Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

Il trattamento di particolari categorie di dati

da parte delle Agenzie di Viaggi:

dati sensibili e giudiziari nel nuovo

Regolamento Privacy 679/2016

www.studiolegalelucarelli.it

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

2

* REGOLAMENTO GENERALE

SULLA PROTEZIONE DEI DATI – GDPR

*REGOLAMETO UE 2016/679 DEL PARLAMENTO

EUROPEO E DEL CONSIGLIO DEL 27 APRILE 2016

ENTRATA IN VIGORE IL 25 MAGGIO 2018 (il Governo ha predisposto decreti legislativi di «armonizzazione»

con l’ordinamento italiano)

FILOSOFIA GENERALE

- PRINCIPIO DI ACCOUNTABILITY: si sposta sul titolare del trattamento

l’onere di effettuare scelte e valutazioni, in precedenza demandate

al Garante per la protezione dei dati personali (valutazioni preventive

di trattamenti a rischio - a seguito di notifica - e rilascio di

autorizzazioni)

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

3

3 PRINCIPALI NOVITA’

Certificazioni

e

Codici di condotta

Responsabile

per la

protezione dei

dati – RPD o

DPO (data

protection officer)

Registro dei trattamenti

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

4

Certificazioni e Codici di condotta

- L’art. 32 del Regolamento impone

l’adozione di misure di sicurezza «adeguate

al livello di rischio»;

- L’impresa è tenuta a fare una valutazione

preventiva e ad adottare procedure tali da

evitare rischi inerenti il trattamento dei dati

- Strumenti utili (non obbligatori) sono i

«Codici di condotta» o le «Certificazioni dei

trattamenti»

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

5

Chi è il l’RPD o DPO?

- È previsto dall’art. 37 del Regolamento;

- È un soggetto interno od esterno

all’Azienda designato dal Titolare o dal

Responsabile del Trattamento;

- Assolve a funzioni di supporto, controllo,

consuntive, formative ed informative

relativamente all’applicazione del

Regolamento medesimo;

- Coopera con l’autorità e quindi il suo

nominativo va comunicato al Garante.

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

6

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

7

… è obbligatoria la nomina dell’RPD

o DPO

per le imprese che trattano i dati su ‘larga scala’ o

effettuano «monitoraggio regolare e sistematico» (es.

Istituti di credito, imprese assicurative, sistemi di

informazione creditizia, società finanziarie, società di

informazioni commerciali, società di revisione

contabile, società di telecomunicazioni, società

operanti nell’ambito sanitario

quindi per le Agenzie di Viaggi che non rientrino nel

trattamento dati su vasta scala o di natura sistematica,

la nomina del DPO sarà facoltativa secondo il principio

dell’ACCOUNTABILITY

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

8

Registro dei trattamenti

- obbligatorio per le imprese con più di 250 dipendenti oppure se si effettuano

trattamenti a rischio come il trattamento di dati sensibili e giudiziari;

- deve avere forma scritta anche elettronica e deve essere esibito su richiesta

del Garante;

- deve contenere i seguenti dati (art. 30 del Regolamento):

- nomi e dati del Responsabile del trattamento e del RPD;

- finalità del trattamento;

- descrizione delle categorie di interessati e delle categorie di dati

personali;

- destinatari a cui i dati personali sono stati comunicati;

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

9

FOCUS SULL’ATTIVITA’ DI

AGENZIA DI VIAGGI

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

10

IN VIGENZA DEL CODICE PRIVACY

(D.Lgs 30.6.2003, n. 196)

I DATI SENSIBILI E I DATI

GIUDIZIARI SONO STATI

INDIVIDUATI COME

CATEGORIE «PARTICOLARI»

DI DATI PERSONALI

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

11

b) "dato personale", qualunque

informazione relativa a persona fisica,

identificata o identificabile, anche

indirettamente, mediante riferimento

a qualsiasi altra informazione, ivi

compreso un numero di

identificazione personale;

d) "dati sensibili", i dati personali

idonei a rivelare l'origine razziale ed

etnica, le convinzioni religiose,

filosofiche o di altro genere, le

opinioni politiche, l'adesione a partiti,

sindacati, associazioni od

organizzazioni a carattere religioso,

filosofico, politico o sindacale,

nonché i dati personali idonei a

rivelare lo stato di salute e la vita

sessuale;

Art. 4 – DEFINIZIONI

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

12

e) "dati giudiziari", i dati personali

idonei a rivelare provvedimenti di

cui all'articolo 3, comma 1, lettere

da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia

di casellario giudiziale, di anagrafe

delle sanzioni amministrative

dipendenti da reato e dei relativi carichi pendenti, o la qualità di

imputato o di indagato ai sensi

degli articoli 60 e 61 del codice di

procedura penale;

…

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

13

nell’ARTICOLO 4 del nuovo REGOLAMENTO si amplia e

specifica la definizione di

«DATI PERSONALI»

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

14

SPARISCONO LE DEFINIZIONI DELLE CATEGORIE

DI DATI SENSIBILI E GIUDIZIARI

fatta eccezione per i soli «dati relativi alla salute», «dati genetici» e «dati biometrici»

APPARTENENTI alla categoria dei DATI SENSIBILI

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

15

E la individuazione è contenuta

delle norme regolatrici del loro

trattamento

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

16

Articolo 9 Trattamento di categorie particolari di dati personali

PRINCIPIO GENERALE

1. È vietato trattare dati personali che rivelino l'origine

razziale o etnica, le opinioni politiche, le convinzioni

religiose o filosofiche, o l'appartenenza sindacale,

nonché trattare dati genetici, dati biometrici intesi a

identificare in modo univoco una persona fisica, dati

relativi alla salute o alla vita sessuale o

all'orientamento sessuale della persona. .

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

Quando l’interessato

ha prestato il proprio

consenso esplicito al

trattamento di tali

dati personali per

una o più finalità

specifiche

17

IL DIVIETO NON SI APPLICA in alcune ipotesi

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

18

Consenso esplicito rilasciato ad una Agenzia di viaggi per il

trattamento dei dati personali

«SENSIBILI» (cittadinanza; religione;

dati sulla salute) in occasione della conclusione di un contratto di

acquisto pacchetto turistico

Trattamento lecito (art. 6)

CONSENSO

ESECUZIONE CONTRATTO

OBBLIGHI DI LEGGE

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

19

per le Agenzie di Viaggio

Non è più necessaria

l’autorizzazione al

trattamento da parte del

Garante (art. 26 Codice

Privacy)

…..salvo che l’Italia non la reintroduca in virtù del 4 comma

dell’art. 9 del Regolamento:

«4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute»

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

20

Autorizzazioni generali rilasciate

anche per le Agenzie di viaggi

• Autorizzazione n. 5/2013 - Autorizzazione al trattamento dei dati

sensibili da parte di diverse categorie di titolari (Gazzetta

Ufficiale n. 302 del 27 dicembre 2013);

• Autorizzazione n. 5/2014 - Autorizzazione al trattamento dei dati

sensibili da parte di diverse categorie di titolari - 11 dicembre 2014(Gazzetta Ufficiale n. 301 del 30 dicembre 2014)

NO comma 4 SI comma 4

Saranno utilizzate il trattamento dovrà

come indirizzi seguire le nuove

interpretativi autorizzazioni

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

21

senza il ripristino regime di autorizzazione generale

Garante

Maggiore

RESPONSABILIZZAZIONE

dell’Agente di Viaggi

TITOLARE DEL TRATTAMENTO

DECIDE DA SOLO (con il DPO) LE MODALITA’ DEL TRATTAMENTO

SALVO IL CONTROLLO SUCCESSIVO

DEL GARANTE IN CASO DI

SEGNALAZIONE DELL’

«INTERESSATO»

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

22

Articolo 10

Trattamento dei dati personali

relativi a condanne penali e reati

Il trattamento dei dati personali relativi alle condanne penali e ai

reati o a connesse misure di sicurezza sulla base dell'articolo 6,

paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità

pubblica o se il trattamento è autorizzato dal diritto dell'Unione o

degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle

condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

23

Potrebbe non essere più prevista, anche per i

dati giudiziari, l’autorizzazione al trattamento

con provvedimento del Garante

…salvo che la normativa italiana non mantenga il

vigente regime autorizzatorio da parte del Garante

(art. 27 Codice Privacy) ritenendolo compliance

all’art. 10 del Regolamento

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

24

art. 27 Codice Privacy

«Il trattamento di dati giudiziari da parte di

privati o di enti pubblici economici è

consentito soltanto se autorizzato da

espressa disposizione di legge o

provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del

trattamento, i tipi di dati trattati e di

operazioni eseguibili»

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

25

Le Agenzie di viaggi dovranno gestire i

dati giudiziari (es. pratiche per rilascio visti

turistici)

NO al regime

autorizzatorio

solo nell’ambito di procedure autorizzate

dalla normativa UE o sottoposte al

controllo dell’Autorità

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

26

SI al mantenimento regime

art. 27 Codice Privacy

…secondo le autorizzazioni del Garante

che specificheranno finalità di interesse

pubblico del trattamento, i tipi di dati

trattati e di operazioni eseguibili

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

27

RIASSUMENDO…

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

28

IMPATTO SULLE ADV

Certificazioni

e

Codici di

condotta: NON OBBLIGATORIE,

MA CONSIGLIATE

Nomina RPD o

DPO: solo per

ADV che

trattano dati su

larga scala

(concetto che

dovrebbe

essere

specificato nei

D.lgs. di prossima

emanazione)

Registro dei

trattamenti:

OBBLIGATORIO

perché le ADV

trattano dati

sensibili

(sanitari,

religiosi, etc.) o

giudiziari

(pratiche Visti) e quindi a

rischio

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

29

DATA BREACH

Art. 34 Regolamento

obbligo di tutti i titolari di dati personali di notificare al Garante entro 72 ore dalla

conoscenza e comunque senza ingiustificato ritardo le violazioni dei dati personali

che si ritiene possano portare rischi di abusi sugli stessi

Altre novità…

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

30

INFORMATIVA PRIVACY (art. 13 e 14 Regolamento)

…

CONTENUTO TASSATIVO: - dati di contatto dell’RPD-DPO;

- destinatari del trattamento dei dati - base giuridica del trattamento (obbligo di legge,

contratto, etc.); - indicazione se i dati personali sono trasferiti in

Paesi terzi e attraverso quali strumenti; - periodo di conservazione dei dati e diritto di

presentare un reclamo

MODALITA’ - in linea di principio per iscritto; - concisa

- trasparente - intellegibile

TEMPO Prima della raccolta. Nel caso di dati non raccolti direttamente presso

l’interessato l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta.

Avv. Federico Lucarelli

Dir

itti

ris

ervat

i – v

ieta

ta l

a ri

pro

duzi

one

grazie

www.studiolegalelucarelli.it