DI COSA PARLEREMO OGGI

Documenti analoghi
Regolamento UE 2016/679by 2018

Policy sulla conservazione dei Dati Personali

regolamento UE 679/16

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

GENERAL DATA PROTECTION REGULATION VADEMECUM PER GLI PSICOLOGI

[ ] il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Informativa Breve al trattamento dei dati personali e consenso. (Art 13 e 14 GDPR 2016/679)

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

2 Convegno A.S.P.Energia Incontri / Presentazione Associati _. approfondimento professionale. presso Sala Convegni Palazzo di Varignana

Nello specifico i dati da lei forniti verranno trattati per le seguenti finalità:

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

INFORMATIVA DETTAGLIATA

IL DIRITTO ALLA PRIVACY

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

Atto di DESIGNAZIONE. Titolare del trattamento DPO (RPD) Responsabile esterno. Atto di NOMINA

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

Regolamento Europeo n. 2016/679 sulla protezione dei dati personali Percorso di adeguamento

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Tribunale di Bologna

Informativa per la clientela di studio

Vito SARACINO Dottore Commercialista Revisore Contabile

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

Informazioni obbligatorie in materia di protezione dei dati personali

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

STUDIO MIGLIETTA ASSOCIAZIONE PROFESSIONALE STUDIO COMMERCIALISTA REVISIONE CONTABILE

INFORMATIVA AI FORNITORI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL REGOLAMENTO U.E. 2016/679

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

GARANZIA DI PROTEZIONE E RISERVATEZZA DEI DATI PERSONALI

Il sole pratictionere e lo studio. Il associato: gli adempimenti nella pratica Bologna, 30 maggio 2018

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

Nuovo regolamento europeo sulla Privacy (N 679/2016/UE) - GDPR - In vigore dal 25 maggio Seminario informativo 06 Luglio 2018

INFORMATIVA NEI CONFRONTI DI PERSONE FISICHE AI SENSI DELL ART

INFORMATIVA AI SENSI E PER GLI EFFETTI DEL REGOLAMENTO (UE) N. 679 DEL 27 APRILE 2016 ( REGOLAMENTO )

Istituto d Istruzione Superiore

Seminario Formativo. Sulle novità e gli adempimenti previsti dal Regolamento Europeo (2016/679) (PRIVACY) Relatore: Avv.

Regolamento UE 2016/679 in materia di protezione dei dati personali

INFORMATIVA AI SOGGETTI RICHIEDENTI IMPIEGO

Informativa sul trattamento dei dati personali SPEZIA CALCIO SRL

DIREZIONE SERVIZI TERRITORIALI INTEGRATI SERVIZIO QUARTIERI E SPORTELLI AL CITTADINO U.R.P. INFORMATIVA DETTAGLIATA

Sezione Trattamento Dati

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI CLIENTI AI SENSI DEL REGOLAMENTO (UE) 2016/679 ( GDPR )

Comune di Assisi Comando Polizia Locale Ufficio Contravvenzioni

INFORMAZIONI DA FORNIRE PER LA RACCOLTA E IL TRATTAMENTO DEI DATI PERSONALI.

Associazione Davide il Drago Informativa ai soci/volontari e donatori

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI. Ai sensi del Reg. (UE) 2016/679 e del codice privacy per come modificato e integrato dal D.Lgs.

Data di pubblicazione o di ultima revisione:

Informativa ai sensi dell art.13 del Regolamento UE del 27 aprile 2016 n. 679

Cos è il GDPR? General Data Protection Regulation

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI (ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679

Indirizzo privato, indirizzo sede di lavoro, indirizzo di fatturazione, telefono e , professione, coordinate bancarie e preferenze di pagamento

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Informativa sul trattamento dei dati ai sensi dell art. 14 Regolamento UE 679/2016

INFORMATIVA E CONSENSO CLIENTI

Istituti di credito/finanziarie al fine dell ottenimento delle linee di finanziamento

POLITICA SULLA PROTEZIONE DEI DATI PERSONALI

INFORMATIVA. In tale ottica preghiamo di prendere visione della seguente informativa.

LA PRIVACY A SCUOLA I CAMBIAMENTI CONSEGUENTI AL NUOVO REGOLAMENTO EUROPEO

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

G.D.P.R. Il Regolamento Europeo sulla protezione dei dati Regolamento Ue 679/2016

AL PARCO NAZIONALE DELLE CINQUE TERRE Via Discovolo snc Riomaggiore

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI ASSOCIATI C.A.S.A.T. REGOLAMENTO UE 2016/679 (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI)

SEDE LEGALE Via Cavalier Ambrogio Colombo n. 25, Cassano Magnago (Va) (21012) TELEFONO info lostudiodigretaesabry.

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI ai sensi e per gli effetti di cui all art , Reg UE 2016/679

INFORMATIVA SEMPLIFICATA

GDPR: la tabella degli adempimenti del titolare

A tutti i Signori Clienti

SCHEDA ISCRIZIONE AL PORSCHE CLUB EMILIA ROMAGNA

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI

GDPR 679/2016 Il Regolamento dell Unione Europea sulla Privacy ALESSANDRIA,

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI

LE NOVITÀ DEL GDPR E GLI IMPATTI PER LE AZIENDE

Giugno Carnelutti Studio Legale Associato

Programma. in collaborazione con

Privacy policy dominio Comune Valtopina

NORME RELATIVE ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI E LA LORO LIBERA CIRCOLAZIONE

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

NUOVE REGOLE PER LE SOCIETÀ IN TEMA DI PRIVACY. Regolamento Europeo 679 del 27 aprile 2016

GDPR-INFW01-REV.01 Pag. 1 di 5

Art.1 L iscrizione ai servizi comporta il pagamento delle rette per l intero anno

principali adempimenti

INFORMATIVA PRIVACY. ai sensi dell art. 13 D.Lgs n. 196 e dell art. 13 Regolamento UE n. 2016/679 Ultimo aggiornamento Agosto 2018

COMUNE DI OSSI PROVINCIA DI SASSARI Via Roma, OSSI (SS) - C.F Tel Sito: PEC

INFORMATIVA FORNITORI

(UE) 2016/ (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI)

Studio Barozzi Commercialisti INFORMATIVA PRIVACY CLIENTI COMMERCIALISTI

2 giorni 25 MAGGIO 2018

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Transcript:

DI COSA PARLEREMO OGGI Cos'è il GDPR Tipologia dei dati Le figure coinvolte La questione del consenso L'informativa privacy Il registro dei trattamenti La valutazione d'impatto Le sanzioni La scaletta dei lavori da fare 6 Consigli per chi ha newsletter

COS'È IL GDPR Il General Data Protection Regulation (Regolamento UE 2016/679) disciplina la tutela delle persone fisiche, con riferimento ai dati personali e alla libera circolazione di tali dati. È diventato operativo il 25 maggio 2018 e si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dell'unione europea. Esempi di dati di persone fisiche: fornitori; dipendenti; collaboratori; soci / tesserati / associati; volontari; donatori.

Il regolamento non si applica: ai dati riferiti alle persone giuridiche; quando il trattamento dei dati viene effettuato da una persona fisica in ambito personale o domestico; quando il trattamento dei dati è effettuato da autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati.

I principi del GDPR Cambia la prospettiva rispetto alla precedente normativa privacy (D.lgs 196/2003): si dettano le regole e l'approccio che bisogna adottare, ma si lascia maggiore discrezionalità ai titolari di decidere se, cosa, come fare; onere di dimostrare le ragioni che hanno portato alle decisioni e le motivazioni per cui si ritiene che le medesime abbiano consentito di raggiungere la conformità normativa; gli adempimenti cambiano in base alla specificità dei dati e delle attività svolte dall'ente (più dati si ha in casa > più trattamenti vengono svolti dall'ente > più aumentano gli adempimenti); non importa come vengono archiviati i dati: in un sistema informatico, tramite videosorveglianza o su carta. I dati personali sono soggetti agli obblighi di protezione stabiliti nel regolamento.

Cosa aggiunge il GDPR alla normativa sulla privacy precedente? diritto all'oblio; diritto alla portabilità dei dati; privacy by default e privacy by design; registro dei trattamenti; valutazione d'impatto; obbligo di notifica e comunicazione Data Breach; misure tecniche adeguate; responsabile della protezione dei dati (DPO); entità delle sanzioni.

TIPOLOGIA DEI DATI Cosa si intende per dato personale? Art. 4.1: Qualsiasi informazione riguardante una persona fisica identificata o identificabile ( interessato ); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Esempio di dati personali: nome e cognome; indirizzo di casa; indirizzo email come: nome.cognome@azienda.com; numero della carta d'identità; un indirizzo IP (internet protocol); un ID cookies; numero di matricola. Esempio di dati non considerati personali: numero di iscrizione al registro delle imprese di una società; indirizzo email come: info@azienda.com; dati resi anonimi.

La gestione dei dati personali L'art.5 stabilisce che i dati personali devono essere: trattati in modo lecito, corretto e trasparente nei confronti dell'interessato; raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; conservati in una forma che consenta l identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; trattati in maniera da garantire un adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

La gestione dei dati particolari (= sensibili) Art. 9: Dati personali che rilevano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, biometrici, relativi alla salute o alla vita sessuale o all'orientamento sessuale, dati relativi a condanne penali e reati o a connesse misure di sicurezza. Nel caso in cui il trattamento riguardi dati sensibili, il regolamento richiede che l interessato presti il suo consenso esplicito. In alcuni casi specifici, i soggetti che trattano dati sensibili sono obbligati alla nomina del Responsabile della Protezione dei Dati (DPO).

LE FIGURE COINVOLTE (chi fa cosa) Le figure previste dal GDPR sono: il Titolare del trattamento (la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali) il Responsabile del trattamento (se presente); (la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento) il Responsabile della protezione dei dati (se obbligatorio).

Il Responsabile della protezione dei dati (DPO) è obbligatorio quando: il Titolare è un soggetto pubblico; se l'attività principale del Titolare consiste in trattamenti che, per loro natura, ambito di applicazione o finalità comportano il monitoraggio regolare e sistematico degli interessati su larga scala ; se l attività principale del Titolare consiste in trattamenti regolari e sistematici di dati particolari o giudiziari. Esempio di enti obbligati alla nomina del DPO: partiti e movimenti politici; sindacati; CAF e patronati; società società operanti nel settore della cura della salute, della prevenzionediagnostica sanitaria (ospedali privati, terme, laboratori analisi, centri di riabilitazione, ecc.); società che erogano servizi televisivi a pagamento; istituti di credito; società che erogano servizi informatici.

LA QUESTIONE DEL CONSENSO Art. 7: Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Minori È lecito se il minore ha almeno 16 anni. Se inferiore, tale consenso deve essere dato dal titolare della responsabilità genitoriale. Dati sanitari Il consenso non è necessario se i dati sono trattati da personale sanitario tenuto al rispetto del segreto professionale.

L'INFORMATIVA PRIVACY L'art. 13 elenca le informazioni da fornire: l'identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante; le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento; qualora il trattamento sia legittimato dal necessario perseguimento del legittimo interesse del Titolare del trattamento o di terzi, i legittimi interessi perseguiti da entrambi; ove applicabile, l'intenzione del Titolare del trattamento di trasferire dati personali a un Paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione UE;

il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l'esistenza del diritto dell'interessato a chiedere l'accesso ai dati, la rettifica, la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; l'esistenza del diritto di revocare il consenso in qualsiasi momento; il diritto di proporre reclamo a un'autorità di controllo; se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto; se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

IL REGISTRO DEI TRATTAMENTI Il registro non deve essere tenuto dagli organismi con meno di 250 dipendenti, a meno che il trattamento da effettuare: presenti un rischio per i diritti e le libertà dell'interessato; non sia occasionale; includa il trattamento di dati particolari (= sensibili) o i dati personali relativi a condanne penali e a reati. Attenzione! Il garante della privacy ha raccomandato a tutti gli enti, anche quelli non obbligati per legge, di tenere un registro dei trattamenti.

Cosa va scritto nel registro dei trattamenti? 1 step > Mappatura dei trattamenti Quali dati trattiamo Per quali finalità Con quali modalità Se trasferiamo i dati a terzi In quali territori avvengono i trattamenti

Cosa va scritto nel registro dei trattamenti? 2 step > Chi tratta i dati e perché I ruoli di chi accede ai dati Le finalità per le quali queste persone accedono ai dati

Cosa va scritto nel registro dei trattamenti? 3 step > Analizzare i rischi I rischi potenziali del trattamento I rimedi adottati Il rischio residuo La valutazione finale del rischio residuo

LA VALUTAZIONE D'IMPATTO Per ciascun trattamento: cosa succederebbe se questi dati venissero diffusi, alterati, rubati, cancellati per errore o a causa di un intervento esterno? Non sono state previste misure minime di sicurezza perché è compito del Titolare e del Responsabile dei trattamenti individuare le misure di sicurezza più idonee tenendo conto: dello stato dell'arte e dei costi di attuazione; della natura dell'oggetto, del contesto e delle finalità del trattamento; del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (distruzione, perdita, modifica, divulgazione non autorizzata o accesso in modo accidentale o illegale a dati personali trasmessi, conservati o comunque trattati).

Esempio di misure idonee: cancellare i dati non utilizzati; prevedere una data o un evento di scadenza dei dati; password personali e di qualità; backup dei dati; protezione e monitoraggio dei sistemi informatici (antivirus, protezione del server, manutenzione parco macchine, ecc.); misure fisiche (stanze chiuse, lucchetti agli armadi, cassetti chiusi, ecc.); formazione degli operatori interni; pseudonomizzazione; cifratura.

La valutazione d'impatto è obbligatoria solo quando il trattamento dei dati possa presentare rischi elevati. Esempi di casi in cui un trattamento potrebbe presentare rischi elevati (art.35): una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; il trattamento, su larga scala, di categorie particolari di dati personali (= sensibili) di cui all art. 9.1, o di dati relativi a condanne penali e a reati di cui all art.10; la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Data Breach Il Data Breach è: una violazione dei dati personali, ossia la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. In caso di violazione dei dati il Titolare del trattamento deve: inviare notifica all'autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza (l'eventuale ritardo va motivato); ripristinare tempestivamente la disponibilità e l'accesso dei dati. Se la violazione dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento deve comunicare la violazione anche all'interessato, senza ingiustificato ritardo.

LE SANZIONI Sanzioni penali: invariate. Sanzioni amministrative: fino a 10 milioni di euro (o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell esercizio precedente, se superiore); fino a 20 milioni di euro (o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore). Nell applicazione delle sanzioni le Autorità Garanti dovranno valutare: tipo e durata della violazione; le misure di sicurezza adottate dal Titolare; la natura dolosa o colposa della condotta.

LA SCALETTA DEI LAVORI DA FARE effettuare un'analisi per individuare la tipologia di dati raccolti, i tipi di trattamenti effettuati e le finalità per le quali i dati sono raccolti; individuare chi tratta i dati e aggiornare le nomine; fare un'analisi dei rischi e dotarsi di procedure interne per limitare al massimo i rischi connessi al trattamento dei dati (personali e particolari); dotarsi di sistemi informatici e tecnologici adeguati a limitare al massimo i rischi connessi al trattamento dei dati; aggiornare tutte le informative sulla privacy (tesseramento, sito, newsletter, donazioni, ecc.); implementare sistemi efficaci per la raccolta del consenso sia per i dati personali che per quelli particolari (se presenti).

6 CONSIGLI PER CHI HA NEWSLETTER controllare se abbiamo il consenso, come l'abbiamo avuto, se è conforme al GDPR e se siamo in grado di dimostrarlo; fare pulizia delle liste almeno una volta l'anno; chiedere solo i dati strettamente necessari; NO caselle già spuntate per iscriversi alla mailing list; NO omaggi contro indirizzo email (l'utente deve avere l'omaggio senza obbligo di fornire i suoi dati); NO richieste consenso generiche per più scopi (1 trattamento = 1 richiesta). Attività di telemarketing: attenzione al registro delle opposizioni.

GRAZIE! Germana Pietrani Sgalla per 342.9278552 tornacontoec info@tornacontoec.it @tornacontoec tornacontoec tornaconto&c. www.tornacontoec.it tornacontoec. Ancona

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back