Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali In collaborazione con 2 dicembre 2016 Hotel NH Padova Via Tommaseo, 61-35131 Padova PD 1
Aspetti introduttivi 2
Aspetti introduttivi Come noto, lo scorso 24 maggio 2016, il Regolamento Europeo per la protezione dei dati personali (Regolamento UE 2016/679) è entrato formalmente in vigore e diverrà pienamente applicabile a decorrere dal 25 maggio 2018, secondo quanto previsto dall art. 99 delle disposizioni finali del medesimo. Il Regolamento approvato va ad abrogare integralmente la Direttiva 95/46/CE, rimasta in vigore per oltre venti anni, e dunque anche tutte le leggi nazionali di recepimento, tra cui il d.lgs. 196/2003 (Codice Privacy). 3
Aspetti introduttivi Nonostante le organizzazioni abbiano a disposizione circa due anni prima della piena applicabilità del Regolamento, è opportuno sottolineare che alcune delle novità introdotte, impongono una attenta e preventiva pianificazione, potendo comportare modifiche organizzative significative e, in alcuni casi, investimenti di natura tecnologica. Tali interventi presuppongono quindi attività di valutazione ed analisi per le quali è più che opportuno sfruttare il tempo a disposizione per non farsi trovare impreparati. 4
Le novità del GDPR 5
Responsabilità del titolare ACCOUNTABILITY Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Responsabile della protezione dei dati DPO Registro dei trattamenti Eccezione per imprese con meno di 250 dipendenti Figura indipendente nominata dal titolare e dal responsabile del trattamento. Svolge le seguenti funzioni: informare e consigliare il Titolare o il Responsabile in merito agli obblighi del Regolamento, verificarne l applicazione e l attuazione, fornire pareri, fungere da punto di contattato sia con gli interessati che con il Garante. Contenente i dati del/dei titolare/i e degli eventuali responsabili, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi ed una descrizione generale delle misure di sicurezza. Tali documenti devono essere messi a disposizione del Garante e manutenuti sia dal titolare che dagli eventuali responsabili. I registri di cui sono tenuti in forma scritta. Protezione sin dalla progettazione PRIVACY BY DESIGN Le misure a protezione di dati devono essere adottate già al momento della progettazione di un prodotto o software. Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire in ogni caso che siano trattati solo i dati necessari per ogni specifica finalità. 6
Responsabilità solidale di titolare e responsabile Il Titolare e il Responsabile del trattamento sono responsabili in solido nei confronti dell interessato, per un eventuale danno causato dal trattamento. Responsabilità dei contitolari Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità. Sicurezza viene meno il concetto di misure minime di sicurezza, attualmente previsto dalla nostra legislazione. Infatti, nel Regolamento si fa riferimento esclusivamente a qualunque tipo di misura che possa garantire un adeguato livello di sicurezza, tenendo conto dei costi di attuazione, della natura, del campo di applicazione, del contesto, delle finalità del trattamento, oltre che dei rischi esistenti nel caso concreto. Violazione di dati DATA BREACH Nel caso si verifichino violazioni di dati personali, il Titolare ne deve dare comunicazione all Autorità di Controllo e, nei casi più gravi, anche agli interessati (attualmente ciò avviene solo per violazione di dati biometrici). 7
Eliminazione dell obbligo di notifica Viene eliminato l obbligo generale di notificare all autorità di controllo per il trattamento di dati personali, da sostituire con meccanismi e procedure efficaci che si concentrino piuttosto su quei trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche Valutazione d impatto PRIVACY IMPACT ASSESSMENT Sostituisce la notificazione. È la valutazione preliminare degli impatti a cui andrebbe incontro un processo qualora dovessero essere violate le misure di protezione dei dati. Necessita di alcune attività come la mappatura dei dati e dei trattamenti, la pianificazione degli interventi tecnologici e organizzativi di protezione dei dati con una valutazione complessiva di riduzione dello stato di rischio Certificazioni Richiesta volta ad ottenere il riconoscimento della conformità al Regolamento delle operazioni di trattamento dei dati. Diritto all oblio Limitazione del trattamento Diritto di ottenere la cancellazione dei dati che lo riguardano purché non sussistano motivi legittimi per conservarli. L interessato può richiedere la limitazione del trattamento qualora contesti l esattezza dei dati nel periodo necessario al Titolare per verificare la correttezza, trattamento illecito, qualora i dati non siano più necessari al Titolare, ma l interessato debba utilizzarli in sede giudiziaria, l interessato si è opposto al trattamento in attesa di verifica. 8
L impatto del GDPR sulle organizzazioni 9
L accountability come elemento fondamentale Con il Regolamento UE 2016/679 definito il Legislatore europeo ha rovesciato la prospettiva della disciplina di riferimento concependo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del titolare del trattamento ( accountability ). Il testo del RGPD si sviluppa essenzialmente su processi, attività, misure tecniche e organizzative, sanzioni e obblighi rivolti a titolare (e responsabile) del trattamento, mentre la Direttiva 95/46 era prevalentemente incentrata sui diritti dell interessato. 10
Il concetto di accountability I DATI PERSONALI DEVONO ESSERE: trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»); adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; («limitazione della conservazione»); trattati in maniera da garantire un'adeguata sicurezza dei dati personali, («integrità e riservatezza»). Il titolare del trattamento è competente per il rispetto dei suddetti principi e in grado di comprovarlo («responsabilizzazione»). 11
Il concetto di accountability Art. 24 GDPR Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento Dette misure sono riesaminate e aggiornate qualora necessario. 12
IL SISEMA DI GESTIONE DELLA DATA PROTECTION Cosa significa per i Titolari del trattamento? Considerare la data protection sin dal momento della progettazione Mantenere aggiornate nel tempo le regole e quanto prodotto nel loro rispetto Verificare l effettiva applicazione delle misure adottate DPO Audit Interni Audit Esterni Certificazioni Attribuire ruoli e responsabilità in materia di data protection Prevedere un insieme di regolamenti e procedure per la gestione della data protection ACCOUNTABILITY Formalizzare la documentazione di adempimento ai singoli obblighi normativi 13
Cosa significa per i Titolari del trattamento? Il GDPR lascia maggiore discrezionalità ai titolari di decidere, quali soggetti che determinano le finalità e i mezzi del trattamento di dati personali, le modalità attraverso le quali conformarsi alle sue disposizioni, ma tale maggiore libertà è gravata dall onere di essere in grado di dimostrare le ragioni che hanno portato a tali decisioni e le motivazioni per cui si ritiene che le medesime abbiano consentito di raggiungere la conformità normativa. Sarà, per esempio, necessario per i titolari essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un data breach e di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla data protection by design. 14
CONCLUSIONI Questo cambiamento di prospettiva potrebbe ripercuotersi anche sugli strumenti che i titolari utilizzeranno per rispettare il principio in esame e garantirsi la possibilità di comprovare la conformità al GDPR E possibile presagire che l attuale processo di digitalizzazione delle imprese possa abbracciare anche aspetti legati alla gestione degli adempimenti connessi alla protezione dei dati, sia nell ottica dell informatizzazione dei processi sottostanti che di documentabilità delle scelte effettuate e dei controlli effettuati. 15
Grazie per l attenzione andrea.reghelin@p4i.it +39.3288452911 16