Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA lo STUDIO, l AZIENDA, l ORGANIZZAZIONE IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI 14 Marzo 2018
Schema protezione dati personali 1
Che cos è il GDPR? è l acronimo di General Data Protection Regulation in vigore il 25/05/2016 con un applicazione differita di due anni al 25/05/2018 Perché era necessaria una nuova normativa? l evoluzione tecnologia ha cambiato tutto un fronte comune europeo sia interno che esterno oggi i dati sono sicuramente FONTE di nuovi Business sono il Nuovo petrolio e come il petrolio grezzo, i dati per avere un vero valore devono essere raffinati! 2
Che cos è il GDPR? Qual è la novità principale? Cambia l approccio al tema PRIVACY fino ad oggi al centro della normativa Privacy è stata posta la persona, con la nuova normativa Il dato acquista un valore in sé e viene tutelato per ciò che è Il Nuovo Regolamento trasforma la protezione dei dati personali da puro strumento giuridico in tema strategico (per la nuova economia dei dati) Si potrebbe riassumere questo concetto La legge non deve essere citata ma chiede di essere rispettata 3
Che cosa comporta il GDPR per lo Studio, l Azienda, l Organizzazione Tutti trattano dati personali, (clienti, fornitori, dipendenti, prospect) Finora la Privacy è stata trattata come un adempimento Con il GDPR cambia tutto: la privacy diventa un processo aziendale I dati sono il petrolio dell era digitale perché oggi servono a: 1. Creare prodotti innovativi (capendo i bisogni) 2. Formulare offerte mirate ai consumatori, convertendo sconosciuti in clienti fidelizzati (marketing) 3. Garantire sicurezza e migliorare l efficienza aziendale (internet delle cose) 4. Controllare, profilare e analizzare (comportamentale) 4
È solo un problema di approccio il Nuovo GDPR? Oppure ci sono dei cambiamenti reali e concreti? di fatto cambia tutto 1. cambia l informativa che diventa breve, priva di riferimenti normativi, deve essere comprensibile anche ai minori e contenere nuovi elementi, come l origine dei dati e il tempo di conservazione previsto 2. cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati 3. viene introdotta la figura del Data Protection Officer (DPO) (il responsabile per la protezione dei dati personali) 5
È solo un problema di approccio il Nuovo GDPR? Oppure ci sono dei cambiamenti reali e concreti? di fatto cambia tutto 4. sparisce l obbligo di notificazione al Garante e si introduce il Registro dei Trattamenti 5. sparisce il DPS e nasce il Documento di valutazione di impatto del trattamento dei dati 6. vengono introdotti nuovi diritti, come quello alla portabilità dei dati 7. diventa essenziale progettare la tutela dei dati personali e documentare l attenzione verso l analisi dei rischi connessi al trattamento dei dati personali 6
Un nuovo modello organizzativo La vecchia normativa (DLgs 196/2003) si basava sui diritti dell interessato. La nuova normativa è incentrata sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento. La vecchia normativa (DLgs 196/2003) indicava ai titolari del trattamento un elenco di misure minime di sicurezza da adottare, senza le quali erano previste sanzioni. La nuova normativa sposta la scelta e la responsabilità su quali misure tecniche ed organizzative sia opportune adottare, direttamente sul titolare del trattamento insomma chi tratta dati DEVE predisporre dei processi di valutazione di impatto del trattamento dei dati personali 7
Come cambia l informativa L informativa diventa finalmente uno strumento di informazione, cessando di essere un adempimento. Il titolare deve fornire all interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice, chiaro e senza riferimenti normativi Come raccogliere il consenso al trattamento Fino ad oggi il consenso era FORMALE (consenso espresso) adesso diventa NON EQUIVOCO Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è quello reso quando, visualizzando un banner che ci informa che il sito che stiamo visitando utilizza cookies, continuiamo a navigare di fatto accettando l uso dei cookies. 8
Un esempio di check list per verificare la completezza di una informativa. L identità e i dati di contatto del titolare del trattamento (o del suo rappresentante) I dati di contatto del responsabile della protezione dei dati, (DPO se previsto) Le finalità del trattamento cui sono destinati i dati personali Se il trattamento è necessario per il perseguimento del legittimo interesse (P.A.) del titolare o di terzi, Gli eventuali destinatari/ categorie di destinatari dei dati personali Eventuale - trasferimento dei dati personali a un paese terzo o ad altra organizzazione - profilazione - diffusione SI NO Il periodo di conservazione dei dati personali L esistenza del diritto dell interessato di chiedere al titolare del trattamento l accesso ai dati personali / la rettifica /la cancellazione /la limitazione / di opporsi /diritto alla portabilità dei dati L esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l interessato ha l obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati 9
L analisi del rischio: cos è e come si crea Per anni siamo stati abituati a gestire un adempimento formale denominato Documento Programmatico sulla Sicurezza (DPS) Il nuovo regolamento europeo propone un nuovo strumento: il Data Protection Impact Assessment (DPIA) ovvero il Documento di Valutazione di Impatto del Trattamento dei Dati Questo processo prevede tre distinte fasi da svolgersi periodicamente con cadenza almeno annuale: 1. Analisi dei rischi 2. Definizione della lista delle criticità 3. Definizione del programma di intervento 10
Come cambiano i rapporti con il Garante Fino ad a oggi, chi effettuava alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione) era tenuto a effettuare un adempimento preventivo: la notificazione al Garante per la protezione dei dati personali. Con il GDPR dal 2018 cambia tutto: viene abolito l obbligo di Notificazione di specifici trattamenti all Autorità 11
Principi Fondamentali 12
Diritti dell Interessato L interessato è la persona fisica alla quale i dati personali si riferiscono Diritto di accesso Diritto alla rettifica Diritto aggiornamento Diritto cancellazione con il GDPR abbiamo Oblio Portabilità 13
Il Data Protection Officer (DPO) Chi deve dotarsi di un DPO - tutte le P.A, - chi tratta dati su larga scala (sensibili) Quali requisiti sono richiesti al DPO - adeguata conoscenza - operare in autonomia - senza conflitti d interesse 14
Il Data Protection Officer Ideale Secondo gli esperti, il profilo ideale è quello di un professionista che sia: Esterno all azienda Dotato delle necessarie competenze giuridiche (per poter interpretare in modo corretto le norme) ed informatiche (per potersi interfacciare in modo adeguato con i responsabili dei sistemi informativi) Capace di realizzare una completa analisi dei rischi e una valutazione delle interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione delle informazioni Il DPO dunque ha il compito di sorvegliare che siano rispettati sia il Regolamento Ue sia le specifiche prescrizioni delle autorità nazionali, che vi sia cooperazione con l autorità di controllo, che chi gestisce il trattamento dei dati sia informato e consigliato rispetto all eventuale non conformità di scelte adottate 15
Cosa fare per arrivare pronti al GDPR Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal GDPR sono: Obbligo di definire i tempi di conservazione dei dati Obbligo di indicare la provenienza dei dati in caso di utilizzo Obbligo di predisporre il Documento di Valutazione di Impatto del Trattamento dei Dati Obbligo di gestire la responsabilizzazione (accountability) (prevalentemente mediante il Data Protection Officer) Obbligo di comunicare tempestivamente al Garante violazioni dei propri database 16
Cosa deve fare lo Studio, l Azienda, l Organizzazione in pratica, per adeguarsi alle novità? 1. Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati 2. Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti* 3. Attribuire correttamente i ruoli 4. Tenere un registro delle attività di trattamento svolte 5. Adottare misure appropriate per fornire l informativa all interessato: Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole Definire le nuove regole di acquisizione e documentazione del consenso Verificare se si trattano dati di minori in grado di dimostrare che l interessato ha concesso il proprio benestare *non è una «sponsorizzazione» personale ma un invito a valutare con attenzione una scelta strategica: consulente, prezzo, software, faccio tutto io o lo faccio fare da un mio collaboratore, etc. 17
Cosa deve fara lo Studio, l Azienda, L Organizzazione in pratica, per adeguarsi alle novità? 6. Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento. 7. Garantire la conformità al Regolamento. 8. Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l evento dannoso non mi è in alcun modo imputabile. Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale*. *vale l annotazione fatta in precedenza Primi Passi 18
ANALISI Obiettivo: Quali dati personali possiede l Azienda Come sono trattati Output: Lista di processi Aziendali che trattano dati personali 19
Registro dei trattamenti in cosa consiste? Consiste nel mappare/fotografare lo stato della gestione in azienda dei dati personali. Informazioni da raccogliere: Categorie di dati e di soggetti interessati coinvolti Finalità del trattamento Inquadramento giuridico Rapporti con terze parti Flussi esteri di dati (eventuali) Gestione informativa e consenso Gestione diritti interessati Tempi di conservazione Misure di sicurezza 20
Primi Passi Prima occorre identificare i principali «uffici» coinvolti nel trattamento dei dati personali (possibilmente partendo da un organigramma della società) Per ogni «ufficio» individuare le principali attività che trattano dati personali Per ogni attività definire: Finalità, categorie di dati e soggetti interessati coinvolti Flussi esteri di dati e rapporti con terze parti 21
Un esempio pratico Categorie di soggetti interessati: dipendenti Categorie di dati: dati anagrafici, dati economici, dati sanitari, ecc. Finalità del trattamento: gestione rapporto di lavoro Inquadramento giuridico: obbligo contrattuale Ruoli data protection azienda: titolare Rapporti con terze parti: agenzia di collocamento (responsabile del trattamento), compagnia di assicurazione (resp. tratt.), ecc. Flussi esteri di dati: Ufficio risorse umane casa madre estera Gestione informativa e consenso: informativa nel contratto Gestione diritti interessati: policy aziendale e email di contatto Tempi di conservazione: come per legge Misure di sicurezza: tecniche, organizzative, certificati 22
Senza DIMENTICARE di Predisporre una corretta informativa per i Dipendenti Disporre di una Policy Aziendale corretta ed esplicativa Attivare una corretta gestione delle passwords Aver fatto una corretta formazione a tutti i «collaboratori» Aver predisposto tutte le nomine di Responsabili Esterni Aver controllato le varie Responsabilità a «cascata» 23
Ulteriori PASSI DA INTRAPRENDERE In funzione della tipologia di dati che vengono trattati ed anche in funzione della tipologia di azienda si potrebbero/dovrebbero tenere in considerazione anche i seguenti punti: 1. Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare 2. Valutare l opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti 3. In caso di violazione, notificarla all autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta) documentando il tutto 4. Designare sistematicamente un Data Protection Officer (DPO) quando necessario 5. Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei database aziendali 24
SANZIONI Amministrative (omessa o non idonea informativa, trattamento illecito dei dati, videosorveglianza) Penali (diffusione dati sensibili, controllo lavoratori) fino al 4% del fatturato mondiale devono essere in concreto effettive, proporzionali e dissuasive 25
G R A Z I E per la Vostra partecipazione www.netorange.it NetOrange S.r.l. Servizi IT Web Marketing Privacyt 14 Marzo 2018