INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

Transcript

1 INDICE Inquadramento normativo... pag. 11 Legge 31 dicembre 1996 n » 11 Decreto Legislativo n. 196/ » 12 Regolamento UE 2016/679...» 12 Legge 25 ottobre 2017, n » 14 Decreto Legislativo n. 101/ » 15 Impianto normativo privacy vigente...» 15 Definizioni utili... pag. 16 Sezione Prima - ASPETTI GENERALI Oggetto, finalità e ambito di applicazione della disciplina... pag. 20 Oggetto e finalità...» 20 Ambito di applicazione del regolamento...» 22 Principi generali: accountability, privacy by design e by default... pag. 25 Principio di accountability...» 25 Data protection by design and by default...» 26 I dati nella privacy... pag. 29 Dati personali...» 30 Categorie particolari di dati...» 31 Dati relativi a condanne penali e reati...» 34 Il trattamento dei dati nella privacy... pag. 35 Definizione di trattamento (art. 4)...» 35 Principi generali per il trattamento dei dati (art. 5)...» 38 Liceità del trattamento dei dati personali (art. 6)...» 39 Liceità del trattamento delle categorie particolari di dati (art. 9)...» 42 Liceità del trattamento dei dati relativi a condanne penali e reati (art. 10)...» 42 Trattamento che non richiede l identificazione (art. 11)...» 43 Notizie o immagini relative a minori...» 43 Inutilizzabilità dei dati trattati in violazione della normativa...» 43 Sezione Seconda - FIGURE PRIVACY Premessa... pag. 46 Titolare del trattamento... pag. 47 Definizione...» 47 Responsabilità...» 48 Obblighi (misure tecniche ed organizzative)...» 49 Contitolari del trattamento...» 51 GDPR e nuovo Codice Privacy 3

2 Responsabile del trattamento... pag. 53 Competenze del responsabile...» 53 Nomina del responsabile...» 54 Compiti e funzioni del responsabile...» 54 Responsabile della protezione dei dati (DPO)... pag. 58 Soggetto designato per specifici compiti e funzioni... pag. 59 Definizione...» 59 Individuazione del soggetto designato...» 59 Caratteristiche del soggetto designato...» 60 Nomina e compiti del soggetto designato...» 60 Soggetto autorizzato al trattamento... pag. 61 Individuazione dei soggetti autorizzati...» 62 Competenze...» 63 Interessato... pag. 64 Definizione...» 64 Diritti dell interessato...» 65 Rappresentante del titolare o responsabile non stabilito nell UE... pag. 67 Definizione...» 67 Ubicazione e compiti del rappresentante...» 67 Designazione del rappresentante...» 68 Altri soggetti definiti dal Regolamento... pag. 70 Destinatario...» 70 Soggetto terzo...» 70 Impresa e gruppo imprenditoriale...» 71 Autorità di controllo...» 71 Organizzazione internazionale...» 71 Sezione Terza - DATA PROTECTION OFFICER (DPO) Obbligo o facoltà di nomina del DPO... pag. 74 Quando la nomina del DPO è obbligatoria...» 75 Soggetti esclusi dalla nomina del DPO (nomina facoltativa)...» 79 Requisiti e designazione del DPO... pag. 81 Qualità professionali richieste al DPO...» 81 Individuazione del DPO...» 82 Posizione del DPO e rapporti con il titolare del trattamento...» 83 Atto di designazione del DPO...» 86 Pubblicazione e comunicazione al garante dei dati di contatto del DPO...» 88 Compiti del DPO... pag. 89 Consulenza sugli obblighi privacy...» 89 Controllo del rispetto del Regolamento...» 90 Parere sulla valutazione d impatto sulla protezione dei dati (DPIA)...» 90 Cooperazione con l Autorità di controllo e funzione di punto di contatto...» 90 4 GDPR e nuovo Codice Privacy

3 Analisi dei rischi del trattamento...» 91 Tenuta registro delle attività di trattamento (opzionale)...» 91 Comunicazione al garante della nomina/revoca del DPO... pag. 92 Comunicazione dei dati di contatto del DPO...» 92 Compilazione della comunicazione...» 92 Firma e caricamento della comunicazione...» 96 Riscontro di avvenuta comunicazione...» 97 Invio di comunicazioni successive...» 98 Esempi di compilazione...» 98 Revoca della comunicazione dei dati di contatto del DPO...» 101 Compilazione della comunicazione di revoca...» 101 Firma ed invio della comunicazione di revoca...» 102 Riscontro del rigetto o accoglimento della comunicazione di revoca...» 103 FAQ inerenti la figura del DPO... pag. 104 FAQ del Garante della privacy (DPO in ambito privato)...» 104 FAQ del Gruppo di Lavoro art » 106 Sezione Quarta - ADEMPIMENTI Premessa... pag. 112 Informativa per gli interessati... pag. 113 Modalità di redazione dell informativa...» 114 Tempi di consegna dell informativa...» 114 Esonero dal rilascio dell informativa...» 115 Contenuti dell informativa...» 116 Presa visione dell informativa e consenso al trattamento...» 123 Esempio di informativa privacy...» 125 Consenso dell interessato... pag. 127 Quando il consenso non è necessario...» 127 Modalità di acquisizione del consenso...» 129 Revoca del consenso...» 132 Registri delle attività di trattamento... pag. 134 Definizione di registro delle attività di trattamento...» 134 Soggetti obbligati alla tenuta del registro delle attività di trattamento...» 135 Esonero dall obbligo di tenuta del registro delle attività di trattamento...» 136 Aggiornamento dei registri dei trattamenti...» 137 Esibizione dei registri alle autorità di controllo...» 137 Contenuti del registro del titolare del trattamento...» 138 Contenuti del registro del responsabile del trattamento...» 143 Misure di sicurezza... pag. 145 La sicurezza dei dati nel GDPR...» 145 Possibili misure di sicurezza...» 146 Istruzione dei soggetti autorizzati al trattamento dei dati... pag. 152 GDPR e nuovo Codice Privacy 5

4 Valutazione d impatto sulla protezione dei dati e consultazione preventiva... pag. 153 Valutazione d impatto sulla protezione dei dati...» 153 Definizione di valutazione d impatto...» 154 Trattamenti soggetti alla valutazione d impatto...» 155 Elementi da considerare per effettuare una valutazione di impatto...» 159 Software per la valutazione di impatto...» 161 Consultazione preventiva...» 162 Contenuti della richiesta di consultazione preventiva...» 162 Parere dell Autorità di controllo...» 162 Data breach e comunicazione di violazione dei dati personali... pag. 163 Notifica della violazione dei dati personali all Autorità di controllo...» 163 Comunicazione della violazione dei dati personali all interessato...» 164 Analisi del data breach (documento WP 250 del Gruppo di Lavoro art. 29)...» 164 Sezione Quinta - DIRITTI DELL INTERESSATO Esercizio dei diritti e riscontro del titolare... pag. 170 Esercizio dei diritti dell interessato...» 170 Riscontro del titolare del trattamento...» 177 Limitazione degli obblighi e dei diritti...» 179 Diritto di accesso... pag. 181 Copia dei dati oggetto di trattamento...» 182 Trasferimento dei dati ad un Paese terzo...» 182 Diritto di rettifica... pag. 183 Presupposti per la rettifica...» 183 Obbligo di notifica...» 183 Diritto alla cancellazione (cd. diritto all oblio )... pag. 185 Presupposti per la cancellazione...» 185 Obbligo di informazione degli altri titolari del trattamento...» 186 Esclusioni...» 186 Obbligo di notifica...» 187 Diritto di limitazione di trattamento... pag. 188 Presupposti per la limitazione del trattamento...» 188 Modalità operative...» 189 Diritto alla portabilità dei dati... pag. 190 Componenti del diritto alla portabilità dei dati...» 191 Applicazione del diritto alla portabilità dei dati...» 193 Aspetti operativi...» 195 Messa a disposizione dei dati portabili...» 196 Diritto di opposizione... pag. 199 Presupposti per l opposizione...» 199 Informazione all interessato...» 200 Esercizio del diritto di opposizione...» GDPR e nuovo Codice Privacy

5 Diritto di non essere sottoposto a trattamenti automatizzati... pag. 201 Presupposti per l esercizio del diritto...» 201 Esclusioni...» 201 Decisioni basate su categorie particolari di dati...» 202 Sezione Sesta - TUTELA DELL INTERESSATO E SANZIONI Reclamo, ricorso e segnalazione al Garante... pag. 204 Reclamo al Garante della privacy...» 205 Ricorso dinanzi all autorità giudiziaria (alternativo al reclamo)...» 209 Ricorso giurisdizionale effettivo...» 210 Segnalazione al Garante della privacy...» 211 Diritto al risarcimento del danno subìto...» 211 Sanzioni amministrative... pag. 213 Principi generali...» 213 Misura delle sanzioni amministrative pecuniarie...» 216 Procedimento per l applicazione delle sanzioni...» 219 Applicabilità delle sanzioni amministrative alle vecchie violazioni...» 220 Trasmissione degli atti all autorità amministrativa...» 221 Sanzioni penali... pag. 222 Trattamento illecito di dati...» 223 Comunicazione e diffusione illecita di dati personali su larga scala...» 223 Acquisizione fraudolenta di dati personali su larga scala...» 224 Falsità nelle dichiarazioni al Garante e interruzione di procedimento...» 224 Inosservanza di provvedimenti del Garante...» 224 Violazioni dei controlli a distanza e delle indagini su opinioni dei lavoratori...» 224 Procedimenti pendenti e trattazione di affari pregressi... pag. 225 Definizione dei procedimenti sanzionatori pendenti al 25 maggio » 225 Trattazione di affari pregressi...» 226 Sezione Settima - PRIVACY PER SPECIFICHE TEMATICHE (INDICAZIONI DEL GARANTE) Premessa... pag. 230 Amministratore di sistema (ADS)... pag. 231 Definizione di Amministratore di sistema...» 231 Adempimenti a carico del titolare...» 232 ADS in outsourcing (ora responsabile del trattamento)...» 234 Chiarimenti in merito agli adempimenti relativi alla figura dell ADS...» 234 Videosorveglianza... pag. 238 Adempimenti...» 238 Conservazione delle immagini...» 243 Diritti degli interessati...» 244 Settori particolari...» 244 Trattamento eseguito da soggetti privati o enti pubblici economici...» 246 GDPR e nuovo Codice Privacy 7

6 Condominio... pag. 248 Profilo della categoria...» 248 Tipologia di atti e documenti trattati...» 248 Adempimenti...» 250 Ulteriori adempimenti...» 251 Disposizioni privacy specifiche per il condominio...» 253 Utilizzo della posta elettronica e Internet nel rapporto di lavoro... pag. 256 Aspetti generali...» 256 Misure organizzative...» 258 Controlli del datore di lavoro...» 262 Conservazione e cancellazione dei dati...» 265 Sistemi di localizzazione dei veicoli nell ambito del rapporto di lavoro... pag. 266 Normativa privacy: Provvedimento del Garante 4 ottobre » 267 Aspetti generali...» 267 Principi di necessità, di pertinenza e non eccedenza...» 267 Informativa per i dipendenti che utilizzano veicoli geolocalizzati e vetrofanie...» 268 Responsabili e incaricati del trattamento dei dati di localizzazione...» 271 Localizzazione dei veicoli e controllo a distanza dei lavoratori: Legge n. 300/ » 272 Apparecchiature GPS: chiarimenti dell Ispettorato Nazionale del Lavoro...» 272 Modulo istanza di autorizzazione all installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare...» 273 Sezione Ottava - PRIVACY NELLO STUDIO PROFESSIONALE Figure privacy nello studio professionale... pag. 278 Titolare del trattamento...» 278 Responsabile del trattamento...» 279 Autorizzati al trattamento...» 281 InteressatI...» 281 Responsabile della protezione dei dati (DPO)...» 281 Soggetto designato per specifici compiti e funzioni...» 282 Amministratore di sistema...» 282 Struttura dello studio professionale e organigramma privacy...» 283 Dati trattati dallo studio professionale... pag. 285 Trattamento dei dati delle persone giuridiche dotate di autonomia patrimoniale perfetta...» 285 Trattamento dei dati delle persone fisiche...» 285 Dati personali comuni...» 286 Categorie particolari di dati personali...» 286 Dati personali relativi a condanne penali e reati...» 293 Adempimenti verso il personale interno, i clienti e altri soggetti... pag. 294 Adempimenti verso dipendenti/collaboratori ed altri soggetti esterni...» 294 Personale interno allo studio professionale (dipendenti/collaboratori)...» 294 Società e consulenti esterni allo studio professionale...» 300 Adempimenti verso i clienti (persone fisiche) dello studio professionale...» GDPR e nuovo Codice Privacy

7 Documenti per la nomina e/o revoca del DPO... pag. 306 Atto di designazione del DPO...» 306 Comunicazione al garante dei dati di contatto del DPO...» 306 Possibili misure di sicurezza nello studio professionale... pag. 307 Trattamento con strumenti elettronici...» 307 Trattamento senza strumenti elettronici...» 310 PIA - Privacy Impact Assessment... pag. 312 Contesto...» 312 Principi fondamentali...» 314 Rischi...» 315 Convalida...» 320 Stampa della PIA...» 322 Registri delle attività di trattamento... pag. 338 Fac simile in forma libera...» 338 Modello semplificato PMI (Garante)...» 343 Esempio progressivo: evoluzione dello studio professionale e adempimenti privacy... pag. 344 Anno (n)...» 344 Anno (n + 1)...» 345 Anno (n + 2)...» 347 Sezione Nona - Altri aspetti di interesse Autorizzazioni generali (revisione o abrogazione)... pag. 350 Revisione delle autorizzazioni generali...» 350 Autorizzazioni generali relative a trattamenti diversi...» 351 Violazioni delle prescrizioni contenute nelle autorizzazioni generali...» 351 Regole deontologiche e meccanismi di certificazione... pag. 352 Codici di condotta...» 352 Regole deontologiche...» 353 Meccanismi di certificazione...» 355 Trasferimenti di dati verso Paesi terzi o organizzazioni internazionali... pag. 357 Principi generali per il trasferimento...» 357 Trasferimento sulla base di una decisione di adeguatezza...» 357 Trasferimento soggetto a garanzie adeguate...» 358 Norme vincolanti d impresa...» 359 Trasferimento o comunicazione non autorizzati dal diritto dell Unione...» 360 Deroghe in specifiche situazioni...» 360 Disposizioni transitorie e di coordinamento... pag. 362 Dati sensibili e giudiziari...» 362 Validità dei provvedimenti del Garante...» 362 Rinvii a disposizioni del D.Lgs. n. 196/2003 abrogate...» 362 Registro dei trattamenti ex art. 37, comma 4, D.Lgs. n. 196/ » 362 Trattamento di dati genetici, biometrici o relativi alla salute...» 363 Fase di prima applicazione delle disposizioni sanzionatorie...» 363 GDPR e nuovo Codice Privacy 9

8 Sezione Decima - FORMULARIO Informativa a clienti - Trattamento dati per esecuzione contratto... pag. 366 Informativa a clienti - Trattamento dati per esecuzione contratto e finalità di marketing... pag. 368 Informativa a dipendenti e collaboratori... pag. 371 Atto di nomina a soggetto autorizzato e mansionario... pag. 373 Atto di nomina a soggetto designato per specifici compiti e funzioni... pag. 376 Nomina a responsabile del trattamento... pag. 377 Atto di designazione del DPO - Modello Garante... pag. 380 Registro dei trattamenti del titolare - Modello Garante per PMI... pag. 382 Registro dei trattamenti del responsabile - Modello Garante per PMI... pag. 383 Esercizio dei diritti dell interessato - Modello Garante... pag. 384 Istanza di reclamo - Modello Garante... pag. 389 NORMATIVA Regolamento UE 2016/679 (con riferimenti ai Considerando) D.Lgs. n. 196/2003 D.Lgs. n. 101/ GDPR e nuovo Codice Privacy