GDPR: il nuovo regolamento Privacy

MILANO, 15 marzo 2018

Prof. Avv. Barbara Indovina

Regolamento n. 679/2016

Il nuovo Regolamento è stato pubblicato sullaGUUE L 119 del 4 maggio 2016.

E’ in vigore ma non applicabile.

24 maggio 2018: diventa applicabile e decadono precedentinormative (direttiva 1995/46)

DIRETTAMENTE APPLICABILEOBBLIGATORIO PER TUTTI GLI STATII MEMBRI

Principi relativi al trattamento dei dati

Cosa resta invariato (o cambia marginalmente)

Definizioni di dato personale e trattamento

Obbligo di informativaTitolare

Protezione di solo persone fisiche

Obbligo di consenso

Cosa cambia?

Registri del trattamento

Data Privacy Impact assessment

Data Privacy Officer

Sanzioni

Accountability del titolare

Responsabilità solidale titolare e responsabile

1

2

3

4

5

6

D.Lgs 196/2003I soggetti: Regolamento Privacy (679/2016)

titolareData Controller

Stabilimento principale (new)Se diversi sedi in Europa è il luogo ove vengono assunte le decisioni sul trattamento dati

ResponsabileData Processor: esterno- ha responsabilità proprie art. 28

Rappresentante (new)Persona stabilita nell’unione che rappresenta la società per gli obblighi del GDPR

Gruppo Imprenditoriale (new)Un controllante e altre controllate

Incaricatoterzo

Informativa Accesso Rettifica Oblio Portabilità

Diritti dell’interessato (artt. 12- 23)

Violazioni diritti interessati: sanzione fino a 20 milioni di Euro o per le imprese fino al 4% del fatturato mondiale

annuo dell’esercizio precedente, se superiore

Privacy by design e by default (art. 25)

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento… art. 35-infra

Protezione dei dati fin dalla sua

progettazione

La protezione del dato deve diventare

impostazione predefinita

sanzione fino a 10 milioni di Euro o per le imprese fino al 2%

del fatturato mondiale annuo dell’esercizio precedente, se

superiore

Tenuto conto della natura, dell'ambito di applicazione, del contesto

e delle finalità del trattamento, nonché dei rischi aventi probabilità

e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare

del trattamento mette in atto misure tecniche e organizzative

adeguate per garantire, ed essere in grado di dimostrare, che il

trattamento è effettuato conformemente al presente regolamento.

Dette misure sono riesaminate e aggiornate qualora necessario.

La responsabilità del titolare (ART. 24)

ACCOUNTABILITY: il titolare è competente

per il rispetto dei principi ed è in grado di dimostrarlo!

Data Protection officer

REQUISITI

Professionista che possieda una

adeguata conoscenza della

normativa e delle prassi di

gestione dei dati personali, che sia

in grado di adempiere alle proprie

funzioni in assenza di conflitto di

interesse (dipendente o contratto

di servizi)

CHI DEVE NOMINARLO:

• Tutte le PA e Enti pubblici

• Se le attività principali del titolare o del responsabile

consistono in trattamenti che richiedono il

monitoraggio regolare e sistematico di interessati

su larga scala (attività principali = operazioni

essenziali che sono necessarie al raggiungimento

degli obiettivi perseguiti dal titolare o dal

responsabile del trattamento)

• Se le attività principali del titolare o del responsabile

consistono nel trattamento su larga scala di

categorie particolari di dati o di dati personali relativi

a condanne penali e reati.

Larga scala

Considerando 91

che mirano al trattamento di una

notevole quantità di dati personali

a livello regionale, nazionale o

sovranazionale e che potrebbero

incidere su un vasto numero di

interessati e che potenzialmente

presentano un rischio elevato

INDICATORI (WP 231)

Il numero di soggetti interessati dal

trattamento, in termini assoluti

ovvero espressi in percentuale

della popolazione di riferimento;

Il volume dei dati e/o le diverse

tipologie di dati oggetto di

trattamento;

La durata, ovvero la persistenza,

dell’attività di trattamento;

La portata geografica dell’attività

di trattamento.

Alcuni esempi

trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;

trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);

trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;

trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;

trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;

trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici telematici.

Qualità professionali del DPO (art. 37 comma 5)

Competenzeinformatiche

Conoscenza della normativa

Conoscenza dei processi aziendali

Il responsabile della protezione dei

dati è designato in funzione delle

qualità professionali, in particolare

della conoscenza specialistica della

normativa e delle prassi in materia di

protezione dei dati, e della capacità

di assolvere i compiti di cui all'articolo

39.

Compiti del DPO (art. 39) a) informare e fornire consulenza al titolare del trattamento o al responsabile del

trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. ,

Problemi…?

• Adempimento formale (ex notifica del trattamento al Garante

Privacy Italiano)

• Elemento della DPIA

• Se >250 dipendenti

• Forma scritta (anche elettronica)

• Simile al vecchio DPS?

REGISTRO DEL TITOLARE:

NOME E DATI DI CONTATTO( titolare, responsabile,

rappresentante, contitolare), finalità trattamento, tipologia

dati trattati, modo esercizio diritti, descrizione misure tecniche

e organizzative

REGISTRO DEL RESPONSABILE:

NOME E DATI DI CONTATTO(responsabile, titolare per cui

agisce), categorie trattamenti effettuati per il titolare,

descrizione misure tecniche e organizzative

Registri delle attività del trattamento (titolare e responsabile)

D.Lgs. 196/2003:

Misure di sicurezza

minime

Misure di sicurezza

adeguate (IDONEE)

Regolamento 679/2016:

Misure tecniche e

organizzative adeguate

TECNICHE E

ORGANIZZATIVE

Al centro del Regolamento: la sicurezza del dato

Tenendo conto dello stato dell'arte e dei costi di

attuazione, nonché della natura, dell'oggetto,

del contesto e delle finalità del trattamento,

come anche del rischio di varia probabilità e

gravità per i diritti e le libertà delle persone

fisiche, il titolare del trattamento e il responsabile

del trattamento mettono in atto misure tecniche

e organizzative adeguate per garantire un livello

di sicurezza adeguato al rischio

ART. 32

SICUREZZA DEL TRATTAMENTO

La sicurezza è un processo non un prodotto

hardware software humanware

Sicurezza del dato?

IoT

Cloud

Network

Mobile

web

Misure di sicurezza che comprendono (se del caso)

01 la pseudonimizzazione e la cifratura dei dati

personali;

02la capacità di assicurare :

a) la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi

e dei servizi di trattamento;

b) ripristinare tempestivamente la disponibilità e l'accesso dei dati

personali in caso di incidente fisico o tecnico

03procedura per testare, verificare e valutare regolarmente

l'efficacia delle misure tecniche e organizzative al fine di

garantire la sicurezza del trattamento

Chiunque subisca un danno materiale o immateriale causato da una

violazione del presente regolamento ha il diritto di ottenere il risarcimento del

danno dal titolare del trattamento o dal responsabile del trattamento.

Un titolare del trattamento coinvolto nel trattamento risponde per il danno

cagionato dal suo trattamento che violi il presente regolamento.

Un responsabile del trattamento risponde per il danno causato dal trattamento

solo se non ha adempiuto gli obblighi del presente regolamento

specificatamente diretti ai responsabili del trattamento o ha agito in modo

difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

La responsabilità del titolare e responsabile

(art. 82) (diritto al risarcimento del danno)

Diritto al risarcimento e responsabilità

QUINDI?

TITOLARE E RESPONSABILE

Tenuto conto di:

▪ Natura

▪ Rischi

▪ Costi

▪ Finalità

Mettono in atto

procedure di sicurezza

adeguate per garantire

un livello di sicurezza

adeguato al rischio

Non appena viene a conoscenza di una avvenuta

violazione dei dati personali trattati, il titolare

deve notificare al Garante :

Senza giustificato ritardo e, se

possibile, entro le 72 ore

Notificata anche

all’interessato in caso di

elevato rischio dei diritti e

delle libertà

Sanzione: fino a 10 mil o 4%

Data Breach

Data Protection Impact Assessment

Sostituisce notifica al garante e si

inserisce nelle misure dell’art. 35

Valutazione di impatto soprattutto

delle nuove tecnologie nella

gestione del trattamento dei dati

Richiesta in particolare su

trattamenti su larga scala o che

presentano un rischio elevato

Cosa fare?

Consulenza: capire la normativa

Assessment: analisi dei rischi e dell’impatto del GDPR sull’azienda

GAP Analysis AS IS- TO BE

Configurare i processi operativi

Garantire la sicurezza

Formazione dipendenti e implementazione policies e procedure

barbara.indovina@forensica.guru

Grazie per l’attenzione!

@barbaraindovina