Nella presentazione vengono illustrati brevemente gli adempimenti introdotti dal GDPR. Inoltre viene indicato una possibile modalità di creazione ed attuazione del un modello organizzativo privacy.
3. #LANUOVAPRIVACY
CHI VI PARLA:
Andrea Battistella
Avvocato e consulente legale appassionato di
informatica titolare dello Studio Legale Battistella
mail: studio@battistella.info - www.battistella.info
PRODIGITALE
Associazione costituita nel 2016
Fondatore e Segretario
ESPERIENZA
Studio Legale con uffici a Pescara e Bologna offre consulenza ed assistenza legale
di tipo sia giudiziale che consulenziale in ambito civile
CENTRO STUDI INFORMATICA
GIURIDICA
Associazione costituita nel 2004
Fondatore e Presidente
4. #LANUOVAPRIVACY
NUOVA CULTURA! L'adeguamento al GDPR richiede
Consapevolezza delle potenzialità
che il mondo digitale ci propone e
la Capacità di gestire il
cambiamento digitale con metodi e
soluzioni diverse rispetto a quelli
tradizionali.
.
Cosa cambia?
5. #LANUOVAPRIVACY
PROFESSIONALITA’ Per gestire questo cambiamento ed i nuovi
obblighi normativi è necessario acquisire
professionalità tecnico giuridiche sempre più
approfondite che permettano di avere una
visione chiara e ampia di tutte quelle che
sono le problematiche legate all’utilizzo della
tecnologia.
Cosa cambia?
6. #LANUOVAPRIVACY
Evoluzione normativa
www.archimedia.it 6
1996: emanata la prima legge sulla protezione dei dati personali che prevedeva l’obbligo di
adozione delle misure «minime» di sicurezze e delle misure di sicurezza «idonee». Fu una rivoluzione
e per la prima volta i «dati personali» potevano essere trattati seguendo regole ben determinate con
relative, importanti, responsabilità.
2003: emanato il d.lgs 196/03 che ha completamente riaccorpato la normativa (e che è ancora la
normativa in vigore). Le misure minime di sicurezza sono previste dall’Allegato B.
Esistono però numerosi provvedimenti che prevedono misure di sicurezza obbligatorie per una serie di
trattamenti in specifici settori di mercato
2018: Regolamento UE. Impostazione «sistemica». Il tema della sicurezza passa da una logica di
«minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di
impatto). In pratica ogni azienda o pubblica amministrazione deve analizzarsi e decidere come
posizionarsi
7. #LANUOVAPRIVACY
SEI PRONTO PER IL GDPR?
Con il GDPR (General Data
Protection Regulation) viene
disegnato un quadro normativo
sulla protezione dei dati unitario in
tutti gli Stati membri dell'UE.
Entro il 25 maggio 2018 ogni
azienda o P.A. che tratti i dati
personali dovrà analizzare la
propria organizzazione privacy e
adeguarsi ai nuovi obblighi
normativi.
8. #LANUOVAPRIVACY
La tutela dei dati personali rappresenta un fenomeno normativo ampiamente
codificato nell’area europea ed in evoluzione.
Il diritto alla privacy è nato nel sistema giuridico statunitense come espressione
del “ diritto di essere lasciati soli” (protezione della vita privata) Oggi, è divenuto il
diritto che permette ad ognuno di noi di esercitare un controllo sulle
informazioni che lo riguardano.
Ogni individuo ha il diritto di decidere se, come e in quale misura le informazioni
che lo riguardano possano essere trattate ed eventualmente trasmesse ad altri.
Significato di Privacy
9. #LANUOVAPRIVACY
Il regolamento stabilisce norme relative
alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali,
nonché norme relative alla libera
circolazione di tali dati.
Quindi il regolamento protegge i diritti e le
libertà fondamentali delle persone fisiche,
in particolare il diritto alla protezione dei
dati personali.
GDPR
Obiettivi e finalità
10. #LANUOVAPRIVACY
Codice della Privacy
Qualunque informazione relativa a persona fisica, persona giuridica ente od
associazione, identificati o identificabili, anche indirettamente, mediante
riferimento o qualsiasi altra informazione, ivi compreso un numero di
identificazione
Regolamento
«dato personale»: qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»); si considera identificabile la
persona fisica che può essere identificata, direttamente o indirettamente,
con particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o a uno o
più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale;
Dato Personale
11. #LANUOVAPRIVACY
Codice Privacy
“I dati personali idonei a rivelare:
l'origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”
Dato Sensibile
12. #LANUOVAPRIVACY
i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite
di una persona fisica che forniscono informazioni univoche sulla fisiologia o
sulla salute di detta persona fisica, e che risultano in particolare dall'analisi
di un campione biologico della persona fisica in questione.
Dato Genetico
13. #LANUOVAPRIVACY
i dati personali ottenuti da un trattamento tecnico specifico relativi alle
caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica
che ne consentono o confermano l'identificazione univoca, quali
l'immagine facciale o i dati dattiloscopici.
Dato Biometrico
14. #LANUOVAPRIVACY
Dato relativo alla salute
i dati personali attinenti alla salute fisica o mentale di una persona
fisica, compresa la prestazione di servizi di assistenza sanitaria,
che rivelano informazioni relative al suo stato di salute;
15. #LANUOVAPRIVACY
ART. 9 del Regolamento
Trattamento di categorie particolari di dati personali
……I dati personali che rivelino l'origine razziale o etnica, le opinioni
politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale,
nonché trattare dati genetici, dati biometrici intesi a identificare in modo
univoco una persona fisica, dati relativi alla salute o alla vita sessuale o
all'orientamento sessuale della persona.
Dato personale particolare
16. #LANUOVAPRIVACY
Codice della Privacy
I dati personali idonei a rivelare provvedimenti di cui all’art.3, comma 1, lettera
da a) a o) e da r) a u) del D.P.R. 14 novembre 2002, n.313, in materia di
casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da
reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai
sensi degli articoli 60 e 61 del codice di procedura penale
Art.10 del Regolamento
Trattamento dei dati personali relativi a condanne penali e reati Il trattamento
dei dati personali relativi alle condanne penali e ai reati o a connesse misure di
sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il
controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto
dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e
le libertà degli interessati. Un eventuale registro completo delle condanne penali
deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
Dato Giudiziario
17. #LANUOVAPRIVACY
Qualsiasi operazione o insieme di operazioni,
compiute con o senza l'ausilio di processi
automatizzati e applicate a dati personali:
Raccolta
Registrazione
Organizzazione
Estrazione,
Consultazione,
Comunicazione – Diffusione
Conservazione,
Cancellazione o la distruzione
GDPR
Trattamento
18. #LANUOVAPRIVACY
I dati personali devono essere trattati:
a) in modo lecito, corretto e trasparente;
b) raccolti per finalità determinate, esplicite e
legittime, e successivamente trattati in modo che non sia
incompatibile con tali finalità;
c) adeguati, pertinenti e limitati a quanto necessario
rispetto alle finalità per le quali sono trattati;
d) esatti e, se necessario, aggiornati;
e) Conservati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati;
f) trattati in maniera da garantire un'adeguata sicurezza
dei dati personali
GDPR
Principi generali
19. #LANUOVAPRIVACY
CICLO DEL TRATTAMENTO
• Durata• Distruzione
dei dati
• Presupposti
giuridici
• Informativa
• Consenso
RACCOLTA Organizzzione
CONSERVAZIONECANCELLAZIONE
20. #LANUOVAPRIVACY
a) l'identità e i dati di contatto del titolare del trattamento;
b) i dati di contatto del responsabile della protezione dei dati;
c) le finalità del trattamento cui sono destinati i dati personali
nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera
f), i legittimi interessi perseguiti dal titolare del trattamento o da
terzi;
e) gli eventuali destinatari o le eventuali categorie di
destinatari dei dati personali;
f) ove applicabile, l'intenzione del titolare del trattamento di
trasferire dati personali a un paese terzo o a
un'organizzazione internazionale e l'esistenza o l'assenza di
una decisione di adeguatezza della Commissione o, nel caso dei
trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo
comma, il riferimento alle garanzie appropriate o opportune e i
mezzi per ottenere una copia di tali dati o il luogo dove sono stati
resi disponibili.
Dati raccolti presso l'interessato
Informazioni da
fornire
21. #LANUOVAPRIVACY
a) il periodo di conservazione dei dati personali oppure, se non è
possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere l'accesso ai dati
personali, la rettifica o la cancellazione degli stessi o la limitazione del
trattamento;
c) diritto di revocare il consenso in qualsiasi momento senza
pregiudicare la liceità del trattamento basata sul consenso prestato
prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o
contrattuale oppure un requisito necessario per la conclusione di un
contratto, e se l'interessato ha l'obbligo di fornire i dati personali
nonché le possibili conseguenze della mancata comunicazione di tali
dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la
profilazione
Dati raccolti presso l'interessato
Informazioni da
fornire
22. #LANUOVAPRIVACY
Qualsiasi manifestazione di volontà:
libera,
specifica,
informata
inequivocabile
dell'interessato, con la quale lo stesso
manifesta il proprio assenso, mediante
dichiarazione (dichiarazione scritta, anche
attraverso mezzi elettronici) o azione positiva
inequivocabile, che i dati personali che lo
riguardano siano oggetto di trattamento
Dati non raccolti presso l'interessato
Consenso
23. #LANUOVAPRIVACY
1 il titolare del trattamento deve essere in grado di
dimostrare che l'interessato ha prestato il proprio
consenso.
2. Se il consenso dell'interessato è prestato nel contesto
di una dichiarazione scritta che riguarda anche altre
questioni, la richiesta di consenso è presentata in modo
chiaramente distinguibile dalle altre materie, in forma
comprensibile e facilmente accessibile, utilizzando un
linguaggio semplice e chiaro.
3. L'interessato ha il diritto di revocare il proprio consenso
in qualsiasi momento. La revoca del consenso non
pregiudica la liceità del trattamento basata sul consenso
prima della revoca
Dati non raccolti presso l'interessato
Consenso
24. #LANUOVAPRIVACY
Il trattamento dei dati può essere effettuato solo se:
a) l'interessato ha espresso il consenso al trattamento dei
propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto
di cui l'interessato è parte o all'esecuzione di misure
precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale
al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli
interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un
compito di interesse pubblico
f) il trattamento è necessario per il perseguimento del
legittimo interesse del titolare del trattamento o di terzi.
GDPR
Presupposti giuridici
del trattamento
25. #LANUOVAPRIVACY
Il Regolamento attribuisce una specifica protezione ai dati particolari e stabilisce il
divieto di trattare questi dati salvo che il trattamento avvenga sulla base di questi
presupposti:
- Consenso espresso per finalità specifiche;
- Necessità di osservare obblighi in materia di diritto di lavoro, sicurezza
sociale, protezione sociale;
- Trattamento di interesse vitale dell’interessato;
- Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate
garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro ;
- Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
- Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede
giudiziaria;
- Il trattamento è necessario per motivi di interesse pubblico;
- Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro,
valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia
sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del
diritto dell'Unione o degli Stati membri.
Trattamento dati particolari
26. #LANUOVAPRIVACY
Il Regolamento attribuisce una specifica protezione ai dati particolari e stabilisce il divieto di trattare questi dati
salvo che il trattamento avvenga sulla base di questi presupposti:
- Consenso espresso per finalità specifiche;
- Necessità di osservare obblighi in materia di diritto di lavoro, sicurezza sociale, protezione sociale;
- Trattamento di interesse vitale dell’interessato;
- Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione,
associazione o altro organismo senza scopo di lucro ;
- Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
- Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- Il trattamento è necessario per motivi di interesse pubblico;
- Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della
capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi
e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri.
Trattamento dati particolari
27. #LANUOVAPRIVACY
Il Regolamento Europeo determina il passaggio da un approccio formale ad
uno sostanziale.
La gestione della privacy deve prevedere una valutazione preliminare sulla
probabilità e gravità del rischio per i diritti degli interessati. La valutazione
oggettiva permette di individuare le misure tecniche ed organizzative
adeguate al fine di garantire quanto richiesto dal Regolamento e ridurre al
minimo il trattamento dei dati personali ( Privacy by design).
Dinamismo Privacy
29. #LANUOVAPRIVACY
Responsabilizzazione (Accountability)
www.archimedia.it 29
Il principio di responsabilizzazione e trasparenza obbliga il Titolare di:
1 - mettere in atto misure tecniche ed organizzative adeguate;
2 - dimostrare che il trattamento avviene nel rispetto della normativa.
Il Titolare del trattamento dovrà dimostrare l’adozione di un modello organizzativo con
l’onere di predisporre e conservare una specifica documentazione, quale ad esempio:
P.I.A. (Privacy Impact Assessment);
Valutazione dei rischi;
Organigramma privacy interno che definisca il “chi fa cosa”;
Certificazioni di sicurezza dei fornitori di sistemi informatici
Informativa e Consenso privacy;
Nomina / Contratto Responsabile e DPO .
30. #LANUOVAPRIVACY
Valutazione dei rischi
www.archimedia.it 30
Il Regolamento prevede l’obbligo di adottare misure di sicurezza sulla base di una
valutazione dei rischi. Il Titolare del trattamento deve :
a) Valutare i rischi inerenti il trattamento ;
b) Implementare le misure tecniche ed organizzative adeguate per limitare i rischi ( es.
cifratura).
Le misure di sicurezza sono adeguate quando sono in grado di limitare i rischi di:
distruzione accidentale o illegale,
la perdita;
la modifica;
Divulgazione non autorizzata;
Accesso in modo accidentale o illegale ai dati personali trattati.
31. #LANUOVAPRIVACY
Organigramma Privacy
www.archimedia.it 31
Codice della Privacy Regolamento Europeo
TITOLARE DEL TRATTAMENTO TITOLARE DEL TRATTAMENTO (DATA CONTROLLER)
RESPONSABILE DEL TRATTAMENTO RESPONSABILE DEL TRATTAMENTO (DATA PROCESSOR)
INCARICATO DEL TRATTAMENTO NON ESPRESSAMENTE PREVISTO
chiunque agisca sotto l'autorità di titolare o responsabile
(art. 29)
NON PREVISTO Responsabile della protezione dei dati - DPO
32. #LANUOVAPRIVACY
Art. 28 “Qualora un trattamento debba essere effettuato per conto del
titolare del trattamento, quest'ultimo ricorre unicamente a responsabili
del trattamento che presentino garanzie sufficienti per mettere in atto
misure tecniche e organizzative adeguate in modo tale che il trattamento
soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti
dell'interessato”.
Il Regolamento anche se non esclude figure manageriali interne si riferisce
a soggetti esterni.
Responsabile del trattamento
33. #LANUOVAPRIVACY
Responsabile del trattamento
www.archimedia.it 33
Qualora un trattamento debba essere effettuato per conto del titolare del
trattamento quest'ultimo ricorre unicamente a responsabili del
trattamento che presentino garanzie sufficienti per mettere in atto
misure tecniche e organizzative adeguate in modo tale che il trattamento
soddisfi i requisiti del presente regolamento e garantisca la tutela dei
diritti dell‘interessato.
I trattamenti da parte di un responsabile del trattamento sono disciplinati
da un contratto o da altro atto giuridico a norma del diritto dell'Unione o
degli Stati membri, che vincoli il responsabile del trattamento al titolare
del trattamento.
Attenzione al contenuto del contratto!!
34. #LANUOVAPRIVACY
Responsabile del trattamento
www.archimedia.it 34
Il contratto deve contenere in particolare, che il responsabile del trattamento:
Tratti i dati personali soltanto su istruzione documentata del titolare del
trattamento;
Garantisca che le persone autorizzate al trattamento dei dati personali si
siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
Adotti tutte le misure richieste ai sensi dell'articolo 32;
Richieda l’autorizzazione al titolare nel caso incarichi altro responsabile del
trattamento;
Tenendo conto della natura del trattamento, assista il titolare del trattamento
con misure tecniche e organizzative adeguate, nella misura in cui ciò sia
possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare
seguito alle richieste per l'esercizio dei diritti dell'interessato;
35. #LANUOVAPRIVACY
Responsabile del trattamento
www.archimedia.it 35
Il contratto deve contenere in particolare, che il responsabile del trattamento:
assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui
agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
informazioni a disposizione del responsabile del trattamento;
su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati
personali dopo che è terminata la prestazione dei servizi relativi al
trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli
Stati membri preveda la conservazione dei dati;
metta a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo
e consenta e contribuisca alle attività di revisione, comprese le ispezioni,
realizzati dal titolare del trattamento o da un altro soggetto da questi
incaricato.
36. #LANUOVAPRIVACY
DPO – Responsabile della Protezione dei dati
www.archimedia.it 36
Il Responsabile della Protezione dei Dati (Data Protection Officer) , è una nuova
figura professionale che obbligatoriamente dovrà avere approfondite conoscenze
sia in campo normativo sia in materia di sicurezza informatica.
Il responsabile della protezione dei dati può essere un dipendente del titolare
del trattamento o del responsabile del trattamento oppure assolvere i suoi
compiti in base a un contratto di servizi.
Il trattamento è
effettuato da
un’Autorità
Pubblica
Trattamenti che richiedono il
monitoraggio regolare e
sistematico degli interessati su
larga scala;
Le attività principali del titolare
consistono nel trattamento, su larga
scala, di categorie particolari di
dati personali.
La nomina è obbligatoria in questi casi
37. #LANUOVAPRIVACY
Privacy e Risarcimento del danno
www.archimedia.it 37
Chiunque subisca un danno materiale o immateriale causato da una violazione del
presente regolamento ha il diritto di ottenere il risarcimento del danno dal
titolare del trattamento o dal responsabile del trattamento.
Un responsabile del trattamento risponde per il danno causato dal trattamento
solo se non ha adempiuto gli obblighi del presente regolamento specificatamente
diretti ai responsabili del trattamento o ha agito in modo difforme o contrario
rispetto alle legittime istruzioni del titolare del trattamento.
Il titolare del trattamento o il responsabile del trattamento è esonerato dalla
responsabilità, se dimostra che l'evento dannoso non gli è in alcun modo
imputabile.
38. #LANUOVAPRIVACY
Responsabilità Privacy
www.archimedia.it 38
Diritto al risarcimento
Art.82
Chiunque subisca un danno materiale o immateriale causato da una violazione del presente
regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o
dal responsabile del trattamento.
Responsabilità di
titolare e responsabile
Art.82
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo
trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il
danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente
regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo
difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Responsabilità solidale
di
titolari e responsabili
Art.82
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare
del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e
siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento,
ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per
l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.
Responsabilità dei
contitolari
Art.26
Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del
trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente,
mediante un accordo interno, le rispettive responsabilità.
39. #LANUOVAPRIVACY
Sanzioni Privacy
www.archimedia.it 39
RIFERIMENTO INADEMPIMENTO SANZIONE
Consenso dei minori (art. 8) Mancata verifica del consenso da parte del Titolare
della responsabilità genitoriale sul minore
Fino a 10.000.000
EUR, o per le
imprese,
fino al 2% del
fatturato mondiale
totale annuo
dell’esercizio
precedente, se
superiore.
Trattamento che non richiede
l’identificazione (art. 11)
Inadempimento nell’obbligo di non conservare,
acquisire o trattare di informazioni per identificare
l’interessato se le finalità non richiedono o non
richiedono più la sua identificazione
Privacy by design/default (art. 25) Assenza di conformità privacy by design/default di
prodotti e servizi
Contitolarità (art. 26) Assenza di accordo e ripartizione delle responsabilità
con il contitolare
Rappresentanti non stabiliti in UE
(art. 27)
Assenza di designazione di un rappresentante nell’UE
Responsabile del trattamento (art. 28) Assenza di autorizzazione scritta, specifica o
generale, con contratto o altro atto giuridico, da
parte del Titolare
40. #LANUOVAPRIVACY
Sanzioni Privacy
www.archimedia.it 40
RIFERIMENTO INADEMPIMENTO SANZIONE
Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto
autorità di Titolare o Responsabile
Fino a 10.000.000
EUR, o per le
imprese,
fino al 2% del
fatturato mondiale
totale annuo
dell’esercizio
precedente, se
superiore.
Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro
Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di
controllo
Sicurezza (art. 32) Assenza di adozione di misure tecniche ed
organizzative adeguate
Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione
Valutazione d’impatto (art. 35) Asenza di valutazione d’impatto (quando
obbligatoria)
Consultazione preventiva (art. 36) Assenza di consultazione preventiva(quando
necessaria)
Designazione DPO (art. 37) Assenza di designazione del DPO (quando
necessario)
41. #LANUOVAPRIVACY
Sanzioni Privacy
www.archimedia.it 41
RIFERIMENTO INADEMPIMENTO SANZIONE
Posizione DPO (art. 38) Assenza di tempestivo ed adeguato
coinvolgimento del DPO; assenza di risorse
necessarie per assolvere ai compiti del DPO;
ingerenza sulla attività del DPO (istruzioni,
penalizzazione e rimozione della sua attività) Fino a 10.000.000
EUR, o per le
imprese,
fino al 2% del
fatturato mondiale
totale annuo
dell’esercizio
precedente, se
superiore.
Compiti DPO (art. 39) Ingerenza sull’adempimento dei compiti del DPO
Organismi di certificazione (art. 43)
Assenza di cooperazione con le autorità di
controllo
42. #LANUOVAPRIVACY
Sanzioni Privacy
www.archimedia.it 42
RIFERIMENTO INADEMPIMENTO SANZIONE
Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto
autorità di Titolare o Responsabile
Fino a 10.000.000
EUR, o per le
imprese,
fino al 2% del
fatturato mondiale
totale annuo
dell’esercizio
precedente, se
superiore.
Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro
Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di
controllo
Sicurezza (art. 32) Assenza di adozione di misure tecniche ed
organizzative adeguate
Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione
Valutazione d’impatto (art. 35) Assenza di valutazione d’impatto (quando
obbligatoria)
Consultazione preventiva (art. 36) Assenza di consultazione preventiva(quando
necessaria)
Designazione DPO (art. 37) Assenza di designazione del DPO (quando
necessario)
43. #LANUOVAPRIVACY
Sanzioni Privacy
www.archimedia.it 43
INADEMPIMENTO SANZIONE
principi di base del trattamento, comprese le condizioni relative al consenso, a
norma degli articoli 5, 6, 7 e 9;
Fino a 20.000.000
EUR, o per le
imprese,
fino al 4% del
fatturato mondiale
totale annuo
dell’esercizio
precedente, se
superiore.
diritti degli interessati a norma degli articoli da 12 a 22;
trasferimenti di dati personali a un destinatario in un paese terzo o
un'organizzazione internazionale a norma degli articoli da 44 a 49;
qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma
del capo IX;
l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di
trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di
controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione
dell'articolo 58, paragrafo 1.
44. #LANUOVAPRIVACY
Sanzioni Privacy
www.archimedia.it 44
Le sanzioni amministrative devono essere effettive, proporzionate e dissuasive.
Al momento di decidere se infliggere una sanzione si tiene debito conto dei seguenti
elementi:
a) la natura, la gravità e la durata della violazione;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento;
d) il grado di responsabilità del titolare del trattamento o del responsabile del
trattamento;
e) eventuali precedenti violazioni;
f) il grado di cooperazione con l'autorità di controllo;
g) le categorie di dati personali interessate dalla violazione;
j) l'adesione ai codici di condotta o ai meccanismi di certificazione
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
45. #LANUOVAPRIVACY
Perché adeguarsi?
SANZIONI
Il GDPR prevede
sanzioni
Fino a 10.000.000
EUR, o per le
imprese,
fino al 2% del
Fatturato
Fino a 20.000.000
EUR, o per le
imprese,
fino al 4% del
Fatturato
REPUTAZIONE
Un trattamento
illegittimo dei dati
personali aumenta il
rischio di
compromettere il
rapporto di fiducia
con i propri clienti
(e-commerce B2C)
OPPORTUNITA’
Il GDPR è
l’occasione di
rivedere i processi
aziendali aventi ad
oggetto il
trattamento dei dati.
LEGALE
Rischio di cause
civili
Il titolare del
trattamento e
responsabile del
trattamento
rispondo dei danni
materiale o
immateriale causato
da una violazione del
GDPR
46. Da dove iniziare?
Tenuto conto della natura, dell’ambito di
applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi aventi
probabilità e gravità diverse per i diritti e le
libertà delle persone fisiche, il titolare del
trattamento mette in atto misure tecniche e
organizzative adeguate per garantire, ed
essere in grado di dimostrare, che il
trattamento è effettuato conformemente al
presente regolamento. Dette misure sono
riesaminate e aggiornate qualora 46
47. Da dove iniziare?
Tenendo conto dello stato dell’arte e dei
costi di attuazione, nonché della natura,
dell’oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà
delle persone fisiche,
47
49. #LANUOVAPRIVACY
.
..
.
Valutazione dei rischi
Misure di sicurezza
adeguate.
Informativa e consenso privacy
Lettera di autorizzazione
Regolamenti / linee guida
Registro trattamenti
Verifica periodica
del modello organizzativo.
Organigramma Privacy;
Ruoli e responsabilità
Registro dei trattamenti
Mappatura dei trattamenti
MODELLO
ORGANIZZATIVO
PRIVACY