Corso Privacy per intermediari Entratel · persone fisiche con riguardo al trattamento dei dati...
Transcript of Corso Privacy per intermediari Entratel · persone fisiche con riguardo al trattamento dei dati...
Corso Privacy per intermediari Entratel
Il nuovo Regolamento Europeo n. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali in
comparazione con l’attuale Codice per la protezione dei dati personali D.Lgs. 196/2003
Adempimenti per intermediari Entratel
2
Utilizzo Entratel
Gruppo di studio sicurezza e privacy 3
Caratteristiche del sistema
• L’utente è tenuto a modificare la propria password con una nuova, diversa dalla precedente, e soggetta a scadenza periodica (max 90 giorni).
• Assetto:
Titolare (T) di abilitazione al canale Entratel (persone fisiche, enti pubblici o privati)
Gestori incaricati (G): persone fisiche che hanno il compito di creare e manutenere la lista degli “operatori incaricati”, comunicandoli al sistema; sono individuati dal rappresentante legale persona fisica dell’ente titolare; possone essere fino a 4 per ciascuna “sede telematica”
Operatori incaricati (O): persone fisiche che hanno il compito di utilizzare i servizi telematici in nome e per conto del titolare che li ha autorizzati per effettuare in concreto le transazioni telematiche
Gruppo di studio sicurezza e privacy 4
Vigilanza nei confronti degliintermediari Entratel• Dal 25 giugno 2009, in seguito alle prescrizioni fornite dal Garante per la
protezione dei dati personali con Provvedimento del 18 settembre 2008 è stato riformato il canale Entratel al fine di adeguarlo a migliori standard di sicurezza.
• Nel 2011 è stato emanato il comunicato dell’Agenzia delle Entrate che annuncia, a partire dal 2° semestre del 2011, i controlli sugli obblighi di riservatezza cui sono tenuti coloro che sono incaricati della trasmissione delle dichiarazioni dei redditi.
• I controlli consistono nella verifica della conformità dell’operato degli intermediari al dettato normativo
Gruppo di studio sicurezza e privacy 8
Finalità e modalità dei controlli
• Le operazioni di verifica saranno volte a controllare che gli intermediari abbiano adottato le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza ai fini dello svolgimento della propria attività.
• In particolare sarà valutato il rispetto degli obblighi di riservatezza cui sono tenuti gli incaricati della trasmissione delle dichiarazioni.
• I controlli saranno effettuati nel corso degli ordinari interventi di vigilanza, svolti dalle strutture di audit regionali presso CAF e altri intermediari abilitati al canale Entratel.
Gruppo di studio sicurezza e privacy 10
Oggetto dei controlli
• 1. Struttura organizzativa dell'intermediario
• 2. Misure di sicurezza relative ai supporti tecnologici utilizzati
• 3. Ulteriori misure di sicurezza
• In sintesi:• la designazione degli attori del
trattamento dei dati e le istruzioni operative;
• l’esistenza di documentazione sulla protezione dei dati (ex DPS);
• l’esistenza di una corretta gestione delle password;
• la configurazione delle singole postazioni di lavoro (screensaver)
• i software di protezione contro i rischi di accesso esterno ai dati e la loro manomissione;
• le modalità di conservazione delle e di archiviazione dei dati sensibili.
Gruppo di studio sicurezza e privacy 13
Struttura organizzativa
Sono riscontrati i seguenti aspetti:
• l'eventuale designazione, da parte del titolare del trattamento dei dati (CAF o altro intermediario abilitato al Servizio Entratel), dei responsabili (anche esterni) del trattamento dei dati e la redazione di istruzioni operative riservate agli stessi responsabili (art. 29 del D.lgs. 30 giugno 2003, n. 196; art. Il, comma 3, del decreto 31 luglio 1998; art. 5, comma 4 del provvedimento 10 giugno 2009);
• la designazione degli incaricati per il trattamento dei dati e l'attribuzione dell' ambito di trattamento consentito (art. 30 del D.lgs. n. 196 del 2003; art. 11, comma 4 del decreto 31 luglio 1998; art. 5, comma 4 del provvedimento 10 giugno 2009);
• la sensibilizzazione dei soggetti che trattano i dati personali dei contribuenti circa le responsabilità connesse alla condivisione o comunicazione a persone non legittimate dei predetti dati acquisiti nello svolgimento delle proprie funzioni;
• l'adozione di una procedura di controllo del rispetto delle misure di sicurezza e dell'adempimento degli obblighi previsti dal D.lgs n. 196 del 2003;
Gruppo di studio sicurezza e privacy 14
Struttura organizzativa (2)
• la designazione, come responsabili del trattamento, delle società esterne diverse dalle società di servizi di cui l'intermediario si avvalga per operazioni meramente strumentali all'esercizio dell'assistenza fiscale (ad es. quelle di natura tecnica quali il ripristino di un server o la sostituzione di un supporto hardware), qualora lo svolgimento di tali operazioni implichi il possibile trattamento di dati nonché l'adozione di procedure volte a garantire la riservatezza dei dati e/o di clausole contrattuali che prevedano la salvaguardia della riservatezza delle informazioni
Gruppo di studio sicurezza e privacy 15
Struttura organizzativa (3)
• l'adozione di una corretta politica di gestione delle password, che preveda l'attribuzione a uno o più soggetti specifici dell'incarico di amministrare le utenze per l'accesso ai sistemi informatici, l'utilizzo di credenziali di accesso nominative e note solo all'utente responsabile della loro conservazione, l'indicazione da parte dell'intermediario ai propri collaboratori dei criteri che le password utilizzate devono rispettare, secondo quanto previsto dall' Allegato B, regola 5, del D.lgs. n. 196 del 2003, del corretto uso delle stesse nonché delle responsabilità derivanti dalla loro eventuale condivisione, l'adozione di misure volte a mantenere riservate le informazioni che consentono l'accesso ai servizi telematici (allegato B del D.lgs n. 196 del 2003, art. 5, comma 6 del provvedimento 10 giugno 2009);
• la previsione, nel ciclo di vita delle credenziali, di procedure per garantire la costante aderenza tra i privilegi di accesso ai dati e il ruolo organizzativo del personale che vi accede (art. 34 del D.lgs n. 196 del 2003);
Gruppo di studio sicurezza e privacy 16
Misure di sicurezza informatiche
• È verificata l'adozione di misure di protezione delle postazioni di lavoro, dei server e dell'infrastruttura di rete, conformi alle disposizioni contenute nell' Allegato B del D.lgs n. 196 del 2003. In particolare:• configurazione delle stazioni di lavoro che preveda il blocco automatico delle stesse
dopo un certo tempo di inattività dell' operatore (screen-saver con richiesta password);
• installazione di programmi di protezione per le stazioni di lavoro e server al fine di mitigare i rischi di accesso ai dati o la loro manomissione (sw antivirus e firewall antintrusione);
• aggiornamento periodico del sistema operativo e del software di protezione;• in caso di utilizzo di reti senza fili (wireless), adozione di protocolli di sicurezza idonei
a limitare il rischio che le trasmissioni dati siano intercettabili da parte di soggetti esterni non autorizzati.
Gruppo di studio sicurezza e privacy 17
Misure di sicurezza non informatiche
• È verificata l'adozione delle seguenti misure di sicurezza:• conservazione delle dichiarazioni e della relativa documentazione separatamente dai
documenti acquisiti dall'intermediario per altre attività dallo stesso svolte;• conservazione separata dei documenti contenenti dati sensibili dal resto della
documentazione archiviata;• presenza di spazi idonei ed accessibili esclusivamente a personale autorizzato per la
conservazione dei documenti relativi all' attività di trasmissione delle dichiarazioni fiscali e dei supporti contenenti il backup dei dati;
• esistenza, nei casi in cui l'attività di assistenza/trasmissione non si risolva in un' opera pressoché personale del soggetto abilitato, ma si dispieghi, piuttosto, in base ad un' articolata struttura organizzativa, di procedure per l'accesso e la gestione degli archivi;
• conservazione della documentazione fiscale secondo le modalità e per il periodo previsti dalle vigenti disposizioni
Gruppo di studio sicurezza e privacy 18
Esito dei controlli
• Secondo quanto previsto dall' art. 8 del DM 31 luglio 1998, il mancato rispetto dei predetti obblighi di riservatezza costituisce causa di revoca dell' abilitazione al canale Entratel.
• Le irregolarità emerse dai controIli saranno segnalate, quindi, dagli uffici di audit alle strutture delle Direzioni regionali competenti ad avviare le iniziative di revoca, di cui al comma 3 del citato art. 8.
Gruppo di studio sicurezza e privacy 19
Estensione dell’obbligo di riservatezza
• Le regole sulla riservatezza devono essere osservate non soltanto nello svolgimento delle attività in cui si articola il processo di trasmissione telematica, ma anche nell’esecuzione delle altre attività, sia propedeutiche a tale trasmissione (ricezione della documentazione, verifiche di conformità, liquidazione delle imposte, ecc.), sia conseguenti come le operazioni di conservazione delle dichiarazioni e della relativa documentazione
Gruppo di studio sicurezza e privacy 20
Regolamento (UE) 2016/679Relativo alla protezione delle persone fisiche con riguardo al trattamento
dei dati personali, nonché alla libera circolazione di tali dati
e che abroga la direttiva 95/46/CE
Manca circa un anno all’entrata in vigore…
Riforma della normativa privacy
• Era da anni che se ne parlava, sin dal 2010, per aggiornare i principi enunciati nella direttiva del 1995, in modo da tenere il passo con i grandi cambiamenti nel trattamento dei dati apportati da Internet e globalizzazione (es. social networks, shopping on-line e servizi di e-banking), dalle sfide per la sicurezza e il controllo antiterrorismo, dalla maggiore coesione territoriale e traffico transfrontaliero e dallo sviluppo del mercato unico
Cronologia
• 25/01/2012 Proposta della commissione europea COM(2012)0011
• 07/03/2012 Parere del Garanteeuropeo per la privacy (EDPS) OJ C 192 30.06.2012, p. 0007
• 23/05/2012 Parere del ComitatoEconomico e Sociale Europeo(ESC) CES1303/2012
24
Cronologia
• 16/01/2013 Incardinamento al Parlamento Europeo (EP) della proposta legislativa
• 12/03/2014 Adozione del testo del Parlamento Europeo (EP) in plenaria T7-0212/2014
• 10/06/2014 Risposta della Commissione Europea SP(2014)455
25
Cronologia
• 05/06/2014 avvio del dibattito generale e orientativo nel Consiglio dell’Unione Europea
• 15/12/2015 raggiunto un accordo tra Parlamento, Consiglio e Commissione (Trilogo)
• 27/04/2016 a seguito dell'accordo politico raggiunto in sede di trilogo, i testi definitivi sono stati formalmente adottati dal Parlamento europeo e dal Consiglio
• 04/05/2016 RGPD pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE)
26
Dal 24/05/2018le nuove norme
saranno applicabili in tutta la UE
…e prevarranno sulle normative nazionali, che dovranno nel frattempo essere adeguate alle previsioni del nuovo regolamento che è già in vigore
Adeguamento delle normative nazionali
• Anche se il Regolamento sarà direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea, in quanto non richiede una legge di recepimento nazionale, diverse sue disposizioni lasciano liberi gli Stati Membri - o richiedono agli stessi - di introdurre ulteriori regole e condizioni
• Gli Stati avranno due anni per porre in essere gli adeguamenti richiesti dalla normativa in questione alle proprie politiche per la protezione ed il trattamento dei dati personali.
• Infatti, oltre al Regolamento, del pacchetto di riforma, fa parte una Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali
Finalità dichiarate
• porre rimedio al disomogeneo recepimento da parte degli Stati membri della direttiva 95/46/CE
• sostituire gli obblighi di tipo formale e burocratico con attività finalizzate ad una maggiore responsabilizzazione e consapevolezza dei rischi
• introdurre nuovi diritti a tutela delle persone
• rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell’Unione europea
Premessa sulle convenzioni dell’esposizione
Analisi e confronto
d.lgs.196/2003
• Cosa è previsto / definito ora, valido in particolare per l’Italia
Reg.(UE)2016/679
• Cosa sarà valido dal 2018 per tutta l’Unione Europea
Se rappresenta qualcosa di nuovo o una modifica significative si usa un segno
d.lgs.196/2003
• Cosa è previsto / definito ora, valido in particolare per l’Italia
Reg.(UE)2016/679
• Cosa sarà valido dal 2018 per tutta l’Unione Europea
Se prevede un intervento di adeguamento delle normative nazionali
Reg.(UE)2016/679
• Gli Stati membri possono mantenere o introdurre disposizioni e misure più specifiche per adeguare l'applicazione delle norme del regolamento
• In taluni casi ciò è necessario
Breve storia delle norme «privacy»
Evoluzione normativa
• Razionalizzare le numerose disposizioni in materia di trattamento dati: eliminarle dove ridondanti, semplificarle e aggiornarle
Gruppo di studio sicurezza e privacy 35
L. 675/96(tutela delle persone
e altri soggetti rispettoal trattamento dei
dati personali)
Altre norme
DPR 318/99(regolamento recante
norme per l’individuazionedelle misure minime di
sicurezza per il trattamentodei dati personali)
Codice in materia di protezione dei
dati personaliD.Lgs 196/2003 s.m.i.
PARTE I PARTE IIIPARTE II ALLEGATI
Norme di Caratteregenerale relative a qualsiasi tipo di trattamento dati
Norme riferitea trattamentieffettuati in ambiti particolari: -Pubb.Amm.-Giudiziario-Sanitario- Lavoro- ecc.
Norme riferitealla tuteladell’interessatoe sanzioni
A) CodicideontologiciB) Disciplinaretecnicoin materia dimisure minimedi sicurezza C) Trattamentinon occasionaliin ambitoGiudiziario oper fini di Polizia
La struttura del D.Lgs. 196/2003
Gruppo di studio sicurezza e privacy 36
Ambito della norma
Ambito di applicazione materiale
d.lgs.196/2003
• Nessuna limitazione
Reg.(UE)2016/679 art. 2
• si applica
• al trattamento interamente o parzialmente automatizzato di dati personali e
• al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Banca di dati - Archivio
d.lgs.196/2003 art. 5
Banca di dati
• qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti
Archivio
• qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
Reg.(UE)2016/679 art. 4
Esclusione
d.lgs.196/2003 art. 5
• Non si applica se il trattamento di dati personali è effettuato da persone fisiche per fini esclusivamente personali
• a meno che i dati non siano destinati ad una comunicazione sistematica o alla diffusione
Reg.(UE)2016/679 art. 2
• Non si applica ai trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico
Esclusione
Reg.(UE)2016/679
Considerando n.20
• Non si applica alle attività relative a trattamenti di dati personali concernenti la sicurezza nazionale e la sicurezza comune della UE
Ambito di applicazione territoriale
d.lgs.196/2003 art. 5
• Si applica al trattamento di dati personali, anche detenuti all'estero, effettuato da chiunqueè stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità italiana.
Reg.(UE)2016/679 art. 3
• Si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimentoda parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.
Ambito di applicazione territoriale
d.lgs.196/2003 art. 5
• Si applica al trattamento di dati personali effettuato anche da chi non è stabilito nel territorio di un Paese dell'Unione europea e impiega strumenti situati nel territorio dello Stato italiano, salvo che essi siano utilizzati solo ai fini di transito.
Reg.(UE)2016/679 art. 3• si applica al trattamento dei dati
personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
• a) l'offerta di beni o la prestazione di servizi, indipendentemente dall'obbligatorietà di un pagamento, oppure
• b) il monitoraggio del loro comportamento
Dato personale
d.lgs.196/2003 art. 4
• qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente
Reg.(UE)2016/679 art. 4
• qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);
Evoluzione del concetto di dato personale (1)
• Prima delle modifiche del 2012*, l’insieme dei dati personali comprendeva:• Sia i dati personali
“umani”
• Sia i dati “aziendali”
• Dopo, i dati “aziendali” non sono più inclusi
50
Dati personali “umani”
Dati “aziendali” Dati non personali
Dati personali “umani”
Dati comuniDati “aziendali”
* art. 40, secondo comma, del d.l. n. 201 del 6 dicembre 2011, convertito con legge n. 214 del 22 dicembre 2011
Dati genetici
d.lgs.196/2003 e provvedimenti vari
• Dati sensibili riguardanti le informazioni sul genoma di una persona fisica
Reg.(UE)2016/679 art. 4
• i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione
Dati biometrici
d.lgs.196/2003 e provvedimenti vari
• dati riferiti a persona fisica derivabili dalla misurazione di varie caratteristiche somatiche, fisiologiche o comportamentali che ne consentono un'identificazione certa,
• quali ad esempio:• Caratteristiche della voce• Impronte digitali e Geometria della mano• Informazioni di tipo comportamentale• Riconoscimento dell’iride o retina• Rilevazione facciale
Reg.(UE)2016/679 art. 4
• i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici
Dati relativi alla salute
d.lgs.196/2003 e provvedimenti vari
• dati personali sensibili idonei a rivelare lo stato di salute
• i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute
Reg.(UE)2016/679 art. 4
Categorie particolari di dati personali
d.lgs.196/2003 art. 4
dati personali sensibili
• sono quelli idonei a rivelare :• l'origine razziale ed etnica,
• le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
• lo stato di salute
• la vita sessuale
• dati personali che rivelino:• l'origine razziale o etnica, • le opinioni politiche, le convinzioni
religiose o filosofiche, o l'appartenenza sindacale
• dati relativi a• la salute • la vita sessuale • l'orientamento sessuale della persona
• dati genetici• dati biometrici
Reg.(UE)2016/679 art. 9
Categorie particolari di dati personali
• Dati genetici
• Dati biometrici (identificativi)
• Dati Sensibili (ex D.Lgs 196/03)• Si tratta di dati personali “umani”
idonei a rivelare:• (A) I l'origine razziale ed etnica• (B) le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
• (C) lo stato di salute • (D) la vita sessuale
Gruppo di studio sicurezza e privacy 57
S3 S4S2S1
B
G
Dati relativi a condanne penali e reati o a connesse misure di sicurezza d.lgs.196/2003 art. 4
dati personali giudiziari
• i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi del codice di procedura penale
• Dati relativi a condanne penali e reati o a connesse misure di sicurezza
Reg.(UE)2016/679 art. 10
Ruoli
Attori coinvolti
• Soggetti che effettuano il trattamento
• Soggetti che subiscono il trattamento
Interessato (data subject)
d.lgs.196/2003 art. 4
• la persona fisica cui si riferiscono i dati personali
Reg.(UE)2016/679 art. 4
• la persona fisica identificata o identificabile
Titolare del trattamento (data controller)
d.lgs.196/2003 art. 4
• la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
Reg.(UE)2016/679 art. 4
• la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri
Contitolari del trattamento
d.lgs.196/2003 Reg.(UE)2016/679 art. 26
• due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento
Responsabile del trattamento (data processor)
d.lgs.196/2003 art. 4
• la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
Reg.(UE)2016/679 art. 4, art. 28 co.10
• la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
• se un responsabile del trattamento viola il regolamento, determinando le finalità e i mezzi del trattamento, va considerato titolare del trattamento in questione
Incaricati del trattamento (persons authorized)
d.lgs.196/2003 art. 4
• le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile
Reg.(UE)2016/679 art. 4
• le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile
• (per estensione)
Esempio di OrganigrammaLegenda:
TT=Titolare del trattamento (organizzazione stessa o interno)
RRI=Responsabile del riscontro all’interessato
RRGPA=Responsabile del riscontro al Garante e alla Pubblica Amministrazione
RST=Responsabile della sicurezza del trattamento (interno all’organizzazione)
ADS=Amministratore di sistema
RGSE=Responsabile della gestione e della manutenzione degli strumenti elettronici
ICCC=Incaricato della custodia delle copie delle credenziali di autenticazione
ICSBD=Incaricato delle copie di sicurezza delle banche dati
IMTZ=Incaricato della manutenzione o assistenza su particolari strumenti o programmi elettronici, senza qualifica di Amministratori di sistema
ACL=Addetto al controllo dei locali
APLZ=Addetto alle pulizie e manutenzioni ordinarie
ASRV=Addetto alla sorveglianza e vigilanza
RTEXT=Responsabile del trattamento (esterno all’organizzazione; può essere nominato da TT o RST)
Gruppo di studio sicurezza e privacy 73
Il «gioco» dellaprivacy.. una metafora applicativa
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo di
conservazione
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Definire il trattamento
Principi applicabili al trattamento di dati personali
Principio di liceità, correttezza e trasparenza
d.lgs.196/2003 art. 11 co. 1 lett. a)
• I dati personali oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza
Reg.(UE)2016/679 art. 5 co. 1 lett. a)
• I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato
Principio di limitazione della finalità
d.lgs.196/2003 art. 11 co. 1 lett. b)
• I dati personali oggetto di trattamento devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi
Reg.(UE)2016/679 art. 5 co. 1 lett. b)
• I dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità
Principio di minimizzazione dei dati
d.lgs.196/2003 art. 11 co. 1 lett. d)
• I dati personali oggetto di trattamento devono essere• completi,
• pertinenti e
• non eccedenti
• rispetto alle finalità per le quali sono raccolti o successivamente trattati
Reg.(UE)2016/679 art. 5 co. 1 lett. c)
• I dati personali sono • adeguati,
• pertinenti e
• limitati
• a quanto necessario rispetto alle finalità per le quali sono trattati
Principio di esattezza
d.lgs.196/2003 art. 11 co. 1 lett. c)
• I dati personali oggetto di trattamento devono essere esatti e, se necessario, aggiornati
Reg.(UE)2016/679 art. 5 co. 1 lett. d)
• I dati personali sono esatti e, se necessario, aggiornati
• Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
Principio di limitazione della conservazione(o di proporzionalità)
d.lgs.196/2003 art. 11 co. 1 lett. e)
• I dati personali oggetto di trattamento devono essere conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Reg.(UE)2016/679 art. 5 co. 1 lett. e)
• I dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati
Principio di integrità e riservatezza
(Obblighi di sicurezza)
d.lgs.196/2003 art. 31• I dati personali oggetto di trattamento
sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi
• di distruzione o perdita, anche accidentale, dei dati stessi,
• di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
Reg.(UE)2016/679 art. 5 co. 1 lett. f)
• I dati personali sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate,
• da trattamenti non autorizzati o illeciti e
• dalla perdita, dalla distruzione o dal danno accidentali
Principio di responsabilizzazione (accountability)
Reg.(UE)2016/679 art. 5 co. 2• Il titolare del trattamento deve
essere in grado di comprovare il rispetto, che gli compete, di tutti i principi:
1. liceità, correttezza e trasparenza2. limitazione della finalità3. minimizzazione dei dati4. esattezza5. limitazione della conservazione6. integrità e riservatezza
La responsabilizzazione comporta
• adozione di politiche privacy
• implementazione di misure tecniche e organizzative adeguate
• conservazione della documentazione di tutti i trattamenti • effettuati sotto la propria titolarità (e responsabilità),
• indicando obbligatoriamente per ognuno di essi una serie nutrita di informazioni, tali da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni del Regolamento
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Quale presupposto di legittimità?
Liceità del trattamento Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni
Consenso esplicito
d.lgs.196/2003 art. 23 co. 1
• Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato
• Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso
Reg.(UE)2016/679 art. 6 co. 1 lett. a)
• l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità
Obblighi contrattuali e precontrattuali
d.lgs.196/2003 art. 24 co. 1 lett. b)
• Il consenso non è richiesto quando il trattamento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato
Reg.(UE)2016/679 art. 6 co. 1 lett. b)
• il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso
Obbligo legale
d.lgs.196/2003 art. 24 co. 1 lett. a)
• Il consenso non è richiesto quando il trattamento è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria
Reg.(UE)2016/679 art. 6 co. 1 lett. c)
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
Salvaguardia degli interessi vitali
d.lgs.196/2003 art. 24 co. 1 lett. e)
• Il consenso non è richiesto quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo
Reg.(UE)2016/679 art. 6 co. 1 lett. d)
• il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica
Interesse pubblico o Esercizio di pubblici poteri
d.lgs.196/2003 art. 18
• Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
• I soggetti pubblici non devono richiedere il consenso dell'interessato.
Reg.(UE)2016/679 art. 6 co. 1 lett. e)
• il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento
Legittimo interesse
d.lgs.196/2003 art. 24 co. 1 lett. g)• Il consenso non è richiesto quando il
trattamento, • con esclusione della diffusione,
• è necessario, • nei casi individuati dal Garante sulla base
dei princìpi sanciti dalla legge,
• per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati,
• qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato
Reg.(UE)2016/679
art. 6 co. 1 lett. f)• il trattamento,
• purché non sia effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti,
• è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi,
• a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, • in particolare se l'interessato è un minore
Esempio: Cybersicurezza delle reti
d.lgs.196/2003
Reg.(UE)2016/679
Considerando n. 49
• Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione
Divieto di trattare le categorie particolari di dati personali (sensibili, genetici, biometrici)Ammenochè non ricorrano le seguenti deroghe
Consenso esplicito
d.lgs.196/2003 art. 26 co.1
• con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.
Reg.(UE)2016/679 art. 9 co.1
• l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto
Obblighi giuslavoristici e di protezione sociale
d.lgs.196/2003 art. 26 co.1
• il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza
Reg.(UE)2016/679 art. 9 co.2 lett.a)
• il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo
Obblighi giuslavoristici e di protezione sociale
d.lgs.196/2003 art. 26 co.4 lett.d)
• il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza
Reg.(UE)2016/679 art. 9 co.2 lett. b)
• il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo
Organismi senza scopo di lucro che perseguono finalità politiche, filosofiche, religiose o sindacali
d.lgs.196/2003 art. 26 co.4 lett.a)• il trattamento è effettuato da associazioni,
enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffuse
Reg.(UE)2016/679 art. 9 co.• il trattamento è effettuato, nell'ambito delle
sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato
Tutela di un interesse vitale
d.lgs.196/2003 art. 26 co.4 lett.b)
• quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo
Reg.(UE)2016/679 art. 9 co.2 lett. c)
• il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso
Dati pubblici
d.lgs.196/2003 art.
Reg.(UE)2016/679 art. 9 co.2
lett.e)
• il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato
Difesa di un diritto in sede giudiziaria
d.lgs.196/2003 art. 26 co.4 lett.c)• quando il trattamento è necessario ai fini
dello svolgimento delle investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto,• sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
• Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile
Reg.(UE)2016/679 art. 9 co.2 lett.f)
• il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali
Esercizio di un diritto in sede giudiziaria
d.lgs.196/2003 art. 47
• In caso di trattamento di dati personali effettuato presso uffici giudiziari di ogni ordine e grado, presso il Consiglio superiore della magistratura, gli altri organi di autogoverno e il Ministero della giustizia, non si applicano, se il trattamento è effettuato per ragioni di giustizia, alcune disposizioni del codice
Reg.(UE)2016/679 art. 9 co.2 lett.f)
• ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali
Rilevante interesse pubblico
d.lgs.196/2003 art. 20
• Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite
Reg.(UE)2016/679 art. 9 co.2 lett.g)
• Il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, • che deve essere proporzionato alla
finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato
Medicina e valutazione della capacità lavorativa
d.lgs.196/2003 art. 20
• Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico, trattano i dati personali idonei a rivelare lo stato di salute anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica di un terzo o della collettività.
Reg.(UE)2016/679 art. 9 co.2 lett. h)• il trattamento è necessario per finalità di
medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità
• trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale
Sanità pubblica
d.lgs.196/2003 art. 85• si considerano di rilevante interesse pubblico le finalità che
rientrano nei compiti del Servizio sanitario nazionale e degli altri organismi sanitari pubblici relative alle seguenti attività:
• a) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadini italiani all'estero, nonché di assistenza sanitaria erogata al personale navigante ed aeroportuale;
• b) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;
• c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;
• d) attività certificatorie; • e) l'applicazione della normativa in materia di igiene e sicurezza
nei luoghi di lavoro e di sicurezza e salute della popolazione; • f) le attività amministrative correlate ai trapianti d'organo e di
tessuti, nonché alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107;
• g) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale.
Reg.(UE)2016/679 art. 9 co.2 lett. i)
• il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici
Rilevante interesse pubblico
d.lgs.196/2003 art. 20
Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici
• Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite
Reg.(UE)2016/679 art. 9 co.2 lett. j)
• il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Dati relativi a condanne penali e reati o a connesse misure di sicurezza
(dati giudiziari)
Liceità del trattamento
d.lgs.196/2003 art. 21 e 27
• è consentito solo se autorizzato da espressa disposizione di Legge o provvedimento del Garante
• per finalità di rilevante interesse pubblico con specificazione dei tipi di dati trattati e di operazioni eseguibili
Reg.(UE)2016/679 art. 10
• deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dalla Legge
• Sulla base di garanzie appropriate per i diritti e le libertà degli interessati.
Registro completo delle condanne penali
Reg.(UE)2016/679 art. 10
• Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Rendere l’informativa
all’interessato
Informativanon si applica se e nella misura in cui l'interessato dispone già di tutte le informazioni previste
Circostanze in cui l’informativa è necessaria
d.lgs.196/2003 art. 13
• L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto
Reg.(UE)2016/679 art. 13/14
• In caso di raccolta presso l'interessato
• Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella originaria
Circostanze in cui l’informativa è necessaria
d.lgs.196/2003 art. 13
• Se i dati personali non sono raccolti presso l'interessato, l'informativa è data al medesimo interessato all'atto della registrazione dei dati o non oltre la prima comunicazione (se prevista)
Reg.(UE)2016/679 art. 14
• Qualora i dati non siano stati ottenuti presso l'interessato
• L’informativa va resa
1. entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese
2. nel caso in cui i dati personali siano destinati alla comunicazione (con l'interessato o ad altro destinatario), al più tardi al momento della prima comunicazione
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.1 lett. f)
• gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato
Reg.(UE)2016/679
art. 13/14 co.1 lett. a)
• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.1 lett. f)• gli estremi identificativi del
responsabile. • Quando il titolare ha designato più
responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.
• Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti, è indicato tale responsabile.
Reg.(UE)2016/679
art. 13/14 co.1 lett. b)
• i dati di contatto del responsabile della protezione dei dati, ove applicabile
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.1 lett. a)
• le finalità e le modalità del trattamento cui sono destinati i dati
Reg.(UE)2016/679
art. 13/14 co.1 lett. c)
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art.13co.1 lett.d) art.14co.2 lett. b)
• L’indicazione dei legittimi interessi perseguiti• Questa indicazione è da fornire solo
qualora il trattamento si basi sul presupposto di liceità dipendente dal legittimo interesse
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.4
• Se i dati personali non sono raccolti presso l'interessato, l'informativa è comprensiva delle categorie di dati trattati
Reg.(UE)2016/679
art. 14 co.1 lett. d)
• le categorie di dati personali in questione• Questa indicazione è da fornire solo
qualora i dati non siano stati ottenuti presso l'interessato
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.1 lett. d)
• i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi
Reg.(UE)2016/679
art. 13/14 co.1 lett. e)
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art. 13/14 co.1 lett. f)
• ove applicabile,
1. l'intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale e
2. l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art. 13/14 co.2 lett. a)
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.1 lett. e)
• i diritti dell’interessato (di accesso ai dati personali ed altri)
Reg.(UE)2016/679
art. 13/14 co.2 lett. b/c)
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art. 13/14 co.2 lett. d/e)
• il diritto di proporre reclamo a un'autorità di controllo
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art. 13/14 co.2 lett. c/d)
• l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca • Questa indicazione è da fornire solo
qualora il trattamento sia basato sul consenso esplicito dell’interessato
Contenuti dell’informativa
d.lgs.196/2003 art. 13 co.1 lett. b/c)
• la natura obbligatoria o facoltativa del conferimento dei dati
• le conseguenze di un eventuale rifiuto di rispondere
Reg.(UE)2016/679
art. 13 co.2 lett. e)• se la comunicazione di dati
personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati • Questa indicazione è da fornire solo
qualora i dati siano stati raccolti ed ottenuti presso l'interessato
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art. 14 co.2 lett. f)
• la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico • Questa indicazione è da fornire solo
qualora i dati non siano stati ottenuti presso l'interessato
Contenuti dell’informativa
d.lgs.196/2003 art. 13
Reg.(UE)2016/679
art. 13/14 co.2 lett. f/g)
• l'esistenza di un processo decisionale automatizzato, compresa la profilazione , in tal caso, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Se necessario, acquisire il consenso
Gestione del consenso
Dimostrazione
d.lgs.196/2003 art. 23 co. 3
• Il consenso è validamente prestato solo • se è espresso liberamente e
specificamente in riferimento ad un trattamento chiaramente individuato,
• se è documentato per iscritto, e• se è stata resa all'interessato
l’informativa
Reg.(UE)2016/679 art. 7
• Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali
• La richiesta di consenso è distinta da altre questioni
Minore di età
Dpr 448/1988 art.13
d.lgs.196/2003 art.50
• divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un minore
Reg.(UE)2016/679 art. 8• Nel caso di trattamento correlato ai
servizi della società dell'informazione, il consenso è lecito:
• se il minore ha almeno 16 anni• gli Stati Membri possono portare la
soglia a 13 anni
• oppure se è prestato/autorizzato da chi esercita la responsabilità genitoriale, previa ragionevole verifica del titolare del trattamento
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Adottare le misure di protezione
Obblighi generali: misure di protezione
Politiche di protezione dei dati
d.lgs.196/2003 art. 17
• Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti.
Reg.(UE)2016/679 art. 24 co.2
• Se ciò è proporzionato rispetto alle attività di trattamento, il titolare del trattamento attua politicheadeguate in materia di protezione dei dati• tenuto conto della natura, dell'ambito
di applicazione, del contesto e delle finalità del trattamento,
• nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche,
Privacy by design
fin dalla progettazione,il titolare del trattamento mette in atto misure tecniche e organizzative adeguate volte a1. attuare in modo efficace i principi di protezione dei dati (es.
Minimizzazione)2. a integrare nel trattamento le necessarie garanzie al fine di soddisfare i
requisiti del presente regolamento e tutelare i diritti degli interessati
• Tenendo conto dello stato dell'arte e dei costi di attuazione • nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del
trattamento, • come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche
Reg.(UE)2016/679 art. 25
Privacy by default
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire 1. che siano trattati, per impostazione predefinita, solo i dati personali
necessari per ogni specifica finalità del trattamentoTale obbligo vale per• la quantità dei dati personali raccolti, • la portata del trattamento, • il periodo di conservazione e • l'accessibilità
2. che non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica
Reg.(UE)2016/679 art. 25
Principio di necessità
• I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità
d.lgs.196/2003 art. 3
Misure di sicurezza
d.lgs.196/2003 art. 31
• I dati personali oggetto di trattamento sono custoditi e controllati mediante l'adozione di idonee e preventive misure di sicurezza• anche in relazione alle conoscenze
acquisite, in base al progresso tecnico,• alla natura dei dati e alle specifiche
caratteristiche del trattamento, • in modo da ridurre al minimo i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Reg.(UE)2016/679 art. 32• il titolare e i responsabili del
trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezzaadeguato al rischio • Tenendo conto dello stato dell'arte e
dei costi di attuazione, • nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento,
• come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
Rischi di cui tenere conto
d.lgs.196/2003 art. 31
1. di distruzione o perdita, anche accidentale, dei dati stessi,
2. di accesso non autorizzato
3. di trattamento non consentito o non conforme alle finalità della raccolta.
• in modo da ridurli al minimo
Reg.(UE)2016/679 art. 32 co.2
• per i diritti e le libertà delle persone
• che derivano, in particolare:
1. dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata
2. dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
• per valutare l'adeguato livello di sicurezza
Rischi per i diritti e le libertà delle persone
• Pregiudizio e discriminazione
• Furto di identità
• Invasività nella sfera privata
• Danno fisico, materiale o morale
• Perdita di riservatezza dei dati protetti
• Perdite finanziarie
Reg.(UE)2016/679 art. 32 co.2
Misure minime
d.lgs.196/2003 art. 33, 34, 35, 36
• I titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nella norma, volte ad assicurare un livello minimo di protezione dei dati personali• Trattamenti con e senza strumenti
elettronici
Reg.(UE)2016/679
• Non previste esplicitamente
• Ve sono solo alcune misure suggerite, se del caso
Misure di sicurezza suggerite
• Pseudonimizzazione
• Cifratura dei dati personali
• Capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
• Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico
• Procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
Reg.(UE)2016/679 art. 32
Misure minime di sicurezza
• Il Codice – a differenza della Legge 675/96 – distingue le misure di sicurezza in relazione• Trattamenti senza strumenti elettronici
• Trattamenti con strumenti elettronici
• Le modalità tecniche di attuazione delle misure minime di sicurezza sono previste nel Disciplinare Tecnico (allegato B)
• Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari
Gruppo di studio sicurezza e privacy 158
d.lgs.196/2003 artt. 33-36Allegato B
Misure minime di sicurezza (2)
• Definizione dei compiti e dell'ambito del trattamento consentito
• Previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
• Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati
Almeno una volta all’anno:
• Effettuazione dell'analisi dei rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
• Aggiornamento dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
• Formazione ed informazione degli incaricati/responsabili
Gruppo di studio sicurezza e privacy 159
d.lgs.196/2003 artt. 33-36Allegato B
Misure minime di sicurezza (3)
Nel caso di utilizzo di strumentazione elettronica:
• Utilizzazione di un sistema autenticazione informatica;
• Adozione di procedure di gestione delle credenziali di autenticazione
• Utilizzazione di un sistema di autorizzazione
• Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
• Adozione di procedure per la custodia di copie di sicurezza (back-up), il ripristino della disponibilità dei dati e dei sistemi
• Aggiornamento periodico di sistemi operativi, software di protezione e di trattamento
Gruppo di studio sicurezza e privacy 160
d.lgs.196/2003 artt. 33-36Allegato B
Istruzioni obbligatorie
• Chiunque (incaricato o responsabile) abbia accesso ai dati deve essere istruito al riguardo da parte del titolare del trattamento
Reg.(UE)2016/679 art. 29, art. 32 co.4
Valutazione di impatto
il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali
1. In generale, quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento
2. In particolare, obbligatoria in taluni casi (…)
3. Salvo i casi in cui ciò non sia esplicitamente escluso (…)
Reg.(UE)2016/679 art. 35
Che ci ricordano?
soppresso dal decreto legge 9 febbraio 2012, si trattava del DPS (documento programmatico sulla sicurezza), da redigere entro il 31/03 di ogni anno, contenente tra l’altro, idonee informazioni riguardo:
• 19.3. l'analisi dei rischi che incombono sui dati;
• 19.6. la previsione di interventi formativi
• 19.7. la descrizione dei criteri per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all'esterno
• 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l'individuazione dei criteri per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato
d.lgs.196/2003 artt. 33-36Allegato B punto 19
Situazioni in cui vige l’obbligo dellaValutazione di impatto
1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche
2. trattamento, su larga scala, di categorie particolari di dati personali (sensibili, genetici, biometrici identificativi) o di dati relativi a condanne penali e a reati (giudiziari)
3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
4. per le tipologie di trattamenti inserite negli elenchi predisposti dalle autorità di controllo
Reg.(UE)2016/679 art. 35 co.3/4
Situazioni in cui è escluso l’obbligo dellaValutazione di impatto
1. per le tipologie di trattamenti inserite negli elenchi predisposti dalle autorità di controllo
Reg.(UE)2016/679 art. 35 co.5
Cosa si intende per «larga scala»? (1)
• Inizialmente negli atti del Parlamento Europeo, un trattamento si considerava su «larga scala» se riguardava non meno di 5 000 interessati durante qualsiasi periodo di 12 mesi consecutivi
• Un’indicazione quantitativa certa, al momento, non c’è!
Cosa si intende per «larga scala»? (2)
• Esiste una linea guida del 13/12/2016 del WP29: si deve tenere conto di:
1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
3. la durata, ovvero la persistenza, dell’attività di trattamento;
4. la portata geografica dell’attività di trattamento
Esempi di trattamenti su «larga scala»
trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che
potrebbero incidere su un vasto numero di interessati
trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività
trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro
tracciamento attraverso titoli di viaggio)
trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle
ordinarie attività;
trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile
specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
sorveglianza svolta da un’impresa di sicurezza privata relativa a più centri commerciali e aree pubbliche
Non è su «larga scala»:
trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario
trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato
trattamento di dati personali relativi a contribuenti svolto da un singolo fiscalista
Consultazione preventiva
d.lgs.196/2003 art. 17 co.2 e art. 55• Le misure e gli accorgimenti a garanzia
dell'interessato• Nel caso di trattamento che presenta
rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare
• sono prescritti dal Garante in applicazione dei principi sanciti dal codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
Reg.(UE)2016/679 art. 36• Il titolare del trattamento, prima di
procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio
• L'autorità di controllo fornisce un parere, entro 8 settimane, prorogabili di ulteriori 6
Responsabile della protezione dei dati (DPO=Data Protection Officer)
Reg.(UE)2016/679 art. 37
• È una nuova figura
• Affianca sia il titolare, sia il responsabile del trattamento
• Obbligatoria in alcuni casi
• Simile al RSPP nella sicurezza sul lavoro
• Può essere condiviso tra più soggetti
Situazioni in cui vige l’obbligo del DPO
Ogniqualvolta
1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, • eccettuate le autorità giurisdizionali quando esercitano le loro funzioni
giurisdizionali;
2. le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (sensibili, genetici, biometrici identificativi) o di dati relativi a condanne penali e a reati (giudiziari)
4. negli ulteriori casi previsti dalle leggi nazionali e UE
Reg.(UE)2016/679 art. 37 co.1/4
Cosa si intende per «attività principale»?
• A giudizio del WP29 sono:
• operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento
• che non escludono quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte
Cosa si intende per «monitoraggio regolare»?
• A giudizio del WP29, si intende almeno uno dei seguenti significati:
1. che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
2. ricorrente o ripetuto a intervalli costanti;
3. che avviene in modo costante o a intervalli periodici.
Cosa si intende per «monitoraggio sistematico»?• A giudizio del WP29, si intende almeno uno dei seguenti significati:
1. che avviene per sistema;
2. predeterminato, organizzato o metodico;
3. che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
4. svolto nell’ambito di una strategia
Esempi di «monitoraggio regolare e sistematico»• tracciamento e profilazione su Internet
(anche per finalità di pubblicità comportamentale)
• curare il funzionamento di una rete di telecomunicazioni
• prestazione di servizi di telecomunicazioni
• reindirizzamento di messaggi di posta elettronica
• profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio)
• tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili
• programmi di fidelizzazione
• pubblicità comportamentale
• monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili
• utilizzo di telecamere a circuito chiuso
• dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, IoT, industria 4.0, ecc.
Competenze e Posizione del DPO
• è designato in funzione
1. delle qualità professionali, in particolare
2. della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e
3. della capacità di assolvere i compiti stabiliti dal regolamento
• può operare come dipendente o in base a un contratto di servizi
• riferisce direttamente al vertice gerarchico
• non è rimosso o penalizzato per l'adempimento dei propri compiti
Reg.(UE)2016/679 art. 37 co.5/6, art. 38
Competenze e Posizione del DPO
• non riceve alcuna istruzione per quanto riguarda l'esecuzione di tali compiti
• gli sono fornite le risorse necessarie per • assolvere tali compiti
• accedere ai dati personali e ai trattamenti
• Mantenere la propria conoscenza specialistica
• può svolgere altri compiti e funzioni a meno che non diano adito a un conflitto di interessi
Reg.(UE)2016/679 art. 38
Compiti del DPO
1. informare e fornire consulenza al titolare o al responsabile nonché agli incaricati responsabile del trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni di legge relative alla protezione dei dati;
2. sorvegliare l'osservanza dei predetti obblighi nonché delle politiche adottate in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
Reg.(UE)2016/679 art. 39
Compiti del DPO
3. fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento
4. cooperare con l'autorità di controllo
5. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui
6. effettuare, se del caso, consultazioni relativamente a qualunque altra questione
• Tutto ciò considerando debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo
Reg.(UE)2016/679 art. 39
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Documentare il rispetto degli adempimenti
Obblighi generali: ulteriori adempimenti
Garanzia e Dimostrazione di conformità
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per
1. garantire ed
2. essere in grado di dimostrare
che il trattamento è effettuato conformemente al regolamento. • tenuto conto della natura, dell'ambito di applicazione, del contesto e delle
finalità del trattamento,
• nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
Reg.(UE)2016/679 art. 24 co.1
Possibile dimostrazione di conformità
L'adesione a
• codice di condotta (articolo 40) o
• meccanismo di certificazione (articolo 42)
può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento
Reg.(UE)2016/679 art. 24 co.3
Contitolarità
i contitolari determinano in modo trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal regolamento,
con particolare riguardo all'esercizio dei diritti dell'interessato ed alla resa dell’informativa
a meno che non siano definite per Legge
mediante un accordo internoil cui contenuto essenziale dell'accordo è messo a disposizione dell'interessato
Reg.(UE)2016/679 art. 26
Contitolarità
i contitolari determinano in modo trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal regolamento,
con particolare riguardo all'esercizio dei diritti dell'interessato ed alla resa dell’informativa
a meno che non siano definite per Legge
mediante un accordo internoil cui contenuto essenziale dell'accordo è messo a disposizione dell'interessato
Reg.(UE)2016/679 art. 26
Scelta dei responsabili
d.lgs.196/2003 art. 29 co.2
• il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza
Reg.(UE)2016/679 art. 28 co.1
• Il titolare del trattamento ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato
Contratto tra titolare e responsabile
d.lgs.196/2003 art. 29 co.1, 3
• il responsabile è designato dal titolare
• I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare
Reg.(UE)2016/679 art. 28 co.3
• I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Facoltà di subdelega da parte del responsabile
d.lgs.196/2003 art. 29 co.1, 3
• il responsabile è designato dal titolare
• I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare
Reg.(UE)2016/679 art. 28 co.2
• Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Autorizzazione generale alla subdelega da parte del responsabile
d.lgs.196/2003 Reg.(UE)2016/679 art. 28 co.2
• Nel caso di autorizzazione generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche.
Ricorso alla subdelega da parte del responsabile
Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento,
su tale altro responsabile del trattamento sono imposti, con un contratto, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto originario tra il titolare del trattamento e il responsabile del trattamento
• In caso di omissioni, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.
Reg.(UE)2016/679 art. 28 co.4
Contratto di responsabilità
• è stipulato in forma scritta, anche in formato elettronico
• prevede, in particolare, che il responsabile del trattamento:
1. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo
2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza
Reg.(UE)2016/679 art. 28 co.3, 9
Contratto di responsabilità
3. adotti tutte le misure di sicurezza richieste (articolo 32)
4. rispetti le condizioni per ricorrere a un altro responsabile del trattamento (subdelega)
5. assista il titolare del trattamento per dare seguito alle richieste per l'esercizio dei diritti dell'interessato
6. assista il titolare del trattamento nel garantire il rispetto degli obblighi (articoli da 32 a 36) di sicurezza, di valutazione di impatto e in caso di violazioni
Reg.(UE)2016/679 art. 28 co.3, 9
Contratto di responsabilità
7. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo non sia prevista per Legge la conservazione dei dati
8. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli competono
Reg.(UE)2016/679 art. 28 co.3, 9
Contratto di responsabilità
9. consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato
10.provveda ad informare immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi una norma di legge relativa alla protezione dei dati.
Reg.(UE)2016/679 art. 28 co.3, 9
Clausole contrattuali tipo
il contratto di responsabilità può basarsi, in tutto o in parte, su clausole contrattuali tipo
• Stabilite dalla Commissione UE
• Adottate da un’autorità di controllo
Reg.(UE)2016/679 art. 28 co.6,7,8
Incarichi
d.lgs.196/2003 art. 30
• La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.
Reg.(UE)2016/679 considerando 29
• Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all'interno dello stesso titolare del trattamento
Tenuta dei Registri delle attività di trattamento
• Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte.
• Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento
Reg.(UE)2016/679 art. 30
Semplificazione in merito ai Registri delle attività di trattamento
• Le imprese o organizzazioni con meno di 250 dipendenti, non sono tenute e predisporre i Registri a meno che
• il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato e
1. non sia occasionale o
2. includa il trattamento di categorie particolari di dati (sensibili, genetici, biometrici identificativi) o
3. includa i dati personali relativi a condanne penali e a reati (giudiziari)
Reg.(UE)2016/679 art. 30 co.5
Contenuto dei Registri delle attività di trattamento
Titolare
• il nome e i dati di contatto
1. del titolare del trattamento e,
2. ove applicabile, del contitolare del trattamento,
3. del rappresentante del titolare del trattamento e
4. del responsabile della protezione dei dati
Responsabile• il nome e i dati di contatto 1. del responsabile o dei responsabili
del trattamento2. di ogni titolare del trattamento
per conto del quale agisce 3. del rappresentante del titolare del
trattamento o del responsabile del trattamento e,
4. ove applicabile, del responsabile della protezione dei dati
Contenuto dei Registri delle attività di trattamento
Titolare
• le finalità del trattamento
Responsabile
Contenuto dei Registri delle attività di trattamento
Titolare
• una descrizione delle categorie di interessati e delle categorie di dati personali
Responsabile
• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
Contenuto dei Registri delle attività di trattamento
Titolare
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
Responsabile
Contenuto dei Registri delle attività di trattamento
Titolare
• ove applicabile, i trasferimenti di dati personali verso un paese terzo• compresa l'identificazione del
paese terzo
• la documentazione delle garanzie adeguate
Responsabile
• ove applicabile, i trasferimenti di dati personali verso un paese terzo• compresa l'identificazione del
paese terzo
• la documentazione delle garanzie adeguate
Contenuto dei Registri delle attività di trattamento
Titolare
• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati
Responsabile
Contenuto dei Registri delle attività di trattamento
Titolare
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (art.32)
Responsabile
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (art.32)
Che ci ricordano?
soppresso dal decreto legge 9 febbraio 2012, si trattava del DPS(documento programmatico sulla sicurezza), da redigere entro il 31/03 di ogni anno, contenente tra l’altro, idonee informazioni riguardo:
• 19.1 l'elenco dei trattamenti di dati personali
• 19.2 la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati
• 19.4/19.5 le misure di sicurezza adottate e da adottare (integrità, disponibilità, cifratura, separazione dei dati identificativi, ecc.)
d.lgs.196/2003 artt. 33-36Allegato B punto 19
Documentazione in merito alla violazione dei dati personali
Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese:
1. le circostanze a essa relative • natura, categorie e numero approssimativo di interessati
2. le conseguenze probabili
3. i provvedimenti adottati e da adottare per porvi rimedio
4. il rischio per i diritti e le libertà delle persone fisiche • su cui si basano i due successivi adempimenti
Reg.(UE)2016/679 art. 33
Notifica di una violazione dei dati personali all'autorità di controllo
d.lgs.196/2003 art. 32-bis
• In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante
Reg.(UE)2016/679 art. 33
• In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente• senza ingiustificato ritardo e, ove
possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza,
• a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche
Comunicazione di una violazione dei dati personali all'interessato
d.lgs.196/2003 art. 32-bis
• Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione
Reg.(UE)2016/679 art. 34
• Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo • Salvo che i dati non fossero cifrati,
ecc.
Trasferimenti di dati verso paesi terzi o organizzazioni internazionale
d.lgs.196/2003 art. 43/44
• Il trasferimento (anche temporaneo) di dati personali è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato:• mediante regole di condotta esistenti
nell'ambito di un medesimo gruppo.
• individuate dalla Commissione UE • con una decisione di adeguatezza
• con le clausole contrattuali tipo
Reg.(UE)2016/679 art. 44
• Il trasferimento verso un paese terzo o un'organizzazione internazionale di dati personali destinati a essere oggetto di un trattamento dopo il trasferimento può avere luogo
1. sulla base di una decisione di adeguatezza della Commissione UE
2. se sussistono garanzie adeguate quali, tra l’altro, a) Norme vincolanti d'impresa b) Clausole contrattuali tipo
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Dare eventuale riscontro agli
interessati
Diritti dell’interessatoArt. 12
Risarcimento dei danni
d.lgs.196/2003 art. 15
• Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento
Reg.(UE)2016/679 art. 82
• Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento (responsabili in solido)
Esonero di responsabilità
d.lgs.196/2003 art.10,31,ecc.
• Se dimostra di aver adottato misure idonee
Reg.(UE)2016/679 art. 82
• Se dimostra che l'evento dannoso non gli è in alcun modo imputabile
Limitazione di responsabilità
d.lgs.196/2003 art.10,31,ecc.
• Se dimostra di aver adottato misure idonee
Reg.(UE)2016/679 art. 82
• Un titolare risponde per il danno cagionato dal suo trattamento che violi il regolamento
• Un responsabile del trattamento risponde per il danno solo se • non ha adempiuto gli obblighi del
regolamento specificatamente diretti ai responsabili o
• ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Mantenere aggiornati misure ed adempimenti
Aggiornamenti
Obblighi generali
• Le misure • tecniche e organizzative
• adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento
• sono riesaminate e aggiornate qualora necessario
Reg.(UE)2016/679 art. 24
Valutazione di impatto
• Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento
Reg.(UE)2016/679 art. 35 co.11
Definire il trattamento
Quale presupposto di legittimità?
Rendere l’informativa
all’interessato
Se necessario, acquisire il consenso
Adottare le misure di protezione
Documentare il rispetto degli adempimenti
Dare eventuale riscontro agli
interessati
Mantenere aggiornati misure ed adempimenti
Cancellare i dati al termine del periodo
di conservazione
Cancellare i dati al termine del periodo
di conservazione
Conclusione del trattamento
Cancellazione
• Per assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica
Reg.(UE)2016/679 considerando 39
San
zio
ni
amm
inis
trat
ive
pec
un
iari
e
Principio generale
le sanzioni amministrative pecuniarie inflitte devono essere in ogni singolo caso
• effettive,
• proporzionate e
• dissuasive
Reg.(UE)2016/679 art. 82
Tipologia
Possono essere
1. Aggiuntive o
2. Alternative
Ai provvedimenti correttivi dell’autorità di controllo di prescrizione, divieto, revoca, avvertimento, ecc.
Reg.(UE)2016/679 art. 82
Nel fissare l'ammontare si considerano:
• la natura, la gravità e la durata della violazione
• la natura, l'oggetto o a finalità del trattamento
• il numero di interessati lesi dal danno e il livello del danno da essi subito
• il carattere doloso o colposo della violazione
• le misure adottate per attenuare il danno subito dagli interessati
• il grado di responsabilità • le misure tecniche e organizzative
• eventuali precedenti violazioni• il grado di cooperazione con
l'autorità di controllo • le categorie di dati personali
interessate dalla violazione• se è stata notificata la violazione;• provvedimenti correttivi precedenti• l’adesione ai codici di condotta o ai
meccanismi di certificazione • eventuali altri fattori aggravanti o
attenuanti (es. benefici finanziari, perdite evitate)
E’ fissato solo il massimo
• 10 milioni di euro
• 2% dell’ultimo fatturato annuo
• 20 milioni di euro
• 4% dell’ultimo fatturato annuo
Misure di protezione
Adempimenti di titolare e
responsabile
Trasferimenti verso paesi terzi
Diritti e riscontro agli interessati
Principi di trattamento
Presupposti di legittimità
Acquisizione del consenso
Provvedimenti correttivi
dell’autorità di controllo
Art. Tipologia Importo
161 Omessa, inidonea informativa € 6.000 - 36.000 x 2/5 x 2 x 4
162-com.1
Cessione dati in violazione disposizioni Codice
€ 10.000 - 60.000 x 2/5 x 2 x 4
162-com.2bis
Violazione delle misure minime di sicurezza
€ 20.000 - 120.000 x 2/5 x 2 x 4
162-com.2bis
Trattamento illecito di dati € 20.000 - 120.000 x 2/5 x 2 x 4
162-com.2ter
Inosservanza dei provvedimenti di prescrizione di misure necessarie
o di divieto€ 30.000 -180.000 x
2/5 x 2 x 4
163 Omessa, incompleta Notificazione € 20.000 - 120.000 x 2/5 x 2 x 4
164Omessa informazione esibizione
Garante€ 10.000 - 60.000 x
2/5 x 2 x 4
Violazioni amministrative
Gruppo di studio sicurezza e privacy 259SANZIONE ACCESSORIA (art.165): Pubblicazione ordinanza-ingiunzione
d.lgs.196/2003
Sanzioni derivanti daillecito penale
Altre sanzioni
Gli Stati membri, entro il 25 maggio 2018,
1. stabiliscono le norme relative alle altre sanzioni per le violazioni del regolamento • devono essere effettive, proporzionate e dissuasive
• in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie
2. adottano tutti i provvedimenti necessari per assicurarne l'applicazione.
Reg.(UE)2016/679
Art. Tipologia Sanzione
167 Trattamento Illecito dei dati
Reclusione 6-18 mesi
Se dati sensibili: Reclusione 12-36 mesi
168 Falsità in dichiarazioni e notificazioni al Garante Reclusione 6-36 mesi
169 Omissione di Misure minime di sicurezza Arresto sino 2 anni
+art.162,com.2-bis
170 Inosservanza di provvedimenti del GaranteReclusione 3-24 mesi
+art.162,com.2-ter
PENA ACCESSORIA (art.172): Pubblicazione sentenza
Illeciti Penali
Gruppo di studio sicurezza e privacy 262
d.lgs.196/2003
Ravvedimento operoso
• Il Codice consente al titolare che abbia omesso l’adozione delle misure di sicurezza la possibilità di regolarizzare la propria posizione anche ai fini penali (art. 169 D.Lgs 196/03)
• Regolarizzazione in ottemperanza a una prescrizione del Garante ed entro un termine non superiore a sei mesi
• Versamento di una somma pari al quarto del massimo dell’ammenda prevista
Gruppo di studio sicurezza e privacy 263
d.lgs.196/2003
Illeciti con dati di lavoratori
• Art. 171 D.Lgs. 196/2003 per violazione di • (art.113 D.Lgs. 196/2003 art. 8 L. 300/1970) Divieto di indagini sulle opinioni
politiche, religiose o sindacali del lavoratore, nonchè su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore
• (art.114 D.Lgs. 196/2003 art. 4 L. 300/1970) Divieto d’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori.
• ammenda da euro 156 a 1557
• oppure arresto da 15 giorni ad un anno
Gruppo di studio sicurezza e privacy 264
d.lgs.196/2003
• non poche disposizioni del Regolamento lasciano liberi gli Stati membri – o richiedono agli stessi – di introdurre ulteriori regole e condizioni
• il Legislatore italiano probabilmente emanerà un provvedimento normativo (legge delega) per individuare quali delle norme del vigente Codice privacy saranno abrogate e quali resteranno in vigore perché non in conflitto con il Regolamento
• sulla vigenza dei provvedimenti finora emanati alla luce del Codice privacy probabilmente si deciderà caso per caso se potrà farsi riferimento