Il nuovo GDPR - Studio Legale Briola · IL REGOLAMENTO UE 2016/679: la protezione delle persone...

Il nuovo GDPR Il nuovo GDPR

STUDIO LEGALE BRIOLA

IL REGOLAMENTO UE 2016/679: la protezione delle persone fisiche

con riguardo al trattamento dei dati personali

Dal 25 maggio 2018 diventerà definitivamente applicabile in tutto il territorio europeo il Regolamento UE 2016/679

Il nuovo «pacchetto di protezione dati» – composto anche della direttiva UE 2016/680 – mira ad adeguare il sistema di data protection all’evoluzione tecnologica del flusso transfrontaliero dei dati


Gli obiettivi dell’Europa

Libera circolazione dei dati nel territorio dell’UE

Alto livello di protezione delle informazioni personali

Sistema uniforme

Eliminazione della frammentazione normativa

Gli obiettivi dell’Europa


Le principali novità del GDPR

Il principio di stabilimento «allargato» Art. 3 del Regolamento

Il principio di Privacy by Design e Privacy by Default

Art. 25, comma 1 e 2 del Regolamento

Il principio di responsabilizzazione (più importanza al Titolare e al Responsabile del trattamento e introduzione del DPO)

Artt. 24 – 27 del Regolamento Artt. 28 e 29 del Regolamento Artt. 37- 39 del Regolamento

Introduzione del diritto all’oblio e alla portabilità dei dati per gli interessati

Artt. 17 – 20 del Regolamento

I registri di trattamento Art. 30 del Regolamento

La valutazione dei rischi e le misure di sicurezza dei dati

Artt. 32, 35 e 36 del Regolamento

Il data breach Artt. 33 e 34 del Regolamento

Il principio di trasparenza e l’informativa Artt. 12, 13 e 14 del Regolamento

Le nuove sanzioni Artt. 83 e 84 del Regolamento STUDIO LEGALE BRIOLA

Il GDPR e i dati trattati

Il GDPR (General Data Protection Regulation)

Dati personali Dati sensibili

Art. 4, punto 1: «qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)» Es: il nome e cognome, un numero di identificazione, i dati sull’ubicazione, l’identificativo online

Art. 9: «categorie particolari di dati personali» Dati razziali, etnici, politici, religiosi, di appartenenza sindacale, genetici, biometrici, giudiziari, fisici, sanitari e sessuali.


Un sistema conforme alla Privacy by design e by default


Titolare del trattamento

Responsabile del trattamento

DPO

decide le finalità e i mezzi

del trattamento e nomina il

Responsabile

gestisce i dati ricopre un

ruolo esecutivo per la

tutela della privacy

informa, assiste, sorveglia e

garantisce l’adeguatezza del

sistema informatico al

Regolamento

Figure interne che conoscono la

realtà dell’impresa e sono dotate di responsabilità

Figura interna o esterna priva di responsabilità

L’organigramma Privacy


I soggetti esterni all’azienda: gli interessati

Soggetti presenti nell’UE a cui i dati utilizzati nel trattamento si

riferiscono

Diritto all’oblio

Diritto alla portabilità dei dati personali



• diritto di negare il trattamento ab origine

• diritto di trasferire i dati, fermo restando il diritto all’oblio

• diritto di limitare il trattamento, pur conservando i dati

• diritto ad essere cancellato se ricorrono dei motivi, con obbligo di comunicazione

Diritto all’oblio

Diritto di limitazione

Diritto di opposizione

Diritto alla portabilità

I registri delle attività di trattamento (art. 30)

sono l’apparato documentale per dimostrare la compliance dell’azienda e rientrano nel concetto di «valutazione impatto privacy»

sono adempimento formale e sostitutivo dell’obbligo di notificare il trattamento all’Autorità

Le realtà con meno di 250 dipendenti sono esonerate dall’obbligo di tenuta dei registri, a meno che compiano attività rischiose per i diritti e le libertà degli interessati (art. 30 c.5)


Sicurezza dei dati e valutazione dei rischi

La sicurezza dei dati è funzionale alla protezione delle informazioni ricevute nel trattamento

La sicurezza si articola su più piani e prevede diversi livelli di «adeguatezza»

il Regolamento europeo non prevede più misure minime di sicurezza, ma «contromisure» adeguate

I parametri per l’individuazione delle misure di sicurezza sono: lo stato dell’arte, i costi dii attuazione, la natura, l’oggetto, il contesto, le finalità, il rischio e la gravità.


La valutazione dei rischi

Il Titolare deve:

- elencare i rischi

- catalogare i rischi

- ordinare i rischi

La valutazione d’impatto

Considera:

l’origine, la natura, la particolarità e la gravità del rischio

Opera solo in caso di «rischio elevato» e prevede l’intervento dell’Autorità Garante

La valutazione dei rischi e la valutazione d’impatto


Il data breach

Data Breach Art. 4 punto 12

Obbligo di notifica del Titolare del trattamento

al Garante della Privacy

all’interessato

entro 72 ore

se non è conforme alla normativa europea


Gli strumenti: - informativa

- disclosure sui mezzi

- il sistema di valutazione dei

rischi

informativa pre-contrattuale

obbligatoria

Informativa: concisa

trasparente intelligibile accessibile

Finalità di informazione effettiva sulle

finalità del trattamento

Il principio di trasparenza e l’informazione all’interessato



Dati raccolti presso l’interessato

Il Titolare fornisce le informazioni all’interessato nel momento di raccolta del consenso

Se le finalità sono diverse da quelle per cui i dati sono raccolti, c’è l’obbligo di informazione pertinente

Eccezione generale: l’obbligo non si applica se e nella misura l’interessato dispone già delle informazioni


Dati raccolti presso soggetti diversi dall’interessato

Entro un termine ragionevole, non oltre un mese, il Titolare comunica le informazioni all’interessato

In caso di comunicazione con altro destinatario, il Titolare informa al più tardi al momento della divulgazione dei dati

Nel caso in cui i dati vengano comunicati all’interessato, le informazioni sono comunicati al momento del primo contatto

Consenso (art. 4)

chiaro

distinguibile

comprensibile

revocabile

informato

libero

Il consenso alla trattazione dei dati personali


Il trasferimento dei dati personali all’estero

trasferimento dei dati verso Paesi all’interno dell’UE

applicazione del Regolamento UE 2016/679

controllo del Garante successivo ed eventuale (data breach)

trasferimento dei dati verso Paesi terzi o un’organizzazione internazionale

solo se sono rispettate le condizioni di adeguatezza e le garanzie previste dal

Regolamento

sono previste 3 circostanze specifiche in cui è ammesso il trasferimento a

Paesi terzi

libera circolazione dei servizi e norma unitaria

In assenza di esse, è possibile fare il trasferimento se ricorre almeno una

delle condizioni ex art. 49


Sanzioni penali

Titolo III, capo II, del Codice Privacy (D.lgs.

196/2003)

Sanzioni amministrative

ammonimento

Fino a 10 milioni di euro o fino al 2% del fatturato mondiale

globale annuo

Fino a 20 milioni di euro o fino al 4% del fatturato mondiale

globale annuo

Le sanzioni


Cosa si può fare per evitare le sanzioni?

Verificare

Mappare

informare implementare

creare un piano

adeguato Modello sul trattamento

dei dati personali



Oltre alle sanzioni: la violazione del GDPR e il risarcimento del danno

Art. 82: «Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento, ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento».

Il Titolare del trattamento risponde per tutti i danni causati da un trattamento illegittimo (responsabilità riconducibile all’art. 2050 c.c.)

Il Responsabile del trattamento risponde della violazione solo se ha agito in modo difforme o contrario rispetto a quanto stabilito con il Titolare (responsabilità di tipo contrattuale)

Il nuovo GDPR - Studio Legale Briola · IL REGOLAMENTO UE 2016/679: la protezione delle persone...

Documents

Transcript of Il nuovo GDPR - Studio Legale Briola · IL REGOLAMENTO UE 2016/679: la protezione delle persone...