Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali … · 2018. 11. 27. ·...

Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Regolamento europeo (UE) 2016/679

Avv. Cristina Anelli

Loano 26/10/2018

Quadro legislativo

comune ed omogeneo in

materia di protezione

dei dati personali e di

libera circolazione dei

dati

Attualmente vi sono 27

differenti normative in

materia di protezione

dei dati personali

=> quadro normativo

estremamente

disomogeneo e

frammentato

1

Il nuovo regolamento europeo

“Regolamento del parlamento europeo e del consiglio

concernente la tutela delle persone fisiche con riguardo

al trattamento dei dati personali e la libera

circolazione dei dati (regolamento generale sulla

protezione dei dati)”

Due anni di “gestazione”

Emendamenti, contrasti

Comporterà l’abrogazione della direttiva 95/46/CE

Trattandosi di regolamento, non è soggetto a

recepimento e quindi entrerà in vigore

contemporaneamente all’interno dei 27 paesi

membri dell’UE 2

Direttiva

95/46/CEL.675/96

D. Lgs.

196/2003Regolamento

Regolamento UE 2016/79

Art. 5 lett. a): I dati

personali devono essere

trattati in modo lecito,

equo e trasparente nei

confronti dell’interessato

Art. 5 lett. b): devono

essere raccolti per finalità

determinate, esplicite e

legittime, e

successivamente trattati

in modo non

incompatibile con tali

finalità

3

4

Geolocalizzazione

Progetti Smart CityWi-Fi Videosorveglianza

Smartphone

Spam e mail

Marketing selvaggio

BluetoothBiometria

Fascicolo Sanitario

Elettronico

Dossier Sanitario

Tecnologie sempre più invasive e pervasive o «pericolose»

Susanna Fiorini, 49 anni, cambiava i

risultati degli esami e li spediva,

sbagliati, ai clienti

Tra le ipotesi sul movente, la rappresaglia

contro la Asl o per non dover richiamare i

pazienti

Manometteva i referti oncologici

Ai domiciliari infermiera di Livorno

LIVORNO -Manometteva i referti del Corat di Livorno, il

centro di raccolta degli esami oncologici della Asl, e poi li

spediva ai pazienti. E' l'accusa per la quale un'infermiera è

stata arrestata, in esecuzione di ordinanza di custodia

cautelare ai domiciliari. I referti manomessi sarebbero stati

più di 400, 33 pap test e 368 al colon retto, e questo avrebbe

provocato ritardi nella diagnosi di 18 casi di tumore al colon.

5

CAPO I – DISPOSIZIONI GENERALI

Art. 1 –Oggetto e finalità

Art. 2 –Campo di applicazione materiale

Art. 3 –Campo di applicazione territoriale

CAPO II – PRINCIPI

Art. 4 –Definizioni

Art. 5 –Principi applicabili al trattamento di dati personali

Art. 6 –Liceità del trattamento

Art. 7 –Condizioni per il consenso

Art. 8 –Trattamento dei dati personali dei minori

Art. 9 –Trattamento di categorie particolari di dati personali

Art. 10 –Trattamento che non consente identificazione

CAPO III – DIRITTI DELL’INTERESSATO

SEZIONE 1 –TRASPARENZA E MODALITA’

Art. 11 –Informazioni e comunicazioni trasparenti

Art. 12 –Procedure e meccanismi per l’esercizio dei diritti dell’interessato

Art. 13 –Diritti relativi ai destinatari

6

La struttura del regolamento

SEZIONE 2 –INFORMAZIONI E ACCESSO AI DATI

Art. 14 –Informazioni all’interessato

Art. 15 –Diritto do accesso dell’interessato

SEZIONE 3 –RETTIFICA E CANCELLAZIONE

Art. 16 –Diritto di rettifica

Art. 17 –Diritto all’oblio e alla cancellazione

Art. 18 –Diritto alla portabilità dei dati

SEZIONE 4 –DIRITTO DIOPPOSIZIONE E PROFILAZIONE

Art. 19 –Diritto di opposizione

Art. 20 –Misure basate sulla profilazione

SEZIONE 5 –LIMITAZIONI

Art. 21 –Limitazioni

CAPO IV – RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL

TRATTAMENTO

SEZIONE 1 –OBBLIGHI GENERALI

Art. 22 –Responsabilità del Responsabile del trattamento

Art. 23 –Protezione fin dalla progettazione e protezione di default

Art. 24 –Corresponsabili del trattamento

7


Art. 25 –Rappresentanti di responsabili del trattamento non stabiliti

nell’unione

Art. 26 –Incaricato del trattamento

Art. 27 –Trattamento sotto l’autorità del responsabile del trattamento e

dell’incaricato del trattamento

Art. 28 –Documentazione

Art. 29 –Cooperazione con l’autorità di controllo

SEZIONE 2 –SICUREZZA DEI DATI

Art. 30 –Sicurezza del trattamento

Art. 31 –Notificazione di una violazione dei dati personali all’autorità di

controllo

Art. 32 –Comunicazione di una violazione dei dati personali all’interessato

SEZIONE 3 –VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI

DATI E AUTORIZZAZIONE PREVENTIVA

Art. 33 –Valutazione d’impatto sulla protezione dei dati

Art. 34 –Autorizzazione preventiva e consultazione preventiva

SEZIONE 4 –RESPONSABILE DELLA PROTEZIONE DEI DATI

Art. 35 –Designazione del responsabile della protezione dei dati

8


Art. 36 –Posizione del responsabile del trattamento dei dati

Art. 26 –Compiti del responsabile della protezione dei dati

Art. 27 –SEZIONE 5 –CODICI DI CONDOTTA E CERTIFICAZIONE

Art. 38 –Codici di condotta

Art. 39 –Certificazione

CAPO V – TRASFERIMENTO DI DATI PERSONALI VERSO PAESI

TERZI O ORGANIZZAZIONI INTERNAZIONALI

Art. 40 –Principio generale per il trasferimento

Art. 41 –Trasferimento previa decisione di adeguatezza

Art. 42 –Trasferimento in presenza di garanzie adeguate

Art. 43 –Trasferimento in presenza di norme vincolanti d’impresa

Art. 44 –Deroghe

Art. 45 –Cooperazione internazionale per la protezione dei dati personali

CAPO VI – AUTORITA’ DI CONTROLLO INDIPENDENTI

SEZIONE 1 –INDIPENDENZA

Art. 47-Indipendenza

Art. 48 –Condizioni generali per i membri dell’autorità di controllo

Art. 49 –Norme sull’istituzione dell’autorità di controllo

9


Art. 50 –Segreto professionale

SEZIONE 2 –FUNZIONI E POTERI

Art. 52 –Funzioni

Art. 53 –Poteri

Art. 54 –Relazione di attività

CAPO VII – COOPERAZIONE E COERENZA

SEZIONE 1 –COOPERAZIONE

Art. 55 –Assistenza reciproca

Art. 56 –Operazioni congiunte delle autorità di controllo

SEZIONE 2 –COERENZA

Art. 57 –Meccanismo di coerenza

Art. 58 –Parere del Comitato Europeo per la protezione dei dati

Art. 59 –Parere della commissione

Art. 60 –Sospensione di un progetto di misura

Procedura d’urgenza

Art. 62 –Atti di esecuzione

Art. 63 –Esecuzione

SEZIONE 3 –COMITATO EUROPEO PER LA PROTEZIONE DEI DATI

10


Art. 64 –Comitato europeo per la protezione dei dati

Art. 65 –Indipendenza

Art. 66 –Compiti del Comitato europeo per la protezione dei dati

Art. 67 –Relazioni

Art. 68 –Procedura

Art. 69 –Presidenza

Art. 70 –Compiti del Presidente

Art. 71 –Segreteria

Art. 72 –Riservatezza

CAPO VII – RICORSI, RESPONSABILITA’ –SANZIONI

Art. 73 –Diritto di proporre reclamo all’autorità di controllo

Art. 74 –Diritto a un ricorso giurisdizionale contro l’autorità di controllo

Art. 75 –Diritto a un ricorso giurisdizionale contro il responsabile del

trattamento o l’incaricato del trattamento

Art. 76 –Norme comuni per i procedimenti giurisdizionali

Art. 77 –Diritto al risarcimento e responsabilità

Art. 78 –Sanzioni

Art. 79 –Sanzioni Amministrative

11


CAPO IX – DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI

TRATTAMENTO DEI DATI

Art. 80 –Trattamento di dati personali e libertà di espressione

Art. 81 –Trattamento dei dati personali relativi alla salute

Art. 82 –Trattamento dei dati nei rapporti di lavoro

Art. 83 –Trattamento per finalità storiche, statistiche e di ricerca

scientifica

Art. 84 –Obblighi si segretezza

Art. 85 –Norme di protezione dei dati vigenti presso chiese e associazioni

religiose

CAPO X – ATTI DELEGATI E ATTI DI ESECUZIONE

Art. 86 –Esercizio della delega

Art. 87 –Procedura di comitato

CAPO XI – DISPOSIZIONI FINALI

Art. 88 –Abrogazione della direttiva 95/46/CE

Art. 89 –Rapporto con la direttiva 95/46/CE e sue modifiche

Art. 90 –Valutazione

Art. 91 –Entrata in vigore e applicazione

12


DEFINIZIONIMolte meno definizioni rispetto al D.Lgs. 196/2003

(conteneva 37 definizioni, mentre il regolamento ne

contiene solo 19)

“Dati personali”: qualsiasi informazione concernente

l’interessato

“Consenso dell’interessato”: qualsiasi manifestazione

di volontà libera, specifica, informata ed esplicita con la

quale l’interessato accetta, mediante dichiarazione o

azione positiva inequivocabile, che i dati personali che lo

riguardano siano oggetto di trattamento

“Dati genetici”: tutti i dati, di qualsiasi natura,

riguardanti le caratteristiche di una persona fisica che

siano ereditarie o acquisite in uno stadio precoce di

sviluppo prenatale

“Dati biometrici”: i dati relativi alle caratteristiche

fisiche, fisiologiche o comportamentali di una persona che

ne consentono l’identificazione univoca, quali l’immagine

facciale o i rilievi dattiloscopici

13

DEFINIZIONI

“Dati relativi alla salute”: qualsiasi informazione attinente

alla salute fisica o mentale di una persona o alla prestazione di

servizi sanitari a detta persona

“Responsabile del trattamento”: la persona fisica o giuridica,

l’autorità pubblica, il servizio o qualsiasi altro organismo che,

singolarmente o insieme ad altri, determina le finalità, le

condizioni e i mezzi del trattamento di dati personali; quando le

finalità, le condizioni e i mezzi del trattamento sono

determinati dal diritto dell’unione o dal diritto di uno stato

membro, il responsabile del trattamento o i criteri specifici

applicabili alla sua nomina possono essere designati dal diritto

dell’unione o dal diritto dello stato membro

“Incaricato del trattamento”: la persona fisica o giuridica,

l’autorità pubblica, il servizio o qualsiasi altro organismo che

elabora dati personali per conto del responsabile del

trattamento14

15

NON VIENE DEFINITO IL CONCETTO DI

SICUREZZA

DEFINIZIONI

16

RISERVATEZZA: accessibile solo a chi è

autorizzato, non accessibile a chi non è autorizzato

INTEGRITA’: la risorsa deve essere corretta,

aggiornata, non corrotta o falsificata

DISPONIBILITA’:la risorsa deve essere sempre agevolmente disponibile a chi vi può lecitamente accedere

SICUREZZA

Definizione di «sicurezza»

Competenza territoriale

Trasparenza

Facilitazione dell’esercizio dei diritti dell’interessato

Diritto all’oblio

Portabilità dei dati

Principio di responsabilità

Obbligo della documentazione

Privacy by design

Privacy by default

Sanzioni

17

Le dimensioni di intervento del Regolamento

COMPETENZA TERRITORIALE

Saranno soggetti al regolamento non solo i soggetti

stabiliti all’interno dell’UE, ma anche i soggetti stabiliti

fuori dall’UE, che offrono prodotti e servizi all’interno

dell’UE

Caso reale: servizi forniti da Google

Sarà possibile rivolgersi all’autorità di controllo di

qualsiasi stato UE

18


Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

19


Informativa rappresenta le “regole del gioco”

del trattamento dei dati

Deve sempre essere fornita

Deve essere fornita “previamente”

all’interessato

Un’informativa corretta e completa è

presupposto fondamentale per la validità del

consenso

Posso avere un’informativa senza consenso

Posso avere informativa e consenso

NON posso avere un consenso che non sia

preceduto da idonea informativa 20

Attenzione a non confondere informativa con consenso

L’onere di dimostrare che l’interessato ha espresso il

consenso al trattamento dei suoi dati personali per

scopi specifici incombe sul titolare del trattamento

Se il consenso dell’interessato deve essere fornito nel

contesto di una dichiarazione scritta che riguarda

anche altre materie, l’obbligo di prestare il consenso

deve essere presentato in forma distinguibile dalle altre

materie

Non sono valide formule del tipo “aderendo alla

presente iniziativa Lei fornisce implicitamente il

consenso al trattamento dei dati”

Il consenso può essere revocato in qualsiasi momento

(senza dover fornire una motivazione). La revoca del

consenso non pregiudica la liceità del trattamento

basata sul consenso prima della revoca.

21

La nuova disciplina del consenso

Esplicitare nelle informative i tempi di conservazione

dei dati personali

Obbligo di comunicare i tempi di conservazione su

richiesta dell’interessato

I tempi di conservazione potranno essere utilizzati per

far valere la richiesta di cancellazione (diritto all’oblio)

Esplicitare nelle informative il diritto di proporre

reclamo all’autorità di controllo e le coordinate di

controllo di detta autorità

Esplicitare nelle informative il Responsabile della

protezione dei dati

Obbligo di notificare una violazione dei dati all’Autorità

Garante

Obbligo di comunicare una violazione dei dati agli

interessati

Obbligo di comunicare il Responsabile della protezione

dei dati all’Autorità Garante22

Trasparenza

Perdita di dati

Furto di dati (non necessariamente in formato

elettronico: possono essere anche in formato

cartaceo)

Alterazione di cartelle cliniche

Alterazione di cartelle esattoriali

Alterazione di verbali relativi al Codice della

Strada

Invio di dati all’esterno

Intercettazione di dati

Accesso abusivo al sistema 23

Esempi di violazioni

In caso di violazione dei dati

personali, il titolare notifica la

violazione all’autorità di controllo

senza ritardo, ove possibile entro le

24 ore dal momento in cui ne è

venuto a conoscenza

24

Notificazione di violazione all’autorità di controllo

La notificazione deve come minimo:

•Descrivere la natura della violazione dei dati personali,

compresi le categorie e il numero di interessati in

questione e le categorie e il numero di registrazioni dei

dati in questione

•Indicare l’identità e le coordinate di contatto del Privacy

Officer o di altro punto di contatto

•Elencare le misure raccomandate per attenuare i

possibili effetti pregiudizievoli delle violazioni dei dati

personali

•Descrivere le conseguenze della violazione dei dati

personali

•Descrivere le misure proposte o adottate dal titolare del

trattamento per porre rimedio alla violazione dei dati

personali

25

Contenuto minimo della notificazione

Quando la violazione di dati personali rischia di

pregiudicare i dati personali dell’interessato, il titolare

del trattamento, dopo aver provveduto alla

notificazione di cui al punto precedente, comunica la

violazione all’interessato senza ingiustificato ritardo.

La comunicazione all’interessato descrive la natura

della violazione dei dati e contiene almeno le coordinate

di contatto del responsabile della protezione dei dati e

le misure raccomandate per attenuare i possibili effetti

pregiudizievoli della violazione dei dati personali

26

Comunicazione di una violazione di dati personali

all’interessato


Trasparenza

Facilitazione dell’esercizio dei diritti

dell’interessato

Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni27


PUNTI DI ATTENZIONE

Per esercitare i diritti di accesso previsti

dall’art. 7 del D.Lgs.196/2003 (e dal futuro art.

15 del Regolamento), l’interessato non deve

specificare una motivazione

Spesso l’accesso di cui sopra viene confuso con

l’accesso agli atti e ai documenti

amministrativi, per il quale deve essere fornita

una motivazione …

… e l’interessato deve dimostrare di avere un

interesse diretto, concreto e attuale 28


Il titolare del trattamento

stabilisce le procedure secondo le

quali fornire l’informativa e le

procedure per gestire le richieste

di esercizio dei diritti

dell’interessato

Qualora i dati siano trattati con

modalità automatizzate, il

responsabile del trattamento

predispone altresì i mezzi per

inoltrare le richieste per via

elettronica

Se l’interessato presenta la

richiesta in forma elettronica, le

informazioni sono fornite in

formato elettronico, salvo diversa

indicazione dell’interessato

Il titolare deve dare riscontro

alla richiesta al massimo entro

un mese 29


Sanzione fino a 250.000 Euro oppure

fino allo 0,5 del fatturato mondiale

annuo



annuo



annuo



annuo


Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

30



Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

32


“Ingresso e uscita dai social network” … ma non solo

L’interessato ha il diritto, ove i dati personali siano

trattati con mezzi elettronici e in formato strutturato e

di uso comune, di ottenere dal responsabile del

trattamento copia dei dati trattati in un formato

elettronico e strutturato che sia di uso comune e gli

consenta di farne ulteriore uso 33



Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

34


Art. 5 lett f): I dati personali devono essere trattati sotto

la responsabilità del titolare del trattamento, che

assicura e comprova, per ciascuna operazione, la

conformità al Regolamento

Art. 22 c. 1: Il titolare del trattamento adotta politiche e

attua misure adeguate per garantire di essere in grado

di dimostrare che il trattamento dei dati personali è

conforme al presente regolamento

Art. 22 c. 3: Il titolare del trattamento mette in atto

meccanismi per assicurare la verifica dell’efficacia delle

misure di sicurezza di cui all’art. 30. Qualora ciò sia

proporzionato, la verifica è effettuata da revisori interni

o esterni indipendenti

35



Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

36


Gestione della documentazione

Art. 28: Ogni titolare del

trattamento conserva la

documentazione di tutti i

trattamenti effettuati sotto la

propria responsabilità

37



Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

38


Art. 23: Al momento di determinare i

mezzi del trattamento e all’atto del

trattamento stesso, il titolare mette

in atto adeguate misure e procedure

tecniche e organizzative tali da

assicurare la conformità al presente

regolamento e assicuri la tutela dei

diritti dell’interessato

39

Privacy by design


Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

40


Art. 23: Il titolare del trattamento mette in

atto meccanismi per garantire che siano

trattati, di default, solo i dati personali

necessari per ciascuna finalità specifica del

trattamento e che, in particolare, la quantità

di dati e la durata della loro conservazione

non vadano oltre il minimo necessario per le

finalità perseguite. In particolare, detti

meccanismi garantiscono che, di default,

non siano resi accessibili dati personali a un

numero indefinito di persone

41

Privacy («Protection») by default

Quando il trattamento, per la sua

natura, il suo oggetto, o le sue finalità,

presenta rischi specifici per i diritti e le

libertà degli interessati, il titolare del

trattamento effettua una valutazione

d’impatto del trattamento previsto sulla

protezione dei dati personali

Presentano rischi specifici ai sensi del

punto precedente i seguenti

trattamenti:42

Art.33 - Privacy impact assessment

La valutazione sistematica e globale di aspetti

della personalità dell’interessato o volta ad

analizzarne o prevederne in particolare la

situazione economica, l’ubicazione, lo stato di

salute, le preferenze personali, l’affidabilità o

il comportamento, basata su un trattamento

automatizzato e da cui discendo misure che

hanno effetti giuridici o significativamente

incidono sull’interessato

Il trattamento di informazioni concernenti la

vita sessuale, lo stato di salute, la razza e

l’origine etnica oppure destinato alla

prestazione di servizi sanitari o a ricerche

epidemiologiche o indagini su malattie mentali

o infettive

43


La sorveglianza di zone accessibili al pubblico, in

particolare se effettuata mediante dispositivi

ottico-elettronici (videosorveglianza) su larga

scala;

Il trattamento di informazioni concernenti la vita

sessuale, lo stato di salute, la razza e l’origine

etnica oppure destinato alla prestazione di servizi

sanitari o a ricerche epidemiologiche o indagini su

malattie mentali o infettive

Il trattamento di dati personali in archivi su larga

scala riguardanti minori, dati genetici o dati

biometrici

Qualunque altro trattamento che richiede la

consultazione dell’autorità di controllo ai sensi

dell’art. 34

44


E’ un soggetto che deve possedere adeguata

esperienza, conoscenze della problematica e

capacità di effettuare audit approfonditi

E’ un soggetto che agisce in totale

indipendenza ed autonomia, che si interfaccia

direttamente con i vertici aziendali, per un

periodo minimo di 4 anni, con mandato

rinnovabile

E’ per certi versi l’equivalente dell’Organismo

di vigilanza previsto dal D.Lgs.231/2001

Può essere un soggetto interno alla struttura,

oppure un soggetto esterno assunto in base ad

un contratto di servizi 45

Il Responsabile della protezione dei dati («Privacy Officer»)

COMPITI

Informare e consigliare il titolare o il responsabile

in merito agli obblighi del Regolamento e

conservare la documentazione relativa a tale

attività ed alle risposte ricevute

Sorvegliare e supervisionare l’attuazione e

l’applicazione delle policy (atti di nomina,

mansionari, regolamenti) . Condurre verifiche e

audit periodici

Controllare l’attuazione del regolamento con

particolare riguardo alla privacy by design, alla

protezione di default, alla sicurezza dei dati,

l’informativa all’interessato e le richieste degli

interessati : Effettuare audit e verifiche periodiche

e rilevare e gestire le non conformità

46

Il Responsabile della protezione dei dati («Privacy Officer»)


Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni

47


La sanzione deve essere efficace, proporzionata e

dissuasiva

L’ammontare è determinato tenuto conto:

- della natura

- della gravità

- della durata della violazione

- del carattere doloso o colposo dell’illecito

- del grado di responsabilità della persona fisica o giuridica

- delle precedenti violazioni commesse

- delle misure e procedure tecniche ed organizzative messe in

atto dell’art. 23 (Privacy by design e Privacy by default)

- del grado di cooperazione con l’autorità di controllo

48

Sanzioni (Art.79)

Sanzione amministrativa pecuniaria fino a

250.000 Euro o, per le imprese, fino allo

0,5% del fatturato annuo


500.000 Euro o, per le imprese, fino allo 1%

del fatturato annuo


1.000.000 Euro o, per le imprese, fino al 2%

del fatturato annuo

49

Sanzioni (Art.79)

50

INFORMATIVA

ex art. 13 del Regolamento (UE) 2016/679 (in seguito “GDPR”)

Gentile Signore/a,

ai sensi dell’articolo 13 del GDPR, La informiamo che il ___________________, in qualità di Titolare del trattamento,

con sede in Roma, Corso un grosso rischio 15, tratterà – per le finalità e le modalità di seguito riportate i dati personali da

Lei forniti.

In particolare _______, tratterà i seguenti dati personali:

a) dati anagrafici e identificativi (nome e cognome, data di nascita, sesso, indirizzo email, codice fiscale e residenza);

b) dati curriculari;

c) dati fiscali e bancari

1. Base giuridica e finalità del trattamento.

1.1. Il trattamento anzidetto per le finalità a), b) e c) è effettuato per la gestione amministrativo contabile del contratto di

collaborazione tecnico sportiva sottoscritto con il ______________.

2. Modalità del trattamento

Il trattamento dei Suoi dati personali è realizzato, anche con l’ausilio di mezzi elettronici, per mezzo delle operazioni

indicate all’art. 4 Codice e all’art. 4 n. 2) GDPR e precisamente: il trattamento dei dati personali potrà consistere nella

raccolta, registrazione, organizzazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto,

utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.

3. Obbligatorietà del conferimento

Il conferimento dei dati è obbligatorio per il raggiungimento delle finalità sopra elencate

Un eventuale rifiuto di fornire i dati di cui sopra non consentirà l’invio della citata newsletter.

4. Ambito di comunicazione dei dati

I dati personali da Lei forniti ed indicati ai pinti a), b) e c) potranno essere comunicati a _______________________

quali Responsabili del Trattamento nonché ai soggetti a cui la comunicazione è prevista per adempiere ad un obbligo di

legge.

51

5. Trasferimento dei dati all’estero.

5.1. I dati personali sono conservati su server ubicati all’interno della Comunità Europea. Resta in ogni caso inteso che il

Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE. In tal caso, il Titolare assicura sin

d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili ed in particolare

quelle di cui al Titolo V del GDPR.

5.2. Al di fuori delle ipotesi di cui al punto 5.1., i Suoi dati non saranno trasferiti extra–UE.

6. Periodo di conservazione dei dati

I dati personali forniti ai punti a) e c) saranno conservati per il periodo previsto dalle leggi di settore e, comunque, per un

tempo non superiore a 10 anni.

I dati personali di cui al punto b) saranno conservati per un periodo non superiore a 5 anni.

7. Titolare del trattamento

Comitato ___________________

Corso un grosso rischio, 15

007 Roma

8. Responsabile della protezione dei dati

[email protected]

9. Diritti dell’interessato

In qualunque momento potrà conoscere i dati che La riguardano, sapere come sono stati acquisiti, verificare se sono

esatti, completi, aggiornati e ben custoditi, di ricevere i dati in un formato strutturato, di uso comune e leggibile da

dispositivo automatico, di revocare il consenso eventualmente prestato relativamente al trattamento dei Suoi dati in

qualsiasi momento ed opporsi in tutto od in parte, all’utilizzo degli stessi e di proporre reclamo al Garante per la

protezione dei dati personali.

Tali diritti possono essere esercitati attraverso specifica istanza da indirizzare tramite raccomandata – o pec - al Titolare

del trattamento.

“Buona legge”, che fornirà strumenti molto

efficaci all’interessato per conoscere,

controllare e intervenire sul destino dei propri

dati

Ristabilirà un clima di fiducia verso aziende e

istituzioni, facilitando gli scambi, gli

investimenti e l’economia digitale

Modificherà profondamente l’attuale modo di

operare, obbligando a passare da un approccio

“compilativo” ad un approccio basato sulla

responsabilità e sulla verifica dell’efficacia 52

Conclusioni, impressioni, prime riflessioni, consigli

Fondamentale l’introduzione del Risk

Assessment, del Privacy Impact Assessment e

della Protection by design

Importante l’introduzione di meccanismi di

trasparenza, come l’obbligo di notifica della

violazione o la comunicazione agli interessati

Fondamentale l’introduzione del Responsabile

della protezione dei dati come:

- soggetto dotato di adeguate competenze e

conoscenze

- punto/meccanismo di controllo/verifica periodica

competente ed indipendente53

54

GRAZIE

PER

L’ATTENZIONE

Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali … · 2018. 11. 27. ·...

Documents

Transcript of Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali … · 2018. 11. 27. ·...