Il nuovo Regolamento UE in materia di protezione dei dati personali

1. Accountability
Ambito
Sanzioni
Dr. Tudor Draghici
Aprile 2018

2. Tutti gli esseri umani
hanno tre vite: pubblica,
privata e segreta.privata e segreta.
(Gabriel García Márquez)

4. Durante la riunione del 21 marzo 2018, il Consiglio
dei Ministri ha approvato, in esame preliminare, il
decreto legislativo utile all’adeguamento della
normativa nazionale alle disposizioni dettate dal
nuovo Regolamento europeo per la protezione dei
dati personali delle persone fisiche e per la libera
circolazione degli stessi. La direttiva attualmente in
vigore cesserà di essere applicata dal 25 maggio
2018.

6. Dato personale
Qualsiasi informazione, di ogni tipo
(non solo dati anagrafici o economici
ma anche immagini, suoni, codici
identificativi), relativa ad un
soggetto, che possa consentire
l’identificazione diretta o indiretta del
soggetto cui il dato si riferisce.
E’ dato personale, in buona
Dati sensibili
dati personali, attinenti alla sfera
più intima di ciascun soggetto, per
i quali l’ordinamento appresta una
tutela rafforzata.
E’ considerato dato sensibile
ogni dato personale idoneo a rivelare:
- l’origine razziale ed etnica
- le convinzioni religiose,
filosofiche o di altro generesostanza, ciò che permette di
differenziare un soggetto da tutti
gli altri .
filosofiche o di altro genere
- le opinioni politiche
- l’adesione a partiti,
sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale.
- lo stato di salute e la vita
sessuale.
- dati genetici , dati
biometrici

12. TITOLARE, RESPONSABILE, SUB-RESPONSABILE DEL TRATTAMENTO
disciplina la contitolarità del trattamento
designa (contratto) un responsabile del trattamento
designazione di un RPD-DPO
nomina sub-responsabili del trattamento
risponde dinanzi al titolare dell'inadempimento
dell'eventuale sub-responsabile
REGISTRO DEI
TRATTAMENTI
SVOLTI
MISURE
TECNICO-
ORGANIZZATIVE

13. Privacy by default
Trattare solo i dati personali nella
misura necessaria e sufficiente per
le finalità previste e per il periodo
strettamente necessario a tali fini
(non eccessività dei dati raccolti)

14. http://www.garanteprivacy.it/web/guest/home

16. FONDAMENTI DI LICEITA' DEL TRATTAMENTO Il regolamento
conferma che ogni trattamento deve trovare fondamento in un'idonea base
giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regola-
mento e coincidono, in linea di massima, con quelli previsti attualmente dal
Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di
terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri,
interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). In particolare:

17. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte
le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi
prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto
prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da
altre richieste o dichiarazioni rivolte all'interessato (art. 7.2), per esempio all'interno di
modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere
comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il
consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre
FONDAMENTI DI LICEITA' DEL TRATTAMENTO RACCOMANDAZIONIRACCOMANDAZIONI
consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre
disposizioni del Codice: artt. 18, 20).

21. Esempio di informativa “stratificata”

22. Modalità per l'esercizio dei diritti
Le modalità per l'esercizio di tutti i diritti da parte degli interessati sono
stabilite, in via generale, negli artt. 11 e 12 del regolamento

23. Modalità per l'esercizio dei diritti
Le modalità per l'esercizio di tutti i diritti da parte degli interessati sono
stabilite, in via generale, negli artt. 11 e 12 del regolamento

28. TRASFERIMENTI DI DATI VERSO PAESI TERZI E ORGANISMI INTERNAZIONALI
viene meno il requisito dell'autorizzazione nazionale
codici di condotta ovvero a schemi di certificazione
fissa i requisiti per l'approvazione delle
norme vincolanti d'impresa e i contenutinorme vincolanti d'impresa e i contenuti
obbligatori di tali norme.
Il regolamento vieta trasferimenti di dati verso titolari o
responsabili in un Paese terzo sulla base di decisioni giudiziarie o
ordinanze amministrative emesse da autorità di tale Paese terzo

31. In cosa consiste un Data breach?
“Confidentiality Breach”
accesso accidentale o
abusivo a dati personali
“Availibility Breach”,
perdita o distruzione
accidentale o non
autorizzata del dato
personale
“Integrity Breach”
alterazione accidentale o
non autorizzata del dato
personale
Fonte: Rapporto Clusit 2018