Smau Bologna 2016 -Assintel, Paola Generali

Il nuovo Regolamento Generale

sulla Protezione dei Dati PersonaliCosa cambia nella Privacy e cosa fare nei prossimi due anni?

A cura del Gruppo di Lavoro Assintel

Sicurezza Informatica

Paola Generali

Managing Director Get Solution

© GETSOLUTION

Profilo Paola Generali

Dopo la laurea in Scienze Bancarie Finanziarie ed Assicurative all’università Cattolica di Milano, inizia a lavorare per un importante società di consulenza del settore ICT occupandosi di compliance e sicurezza dei sistemi informativi, svolgendo prima e gestendo poi numerosi progetti in tale ambito.Successivamente diviene, per un altra importante società di consulenza, responsabile della divisione “Information security” gestendo progetti complessi per aziende sia italiane che internazionali.Nel 2003 fonda GetSolution società di consulenza specializzata nell’ambito della “Compliance, sicurezza dei sistemi informativi e governance”.E’ membro del:• Gruppo di Lavoro Sicurezza Informatica di Assintel.• Gruppo di lavoro di UNINFO “Serie ISO/IEC 27000″ sull’Information Security Management

System. • Gruppo di lavoro “Profili professionali relativi alla Privacy” della UNI/CT 526 “UNINFO APNR”

partecipando attivamente all’Editing Commitee delle relative norme.

Da circa 15 anni svolge attività di docenza sia presso istituiti di formazione internazionali che in master univesitari.

© GETSOLUTION

Presentazione

GETSOLUTION è una società di consulenza specializzata nell’ambito della compliance, della sicurezza dei sistemi informativi e della governance aziendale .GETSOLUTION si occupa di Privacy Law e di Sicurezza dei Sistemi Informativi da più di un decennio, svolgendo progetti molto complessi presso clienti di medie e grandi dimensioni sia italiani che internazionali.Abbiamo una grande esperienza sia in Italia che a livello inter nazionale : ci occupiamo di tematiche complesse quali i Big Data, Profilazione, Anonimizzazione, Pseudoni mizzazione, Dati Aggregati, Dati Biometrici, Dati Genetici, Trattamento di dati Particolari su larga scala (gli attuali dati sensibili) affrontando quotidianamente problematiche estremamente sfidanti ma ovviamente molto stimolanti.GETSOLUTION collabora con i propri clienti per supportarli su tutti gli aspetti che riguardano la compliance, la sicurezza dei sistemi informativi, la governance e la formazione relativa agli adempimenti. Tutto questo viene svolto con grande attenzione alla responsabilità sociale d’impresa,in quanto insieme vogliamo dare un valido contributo alla società nella quale viviamo.Per maggiori informazioni www.getsolution.it

© GETSOLUTION

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERS ONALI

Il Regolamento abrogherà la Direttiva 95/46/CE, recepita dall’attuale D.lgs. 196/2003 (c.d. Codice Privacy).

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERS ONALI

Il Regolamento abrogherà la Direttiva 95/46/CE, recepita dall’attuale D.lgs. 196/2003 (c.d. Codice Privacy).

DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALItrattati ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o esecuzione delle sanzioni penali.

DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALItrattati ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o esecuzione delle sanzioni penali.

Riforma in materia di protezione dei dati© GETSOLUTION

Pubblicazione sulla Gazzetta Ufficiale UE:

04 Maggio 2016

Entrata in vigore:

24 Maggio 2016

Effettiva applicazione:

25 Maggio 2018

Pubblicazione sulla Gazzetta Ufficiale UE:

04 Maggio 2016

Entrata in vigore:

05 Maggio 2016

RECEPIMENTO dagli Stati Membri entro

due anni

Nonostante il Regolamento generale non sarà da recepire con normative nazionali, ci saranno diversi aspetti che dovranno essere disciplinati dall’Autorità Garante nazionale, così come vedremo in alcuni casi più avanti.

In particolar modo, il Garante si dovrà esprimere per ognuno dei Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi valutandone la conformità rispetto al Regolamento, modificandoli o annullandoli.

Nonostante il Regolamento generale non sarà da recepire con normative nazionali, ci saranno diversi aspetti che dovranno essere disciplinati dall’Autorità Garante nazionale, così come vedremo in alcuni casi più avanti.

In particolar modo, il Garante si dovrà esprimere per ognuno dei Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi valutandone la conformità rispetto al Regolamento, modificandoli o annullandoli.

Entrata in vigore e Recepimento© GETSOLUTION

Regolamento Generale sulla Data Protection© GETSOLUTION

L’implementazione delle

misure a tutela dei dati

personali avviene quando il

Titolare avvia un

trattamento o decide di

avvalersi di un nuovo

sistema.

Il Regolamento introduce il principio di

protezione dei dati personali già in

fase di progettazione (by Design) per

qualsiasi tipo di progetto che comporti

l’utilizzo di dati personali (sito internet,

software, soluzione IT, ambiente di

lavoro, etc.).

Regolamento

Codice

Privacy

Privacy By Design (Art. 25)© GETSOLUTION

Il D.lgs. 196/2003 stabilisce il

“principio di necessità nel

trattamento dei dati”,

imponendo la configurazione dei

sistemi e dei programmi in modo

da ridurre al minimo l’utilizzo di

dati personali e identificativi,

soprattutto se le finalità

consentono un trattamento di

dati anonimi o permettono di

identificare l'interessato solo in

caso di necessità.

Il Regolamento impone che il Titolare adotti

opportune misure per garantire che siano

trattati di default solo i dati personali

necessari in ogni fase del trattamento:

dalla raccolta alla cancellazione dei dati e non

soltanto durante l’elaborazione.

RegolamentoCodice Privacy

Privacy By Default (Art. 25)© GETSOLUTION

Politiche interne e misure adeguate che soddisfino i principi di protezione dei dati fin dalla progettazione e di default:

Minimizzazione dei dati personali già in fase di raccolta;

Pseudonimizzazione dei dati personali;

Sistemi già predisposti alla cancellazione dei dati dopo il termine stabilito;

Accesso ai dati consentito solo per soggetti autorizzati al trattamento;

Trasparenza nei confronti dei soggetti interessati con informative chiare;

Modalità facili e veloci per consentire all’utente di avere accesso ai dati personali e controllare o modificare le condizioni del trattamento;

Il principio di privacy by design e by default dovrebbe essere rispettato anche dai

fornitori in fase di sviluppo di sistemi, prodotti o servizi.

Privacy By Design e By Default (Art. 25)© GETSOLUTION

Codice Privacy Regolamento Generale

� si applica al trattamento di dati

personali, anche conservati

all'Estero, svolto da soggetti stabiliti

nello Stato Italiano.

� si applica al trattamento di dati

personali effettuato da soggetti non

stabiliti nel territorio Italiano ma che

si avvalgono di strumenti situati nel

territorio dello Stato, a meno che

essi siano utilizzati solo ai fini di

transito.

� si applica al trattamento dei dati personali

effettuato nell’ambito delle attività di un soggetto

stabilito nell’Unione.

� si applica al trattamento dei dati personali di

cittadini europei effettuato da un soggetto che

non è stabilito nell’Unione, indipendentemente

dalla forma giuridica assunta (succursale, filiale,

etc.), quando riguarda:

l'offerta di beni o la prestazione di servizi

(anche a titolo gratuito);

il controllo del comportamento dei cittadini

nell'Unione europea.

Ambiti territoriali di applicazione (Art. 3)© GETSOLUTION

Definizione Codice Privacy Definizione Regolamento

Dato personale: qualunque

informazione relativa a persona

fisica, identificata o identificabile,

anche indirettamente, mediante

riferimento a qualsiasi altra

informazione, ivi compreso un

numero di identificazione

personale;

Dati identificativi: i dati personali

che permettono l'identificazione

diretta dell'interessato

Dati personali: qualsiasi informazione

concernente una persona fisica

identificata o identificabile

("interessato"), direttamente o

indirettamente:

�il nome

�un numero di identificazione

�dati relativi all’ubicazione

�un identificativo online

�uno o più elementi caratteristici

dell’identità (fisica, fisiologica,

genetica, psichica, economica, etc.).

Dati Personali (Art. 4)© GETSOLUTION

Per stabilire se un soggetto può essere identificato è necessario

considerare i mezzi di cui può ragionevolmente avvalersi il

Titolare del trattamento, i costi e il tempo necessario per

l'identificazione, tenendo conto sia delle tecnologie disponibili

al momento del trattamento, sia dello sviluppo tecnologico.

Dati personali© GETSOLUTION

Dati Genetici

Tutti i dati personali riguardanti le

caratteristiche genetiche di una persona

fisica, ereditarie o acquisite, che forniscono

informazioni uniche sulla fisionomia o sulla

salute dell'individuo considerato, ottenuti in

particolare dall'analisi di un campione

biologico della persona in questione.

Atre tipologie di dati personali la cui definizione è stata introdotta ufficialmente dal

Regolamento:

Nuove categorie di Dati Personali (Art. 4)© GETSOLUTION

Dati Biometrici

I dati personali ottenuti da un

trattamento tecnico specifico, relativi alle

caratteristiche fisiche, fisiologiche o

comportamentali di una persona, che ne

consentono o confermano

l’identificazione univoca, quali l’immagine

facciale o i rilievi dattiloscopici;

Atre tipologie di dati personali la cui definizione è stata introdotta ufficialmente dal

Regolamento:


Dati relativi alla salute

I dati attinenti alla salute fisica o mentale di una persona, inclusa la prestazione

di servizi sanitari, che rivelano informazioni relative al suo stato di salute:

� informazioni sulle richieste di prestazione di servizi sanitari;

� un numero, simbolo o elemento specifico attribuito per identificare

l’interessato in modo univoco a fini sanitari;

� le informazioni risultanti da esami e controlli effettuati su una parte del

corpo o una sostanza organica, compresi i dati genetici e i campioni biologici;

�qualsiasi informazione riguardante una malattia, l’invalidità, il rischio di

malattie;

� l’anamnesi medica;

� i trattamenti clinici;

� l’effettivo stato fisiologico o biomedico.



Non esiste una definizione di dato

pseudo-anonimo o di

pseudonimizzazione dei dati.

E’ presente solo l’individuazione

del "dato anonimo": il dato che in

origine, o a seguito di trattamento,

non può essere associato ad un

interessato identificato o

identificabile.

Pseudonimizzazione: il trattamento dei dati

personali in modo tale che i dati non possano

essere più attribuiti ad un interessato specifico

senza l'utilizzo di informazioni aggiuntive,

sempre che tali informazioni aggiuntive siano

conservate separatamente e soggette a misure

tecniche e organizzative intese a garantire la

non attribuzione a una persona identificata o

identificabile.

Come per il Codice Privacy, il Regolamento non

si applica al trattamento di informazioni

anonime.


L'applicazione della pseudonimizzazione ai dati personali è una

garanzia aggiuntiva volta a ridurre i rischi connessi al

trattamento di dati personali.

Tale tecnica non deve essere considerata come un’alternativa

ad altre misure di protezione dei dati.

Pseudonimizzazione© GETSOLUTION


Dati Sensibili: i dati personali

idonei a rivelare l'origine razziale

ed etnica, le convinzioni religiose,

filosofiche o di altro genere, le

opinioni politiche, l'adesione a

partiti, sindacati, associazioni od

organizzazioni a carattere religioso,

filosofico, politico o sindacale,

nonché i dati personali idonei a

rivelare lo stato di salute e la vita

sessuale.

Il Regolamento individua delle categorie di dati

personali che rientrano nella definizione di

“Particolari”:

�I dati personali che rivelano l’origine razziale

o etnica;

� le opinioni politiche;

� le convinzioni religiose o filosofiche;

� l’appartenenza sindacale;

� i dati genetici;

� i dati relativi alla salute;

� i dati relativi alla vita sessuale.

Categorie Particolari di Dati Personali (Art. 9)© GETSOLUTION

Il Regolamento vieta il trattamento di categorie particolari di dati personali, ad eccezione dei seguenti casi, alcuni dei quali non erano previsti dal Codice Privacy:

�previo consenso esplicito al trattamento;

�nell’ambito delle legittime attività da parte di una fondazione, associazione o altro

organismo senza scopo di lucro;

�per salvaguardare un interesse vitale;

�per accertare, esercitare o difendere un diritto in sede giudiziaria;

�per motivi di interesse pubblico;

�per finalità di archiviazione,storiche, statistiche o scientifiche nel pubblico interesse;

�per dati personali resi manifestamente pubblici dall’interessato (laddove il

trattamento sia effettuato nell'interesse dell'interessato);

�in materia di diritto del lavoro, sicurezza e protezione sociale;

�per finalità di prevenzione diagnosi, assistenza o terapia medico-sanitaria o di

medicina del lavoro (se da parte o sotto la responsabilità di un professionista soggetto al

segreto professionale).


Gli Stati membri possono mantenere o introdurre disposizioni

più specifiche per quanto riguarda i dati genetici o i dati relativi

alla salute. Ciò comprende la possibilità per gli Stati membri di

introdurre ulteriori condizioni per il trattamento di tali dati.


Codice Privacy Regolamento Definizione

Titolare del

trattamento

Titolare del

trattamento

Soggetto che determina le

finalità e i mezzi del trattamento di

dati personali

Titolare del trattamento (Art. 4)© GETSOLUTION

Il Titolare del trattamento è tenuto a:

� Implementare opportune misure di sicurezza

Tali misure devono tener conto della natura, dell'oggetto, del contesto e delle finalità

del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

� Dimostrare la conformità delle operazioni di trattamento rispetto ai principi sanciti

dal Regolamento, ad esempio tramite:

• misure tecniche e organizzative • adeguate politiche in materia di

protezione dei dati

• protezione dei dati dalla progettazione e di default

• registro delle categorie di attività di trattamento (per taluni casi è un obbligo)

• adesione a codici di condotta approvati• adesione a un meccanismo di

certificazione approvato

Obblighi del Titolare del trattamento (Art. 24)© GETSOLUTION


Nei confronti dei soggetti

interessati il Titolare del

trattamento è responsabile

per eventuali danni cagionati

in base a quanto stabilisce

l'articolo 2050 del Codice

Civile.

Il Regolamento stabilisce che il soggetto interessato può

richiedere al Titolare del trattamento il risarcimento dei

danni subiti da un trattamento; in tal caso il Titolare è

tenuto a risponderne direttamente e interamente.

Responsabilità del Titolare del trattamento (Art. 82)

© GETSOLUTION


Responsabile

del trattamento

interno o

esterno

Responsabile del

trattamento

Soggetto che elabora dati personali per

conto del Titolare del trattamento

I Responsabili sono scelti dal Titolare anche in funzione delle garanzie che offrono per

l’adozione di misure tecniche ed organizzative nel rispetto del Regolamento.

Il trattamento affidato ai Responsabili del trattamento deve essere regolamentato da un

contratto o da altro atto giuridico a norma che vincoli il Responsabile al Titolare e

disciplini tutti gli aspetti relativi alle operazioni di trattamento (finalità, durata, natura dei

dati, misure di sicurezza, etc.).

Responsabile del trattamento (Art. 4)© GETSOLUTION

trattare i dati personali eseguendo le istruzioni fornite dal Titolare

assicurare che le persone autorizzate a trattare i dati personali si siano impegnate a rispettare vincoli di riservatezza

implementare e mantenere tutte le misure tecniche e organizzative adeguate

assistere il Titolare del trattamento per la gestione delle richieste di diritto d’accesso e per gli altri obblighi imposti dal Regolamento

su richiesta del Titolare cancellare o restituire i dati personali al termine del trattamento

fornire al Titolare qualsiasi informazione necessaria per dimostrare il rispetto del Regolamento

rendersi disponibile a audit di verifica da parte del Titolare del trattamento

Obblighi del Responsabile del trattamento (Art. 28)

© GETSOLUTION

Regolamento Generale

•Il Responsabile del trattamento non può avvalersi di un altro soggetto senza ricevere

espressa e documentata autorizzazione dal Titolare del trattamento, il quale ha anche la

facoltà di rifiutarsi.

•Nei casi in cui il Responsabile deleghi in tutto o in parte il trattamento ad un altro

Responsabile del trattamento è tenuto ad imporre tramite contratto o atto giuridico i

medesimi doveri in materia di protezione dei dati personali che il Titolare gli ha prescritto.

•Il Responsabile del trattamento mantiene la totale responsabilità nei confronti del Titolare

anche nel caso in cui l’inadempienza degli obblighi in materia di protezione dei dati derivi

dall’altro Responsabile.

•Il Responsabile del trattamento può rispondere per il danno cagionato ad un Interessato se

si dimostra che non ha soddisfatto i propri obblighi previsti dal Regolamento o ha eseguito il

trattamento in contrasto a quanto stabilito dal Titolare del trattamento.

Responsabilità (Artt. 28 e 82) © GETSOLUTION


Incaricato del

trattamento

Soggetto che ha

accesso ai dati

personali

Soggetto che accede ai dati personali e

li elabora sotto l’autorità del Titolare del

trattamento o Responsabile.

Qualsiasi persona che agisce sotto l'autorità del Titolare del trattamento o Responsabile,

che ha accesso ai dati personali, può trattarli solo su istruzione del Titolare o se è

imposto dalla legge o degli Stati Membri dell'Unione.

Soggetti autorizzati (Artt. 29) © GETSOLUTION


Titolare

autonomo del

trattamento

Contitolare del

trattamento

Soggetto che determina le

finalità e i mezzi del trattamento di dati

personali congiuntamente con un

Titolare

Il Regolamento introduce il principio di “contitolarità” quando due o più soggetti

stabiliscono insieme le finalità e le modalità del trattamento dei dati personali.

Contitolari (Art. 26)© GETSOLUTION

I Contitolari devono stabilire mediante un accordo interno:

� le rispettive responsabilità in relazione agli obblighi in materia di protezione

dei dati;

� il soggetto che sarà individuato come punto di contatto unico per l'esercizio

dei diritti degli interessati;

� le modalità per l’espletamento delle richieste di diritto d’accesso ai dati;

� le modalità per fornire un’adeguata informativa agli interessati;

� i rispettivi ed effettivi ruoli dei Contitolari, soprattutto nei confronti degli

interessati.

Il contenuto essenziale dell'accordo deve essere reso disponibile agli

Interessati.

Contitolari (Art. 26)

© GETSOLUTION

• Se il Titolare del trattamento è un’Autorità o un Ente pubblico;

Casi in cui deve essere obbligatoriamente nominato un Data Protection Officer

(DPO):

Il Titolare del trattamento designa il DPO sulla base delle sue qualità professionali,

della conoscenza specialistica della normativa, delle pratiche in materia di protezione

dei dati e per la capacità di adempiere ai compiti previsti dal Regolamento.

• Se l’attività principale del Titolare o del Responsabile comprende il trattamento di dati che comporta un monitoraggio regolare e sistematico dei soggetti interessati su larga scala;

• se l’attività principale del Titolare o del Responsabile comprende il trattamento su larga scala di dati particolari e dati relativi a condanne penali e reati.

Data Protection Officer (Art. 37)© GETSOLUTION

Il Data Protection Officer ha il dovere e il compito di:

• informare e consigliare i soggetti coinvolti in merito alle attività necessarie volte a garantire la conformità ai requisiti normativi sulla protezione dei dati;

• essere di supporto per la valutazione d'impatto sulla protezione dei dati e monitorare lo svolgimento;

• esercitare un’azione di controllo e vigilanza per ciò che attiene l'osservanza del Regolamento (politiche interne, attribuzione delle responsabilità, formazione del personale che concorre ai trattamenti, etc.);

• essere un punto di contatto per i soggetti interessati, le Autorità di controllo esterne e le funzioni operative e di controllo interne.

Data Protection Officer (Art. 39)© GETSOLUTION

Diritto di ottenere la conferma del trattamento

Diritto di avere accesso ai dati e alle informazioni inerenti il trattamento

Diritto di rettifica

Diritto alla cancellazione

Diritto di limitazione di trattamento solo per determinate finalità o operazioni di trattamento

Diritto di opposizione ad uno o più trattamenti

Diritto all’oblio

Diritto alla portabilità

Co

dic

e P

riv

acy

Re

go

lam

en

toR

eg

ola

me

nto

Diritti degli Interessati (Artt. dal 15 al 23)© GETSOLUTION

Gli Stati Membri possono decidere di limitare, mediante misure

legislative, la portata dei Diritti dei soggetti Interessati, qualora

tale limitazione costituisca una misura necessaria per

salvaguardare, ad esempio, la sicurezza e la difesa nazionale, la

prevenzione, l'indagine, l'accertamento o il perseguimento di

reati, ecc.

Diritti degli Interessati© GETSOLUTION

Su richiesta dell’interessato, il Titolare del trattamento deve provvedere a cancellare

i dati personali e, se sono stati resi pubblici, a comunicare tale volontà anche agli

altri soggetti che stanno utilizzando tali dati; questi ultimi devono a loro volta

cancellare qualsiasi link, copia o riproduzione dei dati personali.

Il Titolare dovrebbe preventivamente attuare possibili misure tecniche e

organizzative per tale gestione, tenendo in considerazione la tecnologia disponibile

e i costi di attuazione.

Il diritto all’oblio non è applicabile se in contrasto a:

�l'esercizio del diritto alla libertà di espressione e di informazione

�l'adempimento di un obbligo legale

�motivi e finalità di pubblico interesse

�l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Diritto all’oblio (Art. 17)© GETSOLUTION

Un nuovo diritto riconosciuto all’interessato è il diritto alla portabilità dei dati,

ovvero la possibilità di:

Ciò può avvenire quando:

�il trattamento si basa sul consenso;

�il trattamento si basa su un contratto;

�il trattamento è effettuato mediante sistemi automatizzati;

ricevere in formato strutturato, di uso comune e leggibile digitalmente i propri

dati personali in possesso del Titolare del trattamento;

richiedere al Titolare il trasferimento dei propri dati personali ad un altro

Titolare, anche direttamente ove sia tecnicamente consentito.

Diritto alla portabilità (Art. 20)© GETSOLUTION

Qui di seguito sono indicati gli elementi essenziali che il Regolamento impone per un’idonea

Informativa, evidenziando le novità rispetto al Codice Privacy:

� l’identità e i dati di contatto del Titolare del trattamento e, se designato, del DPO;

� le finalità del trattamento;

� se il trattamento si basa su legittimi interessi perseguiti dal Titolare;

� i destinatari dei dati o le categorie di destinatari;

� se è previsto un trasferimento di dati all’Estero e le garanzie esistenti a tutela dei dati

trasferiti;

� il periodo temporale previsto per la conservazione dei dati o il criterio per determinarlo;

� i diritti riconosciuti ai soggetti interessati;

� la possibilità di revocare il consenso in qualsiasi momento;

� il diritto di proporre reclamo ad un'autorità di controllo;

� l’indicazione se la comunicazione di dati personali è un obbligo legale o è necessario per la

conclusione di un contratto;

�se l'interessato ha l'obbligo di fornire i dati e le possibili conseguenze di un rifiuto;

�se l’interessato sarà oggetto di attività di profilazione.

Informativa (Art. 14)© GETSOLUTION

Se i dati personali non sono conferiti direttamente dall’interessato, il Titolare

del trattamento deve fornire anche le seguenti informazioni aggiuntive:

� le categorie di dati personali trattati;

� la fonte dalla quale derivano i dati personali e se tale fonte è accessibile al

pubblico.

Il Regolamento consiglia di rendere l’informativa

accompagnata da icone standardizzate per renderla più

visibile, comprensibile e chiara ai soggetti interessati.

Informativa (Art. 14) © GETSOLUTION


Per essere considerato valido il

consenso deve avere le seguenti

caratteristiche:

�essere espresso

�libero

�specifico

�informato

�documentato

�manifestato in forma scritta quando

il trattamento riguarda dati sensibili.

Il consenso dell’interessato è una qualsiasi

manifestazione di volontà al trattamento

dell’interessato e deve essere:

�inequivocabile

�libero

�specifico

�informato

�espresso mediante dichiarazione o chiara

azione positiva.

Il Titolare deve essere in grado di dimostrare che

il soggetto interessato ha conferito il proprio

consenso.

Consenso (Art. 7)© GETSOLUTION

Il Regolamento impone una maggiore protezione per i bambini, in quanto

potrebbero essere meno consapevoli dei rischi, delle conseguenze e dei loro

diritti in relazione al trattamento dei dati personali.

Se il Titolare del trattamento intende fornire servizi della società

dell’informazione ai minori è tenuto, infatti, a raccogliere il consenso del

genitore o del tutore, adoperandosi per quanto possibile per verificarne l’

autenticità.

Gli Stati Membri devono stabilire la soglia di età per i minori tra i 13 e i 16

anni.

Consenso per i Minori (Art. 8)© GETSOLUTION

Nel caso in cui si verifichi una violazione dei dati personali

che possa in qualche modo tradursi in un rischio per i diritti e le

libertà degli individui, qualsiasi Titolare del trattamento ha

l’obbligo normativo di notificare l’avvenimento all’Autorità di

controllo.

La notifica deve avvenire senza ingiustificato ritardo, con un limite

massimo di 72 ore. Oltre le 72 ore, il Titolare deve comunicare

all’Autorità il motivo valido che giustifichi il ritardo della notifica.

Obbligo di notifica di una violazione dei dati all’Autorità Garante e

ai contraenti soltanto in capo ai fornitori di servizi di

comunicazione elettronica accessibili al pubblico.

Codice Privacy

Regolamento

Data Breach (Art. 33)© GETSOLUTION

Il Titolare del trattamento è tenuto anche ad informare gli interessati tempestivamente se la

violazione può comportare una grave ed elevata compromissione dei loro diritti e delle

libertà:

Danni fisici, materiali o morali

Danno economico o sociale

Perdita del controllo dei dati

Limitazione dei diritti

DiscriminazioneFurto o usurpazione

d'identitàPerdite finanziarie

Decifratura non autorizzata della

pseudonimizzazione

Pregiudizio alla reputazione

Perdita di riservatezza dei dati protetti da segreto

professionale


Contromisure necessarie per la gestione di una violazione e per limitarne gli effetti:

misure tecniche che riconoscano all'istante la violazione e allertino prontamente il Titolare o il Responsabile;

sensibilizzazione dei Responsabile del trattamento e dei soggetti autorizzati al trattamento, anche tramite adeguate policy, affinché si possa agire correttamente e tempestivamente in caso di data breach;

misure atte a rendere non intellegibili e criptati i dati oggetto di violazione per chiunque non sia autorizzato ad accedervi;

mezzi adeguati per l’invio della comunicazione ai soggetti interessati quando dovuto, tenendo in considerazione che la violazione potrebbe anche compromettere i dati presenti a sistema;


Non è necessaria la comunicazione ai soggetti interessati se il

Titolare del trattamento ha applicato le opportune misure

tecnologiche e organizzative preventive (esempio crittografia dei

dati) o è stato in grado di evitare tempestivamente il verificarsi di

rischi elevati.



L’art. 19.3 dell’Allegato B del

Codice Privacy (Disciplinare

tecnico in materia di misure

minime di sicurezza), che

prevedeva l'analisi dei rischi

che incombono sui dati, è

stato soppresso dal Decreto

legge del 9 febbraio 2012.

Il Regolamento introduce l’obbligo di effettuare

una valutazione di impatto (Data Protection

Impact Assessment) quando il trattamento può

comportare un elevato rischio per i diritti e le

libertà degli individui, soprattutto se effettuato

mediante nuove tecnologie.

Analisi dei Rischi© GETSOLUTION

“Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,

considerati la natura, il campo di applicazione, il contesto e le finalità del trattamento,

può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il

responsabile del trattamento effettua, prima di procedere al trattamento, una

valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.

Elementi da valutare:

•la natura dei dati e del

trattamento

•il campo di applicazione

•il contesto

•le finalità del trattamento

Quando è obbligatoria:

•Il trattamento prevede l’uso

di nuove tecnologie

•Il trattamento presenta

rischi per i diritti e le libertà

delle persone fisiche

Analisi dei Rischi (Art. 35)© GETSOLUTION

Il Data Protection Impact Assessment è finalizzato ad analizzare e ridurre i rischi che

impattano sulle libertà e i diritti degli Interessati.

Il Regolamento individua, in particolare, i seguenti casi in cui è sempre e indubbiamente

obbligatoria l’analisi dei rischi:

valutazione sistematica ed estesa di aspetti della personalità dei soggetti interessati tramite processi automatizzati, tra cui la profilazione, e da cui derivano decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati;

il trattamento su larga scala di categorie particolari di dati personali, o di dati relativi a condanne penali e reati;

il controllo sistematico di zone accessibili al pubblico su larga scala.


Le autorità di controllo dei singoli Stati sono tenuti a stabilire e

rendere pubblico un elenco delle tipologie di operazioni di

trattamento soggette al requisito di una valutazione d'impatto

sulla protezione dei dati e per le quali non è richiesta una

valutazione d'impatto sulla protezione dei dati.


la perdita l’alterazione

l’accesso non autorizzato

l’utilizzo non consentito

Principali rischi per i

diritti e le libertà delle

persone fisiche:

il pregiudizio e la

discriminazione

il furto di identità

l’invasività nella sfera privata

le perdite finanziarie

la perdita di riservatezza dei

dati protetti

il danno fisico, materiale o

morale

Principali rischi per la

sicurezza dei dati

personali:

Codice Privacy

Regolamento

Regolamento

Analisi dei Rischi (Art. 35)

Obbligo di adottare misure tecniche ed

organizzative ADEGUATE al

trattamento e ai rischi.

Obbligo di misure di sicurezza MINIME.

Codice Privacy Regolamento

Contromisure (Art. 32)© GETSOLUTION

Il Regolamento introduce l’obbligo di attuare misure di sicurezza ADEGUATE in considerazione dei seguenti elementi:

lo stato dell'arte e i costi di attuazione;

la natura e il campo di applicazione del trattamento;

il contesto e le finalità del trattamento;

il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone.

Il Regolamento introduce l’obbligo di attuare misure di sicurezza ADEGUATE in considerazione dei seguenti elementi:

lo stato dell'arte e i costi di attuazione;

la natura e il campo di applicazione del trattamento;

il contesto e le finalità del trattamento;

il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone.

Misure tecniche e organizzative (Art. 32)© GETSOLUTION

La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:

Pseudonimizzazione o crittografia dei dati;

Garanzie di riservatezza, integrità, disponibilità e recupero dei dati personali e dei sistemi che li custodiscono e li elaborano;

Accesso tempestivo ai dati in caso di un evento dannoso fisico o tecnico;

Processi di verifica periodica dell’efficacia ed effettiva applicazione delle misure di sicurezza in atto.

Misure tecniche e organizzative© GETSOLUTION

Chiunque subisca un danno materiale o immateriale cagionato da una violazione del

presente regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del

trattamento o dal Responsabile del trattamento.

Il Titolare del trattamento è tenuto a risponderne direttamente e interamente. Il

Responsabile del trattamento può rispondere per il danno cagionato ad un Interessato se si

dimostra che non ha soddisfatto i propri obblighi previsti dal Regolamento o ha eseguito il

trattamento in contrasto a quanto stabilito dal Titolare del trattamento.

I soggetti sono esonerati dall’obbligo di risarcimento soltanto se sono in grado di dimostrare

che l’evento dannoso subìto dall’interessato non è in alcun modo loro imputabile.

Il Titolare del trattamento che ha pagato l'intero risarcimento del danno, qualora ne

sussistano le condizioni, ha il diritto di reclamare dagli altri Titolare del trattamento o

Responsabile coinvolti nel trattamento la parte del risarcimento corrispondente alla loro

parte di responsabilità per il danno cagionato.

Risarcimento del danno (Art. 82)© GETSOLUTION

Sono previste sanzioni penali per gravi illeciti che comportano la reclusione fino ad un

massimo di 3 anni.

Le sanzioni possono essere aumentate fino al quadruplo in ragione delle condizioni

economiche del contravventore.

In casi di maggiore gravità o sono coinvolti numerosi interessati, le sanzioni possono essere applicate in misura pari al doppio.

Sanzioni amministrative che variano da un

minimo di 6.000 Euro ad un massimo di 120.000 Euro.

Le sanzioni penali dovranno essere eventualmente stabilite da ciascuno Stato

Membro sulla base della propria legislazione.

Per violazioni più rilevanti, la sanzione può raggiungere 20.000.000 Euro o il 4% del

fatturato mondiale totale annuo

Per alcune violazioni la sanzione può arrivare fino ad un massimo di 10.000.000 Euro o al

2% del fatturato mondiale totale annuo

Elementi e condizioni generali per valutare l’applicazione delle sanzioni in caso di

violazione.

Codice Privacy Regolamento

Sanzioni (Art. 83) © GETSOLUTION

Sanzione fino ad un massimo di 10.000.000 Euro o al 2% del fatturato mondiale totale annuo,

per la violazione degli articoli che regolamentano i seguenti aspetti:

•Consenso per il trattamento di minori

•Trattamento di dati personali che identificano il soggetto anche quando non è necessario

•Protezione dei dati fin dalla progettazione e di default

•Corresponsabili del trattamento

•Rappresentante del Responsabile del trattamento nel territorio UE

•Responsabile del trattamento

•Registri delle attività di trattamento

•Cooperazione con l'autorità di controllo

•Sicurezza del trattamento

•Data breach

•Valutazione d'impatto sulla protezione dei dati e consultazione preventiva

•Data Protection Officer

•Violazione dei meccanismi di certificazione


Sanzione fino ad un massimo di 20.000.000 Euro o al 4% del fatturato mondiale totale

annuo, per la violazione degli articoli che riguardano i seguenti aspetti:

•Violazione dei principi (liceità, correttezza e trasparenza, limitazione della finalità,

minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e

riservatezza, responsabilizzazione)

•Liceità del trattamento

•Consenso al trattamento

•Trattamento di categorie particolari di dati

•Esercizio diritti degli interessati

•Informativa

•Trasferimento dati all’Estero


Dott.ssa Paola GeneraliManaging [email protected]: +39 335 5366986

Via Ippolito Rosellini n. 1220124 Milano Italy

Tel: + 39 (0)2 39661701Fax: + 39 (0)2 39661800

[email protected]

PER INFORMAZIONI© GETSOLUTION

Smau Bologna 2016 -Assintel, Paola Generali

Technology

Transcript of Smau Bologna 2016 -Assintel, Paola Generali