IL NUOVO REGOLAMENTO 679/2016/UE: CHE COSA CAMBIA PER LE IMPRESE

Transcript

1 IL NUOVO REGOLAMENTO 679/2016/UE: CHE COSA CAMBIA PER LE IMPRESE Torino, 28 novembre 2016 Affari Legislativi - Confindustria

2 TIMING Pubblicazione sulla GU dell UE: 4 maggio 2016 Entrata in vigore: 24 maggio 2016 Applicabilità in tutti i Paesi dell UE: 25 maggio 2018 Il Regolamento sostituirà la Direttiva 95/46/CE e, quindi, il Codice privacy. Sarà, tuttavia, necessario un coordinamento normativo

3 OBIETTIVI AGGIORNARE ARMONIZZARE la normativa sulla protezione dei dati

4 UNA NUOVA FILOSOFIA Da un approccio formalistico a uno di responsabilizzazione sostanziale, cd. accountability

5 UNA NUOVA FILOSOFIA RAFFORZAMENTO Obblighi di trasparenza Consapevolezza del titolare Impianto sanzionatorio

6 UN ATTENZIONE PER LE MICRO, PICCOLE E MEDIE IMPRESE nell applicazione del Regolamento (Considerando 13)

7 NOVITA 1. AMBITO DI APPLICAZIONE 2. NUOVE DEFINIZIONI 3. FILIERA PRIVACY 4. INFORMATIVA E CONSENSO 5. NUOVI OBBLIGHI 6. APPARATO SANZIONATORIO

8 1. AMBITO DI APPLICAZIONE

9 Ambito di applicazione materiale Il Regolamento si applica solo ai trattamenti dei dati personali di persone fisiche Non disciplina il trattamento dei dati relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome, la forma della persona giuridica e i suoi dati di contatto

10 Ambito di applicazione territoriale Il Regolamento si applica ai trattamenti: realizzati da titolari stabiliti nell UE realizzati da titolari non stabiliti nell UE, che: a. offrono beni o servizi, anche gratuiti, ai cittadini UE b. monitorano il comportamento dei cittadini UE

11 2. NUOVE DEFINIZIONI

12 NUOVE DEFINIZIONI Categorie particolari di dati personali: dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona

13 NUOVE DEFINIZIONI Dati biometrici: i dati personali, ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l'identificazione univoca (quali l'immagine facciale o i dati dattiloscopici) Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute

14 NUOVE DEFINIZIONI Pseudonimizzazione: il trattamento volto a nascondere l'identità dell'interessato e a impedirne l identificazione senza l'utilizzo di informazioni aggiuntive A tal fine, le informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che (i) dati personali non siano attribuiti a una persona fisica identificata o identificabile

15 NUOVE DEFINIZIONI Profilazione: trattamento automatizzato finalizzato alla valutazione di determinati aspetti di una persona fisica, come il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti In via generale, il profiling è vietato. E, tuttavia, ammesso in circostanze specifiche e, in particolare, previo consenso esplicito dell interessato

16 3. FILIERA PRIVACY

17 L interessato È la persona fisica, identificata o identificabile, alla quale si riferiscono i dati

18 Il Titolare del trattamento È il soggetto che determina le finalità e i mezzi del trattamento In caso di contitolarità (più Titolari che determinano congiuntamente le finalità e i mezzi del trattamento): accordo interno su ruoli, responsabilità e rapporti con gli interessati

19 Il Responsabile del trattamento È il soggetto che tratta i dati per conto del Titolare Deve presentare garanzie sufficienti per attuare misure tecniche e organizzative adeguate Nomina obbligatoria e documentata con un contratto o altro atto giuridico (art. 28)

20 RESPONSABILITA SOLIDALE I Titolari, ovvero il Titolare e il Responsabile, ovvero i Responsabili coinvolti nel medesimo trattamento, rispondono in solido per l'intero ammontare del danno cagionato dalla violazione del Regolamento

21 L Incaricato del trattamento? Non è espressamente disciplinato Soggetti che agiscono sotto l autorità del Titolare o del Responsabile e che trattano dati personali Obbligo di istruzione (e formazione?)

22 Il Responsabile della protezione dei dati (DPO) È il soggetto che assiste il Titolare in merito al rispetto degli obblighi privacy e all implementazione delle policy Coopera con l Autorità di controllo e funge da punto di contatto per questioni connesse al trattamento

23 4. INFORMATIVA E CONSENSO

24 Informativa Requisiti Concisa, trasparente, intelligibile, facilmente accessibile, semplice e chiara Fornita per iscritto o con altri mezzi, anche elettronici. Oralmente, su richiesta dell interessato e purché sia comprovata con altri mezzi la sua identità Può essere fornita in combinazione con icone standardizzate

25 Informativa Contenuto Estremi del Titolare, del Responsabile e del DPO Finalità e base giuridica del trattamento Specificazione degli interessi legittimi perseguiti dal Titolare o da terzi (se il trattamento si basa sulla necessità di perseguire un interesse legittimo) Destinatari o categorie di destinatari

26 Informativa Contenuto Eventuale trasferimento verso Paesi extra-ue e relativo strumento di liceità Periodo di conservazione o criteri per determinarlo Diritti dell interessato, compreso quello di proporre reclamo all Autorità di controllo Natura del conferimento e conseguenze in caso di rifiuto a conferirli

27 Informativa Contenuto Esistenza di un processo decisionale automatizzato (es. profiling), la logica applicata, l importanza e le conseguenze del trattamento In caso di dati NON forniti dall interessato, l informativa indicherà anche la fonte e le categorie di dati oggetto del trattamento

28 Consenso Manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato NON PIU SEMPRE ESPRESSO: può consistere in una dichiarazione o in una azione positiva inequivocabile Deve essere documentato Deve essere distinto da eventuali altre questioni È revocabile: la revoca non pregiudica la liceità dei precedenti trattamenti

29 Consenso Esplicita prestazione del consenso per: il trattamento di categorie particolari di dati personali, salvi gli altri presupposti alternativi la profilazione altrimenti vietata dell interessato NB Gli Stati membri possono mantenere o introdurre ulteriori condizioni per il trattamento di dati genetici, dati biometrici o dati relativi alla salute

30 Ex multis ALTRE IPOTESI DI LICEITA Trattamento necessario all'esecuzione di un contratto di cui l'interessato è parte o di misure precontrattuali adottate su richiesta dello stesso Trattamento necessario per adempiere un obbligo legale al quale è soggetto il Titolare Trattamento necessario per il perseguimento del legittimo interesse del Titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato

31 LEGITTIMO INTERESSE Es. potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento (rapporto B2C, rapporto di lavoro) Es. può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto (soft spam?) Es. trasmissione di dati personali all'interno del gruppo imprenditoriale a fini amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti

32 LEGITTIMO INTERESSE WP29 È strettamente correlato alla finalità del trattamento un interesse più ampio ovvero un beneficio che il Titolare trae dal trattamento Deve essere correlato con i diritti fondamentali delle interessato e costituisce una condizione di liceità del trattamento solo nei casi in cui tali diritti non siano prevalenti

33 ALTRE IPOTESI DI LICEITA DATI SENSIBILI Ex multis Trattamento necessario per assolvere gli obblighi ed esercitare i diritti specifici del Titolare o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'ue o degli Stati membri o da un contratto collettivo Trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente

34 5. NUOVI OBBLIGHI: Obblighi generali Obblighi di sicurezza

35 OBBLIGHI GENERALI Responsabilità del Titolare Il Titolare deve implementare (riesaminare e aggiornare) misure tecniche e organizzative idonee a garantire e dimostrare che il trattamento è conforme al Regolamento RESPONSABILIZZAZIONE e RENDICONTAZIONE

36 OBBLIGHI GENERALI Registri delle attività di trattamento Il Titolare tiene un registro delle attività di trattamento svolte sotto la propria responsabilità Il Responsabile del trattamento tiene un registro di tutte le categorie di attività svolte per conto di un Titolare NO: imprese con meno di 250 dipendenti, a meno che il trattamento sia rischioso, non sia occasionale o includa dati sensibili o giudiziari

37 OBBLIGHI DI SICUREZZA Integrità e riservatezza principio fondamentale I dati personali sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali

38 OBBLIGHI DI SICUREZZA Misure tecniche e organizzative Garantire un livello di sicurezza dei dati personali adeguato al rischio, attraverso: pseudonimizzazione e cifratura dei dati meccanismi in grado di assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi meccanismi in grado di assicurare tempestivamente la disponibilità e l accesso ai dati in caso di incidente meccanismi di monitoraggio dell efficacia

39 OBBLIGHI DI SICUREZZA Misure tecniche e organizzative Obblighi di documentazione: ove possibile, una descrizione generale nel Registro delle attività di trattamento nella valutazione di impatto privacy, la descrizione delle misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione

40 OBBLIGHI DI SICUREZZA Data breach In caso di violazione dei dati personali, il Titolare effettua una notifica all Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati

41 OBBLIGHI DI SICUREZZA Data breach: contenuto Natura della violazione, categorie e numero approssimativo degli interessati Descrizione delle probabili conseguenze Descrizione delle misure adottate per rimediare e ridurre gli effetti negativi

42 OBBLIGHI DI SICUREZZA Data breach Il Titolare documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio La documentazione consente all Autorità di controllo di verificare il rispetto delle prescrizioni in tema di data breach

43 OBBLIGHI DI SICUREZZA Valutazione d impatto privacy Trattamento che presenta un rischio elevato per i diritti e le libertà delle persone fisiche Prima di procedere al trattamento Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi

44 OBBLIGHI DI SICUREZZA Valutazione d impatto privacy Ipotesi di rischio elevato: valutazione basata su un trattamento automatizzato e destinata a produrre effetti giuridici trattamento su larga scala di dati sensibili o giudiziari

45 OBBLIGHI DI SICUREZZA Valutazione d impatto privacy L Autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti alla valutazione d'impatto L Autorità di controllo può redigere e rendere pubblico un elenco delle tipologie di trattamenti non soggetti a valutazione d'impatto

46 OBBLIGHI DI SICUREZZA Valutazione d impatto privacy: contenuto Descrizione sistematica dei trattamenti e delle finalità Valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità Valutazione dei rischi e misure previste per affrontarli

47 OBBLIGHI DI SICUREZZA Consultazione preventiva Se la valutazione d'impatto rileva la presenza di un rischio elevato in assenza di misure per attenuarlo, prima di effettuare il trattamento, il Titolare consulta l Autorità di controllo L Autorità, se ritiene che il trattamento previsto violi il Regolamento, entro 8 settimane, fornisce un parere al Titolare

48 6. APPARATO SANZIONATORIO

49 APPARATO SANZIONATORIO Responsabilità civile Sanzioni amministrative Sanzioni penali

50 RESPONSABILITÀ CIVILE Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno Il Titolare o il Responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile

51 SANZIONI AMMINISTRATIVE Sanzioni amministrative pecuniarie fino a euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore Sanzioni amministrative pecuniarie fino a euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore

52 SANZIONI AMMINISTRATIVE Ai fini dell applicazione della sanzione: criteri di quantificazione: natura, gravità, durata, carattere doloso o colposo della violazione, grado di responsabilità e comportamenti precedenti del titolare, adozione delle misure di prevenzione, grado di cooperazione con l Autorità di controllo per rimediare alla violazione le sanzioni amministrative pecuniarie siano inflitte congiuntamente o in luogo di: avvertimenti, ammonimenti, ingiunzioni, limitazioni, divieti

53 SANZIONI PENALI Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del Regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione Le sanzioni devono essere effettive, proporzionate e dissuasive

54 Grazie per l attenzione!!! l.grasso@confindustria.it