COME RACCOGLIERE E CONSERVARE I DATI RACCOLTI: PROFILI GIURIDICI E RISCHI

CONNESSI

GLI ATTUALI OBBLIGHI PRIVACY: IL CONSENSO AL TRATTAMENTO DEI DATI SENSIBILI, LA RACCOLTA E LA CONSERVAZIONE DEGLI STESSI, GLI EVENTUALI OBBLIGHI DI COMUNICAZIONE AL GARANTE DELLA PRIVACY, LE POSSIBILI SANZIONI

IL NUOVO REGOLAMENTO DELL’UNIONE EUROPEA PER LA PROTEZIONE DEI DATI PERSONALI: BREVI CENNI E PROSPETTIVE FUTURE

MA COSA SI INTENDE PER DATI?

DATI PERSONALI:

•  Email •  Codice fiscale •  Partita iva •  Numero di telefono •  Indirizzo

DATI IDENTIFICATIVI:

•  Nome e cognome

DATI SENSIBILI:

•  Il contenuto di un certificato medico •  Marco Ziero è di etnia Tutsi •  Alberto Rossi appartiene ai testimoni di Geova •  La tessera di appartenenza ad un partito o ad un

sindacato

QUALI SONO LE FIGURE COINVOLTE NEL TRATTAMENTO DATI?

•  IL TITOLARE DEL TRATTAMENTO

•  IL RESPONSABILE DEL TRATTAMENTO

•  L’ INCARICATO DEL TRATTAMENTO

QUALI INFORMAZIONI E’ NECESSARIO FORNIRE

ALL’INTERESSATO? •  LE FINALITÀ E LE MODALITÀ DEL TRATTAMENTO

•  LE CONSEGUENZE DI UN EVENTUALE RIFIUTO A RISPONDERE

•  I SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O POSSONO COMUNQUE VENIRNE A CONOSCENZA

•  GLI ESTREMI IDENTIFICATIVI DEL TITOLARE DEL TRATTAMENTO E, SE PRESENTE, DEL RESPONSABILE

•  I DIRITTI DELL’INTERESSATO IN ORDINE AI SUOI DATI RACCOLTI

DATA L’INFORMATIVA, DEV’ESSERE RACCOLTO IL CONSENSO

•  DOCUMENTATO

•  SPECIFICO

PREVENTIVA NOTIFICA AL GARANTE DEL TRATTAMENTO DATI

DATI SENSIBILI - SEMPRE

DATI PERSONALI – IN SPECIFICI CASI (ES. PROFILAZIONE)

IL NUOVO REGOLAMENTO

REGOLAMENTO (UE) 2016/679 del 27 aprile 2016

APPLICABILE DAL 25 MAGGIO 2018

QUALI SONO LE PRINCIPALI NOVITA’ ?

•  MANSIONI, CARATTERISTICHE E NATURA DELLE FIGURE INTERESSATE, NONCHE’ NUOVE FIGURE

•  PRINCIPIO DI ACCOUNTABILITY

•  VALUTAZIONE D’IMPATTO

•  DATA BREACH

•  CONSULTAZIONE PREVENTIVA

•  CERTIFICAZIONE

•  SANZIONI

TITOLARE DEL TRATTAMENTO •  DEVE PORRE IN ESSERE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE IN

GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO È EFFETTUATO IN CONFORMITÀ AL REGOLAMENTO.

RESPONSABILE DEL TRATTAMENTO

•  CONNOTAZIONE PROFESSIONALE •  DEVE ESSERE OBBLIGATORIAMENTE NOMINATO •  NON SI POTRÀ PIÙ VEROSIMILMENTE NOMINARE QUALE RESPONSABILE IL SOGGETTO AVENTE LA

RAPPRESENTANZA GIURIDICA DELL’ENTE, A MENO CHE QUELLO STESSO SOGGETTO NON SIA GRADO DI DIMOSTRARE LA COMPROVATA CONOSCENZA DELLA MATERIA

DATA PROTECTION OFFICER richiesta una conoscenza specialistica della normativa e delle prassi in materia di protezione dati

SARA’ NECESSARIO SE :

•  il titolare è una pubblica amministrazione

•  l’attività principale del titolare o del responsabile consistono in trattamenti di dati che per loro natura o per finalità richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala

•  le attività principali del titolare o del responsabile consistano nel trattamento, in larga scala, di dati sensibili

COMPITI IN CAPO AL DATA PROTECTION OFFICER

•  occuparsi della formazione interna all’azienda

•  sorvegliare l'osservanza delle procedure adottate dal titolare

•  fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento

•  fungere da punto di contatto tra l’azienda e l'autorità di controllo

PRINCIPIO DI ACCOUNTABILITY •  ADOZIONE DI MISURE ADEGUATE PER GARANTIRE CHE IL TRATTAMENTO DEI DATI VENGA EFFETTUATO IN CONFORMITÀ

ALLA DISCIPLINA SULLA PRIVACY

•  CAPACITÀ DI DIMOSTRARLO

ELABORAZIONE, QUINDI, DI SPECIFICI MODELLI ORGANIZZATIVI (ES. D.LGS. 231/2001 O SICUREZZA)

Protocolli finalizzati a :

•  MINIMIZZARE IL TRATTAMENTO DEI DATI •  CONSENTIRE PER QUANTO POSSIBILE L’ANONIMATO DEI DATI •  DETERMINARE A PRIORI LA DURATA DEL TRATTAMENTO ED IL PERIODO DI CONSERVAZIONE DEI DATI •  IDENTIFICARE PRECISAMENTE CHI AVRÀ ACCESSO AI DATI

A tal fine dovranno presentare misure atte a garantire :

•  PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI •  CAPACITÀ DI ASSICURARE LA RISERVATEZZA, L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI •  PROCEDURA DI VERIFICA E DI VALUTAZIONE SULL’EFFICACIA DI DETTE MISURE •  PREVEDERE L’ADESIONE AD UN CODICE DI CONDOTTA O UN MECCANISMO DI CERTIFICAZIONE

TENUTA DEI REGISTRI

2 REGISTRI: titolare + responsabile

SOGGETTI OBBLIGATI: -  IMPRESE CON PIÙ DI 250 DIPENDENTI -  TRATTAMENTO NON OCCASIONALE - TRATTAMENTO CHE COMPORTA RISCHI PER I DIRITTI E LE LIBERTÀ DELL’INTERESSATO

CONTENUTO DEL REGISTRO:

•  descrizione delle categorie di interessati delle categorie di dati personali

•  le finalità del trattamento

•  le categorie di destinatari a cui i dati sono stati o saranno comunicati

•  i termini per la cancellazione dei dati

•  descrizione generale delle misure di sicurezza tecnico-organizzative

•  dati del titolare e del responsabile

•  “categoria dei trattamenti effettuati” (solo per il registro del responsabile)

VALUTAZIONE D’IMPATTO RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE

In particolare se :

•  SI TRATTA DI UN TRATTAMENTO AUTOMATIZZATO, COMPRESA LA PROFILAZIONE •  IL TRATTAMENTO, SU LARGA SCALA, RIGUARDA I DATI PERSONALI SENSIBILI O DATI

RELATIVI A CONDANNE PENALI E A REATI •  QUANDO SI TRATTI DI SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA

ACCESSIBILE AL PUBBLICO

E’ l’analisi preventiva, effettuata dal responsabile e dal titolare, volta a verificare se le misure organizzative poste in essere sono idonee ad evitare la lesione dei diritti e delle libertà individuali

SE LA RISPOSTA E’ :

SI = posso procedere al trattamento

NO = consultazione preventiva

DATA BREACH

IN CASO DI VIOLAZIONE DEI DATI PERSONALI IL TITOLARE DEL TRATTAMENTO DEVE :

•  NOTIFICARE LA VIOLAZIONE ALL'AUTORITÀ DI CONTROLLO COMPETENTE ENTRO 72 ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA

•  COMUNICARE ALL’INTERESSATO LA VIOLAZIONE DEI SUOI DATI PERSONALI

SANZIONI

VIOLAZIONE OBBLIGHI DEL TITOLARE E DEL RESPONSABILE (ES. TENUTA DEI REGISTRI)

SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 10.000.000 EURO, O PER LE IMPRESE, SINO AL 2% DEL FATTURATO MONDIALE TOTALE DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.

VIOLAZIONE DISPOSIZIONI SU CONSENSO E DIRITTI DEGLI INTERESSATI (DATI SENSIBILI TRATTATI SENZA IL CONSENSO) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 20.000.000 EURO, O PER LE IMPRESE, FINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.

Esempi

Nell’attuale disciplina l’importo massivo previsto per una sanzione pecuniaria è di 150.000 Euro, in merito alla sicurezza, alla conservazione e alla distruzione dei dati nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 162 ter, Codice Privacy)

STUDIO LEGALE FGR

Avv. Carlo Fiorente Via Montello, n. 83, Int. 9

31100 – Treviso

Via Olivi, n. 37

30174 Mestre (VE)

TEL 0422 - 1783688

FAX 0422 – 1780627

fiorente@studiolegalefgr.com