Regolamento 2016/679/UE: le priorità. Secondo il Garante. [Roma 2017]

Transcript

1

2 Regolamento 2016/679/UE: le priorità Secondo il Garante [Roma 2017] 2

3

4 La protezione dei dati nel contesto del settore pubblico 4/30

5

6

7 Usi secondari «straordinari» Usi secondari «ordinari» Usi primari IOT Diagnostica Big data environment Finalità di governo Banche dati sanitarie R1 R2 APP Statistica Big data Finalità di ricerca R2>R1=> Dato personale?

8 1 TAB ONE Add your own text here 6 e 7 Considerando La rapidità dell'evoluzione tecnologica comporta nuove sfide per la protezione dei dati personali. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell'unione, affiancato da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche

9

10

11

12 Privacy Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (abroga la direttiva 95/46/CE ) (regolamento generale sulla protezione dei dati) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (trattamento dei dati personali da parte delle autorità a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali) Nuovo regolamento e-privacy (in corso di aggiornamento sostituirà la direttiva 2002/58/CE)

13 Il trattamento già in corso alla data di applicazione del regolamento deve essere reso conforme al regolamento entro un periodo di due anni dall'entrata in vigore del presente regolamento Il regolamento abroga la direttiva 95/46/CE. Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate

14

15

16 Esame della situazione Integrazione Punti fermi Priorità Follow-up 16

17 Adattamento, integrazione e «margini di flessibilità» 17

18 Ambito e limiti dei cc.dd. «margini di flessibilità» Considerando 8, 9, 10 e 11 Ove il regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del regolamento nel proprio diritto nazionale Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell'applicazione della protezione dei dati personali nel territorio dell'unione, né ha eliminato l'incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche Il regolamento prevede un margine di manovra degli Stati membri per precisarne le norme, con riguardo al trattamento dei «dati sensibili», per quanto riguarda il trattamento per l'adempimento di un obbligo legale e per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri. In tal senso, il regolamento non esclude che il diritto degli Stati membri stabilisca con maggiore precisione le condizioni alle quali il trattamento è lecito Un'efficace protezione dei dati personali in tutta l'unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri 18

19 Liceità del trattamento in ambito pubblico Art. 6 Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento Art. 9 È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, a meno che il trattamento non sia: necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato; 19

20 Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del regolamento con riguardo al trattamento relativo all adempimento di un obbligo legale o esecuzione di un compito di interesse pubblico La base su cui si fonda il trattamento deve essere stabilita: dal diritto dell'unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. PROPORZIONALITA Tale base giuridica contiene disposizioni specifiche per adeguare l'applicazione delle norme del regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto. Il diritto dell'unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito

21 Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute

22

23 Punto di partenza 23

24 1 74 TAB ONE Add your own text here Principio di responsabilizzazione È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. 24

25 Accountability presuppone: Compliance: rispetto delle norme inteso sia come garanzia della legittimità dell azione sia come adeguamento dell azione agli standard stabiliti da leggi, regolamenti, linee guida etiche o codici di condotta Responsabilità: definizione chiara e trasparente dei ruoli e dei compiti 25

26 Responsabilità del titolare del trattamento (art. 24) Tenuto conto della natura dell'ambito di applicazione del contesto delle finalità del trattamento dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche il titolare del trattamento mette in atto misure tecniche organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento. Dette misure sono riesaminate e aggiornate qualora necessario L'adesione ai codici di condotta o a un meccanismo di certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento

27 Dalla forma alla sostanza Dalla forma alla sostanza Il titolare del trattamento è: competente per il rispetto dei principi applicabili al trattamento di dati personali in grado di comprovarlo («responsabilizzazione») 27

28 Trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza») Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza») Raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità») Accountability Conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione») Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati») Esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza») 28

29 Diritto alla trasparenza Diritto di non essere sottoposto a decisione automatizzata Diritto di accesso Diritto di opposizione Diritto alla limitazione del trattamento Diritto alla portabilità dei dati Diritto di cancellazione («diritto all oblio») Diritto di rettifica 29

30 Privacy by design/default Certificazione Contitolarità Codici di condotta Responsabili RPD Istruzioni Incaricati V.i.p. Registri delle attività Data breach Sicurezza 30

31 Cambio di prospettiva

32

33 Approccio sistemico 33

34 Embedded PowerPoint Video By PresenterMedia.com 34

35 Chi è stato coinvolto

36 Iniziativa del 24 maggio 74 lettere Ministri Presidenti di autorità indipendenti Presidenti CSM, Corte dei conti, Avvocatura dello Stato, enti centrali e agenzie Il Regolamento n. 2016/679, costituisce la vera architrave del nuovo sistema di regole in materia di protezione dei dati personali e si applicherà esattamente tra 365 giorni, a partire dal 25 maggio 2018, in tutti i Paesi UE. Presidenti di regioni, Conferenza Stato regione, Conferenza Stato città, Upi e Anci

37 Iniziativa del 24 maggio 138 partecipanti 66 enti

38 Due fasi

39 Stimolare una cooperazione e una collaborazione interistituzionale

40 Linee guida 13 dicembre

41 Designazione Obbligatorio per autorità pubbliche o organismi pubblici Un unico RPD può essere designato per più autorità pubbliche, tenuto conto della loro struttura organizzativa e dimensione RPD è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i suoi compiti RPD può essere un dipendente del titolare o del responsabile oppure assolvere i suoi compiti in base a un contratto di servizi Il titolare o il responsabile del trattamento pubblica i dati di contatto RPD e li comunica all'autorità di controllo Posizione RPD deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali Dotato di risorse necessarie per assolvere tali compiti e per mantenere la propria conoscenza specialistica Il titolare e il responsabile si assicurano che RPD non riceva alcuna istruzione per l'esecuzione di tali compiti RPD non è rimosso o penalizzato dal titolare o dal responsabile per l'adempimento dei propri compiti RPD riferisce direttamente al vertice gerarchico del titolare o del responsabile Gli interessati possono contattare RPD per tutte le questioni relative al trattamento e all'esercizio dei loro diritti RPD è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti RPD può svolgere altri compiti e funzioni, purché non in conflitto di interessi Compiti Informare e fornire consulenza al titolare o al responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati; Sorvegliare l'osservanza del regolamento, di altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; Fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento Cooperare con l'autorità di controllo Fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo 41

42 42

43 Registro del titolare del trattamento- contenuto Registro del responsabile del trattamento- contenuto Descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, par. 1 Nome e dati di contatto del titolare, del contitolare, del rappresentante del titolare e del D.p.o. Finalità del trattamento Nome e dati di contatto del responsabile, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati; Descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 Categorie dei trattamenti effettuati per conto di ogni titolare del trattamento Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati Una descrizione delle categorie di interessati e delle categorie di dati personali Trasferimenti di dati verso un paese terzo o un'organizzazione internazionale Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati Trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale 43

44 Sicurezza

45 In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo (di massima entro 72 ore dal momento in cui ne è venuto a conoscenza). Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. La notifica contiene: (la natura della violazione dei dati, contatto del RPD, probabili conseguenze della violazione, misure adottate o di cui si propone l'adozione. Ove non sia possibile fornire tutte le informazioni contestualmente, le stesse possono essere fornite in fasi successive. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare. 45

46 Privacy by design e by default

47 Come procederemo Cosa è stato fatto (studio/attività di formazione/atti amministrativi adottati) e quali attività siano in corso Quali difficoltà si stanno incontrando rispetto a specifici argomenti In che modo l Autorità può contribuire a superare le problematiche legate al processo di transizione e adeguamento alla nuova disciplina 47

48 Dalla giornata odierna ci aspettiamo non solo di trarne una immagine fedele del processo in atto in ogni amministrazione ma anche di dare un primo contributo al cambiamento in atto. Follow up Dopo l incontro Per questo vi chiediamo di: Trasmetterci una brevissima sintesi di quanto oggi rappresentato, utilizzando l apposito modulo che sarà inviato alla vostra casella per consentirci di stilare un primo rapporto sullo stato di attuazione del regolamento Segnalare la disponibilità dell ente a organizzare, presso una delle proprie sedi, un prossimo incontro al quale fare partecipare anche personale delle altre amministrazioni coinvolte 48

49

50 50