Slides a disposizione dei partecipanti ai corsi di formazione GDPR. Formazione circa il quadro normativo della protezione dei dati e privacy. (GDPR, leggi e decreti successivi.
Slides realizzate da wp2privacy (Dottoressa Marinzia Pagliaro e Dottor Andrea Gandini).
Ultimo aggiornamento: 8giu2023
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
wp2privacy slides Gdpr
1. Privacy e GDPR in azienda
Relatori:
Dottoressa Marinzia Pagliaro (consulente privacy e DPO)
Dottor Andrea Gandini (consulente informatico/giuridico e protezione dati)
Formazione by www.wp2privacy.net
Sono consentite la copia integrale (non parziale) e diffusione delle presenti slides senza scopo di lucro e senza apportare modifiche. Le slides sono a scopo esclusivamente informativo, nessuno p
2. Disciplina il trattamento dei dati personali delle persone fisiche
GDPR
General Data Protection Regulation
(Regolamento EU 2016/679)
In vigore dal 24maggio 2016 e applicabile dal 25 maggio
2018. E’ stato adeguato all’ordinamento giuridico italiano
con il D.Lgs 101/2018.
Formazione by www.wp2privacy.net
3. Artt. 1-2-3 Regolamento EU 2016/679
A chi si applica il GDPR?
Il Regolamento si applica al trattamento (automatizzato e non) ed alla
circolazione dei dati personali delle persone fisiche all’interno dell’Unione
Europea. Il presente regolamento NON si applica ai dati personali delle
persone giuridiche (considerando 14 GDPR) e NON si applica al
trattamento di dati personali effettuato da una persona fisica a carattere
esclusivamente personale o domestico e, quindi, senza una connessione
con una attività commerciale o professionale (considerando 18 GDPR).
Formazione by www.wp2privacy.net
4. I dati particolari (in passato detti “sensibili”, art.9, par.1GDPR) sono:
dati genetici; biometrici; appartenenza a partiti, religioni o sindacati;
preferenze sessuali. Si distingue poi la categoria dei dati giudiziari
(Direttiva polizia, 680/2016).
Quando un dato è personale?
Un dato è personale quando permetta di identificare,
direttamente o indirettamente, da solo o combinato con
altri, inequivocabilmente una persona fisica (art.4 par1
GDPR).
Esempi: nome, indirizzo, codice fiscale, email, IP.
Formazione by www.wp2privacy.net
5. Il trattamento può avvenire su supporto informatico, cartaceo, ecc.
Cosa si intende per trattamento di dato personale?
Trattamento è qualsiasi operazione (automatizzata e non) di raccolta dati,
cancellazione,modifica, uso, aggiornamento, consultazione, elaborazione,
estrazione, raffronto, ecc (art.4, par2) Si distingue la profilazione che è un
trattamento automatizzato con cui si elaborano i dati dell’interessato per
costruirne un profilo al fine di analizzare o prevedere determinati aspetti della
sua persona (interessi, preferenze, comportamento, etc.) (art.4 par.4 GDPR). Il
trattamento è ispirato a criteri di liceità, correttezza,
trasparenza,minimizzazione e per finalità esplicite, legittime e limitate nel
tempo al perseguimento dello scopo da raggiungere (considerando 39, art.5
GDPR).
Formazione by www.wp2privacy.net
6. Il responsabile del trattamento è figura esterna
(esempio: commercialista)
Titolare, interessato, responsabile ed incaricato
Interessato: persona i cui dati sono trattati.
Titolare del trattamento: persona fisica/giuridica che definisce modalità e
finalità del trattamento (art.4, par.7 e art.24 GDPR)
Responsabile del trattamento: persona fisica/giuridica (delegata), che
tratta i dati personali per conto del titolare(art4.par8 e art.28 GDPR)
Incaricato: persona che operativamente tratta i dati (esempio: data entry)
Formazione by www.wp2privacy.net
7. Il titolare del trattamento deve adempiere alla richiesta entro 1
mese(considerando 59).
Diritti degli interessati
Di accesso, rettifica, opposizione (per trattamenti di
marketing non è necessario addurre motivazione alla
richiesta), limitazione del trattamento, portabilità dei
dati e cancellazione (detto oblio, considerando 65, è
negabile per interesse pubblico o sanitario,
considerando 52 e 53) (artt.15 e ss.).
Formazione by www.wp2privacy.net
8. Fra i due valori viene scelto quello più gravoso
Sanzioni
Sanzioni fino a €20,000,000 o, per le imprese, fino
al 4% del fatturato mondiale totale annuo
dell’esercizio precedente, se superiore (art.83,
par.5 GDPR)
Formazione by www.wp2privacy.net
9. Art. 5 Gdpr, considerando 39, considerando 58.
Principi GDPR (ACCOUNTABILITY)
Liceità, correttezza e trasparenza
Limitazione della finalità (i dati vanno raccolti solo per scopi precisi, espliciti e legittimi)
Minimizzazione dei dati (i dati vanno trattati solo se strettamente necessari)
Esattezza e aggiornamento
Limitazione della conservazione
Integrità e riservatezza
Formazione by www.wp2privacy.net
10. Si sconsiglia vivamente il fai da te, l’utilizzo di fac-simili recuperati dal
web, il seguire spicci consigli di tuttologi.
Sintesi adempimenti del titolare
Tenuta del registro dei trattamenti (considerando 82 e art.30);
divulgazione informativa; raccolta del consenso; formazione obbligatoria
Gdpr per il personale addetto al tattamento; mantenimento degli standard
adeguati (considerando 71, 74 e 78 e art.32GDPR) di sicurezza del dato, a
livello fisico, organizzativo e informatico; eventuale nomina DPO;
eventuale DPIA(considerando 84 e 90); notifica di un eventuale data
breach(considerando 85 e 87 e artt. 33 e 34 par.4 gdpr) ; nomina incaricati
al trattamento.
Formazione by www.wp2privacy.net
11. Nomina obbligatoria in caso di: trattamento effettuato da enti
pubblici; monitoraggio su larga scala; trattamento di dati particolari o
relativi a condanne penali (considerando 97).
DPO = Data Protection Officer (RPD,
ossia responsabile protezione dati). Art.37
Gdpr
Sorveglia l’osservanza del GDPR, valutando i rischi di ogni
trattamento. Fornisce consigli a livello
normativo/informatico. Deve poter agire con indipendenza.
Formazione by www.wp2privacy.net
12. La terminologia per l’informativa deve essere chiara e facilmente
comprensibile; l’eventuale consenso deve essere granulare.
Informativa (art.13 GDPR)
Con tale adempimento il titolare del trattamento rende
edotto l’interessato di come i suoi dati personali
saranno trattati, per quali scopi, con quale impatto sulla
sua privacy, con quali tempi e limiti. Inoltre fornisce
informazioni afferenti i diritti degli interessati e come
esercitarli.
Formazione by www.wp2privacy.net
13. Il Gdpr permette di esprimere il consenso agli ultrasedicenni. In Italia, il
D.Lgs 101/2018 lo consente agli ultraquattordicenni.
BASI GIURIDICHE DEL TRATTAMENTO: Contratto, Obbligo
legale, CONSENSO. (art.6 GDPR)
Il consenso è una delle basi giuridiche necessarie per trattare i dati personali in maniera
legittima (a meno che il trattamento non sia fondato su un obbligo di legge-considerando 45;
art.6 par.1, lett.c- o su un contratto azionato su richiesta dello stesso interessato-
considerando 44; art1, par.b-). Il trattamento è altresì lecito quando necessario a proteggere
un interesse vitale dell’interessato o altra persona fisica (considerando 46).Il consenso deve
essere libero, informato, inequivocabile e granulare (considerando 32, 40, art.4, par.11 e art.7
par.2). Per i minori (considerando 38) di anni 14 il consenso è esprimibile dai genitori. Il Gdpr
non prevede la forma scritta per il consenso ma la consigliamo fortemente perché l’onere
della prova è in capo al titolare (considerando 42 e art.5, par.2). Vietate check box
preselezionate.
Formazione by www.wp2privacy.net
14. Art. 6 Gdpr
Basi giuridiche del trattamento
Necessità contrattuali;
L’utente ha prestato consenso per specifiche finalità;
Tutela di interessi vitali per l’utente;
Trattamento necessario per adempiere ad un obbligo di legge;
Pubblico interesse;
Interesse legittimo del titolare del trattamento.
Formazione by www.wp2privacy.net
15. Il responsabile del trattamento tiene un registro di “tutte le categorie
di attività relative al trattamento svolte per conto di un titolare” (art.
30, par. 2 del RGPD).
Registro delle attività di trattamento (considerando 82 e art.30)
Reca almeno le seguenti informazioni:
il nome ed i dati di contatto del Titolare; eventuale Contitolare del trattamento;
DPO/RPD; le finalità del trattamento; sintetica descrizione delle categorie di interessati
(utenti, dipendenti, altro); categorie di dati personali (dati identificativi, dati genetici, dati
biometrici, dati afferenti alla salute); categorie di destinatari a cui i dati personali
vengono comunicati; eventuale trasferimento di dati personali all’estero; i termini ultimi
previsti per la cancellazione delle diverse categorie di dati; riferimento alle misure di
sicurezza tecniche ed organizzative del trattamento adottate.
Formazione by www.wp2privacy.net
16. A seguito di valutazione di impatto, può non essere necessaria la
comunicazione (necessaria attenta valutazione fatta da esperti).
Data breach
Il data breach è una violazione dei dati che determina la distruzione, la
perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati
personali. Il data breach deve essere notificato dal titolare al Garante per
la protezione dei dati. La notifica deve avvenire entro e non oltre 72 ore
dalla scoperta della violazione. Esempio: email con in CC anziché BCC
(copia nascosta) un grosso elenco di indirizzi email di persone che non si
conoscono e non devono venir a conoscenza di altrui indirizzo).
Formazione by www.wp2privacy.net
17. Articoli 35 e 36 Gdpr e considerando 75, 76, 77, 78 e 90.
DPIA = data protection impact assessment
Documento complesso, finalizzato all’analisi del rischio, dell’impatto dei trattamenti sulle
libertà e diritti delle persone fisiche. Da effettuare in tre ipotesi.
a) trattamento automatizzato per la valutazione sistematica e globale di aspetti personali
relativi a persone fisiche, sulla quale si fondano decisioni che hanno effetti giuridici o incidono
in modo analogo significativamente sugli intressati;
b) trattamento, su larga scala, di dati particolari o giudiziari;
c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Formazione by www.wp2privacy.net
18. Riferimenti importanti: art 44 Gdpr e sentenza Schrems 2.
Trasferimento dati all’estero
la circolazione dei dati all'interno della UE è libera
(art. 12 Convenzione 108), i trasferimenti fuori dai
Paesi membri sono generalmente vietati, a meno
che non intervengano specifiche garanzie.
Formazione by www.wp2privacy.net
19. * Fonte: www.garanteprivacy.it/faq/videosorveglianza come da
accesso del 7dic2020.
Videocamere
Non occorre una autorizzazione da parte del Garante per installare le telecamere; Le persone che
transitano nelle aree videosorvegliate devono essere informate della presenza delle telecamere
mediante apposito cartello; spetta al titolare del trattamento individuare i tempi di conservazione
delle immagini; quanto più prolungato è il periodo di conservazione previsto (soprattutto se
superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo
e alla necessità della conservazione; Ad esempio, generalmente, il titolare di un piccolo esercizio
commerciale si accorge della perpetrazione di eventuali atti vandalici il giorno stesso in cui si
verificano. Un periodo di conservazione di 24 ore sarebbe quindi sufficiente al raggiungimento
dello scopo. Diversamente, la chiusura dell’esercizio durante i fine settimana o in periodi festivi più
lunghi potrebbe altrimenti giustificare un tempo di conservazione più lungo. *
Formazione by www.wp2privacy.net
20. D.Lgs 101/2018
Altro dal D.Lgs 101/2018:
a) Aggiunge 2 nuove fattispecie di reato: comunicazione e diffusione illecita
di dati personali; acquisizione fraudolenta di dati personali.
b) Non necessario il consenso al trattamento dei dati forniti spontaneamente
inviando un curriculum (il titolare dovrà fornire una informativa solo in caso
di primo contatto utile con l’interessato.
c) I diritti di persona deceduta possono essere esercitati da chi abbia
interesse proprio o agisca a tutela dell’interessato o quale mandatario o per
ragioni familiari meritevoli di protezione.
Formazione by www.wp2privacy.net
21. Email: info@wp2privacy.net
Grazie per l’attenzione.
Il materiale didattico è disponibile sul sito:
Www.wp2privacy.net
Www.dottorgandini.it
Www.slideshare.net
Formazione by www.wp2privacy.net
22. WWW.WP2PRIVACY.NET
Ulteriori informazioni e contatti:
Dottor Andrea Gandini: consulente informatico-giuridico e privacy, formatore e autore di
manuali e saggi. Master di secondo livello in Data Protection (tesi su privacy by design per
blockchain), laurea in giurisprudenza con tesi inerente la digitalizzazione della P.A.,
diploma di perito informatico. Esperto di web privacy, digital HR e software
amministrativi. Maggiori dettagli su www.dottorgandini.it
Dottoressa Marinzia Pagliaro: consulente privacy e DPO. Laureatasi in giurisprudenza, ha,
poi, conseguito un master di secondo livello in “data protection“. Esperta in privacy del
sistema sanitario -pubblico e privato- e compliance di piccole e medie imprese, collabora,
quale autrice, con la rivista scientifica “Diritto, Economia e Tecnologie della Privacy.
Formazione by www.wp2privacy.net