Il regolamento UE 679/2016 sulla protezione dei dati personali Principali novità

Documenti analoghi
REG. EU 2016/679 1) Impatto normativo 2) Come fare per mettersi in regola 3) Sanzioni. A cura dello Studio Legale Faccin Santolin

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Gdpr: cosa c è da sapere sulla guida applicativa del Garante privacy

Impatti del GDPR 2016 Progetto di verifica dell adeguatezza delle banche dati di un impresa. Milano, gennaio 2019

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

FAQ - PRIVACY (Regolamento Europeo 679/ in vigore dal 25 maggio 2018)

Prot.488/2018 Le Novità introdotte dal GDPR (Regolamento EU Privacy) Responsabilizzazione Titolare interessati

Sezione Trattamento Dati

Ordine CdL Napoli Convegno privacy 23 Maggio Relatori: Francesco Capaccio e Pietro Di Nono

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

NORME RELATIVE ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI E LA LORO LIBERA CIRCOLAZIONE

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI RAVENNA. Le novità introdotte dal Regolamento UE

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

BILETTA MAZZOTTI CERIOLI & ASSOCIATI

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR REG. UE 2016/679)

Cos è il GDPR? General Data Protection Regulation

Atto di DESIGNAZIONE. Titolare del trattamento DPO (RPD) Responsabile esterno. Atto di NOMINA

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Programma. in collaborazione con

Cittadini più garantiti

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

IL DIRITTO ALLA PRIVACY

GDPR General Data Protection Regulation /679/UE

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

ORGANIZZAZIONE, ADEMPIMENTI E ATTORI DEL NUOVO REGOLAMENTO. Michela Massimi

INFORMATIVA PER LA SICUREZZA DEI DATI

Seminario sul suo recepimento in ISS

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

Informazioni relative al trattamento dei dati personali dei clienti

Informativa privacy per il cliente, ai sensi dell articolo 13 del Regolamento Europeo 2016/679

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

Informativa privacy per il fornitore, ai sensi dell articolo 13 del Regolamento Europeo 2016/679

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

CORSO DI PERFEZIONAMENTO UNIVERSITARIO E AGGIORNAMENTO PROFESSIONALE IN

ENTRATA IN VIGORE DEL GDPR L ADEGUAMENTO DEL CONDOMINIO

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

FOCUS SUI PRINCIPALI ISTITUTI IN MATERIA DI TRATTAMENTO DEI DATI ALLA LUCE DEL GDPR REGOLAMENTO UE 2016/679

GENERAL DATA PROTECTION REGULATION (EU) 2016/679 GDPR

INFORMAZIONI DA FORNIRE PER LA RACCOLTA E IL TRATTAMENTO DEI DATI PERSONALI.

Regolamento UE 2016/679 in materia di protezione dei dati personali

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

Sguang informatica srl

2 giorni 25 MAGGIO 2018

IN PRESENZA DI SPONSOR (se commerciale) o PARTNER (si rimanda all art. 16 delle Linee di indirizzo n. 3 del C.N.I.)

MODELLO DI ESERCIZIO DEI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (art.9 e ss. REG.679/2016)

Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Proteggi il tuo business Introduzione al GDPR e sicurezza dei sistemi

regolamento UE 679/16

Regolamento UE 2016/679: La Riforma della Privacy tra Diritto e Cybersecurity

2. PROCEDURA PER LA NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH) Art. 33

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

LA PRIVACY A SCUOLA I CAMBIAMENTI CONSEGUENTI AL NUOVO REGOLAMENTO EUROPEO

La privacy per lo studio legale

2016/679 che andrà a sostituire l attuale normativa vigente in materia di Privacy disciplinata dal Dlgs n 196/2003.

Adempimenti del datore di lavoro nella nuova privacy di Giovanni Di Corrado - Consulente del lavoro

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

PGN: 61738/1 Cesena, 28 maggio Oggetto: Tutela dei dati personali. La nuova normativa prevista dal regolamento UE 679/2016.

Il Regolamento europeo in materia di protezione dei dati personali n. 679/2016 (GDPR) Novità e operatività

EX ART. 13 GDPR UFFICIO PRIVACY TITOLO DEL DOCUMENTO INFORMATIVA CLIENTI

Il GDPR per le istituzioni dell UE: i diritti delle persone nell era digitale

Circolare n. 78 del 30 Maggio 2018

PRIVACY E REGOLAMENTO UE 679/2016 Cosa è davvero necessario fare

Privacy 2018: cosa cambia con il nuovo Regolamento

RICHIESTA Accesso civico generalizzato (art. 5, comma 2, d.lgs. 14 marzo 2013, n. 33)

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

GDPR - Regolamento UE 2016/679

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Regolamento UE 02016/679 RGDP Regolamento generale sulla protezione dei dati DIRITTI DELL INTERESSATO. Articolo 7 Diritto di revocare il consenso

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

Informativa sul trattamento e la protezione dei dati personali

INFORMATIVA. In tale ottica preghiamo di prendere visione della seguente informativa.

Informativa sul trattamento dei dati personali dei Clienti

La privacy nella nuova disciplina europea. Approfondimento Privacy. Anna Masutti e Pietro Nisi. 1.La nuova disciplina

I REGISTRI DELLE ATTIVI TA DI TRATTAMENTO, il fulcro del sistema gestionale privacy nel sistema sanitario

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Regolamento Europeo n. 2016/679 sulla protezione dei dati personali Percorso di adeguamento

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI RELATIVI A PERSONE FISICHE ISCRITTE ALLA POLISPORTIVA CASSA DI RISPARMIO DI ASTI S.P.

CARTA DEI DIRITTI DEGLI INTERESSATI

STUDIO LEGALE ASSOCIATO DI VITA LENZINI

General Data Protection Regulation UE 2016/679

Informativa sul trattamento dei dati personali dei Clienti

Novità, cambiamenti e attività da intraprendere

BIANCA MARIA BARON & VALERIA ANDRETTA

General Data Protection Regulation (GDPR) started are you ready? 25 MAGGIO 2018

General Data Protection Regulation UE 2016/679. Il nuovo Regolamento Europeo per la protezione e la libera circolazione dei dati personali

INFORMATIVA PRIVACY DESTINATA AGLI INTESTATARI DELLE PRATICHE

Crime Risk Insurance System

Transcript:

Il regolamento UE 679/2016 sulla protezione dei dati personali Principali novità Donato A. Limone, ordinario di informatica giuridica, direttore della Scuola Nazionale di Amministrazione Digitale, Università degli studi di Roma, Unitelma Sapienza Provincia di Viterbo, 29.9.2017

Dalla legge 675/96 al Dlgs 196/2003 al Regolamento UE 679/2016 Il 25 maggio 2018 entra in vigore definitivamente il regolamento UE 679/2018 Un lungo periodo di 21 anni: i dati personali sono un patrimonio personale che deve essere tutelato e protetto sia quando i trattamenti sono effettuati con mezzi automatizzati sia quando il trattamento avviene con mezzi non automatizzati. In particolare i dati sensibili hanno bisogno di un trattamento speciale ed un livello di protezione ancora più elevato. Oggi con lo sviluppo di internet e dei social network il dato personale è immesso in canali di diffusione e di utilizzazione senza le adeguate protezioni. Gli stessi soggetti interessati producono ed immettono dati personali nella rete senza pensare agli effetti di questa libera diffusione degli stessi dati. Come il fenomeno sempre più diffuso dell hakeraggio pone ulteriori problemi di protezione dei dati personali in tutti i settori (economici, sociali, sanitari, ecc.).

Il Codice Il nostro codice della protezione dei dati personali (dlgs 196/2003) ha contribuito alla formazione di una cultura giuridica e della protezione dei dati personali ma tuttavia ancora il contesto è caratterizzato dalla logica degli adempimenti (la protezione come un adempimento formale: adottando un documento sulla sicurezza, per es. o rispettando le formalità riguardo alla nomina dei titolari, dei responsabili e degli incaricati si pensa di avere risolto il problema (senza poi monitorare di continuo la reale situazione della protezione). La protezione dei dati personali è un valore, è un paradigma specifico della società dell informazione in modo particolare, sarà sempre più una condizione con la quale e nella quale dobbiamo vivere: i dati personali saranno sempre più oggetto di trattamento elettronico e quindi di diffusione ed utilizzazione in rete. Come questi dati devono essere protetti?

Il regolamento UE 173 considerando 99 articoli Non ammette rinvii: dal 25 maggio 2018 si applica Quindi prepararsi prima: (fase di adeguamento) entro il 24 maggio 2018 Il contesto nel settore pubblico: l adeguamento potrebbe essere più facile se fatto in riferimento ad amministrazioni semplificate e digitalizzate perché renderebbe più facile la gestione dei trattamenti, la loro conoscibilità, il trattamento dei rischi, ecc. Oggi il rischio e la tentazione potrebbero essere quella dell adempimento come finora avvenuto. Allora, sistemiamo il modulo della informativa e del consenso; nominiamo i responsabili; adottiamo concretamente misure di sicurezza; nominiamo il DPO (Data Protection Officer o Responsabile della Protezione dei Dati). Una lettura del regolamento anche in riferimento ad altre leggi che si occupano di anticorruzione, di antiriciclaggio (legge 231/2001) dove si prevede la gestione dei rischi, la gestione delle procedure automatizzate, la trasparenza e il tracciamento delle attività, ecc. E quindi sarebbe utile un approccio unitario al tema dei dati personali, della sicurezza, delle misure tecniche ed organizzative, ecc.

Il regolamento UE introduce alcune novità Nella logica dello sviluppo di una più forte cultura della protezione L approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili: le decisioni sulle garanzie e la protezione sono prese direttamente ed autonomamente dai titolari e responsabili e non si attendono le indicazioni dell autorità per operare (artt.23-25) Si tratta di un passaggio particolarmente innovativo e forte che comporta l abbandono dell approccio per adempimento e richiede una preparazione ed un attenzione particolare al problema del trattamento dei dati personali.

Il criterio del data protection by default and by design (art. 25) La necessità di configurare il trattamento prevedendo fin dall inizio le garanzie indispensabili, nel rispetto del regolamento e per tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove si colloca il trattamento dei rischi per i diritti e le libertà degli interessati. Quindi, necessità di un analisi preventiva ed un impegno costante dei titolari che devono potersi verificare nel concreto e sotto il profilo formale

Il criterio della gestione del rischio inerente al trattamento Quali sono i rischi nei trattamenti? Quali sono gli impatti negativi sulle libertà e diritti degli interessati? Valutazione autonoma da parte del titolare di tali rischi ed impatti e adozione di misure organizzative e tecniche (e di sicurezza) Il tutto contenuto in documenti e decisioni specifiche,il tutto tracciabile anche ai fini di controlli del Garante e di eventuali contenziosi Dopo si può procedere al trattamento L autorità interviene ex post e rispetto alle decisioni del titolare Considerazione di carattere generale: anche le norme sull anticorruzione prevedono la gestione dei rischi e allora.necessità di considerare l approccio al trattamento dei dati personali strettamente correlati al trattamento delle procedure, dei procedimenti, ecc. Un approccio unitario al problemi dei rischi

Il registro dei trattamenti Tutti i titolari e i responsabili di trattamento,eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento. Il registro ha la funzione di essere strumento fondamentale per eventuali verifiche da parte del Garante ma soprattutto svolge la funzione di definire un quadro aggiornato dei trattamenti rispetto ad una azienda o ad un ente pubblico, utile per valutazioni di vario tipo ed analisi del rischio Il registro deve avere forma scritta,anche elettronica,e deve essere esibito su richiesta del Garante I contenuti del registro sono indicati all art. 30 del regolamento ma i titolari ed i responsabili possono inserire altri informazioni Oggi i contenuti sono quelli della notifica dei trattamenti (art. 38 Codice) e possono costituire (in fase di adeguamento) la base per la formazione del registro dei trattamenti (art. 30 reg.)

Le misure di sicurezza La decisione di adottare misure di sicurezza spetta ai titolari e responsabili in ragione allo specifico contesto dell ente di riferimento Quindi, non ci possono essere più obblighi generalizzati di adozione di misure minime di sicurezza (come oggi,art. 33 Codice) Le misure devono essere adottate in relazione alla situazione di riferimento, al trattamento dei rischi Sicuramente possono essere utili l allegato B attuale del Codice e altre indicazioni fornite dal Garante ma sempre nella logica di linee guida: le decisioni restano in capo al titolare e non basterà fare la spunta di un elenco ufficiale stabilito dal Garante. Considerazione di ordine generale: la sicurezza informatica dei dati personali riguarda più in generale la sicurezza informatica dei patrimoni informativi pubblici (approccio integrato alla sicurezza)

Il responsabile della protezione dei dati (Data Protection Officer) Il DPO rientra nella logica della responsabilizzazione autonoma stabilita dal regolamento Il DPO deve essere indipendente, autorevole,competente Il DPO deve sorvegliare lo svolgimento dell impatto dei rischi Le funzioni e le competenze del DPO sono definiti dagli artt. 37,38, 39 Reg.

Contitolarità del trattamento, responsabili e sub-responsabili Ci possono più titolari del trattamento (art.26) Definire gli ambiti di responsabilità e i compiti Gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei titolari Nella nomina del responsabile è necessario dettagliare le sue responsabilità, la natura, la durata e la finalità dei trattamenti assegnati,le categorie di dati oggetto del trattamento, le misure tecniche ed organizzative (art. 28) E consentita la nomina di sub-responsabili da parte dei responsabili con la indicazione delle attività e dei trattamenti di loro competenza. Il responsabile risponde degli inadempimenti dei suresponsabili anche ai fini di risarcimento di eventuali danni causati dal trattamento. La figura dell incaricato non viene contemplata dal regolamento ma non viene esclusa.

Il consenso art.9 Deve essere esplicito Anche per il consenso basato su trattamenti automatizzati compresa la profilazione (art.22) Non deve essere necessariamente documentato per iscritto né è richiesta la forma scritta ma la forma scritta costituisce la modalità più idonea a dimostrare la inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili) Il titolare deve poter dimostrare che l interessato ha prestato il consenso ad uno specifico trattamento Il consenso dei minori è valido a partire dai 16 anni

Profilazione: definizione 4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

Informativa artt.13 e 14 I contenuti della informativa sono indicati tassativamente negli articoli 13 e 14 del reg. In particolare il titolare deve sempre specificare i dati del DPO dove c è questa figura; la base giuridica del trattamento; se si trasferiscono dati verso i Paesi terzi; il periodo di conservazione dei dati;il diritto di presentare un reclamo all Autorità; se ci sono processi decisionali automatizzati (anche la profilazione) l informativa deve specificare tali processi e deve indicare la logica di tali processi e le conseguenze previste per l interessato Tempi: nel caso di dati personali non raccolti presso l interessato l informativa deve essere fornita entro 1 mese dalla raccolta oppure al momento della comunicazione dei dati Modalità dell informativa: informativa concisa, trasparente, intelligibile, facilmente accessibile con un linguaggio chiaro e semplice. Per i minori bisogna prevedere informative idonee L informativa è data per iscritto e preferibilmente in formato elettronico

Diritto di accesso art. 15 Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto del trattamento Necessità di indicare il periodo della conservazione dei dati e le garanzie per il trasferimento dei dati verso Paesi terzi

Diritto di cancellazione (diritto all oblio) art. 17 È l attuale diritto di cancellazione rafforzata Si prevede l obbligo per i titolari che hanno reso pubblici i dati (per es. sui siti) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati,compresi qualsiasi link, copia o riproduzione L interessato ha il diritto di chiedere la cancellazione dei propri dati, per es., anche dopo la revoca del consenso al trattamento

Diritto alla portabilità dei dati art. 20 Un nuovo diritto: non si applica ai trattamenti non automatizzati Sono portabili solo i dati trattati con il consenso dell interessato o sulla base di un contratto stipulato con l interessato e solo per i dati forniti dall interessato Il titolare deve essere in grado di trasferire direttamente i dati portabili ad un altro titolare indicato dall interessato, se tecnicamente possibile

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back