GDPR e trasparenza amministrativa

Documenti analoghi
Regolamento UE 2016/679by 2018

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Regolamento Europeo n. 2016/679 sulla protezione dei dati personali Percorso di adeguamento

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Circolare n. 16 del 2 Febbraio 2018

Ruoli e responsabilità nel sistema GDPR. 25 luglio dott. Simone Chiarelli

PRIVACY E PUBBLICA AMMINISTRAZIONE, LA NUOVA SFIDA

Nuovo regolamento europeo sulla Privacy (N 679/2016/UE) - GDPR - In vigore dal 25 maggio Seminario informativo 06 Luglio 2018

IL CODICE DELLA PRIVACY AD UN ANNO DALL'ENTRATA IN VIGORE DEL GDPR LA STRUTTURA PRIVACY: TITOLARE, RESPONSABILE, CO- TITOLARE E DPO

ORGANIZZAZIONE, ADEMPIMENTI E ATTORI DEL NUOVO REGOLAMENTO. Michela Massimi

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Regolamento UE 2016/679 in materia di protezione dei dati personali

Sezione Trattamento Dati

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Il sole pratictionere e lo studio. Il associato: gli adempimenti nella pratica Bologna, 30 maggio 2018

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

STUDIO MIGLIETTA ASSOCIAZIONE PROFESSIONALE STUDIO COMMERCIALISTA REVISIONE CONTABILE

GDPR: il nuovo regolamento Privacy

Programma. in collaborazione con

OBBLIGHI E SANZIONI DEL GDPR: COSA FARE ENTRO IL 25 MAGGIO 2018 E DOPO

Il nuovo regolamento privacy e la sua applicazione nel settore pubblico e privato

PROFESSIONISTI AZIENDALI ASSOCIATI SAS STP I PROFESSIONISTI PER L AZIENDA

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

BIANCA MARIA BARON & VALERIA ANDRETTA

Ciclo di incontro formativi Lezioni di aggiornamento anno 2019

Indice. Prefazione. Nozione del dato personale e del trattamento dei dati. pag. di Franco Pizzetti. Capitolo Primo

Centro di Servizio. Casa di Riposo Aita. Crespano del Grappa (TV) DELIBERAZIONE DEL CONSIGLIO DI AMMINISTRAZIONE N.

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

NUOVE REGOLE PER LE SOCIETÀ IN TEMA DI PRIVACY. Regolamento Europeo 679 del 27 aprile 2016

Politica Protezione dei Dati Personali

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

LE NOVITÀ DEL GDPR E GLI IMPATTI PER LE AZIENDE

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Le figure previste dal GDPR: ruoli e responsabilità

Il difficile equilibrio tra accesso e privacy

DECRETO SINDACALE n. 795 del 24/05/2018

Tutela dei dati personali - La nuova disciplina della privacy prevista dal regolamento UE 679/2016. TS Bassano Srl - 26 MARZO

LE NOVITÀ DEL GDPR, FINANZIARIO E ASSICURATIVO CON PARTICOLARE RIFERIMENTO ALLA TUTELA DELLA PRIVACY IN AMBITO BANCARIO,

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

Prot.488/2018 Le Novità introdotte dal GDPR (Regolamento EU Privacy) Responsabilizzazione Titolare interessati

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

Atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell art. 37 del Regolamento UE 2016/679

IL SINDACO. - L introduzione del concetto di responsabilizzazione (c.d. Accountability) del Titolare del trattamento;

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

La Privacy nell amministrazione del personale

REG. EU 2016/679 1) Impatto normativo 2) Come fare per mettersi in regola 3) Sanzioni. A cura dello Studio Legale Faccin Santolin

Assunto/a in data presso ; In possesso del seguente titolo di studio: conseguito in data. presso ;

SMART WORKING TRA CONTROLLO A DISTANZA E PRIVACY GLI SMART DEVICE

Estratto di delibera del. Consiglio Direttivo. riguardo alla delega per l esercizio titolarità del trattamento e alla nomina del

Scelta del DPO e valutazione d impatto organizzativo

LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Ordine dei Dottori Commercialisti ed Esperti Contabili di. LINEE GUIDA IN MATERIA DI PRIVACY E PROTEZIONE DEI DATI PERSONALI Maggio 2018

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI G U I D E L I N E S, R E G O L E, I M PAT T I E SANZIONI

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

regolamento UE 679/16

Cos è il GDPR? General Data Protection Regulation

Aspetti del Regolamento UE 2016/679

INDICE CAPITOLO I EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

INFORMATIVA DETTAGLIATA

COMUNE DI LESA Provincia di Novara

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

PATTO DI RISERVATEZZA E COMPITI ED ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI Ai sensi del Regolamento UE 2016/679

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI RAVENNA. Le novità introdotte dal Regolamento UE

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

GARANZIA DI PROTEZIONE E RISERVATEZZA DEI DATI PERSONALI

La normativa Europea sulla privacy

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Istituto d Istruzione Superiore

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

Regolamento Europeo sulla protezione dei dati personali

FOCUS SUI PRINCIPALI ISTITUTI IN MATERIA DI TRATTAMENTO DEI DATI ALLA LUCE DEL GDPR REGOLAMENTO UE 2016/679

GLI PSICOLOGI E LA PRIVACY. adeguamento al GDPR Regolamento UE 2016/679

INFORMATIVA PRIVACY DESTINATA AGLI INTESTATARI DELLE PRATICHE

2 Convegno A.S.P.Energia Incontri / Presentazione Associati _. approfondimento professionale. presso Sala Convegni Palazzo di Varignana

Tribunale di Bologna

Guida all applicazione del Regolamento europeo in materia di protezione dei dati personali (prima parte)

LA PRIVACY A SCUOLA I CAMBIAMENTI CONSEGUENTI AL NUOVO REGOLAMENTO EUROPEO

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

[ ] il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

DESIGNAZIONE del Responsabile della Protezione dei Dati R.P.D.

Il Regolamento generale sulla protezione dei dati personali 2016/679. Antonio Caselli

DETERMINAZIONE DEL CAPO SETTORE SEGRETERIA E PERSONALE N. 19 DEL 18/05/2018

Transcript:

GDPR e trasparenza amministrativa Schermata 2017-06-17 alle 15.55.15 La Protezione dei Dati Personali nel Pubblico Avv. Rocco Panetta alla luce del Regolamento (UE) 2016/679 Anticorruzione e Trasparenza Monitoraggio, rendicontazione e implementazione dei Piani Milano, 5 ottobre 2018

GDPR: una panoramica

GDPR: una panoramica I soggetti che trattano i dati e i loro compiti Codice Privacy Artt. 28, 29 e 30 Regolamento Europeo Artt. 24, 26, 27, 28 e 29 Titolare Responsabile Definizione formale non cambia rispetto al Codice Privacy, tuttavia vengono introdotte regole e principi volti a rafforzare l autonomia negoziale delle parti nell esatta allocazione delle responsabilità di ogni soggetto privacy Incaricato Art. 29 del GDPR: chiunque agisca sotto l autorità di titolare o del responsabile non può trattare i dati se non opportunamente istruito in tal senso.

GDPR: una panoramica La figura del Joint Controller (Contitolare del trattamento) Codice Privacy Artt. 4, comma 1, lett. f) Regolamento Europeo Art. 26 Vengono chiariti e formalizzati alcuni aspetti fondamentali: Quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono da considerarsi contitolari del trattamento. Le rispettive responsabilità possono essere definite mediante accordo interno tra le parti, con particolare attenzione a: (i) informativa; (ii) raccolta consensi; e (iii) esercizio dei diritti degli interessati. L interessato può esercitare i propri diritti contro uno qualunque dei contitolari, potendo anche avere accesso all accordo tra gli stessi e valutare le proprie opzioni di conseguenza.

GDPR: una panoramica Informativa Le informazioni da rendere agli interessati Codice Privacy Regolamento Europeo Art. 13 Art. 13 Documento finalizzato a mettere a disposizione dell interessato tutti gli elementi necessari a valutare i trattamenti dei propri dati, tra cui in particolare: (i) modalità di svolgimento e natura obbligatoria o facoltativa trattamento (ii) identificazione precisa del titolare e degli eventuali responsabili (iii) conseguenze del rifiuto a fornire dati (iv) limiti alla comunicazione e alla diffusione dei dati (v) destinatari o categorie di destinatari (vi) finalità trattamento e presupposti di legittimità (vii) modalità di esercizio diritti individuali (viii) trasferimenti dati e garanzie tutela (ix) Periodo di conservazione dei dati o i criteri per determinarlo (x) Contatti del Data Protection Officer (xi) eventuali interessi legittimi del titolare (Uniche vere novità)

GDPR: una panoramica Anonimizzazione e pseudonimizzazione Il GDPR consente di usare tecniche come la pseudonimizzazione, l'anonimizzazione, la crittografia e protocolli per le comunicazioni anonime nell ambito di trattamenti di dati legati anche all utilizzo dei Big Data. La Commissione e la European Data Protection Board collaboreranno e vigileranno con gli Stati Membri e le autorità di vigilanza al fine di garantire che si diffonda il più possibile l adozione di queste tecniche. ANONIMIZZAZIONE Benché sia metodo non esplicitamente definito dal GDPR, ci si riferisce a qualsiasi tecnica che renda i dati non più riferibili, in qualsiasi modo e da parte di chiunque, ad un interessato, neanche attraverso il confronto o l arricchimento con dati in possesso di terze parti (deidentificazione irreversibile) PSEUDONIMIZZAZIONE Trattamento dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni siano acquisite e trattate in modo lecito. Si tratta di una misura di strong security, ma non di anonimizzazione. IL REGOLAMENTO NON SI APPLICA AL TRATTAMENTO DI INFORMAZIONI ANONIME, ANCHE PER FINALITÀ STATISTICHE O DI RICERCA. RAGIONEVOLE PROBABILITÀ DI IDENTIFICARE LA PERSONA FISICA, DEVE CONSIDERARE COSTI E TEMPO NECESSARIO PER L'IDENTIFICAZIONE, TECNOLOGIE DISPONIBILI E LORO SVILUPPO FUTURO.

GDPR: una panoramica Il principio di accountability Codice Privacy Regolamento Europeo - Considerando n. 85 e Art. 5 Un corrispondente formale del principio di accountability impropriamente tradotto nella versione italiana del GDPR con il termine responsabilizzazione o rendicontazione non è mai stato definito all interno del corpus normativo del D. Lgs. 196/2003. Secondo questo principio delineato a partire dal 2010 grazie a orientamenti dell Article 29 Working Party e dell OCSE, la compliance privacy di natura preventiva è una delle chiavi di volta del GDPR. Il Codice Privacy, infatti, prevede un sistema di responsabilità civili, penali e amministrative e una serie di adempimenti formali obbligatori (es. informativa, consenso, notificazione al Garante, misure minime e idonee) ma non un generale approccio di responsabilizzazione preventiva funzionale alla compliance. Il titolare del trattamento dovrebbe dunque essere in grado di dimostrare di avere adottato un insieme complessivo di misure (i) giuridiche, (ii) organizzative, (iii) tecniche e (iv) amministrative per la protezione dei dati trattati coerentemente alle disposizioni del Regolamento, similmente agli attuali modelli ex D. LGS. 231/2001.

Le regole base per PA e società pubbliche sulla Data Protection Un trattamento legittimo è basato su fondamenti normativi solidi e ben definiti. Trattare i dati nel solco della legge garantisce all interessato trattamenti dei suoi dati in piena sicurezza e rispetto dei suoi diritti; al titolare di svolgere la sua attività senza scontrarsi con sanzioni e blocco della sua attività principale. Principi applicabili al trattamento dei dati personali: LICEITÀ CORRETTEZZA TRASPARENZA LIMITAZIONE DELLE FINALITÀ MINIMIZZAZIONE DEI DATI ESATTEZZA LIMITAZIONE DELLA CONSERVAZIONE INTEGRITÀ RISERVATEZZA

Le regole base per PA e società pubbliche sulla Data Protection GDPR & PA Art. 6 GDPR Liceità del trattamento Affinché il trattamento sia considerato lecito è necessario che questo rispetti determinati presupposti e principi diffusi in tutto il GDPR: consenso dell interessato per una o più specifiche finalità; necessario per adempiere obblighi di contratti di cui l interessato è parte o misure precontrattuali richieste dallo stesso; necessario per adempiere obblighi legali a cui il titolare è soggetto; necessario per salvaguardia interessi vitali dell interessato o altra persona fisica; necessario per esecuzione di compito di interesse pubblico o connesso all esercizio di pubblici poteri di cui è investito il titolare; Riserva di legge Gli obblighi legali e i compiti di interesse pubblico o connesso all esercizio dei pubblici poteri secondo i quali possono essere posti in essere dei trattamenti sono stabiliti da: Diritto dell Unione europea; Diritto dello Stato membro cui è soggetto il titolare del trattamento. necessario per perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano interessi o diritti e libertà fondamentali dell interessato che richiedono la protezione dei dati personali, in particolare se minore. Non si applica per quei trattamenti effettuati dalle autorità pubbliche nell esecuzione dei loro compiti.

Le regole base per PA e società pubbliche sulla Data Protection Trattamenti in ambito pubblico In ambito amministrativo, il tema principale ricade sull accesso a documenti amministrativi e all accesso civico. Le normative di riferimento sono: GDPR; Titolo IV del Codice Privacy (Trattamenti in ambito Legge 7 agosto 1990, n. 241; D. Lgs. 14 marzo 2013, n. 33; Regole deontologiche. Il trattamento di tali dati è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso pubblico); Focus: dati relativi alla salute, vita sessuale o orientamento sessuale Specifiche disposizioni anche per i trattamenti in ambito sanitario, per finalità di tutela della salute e incolumità fisica dell interessato o terzo o della collettività ai documenti almeno pari amministrativi ai diritti è di rango dell interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale. Art. 60 Codice Privacy Il Garante promuove, ai sensi dell art. 2-quater del Codice, l adozione di regole deontologiche per il trattamento di dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l associazione di dati provenienti da più archivi, tenendo presenti le pertinenti Raccomandazioni del Consiglio d Europa. Art. 61 c. 1 Codice Privacy

La Data Protection Impact Assessment (DPIA) Il titolare deve eseguire un attenta e dettagliata valutazione dell impatto (Data Protection Impact Assessment DPIA ) che i trattamenti che intende svolgere, soprattutto se basati su nuove tecnologie, sono in grado di produrre, quando dagli stessi possono derivare rischi rilevanti per la sicurezza e per i diritti e le libertà delle persone coinvolte. In particolare obbligatoria per attività di: Valutazione sistematica e globale, compreso il profiling; Trattamento su larga scala di categorie particolari di dati personali. Elementi minimi della DPIA: una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se applicabile, l'interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare i rischi, con specifica indicazione delle garanzie, misure di sicurezza e meccanismi adottati per garantire la protezione dei dati personali e dimostrare il rispetto del GDPR.

Il DPO e il suo ruolo nella Pubblica Amministrazione Obbligo di nomina L art. 37 c. 1 lett. a) del GDPR prevede la designazione sistematica del DPO quando il trattamento è effettuato da un autorità pubblica o da un organismo pubblico, eccezion fatta per le autorità giurisdizionali. Un DPO per più enti Le autorità pubbliche o organismi pubblici possono designare un unico DPO per più autorità pubbliche o organismi pubblici. Profilo del Data Protection Officer Il Data Protection Officer deve rispecchiare determinati requisiti soggettivi e oggettivi: Deve possedere comprovate conoscenze specialistiche adeguate al suo ruolo; Deve essere munito di una completa autonomia funzionale; Non deve ricoprire ruoli che siano incompatibili con la funzione di controllo di DPO; Non può essere rimosso o penalizzato per l adempimento dei propri compiti ex GDPR; Relazione diretta con i vertici dell ente; Coinvolto tempestivamente in tutte le questioni riguardanti la protezione dei dati.

Il DPO e il RPCT: confronto Responsabile della Protezione dei Dati Introdotto dall art. 37 ss. GDPR. Autonomia ed effettività del ruolo e messa a disposizione di tutte le risorse necessarie allo svolgimento del proprio ruolo; Diretta relazione con i vertici e tutta la struttura dell ente; Compiti Informare e fornire consulenza al titolare o responsabile trattamento e ai dipendenti che eseguono trattamenti; Sorvegliare osservanza del GDPR e altre disposizioni su protezione dati, compresa attribuzione responsabilità, sensibilizzazione e formazione del personale; Cooperare con autorità di controllo e fungere da punto di contatto. Responsabile della Prevenzione della Corruzione e della Trasparenza Istituito ai sensi dell art. 1 c. 7 della L. 190/2012 (riforma: D.Lgs. 97/2016). Autonomia ed effettività del ruolo attraverso la messa a disposizione di strutture e mezzi adeguati al compito; Diretta relazione con i vertici e tutta la struttura dell ente; Compiti Proporre all organo di indirizzo politico approvazione e modifiche del Piano triennale di Prevenzione della corruzione; Riferire all organo di indirizzo politico sull attività svolta; Definire procedure appropriate per selezionare e formare i dipendenti; Controllo su costante adeguamento alla normativa di riferimento e rotazione incarichi negli uffici preposti.

Relazione tra Protezione dei Dati e Trasparenza amministrativa Il Decreto trasparenza D. Lgs. 33/2013 Pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, anche attraverso la Rete (siti istituzionali). Linee guida Provv. del 15 maggio 2014 n. 243 Dopo aver verificato la sussistenza dell obbligo di pubblicazione dell atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono dati particolari o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa. È vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.

Avv. Rocco Panetta Managing Partner Panetta & Associati Country Leader Italia IAPP Via Arenula, 83 Roma, 00186 r.panetta@panetta.net www.panetta.net www.iapp.org 15

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back