I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Documenti analoghi
Regolamento UE 2016/679by 2018

Nuovo regolamento europeo sulla Privacy (N 679/2016/UE) - GDPR - In vigore dal 25 maggio Seminario informativo 06 Luglio 2018

Policy sulla conservazione dei Dati Personali

Programma. in collaborazione con

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

A cura dell Avv. Federica Spuri Nisi

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici Il Garante incontra l Università

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

PATTO DI RISERVATEZZA E COMPITI ED ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI Ai sensi del Regolamento UE 2016/679

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

INFORMAZIONI DA FORNIRE PER LA RACCOLTA E IL TRATTAMENTO DEI DATI PERSONALI.

Interesse legittimo e protezione dei dati personali: l equilibrio per le imprese

IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI GDPR UE 2016/679

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

Informativa per raccolta di dati personali presso l'interessato (Art. 13 GDPR)

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

La normativa Europea sulla privacy

Seminario sul suo recepimento in ISS

COMUNE DI CALCINAIA Provincia di Pisa

INFORMATIVA PRIVACY DESTINATA AGLI INTESTATARI DELLE PRATICHE

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Il nuovo modello di gestione della privacy Davide Grassano

Informativa per raccolta di dati personali presso l'interessato (Art. 13 GDPR) Bandi per dottorati di ricerca

Regolamento generale sulla protezione dei dati GDPR UE 2016/679. Alberto Galvani

Informativa per raccolta di dati personali presso l'interessato (Art. 13 GDPR)

CONDIZIONI DI UTILIZZO E INFORMAZIONI CONCERNENTI IL TRATTAMENTO DEI DATI PERSONALI RELATIVO AI SERVIZI "CERCAPERSONE" E "IL MIO PROFILO" UNIUD

e-privacy XX 2016 Gli ecosistemi delle professioni legali tra privacy e big data nelle normative italiana e europea

Archivi e ricerca storica nel nuovo quadro giuridico in materia di protezione dei dati personali

Sezione Trattamento Dati

Politica Protezione dei Dati Personali

IMPLEMENTAZIONE DEL REGISTRO. Massimo Ippoliti Consiglio Nazionale delle Ricerche

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

Regolamento UE 2016/679: La Riforma della Privacy tra Diritto e Cybersecurity

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IL RUOLO DELLA PUBBLICA AMMINISTRAZIONE. Roma 16 dicembre 2016 Francesco Modafferi

Il Regolamento Generale sulla Protezione dei Dati personali

INFORMATIVA AI CLIENTI E AI FORNITORI POTENZIALI. IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL ART. 12 e ss. REGOLAMENTO UE 679/2016

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

MATERIALE DIDATTICO PILLOLA 8 COMPITI DEL TITOLARE: PRIVACY BY DESIGN E PRIVACY BY DEFAULT. in collaborazione con

GDPR e nuova norma italiana

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Gennaio Sede e stabilimento: GROWERMETAL s.r.l. Unipersonale Via Nazionale, CALCO ( LC ) Italia

Bologna 15 maggio La gestione del rischio privacy e l impatto sull organizzazione aziendale

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI

CHECK LIST ADEGUAMENTO NUOVO REGOLAMENTO PRIVACY DENOMINAZIONE CODICE FISCALE P. IVA ANNOTAZIONI DOCUMENTAZIONE ALLEGATA:

La privacy per lo studio legale

Dott. Filippo Lorè Consulente Privacy

INFORMATIVA AI SOGGETTI RICHIEDENTI IMPIEGO

Gli psicologi e la privacy, cosa cambia?

Allegato. Checklist di base per GLI STUDI PROFESSIONALI

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

Necessità di un approccio sistemico

COMUNE DI LAURIANO. Città Metropolitana di Torino

Il difficile equilibrio tra accesso e privacy

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

La privacy nella nuova disciplina europea. Approfondimento Privacy. Anna Masutti e Pietro Nisi. 1.La nuova disciplina

COMUNE DI CORIANO PROVINCIA DI RIMINI

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

INFORMATIVA AI CLIENTI E AI FORNITORI. IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL ART. 12 e ss. REGOLAMENTO UE 679/2016

Privacy e Protezione dei dati

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

NORMATIVA COMUNITARIA E

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

Gli psicologi e la privacy, cosa cambia?

GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI G U I D E L I N E S, R E G O L E, I M PAT T I E SANZIONI

CIRCOLARE N. 05 / 2018 REGOLAMENTO UE 679 / 2016 PRIVACY

INDICE CAPITOLO I EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

Giugno Carnelutti Studio Legale Associato

INFORMATIVA EX ARTT. 13 E 14 DEL REGOLAMENTO UE n. 679 del 2016 (Trattamento dati personali)

Sistemi informativi in ambito sanitario e protezione dei dati personali

INFORMATIVA. In tale ottica preghiamo di prendere visione della seguente informativa.

CONTRATTO CON IL RESPONSABILE DEL TRATTAMENTO AI SENSI DELL'ART. 28 DEL REGOLAMENTO (EU) 2016/679

GDPR: il nuovo regolamento Privacy

Aspetti del Regolamento UE 2016/679

Processi, Tool, Servizi Professionali

6 DOCUMENTI PUBBLICATI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Documenti predisposti e pubblicati in osservanza degli obblighi

Informativa sul trattamento dei dati personali relativi ai fornitori di beni o servizi

DISPOSIZIONI OPERATIVE IN MATERIA DI INCIDENTI DI SICUREZZA E DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)

Privacy. Seminario informativo Estratto materiale. Il nuovo Regolamento Europeo 679/2016 IL NUOVO REGOLAMENTO EUROPEO 679/2016.

Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016 Gli obblighi per i Comuni

Informativa per raccolta di dati personali presso l'interessato (Art. 13 GDPR) attività di divulgazione

Spedizioni Internazionali WEB PRIVACY POLICY

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

La corretta gestione dei processi informatici del nuovo GDPR

PRIVACY E PUBBLICA AMMINISTRAZIONE, LA NUOVA SFIDA

Transcript:

I PRINCIPI ALLA BASE DEL NUOVO RGDP Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Regolamento generale per la protezione dei dati personali (2016/679) Art. 1 del RGDP: Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali Il principio cardine del nuovo regolamento è costituito dall'autodeterminazione informativa.

L art. 5 del RGDP definisce i principi applicabili al trattamento dei dati personali: LICEITA, CORRETTEZZA E TRASPARENZA LIMITAZIONE DELLA FINALITA LIMITAZIONE DELLA CONSERVAZIONE MINIMIZZAZIONE DEI DATI ESATTEZZA INTEGRITA E RISERVATEZZA RESPONSABILIZZAZIONE

LICEITA, CORRETTEZZA E TRASPARENZA ART.6 Il trattamento è LECITO solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento

il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Tale condizione non si applica al trattamento di dati effettuato dalle autorità pubbliche nell esecuzione dei loro compiti.

LICEITA, CORRETTEZZA E TRASPARENZA Il trattamento è CORRETTO solo se: rispetta norme etiche e deontologiche lo scopo del trattamento è determinato, esplicito e legittimo sono corrette le modalità di raccolta dei dati e l utilizzo dei dati gli interessati sono informati delle finalità del trattamento che non deve essere occulto o segreto ma trasparente nei confronti degli interessati.

LICEITA, CORRETTEZZA E TRASPARENZA Il trattamento è TRASPARENTE se: sono trasparenti le modalità con cui sono raccolti i dati personali è trasparente l utilizzo e la possibile consultazione dei dati personali I dati personali sono agevolmente accessibili agli interessati sono facilmente comprensibili le informazioni e comunicazioni relative al trattamento è aggiornata la documentazione attestante: i trattamenti svolti, il rispetto dei diritti degli interessati, la ripartizione di ruoli e responsabilità e quella attestante le misure di sicurezza implementate. gli interessati vengono informati sull identità del Titolare del trattamento e sulle finalità del trattamento. gli interessati vengono sensibilizzati circa i rischi, le norme, le garanzie e i diritti relativi al trattamento dei dati personali.

LIMITAZIONE DELLA FINALITA DEI DATI I dati devono essere raccolti per: finalità determinate finalità esplicite finalità legittime Successivamente i dati devono essere trattati in una modalità che sia compatibile con tali finalità. Il trattamento dei dati per finalità diverse da quelle per le quali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con tali iniziali finalità. È poi possibile l'ulteriore trattamento ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici art.89 paragrafo 1 del regolamento.

LIMITAZIONE DELLA CONSERVAZIONE DEI DATI I dati devono essere conservati in una forma che consenta l identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all art. 89 paragrafo 1 del regolamento, fatta salva l attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell interessato.

MINIMIZZAZIONE DEI DATI I dati personali raccolti devono essere sempre: adeguati pertinenti limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Il principio è: raccogliere meno dati possibili ma tutti quelli necessari.

ESATTEZZA DEI DATI I dati devono essere sempre esatti e aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente eventuali inesattezze. Il concetto di esattezza implica quindi il concetto di aggiornamento nel tempo.

INTEGRITA E RISERVATEZZA DEI DATI I dati devono essere sempre trattati in maniera da garantire una sicurezza adeguata, il che prevede l'adozione di misure di sicurezza tecniche ed organizzative idonee (art. 32 del regolamento) a proteggere i dati stessi da: trattamenti non autorizzati o illeciti dalla loro perdita o distruzione dal danno accidentale dalla divulgazione non autorizzata.

MISURE TECNICHE E ORGANIZZATIVE per garantire un livello di sicurezza adeguato al rischio: Pseudonimizzazione (art.4) e cifratura dei dati personali Resilienza dei sistemi e dei servizi informatici Capacità di ripristinare la disponibilità e l accesso dei dati personali in caso di incidente (Disaster Recovery) Procedura per testare e valutare l efficacia delle misure tecniche e organizzative etc.

RESPONSABILITA DEL TITOLARE DEL TRATTAMENTO (ARTT. 5 e 25 RGDP) ACCOUNTABILITY (dover render conto del proprio operato) art.5: considerando la natura, il contesto e le finalità del trattamento nonché dei rischi che, a seconda del trattamento in questione, possono gravare su diritti e libertà delle persone fisiche, il Titolare del trattamento deve garantire ed essere in grado di dimostrare che il trattamento è stato effettuato conformemente al Regolamento stesso. Un approccio RISK BASED ha il vantaggio di pretendere degli obblighi che possono andare oltre la pura conformità alla legge, è più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha lo svantaggio di delegare alla P.A. la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni.

Il Titolare ha il compito di DECIDERE AUTONOMAMENTE le modalità, le garanzie e i limiti del trattamento dei dati personali. Il Titolare deve fare una VALUTAZIONE di CONFORMITA tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento (art. 25, par. 1). Il principio di responsabilizzazione richiede un diverso approccio applicativo delle disposizioni del Regolamento, ribaltando sui Titolari del trattamento un obbligo di AUTOVALUTAZIONE rispetto a: trattamento effettuato tipologia dei dati personali trattati rischi derivanti dal trattamento adeguatezza delle misure tecniche e organizzative ossia misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (art.25 par. 2)

OBBLIGO DI DIMOSTRAZIONE DEL TITOLARE Il principio di responsabilizzazione implica anche l obbligo di dimostrazione, gravante sul Titolare del trattamento, di aver rispettato i principi generali previsti al paragrafo 1 dell articolo 5 e di aver adottato misure tecniche e organizzative adeguate. Pertanto, il Titolare deve acquisire evidenze probatorie finalizzate a comprovare che ha rispettato le disposizioni del Regolamento.

PRINCIPIO DI RESPONSABILIZZAZIONE Il Regolamento fornisce spunti operativi ai fini dell attuazione del principio di responsabilizzazione e della dimostrazione del rispetto del medesimo, come: Adozione di Codici di condotta (art. 40 consid. 77,81) Istituzione di Sistemi di certificazione (art. 42 consid. 81,100) Registri delle attività di trattamento (art. 30 consid. 82) obbligatori per le P.A. Data Breach: obbligo di comunicazione dell avvenuta violazione dei dati personali (art. 34) Data Protection Officer (art. 37)

Fermo restando il regime sanzionatorio, la portata generale del principio di responsabilizzazione investe l intera disciplina del Regolamento. Altri 2 principi sono previsti dal Regolamento all art. 25: PRIVACY BY DESIGN in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, ossia il trattamento deve essere previsto e configurato fin dall'inizio prevedendo le garanzie per tutelare i diritti degli interessati. PRIVACY BY DEFAULT stabilisce che per impostazione predefinita le P.A. dovrebbero trattare solo i dati personali necessari e sufficienti per ogni specifica finalità del trattamento e per il periodo strettamente necessario per tale finalità.

Il principio di privacy by default statuisce che il Titolare debba attuare specifiche misure che garantiscano un idoneo trattamento dei dati, che deve esser personalizzato, a seconda delle finalità e del tipo di operazioni da porre in essere. Tale obbligo varia a seconda della: quantità dei dati personali raccolti della portata del trattamento del periodo di conservazione dell'accessibilità. La minimizzazione costituisce quindi una misura di riduzione del trattamento by default finalizzata a impostare a priori la massima protezione dei dati con il loro minimo trattamento, sia in fase di raccolta sia in fase di trattamento successivo all'acquisizione dei dati personali, secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità.

Per garantire il rispetto dei suddetti principi, il Titolare del trattamento è tenuto ad adottare: politiche interne misure tecniche e organizzative adeguate con la finalità di assegnare agli addetti al trattamento dati un'idea di privacy c.d. "tecnologica. In conclusione l idea del Legislatore comunitario è di far adottare agli Stati strumenti per progettare sistemi di raccolta dati e software che, grazie all uso della tecnologia, garantiscano il rispetto dei principi sanciti nel Regolamento.

GRAZIE PER L ATTENZIONE! Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back