Corso Privacy per intermediari Entratel · persone fisiche con riguardo al trattamento dei dati...

Corso Privacy per intermediari Entratel

Il nuovo Regolamento Europeo n. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali in

comparazione con l’attuale Codice per la protezione dei dati personali D.Lgs. 196/2003

Adempimenti per intermediari Entratel

2

Utilizzo Entratel

Gruppo di studio sicurezza e privacy 3

Caratteristiche del sistema

• L’utente è tenuto a modificare la propria password con una nuova, diversa dalla precedente, e soggetta a scadenza periodica (max 90 giorni).

• Assetto:

Titolare (T) di abilitazione al canale Entratel (persone fisiche, enti pubblici o privati)

Gestori incaricati (G): persone fisiche che hanno il compito di creare e manutenere la lista degli “operatori incaricati”, comunicandoli al sistema; sono individuati dal rappresentante legale persona fisica dell’ente titolare; possone essere fino a 4 per ciascuna “sede telematica”

Operatori incaricati (O): persone fisiche che hanno il compito di utilizzare i servizi telematici in nome e per conto del titolare che li ha autorizzati per effettuare in concreto le transazioni telematiche


Vigilanza nei confronti degliintermediari Entratel• Dal 25 giugno 2009, in seguito alle prescrizioni fornite dal Garante per la

protezione dei dati personali con Provvedimento del 18 settembre 2008 è stato riformato il canale Entratel al fine di adeguarlo a migliori standard di sicurezza.

• Nel 2011 è stato emanato il comunicato dell’Agenzia delle Entrate che annuncia, a partire dal 2° semestre del 2011, i controlli sugli obblighi di riservatezza cui sono tenuti coloro che sono incaricati della trasmissione delle dichiarazioni dei redditi.

• I controlli consistono nella verifica della conformità dell’operato degli intermediari al dettato normativo


Finalità e modalità dei controlli

• Le operazioni di verifica saranno volte a controllare che gli intermediari abbiano adottato le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza ai fini dello svolgimento della propria attività.

• In particolare sarà valutato il rispetto degli obblighi di riservatezza cui sono tenuti gli incaricati della trasmissione delle dichiarazioni.

• I controlli saranno effettuati nel corso degli ordinari interventi di vigilanza, svolti dalle strutture di audit regionali presso CAF e altri intermediari abilitati al canale Entratel.


Oggetto dei controlli

• 1. Struttura organizzativa dell'intermediario

• 2. Misure di sicurezza relative ai supporti tecnologici utilizzati

• 3. Ulteriori misure di sicurezza

• In sintesi:• la designazione degli attori del

trattamento dei dati e le istruzioni operative;

• l’esistenza di documentazione sulla protezione dei dati (ex DPS);

• l’esistenza di una corretta gestione delle password;

• la configurazione delle singole postazioni di lavoro (screensaver)

• i software di protezione contro i rischi di accesso esterno ai dati e la loro manomissione;

• le modalità di conservazione delle e di archiviazione dei dati sensibili.


Struttura organizzativa

Sono riscontrati i seguenti aspetti:

• l'eventuale designazione, da parte del titolare del trattamento dei dati (CAF o altro intermediario abilitato al Servizio Entratel), dei responsabili (anche esterni) del trattamento dei dati e la redazione di istruzioni operative riservate agli stessi responsabili (art. 29 del D.lgs. 30 giugno 2003, n. 196; art. Il, comma 3, del decreto 31 luglio 1998; art. 5, comma 4 del provvedimento 10 giugno 2009);

• la designazione degli incaricati per il trattamento dei dati e l'attribuzione dell' ambito di trattamento consentito (art. 30 del D.lgs. n. 196 del 2003; art. 11, comma 4 del decreto 31 luglio 1998; art. 5, comma 4 del provvedimento 10 giugno 2009);

• la sensibilizzazione dei soggetti che trattano i dati personali dei contribuenti circa le responsabilità connesse alla condivisione o comunicazione a persone non legittimate dei predetti dati acquisiti nello svolgimento delle proprie funzioni;

• l'adozione di una procedura di controllo del rispetto delle misure di sicurezza e dell'adempimento degli obblighi previsti dal D.lgs n. 196 del 2003;


Struttura organizzativa (2)

• la designazione, come responsabili del trattamento, delle società esterne diverse dalle società di servizi di cui l'intermediario si avvalga per operazioni meramente strumentali all'esercizio dell'assistenza fiscale (ad es. quelle di natura tecnica quali il ripristino di un server o la sostituzione di un supporto hardware), qualora lo svolgimento di tali operazioni implichi il possibile trattamento di dati nonché l'adozione di procedure volte a garantire la riservatezza dei dati e/o di clausole contrattuali che prevedano la salvaguardia della riservatezza delle informazioni


Struttura organizzativa (3)

• l'adozione di una corretta politica di gestione delle password, che preveda l'attribuzione a uno o più soggetti specifici dell'incarico di amministrare le utenze per l'accesso ai sistemi informatici, l'utilizzo di credenziali di accesso nominative e note solo all'utente responsabile della loro conservazione, l'indicazione da parte dell'intermediario ai propri collaboratori dei criteri che le password utilizzate devono rispettare, secondo quanto previsto dall' Allegato B, regola 5, del D.lgs. n. 196 del 2003, del corretto uso delle stesse nonché delle responsabilità derivanti dalla loro eventuale condivisione, l'adozione di misure volte a mantenere riservate le informazioni che consentono l'accesso ai servizi telematici (allegato B del D.lgs n. 196 del 2003, art. 5, comma 6 del provvedimento 10 giugno 2009);

• la previsione, nel ciclo di vita delle credenziali, di procedure per garantire la costante aderenza tra i privilegi di accesso ai dati e il ruolo organizzativo del personale che vi accede (art. 34 del D.lgs n. 196 del 2003);


Misure di sicurezza informatiche

• È verificata l'adozione di misure di protezione delle postazioni di lavoro, dei server e dell'infrastruttura di rete, conformi alle disposizioni contenute nell' Allegato B del D.lgs n. 196 del 2003. In particolare:• configurazione delle stazioni di lavoro che preveda il blocco automatico delle stesse

dopo un certo tempo di inattività dell' operatore (screen-saver con richiesta password);

• installazione di programmi di protezione per le stazioni di lavoro e server al fine di mitigare i rischi di accesso ai dati o la loro manomissione (sw antivirus e firewall antintrusione);

• aggiornamento periodico del sistema operativo e del software di protezione;• in caso di utilizzo di reti senza fili (wireless), adozione di protocolli di sicurezza idonei

a limitare il rischio che le trasmissioni dati siano intercettabili da parte di soggetti esterni non autorizzati.


Misure di sicurezza non informatiche

• È verificata l'adozione delle seguenti misure di sicurezza:• conservazione delle dichiarazioni e della relativa documentazione separatamente dai

documenti acquisiti dall'intermediario per altre attività dallo stesso svolte;• conservazione separata dei documenti contenenti dati sensibili dal resto della

documentazione archiviata;• presenza di spazi idonei ed accessibili esclusivamente a personale autorizzato per la

conservazione dei documenti relativi all' attività di trasmissione delle dichiarazioni fiscali e dei supporti contenenti il backup dei dati;

• esistenza, nei casi in cui l'attività di assistenza/trasmissione non si risolva in un' opera pressoché personale del soggetto abilitato, ma si dispieghi, piuttosto, in base ad un' articolata struttura organizzativa, di procedure per l'accesso e la gestione degli archivi;

• conservazione della documentazione fiscale secondo le modalità e per il periodo previsti dalle vigenti disposizioni


Esito dei controlli

• Secondo quanto previsto dall' art. 8 del DM 31 luglio 1998, il mancato rispetto dei predetti obblighi di riservatezza costituisce causa di revoca dell' abilitazione al canale Entratel.

• Le irregolarità emerse dai controIli saranno segnalate, quindi, dagli uffici di audit alle strutture delle Direzioni regionali competenti ad avviare le iniziative di revoca, di cui al comma 3 del citato art. 8.


Estensione dell’obbligo di riservatezza

• Le regole sulla riservatezza devono essere osservate non soltanto nello svolgimento delle attività in cui si articola il processo di trasmissione telematica, ma anche nell’esecuzione delle altre attività, sia propedeutiche a tale trasmissione (ricezione della documentazione, verifiche di conformità, liquidazione delle imposte, ecc.), sia conseguenti come le operazioni di conservazione delle dichiarazioni e della relativa documentazione


Regolamento (UE) 2016/679Relativo alla protezione delle persone fisiche con riguardo al trattamento

dei dati personali, nonché alla libera circolazione di tali dati

e che abroga la direttiva 95/46/CE

Manca circa un anno all’entrata in vigore…

Riforma della normativa privacy

• Era da anni che se ne parlava, sin dal 2010, per aggiornare i principi enunciati nella direttiva del 1995, in modo da tenere il passo con i grandi cambiamenti nel trattamento dei dati apportati da Internet e globalizzazione (es. social networks, shopping on-line e servizi di e-banking), dalle sfide per la sicurezza e il controllo antiterrorismo, dalla maggiore coesione territoriale e traffico transfrontaliero e dallo sviluppo del mercato unico

Cronologia

• 25/01/2012 Proposta della commissione europea COM(2012)0011

• 07/03/2012 Parere del Garanteeuropeo per la privacy (EDPS) OJ C 192 30.06.2012, p. 0007

• 23/05/2012 Parere del ComitatoEconomico e Sociale Europeo(ESC) CES1303/2012

24

http://www.europarl.europa.eu/registre/docs_autres_institutions/commission_europeenne/com/2012/0011/COM_COM(2012)0011_EN.pdf

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:192:0007:0007:EN:PDF

http://eescopinions.eesc.europa.eu/eescopiniondocument.aspx?language=EN&docnr=1303&year=2012

Cronologia

• 16/01/2013 Incardinamento al Parlamento Europeo (EP) della proposta legislativa

• 12/03/2014 Adozione del testo del Parlamento Europeo (EP) in plenaria T7-0212/2014

• 10/06/2014 Risposta della Commissione Europea SP(2014)455

25

http://www.europarl.europa.eu/sides/getDoc.do?type=TA&language=EN&reference=P7-TA-2014-0212

http://www.europarl.europa.eu/oeil/spdoc.do?i=23714&j=0&l=en

Cronologia

• 05/06/2014 avvio del dibattito generale e orientativo nel Consiglio dell’Unione Europea

• 15/12/2015 raggiunto un accordo tra Parlamento, Consiglio e Commissione (Trilogo)

• 27/04/2016 a seguito dell'accordo politico raggiunto in sede di trilogo, i testi definitivi sono stati formalmente adottati dal Parlamento europeo e dal Consiglio

• 04/05/2016 RGPD pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE)

26

Dal 24/05/2018le nuove norme

saranno applicabili in tutta la UE

…e prevarranno sulle normative nazionali, che dovranno nel frattempo essere adeguate alle previsioni del nuovo regolamento che è già in vigore

Adeguamento delle normative nazionali

• Anche se il Regolamento sarà direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea, in quanto non richiede una legge di recepimento nazionale, diverse sue disposizioni lasciano liberi gli Stati Membri - o richiedono agli stessi - di introdurre ulteriori regole e condizioni

• Gli Stati avranno due anni per porre in essere gli adeguamenti richiesti dalla normativa in questione alle proprie politiche per la protezione ed il trattamento dei dati personali.

• Infatti, oltre al Regolamento, del pacchetto di riforma, fa parte una Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali

Finalità dichiarate

• porre rimedio al disomogeneo recepimento da parte degli Stati membri della direttiva 95/46/CE

• sostituire gli obblighi di tipo formale e burocratico con attività finalizzate ad una maggiore responsabilizzazione e consapevolezza dei rischi

• introdurre nuovi diritti a tutela delle persone

• rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell’Unione europea

Premessa sulle convenzioni dell’esposizione

Analisi e confronto

d.lgs.196/2003

• Cosa è previsto / definito ora, valido in particolare per l’Italia

Reg.(UE)2016/679

• Cosa sarà valido dal 2018 per tutta l’Unione Europea

Se rappresenta qualcosa di nuovo o una modifica significative si usa un segno

d.lgs.196/2003

• Cosa è previsto / definito ora, valido in particolare per l’Italia

Reg.(UE)2016/679

• Cosa sarà valido dal 2018 per tutta l’Unione Europea

Se prevede un intervento di adeguamento delle normative nazionali

Reg.(UE)2016/679

• Gli Stati membri possono mantenere o introdurre disposizioni e misure più specifiche per adeguare l'applicazione delle norme del regolamento

• In taluni casi ciò è necessario

Breve storia delle norme «privacy»

Evoluzione normativa

• Razionalizzare le numerose disposizioni in materia di trattamento dati: eliminarle dove ridondanti, semplificarle e aggiornarle


L. 675/96(tutela delle persone

e altri soggetti rispettoal trattamento dei

dati personali)

Altre norme

DPR 318/99(regolamento recante

norme per l’individuazionedelle misure minime di

sicurezza per il trattamentodei dati personali)

Codice in materia di protezione dei

dati personaliD.Lgs 196/2003 s.m.i.

PARTE I PARTE IIIPARTE II ALLEGATI

Norme di Caratteregenerale relative a qualsiasi tipo di trattamento dati

Norme riferitea trattamentieffettuati in ambiti particolari: -Pubb.Amm.-Giudiziario-Sanitario- Lavoro- ecc.

Norme riferitealla tuteladell’interessatoe sanzioni

A) CodicideontologiciB) Disciplinaretecnicoin materia dimisure minimedi sicurezza C) Trattamentinon occasionaliin ambitoGiudiziario oper fini di Polizia

La struttura del D.Lgs. 196/2003


Ambito della norma

Ambito di applicazione materiale

d.lgs.196/2003

• Nessuna limitazione

Reg.(UE)2016/679 art. 2

• si applica

• al trattamento interamente o parzialmente automatizzato di dati personali e

• al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Banca di dati - Archivio

d.lgs.196/2003 art. 5

Banca di dati

• qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti

Archivio

• qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

Reg.(UE)2016/679 art. 4

Esclusione

d.lgs.196/2003 art. 5

• Non si applica se il trattamento di dati personali è effettuato da persone fisiche per fini esclusivamente personali

• a meno che i dati non siano destinati ad una comunicazione sistematica o alla diffusione

Reg.(UE)2016/679 art. 2

• Non si applica ai trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico

Esclusione

Reg.(UE)2016/679

Considerando n.20

• Non si applica alle attività relative a trattamenti di dati personali concernenti la sicurezza nazionale e la sicurezza comune della UE

Ambito di applicazione territoriale

d.lgs.196/2003 art. 5

• Si applica al trattamento di dati personali, anche detenuti all'estero, effettuato da chiunqueè stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità italiana.

Reg.(UE)2016/679 art. 3

• Si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimentoda parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.

Ambito di applicazione territoriale

d.lgs.196/2003 art. 5

• Si applica al trattamento di dati personali effettuato anche da chi non è stabilito nel territorio di un Paese dell'Unione europea e impiega strumenti situati nel territorio dello Stato italiano, salvo che essi siano utilizzati solo ai fini di transito.

Reg.(UE)2016/679 art. 3• si applica al trattamento dei dati

personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

• a) l'offerta di beni o la prestazione di servizi, indipendentemente dall'obbligatorietà di un pagamento, oppure

• b) il monitoraggio del loro comportamento

Dato personale

d.lgs.196/2003 art. 4

• qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente

Reg.(UE)2016/679 art. 4

• qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);

Evoluzione del concetto di dato personale (1)

• Prima delle modifiche del 2012*, l’insieme dei dati personali comprendeva:• Sia i dati personali

“umani”

• Sia i dati “aziendali”

• Dopo, i dati “aziendali” non sono più inclusi

50

Dati personali “umani”

Dati “aziendali” Dati non personali

Dati personali “umani”

Dati comuniDati “aziendali”

* art. 40, secondo comma, del d.l. n. 201 del 6 dicembre 2011, convertito con legge n. 214 del 22 dicembre 2011

Dati genetici

d.lgs.196/2003 e provvedimenti vari

• Dati sensibili riguardanti le informazioni sul genoma di una persona fisica

Reg.(UE)2016/679 art. 4

• i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione

Dati biometrici


• dati riferiti a persona fisica derivabili dalla misurazione di varie caratteristiche somatiche, fisiologiche o comportamentali che ne consentono un'identificazione certa,

• quali ad esempio:• Caratteristiche della voce• Impronte digitali e Geometria della mano• Informazioni di tipo comportamentale• Riconoscimento dell’iride o retina• Rilevazione facciale

Reg.(UE)2016/679 art. 4

• i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici

Dati relativi alla salute


• dati personali sensibili idonei a rivelare lo stato di salute

• i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute

Reg.(UE)2016/679 art. 4

Categorie particolari di dati personali

d.lgs.196/2003 art. 4

dati personali sensibili

• sono quelli idonei a rivelare :• l'origine razziale ed etnica,

• le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,

• lo stato di salute

• la vita sessuale

• dati personali che rivelino:• l'origine razziale o etnica, • le opinioni politiche, le convinzioni

religiose o filosofiche, o l'appartenenza sindacale

• dati relativi a• la salute • la vita sessuale • l'orientamento sessuale della persona

• dati genetici• dati biometrici

Reg.(UE)2016/679 art. 9

Categorie particolari di dati personali

• Dati genetici

• Dati biometrici (identificativi)

• Dati Sensibili (ex D.Lgs 196/03)• Si tratta di dati personali “umani”

idonei a rivelare:• (A) I l'origine razziale ed etnica• (B) le convinzioni religiose,

filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale

• (C) lo stato di salute • (D) la vita sessuale


S3 S4S2S1

B

G

Dati relativi a condanne penali e reati o a connesse misure di sicurezza d.lgs.196/2003 art. 4

dati personali giudiziari

• i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi del codice di procedura penale

• Dati relativi a condanne penali e reati o a connesse misure di sicurezza

Reg.(UE)2016/679 art. 10

Attori coinvolti

• Soggetti che effettuano il trattamento

• Soggetti che subiscono il trattamento

Interessato (data subject)

d.lgs.196/2003 art. 4

• la persona fisica cui si riferiscono i dati personali

Reg.(UE)2016/679 art. 4

• la persona fisica identificata o identificabile

Titolare del trattamento (data controller)

d.lgs.196/2003 art. 4

• la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

Reg.(UE)2016/679 art. 4

• la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri

Contitolari del trattamento

d.lgs.196/2003 Reg.(UE)2016/679 art. 26

• due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento

Responsabile del trattamento (data processor)

d.lgs.196/2003 art. 4

• la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

Reg.(UE)2016/679 art. 4, art. 28 co.10

• la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

• se un responsabile del trattamento viola il regolamento, determinando le finalità e i mezzi del trattamento, va considerato titolare del trattamento in questione

Incaricati del trattamento (persons authorized)

d.lgs.196/2003 art. 4

• le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

Reg.(UE)2016/679 art. 4

• le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile

• (per estensione)

Esempio di OrganigrammaLegenda:

TT=Titolare del trattamento (organizzazione stessa o interno)

RRI=Responsabile del riscontro all’interessato

RRGPA=Responsabile del riscontro al Garante e alla Pubblica Amministrazione

RST=Responsabile della sicurezza del trattamento (interno all’organizzazione)

ADS=Amministratore di sistema

RGSE=Responsabile della gestione e della manutenzione degli strumenti elettronici

ICCC=Incaricato della custodia delle copie delle credenziali di autenticazione

ICSBD=Incaricato delle copie di sicurezza delle banche dati

IMTZ=Incaricato della manutenzione o assistenza su particolari strumenti o programmi elettronici, senza qualifica di Amministratori di sistema

ACL=Addetto al controllo dei locali

APLZ=Addetto alle pulizie e manutenzioni ordinarie

ASRV=Addetto alla sorveglianza e vigilanza

RTEXT=Responsabile del trattamento (esterno all’organizzazione; può essere nominato da TT o RST)


Il «gioco» dellaprivacy.. una metafora applicativa

Definire il trattamento

Quale presupposto di legittimità?

Rendere l’informativa

all’interessato

Se necessario, acquisire il consenso

Adottare le misure di protezione

Documentare il rispetto degli adempimenti

Dare eventuale riscontro agli

interessati

Mantenere aggiornati misure ed adempimenti

Cancellare i dati al termine del periodo di

conservazione




all’interessato





interessati


Cancellare i dati al termine del periodo

di conservazione


Principi applicabili al trattamento di dati personali

Principio di liceità, correttezza e trasparenza

d.lgs.196/2003 art. 11 co. 1 lett. a)

• I dati personali oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza

Reg.(UE)2016/679 art. 5 co. 1 lett. a)

• I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato

Principio di limitazione della finalità

d.lgs.196/2003 art. 11 co. 1 lett. b)

• I dati personali oggetto di trattamento devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi

Reg.(UE)2016/679 art. 5 co. 1 lett. b)

• I dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità

Principio di minimizzazione dei dati

d.lgs.196/2003 art. 11 co. 1 lett. d)

• I dati personali oggetto di trattamento devono essere• completi,

• pertinenti e

• non eccedenti

• rispetto alle finalità per le quali sono raccolti o successivamente trattati

Reg.(UE)2016/679 art. 5 co. 1 lett. c)

• I dati personali sono • adeguati,

• pertinenti e

• limitati

• a quanto necessario rispetto alle finalità per le quali sono trattati

Principio di esattezza

d.lgs.196/2003 art. 11 co. 1 lett. c)

• I dati personali oggetto di trattamento devono essere esatti e, se necessario, aggiornati

Reg.(UE)2016/679 art. 5 co. 1 lett. d)

• I dati personali sono esatti e, se necessario, aggiornati

• Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati

Principio di limitazione della conservazione(o di proporzionalità)

d.lgs.196/2003 art. 11 co. 1 lett. e)

• I dati personali oggetto di trattamento devono essere conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati

Reg.(UE)2016/679 art. 5 co. 1 lett. e)

• I dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati

Principio di integrità e riservatezza

(Obblighi di sicurezza)

d.lgs.196/2003 art. 31• I dati personali oggetto di trattamento

sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi

• di distruzione o perdita, anche accidentale, dei dati stessi,

• di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

Reg.(UE)2016/679 art. 5 co. 1 lett. f)

• I dati personali sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate,

• da trattamenti non autorizzati o illeciti e

• dalla perdita, dalla distruzione o dal danno accidentali

Principio di responsabilizzazione (accountability)

Reg.(UE)2016/679 art. 5 co. 2• Il titolare del trattamento deve

essere in grado di comprovare il rispetto, che gli compete, di tutti i principi:

1. liceità, correttezza e trasparenza2. limitazione della finalità3. minimizzazione dei dati4. esattezza5. limitazione della conservazione6. integrità e riservatezza

La responsabilizzazione comporta

• adozione di politiche privacy

• implementazione di misure tecniche e organizzative adeguate

• conservazione della documentazione di tutti i trattamenti • effettuati sotto la propria titolarità (e responsabilità),

• indicando obbligatoriamente per ognuno di essi una serie nutrita di informazioni, tali da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni del Regolamento




all’interessato





interessati



di conservazione


Liceità del trattamento Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni

Consenso esplicito

d.lgs.196/2003 art. 23 co. 1

• Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato

• Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso

Reg.(UE)2016/679 art. 6 co. 1 lett. a)

• l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità

Obblighi contrattuali e precontrattuali

d.lgs.196/2003 art. 24 co. 1 lett. b)

• Il consenso non è richiesto quando il trattamento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato

Reg.(UE)2016/679 art. 6 co. 1 lett. b)

• il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso

Obbligo legale

d.lgs.196/2003 art. 24 co. 1 lett. a)

• Il consenso non è richiesto quando il trattamento è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria

Reg.(UE)2016/679 art. 6 co. 1 lett. c)

• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento

Salvaguardia degli interessi vitali

d.lgs.196/2003 art. 24 co. 1 lett. e)

• Il consenso non è richiesto quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo

Reg.(UE)2016/679 art. 6 co. 1 lett. d)

• il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica

Interesse pubblico o Esercizio di pubblici poteri

d.lgs.196/2003 art. 18

• Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.

• I soggetti pubblici non devono richiedere il consenso dell'interessato.

Reg.(UE)2016/679 art. 6 co. 1 lett. e)

• il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento

Legittimo interesse

d.lgs.196/2003 art. 24 co. 1 lett. g)• Il consenso non è richiesto quando il

trattamento, • con esclusione della diffusione,

• è necessario, • nei casi individuati dal Garante sulla base

dei princìpi sanciti dalla legge,

• per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati,

• qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato

Reg.(UE)2016/679

art. 6 co. 1 lett. f)• il trattamento,

• purché non sia effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti,

• è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi,

• a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, • in particolare se l'interessato è un minore

Esempio: Cybersicurezza delle reti

d.lgs.196/2003

Reg.(UE)2016/679

Considerando n. 49

• Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione

Divieto di trattare le categorie particolari di dati personali (sensibili, genetici, biometrici)Ammenochè non ricorrano le seguenti deroghe

Consenso esplicito

d.lgs.196/2003 art. 26 co.1

• con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.

Reg.(UE)2016/679 art. 9 co.1

• l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto

Obblighi giuslavoristici e di protezione sociale

d.lgs.196/2003 art. 26 co.1

• il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza

Reg.(UE)2016/679 art. 9 co.2 lett.a)

• il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo

Obblighi giuslavoristici e di protezione sociale

d.lgs.196/2003 art. 26 co.4 lett.d)

• il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza

Reg.(UE)2016/679 art. 9 co.2 lett. b)

• il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo

Organismi senza scopo di lucro che perseguono finalità politiche, filosofiche, religiose o sindacali

d.lgs.196/2003 art. 26 co.4 lett.a)• il trattamento è effettuato da associazioni,

enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffuse

Reg.(UE)2016/679 art. 9 co.• il trattamento è effettuato, nell'ambito delle

sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato

Tutela di un interesse vitale

d.lgs.196/2003 art. 26 co.4 lett.b)

• quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo

Reg.(UE)2016/679 art. 9 co.2 lett. c)

• il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso

Dati pubblici

d.lgs.196/2003 art.

Reg.(UE)2016/679 art. 9 co.2

lett.e)

• il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato

Difesa di un diritto in sede giudiziaria

d.lgs.196/2003 art. 26 co.4 lett.c)• quando il trattamento è necessario ai fini

dello svolgimento delle investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto,• sempre che i dati siano trattati

esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

• Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile

Reg.(UE)2016/679 art. 9 co.2 lett.f)

• il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali

Esercizio di un diritto in sede giudiziaria

d.lgs.196/2003 art. 47

• In caso di trattamento di dati personali effettuato presso uffici giudiziari di ogni ordine e grado, presso il Consiglio superiore della magistratura, gli altri organi di autogoverno e il Ministero della giustizia, non si applicano, se il trattamento è effettuato per ragioni di giustizia, alcune disposizioni del codice

Reg.(UE)2016/679 art. 9 co.2 lett.f)

• ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali

Rilevante interesse pubblico

d.lgs.196/2003 art. 20

• Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite

Reg.(UE)2016/679 art. 9 co.2 lett.g)

• Il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, • che deve essere proporzionato alla

finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato

Medicina e valutazione della capacità lavorativa

d.lgs.196/2003 art. 20

• Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico, trattano i dati personali idonei a rivelare lo stato di salute anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica di un terzo o della collettività.

Reg.(UE)2016/679 art. 9 co.2 lett. h)• il trattamento è necessario per finalità di

medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità

• trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale

Sanità pubblica

d.lgs.196/2003 art. 85• si considerano di rilevante interesse pubblico le finalità che

rientrano nei compiti del Servizio sanitario nazionale e degli altri organismi sanitari pubblici relative alle seguenti attività:

• a) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadini italiani all'estero, nonché di assistenza sanitaria erogata al personale navigante ed aeroportuale;

• b) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;

• c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;

• d) attività certificatorie; • e) l'applicazione della normativa in materia di igiene e sicurezza

nei luoghi di lavoro e di sicurezza e salute della popolazione; • f) le attività amministrative correlate ai trapianti d'organo e di

tessuti, nonché alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107;

• g) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale.

Reg.(UE)2016/679 art. 9 co.2 lett. i)

• il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici

Rilevante interesse pubblico

d.lgs.196/2003 art. 20

Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici

• Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite

Reg.(UE)2016/679 art. 9 co.2 lett. j)

• il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

Dati relativi a condanne penali e reati o a connesse misure di sicurezza

(dati giudiziari)

Liceità del trattamento

d.lgs.196/2003 art. 21 e 27

• è consentito solo se autorizzato da espressa disposizione di Legge o provvedimento del Garante

• per finalità di rilevante interesse pubblico con specificazione dei tipi di dati trattati e di operazioni eseguibili

Reg.(UE)2016/679 art. 10

• deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dalla Legge

• Sulla base di garanzie appropriate per i diritti e le libertà degli interessati.

Registro completo delle condanne penali

Reg.(UE)2016/679 art. 10

• Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.




all’interessato





interessati



di conservazione


all’interessato

Informativanon si applica se e nella misura in cui l'interessato dispone già di tutte le informazioni previste

Circostanze in cui l’informativa è necessaria

d.lgs.196/2003 art. 13

• L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto

Reg.(UE)2016/679 art. 13/14

• In caso di raccolta presso l'interessato

• Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella originaria

Circostanze in cui l’informativa è necessaria

d.lgs.196/2003 art. 13

• Se i dati personali non sono raccolti presso l'interessato, l'informativa è data al medesimo interessato all'atto della registrazione dei dati o non oltre la prima comunicazione (se prevista)

Reg.(UE)2016/679 art. 14

• Qualora i dati non siano stati ottenuti presso l'interessato

• L’informativa va resa

1. entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese

2. nel caso in cui i dati personali siano destinati alla comunicazione (con l'interessato o ad altro destinatario), al più tardi al momento della prima comunicazione

Contenuti dell’informativa

d.lgs.196/2003 art. 13 co.1 lett. f)

• gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato

Reg.(UE)2016/679

art. 13/14 co.1 lett. a)

• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante


d.lgs.196/2003 art. 13 co.1 lett. f)• gli estremi identificativi del

responsabile. • Quando il titolare ha designato più

responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.

• Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti, è indicato tale responsabile.

Reg.(UE)2016/679

art. 13/14 co.1 lett. b)

• i dati di contatto del responsabile della protezione dei dati, ove applicabile


d.lgs.196/2003 art. 13 co.1 lett. a)

• le finalità e le modalità del trattamento cui sono destinati i dati

Reg.(UE)2016/679

art. 13/14 co.1 lett. c)

• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art.13co.1 lett.d) art.14co.2 lett. b)

• L’indicazione dei legittimi interessi perseguiti• Questa indicazione è da fornire solo

qualora il trattamento si basi sul presupposto di liceità dipendente dal legittimo interesse


d.lgs.196/2003 art. 13 co.4

• Se i dati personali non sono raccolti presso l'interessato, l'informativa è comprensiva delle categorie di dati trattati

Reg.(UE)2016/679

art. 14 co.1 lett. d)

• le categorie di dati personali in questione• Questa indicazione è da fornire solo

qualora i dati non siano stati ottenuti presso l'interessato


d.lgs.196/2003 art. 13 co.1 lett. d)

• i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi

Reg.(UE)2016/679

art. 13/14 co.1 lett. e)

• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art. 13/14 co.1 lett. f)

• ove applicabile,

1. l'intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale e

2. l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art. 13/14 co.2 lett. a)

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo


d.lgs.196/2003 art. 13 co.1 lett. e)

• i diritti dell’interessato (di accesso ai dati personali ed altri)

Reg.(UE)2016/679

art. 13/14 co.2 lett. b/c)

• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art. 13/14 co.2 lett. d/e)

• il diritto di proporre reclamo a un'autorità di controllo


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art. 13/14 co.2 lett. c/d)

• l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca • Questa indicazione è da fornire solo

qualora il trattamento sia basato sul consenso esplicito dell’interessato


d.lgs.196/2003 art. 13 co.1 lett. b/c)

• la natura obbligatoria o facoltativa del conferimento dei dati

• le conseguenze di un eventuale rifiuto di rispondere

Reg.(UE)2016/679

art. 13 co.2 lett. e)• se la comunicazione di dati

personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati • Questa indicazione è da fornire solo

qualora i dati siano stati raccolti ed ottenuti presso l'interessato


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art. 14 co.2 lett. f)

• la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico • Questa indicazione è da fornire solo

qualora i dati non siano stati ottenuti presso l'interessato


d.lgs.196/2003 art. 13

Reg.(UE)2016/679

art. 13/14 co.2 lett. f/g)

• l'esistenza di un processo decisionale automatizzato, compresa la profilazione , in tal caso, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato




all’interessato





interessati



di conservazione


Gestione del consenso

Dimostrazione

d.lgs.196/2003 art. 23 co. 3

• Il consenso è validamente prestato solo • se è espresso liberamente e

specificamente in riferimento ad un trattamento chiaramente individuato,

• se è documentato per iscritto, e• se è stata resa all'interessato

l’informativa

Reg.(UE)2016/679 art. 7

• Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali

• La richiesta di consenso è distinta da altre questioni

Minore di età

Dpr 448/1988 art.13

d.lgs.196/2003 art.50

• divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un minore

Reg.(UE)2016/679 art. 8• Nel caso di trattamento correlato ai

servizi della società dell'informazione, il consenso è lecito:

• se il minore ha almeno 16 anni• gli Stati Membri possono portare la

soglia a 13 anni

• oppure se è prestato/autorizzato da chi esercita la responsabilità genitoriale, previa ragionevole verifica del titolare del trattamento




all’interessato





interessati



di conservazione


Obblighi generali: misure di protezione

Politiche di protezione dei dati

d.lgs.196/2003 art. 17

• Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti.

Reg.(UE)2016/679 art. 24 co.2

• Se ciò è proporzionato rispetto alle attività di trattamento, il titolare del trattamento attua politicheadeguate in materia di protezione dei dati• tenuto conto della natura, dell'ambito

di applicazione, del contesto e delle finalità del trattamento,

• nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche,

Privacy by design

fin dalla progettazione,il titolare del trattamento mette in atto misure tecniche e organizzative adeguate volte a1. attuare in modo efficace i principi di protezione dei dati (es.

Minimizzazione)2. a integrare nel trattamento le necessarie garanzie al fine di soddisfare i

requisiti del presente regolamento e tutelare i diritti degli interessati

• Tenendo conto dello stato dell'arte e dei costi di attuazione • nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del

trattamento, • come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle

persone fisiche

Reg.(UE)2016/679 art. 25

Privacy by default

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire 1. che siano trattati, per impostazione predefinita, solo i dati personali

necessari per ogni specifica finalità del trattamentoTale obbligo vale per• la quantità dei dati personali raccolti, • la portata del trattamento, • il periodo di conservazione e • l'accessibilità

2. che non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica

Reg.(UE)2016/679 art. 25

Principio di necessità

• I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità

d.lgs.196/2003 art. 3

Misure di sicurezza

d.lgs.196/2003 art. 31

• I dati personali oggetto di trattamento sono custoditi e controllati mediante l'adozione di idonee e preventive misure di sicurezza• anche in relazione alle conoscenze

acquisite, in base al progresso tecnico,• alla natura dei dati e alle specifiche

caratteristiche del trattamento, • in modo da ridurre al minimo i rischi di

distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Reg.(UE)2016/679 art. 32• il titolare e i responsabili del

trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezzaadeguato al rischio • Tenendo conto dello stato dell'arte e

dei costi di attuazione, • nonché della natura, dell'oggetto, del

contesto e delle finalità del trattamento,

• come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche

Rischi di cui tenere conto

d.lgs.196/2003 art. 31

1. di distruzione o perdita, anche accidentale, dei dati stessi,

2. di accesso non autorizzato

3. di trattamento non consentito o non conforme alle finalità della raccolta.

• in modo da ridurli al minimo

Reg.(UE)2016/679 art. 32 co.2

• per i diritti e le libertà delle persone

• che derivano, in particolare:

1. dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata

2. dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati

• per valutare l'adeguato livello di sicurezza

Rischi per i diritti e le libertà delle persone

• Pregiudizio e discriminazione

• Furto di identità

• Invasività nella sfera privata

• Danno fisico, materiale o morale

• Perdita di riservatezza dei dati protetti

• Perdite finanziarie

Reg.(UE)2016/679 art. 32 co.2

Misure minime

d.lgs.196/2003 art. 33, 34, 35, 36

• I titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nella norma, volte ad assicurare un livello minimo di protezione dei dati personali• Trattamenti con e senza strumenti

elettronici

Reg.(UE)2016/679

• Non previste esplicitamente

• Ve sono solo alcune misure suggerite, se del caso

Misure di sicurezza suggerite

• Pseudonimizzazione

• Cifratura dei dati personali

• Capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

• Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico

• Procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

Reg.(UE)2016/679 art. 32

Misure minime di sicurezza

• Il Codice – a differenza della Legge 675/96 – distingue le misure di sicurezza in relazione• Trattamenti senza strumenti elettronici

• Trattamenti con strumenti elettronici

• Le modalità tecniche di attuazione delle misure minime di sicurezza sono previste nel Disciplinare Tecnico (allegato B)

• Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari


d.lgs.196/2003 artt. 33-36Allegato B

Misure minime di sicurezza (2)

• Definizione dei compiti e dell'ambito del trattamento consentito

• Previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti

• Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati

Almeno una volta all’anno:

• Effettuazione dell'analisi dei rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

• Aggiornamento dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

• Formazione ed informazione degli incaricati/responsabili



Misure minime di sicurezza (3)

Nel caso di utilizzo di strumentazione elettronica:

• Utilizzazione di un sistema autenticazione informatica;

• Adozione di procedure di gestione delle credenziali di autenticazione

• Utilizzazione di un sistema di autorizzazione

• Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici

• Adozione di procedure per la custodia di copie di sicurezza (back-up), il ripristino della disponibilità dei dati e dei sistemi

• Aggiornamento periodico di sistemi operativi, software di protezione e di trattamento



Istruzioni obbligatorie

• Chiunque (incaricato o responsabile) abbia accesso ai dati deve essere istruito al riguardo da parte del titolare del trattamento

Reg.(UE)2016/679 art. 29, art. 32 co.4

Valutazione di impatto

il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali

1. In generale, quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento

2. In particolare, obbligatoria in taluni casi (…)

3. Salvo i casi in cui ciò non sia esplicitamente escluso (…)

Reg.(UE)2016/679 art. 35

Che ci ricordano?

soppresso dal decreto legge 9 febbraio 2012, si trattava del DPS (documento programmatico sulla sicurezza), da redigere entro il 31/03 di ogni anno, contenente tra l’altro, idonee informazioni riguardo:

• 19.3. l'analisi dei rischi che incombono sui dati;

• 19.6. la previsione di interventi formativi

• 19.7. la descrizione dei criteri per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all'esterno

• 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l'individuazione dei criteri per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato

d.lgs.196/2003 artt. 33-36Allegato B punto 19

Situazioni in cui vige l’obbligo dellaValutazione di impatto

1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche

2. trattamento, su larga scala, di categorie particolari di dati personali (sensibili, genetici, biometrici identificativi) o di dati relativi a condanne penali e a reati (giudiziari)

3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. per le tipologie di trattamenti inserite negli elenchi predisposti dalle autorità di controllo

Reg.(UE)2016/679 art. 35 co.3/4

Situazioni in cui è escluso l’obbligo dellaValutazione di impatto

1. per le tipologie di trattamenti inserite negli elenchi predisposti dalle autorità di controllo

Reg.(UE)2016/679 art. 35 co.5

Cosa si intende per «larga scala»? (1)

• Inizialmente negli atti del Parlamento Europeo, un trattamento si considerava su «larga scala» se riguardava non meno di 5 000 interessati durante qualsiasi periodo di 12 mesi consecutivi

• Un’indicazione quantitativa certa, al momento, non c’è!

Cosa si intende per «larga scala»? (2)

• Esiste una linea guida del 13/12/2016 del WP29: si deve tenere conto di:

1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

3. la durata, ovvero la persistenza, dell’attività di trattamento;

4. la portata geografica dell’attività di trattamento

Esempi di trattamenti su «larga scala»

trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che

potrebbero incidere su un vasto numero di interessati

trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività

trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro

tracciamento attraverso titoli di viaggio)

trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle

ordinarie attività;

trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile

specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;

trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;

trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

sorveglianza svolta da un’impresa di sicurezza privata relativa a più centri commerciali e aree pubbliche

Non è su «larga scala»:

trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario

trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato

trattamento di dati personali relativi a contribuenti svolto da un singolo fiscalista

Consultazione preventiva

d.lgs.196/2003 art. 17 co.2 e art. 55• Le misure e gli accorgimenti a garanzia

dell'interessato• Nel caso di trattamento che presenta

rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare

• sono prescritti dal Garante in applicazione dei principi sanciti dal codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.

Reg.(UE)2016/679 art. 36• Il titolare del trattamento, prima di

procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio

• L'autorità di controllo fornisce un parere, entro 8 settimane, prorogabili di ulteriori 6

Responsabile della protezione dei dati (DPO=Data Protection Officer)

Reg.(UE)2016/679 art. 37

• È una nuova figura

• Affianca sia il titolare, sia il responsabile del trattamento

• Obbligatoria in alcuni casi

• Simile al RSPP nella sicurezza sul lavoro

• Può essere condiviso tra più soggetti

Situazioni in cui vige l’obbligo del DPO

Ogniqualvolta

1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, • eccettuate le autorità giurisdizionali quando esercitano le loro funzioni

giurisdizionali;

2. le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (sensibili, genetici, biometrici identificativi) o di dati relativi a condanne penali e a reati (giudiziari)

4. negli ulteriori casi previsti dalle leggi nazionali e UE

Reg.(UE)2016/679 art. 37 co.1/4

Cosa si intende per «attività principale»?

• A giudizio del WP29 sono:

• operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento

• che non escludono quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte

Cosa si intende per «monitoraggio regolare»?

• A giudizio del WP29, si intende almeno uno dei seguenti significati:

1. che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

2. ricorrente o ripetuto a intervalli costanti;

3. che avviene in modo costante o a intervalli periodici.

Cosa si intende per «monitoraggio sistematico»?• A giudizio del WP29, si intende almeno uno dei seguenti significati:

1. che avviene per sistema;

2. predeterminato, organizzato o metodico;

3. che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;

4. svolto nell’ambito di una strategia

Esempi di «monitoraggio regolare e sistematico»• tracciamento e profilazione su Internet

(anche per finalità di pubblicità comportamentale)

• curare il funzionamento di una rete di telecomunicazioni

• prestazione di servizi di telecomunicazioni

• reindirizzamento di messaggi di posta elettronica

• profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio)

• tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili

• programmi di fidelizzazione

• pubblicità comportamentale

• monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili

• utilizzo di telecamere a circuito chiuso

• dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, IoT, industria 4.0, ecc.

Competenze e Posizione del DPO

• è designato in funzione

1. delle qualità professionali, in particolare

2. della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e

3. della capacità di assolvere i compiti stabiliti dal regolamento

• può operare come dipendente o in base a un contratto di servizi

• riferisce direttamente al vertice gerarchico

• non è rimosso o penalizzato per l'adempimento dei propri compiti

Reg.(UE)2016/679 art. 37 co.5/6, art. 38

Competenze e Posizione del DPO

• non riceve alcuna istruzione per quanto riguarda l'esecuzione di tali compiti

• gli sono fornite le risorse necessarie per • assolvere tali compiti

• accedere ai dati personali e ai trattamenti

• Mantenere la propria conoscenza specialistica

• può svolgere altri compiti e funzioni a meno che non diano adito a un conflitto di interessi

Reg.(UE)2016/679 art. 38

Compiti del DPO

1. informare e fornire consulenza al titolare o al responsabile nonché agli incaricati responsabile del trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni di legge relative alla protezione dei dati;

2. sorvegliare l'osservanza dei predetti obblighi nonché delle politiche adottate in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo

Reg.(UE)2016/679 art. 39

Compiti del DPO

3. fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento

4. cooperare con l'autorità di controllo

5. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui

6. effettuare, se del caso, consultazioni relativamente a qualunque altra questione

• Tutto ciò considerando debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo

Reg.(UE)2016/679 art. 39




all’interessato





interessati



di conservazione


Obblighi generali: ulteriori adempimenti

Garanzia e Dimostrazione di conformità

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per

1. garantire ed

2. essere in grado di dimostrare

che il trattamento è effettuato conformemente al regolamento. • tenuto conto della natura, dell'ambito di applicazione, del contesto e delle

finalità del trattamento,

• nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche

Reg.(UE)2016/679 art. 24 co.1

Possibile dimostrazione di conformità

L'adesione a

• codice di condotta (articolo 40) o

• meccanismo di certificazione (articolo 42)

può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento

Reg.(UE)2016/679 art. 24 co.3

Contitolarità

i contitolari determinano in modo trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal regolamento,

con particolare riguardo all'esercizio dei diritti dell'interessato ed alla resa dell’informativa

a meno che non siano definite per Legge

mediante un accordo internoil cui contenuto essenziale dell'accordo è messo a disposizione dell'interessato

Reg.(UE)2016/679 art. 26

Scelta dei responsabili

d.lgs.196/2003 art. 29 co.2

• il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza

Reg.(UE)2016/679 art. 28 co.1

• Il titolare del trattamento ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato

Contratto tra titolare e responsabile

d.lgs.196/2003 art. 29 co.1, 3

• il responsabile è designato dal titolare

• I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare

Reg.(UE)2016/679 art. 28 co.3

• I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Facoltà di subdelega da parte del responsabile

d.lgs.196/2003 art. 29 co.1, 3

• il responsabile è designato dal titolare

• I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare

Reg.(UE)2016/679 art. 28 co.2

• Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Autorizzazione generale alla subdelega da parte del responsabile

d.lgs.196/2003 Reg.(UE)2016/679 art. 28 co.2

• Nel caso di autorizzazione generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche.

Ricorso alla subdelega da parte del responsabile

Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento,

su tale altro responsabile del trattamento sono imposti, con un contratto, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto originario tra il titolare del trattamento e il responsabile del trattamento

• In caso di omissioni, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.

Reg.(UE)2016/679 art. 28 co.4

Contratto di responsabilità

• è stipulato in forma scritta, anche in formato elettronico

• prevede, in particolare, che il responsabile del trattamento:

1. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo

2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza

Reg.(UE)2016/679 art. 28 co.3, 9


3. adotti tutte le misure di sicurezza richieste (articolo 32)

4. rispetti le condizioni per ricorrere a un altro responsabile del trattamento (subdelega)

5. assista il titolare del trattamento per dare seguito alle richieste per l'esercizio dei diritti dell'interessato

6. assista il titolare del trattamento nel garantire il rispetto degli obblighi (articoli da 32 a 36) di sicurezza, di valutazione di impatto e in caso di violazioni

Reg.(UE)2016/679 art. 28 co.3, 9


7. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo non sia prevista per Legge la conservazione dei dati

8. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli competono

Reg.(UE)2016/679 art. 28 co.3, 9


9. consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato

10.provveda ad informare immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi una norma di legge relativa alla protezione dei dati.

Reg.(UE)2016/679 art. 28 co.3, 9

Clausole contrattuali tipo

il contratto di responsabilità può basarsi, in tutto o in parte, su clausole contrattuali tipo

• Stabilite dalla Commissione UE

• Adottate da un’autorità di controllo

Reg.(UE)2016/679 art. 28 co.6,7,8

Incarichi

d.lgs.196/2003 art. 30

• La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

Reg.(UE)2016/679 considerando 29

• Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all'interno dello stesso titolare del trattamento

Tenuta dei Registri delle attività di trattamento

• Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte.

• Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento

Reg.(UE)2016/679 art. 30

Semplificazione in merito ai Registri delle attività di trattamento

• Le imprese o organizzazioni con meno di 250 dipendenti, non sono tenute e predisporre i Registri a meno che

• il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato e

1. non sia occasionale o

2. includa il trattamento di categorie particolari di dati (sensibili, genetici, biometrici identificativi) o

3. includa i dati personali relativi a condanne penali e a reati (giudiziari)

Reg.(UE)2016/679 art. 30 co.5

Contenuto dei Registri delle attività di trattamento

Titolare

• il nome e i dati di contatto

1. del titolare del trattamento e,

2. ove applicabile, del contitolare del trattamento,

3. del rappresentante del titolare del trattamento e

4. del responsabile della protezione dei dati

Responsabile• il nome e i dati di contatto 1. del responsabile o dei responsabili

del trattamento2. di ogni titolare del trattamento

per conto del quale agisce 3. del rappresentante del titolare del

trattamento o del responsabile del trattamento e,

4. ove applicabile, del responsabile della protezione dei dati


Titolare

• le finalità del trattamento

Responsabile


Titolare

• una descrizione delle categorie di interessati e delle categorie di dati personali

Responsabile

• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento


Titolare

• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali

Responsabile


Titolare

• ove applicabile, i trasferimenti di dati personali verso un paese terzo• compresa l'identificazione del

paese terzo

• la documentazione delle garanzie adeguate

Responsabile

• ove applicabile, i trasferimenti di dati personali verso un paese terzo• compresa l'identificazione del

paese terzo

• la documentazione delle garanzie adeguate


Titolare

• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati

Responsabile


Titolare

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (art.32)

Responsabile

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (art.32)

Che ci ricordano?

soppresso dal decreto legge 9 febbraio 2012, si trattava del DPS(documento programmatico sulla sicurezza), da redigere entro il 31/03 di ogni anno, contenente tra l’altro, idonee informazioni riguardo:

• 19.1 l'elenco dei trattamenti di dati personali

• 19.2 la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati

• 19.4/19.5 le misure di sicurezza adottate e da adottare (integrità, disponibilità, cifratura, separazione dei dati identificativi, ecc.)

d.lgs.196/2003 artt. 33-36Allegato B punto 19

Documentazione in merito alla violazione dei dati personali

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese:

1. le circostanze a essa relative • natura, categorie e numero approssimativo di interessati

2. le conseguenze probabili

3. i provvedimenti adottati e da adottare per porvi rimedio

4. il rischio per i diritti e le libertà delle persone fisiche • su cui si basano i due successivi adempimenti

Reg.(UE)2016/679 art. 33

Notifica di una violazione dei dati personali all'autorità di controllo

d.lgs.196/2003 art. 32-bis

• In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante

Reg.(UE)2016/679 art. 33

• In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente• senza ingiustificato ritardo e, ove

possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza,

• a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche

Comunicazione di una violazione dei dati personali all'interessato

d.lgs.196/2003 art. 32-bis

• Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione

Reg.(UE)2016/679 art. 34

• Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo • Salvo che i dati non fossero cifrati,

ecc.

Trasferimenti di dati verso paesi terzi o organizzazioni internazionale

d.lgs.196/2003 art. 43/44

• Il trasferimento (anche temporaneo) di dati personali è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato:• mediante regole di condotta esistenti

nell'ambito di un medesimo gruppo.

• individuate dalla Commissione UE • con una decisione di adeguatezza

• con le clausole contrattuali tipo

Reg.(UE)2016/679 art. 44

• Il trasferimento verso un paese terzo o un'organizzazione internazionale di dati personali destinati a essere oggetto di un trattamento dopo il trasferimento può avere luogo

1. sulla base di una decisione di adeguatezza della Commissione UE

2. se sussistono garanzie adeguate quali, tra l’altro, a) Norme vincolanti d'impresa b) Clausole contrattuali tipo




all’interessato





interessati



di conservazione


interessati

Diritti dell’interessatoArt. 12

Risarcimento dei danni

d.lgs.196/2003 art. 15

• Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento

Reg.(UE)2016/679 art. 82

• Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento (responsabili in solido)

Esonero di responsabilità

d.lgs.196/2003 art.10,31,ecc.

• Se dimostra di aver adottato misure idonee

Reg.(UE)2016/679 art. 82

• Se dimostra che l'evento dannoso non gli è in alcun modo imputabile

Limitazione di responsabilità

d.lgs.196/2003 art.10,31,ecc.

• Se dimostra di aver adottato misure idonee

Reg.(UE)2016/679 art. 82

• Un titolare risponde per il danno cagionato dal suo trattamento che violi il regolamento

• Un responsabile del trattamento risponde per il danno solo se • non ha adempiuto gli obblighi del

regolamento specificatamente diretti ai responsabili o

• ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento




all’interessato





interessati



di conservazione


Aggiornamenti

Obblighi generali

• Le misure • tecniche e organizzative

• adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento

• sono riesaminate e aggiornate qualora necessario

Reg.(UE)2016/679 art. 24

Valutazione di impatto

• Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento

Reg.(UE)2016/679 art. 35 co.11




all’interessato





interessati



di conservazione


di conservazione

Conclusione del trattamento

Cancellazione

• Per assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica

Reg.(UE)2016/679 considerando 39

San

zio

ni

amm

inis

trat

ive

pec

un

iari

e

Principio generale

le sanzioni amministrative pecuniarie inflitte devono essere in ogni singolo caso

• effettive,

• proporzionate e

• dissuasive

Reg.(UE)2016/679 art. 82

Tipologia

Possono essere

1. Aggiuntive o

2. Alternative

Ai provvedimenti correttivi dell’autorità di controllo di prescrizione, divieto, revoca, avvertimento, ecc.

Reg.(UE)2016/679 art. 82

Nel fissare l'ammontare si considerano:

• la natura, la gravità e la durata della violazione

• la natura, l'oggetto o a finalità del trattamento

• il numero di interessati lesi dal danno e il livello del danno da essi subito

• il carattere doloso o colposo della violazione

• le misure adottate per attenuare il danno subito dagli interessati

• il grado di responsabilità • le misure tecniche e organizzative

• eventuali precedenti violazioni• il grado di cooperazione con

l'autorità di controllo • le categorie di dati personali

interessate dalla violazione• se è stata notificata la violazione;• provvedimenti correttivi precedenti• l’adesione ai codici di condotta o ai

meccanismi di certificazione • eventuali altri fattori aggravanti o

attenuanti (es. benefici finanziari, perdite evitate)

E’ fissato solo il massimo

• 10 milioni di euro

• 2% dell’ultimo fatturato annuo

• 20 milioni di euro

• 4% dell’ultimo fatturato annuo

Misure di protezione

Adempimenti di titolare e

responsabile

Trasferimenti verso paesi terzi

Diritti e riscontro agli interessati

Principi di trattamento

Presupposti di legittimità

Acquisizione del consenso

Provvedimenti correttivi

dell’autorità di controllo

Art. Tipologia Importo

161 Omessa, inidonea informativa € 6.000 - 36.000 x 2/5 x 2 x 4

162-com.1

Cessione dati in violazione disposizioni Codice

€ 10.000 - 60.000 x 2/5 x 2 x 4

162-com.2bis

Violazione delle misure minime di sicurezza

€ 20.000 - 120.000 x 2/5 x 2 x 4

162-com.2bis

Trattamento illecito di dati € 20.000 - 120.000 x 2/5 x 2 x 4

162-com.2ter

Inosservanza dei provvedimenti di prescrizione di misure necessarie

o di divieto€ 30.000 -180.000 x

2/5 x 2 x 4

163 Omessa, incompleta Notificazione € 20.000 - 120.000 x 2/5 x 2 x 4

164Omessa informazione esibizione

Garante€ 10.000 - 60.000 x

2/5 x 2 x 4

Violazioni amministrative

Gruppo di studio sicurezza e privacy 259SANZIONE ACCESSORIA (art.165): Pubblicazione ordinanza-ingiunzione

d.lgs.196/2003

Sanzioni derivanti daillecito penale

Altre sanzioni

Gli Stati membri, entro il 25 maggio 2018,

1. stabiliscono le norme relative alle altre sanzioni per le violazioni del regolamento • devono essere effettive, proporzionate e dissuasive

• in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie

2. adottano tutti i provvedimenti necessari per assicurarne l'applicazione.

Reg.(UE)2016/679

Art. Tipologia Sanzione

167 Trattamento Illecito dei dati

Reclusione 6-18 mesi

Se dati sensibili: Reclusione 12-36 mesi

168 Falsità in dichiarazioni e notificazioni al Garante Reclusione 6-36 mesi

169 Omissione di Misure minime di sicurezza Arresto sino 2 anni

+art.162,com.2-bis

170 Inosservanza di provvedimenti del GaranteReclusione 3-24 mesi

+art.162,com.2-ter

PENA ACCESSORIA (art.172): Pubblicazione sentenza

Illeciti Penali


d.lgs.196/2003

Ravvedimento operoso

• Il Codice consente al titolare che abbia omesso l’adozione delle misure di sicurezza la possibilità di regolarizzare la propria posizione anche ai fini penali (art. 169 D.Lgs 196/03)

• Regolarizzazione in ottemperanza a una prescrizione del Garante ed entro un termine non superiore a sei mesi

• Versamento di una somma pari al quarto del massimo dell’ammenda prevista


d.lgs.196/2003

Illeciti con dati di lavoratori

• Art. 171 D.Lgs. 196/2003 per violazione di • (art.113 D.Lgs. 196/2003 art. 8 L. 300/1970) Divieto di indagini sulle opinioni

politiche, religiose o sindacali del lavoratore, nonchè su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore

• (art.114 D.Lgs. 196/2003 art. 4 L. 300/1970) Divieto d’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori.

• ammenda da euro 156 a 1557

• oppure arresto da 15 giorni ad un anno


d.lgs.196/2003

• non poche disposizioni del Regolamento lasciano liberi gli Stati membri – o richiedono agli stessi – di introdurre ulteriori regole e condizioni

• il Legislatore italiano probabilmente emanerà un provvedimento normativo (legge delega) per individuare quali delle norme del vigente Codice privacy saranno abrogate e quali resteranno in vigore perché non in conflitto con il Regolamento

• sulla vigenza dei provvedimenti finora emanati alla luce del Codice privacy probabilmente si deciderà caso per caso se potrà farsi riferimento

Corso Privacy per intermediari Entratel · persone fisiche con riguardo al trattamento dei dati...

Documents

Transcript of Corso Privacy per intermediari Entratel · persone fisiche con riguardo al trattamento dei dati...