Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR DAY 2018 - Informativa e Consenso

182 views

Published on

Relatore: Avv. Adriana Augenti, Segretario del Centro Studi Informatica Giuridica (CSIG Bari) e Vice Presidente del Centro Studi Processo Telematico. Data Protection Officer dell’Ordine degli Avvocati di Bari.

Il nuovo Regolamento Europeo per la protezione dei dati personali ha radicalmente modificato, rispetto al vecchio impianto normativo, il modo di intendere l’Informativa – meglio, LE Informative – agli interessati e il Consenso.
Si assiste al proliferarsi di lunghe e cavillose informative, che contengono tutte le basi giuridiche possibili e immaginabili, richieste di accettazione delle informative rese, richieste di consensi anche quando non dovute e, viceversa, assenza della richiesta del consenso quando dovuto.
L’intervento mira a chiarire alcuni punti cardine per la corretta redazione di questi fondamentali strumenti necessari a conferire legittimità al trattamento dei dati personali da parte dei Titolari.

Published in: Law
  • Be the first to comment

GDPR DAY 2018 - Informativa e Consenso

  1. 1. Avv. Adriana Augenti DPO Ordine Avvocati Bari
  2. 2. Il d.lgs. 196/2003 è stato novellato dal d.lgs. 101/2018 del 10 agosto 2018, pubblicato in GU il 4 settembre 2018 ed è entrato in vigore il 19 settembre 2018. Anche quando il d.lgs. 196/2003 non era stato ancora adeguato/sostituito le prescrizioni e le sanzioni previste nel regolamento erano direttamente applicabili I regolamenti sono direttamente applicabili negli Stati membri senza necessità di recepimento per legge. General Data Protection Regulation, GDPR, è un regolamento emesso il 27 aprile 2016 dal Parlamento europeo diventato attuativo il 25 maggio 2018.
  3. 3. L’Unione Europea attraverso questo regolamento ha inteso uniformare il trattamento dei dati personali all’interno degli Stati membri per meglio garantire certezza giuridica, armonizzazione e maggiore semplificazione delle norme sul trattamento e trasferimento dei dati personali Il GDPR si applica a tutti i soggetti (anche extra UE) che offrono servizi ai cittadini
  4. 4. (…) l’attività è svolta da una persona fisica ed ha carattere esclusivamente personale o domestico (…)
  5. 5. Qualsiasi informazione riguardante una persona fisica identificata o identificabile: «interessato»; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come nome, numero di identificazione, dati relativi all'ubicazione, un identificativo on-line ho avuto o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale.
  6. 6. Al fine di trattare dati personali che rivelino l'origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona è necessario il consenso esplicito. Esistono altre eccezioni al trattamento di tali dati: diritto del lavoro; dati resi manifestamente pubblici; finalità mediche o di ricerca medica e archiviazione; sotto la responsabilità di un soggetto tenuto al segreto professionale.
  7. 7. Il trattamento dei dati personali relativi alle condanne penali per reati deve avvenire soltanto sotto il controllo dell'autorità pubblica o se autorizzato dal diritto, sempre che siano previste garanzie appropriate per i diritti e le libertà degli interessati
  8. 8. Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione Ogni TRATTAMENTO deve trovare fondamento in un’idonea base giuridica. Pic by Mike MacKenzie - flickr
  9. 9. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri
  10. 10. SOGGETTI 1 Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (4) 2 Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi (4) 3 Terzo: … che non sia l'interessato, il titolare del trattamento dei dati, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile (4) 4 Contitolare: Sono contitolari del trattamento coloro i quali concorrono a determinare le finalità e i mezzi del trattamento (26) 5 Soggetto autorizzato: … non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri (29)
  11. 11. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento
  12. 12. WHIT GREAT POWER COME GREAT RESPONSABILITY
  13. 13. La TRASPARENZA è un obbligo trasversale la quale si esplica in tre elementi centrali 1. la fornitura agli interessati di informazioni relative al trattamento corretto; 2. le modalità con le quali il titolare del trattamento comunica con gli interessati riguardo i diritti di cui godono ai sensi del regolamento; 3. le modalità con le quali titolare del trattamento agevola gli interessati l'esercizio dei diritti di cui godono.
  14. 14. Il Titolare deve garantire, fra l’altro, l’esercizio dei diritti da parte dell’interessato. In particolare ▪ Diritto di accesso ▪ Diritto di rettifica ▪ Diritto all’oblio ▪ Diritto alla limitazione del trattamento ▪ Diritto alla portabilità ▪ Diritto di opposizione ▪ Diritto dei defunti (art. 2-tredecies nuovo 196/2003)
  15. 15. Le informazioni e le comunicazioni devono ivi comprese devono essere facilmente accessibili e deve essere utilizzato un linguaggio semplice e chiaro Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che riguardano nonché la misura in cui i dati personali sono o saranno trattati. Adriana Augenti
  16. 16. Un TRATTAMENTO si considera lecito quando è fondato su almeno uno di questi presupposti • consenso; • adempimento obblighi contrattuali; • interessi vitali della persona interessata o di terzi; • obblighi di legge cui è soggetto il titolare, • interesse pubblico o esercizio di pubblici poteri; • interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
  17. 17. Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato che manifesta il proprio assenso mediante dichiarazione un'azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento
  18. 18. Può essere revocato. La revoca deve avvenire con la stessa facilità con cui il consenso è stato prestato. L’interessato deve essere informato di questa possibilità prima di prestare il consenso. Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile. Non è ammesso il consenso tacito o presunto Non occorre la forma scritta (ma…) Il Titolare deve essere in grado di dimostrare di aver ricevuto il consenso (7.1)
  19. 19. Il consenso deve essere trattato come una base giuridica residuale in particolar modo quando sussistano altre basi legittime in linea di principio più appropriate. In linea di massima il consenso è escluso come base giuridica in casi nei quali sussiste uno squilibrio di potere tra titolare e interessato, come ad esempio nei rapporti con le autorità pubbliche o con il datore di lavoro
  20. 20. Legge 29 maggio 2017, n. 71
  21. 21. Deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico È consentito l’utilizzo di icone standardizzate UE per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa
  22. 22. Quando i dati vengono raccolti presso l'interessato l'informativa viene data nel momento in cui stesso in cui dati vengono conferiti essa deve contenere tassativamente: a identità i dati di contatto del titolare del trattamento e di eventuali rappresentanti; b i dati di contatto del responsabile della protezione dei dati, ove presente; c le finalità del trattamento cui sono destinati dati personali nonché la base giuridica del trattamento; d di eventuali destinatari dei dati personali;
  23. 23. il periodo di conservazione dei dati; l'esistenza del diritto di accesso rettifica o cancellazione, oltre al diritto alla portabilità dei dati; l'esistenza del diritto di revocare il consenso in qualsiasi momento; il diritto di proporre reclamo a un'autorità di controllo; se il conferimento dei dati derivi da obbligo legale contrattuale; l'esistenza di un processo decisionale automatizzato, compresa la profilazione.
  24. 24. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, deve fornire all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente fra quelle elencate.
  25. 25. Qualora i dati personali non siano stati ottenuti presso l'interessato, nell'informativa, oltre a quanto fin qui detto, dovrà essere indicata la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengono da fonti accessibili al pubblico. Le informazioni dovranno essere fornite all'interessato entro un termine ragionevole, ma più tardi entro un mese. Nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione con l'interessato. Nel caso sia prevista la comunicazione ad un altro destinatario, non oltre la prima comunicazione dei dati personali.
  26. 26. Informativa - disclaimer L' notiz' ind a stu m'ssagg e ind' all'allgat' potn' jes pr'vat' e avonn' a scì asslut a cudd' dà! C' t'azzard a disc' u fatt' a chiddaltr', c' u copiesc', c' u dà a cuddalt' angor', n'tir o nu stezzaridd, c' tu nn zì u c'mpagn' mì ti ha tagghjà l' man, e non n' stà p' nisciun'! (art. 616 c.p. e GDPR) C' non sì tu e sò sbagghjat' je ... meh e scus! Cancidd tutt'quand! Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non Commerciale – Condividi allo stesso modo 4.0 Internazionale. Se vuoi sapere cosa puoi fare/non fare clicca sulla la licenza.

×