Il decreto legislativo n. 101/2018: considerazioni nell ottica di un privacy e/o security manager Dott. Glauco Bertocchi CISM Roma 19/ottobre/2018
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 2
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 3
Presentazione relatore Glauco Bertocchi Esperienza più che ventennale nel campo ICT Esperienza più che ventennale nel campo della security Numerose docenze universitarie e ad organizzazioni statali Autore o coautore di numerose pubblicazioni in campo ICT e security Ha svolto e svolge consulenze professionali in ambito sicurezza Valutatore dei progetti di ricerca ed innovazione FP7 (2007) e H2020 (2014) Certificato: CISM dal 2003, LA 27001, Membro OdV d.lgs. 231/2001 4
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 5
Come si presenta il d.lgs. 101/2018 (1) Art. 1 Modifiche al TITOLO e alle premesse del decreto legislativo 30 giugno 2003, n. 196 1. Al TITOLO del decreto legislativo 30 giugno 2003, n. 196, dopo le parole «dati personali» sono aggiunte le seguenti: «, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE». 2. Alle premesse del decreto legislativo 30 giugno 2003, n. 196, dopo il terzo Visto sono inseriti i seguenti: «Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'unione europea - Legge di delegazione europea 2016-2017» e, in particolare, l'articolo 13, che delega il Governo all'emanazione di uno o piu' decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016; Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'italia alla formazione e all'attuazione della normativa e delle politiche dell'unione europea; Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);». ISO22301 6
Come si presenta il d.lgs. 101/2018 (2) Art. 2 Modifiche alla parte I, TITOLO I, del decreto legislativo 30 giugno 2003, n. 196 1. Alla parte I, TITOLO I, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: a) la rubrica del TITOLO I e' sostituita dalla seguente: «Principi e disposizioni generali»; b) prima dell'articolo 1 e' inserito il seguente Capo: «Capo I (Oggetto, finalita' e Autorita' di controllo)» c) l'articolo 1 e' sostituito dal seguente: «Art. 1 (Oggetto). - 1. Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignita' umana, dei diritti e delle liberta' fondamentali della persona.»; d) l'articolo 2 e' sostituito dal seguente: «Art. 2 (Finalita'). - 1. Il presente codice reca disposizioni per l'adeguamento dell'ordinamento nazionale alle disposizioni del regolamento.»; e) dopo l'articolo 2 e' inserito il seguente: «Art. 2-bis (Autorita' di controllo). - 1. L'Autorita' di controllo di cui all'articolo 51 del regolamento e' individuata nel Garante per la protezione dei dati personali, di seguito «Garante», di cui all'articolo 153.»; f) dopo l'articolo 2-bis sono inseriti i seguenti Capi: «Capo II (Principi) - Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici. E continua così per 16 articoli (circa 40 pagine) poi.. 7
Come si presenta il d.lgs. 101/2018 (3) Capo V Disposizioni processuali Art. 17 Modifiche al decreto legislativo 1 settembre 2011, n. 150 Capo VI Disposizioni transitorie, finali e finanziarie Art. 18 Definizione agevolata delle violazioni in materia di protezione dei dati personali Art. 19 Trattazione di affari pregressi Art. 20 Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto Art. 21 Autorizzazioni generali del Garante per la protezione dei dati personali Art. 22 Altre disposizioni transitorie e finali Art. 23 Disposizioni di coordinamento Art. 24 Applicabilita' delle sanzioni amministrative alle violazioni anteriormente commesse Art. 25 Trasmissione degli atti all'autorita' amministrativa Art. 26 Disposizioni finanziarie Art. 27 Abrogazioni 8
Come si presenta il d.lgs. 101/2018 (4) In sintesi: art. 1-16 modifiche puntuali al vecchio codice privacy art. 17 modifiche al decreto legislativo 1 settembre 2011, n. 150 (controversie) Artt. 18-27 Disposizioni transitorie, finali e finanziarie Sono 3 parti distinte che «vivono di vita propria» ma sono tra di loro interconnesse E stato evidenziato che le disposizioni transitorie e finali contengono prescrizioni rilevanti, non contenute nel codice «novellato», che lo integrano. 9
Come si presenta il d.lgs. 101/2018 (5) Cosa deve fare un normale cittadino, ad esempio un security manager, per avere un testo da cui iniziare a leggere? Cercare un sito che fornisca i testi vigenti (dopo il 19 settembre 2018) del d.lgs. 30 giugno 2003 n.196 e del d.lgs. 1 settembre 2011, n. 150. Sul sito del Garante è presente un testo coordinato del d.lgs.196/2003 vigente dopo l entrata in vigore del d.lgs.101/2018 Utilizzare i testi dei 2 decreti precedenti insieme agli articoli 18-27 del d.lgs. 101/2018 e al GDPR per iniziare ad orientarsi. 10
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 11
Un codice della privacy «rinnovato» (1) Come si presenta il testo coordinato del Garante? Art. 2-septiesdecies (Organismo nazionale di accreditamento) 1. L'organismo nazionale di accreditamento di cui all'articolo 43, paragrafo 1, lettera b), del Regolamento e' l'ente unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell'ente unico nazionale di accreditamento, l'esercizio di tali funzioni, anche con riferimento a una o piu' categorie di trattamenti. Art. 3 - Principio di necessità nel trattamento dei dati (abrogato) Art. 4 - Definizioni (abrogato) Art. 5 - Oggetto ed ambito di applicazione (abrogato) Art. 6 - Disciplina del trattamento (abrogato) TITOLO II - Diritti dell interessato (abrogato) 12
Un codice della privacy «rinnovato» (2) Si può utilizzare solamente in connessione al GDPR cui è gerarchicamente subordinato. Prevede che il Garante adotti diversi provvedimenti e/o regolamenti e/o regole deontologiche Ad esempio: Provvedimento per le misure di garanzia del trattamento dati genetici, biologici, ecc (art 2-septies) Trattamenti di dati personali per fini di sicurezza nazionale o difesa (art.58 c. 3) Utilizzazione di dati pubblici e regole deontologiche (art.61) Regole deontologiche per trattamenti nell'ambito del rapporto di lavoro (art. 111) Abolisce la previsione di regole deontologiche e dei buona condotta per la videosorveglianza (art 134 (abrogato)) 13
Un codice della privacy «rinnovato» (3) Alcune novità: Consenso del minore in relazione ai servizi della societa dell'informazione (art. 2-quinquies) Sanzioni penali per la violazione delle norme relative ai minori coinvolti in procedimenti giudiziari (art.51) Articolo 684 Codice penale(r.d. 19 ottobre 1930, n.1398) Pubblicazione arbitraria di atti di un procedimento penalechiunque pubblica (1), in tutto o in parte, anche per riassunto o a guisa d'informazione, atti o documenti di un procedimento penale, di cui sia vietata per legge la pubblicazione, è punito con l'arresto fino a trenta giorni o con l'ammenda da cinquantuno euro a duecentocinquantotto euro Curriculum: un apposito articolo (art. 111-bis) regola la materia in modo analogo al passato. Nei limiti delle finalita' di cui all'articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non e dovuto. 14
Un codice della privacy «rinnovato» (4) Altre novità: Illeciti penali- sono stati modificati per aderire meglio alle diverse fattispecie di trattamenti previsti dal GDPR. In particolare ci sono gli illeciti penali derivanti dai trattamenti su larga scala E stato abolito l illecito derivante dalla mancata adozione delle misure di sicurezza minime. E stato specificato (art 171) riguardante Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori- 15
Un codice della privacy «rinnovato» (5) E poi ci sono gli allegati al Codice: - Allegato A.1. - Codice di deontologia - Trattamento dei dati personali nell esercizio dell attività giornalistica - Allegato A.2. - Codice di deontologia - Trattamento dei dati personali per scopi storici - Allegato A.3. - Codice di deontologia - Trattamento dei dati personali a scopi statistici in ambito Sistan - Allegato A.4. - Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici - Allegato A.5. - Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti - Allegato A.6. - Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni defensive - Allegato A.7. - Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale - Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza (abrogato) - Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (abrogato) 16
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 17
«3 norme al prezzo di una» (1) GDPR, CODICE, Parte finale del d.lgs. 101/2018 La parte finale del d.lgs. 101/2018 contiene Informazioni importanti: Art. 18 Definizione agevolata delle violazioni in materia di protezione dei dati personali Art. 19 Trattazione di affari pregressi Art. 20 Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto Art. 21 Autorizzazioni generali del Garante per la protezione dei dati personali Art. 22 Altre disposizioni transitorie e finali Art. 23 Disposizioni di coordinamento Art. 24 Applicabilita' delle sanzioni amministrative alle violazioni anteriormente commesse Art. 25 Trasmissione degli atti all'autorita' amministrativa Art. 26 Disposizioni finanziarie Art. 27 Abrogazioni 18
«3 norme al prezzo di una» (2) Art. 20 Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto 3. Le disposizioni contenute nei codici riportati negli allegati A.1, A.2, A.3, A.4 e A.6 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, continuano a produrre effetti fino alla pubblicazione delle disposizioni ai sensi del comma 4. 4. Entro novanta giorni dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali verifica la conformita' al Regolamento (UE) 2016/679 delle disposizioni di cui al comma 3. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell'allegato A del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003. 19
«3 norme al prezzo di una» (3) Art. 21 Autorizzazioni generali del Garante per la protezione dei dati personali 1. Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali gia' adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonche' al Capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. Il 2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1. 3. Le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del presente decreto e relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data. 20
GDPR Art 6 c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;ule Art 9 par 2 lettera b b)il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato; Art 9 par 4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.. CAPO IX Disposizioni relative a specifiche situazioni di trattamento 21
«3 norme al prezzo di una» (4) Art. 22 Altre disposizioni transitorie e finali 13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. 22
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 23
Bibliografia e sitografia La materia è molto attuale e la scelta di testi e articoli è enorme. Selezionare solo i siti che vengono costantemente aggiornati Comparare più siti sullo stesso argomento 24
Agenda Presentazione relatore Come si presenta il d.lgs. 101/2018 Un codice della privacy «rinnovato» «3 norme al prezzo di una» Bibliografia & sitografia Q&A 25
Q&A 26
Contatti g.bertocchi@isacaroma.it glauco.bertocchi@gmail.com Grazie... 27
Indice del codice della privacy «rinnovato» (1) TITOLO I - Principi e disposizioni generali Capo I - Oggetto, finalità e Autorità di controllo Capo II Principi Capo III - Disposizioni in materia di diritti dell'interessato PARTE I DISPOSIZIONI GENERALI Capo IV - Disposizioni relative al titolare del trattamento e al responsabile del trattamento Abrogati artt. 3-45 PARTE II DISPOSIZIONI SPECIFICHE PER I TRATTAMENTI NECESSARI PER ADEMPIERE AD UN OBBLIGO LEGALE O PER L'ESECUZIONE DI UN COMPITO DI INTERESSE PUBBLICO O CONNESSO ALL'ESERCIZIO DI PUBBLICI POTERI NONCHE' DISPOSIZIONI PER I TRATTAMENTI DI CUI AL CAPO IX DEL REGOLAMENTO TITOLO 1 - (Disposizioni sulla base giuridica) Comincia con art 45-bis Abrogati art 46-49 Capo II Minori Capo III Informatica giuridica TITOLO II - Trattamenti da parte di forze di polizia (abrogato)2 Abrogati artt.53-56 Rimane art 57 disposizioni di attuazione TITOLO III Difesa e sicurezza dello Stato Capo I - Profili generali TITOLO IV - Trattamenti in ambito pubblico Capo I - Accesso a documenti amministrativi Capo II - Registri pubblici e albi professionali Capo III - Stato civile, anagrafi e liste elettorali (abrogato) Capo IV - Finalità di rilevante interesse pubblico (abrogato) Capo V - Particolari contrassegni (abrogato) Artt. 62-74 abrogati 28
Indice del codice della privacy «rinnovato» (2) Titolo V - Trattamento di dati personali in ambito sanitario Capo I Principi generali Capo II - Modalita' particolari per informare l'interessato e per il trattamento dei dati personali Art. 76 - Esercenti professioni sanitarie e organismi sanitari pubblici (abrogato) Art. 81 - Prestazione del consenso (abrogato) Capo III - Finalità di rilevante interesse pubblico (abrogato) Artt 83-89 abrogati Capo IV - Prescrizioni mediche Capo V - Dati genetici (abrogato) Capo VI - Disposizioni varie Titolo VI Istruzione Capo I - Profili generali Titolo VII - Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici Capo I - Profili generali Capo II - Trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica Capo III - Trattamento a fini statistici o di ricerca scientifica TITOLO VIII - Trattamenti nell ambito del rapporto di lavoro Capo I - Profili generali Capo II - Trattamento di dati riguardanti i prestatori di lavoro Capo III - Controllo a distanza, lavoro agile e telelavoro Capo IV - Istituti di patronato e di assistenza sociale Titolo IX - Altri trattamenti in ambito pubblico o di interesse pubblico Capo I (Assicurazioni) 29
Indice del codice della privacy «rinnovato» (3) Titolo X - Comunicazioni elettroniche Capo I - Servizi di comunicazione elettronica* Capo II - Internet e reti telematiche (abrogato) Art. 133 - Codice di deontologia e di buona condotta (abrogato) Capo III Videosorveglianza (abrogato) Art. 134 - Codice di deontologia e di buona condotta (abrogato) Titolo XI - Libere professioni e investigazione private (abrogato) Capo I - Profili generali (abrogato) Art. 135 - Codice di deontologia e di buona condotta (abrogato) Titolo XII - Giornalismo, libertà di informazione e di espressione Capo I - Profili generali Capo II - Regole deontologiche relative ad attività giornalistiche e ad altre manifestazioni del pensiero Titolo XIII - Marketing diretto (abrogato) Capo I - Profili generali (abrogato) PARTE III TUTELA DELL'INTERESSATO E SANZIONI Titolo I - Tutela amministrativa e giurisdizionale Capo 0.I Alternatività delle forme di tutela Capo I - Tutela dinanzi al Garante Sezione III - Tutela alternativa a quella giurisdizionale (abrogato) Artt. 145-151 abrogati Capo II Tutela giurisdizionale Titolo II - Autorità di controllo indipendente Capo I - Il Garante per la protezione dei dati personali Capo II L Ufficio del Garante Capo III - Accertamenti e controlli Titolo III Sanzioni Capo I Violazioni amministrative Artt.161-165 abrogati 30
Indice del codice della privacy «rinnovato» (4) Capo II - Illeciti penali Titolo IV - Disposizioni modificative, abrogative, transitorie e finali Capo I - Disposizioni di modifica Capo II - Disposizioni transitorie (abrogato) Artt.176-182 abrogati Capo III Abrogazioni Capo IV - Norme finali Art. 184. Attuazione di direttive europee (abrogato) Art. 185. Allegazione dei codici di deontologia e di buona condotta (abrogato) Art. 186. Entrata in vigore Allegati al Codice - Allegato A.1. - Codice di deontologia - Trattamento dei dati personali nell esercizio dell attività giornalistica - Allegato A.2. - Codice di deontologia - Trattamento dei dati personali per scopi storici - Allegato A.3. - Codice di deontologia - Trattamento dei dati personali a scopi statistici in ambito Sistan - Allegato A.4. - Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici - Allegato A.5. - Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti - Allegato A.6. - Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni defensive - Allegato A.7. - Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale - Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza (abrogato) - Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (abrogato) 31