Giugno 2016 1
Regolamento Generale sulla Protezione dei Dati Personali @MELESTEFANO Responsabile del Dipartimento di Diritto delle Tecnologie, Privacy e Protezione delle Informazioni presso E Dottore di ricerca presso l Università degli Studi di Foggia e collaboratore presso le cattedre di Informatica Giuridica e Informatica Giuridica avanzata della Facoltà di Giurisprudenza dell Università degli Studi di Milano Presidente del «Gruppo di Lavoro sulla Cyber Security» della Camera di Commercio Americana in Italia (AMCHAM) La NATO lo ha inserito nella lista dei suoi Key Opinion Leaders for Cyberspace Security La rivista Forbes lo ha inserito tra i 20 migliori Cyber Policy Experts al mondo da seguire in Rete 2
Regolamento Generale sulla Protezione dei Dati Personali DI COSA PARLEREMO? Il registro delle attività di trattamento I principi di Privacy by Design e Privacy by Default Il Data Protection Officer, ovvero il Responsabile della Protezione dei Dati (da non confondere con il Responsabile del Trattamento dei Dati) Cosa fare in caso di violazione dei dati personali? Accesso facilitato e portabilità dei dati personali Il diritto all oblio Il trasferimento dei dati personali verso l estero 3
Regolamento Generale sulla Protezione dei Dati Personali E' un Regolamento e non una Direttiva (si applica dal 25 maggio 2018) Il Regolamento stabilisce norme (art. 1) per la protezione delle persone fisiche con riguardo al trattamento dei dati personali e relative alla libera circolazione di tali dati (comma 1), ovvero protegge (comma 2) i diritti e le libertà fondamentali delle persone fisiche e in particolare il diritto alla protezione dei dati personali Introduce un meccanismo sanzionatorio che prevede fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente 4
Il registro delle attività di trattamento La necessità di tenere un registro è dovuta, inter alia, al fatto che il Titolare del trattamento è tenuto a dimostrare che questo è effettuato in maniera conforme al Regolamento Il registro tenuto dal Titolare del trattamento deve contenere le seguenti informazioni: a. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b. le finalità del trattamento; c. una descrizione delle categorie di Interessati e delle categorie di dati personali; d. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1. 5
Il registro delle attività di trattamento Il Responsabile del trattamento deve tenere un registro delle categorie di attività svolte per conto di un Titolare contenente: a. il nome e i dati di contatto del Responsabile o dei Responsabili del trattamento, di ogni Titolare del trattamento per conto del quale agisce il Responsabile del trattamento, del rappresentante del Titolare del trattamento o del Responsabile del trattamento e, ove applicabile, del Responsabile della protezione dei dati; b. le categorie dei trattamenti effettuati per conto di ogni Titolare del trattamento; c. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1. Questi registri devono essere tenuti per iscritto, anche in formato elettronico e, se richiesto, devono essere messi a disposizione dell'autorità di controllo 6
Il registro delle attività di trattamento L'obbligo di tenere il registro non si applica alle imprese o alle organizzazioni con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati Tra gli strumenti atti a dare dimostrazione della conformità del trattamento può esserci l'adesione ai codici di condotta previsti dall'art 40 o il ricorso ai meccanismi di certificazione dell'art 42 I codici di condotta possono precisare l'applicazione del Regolamento ad esempio per quanto riguarda: a. il trattamento corretto e trasparente dei dati; b. i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici; c. la raccolta dei dati personali; d. la pseudonimizzazione dei dati personali; e. l'informazione fornita al pubblico e agli interessati; f. l'esercizio dei diritti degli interessati. 7
Privacy by Design e Privacy by Default Sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati Inoltre il titolare del trattamento pone in atto misure per garantire che siano trattati, per impostazione predefinita (by default), solo i dati personali strettamente necessari per ogni specifica finalità del trattamento. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica Si favorisce quindi un risk based approach Una delle conseguenze pratiche dell'introduzione dei due principi menzionati è che le aziende dovranno attuare una valutazione dell'impatto sulla protezione dei dati ogni qualvolta viene avviato un progetto o implementato un sistema 8
Valutazione d impatto sulla protezione dei dati È specificamente richiesta nel caso: a. Di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b. Di un trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o c. Di sorveglianza sistematica su larga scala di una zona accessibile al pubblico. La valutazione deve contenere: a. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità ; c. una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 9
Data Protection Officer (DPO) È obbligatorio nei casi di: a. amministrazioni ed enti pubblici, ad eccezione delle autorità giudiziarie; b. soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; c. soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Un titolare del trattamento o un responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati anche in casi diversi da quelli sopra indicati Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati 10
Data Protection Officer (DPO) Requisiti: a. Adeguata conoscenza della normativa e delle prassi di gestione dei dati personali b. Adempimento alle funzioni in piena indipendenza ed in assenza di conflitti di interesse c. Operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio Compiti: a. informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati; b. verificare l'attuazione e l'applicazione del Regolamento, delle altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi; c. fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; d. fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all'esercizio dei loro diritti; e. fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa. 11
Violazione dei dati personali Per violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati Ilresponsabile deve avvisare il titolare dell'eventuale violazione senza ritardo Il titolare deve notificare la violazione all'autorità di controllo competente senza ritardi e, dove possibile entro 72 ore, a meno che sia improbabile che questa presenti un rischio per i diritti e le libertà delle persone fisiche Il titolare del trattamento deve documentare le misure poste in atto per rimediare alla violazione 12
Violazione dei dati personali La notificazione all'autorità di controllo deve contenere almeno: a. una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b. il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c. una descrizione delle probabili conseguenze della violazione dei dati personali; d. una descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 13
Violazione dei dati personali Un'ulteriore adempimento che può dover essere posto in essere dal titolare del trattamento è la comunicazione della violazione dei dati all'interessato, anche in questo caso ciò deve avvenire senza ingiustificato ritardo La comunicazione deve essere effettuata nel caso in cui dalla violazione possa derivare un elevato rischio per i diritti e le libertà fondamentali degli individui La comunicazione non è richiesta nel caso in cui: a. il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b. il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; c. detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 14
Diritto all oblio L'interessato ha il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. La cancellazione deve avvenire senza ingiustificato ritardo se: a. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b. l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c. l'interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2; d. i dati personali sono stati trattati illecitamente; e. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'unione o dello Stato membro cui e soggetto il titolare del trattamento; f. i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione. 15
Diritto all oblio Se il titolare del trattamento ha reso pubblici i dati che l'interessato chiede di eliminare deve adottare misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali oggetto della richiesta di cancellare qualsiasi link, copia o riproduzione dei dati in questione Quanto detto sopra non si applica nei casi in cui il trattamento è necessario per: a. l'esercizio del diritto alla libertà di espressione e di informazione; b. l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'unione o dello Stato membro cui e soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui e investito il titolare del trattamento; c. motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3; d. fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e. l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. 16
Diritto alla portabilità dei dati L'interessato ha diritto ad ottenere copia dei dati che lo riguardano forniti ad un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti Il trasferimento può avvenire a condizione che: a. il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a) (l'interessato ha espresso il consenso al trattamento per una o più specifiche finalità), o dell'articolo 9, paragrafo 2, lettera a) (l'interessato ha espresso il consenso al trattamento dei dati sensibili e questo sia irrevocabile), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b) (il contratto è necessario all'esecuzione di un contratto di cui l'interessato è parte); b. il trattamento sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui e investito il titolare del trattamento e non deve ledere i diritti e le libertà altrui 17
Domande..? 18