Regolamento UE 2016/679by 2018

Transcript

1 Regolamento UE 2016/679by 2018 La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018 Legge 31/12/1996 nr 675 D.Lgs. 30/6/2003 nr 196 Regolamento UE 2016/679 o GDPR D.P.R. 21/5/2018

2 Regolamento UE 2016/679by Articolo 1 Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati Si applica alle persone fisiche e al trattamento interamente o parzialmente automatizzato dei dati personali e al trattamento non automatizzato di dati contenuti in archivio o destinati a figurarvi

3 DATO PERSONALE qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come Il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

4 CATEGORIE PARTICOLARI DI DATI PERSONALI dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona

5 CATEGORIE PARTICOLARI DI DATI PERSONALI «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

6 Titolare Responsabile della protezione dati Responsabile del trattamento Autorizzati al trattamento

7 Titolare la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

8 Responsabile del trattamento la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento Che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell interessato

9 Responsabile del trattamento I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento

10 Responsabile protezione dati (RPD o DPO) Obbligatorio se 1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali; 2. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; 3. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all art. 9 o 10 GDPR

11 Responsabile protezione dati (RPD o DPO) Informare e fornire al Titolare, al Responsabile nonché ai dipendenti che eseguono il trattamento, consulenza in merito agli obblighi normativi in materia;

12 Responsabile protezione dati (RPD o DPO) Sorvegliare l osservanza della normativa in materia di protezione dei dati personali nonché delle politiche in materia del Titolare o del Responsabile del trattamento, compresi l attribuzione di responsabilità, la sensibilizzazione e formazione del personale che partecipa al trattamento e al controllo in merito;

13 Responsabile protezione dati (RPD o DPO) Fornire, se richiesto, pareri sulla valutazione d impatto sulla protezione dei dati e sorvegliarne lo svolgimento; Cooperare con l Autorità di controllo e fungere da punto di contatto con il Garante per la protezione dei dati di personali per questioni connesse al trattamento.

14 PRINCIPI I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (liceità, correttezza e trasparenza); raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;

15 PRINCIPI un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali (limitazione della finalità); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

16 PRINCIPI adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati); esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza);

17 PRINCIPI trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (integrità e riservatezza)

18 PRINCIPI RESPONSABILIZZAZIONE Il titolare del trattamento è competente per il rispetto dei principi previsti dal GDPR e in grado di comprovarlo

19 PRINCIPI PRIVACY PER DEFAULT Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità

20 PRINCIPI PRIVACY PER DESIGN sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati

21 LICEITA Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

22 LICEITA Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; f)il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore

23 I DIRITTI DELL INTERESSATO INFORMATIVA ACCESSO RETTIFICA CANCELLAZIONE PORTABILITA LIMITAZIONE OPPOSIZIONE 1 mese

24 ADEMPIMENTI definizione dell ufficio competente per adempimenti, predisposizione istruzioni agli uffici e ai soggetti autorizzati Individuazione e nomina del DPO; Adeguamento delle nomine dei responsabili esterni Revisione e integrazione delle informative; Revisione eventuale consenso

25 ADEMPIMENTI VALUTAZIONE D IMPATTO DATA BREACH REGISTRO DEI TRATTAMENTI

26 TRASPARENZA P.A. I dati personali contenuti in documenti ufficiali in possesso di un'autorità pubblica o di un organismo pubblico o privato per l'esecuzione di un compito svolto nell'interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell'unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono soggetti, al fine di conciliare l'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del presente regolamento

27 TRASPARENZA P.A. Non cambia rispetto al Codice fare attenzione al contenuto delle motivazioni degli atti; verificare la non eccedenza delle informazioni pubblicate rispetto a quanto previsto dalle norme; verificare che i dati e documenti vengano pubblicati solo per il periodo individuato dalla normativa (con le dovute differenze a seconda che si tratti di diffusione per pubblicità legale o per trasparenza)