Convegno su

«Privacy e protezione del dato Gli

adempimenti del nuovo Regolamento

UE 679/2016»

Lecce, 3 marzo 2017

L’impatto delle novità contenute nel Regolamento 679/2016

Avv. Andrea Lisi

www.anorc.it

www.anorc.it

Un po’ di storia personale…

www.anorc.it

Una premessa come necessaria chiave interpretativa:

Come eravamo e chi siamo oggi

nel «Far Web»?

www.anorc.it

www.anorc.it

Dove sono i video che vediamo?

www.anorc.it

www.anorc.it

www.anorc.it

www.anorc.it

C’è davvero una differenza generazionale nell’utilizzo diffuso del web?

www.anorc.it

era impossibile immaginarlo solo qualche anno fa…

www.anorc.it

eppure…

www.anorc.it

Per vivere il nostro tempo è necessario adattarsi al digitale

www.anorc.it

Il digitale permea ogni ambito della nostra vita. La progressiva

dematerializzazione di tutti gli atti, quindi documenti e contratti che ci

riguardano è una strada già intrapresa da cui sarà impossibile tornare

indietro.

La digitalizzazione è dunque un processo inevitabile, porta con

sé qualsiasi ambito documentale e la normativa ormai abbraccia in

modo sempre più convinto il principio del «digital first», (che comporta il

superamento delle scomode ed equivoche commistioni con il mondo

analogico). E ovviamente i nostri dati personali sono trattati in modo

diffuso… e spesso a nostra insaputa!

www.anorc.it

www.anorc.it

www.anorc.it

www.anorc.it

Voi da che parte volete stare?

Volete ignorare questa realtà ed esserne vittime …o invece volete

cavalcarla, come fa Yoox?

La normativa sulla «privacy» non impedisce di trattare i dati e profilare, ma

semplicemente definisce le regole per farlo.

www.anorc.it

LEGGI NAZIONALI

STANDARD TECNICI E LINEE GUIDA

PROVVEDIMENTIGARANTE

Provvedimenti Ag. Italia Digitale

USI E PRASSI(ANCHE

GIURISPRUDENZIALI)

LEGISLAZIONE EUROPEA

E INTERNAZIONALE

Le fonti giuridiche della

digitalizzazione documentale e privacy:

www.anorc.it

Gli ultimissimi aggiornamenti che ci riguardano

Codice dell'amministrazione digitale (D.Lgs. 82/2005)

e Codice per la protezione dei dati personali (D. Lgs. 196/2003)

Nuove Regole Tecniche e

provvedimenti Agid e

Garante privacy

Regolamento eIDAS (electronic IDentification Authentication and Signature): Regolamento (UE) N. 910/2014 del PARLAMENTO EUROPEO e del CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE

Regolamento GDPR (General Data Protection Regulation): Regolamento (UE) N. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

I principi ispiratori dei due Regolamenti

Regolamento eIDAS:(1) Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale. La

mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i

consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e

dall’adottare nuovi servizi.

(2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato

interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità

pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché

dell’eBusiness e del commercio elettronico, nell’Unione europea.

Regolamento GDPR:(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un

diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea

(«Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea («TFUE»)

stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la

riguardano.

(6) La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la

protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è

aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle

autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro

attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale

informazioni personali che li riguardano. La tecnologia ha trasformato l'economia e le relazioni sociali

e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro

trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato

livello di protezione dei dati personali.

(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati

nell'Unione, affiancato da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia

che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno.

www.anorc.it

…ma nel mondo digitale c’è ancora reale

differenza tra dato, informazione e

documento?

E gli archivi sono destinati a scomparire?

www.anorc.it

Conservazione sostitutiva

E-mail e PEC Flusso di dati

Sistema Documentale Portale info-documentale

Document Management: le tappe dello sviluppo

1990-2000 2001-2010 2011-…..

Documento fisico Documento digitale Informazione documentata?

Archiviazione ottica Conservazione digitale

Firma autografa e digitale Firma elettronica Identità digitali

Supporto cartaceo

ERP+Repository

Documento

Archiviazione

Firma

Distribuzione

Sistemi

con il «nuovo» CAD è cambiato qualcosa?

Cloud

Smart working

condivisione

Processi digitali

www.anorc.it

Dato (dal latino datum che significa letteralmente fatto) ciò che è conosciuto o accertato, specialmente

in quanto può servire di base per successivi calcoli o ragionamenti (i dati di un

problema; dati statistici). In informatica ogni informazione che possa essere trattata

da un computer: elaborazione elettronica dei dati (Dizionario Garzanti).

Dati di identificazione personale: un insieme di dati che consente di stabilire l’identità di una

persona fisica o giuridica o un’unica persona fisica che rappresenta una persona

giuridica (Reg. eIDAS)

Dato personale: qualunque informazione relativa a persona fisica, identificata o identificabile, anche

indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un

numero di identificazione personale (Codice privacy)

Dato identificativo: i dati personali che permettono l'identificazione diretta dell'interessato (Codice

privacy)

Dato delle pubbliche amministrazioni: il dato formato, o comunque trattato da una pubblica

amministrazione (Codice Amministrazione Digitale).

Base di dati: collezione di dati registrati e correlati tra loro (Regole Tecniche – All. 1)

Cosa è un dato?

In realtà, facciamo riferimento a un «dato informativo», perché a voler essere precisi il dato è la più piccola unità significativa dell’informazione non ancora elaborata, mentre l’informazione è un insieme di dati aggregati a scopo di comunicazione attraverso lo spazio o il tempo .

www.anorc.it

DATI PERSONALI

qualsiasi informazione riguardante una persona fisica

identificata o identificabile ("interessato"); si considera

identificabile la persona fisica che può essere identificata,

direttamente o indirettamente, con particolare riferimento a

un identificativo come il nome, un numero di

identificazione, dati relativi all'ubicazione, un

identificativo online o a uno o più elementi caratteristici

della sua identità fisica, fisiologica, genetica, psichica,

economica, culturale o sociale (Regolamento 679/2016)

www.anorc.it

OGGETTO E FINALITÀ

1.Il presente regolamento stabilisce norme relative alla

protezione delle persone fisiche con riguardo al trattamento

dei dati personali, nonché norme relative alla libera

circolazione di tali dati.

2.Il presente regolamento protegge i diritti e le libertà

fondamentali delle persone fisiche, in particolare il diritto alla

protezione dei dati personali.

3.La libera circolazione dei dati personali nell'Unione non può

essere limitata né vietata per motivi attinenti alla protezione

delle persone fisiche con riguardo al trattamento dei dati

personali. (art. 4 Regolamento 679/2016)

www.anorc.it

Documento (deriva dal latino Docere, cioè insegnare - documentum : rappresentare, dare prova): in

senso generico si considera l’informazione affissa in un supporto. In senso più proprio

esso è lo scritto che convalida o certifica la realtà di un fatto, di una condizione, di una

situazione, specialmente in ambito burocratico, amministrativo o giuridico (Dizionario

Garzanti)

Documento (in ambito diplomatistico): Testimonianza scritta di un fatto di natura giuridica, compilata con

l'osservanza di determinate forme, le quali sono destinate a procurarle fede e a darle

forza di prova (Cesare Paoli, Diplomatica, Firenze, Le Lettere, 1987, p.18).

Documento (in ambito archivistico) «Tutti i libri, le carte, le mappe, le fotografie o gli altri materiali

documentari, indipendentemente dalla forma o dalle loro caratteristiche, prodotti o

ricevuti da ogni pubblica o privata istituzione, nello svolgimento delle sue funzioni

istituzionali o in connessione con la conduzione dei suoi affari particolari, e conservati,

o degni di essere conservati, dalla stessa istituzione o dal suo successore, come

testimonianza delle sue funzioni, della sua politica, delle decisioni, procedure,

operazioni, o altre attività, o a causa del valore informativo dei dati ivi contenuti»

(Th.R.Schellenberg, Modern Archives:Principles and Techniques, Chicago, Illinois,

Midway, 1975).

Documento (in ambito giuridico): res signata (Natalino Irti, 1969) o anche res rappresentativa di fatti

giuridicamente rilevanti (Francesco Carnelutti, Teoria Moderna, In Novissimo Digesto

Italiano, 1975)

Cosa è un documento?

www.anorc.it

Documento informatico non è solo un .pdf o

comunque un’immagine digitalizzata di un

foglio di carta, ma è qualsiasi dato digitale

giuridicamente rilevante e strategico per

l’impresa o la PA: un tracciato EDI, un log file

generato da una transazione commerciale su

un sito web, una comunicazione e-mail,

un’analisi di dati di navigazione, un filmato

digitale etc.

«documento digitale»: testi, immagini, dati strutturati, disegni,

programmi, filmati formati tramite una grandezza fisica che assume

valori binari, ottenuti attraverso un processo di elaborazione

elettronica, di cui sia identificabile l'origine(art. 1 lett. d) DMEF 23 gennaio 2004 - Modalita' di assolvimento degli obblighi

fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di

supporto e art. 1 lett. d) deliberazione AIPA 13 dicembre 2011)

“documento informatico: documento elettronico che contiene la

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” (C.A.D.,art. 1, comma 1°, lett. p)

«documento elettronico»: qualsiasi contenuto conservato in forma elettronica,

in particolare testo o registrazione sonora, visiva o audiovisiva (Regolamento

eIDAS - REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E

DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e

servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la

direttiva 1999/93/CE

www.anorc.it

Considerando (15) La tutela delle persone fisiche dovrebbe applicarsi sia al trattamento

automatizzato che al trattamento manuale dei dati personali, se i dati sono

contenuti o destinati ad essere contenuti in un archivio.

Articolo 2 (Ambito di applicazione materiale)

1. Il presente regolamento si applica al trattamento interamente o parzialmente

automatizzato di dati personali e al trattamento non automatizzato di dati

personali contenuti in un archivio o destinati a figurarvi.

6) art. 4 (definizioni) comma 1 punto 6) «archivio»: qualsiasi insieme strutturato di dati personali

accessibili secondo criteri determinati, indipendentemente dal fatto che tale

insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o

geografico;

Articolo 20 Diritto alla portabilità dei dati 1.L'interessato ha il diritto di ricevere in un formato

strutturato, di uso comune e leggibile da dispositivo automatico i dati personali

che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere

tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare

del trattamento cui li ha forniti […] …e ha anche il diritto di conoscere sempre il

periodo di conservazione dei dati che lo riguardano (Articolo 13 comma 2)

Per «archivio» si intende il complesso dei documenti prodotti durante lo svolgimento della propria

attività (pratica, giuridica, amministrativa) o l’esercizio delle proprie funzioni.

Dati, documenti, archivi nel Reg. 679/2016

www.anorc.it

C’è davvero oggi differenza giuridica e sostanziale tra un Registro IVA

o un Libro Giornale che contengono i dati contabili aggiornati

dell’impresa oppure un Registro di Log di un portale di e-commerce dal

quale si evincono i dati aggiornati e profilati sui gusti e le abitudini dei

clienti on line?

www.anorc.it

Oggi qualsiasi impresa non può NON interessarsi di

proteggere i propri dati giuridicamente rilevanti in

un’organizzazione complessa e coerente con quanto la

normativa prevede in materia di digitalizzazione e privacy

www.anorc.it

Strumenti di «smart working» e protezione dei dati 4.0

i principi della «privacy» vanno declinati e rispettati anche (e

soprattutto) nel mondo digitale attraverso relazioni trasparenti e

documentate all’interno dell’impresa o della PA:

• utilizzo pc, tablet, smartphone in

azienda e nella PA

• sito web aziendale e aree riservate

• corrispondenza elettronica

• uso social network

• utilizzo web cam e telecamere

• utilizzo strumenti informatici (es. id e

pw, firma digitale e pec, SPID)

• etc

Non c’è digitalizzazione senza protezione del dato personale!

www.anorc.it

Il Regolamento GDPR:

- abroga la vecchia direttiva 95/46/CE, recepita nei

vari Stati membri e anche nel nostro

ordinamento con il d.lgs. 196 del 2003 (Codice

Privacy)

- non semplifica l’attuale disciplina né riduce gli

oneri a carico dei titolari del trattamento, al

contrario introduce nuovi adempimenti e

differenti modelli organizzativi in un’ottica più

sostanziale e meno formale

- Esecutività (Regolamento): 2 anni da entrata in

vigore (= 25 maggio 2018)

34

www.anorc.it

Previsione di un margine di flessibilità lasciato agli Stati Membri

per alcune tipologie di trattamento:

- gli Stati Membri sono autorizzati a introdurre o mantenere disposizioni di

diritto nazionale che consentano di “adattare” quelle contenute nel

Regolamento. Tale rinvio espresso al legislatore nazionale è accompagnato

da un elenco dei requisiti sostanziali che le misure legislative nazionali

adottate o mantenute in questi settori devono presentare (dati sensibili,

giornalismo, lavoro, ricerca scientifica, statistica, storica, archivi);

- Il Regolamento fa rinvio al legislatore nazionale anche con riguardo a

ulteriori tipologie di trattamento (in particolare in ambito sanitario, ma

anche rispetto ai trattamenti di dati genetici o biometrici - “condizioni o

limitazioni ulteriori” - ai criteri di nomina di un DPO, alla possibilità di

richiedere autorizzazioni da parte dell’Autorità di controllo per taluni

trattamenti, alle norme che devono disciplinare istituzione e componenti

delle Autorità di controllo, alla possibile previsione di sanzioni, anche

penali, ulteriori rispetto a quelle contenute nel Regolamento, ecc.).

www.anorc.it

Considerando n. 8): Ove il presente regolamento preveda

specificazioni o limitazioni delle sue norme ad opera del diritto degli

Stati membri, gli Stati membri possono, nella misura necessaria per

la coerenza e per rendere le disposizioni nazionali comprensibili alle

persone cui si applicano, integrare elementi del presente regolamento

nel proprio diritto nazionale.

Considerando n. 10): Il presente regolamento prevede anche un

margine di manovra degli Stati membri per precisarne le norme,

anche con riguardo al trattamento di categorie particolari di dati

personali («dati sensibili»).

Considerando n. 19): …gli Stati membri dovrebbero poter mantenere

o introdurre disposizioni più specifiche per adattare l'applicazione

delle disposizioni del presente regolamento.

www.anorc.it

adempimenti generali: trasparenza

(informativa e consenso)

adempimenti speciali: comunicazione

(notificazione al Garante e interpello ex art. 17)

adempimenti organizzativi: organizzazione

(formalizzazione incarichi e misure di sicurezza…DPS?)

tutto questo si traduce con …..

NEL D.LGS. 196/2003 (CODICE PRIVACY):

www.anorc.it

adempimenti generali: trasparenza

(informativa, consenso, diritto di accesso)

adempimenti speciali: consultazione preventiva e PIA

adempimenti organizzativi: organizzazione

(formalizzazione rapporti tra titolari e contitolari, titolari e

responsabili, responsabili e incaricati, incarico DPO,

formazione/istruzioni e misure di sicurezza…Registro dei

trattamenti, Analisi dei Rischi… e PIA)

NEL REGOLAMENTO PRIVACY UE:

www.anorc.it

Regolamento UE n. 2016/679:

Diritti interessati: Trattamenti ulteriori,

limitazione, portabilità, «oblio»

Obblighi titolari: Approccio basato sulla

valutazione del rischio («privacy by design»,

nomina DPO, valutazione di impatto, notifica

«data breach», trasferimento dati in Paesi extra

UE, certificazione…) + «Accountability»

Ruolo Autorità: Sportello unico e meccanismo di

coerenza (il Board), Sistema sanzionatorio

39

www.anorc.it

Il titolare del trattamento deve essere in grado di

dimostrare che ha adottato un processo complessivo di

misure giuridiche, organizzative, tecniche, per la

protezione dei dati personali, anche attraverso

l’elaborazione di specifici modelli organizzativi, analoghi

a quelli utilizzati nell’applicazione del d. lgs. 231/2001.

Aziende e PA devono sviluppare e dotarsi di strumenti

che possano essere utilizzati per valutare lo stato della

propria accountability e per dimostrarlo all’Autorità

Garante.

www.anorc.it

Altre NOVITA’:

- eliminazione obbligo di notificazione dei trattamenti

(sostituita dall’obbligo di tenuta di idonea documentazione

anche in forma digitale);

- sostituzione della «Verifica preliminare» (ex art. 17 D.Lgs.

196/2003) con l’obbligo di «Consultazione preventiva» (ex

art. 34 del Regolamento)

- potenziamento ricorso a codici deontologici e

certificazione (utilizzabili anche ai fini di trasferimenti di dati in

Paesi terzi)

www.anorc.it

Punti principali del nuovo Regolamento UE

Adeguamento delle misure di sicurezza al nuovo contesto: nuove

tecnologie ed evoluzione del cyber crime

Enfatizzati i principi della vecchia direttiva 95/46/CE

Richiesto un approccio sistemico alla sicurezza e alla protezione del

dato

Richiamo all‘approccio basato sul rischio (Risk Analisys) e

Accountability (misure di sicurezza, PIA)

Richiesta l’efficacia e l’adozione preventiva delle misure (sostanza vs

forma) e l‘adozione di un Modello di Data Protection Management

System

Richiesta la rilevazione e la denuncia delle violazioni alla sicurezza

Ricorso alla Certificazione come strumento per la compliance e

promossa l’adozione di Codici di Condotta

www.anorc.it

Si passa da un approccio “formalmente regolare” ad un

approccio “effettivamente conforme”

1) non più “privacy”, ma tutela del dato;

2) si passa a un sistema incentrato sulla preventiva adozione e

implementazione di specifiche garanzie e meccanismi di protezione più

efficaci;

3) si passa dalla forma alla sostanza (viene meno l’approccio

formalistico/autorizzatorio);

4) sarà necessario un equo bilanciamento tra “protezione degli individui” e

“libera circolazione delle informazioni”;

5) nei contratti bisogna inserire clausole “reali” e non più di stile (disciplina

contitolarità e rapporti contrattuali fra titolare e responsabile);

6) necessità introdurre audit nel rispetto del principio di proporzionalità

(anche mediante enti esterni);

7) Modello di Data Protection Compliance.

www.anorc.it

i principi fondamentali

TRATTAMENTO DEI DATI

PERSONALI NEL REGOLAMENTO:

Qualità (liceità, equità, trasparenza, esattezza,

integrità e riservatezza - art. 5)

Liceità (art. 6)

Consenso (art. 7)

Dati sensibili…(artt. 9 e 10)

Principio di minimizzazione (art.11)

Il Titolare del trattamento è competente per il rispetto dei

principi ed ha l’onere di comprovarlo ("responsabilità")

www.anorc.it

I sistemi informativi e i programmi informatici sonoconfigurati riducendo al minimo l’utilizzazione di datipersonali e di dati identificativi, in modo da escluderne iltrattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, datianonimi od opportune modalità che permettano diidentificare l’interessato solo in caso di necessità.(statistiche web, archivi con numeri anziché nomi,eliminazioni dei dati non necessari dai vari software...)

Art. 3 Principio di necessità neltrattamento dei dati (D.Lgs. 196/2003)

www.anorc.it

Articolo 25 - Protezione dei dati fin dalla progettazione e protezione di default

1. Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura,

dell’ambito di applicazione, del contesto e delle finalità del trattamento, come

anche dei rischi avente probabilità e gravità diverse per i diritti e le libertà delle

persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del

trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in

atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte

ad attuare in modo efficace i principi di protezione dei dati, quali la

minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di

soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative

adeguate per garantire che siano trattati, per impostazione predefinita (di

default), solo i dati personali necessari per ogni specifica finalità del trattamento.

Tale obbligo vale per la quantità dei dati raccolti, la portata del trattamento, il

periodo di conservazione e l'accessibilità. In particolare dette misure

garantiscono che, per impostazione predefinita, non siano resi accessibili dati

personali a un numero indefinito di persone fisiche senza l'intervento della

persona fisica.

www.anorc.it

Viene ridisegnato l’organigramma privacy, con l’introduzione di

nuove figure soggettive e l’attribuzione di nuovi compiti e

responsabilità:

• Titolare del trattamento (data controller);

• Contitolare (joint controller);

• Responsabile del trattamento (data processor);

• Sub-responsabile (subprocessor);

• Responsabile della protezione dei dati o Data Protection

Officer (DPO).

I RUOLI e LE RESPONSABILITA’:

www.anorc.it

Il Regolamento Europeo: il Titolare

Tenuto conto della natura, del campo di applicazione, del contesto e delle

finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i

diritti e le libertà delle persone fisiche

Art. 24

Il titolare del trattamento mette in atto misure

tecniche e organizzative

(riesaminate/aggiornate se necessario) adeguate

per garantire ed essere in grado di dimostrare

che il trattamento dei dati personali è effettuato

conformemente al Regolamento.

Conserva la

documentazione e un

registro delle attività

di trattamento

mette in atto

meccanismi per

assicurare la verifica

dell’efficacia delle

misureAttua i requisiti di

sicurezza dei dati

nomina il DPO

esegue la valutazione d’impatto

sulla protezione dei dati

(e chiede un parere al DPO)

nomina i Responsabili e fornisce

istruzioni ai dipendenti

Politiche adeguate in

materia di protezione dei

dati da parte del titolare

del trattamento

48

www.anorc.it

E i vecchi Incaricati del d.lgs. 196/2003?

Trattamento sotto l'autorità del titolare del trattamento e del

responsabile del trattamento (art. 29 del nuovo Regolamento)

Il responsabile del trattamento, o chiunque agisca sotto la sua

autorità o sotto quella del titolare del trattamento, che abbia

accesso a dati personali non può trattare tali dati se non è istruito in

tal senso dal titolare del trattamento, salvo che lo richieda il diritto

dell’Unione o degli Stati membri.

ATTENZIONE: i titolari e i responsabili del trattamento hanno l’obbligo di

formazione e istruzione nei confronti dei soggetti (persone fisiche) che trattano

dati personali (denominati anche quali “le persone autorizzate al trattamento

dei dati personali” ovvero “personale che partecipa ai trattamenti”)

www.anorc.it

TITOLARE

RESPONSABILE DELLA

SICUREZZA E

RESPONSABILE DEI

SISTEMI INFORMATIVI

RESPONSABILE

TRATTAMENTO

RESPONSABILE

DELLA

CONSERVAZIONE

PIANO DI SICUREZZA

INFORMATICA

REGISTRO, CONTRATTI,

DELEGHE E

REGOLAMENTI INTERNI

MANUALE DELLA

CONSERVAZIONE

SOGGETTI

AUTORIZZATISOGGETTI

AUTORIZZATI

SOGGETTI

AUTORIZZATI

RESPONSABILE DEI

FLUSSI DOCUMENTALI

MANUALE DELLA

GESTIONE DEI FLUSSI

DOCUMENTALI

SOGGETTI

AUTORIZZATI

In strutture complesse gerarchia

di responsabili a più livelli

Solo

PA

L'organizzazione aziendale 2.0

La Governance del patrimonio informativo di una società o una PA:

Compliance normativa nella Società dell’Informazione

Responsabilità penale d’impresa

CDO DPO

www.anorc.it

E il marketing? E la profilazione?

Articolo 21 Diritto di opposizione

1. L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla

sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi

dell'articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali

disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati

personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al

trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato

oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

2. Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato

ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo

riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia

connessa a tale marketing diretto.

3. Qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati

personali non sono più oggetto di trattamento per tali finalità.

4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all'attenzione

dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra

informazione al più tardi al momento della prima comunicazione con l'interessato.

51

www.anorc.it

Per concludere, in questo Regolamento

679/2016 (tutto da studiare con attenzione), ci

sono pochi divieti, ma tantissima

responsabilizzazione…e un bel po’ di sanzioni

con le quali fare conti!

52

www.anorc.it

https://www.linkedin.com/company/anorc

https://www.facebook.com/Anorc/

https://twitter.com/_Anorc

andrealisi@studiolegalelisi.it

www.anorc.it

Per maggiori informazioni e richiedere le modalitàdi adesione ad ANORC ecco i nostri contatti:

c/o D&L Department srlvia Mario Stampacchia, 2173100 Lecce

Tel e Fax: 0832 25.60.65Cell: 3277027035

Ufficio di Presidenza: ufficio.presidenza@anorc.itSegreteria: segreteria@anorc.itDirezione: direzione@anorc.itComunicazione: comunicazione@anorc.itPec: anorc@pec.it