsioni del Regolamento garantire che le misure adottate siano valevoli al risultato adottare le misure previa analisi dei rischi dimostrare la conformità alle Autorità competenti

10 PRINCIPI la protezione dei dati personali delle persone fisiche è un diritto fondamentale deve avvenire nel rispetto delle libertà fondamentali il trattamento deve essere attuato secondo modalità 1. LECITE 2. CORRETTE 3. TRASPARENTI

11 LICEITA consenso informato (dimostrabile, distinto da altri moduli, forma accessibile, linguaggio semplice e chiaro, sempre revocabile) obbligo legale per il titolare salvaguardia interessi vitali interesse pubblico tutela interesse del titolare

12 LICEITA Il trattamento non deve rivelare: origine razziale o etnica opinione politica convinzione religiosa o filosofica appartenenza sindacale dati genetici dati relativi a salute, vita sessuale, orientamento sessuale

13 TRASPARENZA facile accessibilità chiarezza e comprensibilità

14 CORRETTEZZA verità diritto di rettifica diritto alla cancellazione (oblio)

15 CHE FARE? adottare misure tecniche e organizzative adeguate per raggiungere il risultato del rispetto di tali princìpi nel trattamento dei dati personali, e per garantire un livello di sicurezza adeguato al rischio incoraggiati codici di condotta elaborati da associazioni di categoria incoraggiata l istituzione di meccanismi e organismi di certificazione della protezione dei dati

16 I CONTROLLI Comitato Europeo per la Protezione dei Dati Autorità di Controllo locale, istituenda in ogni Stato membro, con compiti di sorveglianza, accertamento delle violazioni e irrogazione delle sanzioni pecuniarie

17 LA RESPONSABILITA GDPR art. 82 Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, se dimostra che l evento dannoso non gli è in alcun modo imputabile. Codice Civile artt e 2050 Qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno. Chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

18 fisici materiali immateriali furto usurpazione di identità perdite finanziarie pregiudizio alla reputazione perdita di riservatezza danni economici danni sociali TIPOLOGIA DI DANNI

19 SANZIONI AMMINISTRATIVE PECUNIARIE PERSONE FISICHE PERSONE GIURIDICHE fino a 10 milioni di euro o fino a 20 milioni di euro a seconda delle violazioni fino al 2% del fatturato di esercizio dell anno in questione o fino al 4% del fatturato di esercizio dell anno in questione, a seconda delle violazioni

20 CRITERI PER LA QUANTIFICAZIONE natura, gravità e durata della violazione dolo o colpa misure adottate per attenuare il danno recidiva categorie di dati interessati dalla violazione adesione a codici di condotta o meccanismi di certificazione

21 Grazie per l attenzione Avv. Giuseppe Favaron