Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Privacy e Trattamento dei Dati Personali
1. Privacy e
Trattamento dei dati
Nuovo Regolamento Europeo sul Trattamento dei Dati Personali
e Libera Circolazione delle Informazioni
2. • Definizione e sua importanza
• Diritto alla LibertàCOS’E’ LA PRIVACY
• Le Origini della Privacy
• La Privacy in Europa e in ItaliaCENNI STORICI
•Entrata in vigore
•Oggetto e finalità
•Quadro generale
IL REGOLAMENTO EUROPEO
• Titolare del trattamento
• Responsabile del trattamento
• Incaricato
LE FIGURE COINVOLTE
• Diritto di accesso
• Diritto di rettifica
• Diritto alla cancellazione
I DIRITTI DEGLI INTERESSATI
• Principi per l’applicazione
• Informativa
• Consenso
GLI ADEMPIMENTI PER
L’AZIENZA
• Sanzione amministrativa
• Risarcimento dei danniIL SISTEMA SANZIONATORIO
Di cosa parleremo
Privacy e Trattamento dei dati - Formazione Generale2
• Ambito di applicazione
• Dato Personale e Trattamento
• Interessato
• Responsabile Protezione dei Dati DPO
• Garante della Privacy
• Diritto di limitazione
• Diritto alla portabilità
• Diritto di opposizione (profilazione)
• Sanzioni penali
• Danno di immagine
• Valutazione di Impatto
• Registro dei Trattamenti
• Sicurezza del Trattamento
• Diritto di Proprietà
• L’arrivo del nuovo Regolamento UE
• Conseguenze normative
• Violazione dei Dati
3. Privacy e Trattamento dei dati - Formazione Generale3
Cos’è la Privacy
Prerogativa che ogni individuo ha di decidere in che misura e con che
modalità vuole condividere una parte di sé con gli altri DIRITTO ALLA LIBERTÀ
Potere dell'individuo di controllare la diffusione delle informazioni che lo
riguardano, esercitando il DIRITTO DI PROPRIETÀ sui propri dati personali
DEFINIZIONE
Privacy Riservatezza
4. Privacy e Trattamento dei dati - Formazione Generale4
Cenni Storici
IN EUROPA IN ITALIA
• REGOLAMENTO UE
Riguarda la protezione dei dati delle
Persone fisiche
Esclude i dati delle Persone giuridiche
• DIRETTIVA COMUNICAZIONI ELETTRONICHE
2002/58
Include protezione dei dati delle
Persone fisiche e giuridiche
…marketing, pubblicità, cookie…
• REGOLAMENTO UE
Idem
Idem
• CODICE PRIVACY
In merito alle disposizioni previste nella
Direttiva Comunicazioni 2002/58
(Titolo X e art 130 - Marketing Diretto,
Pubblicità..)
• PROVVEDIMENTI GARANTE (considerando 10)
Per specifiche esigenze nazionali
o Specifico trattamento di categorie particolari
di dati (dati sensibili)
o Disposizioni di leggi settoriali (statuto dei lavoratori)
CONSEGUENZE NORMATIVE
5. Privacy e Trattamento dei dati - Formazione Generale5
PUBBLICATO
IN GUUE
4 MAGGIO2016
ENTRA IN
VIGORE
24 MAGGIO 2016
(20 gg dopo pubblicazione GUUE)
SI APPLICA Dal 25 MAGGIO 2018
(2 anni dopo la pubblicazione GUUE)
2 anni di
tempo per
allinearsi
E’
COMPOSTA
DA
173 Considerando
(prefazioni al Regolamento
ugualmente vincolanti)
99 Articoli
Il Regolamento UE ENTRATA IN VIGORE
6. Privacy e Trattamento dei dati - Formazione Generale6
Il regolamento stabilisce norme relative alla PROTEZIONE DELLE
PERSONE FISICHE con riguardo al trattamento dei dati personali,
nonché norme relative alla libera circolazione di tali dati.
Il regolamento PROTEGGE I DIRITTI E LE LIBERTÀ FONDAMENTALI delle
persone fisiche, in particolare il diritto alla protezione dei dati
personali.
LA LIBERA CIRCOLAZIONE dei dati personali nell'Unione non può essere
limitata né vietata per motivi attinenti alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali.
Il Regolamento UE OGGETTO E FINALITA’
7. Privacy e Trattamento dei dati - Formazione Generale7
• al trattamento interamente o parzialmente automatizzato di dati
personali e al trattamento non automatizzato di dati personali contenuti
in un archivio o destinati a figurarvi.
SI APPLICA
• effettuati per attività che non rientrano nell'ambito di applicazione del
diritto UE;
• effettuati dagli Stati membri nell'esercizio di attività di politica estera e
di sicurezza comune;
• effettuati da una persona fisica per l'esercizio di attività a carattere
ESCLUSIVAMENTE personale o domestico;
• effettuati dalle autorità competenti a fini di prevenzione, indagine,
accertamento o perseguimento di reati o esecuzione di sanzioni penali,
incluse la salvaguardia contro minacce alla sicurezza pubblica e la
prevenzione delle stesse.
NON SI APPLICA ai trattamenti di dati personali:
Il Regolamento UE AMBITO APPLICAZIONE
8. Privacy e Trattamento dei dati - Formazione Generale8
Si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, tramite un
identificativo come:
• il nome,
• un numero di tessera,
• dati relativi all'ubicazione,
• un identificativo online,
• uno o più elementi caratteristici della sua identità fisica, fisiologica,
genetica, psichica, economica, culturale o sociale;
Il Regolamento UE DATO PERSONALE
DATO PERSONALE: qualsiasi informazione riguardante una persona fisica
identificata o identificabile.
DATI
OGGETTIVI:
propri della persona
DATI
SOGGETTIVI:
dati attributi da una persona ad un’altra persona per
profilarla
9. Privacy e Trattamento dei dati - Formazione Generale9
• l’insieme di dati che permette una identificazione dell’interessato
• (nome, indirizzo, telefono, fotografie, email, conto corrente bancario, …)
DATI COMUNI:
• l'origine razziale o etnica
• le opinioni politiche
• le convinzioni religiose o filosofiche
• l'appartenenza sindacale
DATI PARTICOLARI: dati che rivelano
• condanne penali
• reati
DATI PENALI: dati personali relativi a
• informazioni che non possono essere associate ad un interessato identificato o
identificabile, neanche tramite ricostruzione.
A tali dati non si applica il Regolamento UE
DATI ANONIMI:
Il Regolamento UE DATO PERSONALE
•dati genetici
•dati biometrici
•dati relativi alla salute
•dati relativi alla vita o orientamento sessuale
• dati connessi a misure di sicurezza
10. Privacy e Trattamento dei dati - Formazione Generale10
• QUALSIASI operazione o insieme di operazioni, compiute con o
senza l'ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la
conservazione, l'adattamento o la modifica, l'estrazione, la
consultazione, l'uso, la comunicazione mediante trasmissione,
diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l'interconnessione, la limitazione, la cancellazione o la
distruzione.
TRATTAMENTO
Il Regolamento UE TRATTAMENTO
Dalla Raccolta Alla distruzione
11. Privacy e Trattamento dei dati - Formazione Generale11
TITOLARE DEL
TRATTAMENTO
RESPONSABILE DEL
TRATTAMENTO
INCARICATO
INTERESSATO
Le Figure coinvolte
RESPONSABILEDELLA
PROTEZIONEDEIDATI
12. Privacy e Trattamento dei dati - Formazione Generale12
COSA
FARE
SUBITO ?
Revisione e adeguamento
degli INCARICHI per ogni
tipologia di soggetto coinvolto
Revisione e adeguamento
delle ISTRUZIONI da
impartire ad ogni soggetto
coinvolto in base alla propria
mansione e utilizzo di dati
INFORMAZIONE E
FORMAZIONE di tutti i
soggetti che trattano dati per
conto del Titolare del
trattamento
Le Figure coinvolte
13. Privacy e Trattamento dei dati - Formazione Generale13
I Diritti degli Interessati
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
Diritto di limitazione del trattamento
Diritto alla portabilità dei dati
Diritto di opposizione (profilazione)
14. Privacy e Trattamento dei dati - Formazione Generale14
Gli Adempimenti per l’Azienda
• Principi per l’applicazione, Accountability, Privacy by
Design e by DefaultOBBLIGHI GENERALI
• Dichiarazione con cui il Titolare del Trattamento informa
l’InteressatoINFORMATIVA
• La condizione che rende legittimo il trattamento dei dati
da parte del Titolare del TrattamentoCONSENSO
• Valutare preliminarmente l’impatto dei trattamenti sulla
privacyVALUTAZIONE DI IMPATTO
• Tenere un registro dei trattamenti svolti
REGISTRO DEI
TRATTAMENTI
• Garantire la sicurezza dei dati e prevenire i rischi di
danni
SICUREZZA DEL
TRATTAMENTO
• Notifica delle violazioni al Garante e all’interessatoVIOLAZIONE DEI DATI
15. Privacy e Trattamento dei dati - Formazione Generale15
PRINCIPI PER L’APPLICAZIONE
LICEITÀ
TRASPARENZA
PROPORZIONALITÀ
CORRETTEZZA
CONSERVAZIONE
SICUREZZA
RESPONSABILITA’
il Titolare del
Trattamento
è competente per il
RISPETTO DEI PRINCIPI
e deve essere IN
GRADO DI
COMPROVARLO
Gli Adempimenti
16. Privacy e Trattamento dei dati - Formazione Generale16
COSA
FARE
SUBITO ?
Revisione e
ADEGUAMENTO
DELLE INFORMATIVE
presenti in azienda
* Completezza dei contenuti
* Finalità perseguite
* Effettiva emissione in tutte
le piattaforme
INFORMATIVAGli Adempimenti
17. Privacy e Trattamento dei dati - Formazione Generale17
COSA
FARE
SUBITO ?
Revisione dei DATI
PERSONALI TRATTATI
presenti in azienda
Richiesta dei
CONSENSI SUDDIVISI
PER FINALITÀ per
poter trattare i dati
in maniera liceità
CONSENSOGli Adempimenti
18. Privacy e Trattamento dei dati - Formazione Generale18
• Garantire la sicurezza dei dati e prevenire rischi di danni agli Interessati
FINALITA’ (art. 32)
• Titolare
• Responsabile
• Incaricato
DESTINATARI DELLA NORMA
• TITOLARE E RESPONSABILE
• Individuare e adottare le Misure di Sicurezza
• Fornire agli Incaricati istruzioni/formazione al riguardo
• Vigilare su efficacia
• INCARICATI
• Trattare i dati secondo le istruzioni ricevute
• Comportamento consapevole dei rischi
RESPONSABILITA’
SICUREZZA DEL TRATTAMENTOGli Adempimenti
19. Privacy e Trattamento dei dati - Formazione Generale19
• a Terzi: visitatori, agenti ..
• a Colleghi: sono autorizzati a trattare solo i dati essenziali allo svolgimento del
mansionario che gli è stato attribuito
Prevenire illecita divulgazione
• Segretezza e robustezza Password, utilizzo PIN
• Screen saver, Firewall
• Cloud, Newsletter e Webmarketing
• Controllo e custodia degli strumenti (chiavette usb, smatphone, tablet ..)
• Backup
Proteggere dati vs strumenti
• Politica della scrivania pulita
• Distanze di cortesia/ Open Space/Aree chiuse
• Presidio Stampanti, Copiatrici, Fax …
• Separazione dati sensibili da dati comuni
• Distruggi documenti
• Impianti di Videosorveglianza / geolocalizzazione
Proteggere dati vs luoghi/acquisizioni involontarie
SICUREZZA DEL TRATTAMENTOGli Adempimenti
COMPORTAMENTO DEGLI INCARICATI
20. Privacy e Trattamento dei dati - Formazione Generale20
COSA
FARE
SUBITO ?
VALUTAZIONE DI IMPATTO
• Relativo agli strumenti
• Relativo al contesto
• Relativo al comportamento
ADOTTARE MISURE A
CONTRASTO DEI RISCHI
• garanzia di disponibilità dei dati
• integrità dei dati
• riservatezza dei dati
• resilienza dei sistemi e dei servizi
• uso di pseudonomi e cifratura dei dati
• ripristino tempestivo in caso di
incidente
EFFETTUARE TEST DI EFFICACIA
Gli Adempimenti
21. Privacy e Trattamento dei dati - Formazione Generale21
COSA
FARE
SUBITO ?
VERIFICA DELLE ISTRUZIONI
FORNITE AGLI INCARICATI
CONTROLLO DEI PARAMETRI DI
SICUREZZA NELLA
STRUMENTAZIONE UTILIZZATA
VERIFICA DI IDONEA
SEGNALETICA NELLE AREE DI
LAVORO
FORMAZIONE DEGLI
INCARICATI
SICUREZZA DEL TRATTAMENTOGli Adempimenti
22. Privacy e Trattamento dei dati - Formazione Generale22
Il Sistema Sanzionatorio LE VIOLAZIONI
SANZIONE AMMINISTRATIVA
RISARCIMENTO DANNI
SANZIONI PENALI
DANNO DI IMMAGINE
23. Privacy e Trattamento dei dati - Formazione Generale23
OTTICA DA
PERSEGUIRE
Gli Adempimenti
Proteggere i
dati personali
come sicurezza
del patrimonio
aziendale
24. Privacy e
Trattamento dei dati
Nuovo Regolamento Europeo sul Trattamento dei Dati Personali
e Libera Circolazione delle Informazioni
Grazie per
l’attenzione
Sede legale ed amministrativa
Via P. Gobetti, 1/A - Fraz. San Michele al Fiume
61040 Mondavio (PU)
Tel. 0721.987027 Fax 0721.987811 Cell 393.9377723
E-mail: info@gecoconsulting.it Web: www.gecoconsulting.it
Editor's Notes
Cercheremo di capire cos’è il diritto alla privacy, come deve essere tutelato e quali ripercussioni ha nell’azienda sia in positivo (come valore) che in negativo (come adempimento)
Il compito è quello di sensibilizzare i Titolari del trattamento all’uso corretto e consapevole dei dati personali riferiti alle persone
Quando si parla di privacy si fa rifermento alla riservatezza
Diritto di decidere che informazioni dare
Diritto di controllo di cosa sai di me
Uomo di piombo > Uomo di vetro = Ognuno ha diritto di manifestarsi come vuole
Nel corso degli anni si è sviluppata la necessità di stabilire un sistema giuridico che tenesse questo nuovo diritto.
28 il numero dei paesi membri della UE
a) fuori dall’ambito della UE
b) TITOLO V — Disposizioni relative alla politica estera e di sicurezza comune 2. Gli Stati membri sostengono attivamente e senza riserve la politica estera e di sicurezza
dell'Unione in uno spirito di lealtà e di solidarietà reciproca. — rafforzamento della sicurezza dell'Unione in tutte le sue forme,
Dati oggettivi (propri della persona) Es: nome, indirizzo, voce, fotografie, email
Dati soggettivi (dati attributi da una persona ad un’altra persona per catalogarla) Es: responsabile del personale che valuta un curriculum facendo una relazione scritta) esempio nel caso in cui facciamo un incidente: il medico da una sua valutazione, il perito dell’assicurazione da un’altra valutazione
CATEGORIE DI DATI PERSONALI
DATI GENETICI: che risultano da una particolare analisi di un campione biologico (dna, possono rivelare lo stato di salute o l’origine etnica)
DATI BIOMETRICI: caratteristiche fisiche, fisiologiche, comportamentali della persona (iride, impronte digitali)
Interessato deve avere un controllo totale sui propri dati personali, quindi gli vengono garantiti una serie di diritti personale a cui il Titolare del Trattamento non puo’ opporsi
ACCOUNTABILITY = dare evidenza
PRIVACY BY DESIGN E BY DEFAULT = Privacy & Sicurezza garantite come impostazione predefinita nel disegno del prodotto/servizio fornito già in fase di progettazione iniziale
VALUTAZIONE DI IMPATTO = È paragonabile al DVR Valutazione dei Rischi per la sicurezza
Revisione e adeguamento delle INFORMATIVE presenti in azienda se contengono tutti i requisiti minimi e contengono
Pluralità di informative: Informativa generale, informativa cookyes, informativa sito web …
Impianti di Videosorveglianza = ottenere le opportune autorizzazioni Direzione Territoriale Lavoro / Ministero del Lavoro / Autorizzazioni sindacali
RESILIENZA indica la proprietà di conservare la propria struttura o di riacquistare la forma originaria dopo essere stati sottoposti a schiacciamento o deformazione.
RESILIENZA indica la proprietà di conservare la propria struttura o di riacquistare la forma originaria dopo essere stati sottoposti a schiacciamento o deformazione.