Il Principio della «Privacy By Design»

nel REGOLAMENTO UE (2016/679)

Linux Day 2016

Palermo – 22 ottobre 2016

Teatro Gregotti - Università degli Studi di Palermorelatore

Adriano Bertolino

CHI SONO?

Adriano Bertolino

it.linkedin.com/in/adrianobertolino

about.me/adrianobertolino

Data Protection Officer | Consulente della Privacy Consulente e Formatore in materia di protezione dei dati personali

Dal 2001 mio occupo di consulenza e formazione in materia di privacy (D.lgs. 196/03 ss.mm.ii.) per enti pubblici e privati, imprese, startup e professionisti, in tutti i settori interessati dalle norme in materia. Durante la mia attività di assistenza guardo sempre con particolare attenzione alla protezione legale del cliente, utilizzando gli strumenti normativi come criteri sia per un’efficiente organizzazione, sia per la gestione corretta dei dati personali trattati, considerando questi ultimi quale risorsa primaria ed essenziale per lo sviluppo dell'impresa.

a.bertolino@neostudio.it

Certificato TÜV Italia n° CDP_272conforme ISO/IEC 17024:2012

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

AGENDA

− Evoluzione delle norme privacy in UE

− Definizioni e Principi del trattamento dati personali

− Privacy by Design

− Privacy by Default

− Trattamento dati personali extra UE

− Sanzioni e Responsabilità

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

EVOLUZIONE NORMATIVA

• Direttiva Europea n. 95/46/CE

• LEGGE n. 675/96 - La “legge sulla Privacy”

• DPR n. 318/99 - Decreto attuativo: Le misure di sicurezza

• D.LGS n. 196/2003 - Codice della Privacy

• REGOLAMENTO (UE) n. 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27/04/2016

Regolamento generale relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. (#GDPR)

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

REGOLAMENTO (UE) 2016/679

Dalle legislazioni vigente nei singoli Stati membri UE e dall’esperienza dei Garanti Privacy Europei…

…ad un Regolamento unico applicabile su tutto il territorio europeo ed anche fuori a protezione di tutti i cittadini UE

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

A cosa serve?

Il Regolamento UE protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali e regolamenta la loro libera circolazione nell’Unione Europea e fuori dall’UE

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

I principali temi del Regolamento UE 2016/679

Privacy by

Default

Trasferimenti

Extra

UE

Profilazione

on line

Trasparenza

Data

Breach

Threats

Portabilità

dei Dati

Social

e MinoriPrivacy

Impact

Assessement

(PIA)Dirittto

all’oblio

Threats

Privacy by

Design

Accountability

One

Stop

ShopData

Protection

Officer

Consenso

Esplicito

Misure di

Sicurezza

Sanzioni

Amministrative

elevate

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

PRINCIPALI DEFINIZIONIL’ Articolo 4 della General Data Protection Regulation riporta le definizioni

fondamentali per comprendere l’applicazione del Regolamento UE.

Dato Personale

Trattamento

Pseudoanonimizzazione

Profilazione

Consenso dell'interessato

Titolare e Responsabile del

trattamento

Responsabile della protezione

dati (Data Protection Officer)

Violazione dei dati personali

Rappresentante

Trattamento transfrontaliero

Norme vincolanti d'impresa

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

DATO PERSONALE

“Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], direttamente o indirettamente

• Nome;

• Numero identificazione; (C.F./Matricola)

• Dati relativi all'ubicazione; (GPS)

• Identificativo online; (Login)

• Elementi caratteristici della sua identità fisica, fisiologica, genetica,

psichica, economica, culturale o sociale (Impronta, Iride, Comportamento,

Etnia, Status sociale e Economico)

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

DATO PERSONALE - 2Non solo i dati identificativi di tipo

documentale…

Anche, una ripresa video, una fotografia,un’immagine diagnostica o i dati biometrici…

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

TRATTAMENTO DEL DATO PERSONALE

«Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;»

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Principi del trattamento - Art.5

Liceità, correttezza e trasparenza;

Limitazione della finalità;

Minimizzazione dei dati;

Esattezza;

Limitazione della conservazione;

Integrità e riservatezza;

Responsabilizzazione;

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Come devono essere Trattati? Art.5

«Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali»

Il titolare del trattamento è competente per il rispetto del trattamento e deve essere in grado di comprovarlo («accountability»)

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

GDPR - art. 25

Privacy by Design

• Protezione dei dati fin dalla progettazione del trattamento

Privacy by Default

• Protezione dei dati trattati per impostazione predefinita

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Privacy by Design

• Il principio chiede di garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o dalla scelta di un determinato servizio/fornitore di servizi, in modo da prevenire possibili rischi

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Privacy by Design

Art. 25.1

Nel quadro di tale progettazione, tenuto conto e quindi in proporzione

• dello stato dell’arte e dei costi di attuazione

• delle finalità del trattamento

• del grado di probabilità e gravità del rischio associato al trattamento

il Titolare del trattamento, al momento di determinare i mezzi del trattamento, mette in ogni caso in atto misure tecniche ed organizzative adeguate quali la pseudoanonimizzazione o la minimizzazione.

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Privacy by Design

Art. 4 - 5)

Pseudoanonimizzazione:

trattare dati personali in modo tale che tali dati non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive.

In ogni caso tali informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative volte a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Privacy by Design

Pseudoanonimizzazione

Identificativo Dati

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Privacy by Design

Minimizzazione dei dati

Limitazione nel trattamento dei dati:

• Adeguati;

• Pertinenti;

• Limitati;

Soloi dati necessari rispetto alle finalità perseguite

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Privacy by Default

Art. 25.2

Il titolare del trattamento mette in atto misure tecniche eorganizzative adeguate per garantire che siano trattati, perimpostazione predefinita, solo i dati personali necessariper ogni specifica finalità del trattamento. Tale obbligo valeper la quantità dei dati personali raccolti,[…] il periodo diconservazione e l'accessibilità.[…]

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

In sostanza

1. Sicurezza Proattiva e non Reattiva;

2. Impostazioni di protezione dei dati di default;

3. Tutela dei dati personali inclusa nel progetto;

4. Funzionalità di protezione dei dati complete ( e non =);

5. Sicurezza durante tutto il ciclo del trattamento dalla raccoltaalla distruzione;

6. Trasparenza nelle informazioni all’interessato;

7. Centralità dell'utente nel trattamento (User Centric);

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Trattamento dati extra UE - 1

Articolo 44 - Principio generale per il trasferimento

• Qualunque trasferimento di dati personali oggetto diun trattamento […] verso un paese terzo […], haluogo soltanto se il titolare del trattamento […]rispettano le condizioni di cui al presente capo,[…].Tutte le disposizioni del presente capo sonoapplicate al fine di assicurare che il livello diprotezione delle persone fisiche garantito dalpresente regolamento non sia pregiudicato.

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Trattamento dati extra UE - 2

Condizioni per il trasferimento dati extra UE:

• Decisione di adeguatezza presa dalla Commissione europea.

Tuttavia la stessa Commissione almeno ogni 4 anni effettua un riesame di tale decisione, al fine di verificare il mantenimento delil livello di protezione adeguato già valutato.

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Trattamento dati extra UE - 3

Condizioni per il trasferimento dati extra UE:

• Garanzie adeguate:Il titolare o il responsabile del trattamento devono fornire garanzie adeguate ovvero:

i. Siano disponibili diritti mezzi di ricorso effettivi per gli interessati;

ii. Norme vincolanti di impresa;

iii. Clausole contrattuali standard adottate dalla Commissione;

iv. Codici di condotta;

v. Certificazioni specifiche;

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Trattamento dati extra UE - 4

Condizioni per il trasferimento dati extra UE:

• Norme vincolanti d'impresa (BCR – Binding Corporate Rules):

a) Consente il trasferimento, anche verso paesi extra UE, tra società dellostesso gruppo imprenditoriale;

b) Clausole contrattuali in linea con il GDPR, in particolare con art. 47 eapplicate in tutte le società del gruppo;

c) Le BCR devono essere valutate ed approvate preventivamente dallaCommissione o dal Garante nazionale o europeo;

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Trattamento dati extra UE - 5

Casi deroga :

1. Consenso esplicitamente espresso dall’interessato altrasferimento;

2. Quando è necessario per l'esecuzione di un contratto concluso trail titolare e l’interessato;

3. Per importanti motivi di ordine pubblico;

4. Per tutelare gli interessi vitali dell’interessato o altre persone;

5. Per accertare, esercitare o difendere un diritto in sede giudiziaria;

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Sanzioni amministrative - 1

Articolo 82 - Diritto al risarcimento e responsabilità

1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

ma…

3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, […] se dimostra che l'evento dannoso non gli è in alcun modo imputabile.

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

Sanzioni amministrative - 2

Art. 83

4. Fino a 10.000.000 euro, o per le imprese, finoal 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

5. Fino a 20.000.000 euro, o per le imprese, fino

al 4% del fatturato mondiale totale annuo

dell'esercizio precedente, se superiore.

Studio

di consu

lenza pe

r l’infor

matica

giuridic

a e l’org

anizzaz

ione azi

endale

29

NEO STUDIO 2000 S.R.L.

Largo Villaura, 27 – PALERMO

Tel. 091 364924 - neostudio@neostudio.it

a.bertolino@neostudio.it - cell. 3477167484