Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr ... · Sinergia Srl Avv. Francesco...
Transcript of Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr ... · Sinergia Srl Avv. Francesco...
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
La Privacy è un diritto tutelato nel sistema Civile e Penale .
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Time Line Normativa
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Direttiva Europea N°95/46/CE
Legge 675/96 Privacy
D.Lgs 196/2003 Codice della Privacy
Regolamento EU 679/2016 GDPR
EVOLUZIONE DEL CONCETTO DI «PRIVACY»
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Dal diritto ad «essere lasciatisoli nella propria sfera privata»(definizione tradizionale diWarren e Brandies)……al«diritto di sapere comevengono trattati i propri datipersonali».
Alla definizione incentrata suuna dimensione meramentepersonale se ne affianca unache comprende anche ladimensione economica ecommerciale derivante dallosfruttamento del dato.
GDPR 679/2016 I nuovi Imperativi
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il Regolamento costituisce la normativaprimaria in materia di protezione dati. IlGDPR è valido in tutti i paesi membridell’Unione Europea.
Non si rendono necessarie perl'applicabilità del GDRP leggi nazionali direcepimento come avviene per le direttiveeuropee.
Il decreto legislativo n. 101/2018 dimodifica del Codice Privacy opera unadeguamento ed un coordinamento dellanormativa italiana a quella europea cheresta la legislazione di riferimento.
1) Tratta meno dati che puoi (minimizzazione)
2) Distribuisci le responsabilità e documenta i trattamenti (accountability)
3) Favorisci l’anonimizzazione e la pseudonimizzazione.
4) Adotta regole organizzative
5) Crea meccanismi di tracciabilità dei dati
Il Regolamento Generale sulla protezione dei Dati
Adeguare la normativa alcontesto tecnologicoattuale, con riferimento airischi legati alla reteinformatica ed allacircolazione dei dati chequesta ha scatenato.
Unificarela normativa in
tutta l’UE
Fortificare i diritti dellepersone: • Garantire che i datipersonali siano raccolti e gestitisolo nei casi e negli ambitidavvero necessari;• Garantire che i dati sianosempre protetti con adeguatisistemi di sicurezza.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Obiettivi del GDPR
La Nuova «Privacy» in sintesi
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Nuove Garanzie per i cittadini di tutta Europa.
Si definiscono i limiti ad ogni trattamento automatizzato dei dati personali
Introduzione di nuovi criteri per il trasferimento dei dati e per i casi di data breach
Nuove regole, più chiare inmateria di informativa econsenso.
Dato Informazione
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Singola unità informativa codificata o meno
Definizioni Termini e significati
Insieme di dati correlati tra di loro
CHE COS’È?
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Qualsiasi informazione riguardante una persona fisica identificata o identificabile con particolare riferimento a un identificativo come:
il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online uno o più elementi caratteristici della sua identità
fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
DATO PERSONALE
- nome e cognome
- indirizzo di casa
- indirizzo email
- numero identificativo nazionale
- numero di passaporto
- indirizzo IP (quando collegato ad altri dati)
- numero di targa del veicolo
- numero di patente
- volto, impronte digitali o calligrafia
- numeri di carta di credito
- identità digitale
- data di nascita
- luogo di nascita
- informazioni genetiche
- numero di telefono
- account name o nickname.
Dati identificativi
Le informazioni di identificazione personale (PII, Personally
identifiable information) sono dati che consentono l'identificazione
diretta dell'interessato. Secondo la definizione utilizzata
dall'Istituto nazionale degli standard e della tecnologia (NIST)
DATI PARTICOLARICaratteristici della personalità, inclinazioni
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Sono i dati personali idonei a rivelare
l'origine razziale ed etnica,
le convinzioni religiose,
filosofiche o di altro genere,
le opinioni politiche,
l'adesione a partiti,
Sindacati
Associazioni od organizzazioni a caratterereligioso,
filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo statodi salute e la vita sessuale;
Genetici, biometrici, condanne
art. 4
INTERESSATI Proprietari dei dati
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
le persone fisiche cui siriferiscono i dati personalioggetto del trattamento;
art. 4: definizioni
DATI GIUDIZIARI TRATTAMENTO
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Che riguardano la sfera giudiziaria personale.
Definizioni
Qualsiasi operazione di :
Raccolta
Registrazione
Organizzazione
Strutturazione
Conservazione
adattamento o la modifica,
l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
TITOLARE DEL
TRATTAMENTO
RESPONSABILE DEL
TRATTAMENTO
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Chi determina le finalità e i mezzi del trattamento di dati personali (utilizzatore del dato)
Definizioni
Chi tratta dati personali per conto del titolare del trattamento
AUTORIZZATO AL
TRATTAMENTODESTINATARIO
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il soggetto autorizzato a trattare i dati personali sotto l’autorità diretta del titolare o del responsabile del trattamento
Definizioni
Chi riceve comunicazione di dati personali
Che ruolo ricopre l’installatore di un impianto di videosorveglianza?
L’installatore è allo stesso tempo:1. Titolare del trattamento,
nell’esecuzione dell’incarico;
2. Responsabile del trattamento,quando ha accesso alle immaginicontenute nel database/server o alsistema del cliente (ad esempio perimpostare i termini di cancellazionedelle immagini);
3. Amministratore di sistema (seamministra la rete, gli apparati disicurezza, generazioni dellecredenziali).
Nel secondo caso, deve essereobbligatoriamente nominato con uncontratto.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
IL CONTENUTO SPECIFICO DELLA NOMINA A
RESPONSABILE
IL CONTRATTO DEVE
PREVEDERE CHE IL
RESPONSABILE DEL
TRATTAMENTO:
TRATTI I DATI
PERSONALI SOLTANTO
SU ISTRUZIONE
DOCUMENTATA DEL
TITOLARE
GARANTISCA CHE LE
PERSONE AUTORIZZATE
AL TRATTAMENTO
ABBIANO SOTTOSCRITTO
UN OBBLIGO DI
RISERVATEZZA
ADOTTI LE MISURE DI
SICUREZZA PREVISTE
DALL’ART. 32 GDPR
ASSISTA IL TITOLARE NEL
GARANTIRE IL RISPETTO
DEGLI OBBLIGHI DI
SICUREZZA, DPIA E DATA
BREACH
RISPETTI LE CONDIZIONI
PREVISTE DAL
REGOLAMENTO PER IL
RICORSO AI
SUBRESPONSABILI
ASSISTA IL TITOLARE PER
PERMETTERE AGLI
INTERESSATI L’ESERCIZIO
DEI LORO DIRITTI
SU SCELTA DEL
TITOLARE, CANCELLI O
RESTITUISCA I DATI
TRATTATI PER SUO
CONTO AL TERMINE
DELL’INCARICO
CONTRIBUISCA ALLE
ATTIVITÀ DI VERIFICA DEL
TITOLARE, COMPRESE LE
ISPEZIONI, REALIZZATE
DAL TITOLARE STESSO O
DA SUO INCARICATO
Liceità, correttezza e
trasparenzaLimitazione della finalità
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il titolare deve trattare i dati nelrispetto delle norme di legge fornendoagli interessati informazioni utili,chiare e comprensibili sul trattamentosvolto
Principi art. 5
I dati raccolti devono essere trattatisecondo finalità esplicite, e legittimeche il titolare ha esposto all’interessato
Minimizzazione dei dati Principio di esattezza
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Trattare soltanto i dati necessari alperseguimento delle finalità
Principi art. 5
I dati devono essere trattati in modo da
garantire la loro accuratezza, il loro
aggiornamento ed il diritto di rettifica
dell’interessato
Limitazione della conservazione
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
I dati devono essere conservati in una forma che consenta l’identificazione degli
interessati per il tempo necessario al conseguimento delle finalità per le quali sono
trattati
Principi art 5
Integrità e riservatezza
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• Il trattamento deve garantire un’adeguata sicurezza dei dati personali datrattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da dannoaccidentali
Principi art 5
LOGICA DELLA “SCATOLA NERA”
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il titolare deve essere in grado di:
1) adottare le misure tecnico-organizzativeadeguate a garantire il rispetto del GDPR;
2) dimostrare documentalmente le ragioni delleproprie scelte di adeguamento al GDPR;
3) e di adeguare costantemente le misure inrelazione allecircostanze esterne che possono incidere suitrattamenti e sui diritti degli interessati
Accountability o Responsabilizzazione art. 24
Da una concezione statica ad una
dinamica di adeguamento.
(aggiornamento costante) → differenza con
la precedente versione del codice privacy.
L E G I T T I M A Z I O N E D E L T R A T T A M E N T O
Ma quali sono le basi Giuridiche per fare un Trattamento
www.sinergia360.it
DATI «COMUNI»: ART. 6 GDPR
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• Consenso, espresso per una o più specifiche finalità (lett. a);
• esecuzione di un contratto o di misure precontrattuali (lett. b);
• adempimento di un obbligo di legge cui è soggetto il titolare (lett. c);
• necessità di salvaguardare gli interessi vitali dell’interessato o di altra persona fisica(lett. d);
• esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblicipoteri di cui è investito il titolare del trattamento (lett. e);
• legittimo interesse del titolare, a condizione che non prevalgano i dirittidell’interessato (lett. f).
DATI «PARTICOLARI»: art. 9 GDPR
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• Esplicito consenso dell’interessato, prestato per una o più finalità specifiche(lett. a);
• Assolvimento degli obblighi ed esercizio dei diritti previsti in materia di dirittodel lavoro, sicurezza e protezione sociale (lett. b);
• Trattamento necessario per la tutela di un interesse vitale dell’interessato(lett. c);
• Trattamento effettuato, nell’ambito delle sue legittime attività e con adeguategaranzie, da una fondazione, associazione o altro organismo senza scopo dilucro che persegua finalità politiche, filosofiche, religiose o sindacali,(lett. d);
…DATI «PARTICOLARI»: art. 9 GDPR…
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• Trattamento riguardante dati personali resi manifestamente pubblici
dall’interessato (lett. e);
• Trattamento necessario per accertare, esercitare o difendere un diritto in sede
giudiziaria (lett. f);
• Trattamento necessario per motivi di interesse pubblico (lett. g);
• Trattamento necessario per finalità di medicina preventiva o di medicina del lavoro,
(lett. h). Precisazione: i dati possono essere trattati solo dal professionista
soggetto al segreto professionale;
• Trattamento necessario per motivi di interesse pubblico nel settore della sanità
pubblica (lett. i): in questo caso il trattamento è legittimo solo se prevede misure
appropriate e specifiche per proteggere i diritti fondamentali e gli interessi
dell’interessato;
• Trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca
scientifica o storica o a fini statistici (lett. j).
ART. 25: Privacy by design
Si tratta dell’esplicitazione del principio dell’incorporazione della privacy fin
dalla progettazione del processo aziendale e degli applicativi informatici di
supporto.
I Titolari del trattamento dovranno, pertanto, prevedere meccanismi di
protezione dei dati fin dalla progettazione delle attività e per l'intera gestione
del ciclo di vita dei dati - dalla raccolta alla cancellazione - incentrandosi
sistematicamente sulle garanzie procedurali in merito all'esattezza, alla
riservatezza, all'integrità, alla sicurezza fisica ed alla cancellazione dei dati.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
I 7 FONDAMENTI DELLA PRIVACY BY DESIGN
Sinergia Srl Avv. Francesco Giunti , Ing Marco
Cecchi , Dr. Massimiliano La Bruna
1- comportamento proattivo, non reattivo;
2- privacy come impostazione di default;
3- privacy parte della progettazione per ogni trattamento;
4- massima funzionalità;
5- sicurezza fino alla fine;
6- visibilità e trasparenza;
7- rispetto della privacy dell’utente.
SINTETIZZANDO
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• RIDURRE RISCHI E QUANTITA’ DI DATI TRATTATI;
• EVOLUZIONE DELLA DATA PROTECTION: DA
REQUISITO DI LEGGE A FULCRO DEI PROCESSI;
• LA DATA PROTECTION NON È PIÙ L’ULTIMO STEP DI
QUALUNQUE PROCESSO, MA IL PRIMO.
ESEMPIO DI APPLICAZIONE DEL PRINCIPIO NELL’INSTALLAZIONE
DI UN SISTEMA DI VIDEOSORVEGLIANZA
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
IN FASE PROGETTUALE, A SEGUITO DI UNA VALUTAZIONE
PRELIMINARE SI RILEVA LA PRESENZA DI UN EDIFICIO -
DESTINATO AD USO RESIDENZIALE -CHE SAREBBE
INQUADRATO DA UNA DELLE TELECAMERE
PER COPRIRE TUTTE LE AREE DA SORVEGLIARE NON E’
POSSIBILE ORIENTARE LA CAMERA IN MODO DIVERSO
VIENE PREDISPOSTO QUINDI UN SISTEMA SOFTWARE DI
OSCURAMENTO «LIVE» DELLE AREE A TUTELA DELLA VITA
QUOTIDIANA DEI RESIDENTI POTENZIALMENTE
INQUADRABILI
Privacy by default
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
IL TITOLARE DEL TRATTAMENTO METTE IN ATTO MISURE TECNICHE E
ORGANIZZATIVE ADEGUATE PER GARANTIRE CHE SIANO TRATTATI
PER IMPOSTAZIONE PREDEFINITA
SOLO I DATI PERSONALI NECESSARI PER OGNI FINALITÀ, CON RIFERIMENTO A
PRECISI PARAMETRI
QUANTITÀ DI DATI RACCOLTI
PORTATA DEL TRATTAMENTO
PERIODO DI CONSERVAZIONE
ACCESSIBILITÀ
DETTE MISURE GARANTISCONO CHE, PER IMPOSTAZIONE PREDEFINITA, NON SONO
RESI ACCESSIBILI DATI PERSONALI A UN NUMERO INDEFINITO DI PERSONE FISICHE.
ESEMPI DI APPLICAZIONE DEL PRINCIPIO
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• CONFIGURAZIONE DI STRUMENTI DI LAVORO PER I DIPENDENTI
IN MODO DA TRACCIARE LO STRETTO NECESSARIO;
• CONFIGURAZIONE DEI SERVIZI ONLINE SUL LIVELLO DI PRIVACY
PIÙ RESTRITTIVO;
• DEFINIZIONE MOLTO RIGOROSA DEI PROFILI DI
AUTORIZZAZIONE.
Registro di trattamento del titolare
L’art. 30 del GDPR impone a ciascun Titolare la tenuta in modalità
telematica non modificabile (ai fini della opponibilità a terzi) o in
cartaceo di un registro delle attività di trattamento che indichi quanto
previsto dal par.1.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
CONTENUTO DEL REGISTRO DEL TITOLARE (art. 30 I° par.)
• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del
trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
(anagrafica);
• le finalità del trattamento;
• una descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari
di Paesi terzi od organizzazioni internazionali;
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• laddove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Registro di trattamento del
responsabile
Il par. 2 dell’art. 30 del GDPR stabilisce che anche i responsabili debbono tenere un registro simile in relazione
alle attività svolte per conto di un titolare del trattamento.
CONTENUTO
• il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento
per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o
del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale,
compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al
secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo
32, paragrafo 1.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Art. 30 - Obbligatorietà del Registro di
trattamento
È obbligatoria la loro tenuta quando (art. 30 par. 5):
• l’impresa ha più di 250 dipendenti;
• il trattamento presenta un rischio per i diritti e le libertà
dell’interessato, il trattamento non è occasionale o include categorie
particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali
relativi a condanne penali e a reati di cui all’articolo 10 .”
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
...Art. 30 - Obbligatorietà del Registro di trattamento…
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Schematizzando, la tenuta del registro è obbligatoria quando:
- il trattamento presenta un rischio per i diritti e le libertà dell’interessato;
- il trattamento non è occasionale;
- il trattamento include categorie particolari di dati o i dati personali relativi a condanne
penali e a reati.
Quale registro deve tenere l’installatore?
Come detto, rivestendo il duplice ruolo di titolare e responsabile deve tenere entrambi i registri.
N.B.: il responsabile deve mettere a disposizione del titolare (cliente) il registro.
L’opposizione non è legittima!!!
Contenuto dell’informativa (art. 13 e 14 GDPR)
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il titolare deve fornire all’interessato in maniera comprensibile ed accessibile
tutte le informazioni relative al trattamento dei suoi dati (contenuto minimo):
1. tipo di dati trattati
2. basi giuridiche
3. finalità
4. eventuali destinatari
5. periodi di conservazione
6. dati di contatto di titolare e responsabili
7. se trasferimento dei dati all’estero
8. diritti che il GDPR riconosce all’interessato (ad esempio accesso, rettifica,
cancellazione, revoca del consenso, reclamo all’autorità)
9. se la comunicazione dei dati è obbligatoria
10. esistenza di un processo di profilazione.
...Cambiano le modalità di rilascio del consenso
Si aprono spazi maggiori per la raccolta di un consenso manifestato
attraverso i comportamenti positivi dell’interessato.
Sono in ogni caso illegittimi i consensi raccolti con caselle
prebarrate.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Valutazione d’impatto sulla protezione dei dati
(art. 35 GDPR)
È una procedura finalizzata a descrivere l’impatto che un trattamento
può avere sui diritti e le libertà delle persone fisiche in relazione ai
rischi.
I Titolari dovranno effettuare una Valutazione degli impatti
privacy (Data Protection Impact Assessment – DPIA) fin dal
momento della progettazione del processo aziendale e degli
applicativi informatici di supporto, nei casi in cui il trattamento alla
base degli stessi, per sua natura, oggetto o finalità, presenti
rischi specifici per i diritti e le libertà degli interessati.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
La DPIA andrà realizzata, dunque, per trattamenti potenzialmente
rischiosi. La video sorveglianza può essere un trattamento rischioso?
Occorrerà, preliminarmente:
1.Condurre l’analisi dei rischi
2.Definire i Gap rispetto alla corretta gestione dei rischi
3.Stabilire un Action Plan per colmare questi Gap
4.Controllare annualmente gli interventi effettuati per ridurre i
rischi
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Casi di obbligatorietà:
• valutazione sistematica e globale di aspetti personali relativi apersone fisiche, basata su un trattamento automatizzato, compresa laprofilazione, e sulla quale si fondano decisioni che hanno effettigiuridici o incidono in modo analogo e significativo su dette personefisiche;
• il trattamento, su larga scala, di categorie particolari di dati personalidi cui all’articolo 9, paragrafo 1 o di dati relativi a condanne penali oreati di cui all’art. 10;
• la sorveglianza sistematica su larga scala di una zonaaccessibile al pubblico
• il Garante può redigere un elenco di trattamenti che ritiene o nonritiene soggetti a DPIA.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
ELENCO DEI TRATTAMENTI OBBLIGATORIAMENTE SOGGETTI ALLA DPIA A
SEGUITO DEL PROVVEDIMENTO DEL GPDP DELL’11 OTTOBRE 2018
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
1.Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che
comportano la profilazione degli interessati nonché lo svolgimento di attività
predittive effettuate anche on-line o attraverso app, relativi ad “aspetti
riguardanti il rendimento professionale, la situazione economica, la salute, le
preferenze o gli interessi personali, l'affidabilità o il comportamento,
l'ubicazione o gli spostamenti dell'interessato”.
2.Trattamenti automatizzati finalizzati ad assumere decisioni che producono
“effetti giuridici” oppure che incidono “in modo analogo significativamente”
sull’interessato, comprese le decisioni che impediscono di esercitare un diritto
o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un
contratto in essere (ad es. screening dei clienti di una banca attraverso
l’utilizzo di dati registrati in una centrale rischi).
3.Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il
monitoraggio o il controllo degli interessati, compresa la raccolta di dati
attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di
identificativi univoci in grado di identificare gli utenti di servizi della società
dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini
d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione
anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc.
effettuati non soltanto per profilazione, ma più in generale per ragioni
organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti,
offerta di servizi antifrode, antispam, sicurezza etc.
4.Trattamenti su larga scala di dati aventi carattere estremamente personale: si
fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati
relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza),
o che incidono sull’esercizio di un diritto fondamentale (quali i dati
sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la
cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato
(quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in
materia di pagamenti).
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
5.Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi
tecnologici (anche con riguardo ai sistemi di videosorveglianza e di
geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a
distanza dell’attività dei dipendenti.
6.Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori,
disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
7.Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con
particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza
artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e
testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di
prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un
altro dei criteri individuati nel WP 248, rev. 01.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Trattamenti nell'ambito del raporto di lavoro
8.Trattamenti che comportano lo scambio tra diversi titolari di dati su larga
scala con modalità telematiche.
9.Trattamenti di dati personali effettuati mediante interconnessione,
combinazione o raffronto di informazioni, compresi i trattamenti che
prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento
(es. mobile payment).
10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati
relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati
personali raccolti per finalità diverse.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
11. Trattamenti sistematici di dati biometrici, tenendo conto, in
particolare, del volume dei dati, della durata, ovvero della persistenza,
dell’attività di trattamento.
12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del
volume dei dati, della durata, ovvero della persistenza, dell’attività di
trattamento.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Concetto di «larga scala»
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell'attività di trattamento;
- la portata geografica dell'attività di trattamento.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La
Bruna
Funzione della DPIA
È una misura importante in termini di responsabilizzazione
(accountability) del titolare, perché ha la funzione di attestare
l’adozione di tutte le misure idonee a proteggere i dati personali ed i
diritti dell’interessato, in pratica la conformità del trattamento al GDPR.
Contenuto
• descrizione dei trattamenti e delle finalità;
• valutazione della necessità e proporzionalità del trattamento
rispetto alle finalità;
• valutazione dei rischi per i diritti e le libertà degli interessati;
• misure previste per affrontare i rischi.
Consultazione preventiva al Garante
Esempio: raccolta dei rifiuti speciali (contenitore con tappo arancione).
Sinergia Srl Avv. Francesco Giunti , Ing Marco
Cecchi , Dr. Massimiliano La Bruna
I criteri indicativi indicati dai Garanti Europei (WP29) per valutare la rischiosità di un
trattamento
1. Assegnazione di punteggio derivante da profilazione o previsione(test genetici sull’aspettativa di vita o sulle malattie genetiche)
2. Processo decisionale automatizzato avente effetti giuridici (softwareche «decide» se intervenire o no su un paziente: cieca fiducia neglialgoritmi)
3. Monitoraggio sistematico (istituti di ricerca; dispositivi dimonitoraggio della frequenza cardiaca)
4. Dati sensibili o estremamente personali5. Trattamento su larga scala6. Interpolazione dati o estrazione informazione nascosta7. Interessi vulnerabili (situazioni in cui vi è uno squilibrio di posizione
tra titolare ed interessati: anziani, malati, dipendenti…)8. Nuove tecnologie9. Trattamento che determina l’esclusione o impedisce di esercitare un
diritto.
ESEMPI DI TRATTAMENTO CRITERI PERTINENTI DPIA NECESSARIA?
Trattamento di dati personali sensibili da parte di un singolo medico
_______________________
Ospedale che tratta i dati sanitari dei propri pazienti
_______________________
Azienda che conserva dati personali sanitari cifrati di interessati vulnerabili coinvolti in progetti di ricerca o sperimentazioni cliniche
_______________________
1. Assegnazione dipunteggio derivante daprofilazione o previsione
2. Processo decisionaleautomatizzato aventeeffetti giuridici
3. Monitoraggio sistematico4. Dati sensibili o
estremamente personali5. Trattamento su larga
scala6. Interpolazione dati o
estrazione informazionenascosta
7. Interessi vulnerabili8. Nuove tecnologie9. Trattamento che
determina l’esclusione oimpedisce di esercitareun diritto.
4 – 7 (ma vd. considerando91 sul concetto di larga scala)
_______________________
4 – 5 – 7
_______________________
4 – 5 – 9
_______________________
USARE I 9 CRITERI - ESEMPI
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il responsabile della protezione dati (data
protection officer o DPO)
Il Regolamento introduce la figura del “Responsabile per la protezione dei
dati” o Data Privacy Officer (DPO). Non è un semplice responsabile del
trattamento, è il manager del trattamento dei dati.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
...IL DPO…
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La
Bruna
Chi è?
Il DPO è la figura di riferimento per tutto ciò che attiene alla privacy, sia
all'interno dell'organizzazione che all’esterno di essa per la gestione dei
rapporti con le Autorità di controllo e con gli interessati (ruolo consulenziale).
Caratteristiche:
• autonomia dal titolare o dal responsabile (no istruzioni);
• competenza e professionalità;
• assenza di conflitto di interessi;
• mandato revocabile (quadriennale?).
...IL DPO
Compiti
- deve garantire l’osservanza al GDPR all’interno del contesto in cui opera;
- deve essere coinvolto in tutte le decisioni che riguardano i dati personali trattati e, più in generale, la privacy;
- deve essere il punto di contatto con il Garante.
Obbligatorietà della nomina quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del titolare del trattamento o del responsabile deltrattamento consistono in trattamenti che, per loro natura, ambito diapplicazione e/o finalità, richiedono il monitoraggio regolare e sistematicodegli interessati su larga scala;
- attività principale consiste nel trattamento, su larga scala, di categorieparticolari di dati personali di cui all'articolo 9 o di dati relativi a condannepenali e a reati di cui all’articolo 10.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Le misure di sicurezza (art. 32 GDPR)
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
PRINCIPI E GARANZIE
Sinergia Srl Avv. Francesco Giunti , Ing Marco
Cecchi , Dr. Massimiliano La Bruna
Sicurezza dei dati significa:
• Riservatezza (l’accesso ai dati è consentito solo ai
soggetti legittimati;
• Integrità (prevenzione contro la perdita o la
manipolazione dei dati)
• Disponibilità (accessibilità ai dati quando è richiesto e
con continuità)
• Autenticità (attendibilità della fonte dei dati)
POTENZIALI CRITICITÀ SULLA SICUREZZA DEI
DATI
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
•comportamenti errati
•organizzazione carente
• logistica inadatta
•errori del software
•vulnerabilità hw e sw
Le diverse tipologie delle misure di sicurezza
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• misure di tipo organizzativo (es. designazione dei
responsabili e incaricati, formazione, linee guida, .
ingressi controllati dei locali di custodia degli archivi e
dei server);
• misure di tipo tecnico(es. sistema di autenticazione e
di autorizzazione, antivirus, firewall, cifratura dei dati).
Sicurezza del trattamento
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il titolare e il responsabile del trattamento, tenuto conto
dello stato dell’arte e
dei costi d’attuazione
della natura,
dell’oggetto, del
contesto e delle finalità
perseguite con il
trattamento
dei rischi di varia
probabilità e gravità
per i diritti e le libertà
delle persone fisiche
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se
del caso:
• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati
personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La violazione (Data Breach) – ART. 33 E 34
GDPR
DEFINIZIONE EX ART. 4 GDPR
Con la nozione di violazione dei dati personali (c.d. “personal data
breaches”), si intende: la distruzione, la perdita, la modifica, la rivelazione
non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali
trasmessi, memorizzati o comunque elaborati.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• In caso di data breach il titolare deve:
- notificare la violazione, ove possibile, entro 72 ore dalla stessa
- o comunque senza ingiustificato ritardo all’autorità competente dalmomento della scoperta (Garante Privacy);
- documentare ogni violazione di dati personali, le conseguenze ed iprovvedimenti adottati per rimediare.
• È obbligatorio comunicare la violazione all’interessato quando questapuò presentare un rischio elevato per i suoi diritti e libertà.
• Non scatta l’obbligo della notifica quando la violazione dei datipersonali non pregiudica in alcun modo i diritti e le libertà degliinteressati (ad esempio perché sono state prese adeguate misure disicurezza).
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
I rischi per i diritti e le libertà degli interessati possono essere
considerati “elevati” quando la violazione può, a titolo di esempio:
coinvolgere un rilevante quantitativo di dati personali e/o di soggetti
interessati;
riguardare categorie particolari di dati personali;
comprendere dati che possono accrescere ulteriormente i potenziali
rischi (es. dati di localizzazione, finanziari, relativi alle abitudini e
preferenze);
comportare rischi imminenti e con un’elevata probabilità di
accadimento (es. rischio di perdita finanziaria in caso di furto di dati
relativi a carte di credito);
impattare su soggetti che possono essere considerati vulnerabili
per le loro condizioni (es. pazienti, minori, soggetti indagati).
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
65
I NUOVI DIRITTI
I. Diritto di accesso (art. 15): ottenere la conferma che ci sia un trattamento dei propri
dati.
II. Diritto di rettifica (art. 16): ottenere la rettifica dei dati senza ingiustificato ritardo.
III. Diritto all’oblio (art. 17): ottenere la cancellazione del dato.
IV. Diritto alla limitazione del trattamento (art. 18).
V. Diritto alla portabilità dei dati (art. 20): ricevere in un formato strutturato, di uso comune
e leggibile da dispositivo automatico, i dati personali e trasmetterli a un altro titolare del
trattamento, senza impedimenti da parte del titolare del trattamento cui li ha forniti.
VI. Diritto di opposizione al trattamento (art. 21).
VII. Diritto a ricevere la comunicazione di una violazione (art. 34).
VIII. Diritto alla revoca del consenso (artt. 7 e 13).
IX. Diritto di opporsi ad un processo automatizzato, compresa la profilazione, che incida
sui suoi diritti (art. 22).
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
66
Diritto alla portabilità (art. 20 GDPR)
Si tratta del diritto dell’interessato
• di trasferire i propri dati da un sistema di trattamento elettronico di
un titolare ad un altro;
• di ottenere gli stessi dati in un formato elettronico strutturato e di
uso comune che consenta di farne ulteriore uso.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Condizioni per l’esercizio del diritto alla portabilità
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il trattamento deve essere:
•basato sul consenso (art. 6 lett.a) GDPR o art. 9 II° comma
lett. a) GDPR) o sul contratto (art. 6 lett. b) GDPR);
•effettuato con mezzi automatizzati.
Al ricorrere di entrambe le condizioni, la trasmissione dei dati
da un titolare all’altro può, inoltre, avvenire se tecnicamente
fattibile sistemi di trattamento dati
tecnicamente compatibili.
Si tratta di una disposizione particolarmente importante per le
società installatrici di impianti di videosorveglianza.
Diritto all’oblio
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Si tratta del diritto riconosciuto dal Regolamento all’interessato di ottenere lacancellazione dei suoi dati ed arrestare il trattamento quando:
• i dati trattati non sono necessari alle finalità per le quali sono stati raccolti;
• l’interessato ha revocato il consenso e non esiste altra base giuridica chegiustifichi il trattamento;
• l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo perprocedere al trattamento;
• il trattamento è illecito;
• i dati devono essere cancellati per adempiere ad un obbligo legale.
Eccezioni alla cancellazione:
• adempimento di un obbligo legale per l’esecuzione di un compito svolto nelpubblico interesse o nell’esercizio di pubblici poteri;
• trattamento necessario per motivi di interesse pubblico nel settore dellasanità pubblica o di ricerca scientifica.
La profilazione
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
• Definizione: qualsiasi forma di trattamento automatizzato dei datifinalizzato a valutare determinati aspetti personali di un soggettoe, in particolare, ad analizzare o a prevedere, ad esempio, aspettiriguardanti la salute e/o le preferenze dell’interessato.
• Si tratta di un vero e proprio monitoraggio dell’interessato.
• L’art. 22 vieta, in linea generale, la profilazione e, al contempo,prevede il diritto dell’interessato a non essere sottoposto adecisioni basate unicamente su trattamenti del genere chepossono produrre effetti giuridici sulla sua persona.
DIRITTO AL RISARCIMENTO E RESPONSABILITÀ –
ART. 82
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Qualunque interessato al trattamento che subisce un
danno materiale o immateriale – patrimoniale o non
patrimoniale – per violazione del GDPR ha diritto di
richiedere il risarcimento del danno dal titolare o dal
responsabile del trattamento.
Il responsabile risponde del danno se non ha adempiuto
agli obblighi del Regolamento che lo riguardano o ha
disatteso alle istruzioni del titolare.
IL DANNO DI IMMAGINE
Profilo importante da considerare in caso di violazione del GDPR è anche il c.d.
danno di immagine:
- la violazione del regolamento può comportare, ove la notizia si diffonda, una
grave compromissione della reputazione professionale con conseguente
perdita di fiducia dei clienti e fornitori;
- un data breach determina nel contesto sociale crea una cattiva reputazione
che appare non attenta al rispetto di normative di grande rilievo;
- lo stesso dicasi nel caso di richieste di risarcimento danni da parte degli
interessati.
- -
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
LE SANZIONI (ART. 83)
Diventano molto più pesanti e viene introdotta una doppia fascia
PRIMA FASCIA: fino a 10.000.000,00, o fino al 2 % del fatturato mondiale
totale annuo dell’esercizio precedente, se superiore per le seguenti violazioni:
• consenso dei minori,
• privacy by design e by default,
• contitolarità,
• rapporti tra titolare e responsabile anche sul contenuto del contratto,
• redazione del registro,
• notificazione delle violazioni,
• DPIA e DPO.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Sinergia Srl Avv. Francesco Giunti , Ing Marco
Cecchi , Dr. Massimiliano La Bruna
SECONDA FASCIA: fino a € 20.000.000,00 o, per le
imprese, fino al 4% del fatturato mondiale totale
annuo dell’esercizio precedente, se superiore per le
seguenti violazioni:
• violazione dei diritti degli interessati,
• violazione dei principi fondamentali (consenso, base
giuridica, trattamenti dati particolari),
• violazione delle norme in materia di trasferimento
dei dati Extra UE.
LE SANZIONI NON PECUNIARIE
Principio base del sistema sanzionatorio del GDPR è la scalabilità ovvero una
discrezionalità dell’Autorità di controllo nell'adozione delle misure.
“BLANDE” – come l’avvertimento, rivolto al titolare o al responsabile, sul fatto
che i trattamenti previsti possano violare il regolamento.
“SEVERE” – come la limitazione del trattamento o la sospensione dei flussi dei
dati verso paesi extra UE o (ma questo è noto) l’irrogazione di sanzioni
amministrative pecuniarie.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
FATTISPECIE PENALI
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
- violazioni delle disposizioni in materia di trattamento e misure diprotezione dei dati particolari: fino a 3 anni di reclusione (art. 167codice privacy);
- comunicazione o diffusione illecita di dati oggetto di trattamento sularga scala: reclusione da uno a sei anni (art. 167-bis codiceprivacy);
- falsità nelle dichiarazioni rese al Garante e interruzione dei compiti odell’esercizio dei poteri del Garante: reclusione da sei mesi a un anno(art. 168 codice privacy);
- inosservanza dei provvedimenti del Garante: reclusione da tre mesia due anni (art. 170 codice privacy).
LA VIDEOSORVEGLIANZA
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
La ripresa e la registrazione di immagini di persone costituiscono dati personali che, come tali, devono rispettare la disciplina sulla privacy.
FONTI
GDPR
Linee Guida 3/2019 EDPB (Comitato Europeo per la Protezione dei Dati) del 29 gennaio 2020
Provvedimento Generale del Garante 8 aprile 2010
Rapporti tra Linee Guida e Provvedimento Generale
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Le linee guida EDPB non vanno ad abrogare ilprovvedimento del 2010 del Garante, che deve quindiservire per integrare le stesse.
Le linee guida, a loro volta, pur non essendo un atto convalenza normativa, costituiscono una base autorevole perspecificare i principi del GDPR nel contesto particolaredella videosorveglianza.
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Ambito di applicazione
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
L’art. 2 dispone che il GDPR non si applica nel caso ditrattamenti di dati personali effettuati da una persona fisicaper l’esercizio di attività che hanno carattere esclusivamentepersonale o domestico.
Secondo le Linee Guida, l’esenzione domestica deve essereinterpretata restrittivamente, per cui non godono dellastessa, ad esempio:
- le telecamere per il parcheggio assistito che raccolgonoinformazioni su persone fisiche (ad es. numeri di targa);
- gli impianti a tutela del domicilio che riprendono anche spazipubblici.
Rileva, quindi, il luogo fisico piuttosto che la finalità(diversamente da quanto dispone il Provvedimento Generale delGPDP del 2010).
Legittimità del trattamento
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il trattamento di videosorveglianza trova la sua base giuridica nell’art. 6 GDPR:
- lett. e) – esecuzione di un compito di interesse pubblico;
- lett. f) – legittimo interesse del titolare.
Il consenso costituisce una base giuridica eccezionale eresiduale.
Le Linee Guida (art. 3) impongono al titolare l’adozione di unasorta di “documento delle scelte” che, in linea con ilprincipio di «accountability», deve documentarepreventivamente finalità e modalità del trattamento.
Cosa deve contenere il «documento delle scelte»?
Il documento deve giustificare l’installazione delle telecamere documentando per iscritto:
l’ubicazione delle telecamere
la finalità di trattamento perseguita da ciascuna di esse;
le modalità di trattamento;
le misure di sicurezza;
i soggetti interessati al trattamento;
se fondata su interesse legittimo, la prova del bilanciamento;
le modalità di esercizio dei loro diritti.
N.B.: indicare che la videosorveglianza persegue lo scopo di “sicurezza” odi “propria sicurezza” non è sufficientemente specifico.
Esecuzione di un compito di interesse pubblico
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Decreto sblocca cantieri, D.L. 32/2019 convertito con la Legge55/2019 pubblicata sul Gazzetta Ufficiale n. 140 del 17 giugno 2019(al momento fermo al Senato):
obbligo di installazione dell’impianto di videosorveglianza in asilinido e scuole dell’infanzia, pubbliche e private, strutturesocio-assistenziali per anziani, disabili e minori in situazione didisagio;
installazione entro 3 mesi dall’entrata in vigore e, per i privati,obbligo di comunicazione alle amministrazioni comunali;
immagini custodite in server locali non collegati a internet;
immagini cifrate già al momento della raccolta, acquisibili soltantodalle forze dell’ordine previa formale denuncia;
obbligo di DPIA e di autorizzazione dell’INL o accordo sindacale nelcaso siano ripresi lavoratori.
Interesse legittimo
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Deve avere reale consistenza:
opportunità di documentare gli eventi lesivi a persone o cose;
evidenze relative alla zona in cui si trova il bene da tutelare;
attività intrinsecamente pericolose;
difesa di un diritto;
art. 4 Statuto dei Lavoratori (L. 300/1970): esigenzeorganizzative, produttive, di sicurezza del lavoro o di tutela delpatrimonio aziendale.
BILANCIAMENTO
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
L’interesse legittimo impone sempre la necessità di unadeguato bilanciamento con i diritti degli interessati coinvoltinella ripresa.
Ragionevole aspettativa dell’interessato circa il fatto che in undeterminato luogo possa essere soggetto a ripresa (ad es.gioielleria, banca rispetto a strutture per il fitness);
Videoripresa che avvantaggia titolare ed interessati (ad es.impianto di videosorveglianza in un parcheggio in cui laprevenzione di furti o l’individuazione dei responsabili sonoattività che vanno a vantaggio anche degli utenti).
Divulgazione a terzi
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
La divulgazione delle immagini a terzi costituisce un trattamento a sé.
Terzi - forze di polizia:
se il bene leso appartiene al titolare, la consegna delleregistrazioni è legittima (tutela del diritto del titolare);
se il bene è di un terzo, la consegna del materiale alla poliziapotrebbe essere priva di legittimità qualora il reato non siaperseguibile d’ufficio.
Informativa nella videosorveglianza – doppio livello
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
L’informativa costituisce uno dei presupposti di liceità del trattamento.Nel caso in esame, essa deve essere fornita su due livelli.
I° livello – Informativa semplificata:
dati del titolare;
finalità del sistema di videosorveglianza;
base giuridica;
estremi del DPO;
richiamo ai diritti dell’interessato;
eventuale trasferimento di dati extra-UE e periodo di conservazionedelle immagini
sistema per accedere all’informativa estesa (QR-code, link del sito).
II° livello – informativa estesa
Misure tecniche e organizzative
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Obbligo di installare prodotti che nelle specifiche tecniche includonorequisiti di privacy by design.
Previsione di un organigramma di gestione del trattamento con procedurespecifiche di funzionamento.
Richiamo agli standard internazionali sulla sicurezza dei sistemimultimediali (IEC TS 62045) e dei sistemi IT in generale (ISO/IEC27000).
Trasmissione dei dati con canali sicuri.
Adozione di misure tese ad impedire l’accesso abusivo ai sistemi (art. 615-ter c.p.).
Obbligo di DPIA (si veda anche il Provvedimento del GPDP del 18ottobre 2018, che ha imposto la DPIA quando la videosorveglianzariguarda i luoghi di lavoro).
Periodo di conservazione delle immagini
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il Comitato non indica limiti di tempo predefiniti di conservazione delleimmagini, lasciando il titolare libero nella scelta che dovrà comunque essereispirata ai principi di necessità e proporzionalità.
Il periodo di conservazione dovrà essere chiaramente definito e impostatoindividualmente per ciascuna finalità (quindi più telecamere che assolvonofinalità diverse dovranno lavorare su tempi di conservazione diversi oppureil database che raccoglie le immagine di una sola telecamera che perseguefinalità differenti deve prevedere accessi diversificati ai dati in base aidiversi periodi di conservazione).
Il Provvedimento Generale del GPDP 8.4.2010 prevede limiti temporali di24/48 h, al massimo una settimana in caso di particolari esigenze.
La DPIA costituisce lo strumento per giustificare i tempi di conservazione
Diritti degli interessati
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Tutti i diritti previsti agli artt. 15-22 GDPR trovano applicazione anche nel caso della videosorveglianza.
Diritto di accesso:
- non può essere negato sul fatto che le immagini riprendonoaltri soggetti quando questi possono essere oscurati;
- il diritto deve essere circoscritto al periodo ed alle aree oggettodi ripresa (indicazioni da fornire nell’informativa).
Diritto di opposizione:
necessità di bilanciare il diritto del titolare con quellodell’istante.
Riprese di dati biometrici
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
I dati biometrici sono elaborati "allo scopo di identificare in modounivoco una persona fisica".
Base giuridica: consenso (art. 9 II° comma lett. a) GDPR);
agli interessati deve essere fornita un’alternativa al trattamento didati biometrici rispetto al servizio offerto, quando lo stesso èutilizzato per finalità di autenticazione;
cifratura dei dati e dei modelli biometrici;
garantire l’efficacia della cancellazione dei dati grezzi.
I c.d. controlli indiretti dei lavorati (art. 4 Stat.Lav.)
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Gli impianti audiovisivi che possono comportare il controllo adistanza del lavoratore possono essere installati se:
- sussistono esigenze organizzative, produttive, di sicurezza dellavoro o di tutela del patrimonio aziendale;
sia stato raggiunto un accordo collettivo con la RSU o la RSA o,in mancanza, ci sia l’autorizzazione dell’INL;
sia fornita ai dipendenti l’informativa sul trattamento.
N.B.: le regole predette devono essere rispettate in tutti i casi in cuile telecamere riprendono aree in cui i lavoratori possonopotenzialmente accedervi.
DATA PROTECTION E SEGRETI COMMERCIALI
Sinergia Srl Avv. Francesco Giunti , Ing Marco
Cecchi , Dr. Massimiliano La Bruna
DEFINIZIONE DI «SEGRETO COMMERCIALE»
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Per «segreto commerciale» (art. 98 c.p.i.) s’intendono “le informazioniaziendali e le esperienze tecnico-industriali, comprese quelle commerciali,soggette al legittimo controllo del detentore” che risultano:
- segrete, nel senso che non sono note o accessibili agli esperti o aglioperatori del settore;
- di valore economico in quanto segrete;
- sottoposte a misure da ritenersi ragionevolmente adeguate amantenerle segrete.
I segreti commerciali comprendono tre categorie di informazioni:
1. le informazioni tecniche relative a prodotti e procedimenti (know-how,brevetti);
2. le informazioni commerciali o storiche (liste clienti e fornitori, datipersonali);
3. le informazioni amministrative (certificazioni e procedure amministrativeinterne).
SEGRETEZZA
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il requisito deve essere inteso in senso relativo. Le informazioni sono segrete se:
non sono note o non facilmente accessibili agli operatori di settore;
possono essere acquisite da terzi mediante processi di reverse engineering (ingegneria inversa) risultanti da sforzi significativi;
VALORE COMMERCIALE
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna
Il requisito non riguarda la suscettibilità delle informazioni diessere valorizzate in bilancio.
Le informazioni hanno valore commerciale se il loro possessoattribuisce all’impresa che le detiene:
un vantaggio concorrenziale sul mercato;
un’utilità pratica sfruttabile in chiave economica.
MISURE RAGIONEVOLMENTE ADEGUATE
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna Sinergia Partner
La «ragionevolezza» deve essere valutata caso per caso, tenendo conto:
del settore di riferimento;
del valore delle informazioni da proteggere
del rapporto tra il costo delle misure in astratto possibili, l’efficacia delle stesse, la loro importanza e l’evoluzione tecnologica dei sistemi di protezione.
Suddivisione delle misure protettive
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna Sinergia Partner
Misure eso-aziendali
Operano contro gli attacchi provenienti dall’esterno
Misure endo-aziendali
Sono dirette a prevenire violazioni provenienti dall’interno
Costituisce autorevole parametro per individuarle l’art. 32GDPR.
Grazie per l'attenzione
GDPR
Legal GDPR
Cyber & IT
Business Process
Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna