Le novità introdotte dal nuovo regolamento
Le figure da nominare in azienda e le funzioni sttribuite al DPO – Data Protection Officer
Gli adempimenti connessi al rischio privacy
Trattamento dati su supporto informatico: misure minime di sicurezza
Responsabilità e sanzioni
2. LINEE GUIDA INTERPRETATIVE DEL GDPR
LINEE GUIDA SUI RESPONSABILI DELLA PROTEZIONE DEI DATI (RPD) WP 243
LINEE GUIDA CONCERNENTI LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DATI E I
CIRITERI PER STABILIRE SE UN TRATTAMENTO PRESENTA UN RISCHIO ELEVATO WP 248
LINEE GUIDA SULLA APLLICAZIONE E DEFINIZIONE DELLE SANZIONI AMMINISTRATIVE WP
253
LINEE GUIDA SUL DIRITTO ALLA PORTABILITA’ DEI DATI PERSONALI WP 242
LINEE GUIDA PER L’INDIVIDUAZIONE DELL’AUTORITA’ DI CONTROLLO CAPOFILA IN
RAPPORTO A UNO SPECIFICO TITOLARE O RESPONSABILE DEL TRATTAMENTO WP 244
LINEE GUIDA SUI PROCESSI DECISIONALI INDIVIDUALI AUTOMATIZZATI E SULLA
PROFILAZIONE WP 251
LINEE GUIDA SULLA NOTIFICAZIONE DELLE VIOLAZIONI DI DATI PERSONALI WP 250
LINEE GUIDA SULLA TRASPARENZA WP 260
LINEE GUIDA SUL CONSENSO WP 259
LINEE GUIDA SULL’ACCREDITAMENTO DEGLI ENTI DI CERTIFICAZIONE WP 261
3. COSA ACCADE ALLE NORMATIVE OGGI IN VIGORE
CODICE PRIVACY
196/2003
DIRETTIVA CE 1995/46
DECADONO
ACCORDI
INTERNAZIONALI SU
TRASFERIMENTO DATI
DECISIONI
COMMISISONE UE
AUTORIZZAZIONI
GARANTE
LINEE GUIDA GARANTE
NON DECADONO SINO A
QUANDO NON
VERRANNO SOSTITUITI
MODIFICATI O ABROGATI
DECADONO SE NON
INTERVIENE ATTO
NORMATIVO PRIMARIO
4. SARA’ SOLO IL GDPR A DISCIPLINARE LA
MATERIA?
AGLI STATI MEMBRI È CONSENTITO MANTENERE E/O INTRODURRE NORME
NAZIONALI AL FINE DI DEFINIRE E/O SPECIFICARE ULTERIORMENTE
L'APPLICAZIONE DELLE NORME EUROPEE PURCHE’ NON IN CONTRASTO CON IL
NUOVO REGOLAMENTO
E’ DEMANDATA ALLA LEGISLAZIONE NAZIONALE LA DEFINIZIONE DELLE SANZIONI
PENALI
ALCUNI ARTICOLI DELL’ATTUALE CODICE PRIVACY RIMARRANNO IN VIGORE
5. IL NUOVO REGOLAMENTO EUROPEO PRIVACY
(GDPR- General Data Protection Regulation)
IN VIGORE DAL 25 MAGGIO
2018
ARMONIZZARE LA
REGOLAMENTAZIONE IN
TEMA DI PROTEZIONE DEI
DATI ALL’INTERNO DELL’UE
TUTELARE I DIRITTI DEGLI
INTERESSATI
AGEVOLARE LA LIBERA
CIRCOLAZIONE DEI DATI,LE
ATTIVITA’ ECONOMICHE E LA
SANA CONCORRENZA
TITOLARI E RESPONSABILI STABILITI
NELL’UE ANCHE SE IL
TRATTAMENTO NON E’ EFFETTUATO
AL SUO INTENRO
TITOLARI E RESPONSABILI NON
STABILITI NELL’UNIONE CHE
TRATTANO DATI DI INTERESSATI CHE
SI TROVANO AL SUO INTERNO E SE IL
TRATTAMENTO RIGUARDA
L’OFFERTA DI BENI O
SERVIZI
IL MONTORAGGIO DEL
LORO COMPORTAMENTO
6. QUALI SONO I SOGGETTI INTERESSATI DAL NUOVO
REGOLAMENTO?
SOGGETTI OBBLIGATI
PERSONE FISICHE CHE TRATTANO DATI PER ESIGENZE NON PERSONALI/FAMILIARI
PERSONE GIURIDICHE
ENTI PUBBLICI
SOGGETTI INTERESSATI
SOLO PERSONE FISICHE
SOLO PERSONE VIVENTI
7. I DATI NEL NUOVO REGOLAMENTO
PERSONALI
QUALUNQUE INFORMAZIONE RELATIVA A PERSONA FISICA, PERSONA GIURIDICA, ENTE
OD ASSOCIAZIONE, IDENTIFICATI O IDENTIFICABILI, ANCHE INDIRETTAMENTE, MEDIANTE
RIFERIMENTO A QUALSIASI ALTRA INFORMAZIONE, IVI COMPRESO UN NUMERO DI
IDENTIFICAZIONE PERSONALE
PARTICOLARI (EX SENSIBILI)
I DATI PERSONALI IDONEI A RIVELARE L'ORIGINE RAZZIALE ED ETNICA, LE CONVINZIONI
RELIGIOSE, FILOSOFICHE O DI ALTRO GENERE, LE OPINIONI POLITICHE, L'ADESIONE A
PARTITI, SINDACATI, ASSOCIAZIONI OD ORGANIZZAZIONI A CARATTERE RELIGIOSO,
FILOSOFICO, POLITICO O SINDACALE, NONCHÉ I DATI PERSONALI IDONEI A RIVELARE LO
STATO DI SALUTE E LA VITA SESSUALE, DATI BIOMETRICI, DATI GENETICI
GIUDIZIARI
I DATI PERSONALI IDONEI A RIVELARE CONDANNE PENALI E / O REATI DI CUI
ALL’ARTICOLO 10 DEL REGOLAMENTO EUROPEO IN TEMA DI PROTEZIONE DATI
PERSONALI. O COMUNQUE PROVVEDIMENTI DI CUI ALL'ARTICOLO 3, COMMA 1, LETTERE
DA A) A O) E DA R) A U), DEL D.P.R. 14 NOVEMBRE 2002, N. 313, IN MATERIA DI
CASELLARIO GIUDIZIALE, DI ANAGRAFE DELLE SANZIONI AMMINISTRATIVE DIPENDENTI
DA REATO E DEI RELATIVI CARICHI PENDENTI, O LA QUALITÀ DI I IMPUTATO O DI
INDAGATO AI SENSI DEGLI ARTICOLI 60 E 61 DEL CODICE DI PROCEDURA PENALE
8. I PRINCIPI DEL NUOVO REGOLAMENTO
ACCOUNTABILITY
PRIVACY BY DEFAULT
PRIVACY BY DESIGN
CAPACITA’ DI DIMOSTRARE LA
CONFORMITA’ DEL
TRATTAMENTO AL
REGOLAMENTO
GARANTIRE CHE SIANO
TRATTATI PER IMPOSTAZIONE
PREDEFINITA SOLO I DATI
NECESSARI
PROTEZIONE SIN DALLA
PROGETTAZIONE E
ADOZIONE DI MISURE DI
SICUREZZA ADEGUATE
9. I PRINCIPI APPLICABILI AL TRATTAMENTO DATI
(ART.5)
FINALITÀ DETERMINATE, ESPLICITE E LEGITTIME
PROPORZIONALITA’ E NECESSITA’ DEL TRATTAMENTO
DATI ADEGUATI,PERTINENTI E LIMITATI A QUANTO NECESSARIO
LIMITAZIONE DELLA CONSERVAZIONE
MINIMIZZAZIONE DEL TRATTAMENTO
LICEITA’ DEL TRATTAMENTO IDONEA BASE GIURIDICA BASATA SU:
CONSENSO
ADEMPIMENTO OBBLIGHI CONTRATTUALI
INTERESSI VITALI DELLA PERSONA INTERESSATA O DI TERZI
INTERESSE LEGITTIMO PREVALENTE DEL TITOLARE O DI UN TERZO
10. MISURE DI SICUREZZA (ART.32)
IL TITOLARE E IL RESPONSBAILE DEL TRATTAMENTO DEVONO METTERE
IN ATTO MISURE TECINCHE ED ORGANIZZATIVE ADEGUATE PER
GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AL RISCHIO
ALCUNE MISURE:
PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI
CAPACITA’ DI ASSICURARE SU BASE PERMANENTE LA RISERVATEZZA
E L A RESILIZIENZA DEI SISTEMI UTILIZZATI
CAPACITA’ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITA’ E
L’ACCESSO AI DATI IN CASO DI INCIDENTE
PROCEDURE PERIODICHE DI DISASTER RECOVERY
11. TITOLARE DEL TRATTAMENTO (ART.4)
(Data Controller)
E’ LA PERSONA FISICA O GIURIDICA, L’AUTORITÀ PUBBLICA, IL SERVIZIO O ALTRO
ORGANISMO CHE, SINGOLARMENTE O INSIEME AD ALTRI:
DETERMINA LE FINALITÀ E I MEZZI DEL TRATTAMENTO DI DATI PERSONALI
METTE IN ATTO MISURE TECNICHE ED ORGANIZZATIVE PER GARANTIRE ED ESSERE
IN GRADO DI DIMOSTRARE CHE IL TRATTAMENTO E’ EFFETTUATO IN CONFORMITA’
AL REGOLAMENTO
GARANTISCE L’ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
TITOLARE PEROSNA FISICA : INDIVIDUO CHE EFFETTUA UN TRATTAMENTO DATI A
TITOLO PERSONALE E CHE ASSUME INDIVIDUALMENTE LA RESPONSABILITA’ DI
UN’ATTIVITA’(ES. LIBERO PROFESSIONISTA)
TITOLARE PERSONA GIURIDCA: ENTITA’ NEL SUO COMPLESSO E NON LA O LE PERSONE
FISICHE CHE LO RAPPRESENTANO
12. COME INDIVIDUARE IL TITOLARE DEL
TRATTAMENTO?
IL TITOLARE DEL TRATTAMENTO NON È, QUINDI, CHI GESTISCE I DATI, MA CHI DECIDE IL
MOTIVO E LE MODALITÀ DEL TRATTAMENTO, ED È RESPONSABILE GIURIDICAMENTE
DELL'OTTEMPERANZA DEGLI OBBLIGHI PREVISTI DALLA NORMATIVA
LA TITOLARITA’ PUO’ DERIVARE DA:
UNA ESPLICITA COMPETENZA GIURIDICA: E’ LA LEGGE AD INDIVIDUARE IL TITOLARE O I
CRITERI PER LA SUA DESIGNAZIONE
UNA COMPETENZA IMPLICITA: LA DETERMINAZIONE DI FINALITA’ E MEZZI DEL TRATTAMENTO
VIENE STABILITA DA PRASSI GIURIDICHE (ES. IL DATORE DI LAVORO PER I DATI DEI SUOI
LAVORATORI)
UNA INFLUENZA EFFETTIVA: LA TITOLARITA’ SI STABILISCE SULLA BASE DI CIRCOSTANZE DI
FATTO
PER I TITOLARI NON STABILITI NELL’UNIONE OCCORRE FARE RIFERIMENTO ALLA SEDE
AMMINISTRATIVA OVVERO ALLA SEDE DOVE DI FATTO VIENE ESERCITATO IL POTERE
OBBLIGO DI NONIMANRE UN RAPPRESENTANTE ALL’INTERNO DELL’UE OVVERO
ALL’INTERNO DELLO STATO IN CUI SI TROVANO GLI INTERESSATI I I CUI DATI
SONO TRATTATI O IL CUI COMPORTAMENTO E’ MONITORATO
13. CONTITOLARI DEL TRATTAMENTO (ART.26)
(Joint Controllers)
QUANDO DUE O PIU’ TITOLARI DEL TRATTAMENTO DEFINISCONO CONGIUNTAMENTE
LE FINALITA’ E I MEZZI DEL TRATTAMENTO, IN RELAZIONE AGLI STESSI DATI, SONO
CONTITOLARI DEL TRATTAMENTO
OBBLIGHI DERIVANTI DALLA CONTITOLARITA’:
DETERMINARE LE RISPETTIVE RESPONSABILITA’ IN MODO TRASPARENTE E TRAMITE
UN ACCORDO INTERNO OBBLIGATORIO(ES. DELIBERA ORGANIZZATIVA)
DETERMINARE I COMPITI E GLI OBBLIGHI DI CIASCUN CONTITOLARE
PREVEDERE CLAUSOLE PER STABILIRE LE CONSEGUENZE INCASO DI VIOLAZIONE
DELLE NORME PRIVACY ALLA LUCE DELL’ART. 82 O DI APPLICAZIONE DELLE
SANZIONI AMMINISTRATIVE AI SENSI DELL’ART. 83
SE FRA I CONTITOLARI VE NE E’ UNO STABILITO FUORI DALL’UE OCCORRONO
CLAUSOLE SPECIFICHE IN RELAZIONE AL TRAFERIMENTO DATI
(DATA TRANSFER AGREEMENT)
14. IL RESPONSABILE DEL TRATTAMENTO (ART.29)
E’ LA PERSONA FISICA O GIURIDICA, L’AUTORITA’ PUBBLICA, IL SERVIZIO O ALTRO ORGANISMO
CHE TRATTA DATI PERSONALI PER CONTO DEL TITOLARE DEL TRATTAMENTO DAL QUALE RICEVE
ISTRUZIONI CHE E’ TENUTO A RISPETTARE
ESTERNO O INTERNO?
IL RESPONSABILE PUO’ ESSERE UN SOGGETTO ESTERNO OD INTERNO ALL’AZIENDA
OBBLIGATORIO O FACOLTATIVO?
IL REGOLAMENTO PREVEDE L’OBBLIGATORIETA’ DELLA NOMINA SOPRATTUTTO IN CASO DI
ESTERNALIZZAZIONE DEL TRATTAMENTO TUTTAVIA NON E’ ESCLUSA, ANZI SI PREUSPPONE,
CHE LA NOMINA POSSA ESSERE ANCHE INTERNA
LA NOMINA DEVE AVVENIRE MEDIANTE UN CONTRATTO O ALTRO GIURIDICAMENTE VALIDO
15. ESEMPI
RESPONSABILI
UN’AGENZIA VIAGGI COMUNICA I DATI DEI PROPRI CLIENTI AD UNA COMPAGNIA AEREA
E AD UNA CATENA DI ALBERGHI. LA COMPAGNIA AEREA E LA CATENA ALBERGHIERA
CONFERMANO LA DISPONIBILITA’ DELLE CAMERE, L’AGENZIA VIAGGI EMETTE I
DOCUMENTI DI VIAGGIO. IN QUESTO CASO AGENZIA, COMPAGNIA AEREA E ALBERGO
SONO TRE RESPONSABILI DISTINTI
CONTITOLARI
QUALORA, PERO’, QUESTI TRE SOGGETTI DECIDESSERO DI CREARE UNA PIATTAFORMA
INTEGRATA DETRMINANDO GLI ASPETTI FONDAMENTALI RIGUARDO AGLI STRUMENTI
DA UTILIZZARE ANCHE SE AL FINE DI PERSEGUIRE CIASCUNO LE PROPRIE
FINALITA’DIVENGONO CONTITOLARI DEL TRATTAMENTO
16. IL SUB RESPONSABILE DEL TARTTAMENTO
IL RESPONSABILE DEL TRATTAMENTO PUÒ NOMINARE, MEDIANTE CONTRATTO, UN SUB
RESPONSABILE PER L’ESERCIZIO DI SPECIFICHE ATTIVITÀ DI TRATTAMENTO PER CONTO
DEL TITOLARE
SUL SUB RESPONSABILE GRAVANO GLI STESSI OBBLIGHI CHE SONO CONTENUTI NEL
CONTRATTO FRA TITOLARE E RESPONSABILE
IL RESPONSABILE INIZIALE CONSERVA NEI CONFRONTI DEL TITOLARE L’INTERA
RESPONSABILITÀ IN CASO DI INADEMPIMENTO DA PARTE DEL SUB RESPONSABILE
IL SUB RESPONSABILE PUÒ A SUA VOLTA NOMINARE UN SUO SUB RESPONSABILE ED
E’POSSIBILE UNA GERARCHIA TRA LORO
17. INCARICATI DEL TRATTAMENTO (Data Processor)
LE PERSONE FISICHE CHE EFFETTIVAMENTE SI OCCUPANO DEL TRATTAMENTO DEI DATI
SOTTO LA DIREZIONE DEL RESPONSABILE O DEL TITOLARE
DEVONO ESSERE NOMINATI DAL TITOLARE TRAMITE ATTO SCRITTO NEL QUALE SONO
INDICATI COMPITI, AUTORIZZAZIONI E DOVERI
IL RESPONSABILE DEL TRATTAMENTO PUÒ PER DELEGA DEL TITOLARE ISTRUIRE GLI
INCARICATI
18. ESEMPIO
INCARICATI E RESPONSABILI
LA SOCIETA’ ALFA (AZIENDA METALMECCANICA) HA LA NCESSITA’ DI ASSUMERE DEL
PERSONALE E AFFIDA TALE INCARICO ALLA SOCIETA’ BETA (AGENZIA PER IL LAVORO).
LA SOCIETA’ BETA SULLA BASE DEL CONTRATTO INTERCORRENTE ELABORA I DATI
PERSONALI DEI SOGGETTI CHE CERCANO LAVORO.
LA SOCIETA’ BETA UTILIZZANDO AI FINI DELLA RICERCA DI PERSONALE, SIA I CV
RICEVUTI DIRETTAMENTE DA ALFA CHE I CV PRESENTI NELLA PROPRIA BANCA DATI E
RICEVENDO UNA PERCENTUALE QUALORA INDIVIDUI UN CANDIDATO CHE
EFFETTIVAMENTE VERRA’ ASSUNTO DA ALFA, SARA’ RESPONSABILE DEL TRATTAMENTO
NEI CONFORNTI DELLE PEROSNE CHE CERCANO LAVORO MENTRE RICOPRIRA’ IL
RUOLO DI INCARICATO DEL TRATTAMENTO NEI CONFRONTI DELLA SOCIETA’ ALFA
(UNICO VERO RESPONSABILE DEL TRATTAMENTO)
ALFA E BETA SARANNO RESPONSBAILI IN SOLIDO PER TUTTE LE OPERAZIONI RELATIVE
ALLE ASSUNZIONI EFFETTUATE DA ALFA.
19. RESPONSABILE DELLA PROTEZIONE DATI (ARTT.37-39)
(RDP/DPO Data Protection Officer)
SOGGETTO INTERNO OD ESTERNO E DESIGNATO DAL TITOLARE O DAL RESPONSABILE
DEL TRATTAMENTO CON FUNZIONI DI:
SUPPORTO E CONTROLLO, ATTIVITA’ CONSULTIVE, FORMATIVE E INFORMATIVE
RELATIVAMENTE ALL'APPLICAZIONE DEL REGOLAMENTO MEDESIMO.
VERIFICA L’ATTUAZIONE E L’APPLICAZIONE DEL REGOLAMENTO
FORNISCE PARERI SULLA VALUTAZIONE D’IMPATTO
OFFRE SUPPORTO AL TITOLARE NELLA TENUTA DEL REGISTRO DELLE ATTIVITÀ DI
TRATTAMENTO
COOPERA CON L'AUTORITÀ (E PROPRIO PER QUESTO, IL SUO NOMINATIVO VA
COMUNICATO AL GARANTE)
COSTITUISCE IL PUNTO DI CONTATTO, ANCHE RISPETTO AGLI INTERESSATI, PER LE
QUESTIONI CONNESSE AL TRATTAMENTO DEI DATI PERSONALI
20. DPO ESTERNO O INTERNO
IL DPO PUO’ ESSERE UN DIPENDENTE DEL TITOLARE O UN CONSULENTE ESTERNO CHE
ASSOLVE AI SUPI COMPITI SULLA BASE DI UN CONTRATTO DI SERVIZI
DEVE POSSEDERE ELEVATE QUALITA’ PROFESSIONALI, CONOSCENZA SPECIALISTA
DELLA NORMATIVA E DELLE PRASSI IN MATERIA DI PROTEZIONE DEI DATI
IL DPO DEVE ESSERE UN SOGGETTO AUTONOMO RISPETTO AL TITOLARE E AL
RESPONSABILE DEL TRATTAMENTO, DEVE AVERE UN PROPRIO TEAM, AVERE POTERE DI
SPESA, DEVE PARTECIPARE ALLE DECIZIONI AZIENDALI
LA CARICA DI DPO E’ INCOMPATIBILE CON QUASI LA TOTALITA’ DEI RUOLI AZIENDALI
E’ POSSIBILE PER UN GRUPPO DI SOCIETA’ NOMINARE UN UNICO DPO
21. QUANDO E’ OBBLIGATORIO IL DPO
SE IL TRATTAMENTO È EFFETTUATO DA UN’AUTORITÀ PUBBLICA O DA UN ORGANISMO
PUBBLICO, ECCETTUATE LE AUTORITÀ GIURISDIZIONALI QUANDO ESERCITANO LE
LORO FUNZIONI GIURISDIZIONALI
SE LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE
DEL TRATTAMENTO CONSISTONO IN TRATTAMENTI CHE, PER LORO NATURA, AMBITO DI
APPLICAZIONE E/O FINALITÀ, RICHIEDONO IL MONITORAGGIO REGOLARE E
SISTEMATICO DEGLI INTERESSATI SU LARGA SCALA (ES. TRACCIATURA POSIZIONE
GEOGRAFICA ATTRAVERSO APP SU SMARTPHONE, E MAIL RETARGETING, ECC…)
SE LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE
DEL TRATTAMENTO CONSISTONO NEL TRATTAMENTO, SU LARGA SCALA, DI CATEGORIE
PARTICOLARI DI DATI PERSONALI DI CUI ALL’ARTICOLO 9 RIGUARDANTI RAZZA
RELIGIONE ECC. O DI DATI RELATIVI A CONDANNE PENALI E A REATI DI CUI
ALL’ARTICOLO 10
22. COSA FARE SE SI DECIDE
DI NON NOMINARE IL DPO
AD ECCEZIONE DEI CASI IN CUI E’ EVIDENTE CHE L’AZIENDA NON E’ TENUTA A
NOMINARE UN DPO, I TITOLARI E I RESPONSABILI DEVONO DOCUMENTARE LE
VALUTAZIONI COMPIUTE AL FINE DI MOTIVARE E GIUSTIFICARE LA MANCATA NOMINA DI
UN DPO E LE RAGIONI PER LE QUALI LO HANNO RITENUTO NON NECESSARIO
TALE DOCUMENTAZIONE FA PARTE DEL PRINCIPIO DI RESPONSABILIZZAZIOE E PUO’
ESSERE RICHIESTA DALL’AUTORITA’ DI CONTROLLO
23. I CODICI DI CONDOTTA (ART.40)
E LE CERTIFICAZIONI (ART.42)
I CODICI DI CONDOTTA
LE ASSOCIAZIONI E GLI ALTRI ORGANISMI RAPPRESENTANTI LE CATEGORIE DI TITOLARI DEL
TRATTAMENTO O RESPONSABILI DEL TRATTAMENTO POSSONO ELABORARE I CODICI DI
CONDOTTA
STRUMENTO UTILE PER DIMOSTRARE IL RISPETTO DEGLI OBBLIGHI DEL TITOLARE
ESONERA DA ALCUNI ADEMPIMENTI MA NON DA RESPONSABILITA’
CERITIFICAZIONE
LE AUTORITÀ DI CONTROLLO, INCORAGGIANO L’ISTITUZIONE DI MECCANISMI DI
CERTIFICAZIONE ALLO SCOPO DI DIMOSTRARE LA CONFORMITÀ AL PRESENTE REGOLAMENTO
DEI TRATTAMENTI EFFETTUATI DAI TITOLARI DEL TRATTAMENTO E DAI RESPONSABILI DEL
TRATTAMENTO
RILASCIATA DAGLI ORGANISMI DI CERTIFICAZIONE DI CUI AL REGOLAMENTO O DALL’AUTORITÀ
DI CONTROLLO COMPETENTE
PROCEDURA VOLONTARIA
NON RIDUCE LA RESPONSABILITA’ DI TITIOLARE E RESPONSABILI IN ORDINE AL RISPETTO DEL
REGOLAMENTO
CERTIFICARE UN DPO NON ESIME IL TITOLARE DALLE RESPONSABILITA’ DERIVANTI DAL RISPETTO
DEL REGOLAMENTO MA ELIMINA LA CULPA IN ELIGENDO
24. ESEMPI
ESEMPIO 1
UNA PICCOLA AZIENDA A CONDUZIONE FAMILIARE OPERANTE NEL SETTORE DELLA
DISTRIBUZIONE DI ACCESSORI PER LA CASA SI SERVE DI UN RESPONSABILE DEL TRATTAMENTO LA
CUI ATTIVITA’ PRINCIPALE CONSISTE NEL FORNIRE SERVIZI DI TRACCIAMENTO DEGLI UTENTI DEL
SITO WEB OLTRE ALL’ASSITENZA PER LE ATTIVITA’ DI MARKETING E PUBBLICTA’ MIRATI
IL TRATTAMENTO DATI DELL’AZIENDA NON PUO’ CONSIDERARSI SU LARGA SCALA IN QUANTO IL
NUMERO DI CLIENTI E LA TIPOLGOIA DI ATTIVITA’ SONO LIMITATE
TUTTAVIA IL RESPONSABILE DEL TRATTAMENTO, NELL’ESERCIZIO DELLA SUA ATTIVITA’
PRINCIPALE OVVERO QUELLA DI MONITORAGGIO WEB, CONTA NUMEROSE SOCIETA’. IN QUESTO
IL TRATTAMENTO E’ DA CONSIDERARSI SU LARGA SCALA
IL RESPONSABILE DEL TRTTAMENTO E’ QUINDI TENUTO A NOMINARE UN DPO
IL TITOLARE DEL TRATTAMENTO NON E’ INVECE TENUTO A NOMINARE UN DPO
ESEMPIO 2
SE L’AZIENDA DI CUI SOPRA PER TRE MESI FA PROFILAZIONE SU LARGA SCALA NON E’ TENUTA
NOMINARE UN DPO IN QUANTO IL TRATTAMENTO E’ OCCASIONALE E NON RAPPRESENTA
L’ATTIVITA’ PRINCIPALE DI ALFA
25. RESPONSABILITA’ DI TITOLARE E RESPONSABILE
CHIUNQUE SUBISCA UN DANNO MATERIALE O IMMATERIALE CAUSATO DA UNA VIOLAZIONE
DELLE NORME DEL GDPR HA IL DIRITTO AD OTTENERE IL RISARCIMENTO DEL DANNO DAL
TITOLARE O DAL RESPOSNABILE DEL TRATTAMENTO
TITOLARE DEL TRATTAMENTO
RISPONDE PER IL DANNO CAGIONATO DAL SUO TRATTAMENTO
RESPONSABILE DEL TRATTAMENTO RISPONDE PER IL DANNO CAUSATO DAL
TRATTAMENTO SOLAMENTE SE:
NON HA ADEMPIUTO AGLI OBBLIGHI DEL GDPR
HA AGITO IN MODO DIFFORME RISPETTO ALLE ISTRUZIONI DEL TITOLARE
26. RESPONSABILITA’ SOLIDALE,
REGRESSO ED ESONERO
OGNI TITOLARE E OGNI RESPONSABILE E’ RESPONSABILE IN SOLIDO PER
L’INTERO AMMONATRE DEL DANNO CAGIONATO ALL’INTERESSATO
QUALORA IL TITOLARE O ILRESPONSABILE ABBIA PAGATO L’INTERO RISARCIMENTO
DEL DANNO L’ALTRO PUO’ PRETENDERE LA PARTE DEL RISARCIMENTO
CORRISPONDENTE ALLA PARTE DI RESPONSBAILITA’ ALTRUI
TITOLARE E RESPONSBAILI POSSONO ANDARE ESENTI DA RESPONSABILITA’
SOLAMENTE LADDOVE DIMOSTRINO CHE L’EVENTO DANNONOSO NON E’ LORO
IMPUTABILE IN ALCUN MODO
27. RESPONSABILITA’ DEL DPO
NON RISPONDE PERSONALMENTE DELLA INOSSERVANZA DEL REGOLAMENTO.
SPETTA AL TITOLARE DEL TRATTAMENTO DIMOSTRARE IL RISPETTO DELLA
NORMATIVA
NON HA RESPONSABILITÀ DIRETTE PER QUANTO RIGUARDA GLI ILLECITI
AMMINISTRATIVI MA PERMANE UNA RESPONSABILITÀ IN VIA DI RIVALSA SUL
PIANO RISARCITORIO A FAVORE DEL TITOLARE DEL TRATTAMENTO E DEL
RESPONSABILE DEL TRATTAMENTO CHE ABBIA SUBITO UN DANNO RILEVANTE DA
COLPA GRAVE O INADEMPIMENTI GRAVI RIFERIBILI AI COMPITI DEL DPO
28. SANZIONI
CIVILI
RISARCIMENTO DEL DANNO PATRIMONIALE E NON PATRIMONIALE PATITO
DALL’INTERESSATO
AMMINISTRATIVE
SANZIONI AMMINISTRATIVE PECUNIARIE FINO A 10 MILIONI DI EURO O PER LE
IMPRESE SINO AL 2% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO
SUPERIORE SE SUPERIORE
SANZIONI AMMINISTRATIVE PECUNIARIE FINO A 20 MILIONI DI EURO O PER LE
IMPRESE SINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO
SUPERIORE SE SUPERIORE
PENALI
SPETTA AGLI STATI MEMBRI STABILIRLE
29. CRITERI DI DETERMIANAZIONE DELLE SANZIONI
NATURA, GRAVITA’, DURATA DELLA VIOLAZIONE TENUTO CONTO DELLA NATURA,
DELL’OGGETTO, DELLE FINALITA’ DEL TRATTAMENTO E DEL NUMERO DI SOGGETTI INTERESSATI
CARATTERE DOLOSO O COLPOSO DELLA VIOLAZIONE (ES. TRATTAMENTO ILLECITO
AUTORIZZATO ESPLICITAMENTE DAL TITOLARE OPPURE ERRORE UMANO)
LE MISURE ADOTTATE DAL TITOLARE O DAL RESPONSABILE PER LIMITARE IL DANNO
IL GRADO DI RESPONABILITA’ DEL TITOLARE O DEL RESPONABILE IN RELAZIONE ALLE
MISURE TECNICHE ED ORGANIZZATIVE
VIOLAZIONI GIA’ COMMESSE IN PRECEDENZA DAL RESPONSABILE E DAL TITOLARE
IL GRADO DI COOPERAZIONE CON L’AUTORITA’ DI CONTROLLO AL FINE DI PORRE
RIMEDIO ALLA VIOLAZIONE
LE CATEGORIE DI DATI PERSONALI INTERESSATE DALLA VIOLAZIONE
IL MODO IN CUI L’AUTORITA’ E’ VENUTA AL CORRENTE DELLA VIOLAZIONE
IL RISPETTO DI EVENTUALI PROVVEDIMENTI EMESSI IN PRECEDENZA DALL’AUTORITA’
ADESIONE A CODICI DI CONDOTTA
EVENTUALI AGGRAVANTI O ATTENUANTI (ES. VANTAGGI CONSEGUITI)
30. SANZIONI AMMINISTRATIVE (ART. 83)
RIFERIMENTO VIOLAZIONE
Registro trattamenti Assenza o mantenimento non corretto
Privacy by design/by default Assenza di conformità privacy by
design/default di prodotti e servizi
Contitolarità Assenza di accordo e ripartizione
responsabilità tra contitolari
Rappresentanti non stabiliti in UE Assenza di designazione di un
rappresentante in UE
Responsabile trattamento Assenza autorizzazione scritta da parte
del Titolare
Soggetti che trattano dati Assenza di istruzioni
Certificazione Assenza di cooperazione con organismo
Fino a 10 Mln
Euro o 2% del
fatturato
MONDIALE
totale annuo
dell’esercizio
precedente, se
superiore
31. SANZIONI AMMINISTRATIVE (ART. 83)
RIFERIMENTO VIOLAZIONE
Sicurezza Assenza di adozione di misure tecniche e
organizzative adeguate
Notifica di violazione Mancata notifica all’Autorità
Comunicazione di
violazione
Mancata comunicazione agli interessati
Valutazione di impatto Assenza di valutazione di impatto
DPO Assenza di designazione
Nomine Assenza di nomine di Responsabili e soggetti
autorizzati
Consultazione preventiva Assenza di consultazione
Fino a 10 Mln
Euro o 2% del
fatturato
MONDIALE
totale annuo
dell’esercizio
precedente, se
superiore
32. SANZIONI AMMINISTRATIVE (ART. 83)
RIFERIMENTO VIOLAZIONE
Principi base del trattamento Violazione principi di liceità, trasparenza,
correttezza, proporzionalità
Consenso Modalità, condizioni e caratteristiche di
acquisizione
Diritti Violazione dei diritti di cui agli artt. 12-22
Ordini o limitazioni Inosservanza delle direttive imposte dall’Autorità
Trasferimenti in pesi terzi Assenza di idonee garanzie
Fino a 20 Mln
Euro o 4% del
fatturato
MONDIALE
totale annuo
dell’esercizio
precedente, se
superiore
33. L’AUTORITA’ DI CONTROLLO (ART.51-56-60)
SPETTA AD OGNI SINGOLO STATO MEMBRO INDIVIDUARE LA PROPRIA AUTORITA’ DI
CONTROLLO (PER L’ITALIA GUARDIA DI FINANZA)
E’ COMPETENTE L’AUTORITA’ DELLO STATO IN CUI E’ STABILITO IL TITOLARE DEL
TRATTAMENTO
NEL CASO IN CUI SIANO COINVOLTE PIU’ AUTORITA’ L’AUTORITA’ DI CONTROLLO
DELLO STABILIMENTO PRINCIPALE DEL TITOLARE ASSUME IL RUOLO DI AUTORITA’
CAPOFILA
IN CASO DI TRATTAMENTI TRANSFRONTALIERI OGNI AUTORITA’ DI CONTROLLO
DEVE SENZA RITARDO INFORMARE L’AUTORITA’ CAPOFILA CHE HA 3 SETTIMANE DI
TEMPO PER DECIDERE SE DEROGARE O MENO LA COMPETENZA IN FAVORE
DELL’AUTORITA’CHE L’HA INFORMATA
34. L’ITER SANZIONATORIO
QUALORA IN CASO DI VERIFICA L’ORGANO DI CONTROLLO RISCONTRI
IRREGOLARITA’ O INADEMPIMENTI REDIGE UN VERBALE DI CONTESTAZIONE
AMMINISTRATIVA E FA UNA PROPOSTA SANZIONATORIA
IL GARANTE HA 5 ANNI DI TEMPO PER:
CONFERMARE LA SANZIONE
RIDETERMINARE LA SANZIONE
ARCHIVIARE
QUALORA VI SIANO ANCHE RESPONSABILITA’ PENALI L’AUTORITA’ GARANTE NE
DARA’ NOTIZIA ALLA PROCURA COMPETENTE
IL PAGAMAENTO DELLA SANZIONE DOPO I 60 GG DA QUANDO E’ STATA COMMINATA
COMPORTA LA QUADRUPLICAZIONE DELL’IMPORTO
35. IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
(ART.30)
COS’E’?
E’ UN REGISTRO NEL QUALE SONO RIPORTARE TUTTE LE INFORMAZIONI INERENTI AL TRATTAMENTO
DATI.
A COSA SERVE?
E’ INDISPENSABILE PER POTER EFFETTUARE UNA CORRETTA ANALISI DEI RISCHI
PERMETTE DI AVERE UN QUADRO AGGIORNATO DEI TRATTAMENTI IN ESSERE ALL’INTERNO
DELL’AZIENDA
E’ UNO STRUMENTO UTILE IN CASO DI SUPERVISIONE DA PARTE DEL GARANTE
CHI DEVE REDIGERLO?
IL TITOLARE DEL TRATTAMENTO, IL/I RESPONSABILE/I DEL TRATTAMENTO E OGNI SUO
RAPPRESENTANTE
QUANDO?
SE L’AZIENDA HA PIÙ DI 250 DIPENDENTI
SE L’AZIENDA HA MENO DI 250 DIPENDENTI:
SE IL TRATTAMENTO PRESENTA UN RISCHIO PER I DIRITTI E LE LIBERTA’ DELL’INTERESSATO
SE IL TRATTAMENTO NON È OCCASIONALE E RIGUARDA DATI PARTICOLARI
DEVE ESSERE AGGIORNATO COSTANTEMENTE
E’ SEMPRE CONSIGLIATO IN QUANTO STRUMENTO CHE FA SCATTARE UNA PRESUNZIONE DI CONFORMITÀ AL
REGOLAMENTO E PERMETTE DI AVER SOTTO CONTROLLO I TRATTAMENTI EFFETTUATI
36. …. CONTINUA
QUALI INFORMAZIONI DEVE NECESSARIMENTE CONTENENRE?
NOME E DATI DI CONTATTO DEL TITOLARE ED EVENTUALE CONTITOLARE DEL
TRATTAMENTO
NOME E DATI DI CONTATTO DEL RAPPRESENTANTE DEL TITOLARE
NOME E DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DATI
FINALITÀ DEL TRATTAMENTO
CATEGORIE DI DATI TRATTATI
CATEGORIE DI INTERESSATI
CATEGORIE DI DESTINATARI
TRASFERIMENTI DI DATI A PAESI TERZI E RELATIVE GARANZIE
TERMINI PER LA CANCELLAZIONE DEI DATI
DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA, TECNICHE ED
ORGANIZZATIVE
37. VALUTAZIONE DI IMPATTO (ART.35)
(DPIA-Data Protection Impact Assessment)
COS’E’ E CHI E’ TENUTO AD EFFETTUARLA?
E’ UNA VALUTAZIONE FINALIZZATA A DESCRIVERE IL TRATTAMENTO,
VALUTARNE LA NECESSITÀ, LA PROPORZIONALITÀ E I RISCHI PER I DIRITTI E LE
LIBERTA’ DEGLI INTERESSATI.
DEVE ESSERE EFFETTUATA DAL TITOLARE E DAL RESPONSABILE DEL
TRATTAMENTO CHE SONO TENUTI, OVE PRESENTE, A CONSULTARSI CON IL DPO
ELIMINA L’OBBLIGO DEL PRIOR CHECKING O INTERPELLO PREVENTIVO AL
GARANTE
QUANDO VA EFFETTUATA?
PRIMA DI INIZIARE UN TRATTAMENTO E RIVALUTATA DURANTE
38. …CONTINUA
COSA DEVE CONTENERE?
DESCRIZIONE SISTEMATICA DEI TRATTAMENTI PREVISTI E DELLE FINALITÀ DEL
TRATTAMENTO
VALUTAZIONE DELLA NECESSITÀ E PROPORZIONALITÀ DEI TRATTAMENTI IN
RELAZIONE ALLE FINALITÀ
VALUTAZIONE DEI RISCHI PER I DIRITTI E LE LIBERTÀ DEGLI INTERESSATI
MISURE PREVISTE PER AFFRONTARE I RISCHI
39. QUANDO E’ OBBLIGATORIA LA DPIA
QUANDO IL TRATTAMENTO PRESENTA UN RISCHIO ELEVATO PER GLI
INTERESSATI (OBBLIGATORIA NEL CASO DI INTRODUZIONE DI NUOVE
TECNOLOGIE)
QUANDO VI È UNA VALUTAZIONE SISTEMATICA E AUTOMATIZZATA COMPRESA LA
PROFILAZIONE, SULLA QUALE SI FONDANO DECISIONI CHE HANNO EFFETTI
GIURIDICI SUGLI INTERESSATI
QUANDO IL TRATTAMENTO DI DATI PARTICOLARI È EFFETTUATO SU LARGA
SCALA
QUANDO VI È UNA SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI ZONA
ACCESSIBILE AL PUBBLICO
40. QUANDO NON E’ OBBLIGATORIA LA DPIA
QUANDO IL TRATTAMENTO NON COMPORTA UN RISCHIO ELEVATO PER I DIRITTI E LE
LIBERTA’ DELLE PERSONE
QUANDO LA NATURA, IL CONTESTO, LE FINALITA’ DEL TRATTAMENTO SONO MOLTO
SIMILI O UGUALI A QUELLI DI UN TRATTAMENTO PER IL QUALE E’STATA SVOLTA UNA DPIA
QUANDO IL TRATTAMENTO E’ STATO VERIFICATO DA PARTE DI UNA AUTORITA’ DI
CONTROLLO PRIMA DELL’ENTRATA IN VIGORE DEL REGOLAMENTO E NON HA SUBITO
MODIFICHE (INTERPELLI E ISTANZE GARANTE)
QUANDO IL TRATTAMENTO E’ COMPRESO TRA QUELLI PER I QUALI ESISITONO
AUTORIZZAZIONI
QUANDO NON EMERGE CON CHIAREZZA LA NECESSITA’ DI UNA DPIA IL GARANTE
CONSIGLIA COMUNQUE DI FARVI RICORSO
41. I 9 CRITERI DELLA DPIA
TRATTAMENTI VALUTATIVI, PREDITTIVI, DI SCORING E DI PROFILAZIONE (ES. CREAZIONE DI PROFILI COMPORTAMENTALI
SULLA BASE DEI DATI NAVIGAZIONE WEB)
DECISIONI AUTOMATIZZATE CHEPRODUCOO SIGNIFICATIVI EFFETTI GIURIDICI (ESCLUSIONE DA DETERMINATI BENEFICI –
DISCRIMINAZIONE)
MONITORAGGIO SISTEMATICO (PREDETERMINATO, ORGANIZZATO E METODICO- ES. CONTROLLO DATI DI NAVIGAZIONE DEI
DIPENDENTI)
COMBINAZIONE O RAFFRONTO DI INSIEME DI DATI (ES. TRATTAMENTI SVOLTI PER FINALITA’ DIVERSE DA TITOLARI DIVERSI)
TRATTAMENTI DI DATI SENSIBILI, GIUDIZIARI O DI DATI COMUNQUE DI NATURA ESTREMAMENTE PERSONALE (CASELLARIO
GIUDIZIARIO)
TRATTAMENTI DI DATI SUL ALRGA SCALA
NUMERO DI SOGGETTI INTERESSATI DAL TRATTAMENTO IN RELAZIONE ALLA % DELLA POPPOLAZIONE O IN REALZIONE
ALLA REALTA’ AZIENDALE
VOLUME DEI DATI TRATTATI E/O AMBITO DELLE DIVERSE TIPOLOGIE DI DATO OGGETTO TRATTAMENTO
DURATA DELL’ATTIVITA’ DI TRATTAMENTO
AMBITO GEOGRAFICO DELL’ATTIVITA’ DI TRATTAMENTO
UTILIZZO DI SISTEMI INNOVATIVI O APPLICAZIONI TECNOLOGICHE O ORGANIZZATIVE (INTERNET OF THINGS)
TRATTAMENTI DI DATI RELATIVI A SOGGETTI VULNERABILI (MINORI, ANZIANI, DIVERSAMENTE ABILI MA ANCHE I
DIPENDENTI)
TRATTAMENTI CHE DI PER SE’ IMPEDISICONO AGLI INTERESSATI DI ESERCITARE UN DIRITTO O DI AVVALERSI DI UN SERVIZIO
O UN CONTRATTO (ES. SCREENING CENTRALE RISCHI ISTITUTI DI CREDITO)
42. FASI PRATICHE DELLA DPIA
DESCRIZIONE SISTEMATICA DEL TRATTAMENTO
NATURA, AMBITO, CONTESTO, FINALITA’
TIPOLOGIA DI DATII, DESTINATARI E PERIODO DI CONSERVAZIONE
STRUMENTI UTILIZZATI
CODICI DI CONDOTTA
VALUTAZIONE DI NECESSITA’ E PROPORZIONALITA’ DEL TRATTAMENTO
FINALITA’ SPECIFICHE, DETERMINATE, LEGITTIME
LICEITA’ DEL TRATTAMENTO
DATI ADEGUATI PERTINENTI LIMITTAI A QUANTO NECESSARIO
LIMITAZIONE DELLA CONSERVAZIONE
GESTIONE DEI RISCHI PER I DIRITTI E LE LIBERTA’ DEGLI INTERESSATI
FONTI DI RISCHIO
IMPATTI POTENZIALI SUI DIRITTI E LE LIBERTA DEGLI INTERESSATI
PROBABILITA’ E GRAVITA’ DELLE MINCACCE CHE POTREBBERO DAR LUOGO AD ACCESSI
ILLEGITIIMI O MOFICIHE INDESIDERATE DEI DATI
COINVOLGIMENTO DEI SOGGETTI INTERESSATI
43. DPIA IN SINTESI
IL TRATTAMENTO
COMPORTA UN
RISCHIO ELEVATO
NO
NO
DPIA
SI ECCEZIONE
NO SI DPIA
RIESAME DEL
TRATTAMENTO
RISCHIO
RESIDUALE
ELEVATO
SI
SI NO
NO
CONSULATAZIONE
PREVENTIVA
SI
CONSULTAZIONE
PREVENTIVA
CONSULENZA
DPO
CODICI
CONDOTTA
OPINIONI
DEGLI
INTERESSATI
44. DATA BREACH (ART.33)
SOGGETTI
OBBLIGO PER TUTTI I TITOLARI DI NOTIFICARE AL GARANTE LA VIOLAZIONE SUBITA
TEMPI E MODALITA’:
OBBLIGO DI NOTIFICARE TALE VIOLAZIONE SENZA RITARDO OVVERO ENTRO 72 ORE DAL
MOMENTO IN CUI IL TITOLARE NE E’ VENUTO A CONOSCENZA
QUALORA LA VIOLAZIONE COMPORTI UN ELEVATO RISCHIO PER I DIRITTI E LE LIEBRTA’
DEGLI INTERESSATI IL TITOLARE DEVE, SENZA RITARDO, DARNE COMUNICAZIONE
ANCHE A LORO
CONTENUTO:
NATURA DELLA VIOLAZIONE
DATI DI CONTATTO DEL DPO SE ESISTENTE O DI ALTRO SOGGETTO INFORMATO
DESCRIZIONE DELLE PROBABILI CONSEGUENZE
MISURE ADOTTATE O PROPOSTE PER PORRE RIMEDIO ALLA VIOLAZIONE O ATTENUARNE
GLI EFFETTI
45. TRASFERIMENTO DATI VERSO PAESI TERZI
AL DI FUORI DELLA UE (ARTT. 44-50)
NON OCCORRE PIU’ L’AUTORIZZAZIONE NAZIONALE TRANNE IN CASO DI CLAUSOLE
CONTRATTUALI AD HOC O DI ACCORDI AMMINISTRATIVI TRA PA
IL TRASFERIMENTO E’ POSSIBILE SOLO IN CASO DI
DECISIONE DI ADEGUATEZZA
ADOZIONE DI CODICI DI CONDOTTA O CERTIFICAZIONI PER DIMOSTRARE LE GARANZIE
ADEGUATE
NORME VINCOLANTI DI IMPRESA ( ES. CLAUSOLE CONTRATTUALI STANDARD, BINDING
CORPORATE RULES, DATA TRANSFER AGREEMENT)
NEGLI ALTRI CASI POSSIBILE SOLO SE:
CONSNESO ESPLICITO DELL’INTERESSATO
NECESSARIO PER DARE ESECUZIONE AD UN CONTRATTO TRA INTERESSATO E TITOLARE
PER MOTIVI DI INTERESSE PUBBLICO
PER DIDENDERE UN DIRITTO IN SEDE GIUDIZIARIA
PER TUTELARE INTERESSI VITALI DELL’INTERESSATO QUALORA ESSO NON SIA IN GRADO
46. INFORMATIVA: COSA CAMBIA
CONTENUTO MINIMO TASSATIVO:
DATI DI CONTATTO DEL DPO OVE ESISTENTE
BASE GIURIDICA
INTERESSE LEGITTIMO
TRASFERIMENTO DATI IN PAESI TERZI E QUALI STRUMENTI SONO UTILIZZATI
PERIODO DI CONSERVAZIONE DEI DATI
DIRITTO DI REVOCARE IL CONSENSO IN QUALSIASI MOMENTO
DIRITTO DI PROPORRE RECLAMO
UTILIZZO DI PORCESSI DECISIONALI AUTOMATIZZATI E LOGICA ALLA BASE DI TALI
PROCESSI
FONTE DA CUI HANNO ORIGINE I DATI PERSONALI
LE CATEGORIE DI DATI PERSONALI OGGETTO DEL TRATTAMENTO
47. … CONTINUA
MODALITA’
FORMA CONCISA, TRASPARENTE, INTELLIGIBILE, LINGUAGGIO CHIARO E
SEMPLICE
FORMA SCRITTA E PREFERIBILMENTE IN FORMATO ELETTRONICO
POSSONO ESSER UTILIZZATE ICONE PER L’INFORMATIVA SINTENTICA SOLO
SE IN COMBINAZIONE CON L’INFORMATIVA ESTESA
TEMPI
QUALORA I DATI NON SIANO STATI RACCOLTI DIRETAMENTE PRESSO
L’INTERESSATO L’INFORMATIVA DEVE ESSERE FORNITA ENTRO UN MESE
DALLA RACCOLTA O AL MOMENTO DELLA COMUNICAZIONE DEI DATI A TERZI O
ALL’INTERESSATO
ESONERO
IN CASO DI DATI PERSONALI RACCOLTI DA FONTI DIVERSE DALL’INTERESSATO
SPETTA AL TITOLARE VALUTARE SE LA PRESENTAIZONE
DELL’INFORMATIVAAGLI INTERESSATI COMPORTI UNO SFORZO
SPROPORZIONATO
48. INFORMATIVA COSA RIMANE INVARIATO
L’INFORMATIVA DEVE ESSERE FORNITA PRIMA DI EFFETTUARE LA
RACCOLTA DATI
SE I DATI NON SONO RACCOLTI PRESSO L’INTERESSATO L’INFORMATIVA
DEVE COMPRENDERE LE CATEGORIE DI DATI PERSONALI OGGETTO DI
TRATTAMENTO
OCCORRE SEMPRE INDICARE:
IL TITOLARE DEL TRATTAMENTO, IL RESPONSABILE DEL TRATTAMENTO
E IL RAPPRESENTANTE SE PRESENTE
LE FINALITA’
I DIRITTI DEGLI INTERESSATI
I DESTINATARI DEI DATI
49. OCCORRE UN NUOVO CONSENSO PER I
TRATTAMENTI IN ESSERE?
NON OCCORRE CHE L'INTERESSATO PRESTI NUOVAMENTE IL SUO
CONSENSO, SE QUESTO È STATO ESPRESSO SECONDO MODALITÀ
CONFORMI ALLE CONDIZIONI DEL PRESENTE REGOLAMENTO, AFFINCHÉ
IL TITOLARE DEL TRATTAMENTO POSSA PROSEGUIRE IL TRATTAMENTO
IN QUESTIONE DOPO LA DATA DI APPLICAZIONE DEL PRESENTE
REGOLAMENTO
50. I DIRITTI DEGLI INTERESSATI
DIRITTO DI ACCESSO (ART. 15)
PREVEDE IL DIRITTO DI RICEVERE UNA COPIA DEI DATI PERSONALI
OGGETTO DI TRATTAMENTO
IL TITOLARE DEVE INDICARE: IL PERIODO DI CONSERVAZIONE O I CRITERI
UTILIZZATI PER STABILIRLO, LE GARANZIE APPLICATE IN CASO DI
TRAFERIMENTO DEI DATI VESRSO PAESI TERZI
DIRITTO DI RETTIFICA E CANCELLAZIONE (ART.16)
DIRITTO AD OTTENERE DAL TITOLARE LA RETTIFICA DEI DATI PERSONALI
SENZA INGIUSTIFICATO RITARDO
DIRITTO DI OTTENERE L’INTEGRAZIONE DI DATI PERSONALI INCOMPLETI
IL TITOLARE DEVE COMUNICARE EVENTUALI RETTIFICHE AI DESTINATARI
CUI I DATI SONO COMUNICATI
51. …CONTINUA
DIRITTO DI CANCELLAZIONE (DIRITTO ALL'OBLIO) (ART.17)
CANCELLAZIONE DEI PROPRI DATI PERSONALI IN FORMA RAFFORZATA. SI PREVEDE,
INFATTI, L'OBBLIGO PER I TITOLARI CHE HANNO RESOPUBBLICI I DATI (ES,
PUBBLICAZIONE SITO INTERNET) DI INFORMARE DELLA RICHIESTA DI CANCELLAZIONE
ALTRI TITOLARI CHE TRATTANO I DATI PERSONALI CANCELLATI, COMPRESI "QUALSIASI
LINK, COPIA O RIPRODUZIONE.
L’INTERESSATO HA IL DIRITTO DI CHIEDERE LA CANCELLAZIONE DEI PROPRI DATI, PER
ESEMPIO, ANCHE DOPO REVOCA DEL CONSENSO AL TRATTAMENTO
DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (ART.18)
È ESERCITABILE NON SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI DI LICEITÀ DEL
TRATTAMENTO BENSÌ ANCHE SE L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI O SI
OPPONE AL LORO TRATTAMENTO
IL DATO PERSONALE DEVE ESSERE "CONTRASSEGNATO" IN ATTESA DI DETERMINAZIONI
ULTERIORI, PERTANTO, È OPPORTUNO CHE I TITOLARI PREVEDANO NEI PROPRI SISTEMI
INFORMATIVI (ELETTRONICI O MENO) MISURE IDONEE A TALE SCOPO
ESCLUSA LA CONSERVAZIONE OGNI ALTRO TARTTAMENTO DEL DATO DI CUI SI RICHIEDE
LA LIMITAZIONE E’ VIETAAO SALVO RICORRANO DETETRMINATE CIRCOSATANZE
(ES. ACCERTAMENTO IN SEDE GIUDIZIARIA)
52. …CONTINUA
DIRITTO ALLA PORTABILITÀDEI DATI (ART. 20)
DIRITTO DI TRASFERIRE I PROPRI DATI DA UN TITOLARE DEL TRATTAMENTO AD UN
ALTRO (SI PENSI ALLA PORTABILITÀ DEL NUMERO TELEFONICO)
NON SI APPLICA AI TRATTAMENTI NON AUTOMATIZZATI (ES. ARCHIVI CARTACEI)
SONO PORTABILI SOLO I DATI TRATTATI CON IL CONSENSO DELL’INTERESSATO E DALLO
STESSO FORNITI O BASATI SU UN CONTRATTO DI CUI L’INTERESSATO E’ PARTE (ES. NO
PER TRATTAMENTO FONDATO SULLA LEGGE)
IL TITOLARE DEVE ESSERE IN GRADO DI TRASFERIRE DIRETTAMENTE I DATI PORTABILI
AD UN ALTRO TITOLARE INDICATO DALL’INTERESSATO OVE SI ATECNICAMENTE
POSSIBILE
LA PORTABILITA’ NON COMPORTA LA CANCELLAZIONE AUTOMATICA DEI DATI NEI
SISTEMI DEL TITOLARE
L’INTERESSATO PUO’ CONTINUARE AD USUFRUIRE DEL SERVIZIO OFFERTO DAL
TITOLARE ANCHE DOPO CHE SIA AVVENUTA LA PORTABILITA’
53. …CONTINUA
DIRITTO DI OPPOSIZIONE(ART. 21)
DIRITTO DI OPPORSI AL TRATTAMENTO DI DATIPARTICOLARI
DIRITTO A NON ESSERE SOTTOPOSTI A PROCESSI DECISIONALI AUTOMATIZZATICOMPRESA
LA PROFILAZIONE (ART.22)
DIRITTO A NON ESSERE SOTTOPOSTI A DECISIONI CHE POSSONO VALUTARE ASPETTI
PEROSNALI BASATA UNICAMNETE SU UN TRATTAMENTO AUTOMATIZZATO
54. MODALITA’ DI ESERCIZIO DEI DIRITTI:
COSA CAMBIA
SPETTA AL TITOLARE DARE RISCONTRO ALL’INTERESSATO
TERMINI
ENTRO UN MESE DALLA RICHIESTA ESTENDIBILE A TRE IN CASI PARTICOLARMENTE
COMPLESSI
IL TITOLARE DEVE COMUNQUE DARE RISCONTRO ENTRO UN MESE ANCHE IN CASO DI
DINIEGO
MODALITA’
LA RISPOSTA FORNITA DEVE AVERE FORMA SCRITTA SALVO ILC ASO IN CUI SIA
L’INTERESSTAO A RICHIEDERE UN RISCONTRO ORALE
LA RISPOSTA DEVE ESSERE INTELLIGIBILE, CONCISA, TRASPARENTE, FACILMENTE
ACCESSIBILE E IL LINGUAGGIO DEVE ESSERE SEMPLICE E CHIARO
IN CASI COMPLESSI O DI RICHEISTE INFONADATE O DI RICHIESTE DI PIU’ COPIE IL
TITOLARE PUO’ STABILIRE UN EVENTUALE CONTRIBUTO ALL’INTERESSATO
55. COSA DEVE FARE QUINDI LA MIA AZIENDA?
EFFETTUARE UN’ANALISI DELLO STATO DI FATTO
REDIGERE UNA POLICY PRIVACY AZIENDALE
AGGIORNARE LE INFORMATIVE
PORVVEDERE A NOMINARE LE FIGURE NECESSARIE
EFFETTUARE LA O LE VALUTAZIONI DI IMPATTO CHE RISULTANO
NECESSARIE
REDIGERE IL REGISTRO DELLE ATTIVITA’DI TRATTAMENTO
ANNOTARE LE VIOLAZIONI SUBITE
AGGIORNARE COSTANTEMENTE IL DOSSIER PRIVACY
56. GLI IMPATTI SU SERVIZI IN
OUTSOURCING, CLOUD,
WEB E SERVIZI ICT
Ing. Claudio Poletti
Segretario Generale Conflavoro PMI Reggio Emilia
claudio.poletti@conflavoro.re.it
57. I SOGGETTI DEL CLOUD
FORNITORE DEL SERVIZIO (CLOUD PROVIDER)
UTILIZZATORE DEL SISTEMA CLOUD (IMPRESA)
FRUITORE DEL SERVIZIO (UTENTE FINALE)
58. I SOGGETTI DEL CLOUD:
RUOLI E RESPONSABILITA’
SE
UTENTE DEL
CLOUD
RESPONSABILE
DEL
TRATTAMENTO
ALLORA
CLOUD
PROVIDER
RESPONSABILE
ESTERNO DEL
TRATTAMENTO
59. RICORDA CHE…
IL TITOLARE DEL TRATTAMENTO DEVE
COSTANTEMENTE ACCERTARE L’AFFIDABILITA’ E LA
COMPETENZA DEL RESPONSABILE ESTERNO
60. MA…
LA MAGGIOR PARTE DEI CONTRATTI STIPULATI PER
LA FORNITURA DI SERVIZI CLOUD STANDARDIZZATI
(AD ES. GOOGLE DRIVE, DROPBOX) CONTENGONO
CLAUSULE GENERICHE ACCETTATE, PER ADESIONE,
DAL CLIENTE
DI FATTO IL CLOUD PROVIDER SI COLLOCA IN UNA
POSIZIONE DOMINANTE RISPETTO AL FRUITORE DEL
SERVIZIO, IL QUALE NON E’ NELLE CONDIZIONI DI
POTER NEGOZIARE LE CLAUSULE A LUI MENO
FAVOREVOLI
61. QUINDI… DI FATTO, NEI CONTRATTI DI CLOUD
OGNI DECISIONE RELATIVA ALLE MISURE DI
SICUREZZA DA ADOTTARE E LA CONFIGURAZIONE
TECNOLOGICA DEI SISTEMI E’ DI ESCLUSIVA
COMPETENZA DEL PROVIDER
IL CLIENTE, BENCHE’ SIA TITOLARE DEL
TRATTAMENTO, PUO’ VERIFICARE L’ESECUZIONE
DELLE PRESTAZIONI IN CONFORMITA’ CON QUANTO
PREVISTO DAL CONTRATTO, MA NON PUO’
ESERCITARE ALCUN POTERE DI CONTROLLO SUGLI
ASPETTI SUDDETTI
62. CI TROVIAMO QUINDI IN UNA SITUAZIONE DI
CONTITOLARITA’?
AMMETTERE CIO’ SIGNIFICHEREBBE LICENZIARE
UN’INGERENZA CHE NON APPARTIENE AI RAPPORTI
QUIVI CONTEMPLATI
63. QUINDI… DI FATTO, NEI CONTRATTI DI CLOUD
IL RUOLO PIU’ APPROPRIATO PER IL CLOUD
PROVIDER RIMANE QUELLO DELLA “TITOLARITA’
SUPPLEMENTARE” LIMITATAMENTE AL
“FUNZIONAMENTO DEL SERVIZIO”
(DIRETTIVA 95/46/CE, CONSIDERANDO N.47)
OSSIA… UNA SORTA DI “AMMINISTRATORE DI
SISTEMA”
64. IN SINTESI: COSA DEVE GARANTIRE UN
FORNITORE DI SERVIZI CLOUD?
ESPERIENZA NELLA PROTEZIONE DEI DATI
CONTRATTI PER L'ELABORAZIONE DEI DATI (DATA PROCESSING AGREEMENT, DPA)
USO DI ELABORATORI SECONDARI
SICUREZZA DEI SERVIZI
DISPONIBILITÀ, INTEGRITÀ E RESILIENZA
DISASTER RECOVERY
CRITTOGRAFIA
CONTROLLI DEGLI ACCESSI MEDIANTE SISTEMI DI AUTENTICAZIONE AVANZATA
CHIAVI CIFRATE
ACCESSO CON CNS O SMARTCARD DIGITALI
ACCESSO MEDIANTE INVIO DI CODICE MONOUSO (ES. SMS SU CELLULARE)
65. IN SINTESI: COSA DEVE FARE LA MIA AZIENDA?
DEVE SCEGLIERE ACCURATAMENTE IL FORNITORE DEL SERVIZIO AL FINE DI GARANTIRE
RISERVATEZZA, MISURE DI SCIUREZZA IDONEE ED IL RISPETTO DELLE ISTRUZIONI FORNITE
DAL TITOLARE IN ORDINE AL TRATTAMENTO
DEVE INOLTRE VERIFICARE CHE IL FORNITORE DEL SERVIZIO SIA IN GRADO DI FORNIRE
ASSISTENZA AL TITOLARE IN MATERIA DI MISURE DI SICUREZZA, IN CASO DI RICHIESTE DEGLI
INTERESSATI ED IN CASO DI NOTIFICA DI VIOLAZIONI
DEVE AVERE UN CONTRATTO CON IL FORNITORE DI SERVIZI ESTERNALIZZATI, SIA ESSO UN
OUTSOURCER TRADIZIONALE O UN CLOUD SERVICE PROVIDER
DEVE VERIFICARE CHE IL FORNITORE DEL SERVIZIO ABBIA NOMINATO IL DPO
66. IN SINTESI: QUALI MISURE DEVONO ESSERE
GARANTITE IN CASO DI DISGUIDI TECNICI?
DEVE ESSERE GARANTITA LA RIPRISTINABILITA’ DEI DATI
DEVONO ESSERE PRESE MISURE DI SICUREZZA PER EVITARE LA PERDITA DI DATI, QUALI, AD
ESEMPIO:
RISPOSTE AUTOMATICHE
BLOCCO DI MAIL
PROTEZIONE MEDIANTE PASSWORD DEI FOGLI DI LAVORO O REPORT
PROTEZIONE DELL’ARCHIVIAZIONE DELLE MAIL
CRIPTAZIONE
PSEUDONIMIZZAZIONE DEL DATO OVVERO LA CAPACITÀ DI GESTIRE DATI STRUTTURATI
PER SEPARARE GLI ELEMENTI IN UN APPROCCIO COERENTE AL PRINCIPIO “PRIVACY BY
DESIGN”
PRESENZA DI FIREWALL ANTISAPM E ANTIVIRUS