Regolamento UE 2016/679

Cenni storici

Direttiva 96/46/CE «Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati»

D.Lgs. 196/2003«Codice in materia di protezione dei dati personali»

Perché abrogarle?❖ Continua evoluzione dei concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente alla

diffusione del progresso tecnologico❖ Incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali, portando ad aumentare in modo

vertiginoso la portata della condivisione e della raccolta di dati❖ La tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in

precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondialeinformazioni personali che li riguardano

❖ L’integrazione economica e sociale ha portato a un considerevole aumento dei flussi transfrontalieri e quindi anche dei dati scambiati, in tutta l’Unione, tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Per il buon funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata né vietata con riguardo al trattamento dei dati personali

REGOLAMENTO UE 2016/679✓ Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare

la libera circolazione dei dati personali nel mercato interno✓ Per garantire certezza del diritto e trasparenza agli operatori economici✓ Per offrire alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei

titolari del trattamento✓ Per assicurare un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri ed una

cooperazione efficace tra le Autorità di controllo dei diversi stati membri✓ Direttamente applicabile ed obbligatorio in ognuno degli Stati membri e di tutti i cittadini dell'Unione✓ Caratterizzato dal cd. Primato del diritto europeo (cioè le fonti europee hanno prevalenza, in caso di contrasto, sulle norme di

diritto interno)✓ Ribadisce alcuni concetti fondamentali che sono alla base della stessa Direttiva 95/46/CE e per quanto ci riguarda del Codice in

materia di protezione dei dati personali✓ Permette che la medesima normativa sia contemporaneamente in vigore in ventisette stati membri UE uniformandoli sotto

un'unica disciplina✓ Agli Stati Membri dell’Unione rimane la possibilità di introdurre ulteriori regole e condizioni 2

L.163/2017 - LEGGE DI DELEGAZIONE EUROPEA 2016-2017

❖ Il decreto legislativo in attuazione della legge delega 163/2017, dovrà esse emanato definitivamente con la firma del Presidentedella Repubblica entro il 21 maggio, dopo aver acquisito i pareri delle Commissioni Parlamentari e del Garante della privacy e

assieme al Regolamento Europeo costituirà la normativa di riferimento a partire dal 25 maggio❖ L'adozione di un decreto nazionale di adeguamento, previsto dalla legge di delegazione europea 2016-2017, impegna il nostro

Paese a conformarsi alla legislazione unionale sulla privacy ed è destinato a svolgere una funzione di COMPLETAMENTO ed ATTUAZIONE

❖ In relazione alla finalità della specifica delega, sono rimesse al legislatore: ✓ la potestà di verificare se e quali disposizioni del Codice Privacy debbano essere espressamente abrogate per

incompatibilità con il regolamento✓ la potestà di verificare se e quali disposizioni di detto codice siano da modificare ma “limitatamente a quanto necessario

per dare attuazione alle disposizioni non direttamente applicabili contenute” nello stesso regolamento✓ la scelta dello strumento tecnico-normativo più lineare ed efficace per realizzare detti risultati

❖ A seguito delle verifiche compiute è risultato che:a) una parte delle disposizioni del codice è da abrogare espressamente per essere risultate incompatibili con quelle recate

dal regolamentob) altra e minore parte delle previsioni codicistiche nazionali è stata modificata in modo rilevante, in relazione a

disposizioni del regolamento unionale non direttamente applicabili

❖ A fronte di un testo, quale quello del decreto legislativo n. 196 del 2003, il cui contenuto normativo è destinato ad essere quasi del tutto direttamente soppiantato e sostituito dalle disposizioni del regolamento 2016/679, è parso privo di senso novellare disposizioni di un codice che all’evidenza non è più tale. Infatti, in un certo senso la nuova codificazione in materia sarà rappresentata ora, in buona parte, dalle disposizioni del regolamento direttamente applicabili, e in altra parte da disposizionicontenute nel decreto legislativo.

❖ Si è giunti all’abrogazione del codice in materia di protezione dei dati al fine di effettuare il riordino e la semplificazione della materia, per evitare che si dovessero consultare tre testi normativi, dando luogo così a una situazione di incertezza del diritto, generatrice di ulteriori costi di applicazione del regolamento.

3

REGOLAMENTO 2016/679

❖ Il Regolamento UE assicura uniformità in ambito UE❖ Principi fondamentali immutati❖ Più attenzione a nuove tecnologie❖ Riduzione oneri PMI❖ Si applica a chi offre servizi/prodotti nell’UE❖ Diritto all’oblio❖ Data Protection Officer❖ Meno oneri ma più responsabilizzazione per i titolari di trattamento❖ Sistema Europeo di sanzioni (uniformi)

PRINCIPALI NOVITÀ

4

TUTELE CONTRAPPOSTE

LA PERSONA❑Diritto fondamentale

delle persone fisiche alla protezione dei dati di carattere personale

INTERESSE SOCIALE❑ Deroga al divieto di trattare categorie particolari di dati personali

laddove ciò avvenga per motivi di:

✓ Interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero (malattie trasmissibili)

✓ A fini di accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale

✓ A fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

Il trattamento dei dati personali deve essere soggetto a garanzie adeguate che devono assicurare la predisposizione di misure tecniche ed organizzative al fine di garantire, in particolare, il principio della minimizzazione dei dati. Si deve valutare la fattibilità di conseguire le finalità suddette trattando dati personali che non consentono o non consentono più di identificare l’interessato (es. la pseudonimizzazione)


5

• Tutela di diritti

economici (valore

dei dati)


NOZIONI CHIAVE

• AMBITO DÌ APPLICAZIONE (CHI E’ INTERESSATO E COSA QUALI DATI)____8• SANZIONI ____12

•PRINCIPI in particolare ACCOUNTABILITY (Principio di responsabilizzazione) ___ 14• CONSENSO _____ 20 e 21• INFORMATIVA _____ 22• DIRITTI DEGLI INTERESSATI___ 23• GESTIONE DELLE VIOLAZIONI ____ 26

6

Oggetto e Finalità – Art. 1❖ Protezione delle persone fisiche con riguar trattamento dei dati personali e alla libera circolazione di tali

dati❖ Protezione dei diritti e delle libertà fondamentali delle persone fisiche, con particolare il diritto alla protezione

dei dati personali


✓ La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche ed organizzative adeguate

✓ Il titolare del trattamento dovrebbe adottare politiche interne ed attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default

✓ Le suddette misure potrebbero consistere nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza

✓ Per mantenere la sicurezza e prevenire trattamenti in violazione del regolamento, il titolare del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura

✓ Laddove la valutazione sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibili e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo

AMBITO DI APPLICAZIONE (CHI E’

INTERESSATO E COSA QUALI DATI)

7


Aree tematiche – Art. 2

Area territoriale – Art. 3

AMBITO DÌ APPLICAZIONE (CHI E’


Le regole imposte dalla normativa in materia di protezione dei

dati personali trovano applicazione nel caso di trattamento di

dati personali – interamente o parzialmente automatizzato eanche non automatizzato se riferito a dati contenuti in un

archivio o destinati a figurarvi (art. 2)

Il regolamento «si applica al trattamento dei dati personali

effettuato nell’ambito delle attività di uno stabilimento da parte diun titolare del trattamento o di un responsabile del trattamento

nell’Unione, indipendentemente dal fatto che il trattamento siaeffettuato o meno nell’Unione» (art. 3)

8

potere di determinazione – potere

decisionale

Il titolare del trattamento è «la persona

fisica o giuridica, l’autorità

pubblica, il servizio o altro organismo che,

singolarmente o insieme

ad altri, determina le finalità e i mezzi del

trattamento di dati

personali» (art. 4 GDPR).

AMBITO DÌ APPLICAZIONE (CHI

E’ INTERESSATO E COSA QUALI

DATI)

9

La normativa trova applicazione nel caso di trattamento di

dati personali.

Trattamento «qualsiasi operazione o insieme di operazioni,compiute con o senza l’ausilio di processi automatizzati e

applicate a dati personali o insiemi di dati personali, come la

raccolta, la registrazione, l’organizzazione, la strutturazione, la

conservazione, l’adattamento o la modifica, l’estrazione, la

consultazione, l’uso, la comunicazione mediante trasmissione,

diffusione o qualsiasi altra forma di messa a disposizione, il

raffronto o l’interconnessione, la limitazione, la cancellazione o la

distruzione» (art. 4 n. 2).

Dato personale «qualsiasi informazione riguardante una

persona fisica identificata o identificabile; si consideraidentificabile la persona fisica che puo essere identificata,

direttamente o indirettamente, con particolare riferimento a un

identificativo come il nome, un numero di identificazione, dati

relativi all’ubicazione, un identificativo online o a uno o piu

elementi caratteristici della sua identita fisica, fisiologica,

genetica, psichica, economica, culturale o sociale» (art. 4 n. 1).

• Non è “dato personale” il dato relativo a persona giuridica, ente o

associazione.

• Non è “dato personale” il dato anonimo.

AMBITO DÌ APPLICAZIONE (CHI E’


10

Risarcimento e responsabilità – Art. 82❖ Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento, ha il diritto di ottenere il risarcimento del danno dal

titolare o dal responsabile del trattamento, i quali sono responsabili IN SOLIDO per l’intero ammontare del danno


Sanzioni – Art. 83 e 84Le sanzioni amministrative sono inflitte secondo determinati criteri:❖

Effettive, proporzionate e dissuasive•

Natura, gravità e durata della violazione •

Carattere doloso o colposo della violazione•

Misure adottate dal titolare/responsabile del trattamento•

Precedenti violazioni e cooperazione con Autorità•

Adesioni ai codici di condotta•

Eventuali fattori aggravanti•

Entità delle sanzioni pecuniarie, a seconda dell❖ ’inosservanza di determinate disposizioni:Fino a euro • 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nei casi di:

Violazioni delle condizioni applicabili al consenso dei minori✓

Trattamento illecito di dati personali che non richiede l✓ ’identificazione dell’interessatoMancata o errata notificazione di un data ✓ breach all’Autorità nazionale competenteViolazione dell✓ ’obbligo di nomina del DPOMancata applicazione di misure di sicurezza✓

Fino a euro • 20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nei casi di:Inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un✓ ’Autorità nazionale competenteTrasferimento illecito cross✓ -border di dati personali ad un destinatario in un Paese terzo

11

Sanzioni

L’articolo 83 del GDPR è chiaro nel disporre che le sanzioni debbano essere

applicate in funzione del singolo caso e tenendo conto della natura, della

gravità e della durata della violazione, delle finalità del trattamento, del

numero di interessati lesi e del livello del danno, oltre al carattere colposo o

doloso della violazione.

Sono previste due macro-categorie di violazioni, una prima più lieve, che

coinvolge ad esempio i nuovi adempimenti in materia di misure di sicurezza,

fino a 10 milioni di euro o al 2% del fatturato globale annuo mondiale

dell’azienda, e una seconda collegata alle violazioni dei diritti dell’interessato,

dei principi del trattamento, delle norme sul trasferimento dei dati all’estero,

con sanzioni fino a 20 milioni di euro e al 4% del fatturato.

SANZIONI

12

Liceità, correttezza e trasparenza

Finalità determinate, esplicite e legittime

No razza, opinioni politiche, religione, sindacato, genetici, biometrici, salute, vita sessuale, SALVO CONSENSO o casi specifici

Dati minimi, esatti, aggiornati e garantiti nella loro integrità e riservatezza

Limitazione temporale connessa alla finalità del trattamento («privacy by default»


Principi applicabili – Art. 5 e 9

Adeguata sicurezza dei dati personali, mediante misure tecniche ed organizzative adeguate («privacy by design»)

13

PRINCIPI (in particolare ACCOUNTABILITY)

Principio di responsabilizzazione

Garante privacy - Guida all’applicazione del regolamento europeo in materia di

protezione dei dati personali

«Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai

titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del

trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di

alcuni criteri specifici indicati nel regolamento».

Infatti con il Regolamento UE 2016/679 si sancisce il principio dell’accountability (

responsabilizzazione), che impone ai titolari di adottare misure tecniche e

organizzative per garantire ed essere in grado di dimostrare che il trattamento è

effettuato conformemente alla normativa.

14

Titolare del trattamento e Responsabile del trattamento – Capo IV

Art. ❖ 24 → Responsabilità del titolare del trattamento: il titolare mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento

❖ Art. 25 → Privacy by design (approccio preventivo): il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento

REGOLAMENTO 2016/679 Principio di

responsabilizzazione

VERIFICARE SE SI E’ TENUTI A …. quindi

DESIGNARE O FARE ….. poi

DOCUMENTARE LE VALUTAZIONI

COMPIUTE

PER STABILIRE SE SI E’ FATTO O SE NON SI

E’ FATTO15

RESPONSABILI DEL TRATTAMENTO (art. 28)

• Il responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate.

• Il responsabile del trattamento è designato dal titolare con atto scritto «i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento».

Principio di


16

Art. ❖ 30 → Registro delle attività: Nelle imprese con più di 250 dipendenti, o nelle imprese dove il trattamento effettuato può presentare un rischio per i diritti e le libertà dell’interessato, il titolare del trattamento tiene un registro (in forma scritta, anche in formato elettronico) delle attività di trattamento svolte sotto la propria responsabilità

17


❖ Il titolare del trattamento designa un responsabile della protezione dei dati ogniqualvolta:

a) Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;

b) Le attività principali del titolare del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) Le attività principali del titolare del trattamento consistono nel trattamento, su larga scala di categorie particolari di dati personali sensibili o relativi a condanne penali e reati

❖ Il DPO può essere un dipendente o una persona esterna all’azienda, a patto che abbia le competenze ed esperienze specifiche ma non sono richiesti attestati od iscrizioni ad albi professionali.

❖ Il titolare deve pubblicare i dati relativi al DPO e deve comunicarli all’Autorità di controllo

Responsabile protezione dati (DPO) – Art. 37

Principio di


18

art. 35 - Il titolare del trattamento deve continuamente valutare i rischi per i diritti e le libertà degli interessati relativi alle attività di trattamento svolte e, qualora in seguito a tale valutazione, dovesse rinvenire un rischio elevato, deve effettuare la valutazione di impatto sulla protezione dei dati (DPIA) coinvolgere l’Autorità solo nel caso in cui all’esito della valutazione, dovessero residuare dei rischi.

19

CONSENSO

Consenso è • “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 n. 11).

• “il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni” e che “ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale” (art. 8)

20


❖ Il consenso deve essere:

✓ Libero, specifico, informato e manifestato attraverso «dichiarazione o azione positiva inequivocabile»

✓ Potrà essere prestato mediante atto scritto, mezzo elettronico o dichiarazione orale✓ Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste✓ Necessario se riguarda i dati sensibili (dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,

l’adesione a partiti, sindacati, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale). Oltre che nel caso di consenso da parte dell’interessato, tali dati possono essere altresì trattati quando:

• Trattamento necessario per tutelare un interesse vitale dell’interessato o di un’altra persona qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso

• Trattamento riguarda dati personali resi manifestamente pubblici dall’interessato• Trattamento è necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale• Trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero• Trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

✓ Necessario per il trasferimento di dati personali verso Paesi situati al di fuori dell’UE (in assenza di garanzie contrattuali o riconoscimenti di adeguatezza, oppure qualora ricorrano particolari condizioni

✓ Necessario, oltre all’informativa privacy, nel caso in cui il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione ai terzi (se i dati vengono usati solo per fini del sito medesimo, come ad es. la mailing list, e non per l’invio di proposte commerciali, occorre solo l’informativa privacy ma non la raccolta del consenso)

✓ Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali✓ Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci

❖ «Interesse legittimo» del titolare al trattamento dei dati personali:

✓ Può costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento

✓ Bilanciamento fra l’interesse legittimo ed interessi e diritti dell’interessato → «esiste una relazione pertinente ed appropriata tra l’interessato ed il titolare del trattamento» ✓ L’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali,

possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine✓ Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto ✓ Nel caso di trattamenti basati su legittimi interessi, l’interessato ha il diritto di opporsi, in qualsiasi momento e gratuitamente

Condizioni per il consenso – Art. 7 e 8

21


❖ Data per iscritto e preferibilmente in formato elettronico, anche se sono ammessi «altri mezzi», quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui

❖ Caratteristiche:• Forma concisa• Trasparente• Intelligibile per l’interessato• Facilmente accessibile• Scritta con un linguaggio chiaro e semplice

❖ Contenuti:• Dati di contatto del titolare del trattamento• Base giuridica del trattamento dei dati• Qual è l’interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento• Se vengono trasferiti dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti• Il periodo di conservazione dei dati e il diritto di presentare reclamo all’Autorità di controllo• Se il trattamento comporta processi decisionali automatizzati deve essere indicata la logica di tali processi decisionali e le

conseguenze previste per l’interessato❖ Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e

trasparente, prendendo in considerazione le circostanze e del contesto specifici in cui i dati personali sono trattati; l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa; in caso di dati raccolti direttamente presso l’interessato, questi dovrebbe essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli

❖ L’interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l’interessato o, nel caso di dati personali non raccolti direttamente presso l’interessato entro un termine ragionevole che non può superare un mese dalla raccolta dei dati o dal momento della comunicazione dei dati (a terzi o all’interessato)

❖ I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile

Informativa – Art.12, 13 e 14

22


❖ Art. 15 → Diritto di accesso e di informazione: prevede, in ogni caso, il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le «modalità» del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi

❖ Art. 17 → Diritto all’oblio: diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati

❖ Art. 18 → Diritto di limitazione di trattamento: diritto esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, bensì anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento

• Art. 19 → Diritto di ricevere notifica in caso di rettificazione o cancellazione dei dati o imitazione del trattamento

Diritti dell’interessato – Capo III

23


Diritto alla portabilità dei dati – Art. 20

❖ Diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali forniti ad un titolare del trattamento

❖ Diritto di trasmettere tali dati ad una altro titolare del trattamento senza impedimenti da parte del titolare del trattamento che li ha forniti

❖ NON si applica ai trattamenti non automatizzati. Sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e solo i dati che siano forniti dall’interessato al titolare

24


Profilazione❖ → qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, il comportamento di detta persona fisica l’interessato dovrebbe avere il diritto di non essere sottoposto a una decisine che valuti aspetti personali che lo riguardano. La profilazione deve essere svolta utilizzando i soli dati strettamente necessari per la finalità indicata, in ossequio al principio di pertinenza e di proporzionalità.

L'ambito di applicazione delle norme in materia di profilazione riguarda le ipotesi in cui l'attività di profilazione produce❖ effetti giuridici o incide in modo significativo sulla persona dell'utente, e la decisione è basata interamente sul trattamento automatizzato dei dati

L'i❖ nteressato può opporsi a tale elaborazione, tranne nei seguenti casi:il trattamento è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e il titolare–Il trattamento è autorizzato da una legge o regolamento, che prevede altresì misure idonee a tutelare i diritti dei soggetti – interessati; vi è esplicito consenso al trattamento (ricordiamo che il consenso alla profilazione deve essere distinto rispetto al consens– o relativo ad altri trattamenti).

Il titolare del trattamento ❖ deve informare gli interessati dell'esistenza di una decisione basata sul trattamento di dati automatizzato comprendente profilazione

Nell'informativa devono essere esplicitate le modalità della profilazione, le finalità della profilazione e la logica inerent❖ e il trattamento, nonché le conseguenze previste per l'interessato a seguito di tale tipo di trattamento

il titolare del trattamento deve attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'i❖ nteressato

La profilazione può avvenire utilizzando dati individuali (es. dati anagrafici), oppure dati aggregati derivanti da dati pers❖ onali individuali. Potrebbe accadere che, attraverso un incrocio di informazioni, i dati utilizzati in forma aggregata consentano l’identificazione dei soggetti interessati. Per questo motivo il trattamento deve essere preceduto dalla valutazione di impatto

Si vieta l❖ ’utilizzo di dati personali sensibili per scopi decisionali automatizzati, a meno che:– L’interessato non abbia espresso il suo consenso esplicito

La decisione automatizzata è necessaria per motivi di interesse pubblico–

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione – Art. 22

25

VIOLAZIONI

art. 4 n. 12 La violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 n. 12)

A partire dal 25 maggio 2018, tutti i titolari del trattamento devono comunicare eventuali violazioni dei dati personali all’Autorità nazionale di protezione dei dati, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica deve contenere le informazioni che consentono di comprendere il tipo di violazione subita e la sua gravità.

In base a quanto previsto dall’art. 33 del Regolamento, la notifica della violazione deve essere effettuata “senza ingiustificato ritardo” e, ove possibile, “entro 72 ore” dal momento in cui il titolare ne è venuto a conoscenza.

Quando la violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare dovrà peraltro informare della violazione, in modo chiaro, semplice e immediato, anche tutti gli interessati

26

REGOLAMENTO 2016/679Trasferimento di dati verso Paesi terzi ed Organismi internazionali – Art. 45

❖ Il trasferimento è ammesso solo se si è in presenza di garanzie adeguate, tra le quali:

✓ La Commissione europea decide che il paese terzo o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato

✓ Vengono adottate garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (clausole contrattuali modello o norme vincolanti d’impresa)

✓ Vi è la presenza di un codice di condotta approvato o un meccanismo di certificazione approvato, unitamente ad un impegno vincolante (mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante ed azionabile dagli interessati) da parte del titolare del trattamento nel paese terzo ad applicare le garanzie adeguate

❖ In mancanza di una decisione di adeguatezza o di garanzie adeguate, è ammesso il trasferimento soltanto se:

✓ L’interessato ha esplicitamente acconsentito al trasferimento ed è stato informato dei possibili rischi dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate

✓ Il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato ed il titolare del trattamento

✓ Il trasferimento è necessario per importanti motivi di interesse pubblico

✓ Il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria

✓ Il trasferimento è necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso

27

GRAZIE PER L’ATTENZIONE

28

Regolamento UE 2016/679 -...

Documents

Transcript of Regolamento UE 2016/679 -...