Lezione 8 e 9 –GDPR Università di Trento –Facoltà di ...

Diritto comparato della privacyLezione 8 e 9 – GDPR

Università di Trento – Facoltà di Giurisprudenzaa.a. 2021-2022

Paolo Guarda

1

Guarda_DCP_GDPR_2021-22

«Da un grande potere derivano grandi responsabilità»


General Data Protection Regulation


Una regolamentazione giurassica (20 anni sono un’eternità): davvero?

•Direttiva 46/1995

•Direttiva 58/2002

•Dlgs 196/2003


Il regolamento 2016/679 (GDPR)

• 173 “considerando” e 99 articoli

• Processo legislativo più lungo della storia UE: 52 mesi (in media 15) e con 6000 emendamenti

• Pubblicato il 4.5.2016 (entrata in vigore 20 giorni dopo); applicabile dal 25.5.2018


Nuovo quadro normativo italiano

• GDPR• D.lgs. 30 giugno 2003, n. 196

• “Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”

• D.lgs. 10 agosto 2018, n. 101, • recante “Disposizioni per l'adeguamento della normativa nazionale alle

disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”


I pilastri della vecchia normativa (Bonavita, Pardolesi 2018)

• a) ricorso alle corti per l'enforcement dei diritti relativi alla privacy dei dati;

• b) distruzione o anonimizzazione dei dati, decorso un certo periodo;• c) restrizioni alla possibilità di esportare i dati;

• d) autorità indipendente preposta all'applicazione della disciplina;

• e) riduzione al minimo della raccolta necessaria al conseguimento dello scopo,

• f) obbligo generale di trattamento "equo e legittimo";• g) protezione addizionale per categorie di dati particolari;

• h) possibilità di opporsi, sulla base di motivi legittimi, al trattamento dei dati;

• i) restrizioni aggiuntive concernenti talune modalità di trattamento di dati particolari;

• j) limiti al trattamento automatizzato.


Perché un nuovo Regolamento?

• Impatto delle nuove tecnologie e della globalizzazione

• Contesto giuridico frammentato a livello UE

•Nuovo assetto istituzionale a seguito del Trattato di Lisbona


«Tutto deve cambiare perché tutto resti come prima»?


Immagine tratta da: https://it.wikipedia.org/wiki/Il_Gattopardo_(film)

GDPR: le novità più rilevanti

• Dal dato al trattamento

• Accountability

• Ambito di applicazione

• La tutela e l’apparato sanzionatorio


2


Perché un nuovo Regolamento?

• Impatto delle nuove tecnologie e della globalizzazione

• Contesto giuridico frammentato a livello UE

• Nuovo assetto istituzionale a seguito del Trattato di Lisbona


Scopi della riforma

• Potenziare i diritti dei singoli, in particolar modo online• Creare un quadro chiaro ed uniforme di regole a livello

europeo• Potenziare il ruolo e l’attività dei Garanti Privacy

• «One-stop shop»

• Facilitare lo scambio internazionale dei dati assicurando un adeguato livello di protezione


Ampio ambito applicativo (art. 3)

• Il GDPR si applica a:• al trattamento dei dati personali effettuato nell'ambito delle attività di

uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione

• trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:• l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione,

indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure

• il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.


In cosa consiste un un “trattamento”?


Definizione giuridica ampia

«trattamento»: qualsiasi operazione o insieme di operazioni,compiute con o senza l'ausilio di processi automatizzati eapplicate a dati personali o insiemi di dati personali, come laraccolta, la registrazione, l'organizzazione, la strutturazione,la conservazione, l'adattamento o la modifica, l'estrazione,la consultazione, l'uso, la comunicazione mediantetrasmissione, diffusione o qualsiasi altra forma di messa adisposizione, il raffronto o l'interconnessione, la limitazione,la cancellazione o la distruzione” (art. 4, n. 2 GDPR)


Cos’è un dato personale?


Definizione

“qualsiasi informazione riguardante una persona fisicaidentificata o identificabile («interessato»); si consideraidentificabile la persona fisica che può essere identificata,direttamente o indirettamente, con particolare riferimento aun identificativo come il nome, un numero di identificazione,dati relativi all'ubicazione, un identificativo online o a uno opiù elementi caratteristici della sua identità fisica, fisiologica,genetica, psichica, economica, culturale o sociale”(Art. 4, n. 1, GDPR)


Categorie particolari di dati personali

“dati personali che rivelino l'origine razziale o etnica, leopinioni politiche, le convinzioni religiose o filosofiche, ol'appartenenza sindacale, nonché trattare dati genetici, datibiometrici intesi a identificare in modo univoco una personafisica, dati relativi alla salute o alla vita sessuale oall'orientamento sessuale della persona.”(art. 9, par. 1 GDPR)


Nuove definizioni (1)

“dati genetici”: i dati personali relativi alle caratteristichegenetiche ereditarie o acquisite di una persona fisica cheforniscono informazioni univoche sulla fisiologia o sulla salute didetta persona fisica, e che risultano in particolare dall'analisi diun campione biologico della persona fisica in questione” (art. 4,n. 13, GDPR)“dati biometrici”: i dati personali ottenuti da un trattamentotecnico specifico relativi alle caratteristiche fisiche, fisiologiche ocomportamentali di una persona fisica che ne consentono oconfermano l'identificazione univoca, quali l'immagine facciale oi dati dattiloscopici” (art. 4, n. 14, GDPR)



“dati relativi alla salute”: i dati personali attinenti alla salute fisicao mentale di una persona fisica, compresa la prestazione diservizi di assistenza sanitaria, che rivelano informazioni relative alsuo stato di salute” (art. 4, n. 15, GDPR)



“pseudonimizzazione”: il trattamento dei dati personali in modo taleche i dati personali non possano più essere attribuiti a un interessatospecifico senza l'utilizzo di informazioni aggiuntive, a condizione chetali informazioni aggiuntive siano conservate separatamente e soggettea misure tecniche e organizzative intese a garantire che tali datipersonali non siano attribuiti a una persona fisica identificata oidentificabile” (art. 4, n. 5, GDPR)“informazioni anonime”: “informazioni che non si riferiscono a unapersona fisica identificata o identificabile o a dati personali resisufficientemente anonimi da impedire o da non consentire piùl'identificazione dell'interessato” (Considerando 26 del GDPR)


Comunicazione

• “comunicazione”, il dare conoscenza dei dati personali auno o più soggetti determinati diversi dall'interessato, dalrappresentante del titolare nel territorio dell’Unioneeuropea, dal responsabile, dalle persone autorizzate, aisensi dell’articolo 2-terdecies, al trattamento dei datipersonali sotto l’autorità diretta del titolare o delresponsabile, in qualunque forma, anche mediante la loromessa a disposizione, consultazione o medianteinterconnesione” (art. 2-ter, co. 3, lett. a), Codice Privacy)


Diffusione

• “diffusione”, il dare conoscenza dei dati personali a soggettiindeterminati, in qualunque forma, anche mediante la loromessa a disposizione o consultazione(art. 2-ter, co. 3, lett. b), Codice Privacy)


Principi (art. 5 GDPR)

• liceità, correttezza e trasparenza• limitazione della finalità• minimizzazione dei dati• esattezza• limitazione della conservazione• integrità e riservatezza• responsabilizzazione (accountability)


Accountability


Cambridge Dictionary - Definizione


Liceità del trattamento (Art. 6)

Lecito quando

È espresso un consenso da parte dell’interessato

In base a esecuzione di obblighi contrattuali

In base ad un obbligo legale

Sono presenti interessi vitali della persona interessata o di terzi

È presente un interesse pubblico o esercizio di pubblici poteri

È presente un interesse legittimo del titolare o di terzi cui i dati vengono comunicati


Trattamento categorie particolari di dati (art. 9)

Se è prestato il consenso dell’interessato

Per assolvere obblighi di diritto del lavoro, sicurezza sociale e protezione sociale

Per tutelare un interesse vitale dell’interessato

Per attività di una associazione che persegua finalità politiche, religiose, filosofiche o sindacali

Se i dati personali sono resi manifestamente pubblici dall’interessato

Per accertare, esercitare o difendere un diritto in sede giudiziaria

Per motivi di interesse pubblico rilevante

Per finalità di medicina

Per finalità di sanità pubblica

Per finalità di archiviazione nel pubblico interesse, di ricerca scientifica/storica o a fini statistici


Base legittima

• Art. 9, par. 2, lett. f GPDR (categorie particolari di dati):• [Il divieto al trattamento non si applica qualora] il trattamento è necessario

per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali


Consenso

• “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n. 11 GDPR)

• Condizioni per il consenso (art. 7)• il titolare del trattamento deve essere in grado di dimostrare che l'interessato

ha prestato il proprio consenso al trattamento dei propri dati personali.• Se il consenso dell'interessato è prestato nel contesto di una dichiarazione

scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, (…).

• L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.


Informativa ex art. 13, 14 e 15 GDPR


Informativa–Contenuto (art. 13 GDPR)

• Identità e dati di contatto del titolare• Dati di contatto del DPO• Finalità del trattamento e base giuridica• Destinatari dei dati• Eventuali comunicazioni extra UE• Periodo di conservazione• Esistenza dei diritti• Diritto di revoca• Esistenza di un processo decisionale automatizzato• …


Diritti dell’interessato: art. 15 ss GDPR• Diritto di accesso

• chiedere la conferma dell’esistenza o meno di un trattamento in corso di dati personali che lo riguardano e in tal caso di ottenere l'accesso ai dati personali; ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;

• Diritto di rettifica• Diritto alla cancellazione (“diritto all’oblio): rimando• Diritto di limitazione di trattamento• Diritto di opposizione al trattamento

• In particolare a processi decisionali automatizzati

• Diritto alla portabilità dei dati: rimandoGuarda_DCP_GDPR_2021-22

Diritto alla cancellazione (art. 17)

• Diritto dell’interessato ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.• Non si applica in caso di: trattamenti necessari per adempimenti di

obblighi di legge, interesse pubblico, ambito sanitario, ricerca (par. 3)


Diritto alla portabilità dei dati (art. 20)• L'interessato ha il diritto di ricevere in un formato strutturato, di

uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:• a) il trattamento si basa sul consenso o su un contratto• B) Il trattamento sia effettuato con mezzi automatizzati

• Non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri. (par. 3)


Attori della protezione dei dati


Organigramma dei ruoli


Titolare

Preposto al trattamentoResponsabile

DPO

AutorizzatoSub-Responsabile Autorizzato

Amministratore di Sistema

Titolare del trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, punto 7)


Contitolare

• Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento (art. 26)• Accordo interno

• Responsabilità in merito all’osservanza degli obblighi• Esercizio dei diritti dell’interessato


Responsabile del trattamento

• la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, n. 8 GDPR) • Il GDPR si riferisce al solo Responsabile “esterno”• Il responsabile può nominare sub-responsabili à Novità!


Responsabile e responsabilità

• Preposizione che avviene tramite un contratto che disciplina• Materia e durata • Natura e finalità• Tipo di dati e categorie di interessati• Obblighi e diritti del titolare


Responsabile e responsabilità

• In base al contratto si impegna a:• Trattare solo dati su istruzione documentata del titolare• Consentire i trattamenti solo a persone autorizzate• Adottare tutte le misure di sicurezza• Rispettare le condizioni per ricorrere a un sub-responsabile• Assistere il titolare per dare seguito alle richieste per

l’esercizio dei diritti dell’interessato• Cancellare o restituire tutti i dati• Mettere a disposizione del titolare le informazioni per

dimostrare il rispetto dei suddetti obblighi e consentire ispezioni


«Preposti al trattamento»

• Il GDPR non prevede più la figura del Responsabile interno• E’ consigliabile mantenere una scansione interna delle

deleghe dei poteri privacy• Nuovi nomenclatori


Autorizzato al trattamento

• Ex “incaricato al trattamento”• le persone fisiche autorizzate a compiere operazioni di

trattamento dal titolare o dal responsabile • Importanza del documento che conferisce l’autorizzazione

e del suo contenuto


Responsabile per la protezione dei dati - DPO (artt. 37-39)

• Professionista esperto nella protezione dei dati i cui compiti sono valutare ed organizzare la gestione del trattamento dei dati personali all’interno di ciascuna organizzazione

• Obbligo di nominare un DPO quando:• Trattamento effettuato da autorità pubbliche o organismi pubblici (ad

eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali)

• Trattamenti su larga scala• Monitoraggio regolare e sistematico degli interessati• Categorie particolari di dati personali e dati relativi a condanne penali e a reati• …

• Altri casi (designazione consigliata):• Ed. soggetti privati che esercitano funzioni pubbliche, quali concessionari di servizi

pubblici, ecc.• Linee-guida sui responsabili della protezione dei dati (RPD), adottate il 13.12.2016

(versione emendata e adottata in data 5.04.2017, Gruppo art. 29.


Responsabile per la protezione dei dati (DPO) (artt. 37-39)

• Competenze richieste (art. 37):• Qualità professionali• Conoscenza specialistica• Capacità di assolvere i compiti previsti

• Garanzie di autonomia ed indipendenza (Art. 38)• Compiti (Art. 39):

• Funge da referente del Garante per la protezione dei dati• Procedura di consultazione preventiva (art. 36)• Data breach (artt. 33-34)• Consultazioni relativamente a qualunque altra questione sul trattamento dei dati

• Altri compiti• Es. tenuta del registro delle attività del trattamento



Amministratori di sistema

ADS ai fini Privacy

Figure equiparabili

Amministratori di reti e apparati di sicurezza

Amministratori di basi di dati

Amministratori di sistemi software complessi

Figure professionali finalizzate alla gestione e

manutenzione di un impianto di elaborazione e

sue componenti

Amministratori di sistemaProvv. a carattere generale – 27 novembre 2008 – Misure e accorgimenti

prescritti ai titolari dei trattamenti effettuati con strumenti elettronicirelativamente alle attribuzioni delle funzioni di amministratore disistema (come modificato dal Provv. del 25 giugno 2009)

Accountability e soluzioni proattive


Art. 5 “Principi applicabili al trattamento di dati personali”

• 1. I dati personali sono:• …• f) trattati in maniera da garantire un'adeguata sicurezza dei dati

personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

• 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).


Art. 25, par. 1, GDPR: Privacy by design

Protezione dei dati fin dalla progettazione1. Tenendo conto dello stato dell'arte e dei costi di attuazione,nonché della natura, dell'ambito di applicazione, del contesto e dellefinalità del trattamento, come anche dei rischi aventi probabilità egravità diverse per i diritti e le libertà delle persone fisiche costituiti daltrattamento, sia al momento di determinare i mezzi del trattamentosia all'atto del trattamento stesso il titolare del trattamento mette inatto misure tecniche e organizzative adeguate, quali lapseudonimizzazione, volte ad attuare in modo efficace i principi diprotezione dei dati, quali la minimizzazione, e a integrare neltrattamento le necessarie garanzie al fine di soddisfare i requisiti delpresente regolamento e tutelare i diritti degli interessati.


Art. 25, par. 2, GDPR: Privacy by default

Protezione per impostazione predefinita2. Il titolare del trattamento mette in atto misure tecniche eorganizzative adeguate per garantire che siano trattati, perimpostazione predefinita, solo i dati personali necessari perogni specifica finalità del trattamento. Tale obbligo vale per laquantità dei dati personali raccolti, la portata del trattamento,il periodo di conservazione e l'accessibilità. In particolare, dettemisure garantiscono che, per impostazione predefinita, nonsiano resi accessibili dati personali a un numero indefinito dipersone fisiche senza l'intervento della persona fisica.


Altre previsioni GPDR collegate

• art. 30: Registro delle attività di trattamento

• Art. 32: Sicurezza del trattamento

• Art. 35: Valutazione d’impatto sulla protezione dei dati (DPIA)


Registro delle attività di trattamento (art. 30)


Finalità del registro

Dimostrazione della conformità al Regolamento

Monitoraggio dei trattamenti per l’Autorità e per il titolare

Strumento di cooperazione con l’Autorità di controllo


Tipologia di registro e soggetti obbligati

Tutti i titolari/contitolari del trattamento

Registro del titolare

Art. 30, par. 1

Tutti i responsabili del trattamento

Registro del responsabile

Art. 30, par. 2


Eccezioni

• Non è obbligato a tenere il registro:• Imprese e organizzazioni con meno di 250 dipendenti• Salvo che

• il trattamento presenti un rischio per l’interessato, o• non sia di carattere occasionale, o• Includa particolari categoria di dati


Contenuto registro del titolare (par. 1)

• Dati di contatto• Finalità del trattamento;• Categorie di interessati e categorie di dati personali;• Categorie di destinatari e trasferimenti di dati• Ove applicabile, trasferimenti di dati personali verso un paese

terzo o un'organizzazione internazionale• Cancellazione e misure di sicurezza• Eventuali riferimenti a certificazioni, ecc.


Registro del responsabile (par. 2)

• Dati di contatto del responsabile e di ogni titolare• Categorie dei trattamenti effettuati• Eventuali trasferimenti verso un paese terzo o

un’organizzazione interenazionale• Misure di sicurezza tecniche e organizzative


Un esempio


Trattamento Ufficio FinalitàTipididati

presonali

Categoriadiinteressati

Modalitàperfornire

l'informativaeacquisireilconsenso

Archiviazioneeconservazione

(tempi,modi,luogoserver,ecc.)

Misuredisicurezzatecnicheedorganizzative

Eventualecontitolaredeltrattamento

REGISTRODELLEATTIVITA'DITRATTAMENTO(ART.30GDPR)RegistrodelleattivitàditrattamentoredattodalTitolaredeltrattamentoe,oveapplicabile,dalResponsabiledeltrattamentosullabasedicomunicazioniperiodichedapartedelResponsabiledeltrattamentoedegliincaricatiaciòpreposti,comeprevi

NomedelTitolaredeltrattamento: Datititolare:NomedelResponsabiledeidatipersonali(seprevisto): DatiDPO:

Tenuta, gestione e messa a disposizione (par. 3 e 4)

• Forma scritta o formato elettronico• Istituzione immediata• Da aggiornare al mutare di uno degli elementi del

contenuto minimo• Messa a disposizione del Garante


Sicurezza dei dati (Art. 32)


Sicurezza dei dati personali (art. 32)• 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della

natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:• a) la pseudonimizzazione e la cifratura dei dati personali;• b)la capacità di assicurare su base permanente la riservatezza, l'integrità, la

disponibilità e la resilienza dei sistemi e dei servizi di trattamento;• c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati

personali in caso di incidente fisico o tecnico;• d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle

misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.


Sicurezza dei dati personali (art. 32)• 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei

rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

• 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.• 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che

chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.


Valutazione d’impatto sulla protezione (artt. 35-36)


Valutazione d’impatto

• Procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affontarli.

• Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248 , adottate dal Gruppo di lavoro Art. 29 il 4 aprile 2017 (Traduzione della versione emendata e adottata il 4 ottobre 2017)

• Perché? • Accountability

• Quando?• Prima di procedere al trattamento

• Chi?• Titolare (che può delegare la conduzione materiale)

• Consultandosi con il DPO, il Responsabile della sicurezza dei sistemi informativi ed il Responsabile IT


Quando è obbligatoria?• Trattamento che prevede l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e

le finalità del trattamento, e possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

• Gruppo art. 29 individua alcuni criteri specifici (sicuramente necessaria quando sono presenti almeno due criteri):• Trattamenti valutativi o di scoring, compresa la profilazione;• Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni prestiti,

ecc.)• Monitoraggio sistematico (es. videosorveglianza)• Trattamento di categorie particolari di dati• Trattamento di dati personali su larga scala• Combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolgi per diverse

finalità e/o da titolari distinti (es. Big data)• Dati relativi a soggetti vulnerabili• Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (Es. riconoscimento

facciale, IoT, ecc.)• Trattamenti che potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un

servizio o di un contratto


Quando non è obbligatoria

• Secondo le linee guida Gruppo art. 29, per trattamenti che:• Non presentano rischio elevato per diritti e libertà delle persone fisiche• Hanno natura, ambito, contesto e finalità molto simili a quelli di un

trattamento per cui è già stata prodotta una DPIA• Sono già stati sottoposti a verifica da parte del Garante prima del maggio

2018 e le cui condizioni non hanno subito modifiche• Sono comprese nell’elenco facoltativo dei trattamenti per i quali non è

necessaria• Fanno riferimento a norme e regolamenti per la cui definizione è stata

condotta una DPIA.


Contenuto minimo (art. 35, par. 7)

• Descrizione sistematica dei trattamenti previsti e delle finalità del trattamento• Valutazione della necessità e proporzionalità dei trattamenti in

relazione alle finalità• Valutazione dei rischi per i diritti e le libertà degli interessati• Misure previste per affrontare i rischi


Pubblicazione del DPIA

• Non c’è un obbligo di pubblicare• Valutare se pubblicare una sintesi per favorire un rapporto fiduciario• DPIA da inviare al Garante in caso di consultazione preventiva (Art.

36) e a richiesta per consentire gli obblighi di vigilanza


Data Breach (artt. 33-34)


Data breach

• Riferimenti normativi: artt. 4, 33, 34 e Considerando da 85 a 88, GDPR

• Violazione del dato personale: • “la violazione di sicurezza che comporta accidentalmente o in modo

illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, pt. 12, GDPR).

• Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) – adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017 (Versione emendata e adottata il 6 febbraio 2018)


QUALIFICAZIONESCOPERTA VALUTAZIONE

ARCHIVIAZIONE

NOTIFICA

COMUNICAZIONE

Entro 72 ore


Notifica violazione dati personali

• In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. (art. 33, par. 1)


Notifica violazione dati personali

• La notifica deve almeno (art. 33, par. 3):• descrivere la natura della violazione dei dati personali compresi, ove

possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• descrivere le probabili conseguenze della violazione dei dati personali;• descrivere le misure adottate o di cui si propone l'adozione da parte del

titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.


Comunicazione agli interessati (art. 34)• Quando la violazione dei dati personali è suscettibile di

presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo (art. 34, par. 1)


Esempio

• Violazione del sistema informativo di gestione dei dati di login tale da creare un pericolo concreto per le credenziali gestite dal sistema, il Titolare (eventualmente supportato dal Responsabile) esegue una valutazione prudenziale della violazione.

• Tre possibili scenari • Scenario A - il sistema di gestione delle credenziali usato dal titolare archivia in chiaro

le credenziali: il titolare deve notificare, entro 72 ore dal momento in cui ne è venuto a conoscenza, la violazione all’Autorità di Controllo e comunicazione agli interessati.

• Scenario B - il sistema di gestione delle credenziali usato dal titolare cifra le credenziali mediante hash irreversibile: il titolare deve notificare, entro 72 ore dal momento in cui ne è venuto a conoscenza, la violazione all’Autorità di Controllo e facoltativamente agli interessati.

• Scenario C - il sistema di gestione delle credenziali usato dal titolare cifra le credenziali mediante hash irreversibile e ha una gestione separata dei sistemi di login rispetto alle risorse che le identificano: il titolare valuta se notificare la violazione all’autorità di controllo

Guarda_DCP_GDPR_2021-22Tratto da Linee Guida CODAU

Sanzioni: cenni


Sanzione civile (Art. 82)

• 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

• 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

• 3. Il titolare del trattamento o il responsabile del trattamento è esoneratodalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile.

• …


Sanzioni amministrative (art. 83)

• 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: • 5. In conformità del paragrafo 2, la violazione delle disposizioni

seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

• Gruppo art. 29, Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, 3 ottobre 2017


Sanzioni penali (art. 84)

• Libertà lasciata agli Stati membri nei limiti dell’art. 84• Titolo III “Sanzioni”, Capo II “Illeciti penali”, art. 167-172

Codice Privacy


Registro delle attività di trattamento

• Art. 30, par. 1, lett. a) GDPR e art. 20 D. Lgs. 51/2018 sono sostanzialmente identici• D.M. 7.8.2018 –> al R.P.D. è affidata anche la tenuta del registro delle

attività di trattamento con riferimento all’insieme del trattamento dei dati effettuati dal Ministero della Giustizia• D.M. 15 ottobre 2019 - Istituzione del registro delle attività di

trattamento svolte dal titolare del trattamento• Ragioni di opportunità inducono a ritenere che il singolo Ufficio

giudiziario tenga un registro che includa • sia i dati trattati in occasione dell’attività amministrativa, • sia quelli trattati nel corso dei procedimenti civili e penali.


Registro delle attività di trattamento

• Contenuto• informazioni di carattere preliminare (dati di contatto del titolare, del DPO); • tipologie di trattamento (in relazione a ciascuna finalità, occorre indicare se

siano effettuati e quali le seguenti operazioni di trattamento: raccolta, registrazione, organizzazione, conservazione, modifica, estrazione, consultazione, uso, comunicazione, archiviazione);

• finalità e base giuridica; • categorie di interessati (anche solo identificabili);• categorie di dati trattati; • categorie di destinatari dei dati (no autorità pubbliche che ricevono

comunicazioni in ambiti di indagine);• misure di sicurezza


Valutazione d’impatto privacy

• Artt. 30-31 GDPR e Artt. 23-24 D.lgs. 51 • Trattamento che prevede l'uso di nuove tecnologie, considerati la natura,

l'oggetto, il contesto e le finalità del trattamento, e possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche

• Circolare 31 maggio 2019 - Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) - Valutazione d'impatto sulla protezione dei dati (cd. DPIA) - Istruzioni operative e modulistica

• Contenuto del documento in cui deve sostanziarsi la DPIA è sostanzialmente identico per il settore civile (Reg. 679) e quello penale (D. Lgs. 51) e consiste in: • una descrizione sistematica dei trattamenti previsti e delle relative finalità, • nella valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, • nella valutazione dei rischi per i diritti e le libertà degli interessati, • nella indicazione delle relative misure previste per affrontare tali rischi


Quando è obbligatoria?• Gruppo art. 29 individua alcuni criteri specifici (sicuramente necessaria quando

sono presenti almeno due criteri):• Trattamenti valutativi o di scoring, compresa la profilazione;• Decisioni automatizzate che producono significativi effetti giuridici (assunzioni,

concessioni prestiti, ecc.)• Monitoraggio sistematico (es. videosorveglianza)• Trattamento di categorie particolari di dati• Trattamento di dati personali su larga scala• Combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolgi

per diverse finalità e/o da titolari distinti (es. Big data)• Dati relativi a soggetti vulnerabili• Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (Es.

riconoscimento facciale, IoT, ecc.)• Trattamenti che potrebbero impedire agli interessati di esercitare un diritto o di

avvalersi di un servizio o di un contratto


Copyright

Copyright by Paolo Guarda

Licenza Creative CommonsQuest'opera è distribuita con Licenza Creative Commons

Attribuzione - Condividi allo stesso modo 4.0 Internazionale

La citazione di testi e la riproduzione di immagini costituisce esercizio dei diritti garantiti dagli art. 2, 21 e 33 Cost. e

dall’art. 70 l. 1941/633

https://creativecommons.org/licenses/by-sa/4.0/

Lezione 8 e 9 –GDPR Università di Trento –Facoltà di ...

Documents

Transcript of Lezione 8 e 9 –GDPR Università di Trento –Facoltà di ...