GDPR

Il quadro normativo

TÜV ITALIA

Business Assurance Division

Sabrina Bruschi

20 Marzo 2018

Milano

TÜV Italia Slide 116-03-17

TÜV SÜD Italia Slide 216-02-22

Inquadramento

Il Regolamento Europeo UE 2016-679: Primi dati

• Pubblicazione del Regolamento sulla Gazzetta

Ufficiale L119 dell’Unione Europea del Parlamento

Europeo e del Consiglio il 04/05/2016 a fronte

dell’approvazione del 27/04/2016

• E’ relativo alla: “Protezione delle persone fisiche con

riguardo al trattamento dei dati personali, nonché

alla libera circolazione di tali dati”

• Diventerà applicabile in tutti i paesi dell’Unione

Europea a partire dal 25 maggio 2018, data in cui

dovrà essere garantito il perfetto allineamento fra

normativa nazionale e quella Europea (Recepimento)

TÜV Italia Slide 2

• Armonizza la normativa della privacy in tutti i paesi

dell’Unione Europea

16-10-13

TÜV SÜD Italia Slide 316-02-22

Inquadramento

Il contesto da cui nasce

• La Direttiva 95/46/CE rappresenta l’atto normativo di

riferimento in materia di protezione dei dati personali

all’interno dell’Unione Europea (cd. Direttiva Madre)

• Il D.lgs. 30 giugno 2003, n. 196, Codice per la

Protezione dei dati personali, è il testo normativo

che razionalizza, semplifica e coordina, in un Testo

Unico di riferimento, tutte le disposizioni

legislative e regolamentari in materia di Privacy e

Protezione dei Dati Personali, assorbendo la L. 31

dicembre 1996, n. 675, con cui si era data

attuazione alla Direttiva Madre

TÜV Italia Slide 3

• Il Regolamento è composto da 173 “Considerando” e

99 articoli, è entrato in vigore il 24 maggio 2016, ma

sarà efficace e direttamente applicabile a partire dal

25 maggio del 2018

16-10-13

TÜV SÜD Italia Slide 416-02-22

Inquadramento

Le novità introdotte dal Regolamento

TÜV Italia Slide 416-10-13

Dato personale

Qualsiasi informazione che riguardi

persone fisiche identificate o che

possono essere identificate

direttamente o indirettamente

anche attraverso altre informazioni,

ad esempio, attraverso un numero

o un codice identificativo.

Sono, ad esempio, dati personali: il

nome e cognome o

denominazione; indirizzo, il codice

fiscale; cioè tutti quegli elementi

caratteristici della sua identità

FISICA, FISIOLOGICA,

GENETICA, PSICHICA,

ECONOMICA, CULTURALE E

SOCIALE

Fonte: www.garanteprivacy.it

TÜV SÜD Italia Slide 516-02-22

Inquadramento: i presupposti del gruppo di lavoro europeo

Le novità introdotte dal Regolamento

TÜV Italia Slide 516-10-13

Violazione dei dati personali

Violazione di SICUREZZA che comporta accidentalmente o in modo illecito la

distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a

dati personali trasmessi, memorizzati o comunque trattati.

TÜV SÜD Italia Slide 616-02-22

Inquadramento

Le novità introdotte dal Regolamento: I DIRITTI

TÜV Italia Slide 616-10-13

Diritto all’Oblio (Artt. 65 e 66)

Il Regolamento codifica il diritto dell’interessato di chiedere ai motori di ricerca di

deindicizzare una pagina web o chiedere ad un sito web di cancellare

informazioni

Portabilità dei dati (artt. 13 e 20)

All’interessato viene riconosciuto il diritto di ottenere la restituzione dei propri dati

personali trasmessi ad un’azienda o ad un servizio on-line e trasmetterli ad altri

(social network fornitori di servizi internet, fornitori di streaming on-line etc…)

TÜV SÜD Italia Slide 716-02-22

Inquadramento

Le novità introdotte dal Regolamento: I DOVERI

TÜV Italia Slide 716-10-13

Data Breach Notification (artt. 33 e 34)

La violazione dei dati personali va comunicata appena si viene a conoscenza di

un’avvenuta violazione dei dati personali trattati.

Il Titolare del trattamento deve notificare la violazione dei dati al Garante (senza

ingiustificato ritardo) entro 72 ore dal momento in cui è venuto a conoscenza del

fatto.

Trascorso le 72 ore la notifica necessita delle motivazioni del ritardo nella

comunicazione.

TÜV SÜD Italia Slide 816-02-22

Inquadramento

Le novità introdotte dal Regolamento: I DIRITTI

TÜV Italia Slide 816-10-13

Informativa

L’interessato ha diritto ad essere informato dell’esistenza del

trattamento e delle sue finalità e delle ulteriore circostanze

necessarie alla sua tutela.

Inoltre l’interessato dovrebbe essere informato dell’esistenza

di una profilazione e delle conseguenze della stessa.

Consenso dell’interessato

Qualsiasi manifestazione di volontà libera, specifica,

informata e inequivocabile dell’interessato, con la quale lo

steso manifesta il proprio assenso, mediante dichiarazione o

azione positiva inequivocabile che i dati personali che lo

riguardano siano oggetto di trattamento

TÜV SÜD Italia Slide 916-02-22

Inquadramento

Le novità introdotte dal Regolamento: I DIRITTI

TÜV Italia Slide 916-10-13

Trattamento Automatizzato detta “Profilazione”

Il Regolamento sancisce il diritto a non subire profilazioni

(trattamenti automatizzati) inconsapevoli.

Sportello Unico

L’interessato può rivolgersi all’autorità di protezione dei

dati del proprio paese per segnalare eventuali violazioni,

qualunque sia il luogo in cui il trattamento è effettuato.

TÜV SÜD Italia Slide 1016-02-22

Inquadramento

Le novità introdotte dal Regolamento: I principi

TÜV Italia Slide 1016-10-13

Principio di Accountability

Il principio di responsabilizzazione significa che si chiede al titolare del

trattamento di mettere in atto misure tecniche ed organizzative adeguate per

garantire, ed essere in grado di dimostrare che il trattamento è effettuato

conformemente al regolamento. Aiutano a dimostrare la conformità al

regolamento l’adesione ai codici di condotta o ad un meccanismo di

certificazione.

Il principio di accountability coinvolge sia il titolare che il responsabile del

trattamento.

TÜV SÜD Italia Slide 1116-02-22

Inquadramento

Le novità introdotte dal Regolamento: I DIRITTI

TÜV Italia Slide 1116-10-13

Cosa significa Privacy by design?

Significa protezione dei dati fin dalla progettazione. Significa ridurre al minimo il

trattamento dei dati personali mediante misure (tecniche ed organizzative) quali,

ad esempio, la pseudonimizzazione dei dati personali.

Per pseudonimizzazione si intende il trattamento dei dati personali in modo tale

che i dati non possano più essere attribuiti ad un interessato specifico senza

l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive

siano conservate separatamente e soggette a misure tecniche ed organizzative

intese a garantire che tali dati personali non siano attribuiti ad una persona

identificata od identificabile.

TÜV SÜD Italia Slide 1216-02-22

Inquadramento

Le novità introdotte dal Regolamento: I DIRITTI

TÜV Italia Slide 1216-10-13

Cosa significa Privacy by default?

Significa che la tutela della protezione del dato deve diventare l’impostazione

predefinita. Il titolare del trattamento infatti deve adottare misure tecniche ed

organizzative adeguate per garantire che siano trattati, per impostazione

predefinita, solo i dati personali necessari per ogni specifica finalità del

trattamento.

TÜV SÜD Italia Slide 1316-02-22

Inquadramento

Le novità introdotte dal Regolamento: Quali documenti?

TÜV Italia Slide 1316-10-13

Non ci dimentichiamo che al contrario del codice privacy il GDPR non ci dice

cosa dobbiamo avere da un punto di vista formale, perché è attraverso la

progettazione del sistema Privacy che si definisce di cosa abbiamo bisogno.

Sicuramente però dobbiamo aver chiaro che:

- Le responsabilità devono essere formalizzate

- Le informative devono essere riviste

- I consensi devono essere verificati

- Il registro dei trattamenti deve essere compilato ed aggiornato in continuo

- Le Policy devono essere aggiornate

- E la parte IT?......

TÜV SÜD Italia Slide 1416-02-22

Data Protection Impact Assessment

TÜV Italia Slide 1420-06-17

In aggiunta agli obblighi citati prima, il nuovo regolamento Europeo

introduce il DPIA (Data Protection Impact Assessment) ovvero un

Piano di Valutazione d’impatto sui Dati Personali che dovrà essere

adottato ogni qualvolta vi sarà una mutazione nell’asset di trattamento

(chi tratta quali classi di dati, con quali strumenti/supporti, in quali aree,

per quale fine, con quali compiti e responsabilità).

La redazione di questo piano è prevista per i titolari che trattino dati che

presentino specifici rischi per i diritti fondamentali degli interessati nonché

le libertà personali.

TÜV SÜD Italia Slide 1516-02-22

Data Protection Impact Assessment

TÜV Italia Slide 1520-06-17

Quando un tipo di trattamento, allorché prevede in particolare l'uso di

nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del

trattamento, può presentare un rischio elevato per i diritti e le libertà delle

persone fisiche, il titolare del trattamento effettua, prima di procedere al

trattamento, una valutazione dell'impatto dei trattamenti previsti sulla

protezione dei dati personali. Una singola valutazione può esaminare un

insieme di trattamenti simili che presentano rischi elevati analoghi

Regolamento UE 2016/679 art. 35 comma 1

TÜV SÜD Italia Slide 1616-02-22

Data Protection Impact Assessment

TÜV Italia Slide 1620-06-17

La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del

trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal

titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in

relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui

al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le

misure di sicurezza e i meccanismi per garantire la protezione dei dati

personali e dimostrare la conformità al presente regolamento, tenuto conto

dei diritti e degli interessi legittimi degli interessati e delle altre persone in

questione.

Regolamento UE 2016/679 art. 35 comma 7

TÜV SÜD Italia Slide 1716-02-22

Data Protection Impact Assessment

TÜV Italia Slide 1720-06-17

L’esito della valutazione dovrebbe essere preso in considerazione nella

determinazione di opportune misure da adottare per dimostrare che il

trattamento dei dati personali rispetta il seguente regolamento.

Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti

presentano un rischio elevato che il titolare del trattamento non può attenuare

mediante misure opportune in termini di tecnologia disponibile e costi di

attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo.

Il titolare del trattamento effettua una valutazione d’impatto sulla protezione dei

dati prima del trattamento valutando la particolare probabilità e gravità del

rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e

delle finalità del trattamento e delle fonti di rischio.

La valutazione di impatto dovrebbe vertere in particolare anche sulle misure,

sulle garanzie e sui meccanismi previsti per attenuare tale rischio

assicurando la protezione dei dati personali e dimostrando la conformità al

presente regolamento

TÜV SÜD Italia Slide 1816-02-22

Parliamo di Codici di Condotta e Certificatione

NOVITA ASSOLUTA!!!!!

TÜV Italia Slide 1816-03-17

Questa è un’importante novità nel regolamento.

L’obiettivo è di creare una trasparenza tale da permettere agli interessati di

valutare il livello di protezione dei dati dei relativi prodotti e servizi dimostrando il

rispetto del regolamento.

L’adozione di Codici di condotta, e di certificazioni è volontaria ed ha lo scopo di

dimostrare la conformità della propria gestione Privacy.

TÜV SÜD Italia Slide 1916-02-22

Inquadramento

Le considerazioni nel regolamento a proposito di “CERTIFICAZIONE e CODICI DI CONDOTTA”

(77) …dimostrare la conformità da parte del titolare del trattamento o dal responsabile del

trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al

trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e

l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in

particolare mediante codici di condotta approvati, certificazioni approvate, linee guida

fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati.

(81) L'applicazione da parte del responsabile del trattamento di un codice di condotta

approvato o di un meccanismo di certificazione approvato può essere utilizzata come

elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.

(100) Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe

essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di

protezione dei dati che consentano agli interessati di valutare rapidamente il livello di

protezione dei dati dei relativi prodotti e servizi.

TÜV Italia Slide 1916-03-17

TÜV SÜD Italia Slide 2016-02-22

Inquadramento

Gli articoli del regolamento a proposito di “CERTIFICAZIONE”: la RESPONSABILITA’

Art. 24.3 RESPONSABILITA’ DEL TITOLARE DEL TRATTAMENTO

L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui

all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del

titolare del trattamento.

Art. 25.3 PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER

IMPOSTAZIONE PREDEFINITA

Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come

elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Art. 28.5 RESPONSABILITA’ DEL TRATTAMENTO

L’Adesione da parte del responsabile del trattamento ad un codice di condotta approvato da cui

all’art. 40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata

come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1-4 del presente articolo

16-02-22

Art. 32.3 SICUREZZA DEL TRATTAMENTO

L'adesione Ad un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di

certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la

conformità ai requisiti al paragrafo 1 del presente articolo.

Codici di condotta e certificazione

Art. 40 e 41 Codici di condotta

Riferimento Codice di “CONDOTTA”

Obiettivo: Corretta applicazione del Regolamento (Efficacia) su molti

argomenti (l’elenco è esemplificativo e non esaustivo)

Destinatari Titolari e Responsabili

Market leader Associazioni di riferimento rappresentative e soggetti di controllo

(Le Autorità)

Obblighi Prevista approvazione e pubblicità

Note Aperto anche a soggetti non obbligati alla sottoscrizione

Commento: Articoli difficili da applicare senza chiarimenti.

Si evidenzia l’attività di controllo su questi strumenti da parte del

soggetto pubblico “europeo” (Vedi l’aspetto “monitoraggio” dell’art.

41)

Codici di condotta e certificazione

Art. 42 e 43 Certificazione

Riferimento Meccanismi di certificazione, sigilli e Marchi

Obiettivo: Protezione dei dati e dimostrazione della conformità

Destinatari Titolari e Responsabili

Market leader Associazioni di riferimento rappresentative e soggetti di controllo

(Le Autorità)

Obblighi Prevista approvazione e pubblicità

Note Azione VOLONTARIA

Commento: Anche questi Articoli necessitano di chiarimenti anche se ci sono

già esempi.

Si parla di accreditamento tramite due opportunità (alternative e

congiunte):

Autorità di controllo competente (art. 55 e 56)

Ente di Accreditamento sulla base della ISO 17065 e dei requisiti

aggiuntivi previsti espressamente dalle autorità di controllo

competente e del Regolamento (già contenuti nella Iso 17065)

Grazie per la

vostra attenzione

Sabrina Bruschi

Cell. 3487224187

Sabrina.bruschi@tuv.it

Se interessato, visita il nostro sito

www.tuv.it e iscriviti alla Newsletter

TÜV Italia. Sarai sempre aggiornato

sulle nostre iniziative!

TÜV Italia Slide 2316-03-17