Interesse legittimo e protezione dei dati personali: l equilibrio per le imprese

Documenti analoghi
I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Programma. in collaborazione con

INFORMATIVA PRIVACY DESTINATA AGLI INTESTATARI DELLE PRATICHE

Regolamento UE 2016/679by 2018

CHECK LIST ADEGUAMENTO NUOVO REGOLAMENTO PRIVACY DENOMINAZIONE CODICE FISCALE P. IVA ANNOTAZIONI DOCUMENTAZIONE ALLEGATA:

Allegato. Checklist di base per GLI STUDI PROFESSIONALI

Nuovo regolamento europeo sulla Privacy (N 679/2016/UE) - GDPR - In vigore dal 25 maggio Seminario informativo 06 Luglio 2018

Policy sulla conservazione dei Dati Personali

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

GDPR 679/2016 Il Regolamento dell Unione Europea sulla Privacy ALESSANDRIA,

Informazioni relative al trattamento dei dati personali dei clienti

INFORMAZIONI DA FORNIRE PER LA RACCOLTA E IL TRATTAMENTO DEI DATI PERSONALI.

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Informativa sul trattamento dei dati personali

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

Informativa sul trattamento dei dati personali

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

Informativa sul trattamento dei dati personali

MODELLO DI ESERCIZIO DEI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (art.9 e ss. REG.679/2016)

Informativa sul trattamento dei dati personali

Informativa sul trattamento dei dati personali

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici Il Garante incontra l Università

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679

INFORMATIVA. In tale ottica preghiamo di prendere visione della seguente informativa.

STUDIO MIGLIETTA ASSOCIAZIONE PROFESSIONALE STUDIO COMMERCIALISTA REVISIONE CONTABILE

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Informativa sul trattamento dei dati personali

Per noi la privacy è molto importante e desideriamo che tu ti senta sempre tutelato. Per questo ti invitiamo a leggere attentamente l informativa.

INFORMATIVA E CONSENSO

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

Sezione Trattamento Dati

Diritti dell interessato.

Spedizioni Internazionali WEB PRIVACY POLICY

Dipartimento per il sistema educativo di istruzione e di formazione

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

Regolamento Europeo n. 2016/679 sulla protezione dei dati personali Percorso di adeguamento

INFORMATIVA PRIVACY SUL TRATTAMENTO DEI DATI PERSONALI DEI CANDIDATI

2. Tipologia ed origine dei dati trattati

Indice. Prefazione. Nozione del dato personale e del trattamento dei dati. pag. di Franco Pizzetti. Capitolo Primo

Privacy. Seminario informativo Estratto materiale. Il nuovo Regolamento Europeo 679/2016 IL NUOVO REGOLAMENTO EUROPEO 679/2016.

Il difficile equilibrio tra accesso e privacy

CORSO DI PERFEZIONAMENTO UNIVERSITARIO E AGGIORNAMENTO PROFESSIONALE IN

EX ART. 13 GDPR UFFICIO PRIVACY TITOLO DEL DOCUMENTO INFORMATIVA CLIENTI

Periodo di conservazione dei dati

Oggetto: Protezione dati personali Trattamento dei dati dei clienti Informativa e acquisizione del consenso Secondo il Regolamento europeo n.

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Informativa per il trattamento dei dati personali

Informativa sul trattamento dei dati personali

INDICE CAPITOLO I EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

Informativa privacy relativa al concorso a premi Buon compleanno, costituzione! 70 anni e non sentirli

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

GDPR: RESPONSABILITA E RESPONSABILIZZAZIONE

INFORMATIVA AI CLIENTI E AI FORNITORI POTENZIALI. IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL ART. 12 e ss. REGOLAMENTO UE 679/2016

Regolamento generale sulla protezione dei dati GDPR UE 2016/679. Alberto Galvani

Politica Protezione dei Dati Personali

Informativa sul trattamento dei dati personali

DOCUMENTO INFORMATIVO EX ART 13 REG. UE 2016/679- GDPR INFORMATIVA PER TRATTAMENTO DI DATI PERSONALI RACCOLTI PRESSO L INTERESSATO

10026 SANTENA (TO) Tel Informativa sul trattamento dei dati personali

Informativa sul trattamento dei dati personali

INFORMATIVA AI SENSI DEL REGOLAMENTO (UE) N. 2016/679 ( GDPR )

LA PRIVACY A SCUOLA I CAMBIAMENTI CONSEGUENTI AL NUOVO REGOLAMENTO EUROPEO

regolamento UE 679/16

Regolamento UE 02016/679 RGDP Regolamento generale sulla protezione dei dati DIRITTI DELL INTERESSATO. Articolo 7 Diritto di revocare il consenso

INFORMATIVA AI SOGGETTI RICHIEDENTI IMPIEGO

Informativa Breve al trattamento dei dati personali e consenso. (Art 13 e 14 GDPR 2016/679)

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

La privacy per lo studio legale

25/05/2018 Privacy policy (rev )

Il regolamento UE 679/2016 sulla protezione dei dati personali Principali novità

INFORMAZIONE SUL TRATTAMENTO DEI DATI PERSONALI DEL FORNITORE AI SENSI DELL ART. 13 D. LGS. 196/2003 E DELL ART. 13 REG.

Informativa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali (GDPR) - Clienti -

INFORMATIVA AI CLIENTI E AI FORNITORI. IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL ART. 12 e ss. REGOLAMENTO UE 679/2016

IL DIRITTO ALLA PRIVACY

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

INFORMATIVA NEI CONFRONTI DI PERSONE FISICHE AI SENSI DELL ART

TUTELA DELLA PRIVACY

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

ANA - Informativa privacy - Soci ANA, Aggregati e Amici degli Alpini. Ultimo aggiornamento: 20 novembre 2018

Direzione Amministrativa:Viale Europa, Castellammare di Stabia - Tel Fax Sede Legale:

LE NOVITÀ DEL GDPR, FINANZIARIO E ASSICURATIVO CON PARTICOLARE RIFERIMENTO ALLA TUTELA DELLA PRIVACY IN AMBITO BANCARIO,

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Informativa per il trattamento dei dati (Art. 13 Reg. 679/2016)

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL REGOLAMENTO EU N. 679/16

(

I sottoscritto/a nato/a il. A ( ) Stato Codice Fiscale. Residente in Via/Piazza n. Comune Prov. C.A.P. Telefono / Cellulare.

Informativa sul trattamento dei dati personali dei Clienti

Oggetto: esercizio dei diritti dell interessato ai sensi degli articoli 15 e seguenti del Regolamento Europeo 679/16

Informativa per raccolta di dati personali presso l'interessato (Art. 13 GDPR) Bandi per dottorati di ricerca

Transcript:

Interesse legittimo e protezione dei dati personali: l equilibrio per le imprese A cura di: Prof. Francesco Pizzetti Presidente Garante Privacy dal 2005 al 2012 Politecnico di Torino 24 novembre 2017

Principi del trattamento dei dati personali Il principio cardine per la legittimazione del trattamento dei dati è la liceità dei trattamenti Art.5.1 GDPR : «i dati sono trattati in modo lecito, corretto e trasparente nei confronti dell interessato (liceità, correttezza e trasparenza)» Inoltre dati devono essere trattati nel rispetto dei seguenti principi: Finalità (limitazione delle finalità); Adeguatezza e Pertinenza (minimizzazione dei dati); Esattezza ed Aggiornamento e Rettifica; Limitazione della conservazione; Integrità e riservatezza (idonee misure sicurezza) Il titolare è obbligato a comprovare il rispetto di questi principi (responsabilizzazione)

Principio di liceità ed i sei casi previsti Il trattamento è lecito solo nei sei casi previsti dall art.6. par.1 (tassatività): A) Consenso informato ed esplicito dell interessato per finalità precise B) Esecuzione contratto o misure precontrattuali volute da interessato C) Obbligo legale al quale è soggetto il titolare (diritto UE o SM) D) Salvaguardia interessi vitali interessato o altra persona fisica E) Esecuzione compito interesse pubblico o esercizio pubblici poteri F) Perseguimento legittimo interesse titolare o terzi a condizione che non prevalgano interessi o diritti fondamentali interessato che richiedono protezione dati personali, specie se interessato è un minore

Principio del perseguimento dell interesse legittimo (art.6.1.lettera f GDPR) Il principio secondo il quale un trattamento può essere lecito per perseguire l interesse legittimo del titolare o di terzi è l oggetto di questo intervento. La norma è molto importante. E molto complessa perché consente il trattamento dei dati personali senza consenso dell interessato e senza che vi sia una delle basi giuridiche previste (legate a contratto, a salvaguardia interesse vitale interessato o terzi, obblighi di legge o esecuzione compiti pubblici). La sola base giuridica richiesta è la sussistenza dell interesse del titolare o di terzi dunque mette al centro non il consenso dell interessato ma l interesse del titolare

Ulteriori aspetti della delicatezza della norma La norma proprio perché pone al centro l interesse del titolare o di terzi costituisce un forte elemento di flessibilità (già presente nella Direttiva 95/46/Ce) ma anche un forte elemento di rischio per gli interessati. Per questo deve essere interpretata in modo «specifico e restrittivo». La norma non va considerata come la via di fuga quando non sia possibile invocare una delle altre cause di liceità già richiamate La norma può esser invocata solo se sussiste un effettivo interesse legittimo dell interessato o di un terzo e solo se, nel caso di specie, non prevalgano gli interessi o i diritti e le libertà fondamentali dell interessato (specie se minore) che richiedono la tutela dei loro dati personali.

Interesse legittimo titolare (o terzi) e bilanciamento con diritti interessato L applicazione della norma richiede sempre che il titolare prima di utilizzarla svolga un bilanciamento tra l interesse, proprio o di terzi e gli interessi, i diritti e le libertà fondamentali dell interessato, con particolare attenzione al minore. Il bilanciamento è a carico del titolare, che deve dimostrare di averlo fatto e le ragioni per cui ha eventualmente ritenuto prevalente il proprio o altrui interesse legittimo rispetto ai diritti dell interessato. Tale valutazione va fatta per iscritto (ai fini probatori) e conservata per consentire controllo Autorità e diritto opposizione interessato La valutazione va fatta in concreto, caso per caso, e in relazione agli specifici trattamenti

Bilanciamento interesse legittimo titolare (o terzi) al trattamento e tutela interessato: finalità analisi Il bilanciamento tra interesse legittimo del titolare (e dei terzi) e tutela diritti interessato va fatto al fine di individuare se questi sono sottoposti a rischi che richiedono la tutela dei loro dati personali Ove il rischio relativo ai trattamenti dei dati sia tale da incidere sui diritti e le libertà prevale sempre la tutela dell interessato e viene meno la liceità del trattamento, anche in presenza del legittimo interesse del titolare e di terzi. Nel bilanciamento ruolo centrale hanno i diritti dell interessato in base al GDPR e le misure che, in relazione al trattamento, il titolare adotta per escludere ogni rischio per i dati personali dell interessato o comunque ridurlo al minimo.

Bilanciamento tra interesse legittimo titolare e tutela interessato: ruolo diritti e misure sicurezza Nel bilanciamento è essenziale valutare sia i diritti dell interessato che le misure messe in atto a sua tutela dal titolare del trattamento Per i diritti: Informazione leale e chiara; diritto accesso, diritto rettifica e cancellazione; diritto opposizione. Il titolare deve facilitare l esercizio di tali diritti ed il rigoroso rispetto dei principi ex art.5 GDPR Misure da adottare per trattamento compliant alla protezione dati: Privacy by design, by, default, pseudoanonimizzazione, codici di condotta, certificazioni

Bilanciamento tra interesse legittimo titolare e tutela interessato: l analisi di impatto di rischio Il titolare deve sempre fare analisi di rischio ex art. 24 GDPR e qualora il rischio sia elevato Questo obbligo assume particolare rilievo nel caso del trattamento per legittimo interesse titolare ed entra a far parte del bilanciamento fra gli interessi in gioco. Un analisi di impatto di rischio adeguata e l adozione di una DPIA particolarmente accurata possono consentire di dimostrare in sede di bilanciamento che l interesse legittimo del Titolare possa prevalere senza pregiudizio dei diritti dell interessato Il ruolo del DPO, se nominato, può essere ausilio essenziale anche per il bilanciamento

Come valutare quando sussiste effettivo e legittimo interesse del titolare Fermo restando che applicazione art. 6 lettera f) GDPR comporta un bilanciamento fra legittimo interesse del titolare e interessi e diritti interessato quanto si può ritenere che un interesse del titolare sia legittimo ai sensi di questa norma? Il WP29 nell opinion n. 217 del 2014 (parere 6/2014) ha individuato criteri precisi che valgono anche per il GDPR. Ai criteri individuati dal WP29 si devono aggiungere i Considerando da 47 a 49 del GDPR Tutte queste indicazioni costituiscono orientamenti preziosi e devono essere rigorosamente rispettate

Il concetto di interesse del titolare o di terzi nell art.6 lettera f) GDPR Non qualunque «interesse» del titolare rientra nel caso in esame. Secondo il WP29 rientra certamente nell art.6 f) GDPR l interesse sia: connesso all esercizio di diritti fondamentali del titolare o di terzi connesso alla protezione di interessi personali rilevanti connessi anche all attività svolta dal titolare o da terzi connesso ad interessi sociali o culturali o regolatori rilevanti Richiamando i Considerando 47 e 49, si possono indicare, a titolo di esempio: - il marketing diretto, - la lotta alle frodi, - la sicurezza del traffico sulle reti e la loro resilienza ad eventi imprevisti o illeciti, - la sicurezza dei dati, - il ripristino delle comunicazioni.

Quando l interesse può essere considerato legittimo Per essere considerato legittimo l interesse deve essere: pienamente conforme alle leggi della UE e degli Stati Membri sufficientemente chiaro, articolato e specifico (anche al fine del bilanciamento) attuale e concreto (non puramente teorico o ipotetico) non deve essere possibile raggiungere la medesima finalità facendo ricorso a trattamenti basati sugli altri casi previsti nelle lettere da a) a g) dell art. 6 GDPR

Casi specifici individuati come oggetto di interessi legittimi dai Considerando da 45 a 49 Ai criteri generali, e necessariamente generici, a cui fa riferimento il WP29 nella opinion 217/2014 i Considerando aggiungono casi specifici. L interesse legittimo sussiste: A) per prevenire frodi B) per finalità di marketing diretto C) per trasferimento dati all interno di un gruppo di imprese a fini amministrativi interni, compresi dati clienti e fornitori (ferme regole trasferimento dati estero)

Casi specifici individuati come oggetto di interessi legittimi dai Considerando da 45 a 49 (continua) Costituiscono legittimo interesse del titolare il trattamento di dati personali relativi a: Traffico nella misura strettamente necessaria a garantire: sicurezza delle reti e dell informazione Resistenza rete a eventi imprevisti o illeciti o dolosi Impedire accesso non autorizzato a reti di comunicazioni elettroniche Impedire diffusione codici maligni Impedire e porre rimedio a «blocco di servizi» Impedire danni a sistemi comunicazione elettronica e sistemi informatici

Interesse dell interessato da tutelare nel bilanciamento Poiché il bilanciamento di cui si è parlato è tra interesse legittimo del titolare o di terzi e interesse dell interessato va chiarito che: Interesse dell interessato non è legato alla sulla legittimità ma al livello di rischio che, se tale da richiedere protezione dei dati personali prevale su interesse legittimo titolare Interesse dell interessato sussiste solo se il trattamento determina un impatto sulla tutela dei suoi diritti e delle sue libertà Se il trattamento basato su legittimo interesse del titolare non impatta negativamente sulla tutela dei diritti e delle libertà dell interessato l interesse dell interessato ai sensi dell art. 6 f) viene meno (ma non vengono mai meno i suoi diritti previsti nel Capo III)

Tecnica di effettuazione del bilanciamento Valutazione dell interesse legittimo del Titolare Per quanto riguarda il titolare e il suo legittimo interesse il bilanciamento deve prendere in considerazione: Natura e fonte del legittimo interesse del titolare o del terzo Se il legittimo interesse è connesso a esercizio di diritti fondamentali o di pubblico interesse o fini sociali, culturali o regolatori

Tecnica di valutazione del bilanciamento Valutazione dell interesse dell interessato La valutazione dell interesse dell interessato consiste in una valutazione di impatto sui suoi diritti e libertà e comporta: Esame della natura del dato, compreso se si tratta di dato sensibile o preso da fonti aperte Il modo col quale si vuole processare il dato, compreso il numero delle persone alle quali esso, da solo o combinato con altri dati, sarebbe accessibile (caso profiling per usi commerciali) La ragionevole aspettativa dell interessato rispetto uso suoi dati Il rapporto di forza tra titolare e interessato e soprattutto l attenzione ai minori

Accountability, Transparency, the right to object and data portability Ai fini del bilanciamento è importante che titolare possa dimostrare anche: A) di agevolare esercizio di tutti i diritti dell interessato nei suoi confronti in modo leale e trasparente (accountability) B) Esistenza di ulteriori misure a favore dell interessato (privacy by design ecc.) C) diritto interessato esercitare diritto di opposizione con opt-out automatico o comunque senza bisogno motivazione D) Favorire la data portability, diritto accesso, rettifica. cancellazione (oblio)

Altri suggerimenti alle imprese Nel bilanciamento di interessi dovrebbero essere prese in considerazione le conseguenze per le persone alle quali si riferiscono i dati. ESEMPI Considerando 47: «potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento» Non è legittimo interesse (WP147) la società web che fornisce servizi vari (motore di ricerca, condivisione video, geolocalizzazione, ecc.) e non permette agli utenti di controllare effettivamente il trattamento dei loro dati

Concludendo - I Il trattamento di dati personali sulla base del solo interesse legittimo del titolare o di terzi è una grande porta aperta all evoluzione dei trattamenti dei dati personali e anche alla libera circolazione dei dati Può costituire anche la base per ragionevoli e regolati processi di AI e data analysis Essa tuttavia presuppone sempre e comunque un bilanciamento tra la legittimità dell interesse del titolare o del terzio e la tutela dei diritti e delle libertà dell interessato L interesse del titolare per essere lecito deve comunque essere legittimo, attuale, definito, concreto. L interesse dell interessato è uno stato di fatto

Concludendo - II Il titolare deve tenere documentazione del bilanciamento e delle ragioni per le quali ha ritenuto di poter esercitare il trattamento Il titolare deve assicurare che la valutazione del rischio sia accurata e le misure conseguenti robuste in relazione al rischio rilevato Il titolare deve agevolare l esercizio dei diritti dell interessato sia in termini di trasparenza che di accountability. Data portability, il diritto di obiezione e il diritto alla cancellazione anche ex art. 17 GDPR devono sempre essere resi facili da esercitare Il diritto di opposizione deve essere garantito con forme di optout automatiche

Concludendo - III Le prescrizioni richiamate valgono anche quando il trattamento basato su interesse legittimo del titolare riguardi casi e settori indicati dai Considerando. Va sempre ricordato che ogni bilanciamento deve essere fatto in concreto, con riferimento allo specifico trattamento e allo specifico interesse legittimo che di presume lo giustifichi. Del bilanciamento e dei suoi esiti è totalmente responsabile il titolare. Il titolare può contare sull ausilio del DPO, se nominato e avvalersi, in casi particolarmente rilevanti, anche dell art. 36 in ordine alla richiesta di un esame preventivo dell Autorità

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back