SlideShare a Scribd company logo

Il gdpr e le nuove norme sulla privacy

Federico Di Giorgi
Federico Di Giorgi

Vuoi conoscere le ultime novità in materia di privacy e trattamento dati personali? Scarica questa guida, per approfondire in modo dettagliato i principali aspetti legati all'entrata in vigore del GDPR.

Law
1 of 38
Download to read offline
Le nuove regole della Privacy . Regolamento UE sulla protezione dei dati .
Nuova Privacy al via: le opportunità e le sfide. Il 04 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento UE 2016/679 (più comunemente conosciuto con l’acronimo GDPR), relativo alla protezione delle persone fisiche con riferimento al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Questo provvedimento abroga la Direttiva 95/46/Ce. La tutela dei dati personali è riconosciuta diritto fondamentale dei cittadini e dei residenti nel territorio dell’Unione Europea. Da questo principio, è nata l’esigenza di adottare un regolamento avente la medesima efficacia in tutto il territorio UE.
Nuova Privacy al via: le opportunità e le sfide. A partire dal 25 maggio 2018, il nuovo Regolamento 2016/679 si applica al trattamento di dati personali di persone fisiche effettuato da un titolare del trattamento stabilito nel territorio dell’UE o da un titolare non stabilito nel territorio dell’Unione Europea laddove il trattamento riguardi dati di persone residenti nell’UE e, in particolare, l’offerta e la fornitura di beni e servizi a tali soggetti nonché il monitoraggio dei loro comportamenti nell’UE. Pertanto, qualsiasi entità, organizzazione e/o azienda che operi nell’Unione Europea è soggetta al GDPR, a prescindere dal luogo in cui ha la sede principale.
Il contenuto innovativo del GDPR. Il Regolamento contiene alcune disposizioni innovative che disciplinano argomenti quali le cosiddette privacy by design e privacy by default, il diritto all’oblio, il dritto alla portabilità dei dati, il diritto di accesso, di opposizione e di limitazione dei trattamenti, il diritto ad una tutela rafforzata nel caso di trattamenti automatizzati con effetto decisionale senza intervento umano, la nuova figura del DPO (Data Protection Officer), la disciplina del registro delle attività di trattamento, la disciplina relativa ai servizi della società dell’informazione (in particolare i social media) e i minori, un nuovo sistema sanzionatorio.
Il quadro sanzionatorio del GDPR. Tra le novità introdotte dal GDPR, il quadro sanzionatorio rappresenta, per molti, quella di maggior impatto. Lo è, in particolare, poiché prevede che le sanzioni amministrative pecuniarie possono raggiungere i 20 milioni di euro o, se superiore, il 45% del fatturato mondiale. Con riferimento alle sanzioni di carattere penale, è previsto che gli Stati membri possano prevederle ove le ritengano utili come ulteriore strumento di rafforzamento.
La definizione di dato personale. La definizione è fornita dall’articolo 4: “Qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) . Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, genetica, psichica, economica, culturale o sociale.”
La definizione di dato personale. Particolare rilevanza e attenzione è riservata nel Regolamento ai dati sensibili (origine razziale o etnica, le opinioni politiche, le convinzioni religiose, politiche o filosofiche, l’appartenenza sindacale, vita sessuale) e fra questi in particolare ai:  dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della persona fisica, e che risultano in particolare dall’analisi di un campione biologico del soggetto.
La definizione di dato personale.  dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.  dati relativi alla salute: dati personali attinenti alla salute fisica o mentale, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo stato di salute.
L’ambito di applicazione dei dati personali. Per quanto concerne l’ambito di applicazione, il regolamento prevede due diversi criteri:  materiale: riguarda la tipologia del trattamento dei dati ai quali si riferisce il regolamento ovvero: il presente regolamento si applica al trattamento interamente o parzialmente automatizzato dei dati personali e al trattamento automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. ARCHIVIO: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato oppure ripartito in modo funzionale o geografico.
L’ambito di applicazione dei dati personali. Restano esclusi dall’ambito di applicazione del GDPR:  i trattamenti dati che si riferiscono ad attività che non rientrano nell’ambito di applicazione del Diritto dell’Unione Europea.  il trattamento dati effettuato da una persona fisica per attività di carattere personale o domestico.  Il trattamento dati effettuato dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzioni di sanzioni penali.
L’ambito di applicazione dei dati personali.  territoriale: il GDPR si applica al trattamento dei dati personali di interessati che si trovano nell’UE, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; a) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. b) Il regolamento si applica anche al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
L’organigramma della Privacy . Regolamento UE sulla protezione dei dati .
Il Titolare del Trattamento dati. Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Ha l’obbligo di:  mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento  adottare politiche interne conformi al Regolamento  essere in grado di dimostrare che il trattamento è conforme al Regolamento (principio dell’accountability)  essere in grado di dimostrare di avere adottato misure (organizzative e tecniche) adeguate ed efficaci per la protezione dei dati personali.
Il Titolare del Trattamento dati. Il titolare del trattamento decide autonomamente in ordine alle modalità del trattamento dei dati. È possibile anche la contitolarità del trattamento: ciò avviene allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. In questo caso, determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato. L’accordo deve disciplinare in maniera esaustiva i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
Il Responsabile del Trattamento dati. Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Il responsabile è designato dal titolare con un contratto o con altro atto giuridico idoneo a vincolare detta figura nei confronti del titolare. Il suddetto contratto deve necessariamente disciplinare: • la durata, natura e finalità del trattamento • le categorie dei dati oggetto del trattamento • le categorie di interessati • gli obblighi e diritti del titolare • le misure tecniche e organizzative adeguate a consentire il rispetto
Il Responsabile del Trattamento dati. Nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile, è consentita la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento. Il responsabile risponde dell’inadempimento dell’eventuale sub- responsabile; esso è esonerato dalla responsabilità solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
L’Incaricato del Trattamento dati. Sono le persone fisiche che effettuano le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile se è stato nominato) secondo precise istruzioni. Per poter svolgere queste operazioni in maniera lecita, è necessario che il personale chiamato a trattare i dati venga opportunamente designato per iscritto, individuando puntualmente l’ambito di trattamento consentito.
Il Data Protection Officer (DPO). Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento). Ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa.
Quando è obbligatoria la sua nomina? La designazione del DPO è obbligatoria se:  il trattamento è effettuato da un’autorità pubblica o un organismo pubblico (escluse le autorità giurisdizionali nell’esercizio delle loro funzioni),  ovvero le attività principali del Titolare e del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o  le attività principali del Titolare e del Responsabile del trattamento consistono in trattamenti su larga scala di categorie particolari di dati personali (ex “dati sensibili”: idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici e i dati giudiziari).
Quando è obbligatoria la sua nomina? Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:  istituti di credito;  imprese assicurative;  sistemi di informazione creditizia;  società finanziarie;  società di informazioni commerciali;  società di revisione contabile;  società di recupero crediti;  istituti di vigilanza; partiti e movimenti politici;  sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas).
Principi fondamentali
I principi fondamentali applicabili al trattamento dei dati personali. Secondo il dettato normativo, i dati personali devono essere:  trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (liceità, correttezza e trasparenza).  raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità.  adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati).  esatti e se necessario aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati.
I principi fondamentali applicabili al trattamento dei dati personali.  conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati personali possono essere conservati per periodi più lunghi, a condizione che siano trattati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici.  trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche o organizzative adeguate, da trattamenti non autorizzati o illeciti e della perdita, della distruzione o dal danno accidentali.
La Liceità del Trattamento. L’articolo 6 del Regolamento prevede che il trattamento dei dati deve considerarsi lecito qualora ricorrano almeno una delle seguenti condizioni:  l’interessato ha espresso il consenso al trattamento dei propri dati personali, per una o più specifiche finalità;  il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;  il trattamento è necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento;  il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
La Liceità del Trattamento.  il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.  il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedano la protezione dei dati personali, in particolare se l’interessato è minore. Consenso dell’interessato: nell’ipotesi in cui sia richiesto il consenso dell’interessato, si crea un vincolo contrattuale tra il titolare del trattamento e l’interessato stesso, il quale autorizza espressamente il titolare a procedere con il trattamento in parola.
La Correttezza del Trattamento. La correttezza deve riguardare ogni fase del trattamento, da quella d’informazione dell’interessato, a quella di raccolta, trattamento e conservazione dei dati. I dati devono essere esatti e, se necessario, devono essere aggiornati attraverso l’adozione delle misure ragionevoli per cancellare o rettificare i dati inesatti rispetto alle finalità per le quali sono trattati. Per questo, è necessario che gli stessi siano conservati in una forma che consenta l’identificazione degli interessati.
La definizione di Trattamento. Il trattamento è definito come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il trattamento deve avvenire in maniera lecita, corretta e trasparente.
Il consenso al trattamento dei dati. Prima di esprimere il proprio consenso, l’interessato deve essere compiutamente informato delle modalità e finalità di trattamento dei dati. Il consenso deve essere espresso in modo:  libero;  inequivoco;  specifico ( deve riferirsi a un preciso trattamento e non può essere generico ed estendibile a vari possibili trattamenti) con esclusione quindi di forme di consenso tacito o mediante opzioni già preselezionate.
Il consenso al trattamento dei dati. Il consenso al trattamento dati deve essere liberamente espresso e documentato per iscritto (se è stato espresso a voce, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso). E’ anche necessario differenziare il consenso richiesto in base allo specifico trattamento che si vuole effettuare, eventualmente spiegando alla persona interessata quali benefici può avere offrendo il suo assenso al trattamento dei dati.
Il consenso al trattamento dei dati. Il consenso al trattamento dati deve essere liberamente espresso e documentato per iscritto (se è stato espresso a voce, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso). E’ anche necessario differenziare il consenso richiesto in base allo specifico trattamento che si vuole effettuare, eventualmente spiegando alla persona interessata quali benefici può avere offrendo il suo assenso al trattamento dei dati.
L’informativa Privacy. Un’impresa che tratti dati personali deve spiegare agli interessati con un’informativa completa e chiara, le caratteristiche essenziali dei trattamenti effettuati: dove sono stati presi i dati, le finalità e le modalità del trattamento, se i dati debbano o possano essere forniti, i soggetti o le eventuali categorie ai quali i dati personali possono essere comunicati o che possano venirne a conoscenza, nonché il nome di almeno un responsabile del trattamento, qualora designato. L’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione in modo conciso, trasparente, sintetica e comprensibile.
Diritti della persona interessata. I diritti riconosciuti all’interessato sono di diversa natura e, pertanto, possono essere riassunti come segue:  diritto alla trasparenza;  diritto all’informativa;  diritto di accesso ai propri dati;  diritto di rettifica;  diritto all’oblio;  limitazione del trattamento;  diritto alla portabilità dei dati;  diritto di opposizione al trattamento.
Diritto alla trasparenza. L’interessato ha il diritto di:  conoscere e comprendere le finalità per le quali vengono trattati i propri dati personali;  monitorare i propri dati in modo costante, richiedendo informazioni a chi li detiene in qualsiasi momento.  decidere in ogni momento che cosa fare dei propri dati personali.
Diritto di accesso ai propri dati. L’interessato può richiedere in ogni momento al titolare del trattamento se sia in atto un trattamento dei suoi dati personali e, in caso positivo, ha il diritto di ottenere informazioni che riguardano vari aspetti, tra cui:  le finalità del trattamento;  le categorie di dati che sono oggetto di trattamento;  i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;  il periodo di conservazione dei dati personali;  il diritto di chiedere la rettifica o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;  il diritto di proporre reclamo a un’autorità di controllo.
Il diritto all’oblio. Il diritto alla cancellazione prevede la possibilità per l’interessato di chiedere ed ottenere la cancellazione dei propri dati personali in ipotesi specifiche che vengono elencate dallo stesso GDPR, in particolare se ricorre almeno uno di questi motivi:  i dati personali non sono più necessari alle finalità per le quali sono stati raccolti o altrimenti trattati.  l’interessato revoca il consenso su cui si basa il trattamento e non sussista altro fondamento giuridico per il trattamento di quegli stessi dati.
Il diritto alla portabilità. Il diritto alla portabilità riconosce all’interessato la possibilità di chiedere al titolare che tratti i suoi dati di restituire gli stessi (la norma indica testualmente: di riceverli in un formato strutturato, di uso comune e intellegibile da dispositivo automatico) e la possibilità di trasmettere gli stessi ad altro titolare del trattamento. In sostanza si prevede la possibilità per l’interessato di interrompere il trattamento dei propri dati da parte di un titolare e di trasferire gli stessi ad altro soggetto che diventerà, nella pratica, il nuovo titolare.
La violazione dei diritti. Cosa succede qualora l’interessato ritenga di essere vittima di un trattamento illecito di dati personali? Il Regolamento prevede per l’interessato il diritto di rivolgersi al Garante della Privacy mediante:  Reclamo: è un atto formale circostanziato, diretto all’Autorità al fine di segnalare una violazione della disciplina.  Segnalazione: è una richiesta d’intervento al Garante che non necessita di particolari formalità ed è diretta a sollecitare un controllo da parte dell’Autorità stessa.  Ricorso: se l’interessato vuol far valere i diritti di cui all’art. 7 del GDPR ( condizioni per il consenso)

Recommended

GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018Simone Chiarelli
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRMassimiliano Tavella
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018Simone Chiarelli
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018Simone Chiarelli
 

Recommended

GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018Simone Chiarelli
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRMassimiliano Tavella
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018Simone Chiarelli
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018Simone Chiarelli
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptxRoberto Scarafia
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoStefano Corsini
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptxToMa Advanced Biomedical Assays Spa
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliVittorio Pasteris
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 

More Related Content

What's hot

GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018Simone Chiarelli
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptxRoberto Scarafia
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoStefano Corsini
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliVittorio Pasteris
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
 

What's hot (15)

GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarie
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679
 

Similar to Il gdpr e le nuove norme sulla privacy

Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Caterina Claudi
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiRoberto Tuninetti
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 

Similar to Il gdpr e le nuove norme sulla privacy (20)

Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 

More from Federico Di Giorgi

Web Marketing per Parrucchieri
Web Marketing per ParrucchieriWeb Marketing per Parrucchieri
Web Marketing per ParrucchieriFederico Di Giorgi
 
Linkedin 10 consigli per presentarti in modo vincente online
Linkedin 10 consigli per presentarti in modo vincente onlineLinkedin 10 consigli per presentarti in modo vincente online
Linkedin 10 consigli per presentarti in modo vincente onlineFederico Di Giorgi
 
E commerce aspetti normativi e fiscali
E commerce aspetti normativi e fiscaliE commerce aspetti normativi e fiscali
E commerce aspetti normativi e fiscaliFederico Di Giorgi
 
Scrivere landing page di successo.
Scrivere landing page di successo.Scrivere landing page di successo.
Scrivere landing page di successo.Federico Di Giorgi
 
L'Inbound Marketing, la strada per il tuo successo online.
L'Inbound Marketing, la strada per il tuo successo online. L'Inbound Marketing, la strada per il tuo successo online.
L'Inbound Marketing, la strada per il tuo successo online. Federico Di Giorgi
 

More from Federico Di Giorgi (6)

Web Marketing per Parrucchieri
Web Marketing per ParrucchieriWeb Marketing per Parrucchieri
Web Marketing per Parrucchieri
 
Linkedin 10 consigli per presentarti in modo vincente online
Linkedin 10 consigli per presentarti in modo vincente onlineLinkedin 10 consigli per presentarti in modo vincente online
Linkedin 10 consigli per presentarti in modo vincente online
 
Instagram marketing
Instagram marketingInstagram marketing
Instagram marketing
 
E commerce aspetti normativi e fiscali
E commerce aspetti normativi e fiscaliE commerce aspetti normativi e fiscali
E commerce aspetti normativi e fiscali
 
Scrivere landing page di successo.
Scrivere landing page di successo.Scrivere landing page di successo.
Scrivere landing page di successo.
 
L'Inbound Marketing, la strada per il tuo successo online.
L'Inbound Marketing, la strada per il tuo successo online. L'Inbound Marketing, la strada per il tuo successo online.
L'Inbound Marketing, la strada per il tuo successo online.
 

Il gdpr e le nuove norme sulla privacy

  • 1. Le nuove regole della Privacy . Regolamento UE sulla protezione dei dati .
  • 2. Nuova Privacy al via: le opportunità e le sfide. Il 04 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento UE 2016/679 (più comunemente conosciuto con l’acronimo GDPR), relativo alla protezione delle persone fisiche con riferimento al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Questo provvedimento abroga la Direttiva 95/46/Ce. La tutela dei dati personali è riconosciuta diritto fondamentale dei cittadini e dei residenti nel territorio dell’Unione Europea. Da questo principio, è nata l’esigenza di adottare un regolamento avente la medesima efficacia in tutto il territorio UE.
  • 3. Nuova Privacy al via: le opportunità e le sfide. A partire dal 25 maggio 2018, il nuovo Regolamento 2016/679 si applica al trattamento di dati personali di persone fisiche effettuato da un titolare del trattamento stabilito nel territorio dell’UE o da un titolare non stabilito nel territorio dell’Unione Europea laddove il trattamento riguardi dati di persone residenti nell’UE e, in particolare, l’offerta e la fornitura di beni e servizi a tali soggetti nonché il monitoraggio dei loro comportamenti nell’UE. Pertanto, qualsiasi entità, organizzazione e/o azienda che operi nell’Unione Europea è soggetta al GDPR, a prescindere dal luogo in cui ha la sede principale.
  • 4. Il contenuto innovativo del GDPR. Il Regolamento contiene alcune disposizioni innovative che disciplinano argomenti quali le cosiddette privacy by design e privacy by default, il diritto all’oblio, il dritto alla portabilità dei dati, il diritto di accesso, di opposizione e di limitazione dei trattamenti, il diritto ad una tutela rafforzata nel caso di trattamenti automatizzati con effetto decisionale senza intervento umano, la nuova figura del DPO (Data Protection Officer), la disciplina del registro delle attività di trattamento, la disciplina relativa ai servizi della società dell’informazione (in particolare i social media) e i minori, un nuovo sistema sanzionatorio.
  • 5. Il quadro sanzionatorio del GDPR. Tra le novità introdotte dal GDPR, il quadro sanzionatorio rappresenta, per molti, quella di maggior impatto. Lo è, in particolare, poiché prevede che le sanzioni amministrative pecuniarie possono raggiungere i 20 milioni di euro o, se superiore, il 45% del fatturato mondiale. Con riferimento alle sanzioni di carattere penale, è previsto che gli Stati membri possano prevederle ove le ritengano utili come ulteriore strumento di rafforzamento.
  • 6. La definizione di dato personale. La definizione è fornita dall’articolo 4: “Qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) . Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, genetica, psichica, economica, culturale o sociale.”
  • 7.
  • 8. La definizione di dato personale. Particolare rilevanza e attenzione è riservata nel Regolamento ai dati sensibili (origine razziale o etnica, le opinioni politiche, le convinzioni religiose, politiche o filosofiche, l’appartenenza sindacale, vita sessuale) e fra questi in particolare ai:  dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della persona fisica, e che risultano in particolare dall’analisi di un campione biologico del soggetto.
  • 9. La definizione di dato personale.  dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.  dati relativi alla salute: dati personali attinenti alla salute fisica o mentale, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo stato di salute.
  • 10. L’ambito di applicazione dei dati personali. Per quanto concerne l’ambito di applicazione, il regolamento prevede due diversi criteri:  materiale: riguarda la tipologia del trattamento dei dati ai quali si riferisce il regolamento ovvero: il presente regolamento si applica al trattamento interamente o parzialmente automatizzato dei dati personali e al trattamento automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. ARCHIVIO: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato oppure ripartito in modo funzionale o geografico.
  • 11. L’ambito di applicazione dei dati personali. Restano esclusi dall’ambito di applicazione del GDPR:  i trattamenti dati che si riferiscono ad attività che non rientrano nell’ambito di applicazione del Diritto dell’Unione Europea.  il trattamento dati effettuato da una persona fisica per attività di carattere personale o domestico.  Il trattamento dati effettuato dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzioni di sanzioni penali.
  • 12. L’ambito di applicazione dei dati personali.  territoriale: il GDPR si applica al trattamento dei dati personali di interessati che si trovano nell’UE, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; a) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. b) Il regolamento si applica anche al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
  • 13. L’organigramma della Privacy . Regolamento UE sulla protezione dei dati .
  • 14. Il Titolare del Trattamento dati. Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Ha l’obbligo di:  mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento  adottare politiche interne conformi al Regolamento  essere in grado di dimostrare che il trattamento è conforme al Regolamento (principio dell’accountability)  essere in grado di dimostrare di avere adottato misure (organizzative e tecniche) adeguate ed efficaci per la protezione dei dati personali.
  • 15. Il Titolare del Trattamento dati. Il titolare del trattamento decide autonomamente in ordine alle modalità del trattamento dei dati. È possibile anche la contitolarità del trattamento: ciò avviene allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. In questo caso, determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato. L’accordo deve disciplinare in maniera esaustiva i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
  • 16. Il Responsabile del Trattamento dati. Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Il responsabile è designato dal titolare con un contratto o con altro atto giuridico idoneo a vincolare detta figura nei confronti del titolare. Il suddetto contratto deve necessariamente disciplinare: • la durata, natura e finalità del trattamento • le categorie dei dati oggetto del trattamento • le categorie di interessati • gli obblighi e diritti del titolare • le misure tecniche e organizzative adeguate a consentire il rispetto
  • 17. Il Responsabile del Trattamento dati. Nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile, è consentita la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento. Il responsabile risponde dell’inadempimento dell’eventuale sub- responsabile; esso è esonerato dalla responsabilità solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
  • 18. L’Incaricato del Trattamento dati. Sono le persone fisiche che effettuano le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile se è stato nominato) secondo precise istruzioni. Per poter svolgere queste operazioni in maniera lecita, è necessario che il personale chiamato a trattare i dati venga opportunamente designato per iscritto, individuando puntualmente l’ambito di trattamento consentito.
  • 19. Il Data Protection Officer (DPO). Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento). Ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa.
  • 20. Quando è obbligatoria la sua nomina? La designazione del DPO è obbligatoria se:  il trattamento è effettuato da un’autorità pubblica o un organismo pubblico (escluse le autorità giurisdizionali nell’esercizio delle loro funzioni),  ovvero le attività principali del Titolare e del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o  le attività principali del Titolare e del Responsabile del trattamento consistono in trattamenti su larga scala di categorie particolari di dati personali (ex “dati sensibili”: idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici e i dati giudiziari).
  • 21. Quando è obbligatoria la sua nomina? Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:  istituti di credito;  imprese assicurative;  sistemi di informazione creditizia;  società finanziarie;  società di informazioni commerciali;  società di revisione contabile;  società di recupero crediti;  istituti di vigilanza; partiti e movimenti politici;  sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas).
  • 23. I principi fondamentali applicabili al trattamento dei dati personali. Secondo il dettato normativo, i dati personali devono essere:  trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (liceità, correttezza e trasparenza).  raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità.  adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati).  esatti e se necessario aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati.
  • 24. I principi fondamentali applicabili al trattamento dei dati personali.  conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati personali possono essere conservati per periodi più lunghi, a condizione che siano trattati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici.  trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche o organizzative adeguate, da trattamenti non autorizzati o illeciti e della perdita, della distruzione o dal danno accidentali.
  • 25. La Liceità del Trattamento. L’articolo 6 del Regolamento prevede che il trattamento dei dati deve considerarsi lecito qualora ricorrano almeno una delle seguenti condizioni:  l’interessato ha espresso il consenso al trattamento dei propri dati personali, per una o più specifiche finalità;  il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;  il trattamento è necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento;  il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
  • 26. La Liceità del Trattamento.  il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.  il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedano la protezione dei dati personali, in particolare se l’interessato è minore. Consenso dell’interessato: nell’ipotesi in cui sia richiesto il consenso dell’interessato, si crea un vincolo contrattuale tra il titolare del trattamento e l’interessato stesso, il quale autorizza espressamente il titolare a procedere con il trattamento in parola.
  • 27. La Correttezza del Trattamento. La correttezza deve riguardare ogni fase del trattamento, da quella d’informazione dell’interessato, a quella di raccolta, trattamento e conservazione dei dati. I dati devono essere esatti e, se necessario, devono essere aggiornati attraverso l’adozione delle misure ragionevoli per cancellare o rettificare i dati inesatti rispetto alle finalità per le quali sono trattati. Per questo, è necessario che gli stessi siano conservati in una forma che consenta l’identificazione degli interessati.
  • 28. La definizione di Trattamento. Il trattamento è definito come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il trattamento deve avvenire in maniera lecita, corretta e trasparente.
  • 29. Il consenso al trattamento dei dati. Prima di esprimere il proprio consenso, l’interessato deve essere compiutamente informato delle modalità e finalità di trattamento dei dati. Il consenso deve essere espresso in modo:  libero;  inequivoco;  specifico ( deve riferirsi a un preciso trattamento e non può essere generico ed estendibile a vari possibili trattamenti) con esclusione quindi di forme di consenso tacito o mediante opzioni già preselezionate.
  • 30. Il consenso al trattamento dei dati. Il consenso al trattamento dati deve essere liberamente espresso e documentato per iscritto (se è stato espresso a voce, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso). E’ anche necessario differenziare il consenso richiesto in base allo specifico trattamento che si vuole effettuare, eventualmente spiegando alla persona interessata quali benefici può avere offrendo il suo assenso al trattamento dei dati.
  • 31. Il consenso al trattamento dei dati. Il consenso al trattamento dati deve essere liberamente espresso e documentato per iscritto (se è stato espresso a voce, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso). E’ anche necessario differenziare il consenso richiesto in base allo specifico trattamento che si vuole effettuare, eventualmente spiegando alla persona interessata quali benefici può avere offrendo il suo assenso al trattamento dei dati.
  • 32. L’informativa Privacy. Un’impresa che tratti dati personali deve spiegare agli interessati con un’informativa completa e chiara, le caratteristiche essenziali dei trattamenti effettuati: dove sono stati presi i dati, le finalità e le modalità del trattamento, se i dati debbano o possano essere forniti, i soggetti o le eventuali categorie ai quali i dati personali possono essere comunicati o che possano venirne a conoscenza, nonché il nome di almeno un responsabile del trattamento, qualora designato. L’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione in modo conciso, trasparente, sintetica e comprensibile.
  • 33. Diritti della persona interessata. I diritti riconosciuti all’interessato sono di diversa natura e, pertanto, possono essere riassunti come segue:  diritto alla trasparenza;  diritto all’informativa;  diritto di accesso ai propri dati;  diritto di rettifica;  diritto all’oblio;  limitazione del trattamento;  diritto alla portabilità dei dati;  diritto di opposizione al trattamento.
  • 34. Diritto alla trasparenza. L’interessato ha il diritto di:  conoscere e comprendere le finalità per le quali vengono trattati i propri dati personali;  monitorare i propri dati in modo costante, richiedendo informazioni a chi li detiene in qualsiasi momento.  decidere in ogni momento che cosa fare dei propri dati personali.
  • 35. Diritto di accesso ai propri dati. L’interessato può richiedere in ogni momento al titolare del trattamento se sia in atto un trattamento dei suoi dati personali e, in caso positivo, ha il diritto di ottenere informazioni che riguardano vari aspetti, tra cui:  le finalità del trattamento;  le categorie di dati che sono oggetto di trattamento;  i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;  il periodo di conservazione dei dati personali;  il diritto di chiedere la rettifica o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;  il diritto di proporre reclamo a un’autorità di controllo.
  • 36. Il diritto all’oblio. Il diritto alla cancellazione prevede la possibilità per l’interessato di chiedere ed ottenere la cancellazione dei propri dati personali in ipotesi specifiche che vengono elencate dallo stesso GDPR, in particolare se ricorre almeno uno di questi motivi:  i dati personali non sono più necessari alle finalità per le quali sono stati raccolti o altrimenti trattati.  l’interessato revoca il consenso su cui si basa il trattamento e non sussista altro fondamento giuridico per il trattamento di quegli stessi dati.
  • 37. Il diritto alla portabilità. Il diritto alla portabilità riconosce all’interessato la possibilità di chiedere al titolare che tratti i suoi dati di restituire gli stessi (la norma indica testualmente: di riceverli in un formato strutturato, di uso comune e intellegibile da dispositivo automatico) e la possibilità di trasmettere gli stessi ad altro titolare del trattamento. In sostanza si prevede la possibilità per l’interessato di interrompere il trattamento dei propri dati da parte di un titolare e di trasferire gli stessi ad altro soggetto che diventerà, nella pratica, il nuovo titolare.
  • 38. La violazione dei diritti. Cosa succede qualora l’interessato ritenga di essere vittima di un trattamento illecito di dati personali? Il Regolamento prevede per l’interessato il diritto di rivolgersi al Garante della Privacy mediante:  Reclamo: è un atto formale circostanziato, diretto all’Autorità al fine di segnalare una violazione della disciplina.  Segnalazione: è una richiesta d’intervento al Garante che non necessita di particolari formalità ed è diretta a sollecitare un controllo da parte dell’Autorità stessa.  Ricorso: se l’interessato vuol far valere i diritti di cui all’art. 7 del GDPR ( condizioni per il consenso)