Comandante delle Unità Speciali della Guardia di Finanza Gen.D. Gennaro Vecchione Convegno «Il nuovo Regolamento U.E. sulla protezione dei dati personali» Firenze - Auditorium «Cosimo Ridolfi», 16 marzo 2017
right to be let alone 2003 1890 legge 31 dicembre 1996, n. 675 1948 art. 12, Dichiarazione Universale dei Diritti dell Uomo 1984 Progetto «Mirabelli» 1981 Convenzione di Strasburgo protezione persone rispetto al trattamento automatizzato dati 1975 sentenza C.C. «Soraya» CENNI STORICI 1950 art. 8, Convenzione europea dei Diritti dell Uomo 1973 sentenza della Corte Costituzionale d. riservatezza 1956 sentenza C. C. «Tenore Caruso»
PROTEZIONE DATI PERSONALI - U.E. 1995 Direttiva 95/46/CE Protezione dei Dati Personali 2009 T.F.U.E. 2016 Pubblicazione Reg. G.U. della U.E. 25 maggio 2018
REGOLAMENTO PRINCIPALI NOVITÀ - 1 un regolamento UE assicura uniformità in ambito UE principi fondamentali immutati più attenzione a nuove tecnologie riduzione oneri PMI si applica a chi offre servizi/prodotti nell UE diritto all oblio Data Protection Officer (obbligatorio talora)
REGOLAMENTO PRINCIPALI NOVITÀ - 2 meno oneri (no a notifica dei trattamenti) ma più responsabilizzazione per i titolari di trattamento (privacy by design, valutazione di impatto privacy) sportello unico ( one stop shop ) per multinazionali board europeo (erede dell attuale gruppo ex art. 29) con poteri di indirizzo delle Autorità garanti sistema europeo di sanzioni (uniformi)
OGGETTO E FINALITÀ - Art. 1 protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare i dati personali
AREE TEMATICHE - Art. 2 trattamento automatizzato e non di dati personali NON si applica ai trattamenti effettuati: dagli Stati Membri UE in riferimento all area di Spazio di Libertà, Sicurezza e Giustizia per finalità personale o domestica dalle Autorità per prevenzione, indagine ed esecuzione penale
AREA TERRITORIALE - Art. 3 trattamento dei dati personali effettuato nell ambito dell Unione, ovvero che riguardi interessati che si trovano nell Unione
DEFINIZIONI ESSENZIALI - Art. 4 dato personale trattamento profilazione titolare del trattamento responsabile del trattamento rappresentante autorità di controllo
Dato personale Dati sensibili Trattamento Interessato Comunicazione Diffusione Banca dati Art. 4 Codice della Privacy Definizioni
PRINCÌPI DEL NUOVO REGOLAMENTO - Artt. 5 e 9 liceità, correttezza e trasparenza finalità determinate, esplicite e legittime no razza, opinioni politiche, religione, sindacato, genetici, biometrici, salute, vita sessuale, salvo consenso o casi specifici dati minimi, esatti, aggiornati e garantiti nella loro integrità e riservatezza limitazione temporale connessa alla finalità
CONDIZIONI CONSENSO INTERESSATO - Artt. 7 e 8 Se necessario consenso, il titolare deve dimostrare che l interessato lo ha prestato, con possibilità di revoca Se minore anni 16 il trattamento della società dell informazione è lecito solo con consenso genitori
DIRITTI DELL INTERESSATO Capo III cancellazione (o oblio) Art. 17, fatto salvo il diritto alla libertà di espressione e di informazione, ovvero obbligo legale limitazione del trattamento accesso ed informazione portabilità dei dati rettifica e integrazione
DIRITTO ALLA PORTABILITA DEI DATI - Art. 20 diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti ad un titolare del trattamento; diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento che li ha forniti. Ciò nei casi in cui il trattamento si basi su un consenso o un contratto, ovvero venga effettuato con mezzi automatizzati
TITOLARE DEL TRATTAMENTO - Artt. 24, 25, 28, 30, 32 e 35 responsabilità misure tecniche e organizzative adeguate privacy by design (approccio preventivo - art. 25) registro delle attività (art. 30) garanzia livello di sicurezza (art. 32) privacy impact assessment (PIA - art. 35, in casi specifici)
RESPONSABILE PROTEZIONE DATI (DPO) - Art. 37 trattamento effettuato da autorità pubblica trattamenti con il monitoraggio degli interessati su larga scala Inosservanza criteri designazione e prescrizioni del WP29 fa venir meno «DPO» Dipendente o in outsourcing, i cui dettagli devono essere pubblicati e comunicati all Autorità di controllo
ESEMPI DI TRATTAMENTO SU «LARGA SCALA» struttura sanitaria utilizzo mezzi di trasporto pubblici (tessere di viaggio) compagnie assicurative e banche motori di ricerca a fini pubblicitari sistemi di geo-localizzazione di motori di ricerca e cellulari
COMPITI DEL DPO Art. 39 informare e fornire consulenza al titolare o al responsabile del trattamento in merito agli obblighi derivanti da tale Regolamento sorvegliare l osservanza del Regolamento e fornire un parere in merito al Privacy Impact Assessment cooperare con l Autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento
AUTORITÀ DI CONTROLLO INDIPENDENTI - Capo VI Ogni Stato dispone che autorità pubbliche siano incaricate di sorvegliare applicazione Regolamento per tutelare diritti e libertà fondamentali delle persone fisiche con riguardo al trattamento e agevolare libera circolazione dei dati personali in UE Ogni autorità agisce in piena INDIPENDENZA e TRASPARENZA
sospensione trasferimento dati sanzioni amministrative rettifica, cancellazione e limitazione trattamento avvertimenti, ammonimenti sorveglianza sviluppo tecnologie indagini consulenza al titolare indagine COMPITI POTERI Artt. 57 e 58 richiesta informazioni notifica violazione accesso a tutti i dati accesso a tutti i locali sorveglianza applicazione regolamento compliance stimola certificazione reclami collaborazione altre Autorità di controllo consulenza Istituzioni
RECLAMO ALL AUTORITÀ DI CONTROLLO E RICORSO GIURISDIZIONALE - Artt. 77 e 78
RISARCIMENTO E RESPONSABILITÀ - Art. 82 Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento
Sanzioni civili Art. 15, Codice della Privacy 1 comma Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del c.c. 2 comma Il danno non patrimoniale è risarcibile anche in caso di violazione dell'art. 11 Art. 11 Art. 11 Modalità del trattamento e requisiti dei dati
SANZIONI - Artt. 83 e 84 Criteri per le sanzioni amministrative effettive, proporzionate e dissuasive natura, gravità e durata della violazione carattere doloso o colposo della violazione misure adottate dal titolare/responsabile del trattamento precedenti violazioni e cooperazione con Autorità adesione ai codici di condotta eventuali fattori aggravanti Adozione altre sanzioni da notificare alla Commissione UE
Guardia di Finanza 26
Guardia di Finanza COMANDO GENERALE COMANDO REPARTI SPECIALI COMPONENTE TERRITORIALE COMPONENTE AERONAVALE REPARTI D ISTRUZIONE
Reparti Speciali della Guardia di Finanza COMANDO REPARTI SPECIALI COMANDO UNITA SPECIALI COMANDO TUTELA ECONOMIA E FINANZA REPARTO TECNICO LOGISTICO AMMINISTRATIVO N.S. Anticorruzione N.S. Commissioni Parlamentari d Inchiesta N.S. Privacy N.S. Frodi Tecnologiche N.S. per l Energia e il Sistema Idrico N.S. Tutela Proprietà Intellettuale N.S. Antitrust N.S. per la Radiodiffusione e l Editoria N.S. Entrate N.S. Spesa Pubblica e Repressione Frodi Comunitarie N.S. Polizia Valutaria Servizio Centrale Investigazione Criminalità Organizzata - SCICO
Controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile Esaminare i reclami e le segnalazioni Il Garante e provvedere sui ricorsi Prescrivere Il Garante anche determina d'ufficio semestralmente ai titolari del trattamento le misure necessarie la o opportune programmazione Segnalazioni: al fine di richieste ispettiva rendere il informali indicando trattamento di controllo conforme a alle fronte disposizioni ambiti vigenti delle di quali intervento può essere e obiettivi avviata numerici un istruttoria preliminare del controllo Collaborazione Vietare Reclami: anche richiesta d'ufficio, in circostanziata tutto o in parte, di il intervento trattamento L ufficio con GdiF del illecito Garante o non corretto Il La Garante in programmazione relazione dei dati per o a la disporne una protezione violazione tiene il blocco conto dei della dati anche personali normativa. è Comporta un organo delle collegiale, l apertura attività composto che di un istruttoria possono da quattro essere preliminare delegate membri con un mandato Promuovere la sottoscrizione di codici deontologici alla Guardia di finanza di sette anni Autorità non rinnovabile. garante Segnalare Ricorsi: al attraverso Parlamento i e quali Governo si fanno l'opportunità valere i diritti interventi di cui Il protocollo prevede che la per G. di la F. protezione collabori con il Garante attraverso: normativi all art. 7; 60 giorni per L'Ufficio dei la dati decisione personali del Garante, al quale sovrintende il Segretario il reperimento di dati ed Presidente informazioni sui soggetti da controllare Di iniziativa: diretta generale, conoscenza, coadiuvato notizie stampa, da due vice-segretari internet, generali, è programmi, l assistenza Programmazione nei ecc. rapporti con l Autorità Giudiziaria attualmente articolato in: dell attività la partecipazione di proprio personale dipartimenti, agli accessi servizi alle compiti ispettiva banche e unità dati, temporanee. ispezioni e Vice-presidente Legge istitutiva verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento Legge 31 dicembre 1996, n. 675 lo sviluppo di attività delegate per l accertamento delle violazioni di natura penale o amministrativa Input dell attività la contestazione Componente diretta delle ispettiva sanzioni Componente amministrative rilevate nell ambito delle attività delegate
violazioni amministrative violazioni penali
Attività della G di F D.Lgs. N. 68/2001 Protocollo d intesa Ruolo e attività del Nucleo Speciale Privacy Esecuzione attività ispettive Analisi info/operativa Direzione operativa e supporto delle conoscenze