SlideShare a Scribd company logo

Gdpr e d.lgs 101/2018

Download as PPTX, PDF
P
Porto4CulturaLegaled

Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018. Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach. Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018

Law
1 of 91
porto4.it CA' FOSCARI CHALLENGE SCHOOL Tecnologie Innovative per l'Empowerment Digitale delle Pubbliche Amministrazioni Cod. 3706-1-1540-2017 REGOLAMENTO GENERALE PROTEZIONE DEI DATI 2016/679/UE- GDPR LE PRIORITA’ PER LE PP.AA. Avv. Giovanni Brancalion Spadon
porto4.it CA' FOSCARI CHALLENGE SCHOOL - come mi chiamo? - qual’è il mio ruolo professionale? - in cosa consiste il mio lavoro? - come credo impatti il GDPR nella mia attività? - come credo possa migliorare/peggiorare la mia attività? - ci sono procedure nuove che devo applicare per l’adeguamento? - quali? sono utili/complesse?
porto4.it SOMMARIO 1. STRUTTURA E PRINCIPI GENERALI DEL GDPR 2. DIRITTI DEGLI INTERESSATI 3. STRUMENTI DI TUTELA E SISTEMA SANZIONATORIO 4. GDPR E SOGGETTI PUBBLICI 5. IL DPO 6. IL REGISTRO DELLE ATTIVITA' DI TRATTAMENTO 7. DATA BREACH
porto4.it Il percorso di applicazione del (nuovo) Reg. 2016/679/UE A - Proposta della Commissione Europea del 25.01.2012 B - Pubblicazione Reg (UE) 2016/679 sulla GUCE del 04.05.2016 C - Entrata in vigore dal 25.05.2016 ( +20 gg dalla pubblicazione in GUCE) D – Legge n. 163 del 25 ottobre 2017, art. 13 delega del Parlamento italiano al Governo per l’emanazione dei decreti legislativi integrativi, modificativi e di coordinamento del Codice Privacy (d.lgs 196/2003) E – Applicazione diretta a decorrere dal 25.05.2018 (art.99) F – D.lgs 101 del 10.8.2018 (Adeguamento della normativa nazionale –Codice Privacy– al Reg. UE 2016/976) G – Pubblicazione d.lgs 101/18 in G.U. il 4.9.2018
porto4.it Duplice finalità Protezione delle persone fisiche con riguardo al trattamento dei dati personali Tutela della libera circolazione dei dati personali per garantire il corretto funzionamento del mercato Bilanciamento tra il diritto delle persone fisiche e il diritto a fare impresa
porto4.it Incidenza del GDPR sulla normativa vigente Il GDPR ha abrogato la c.d. Direttiva “madre” 95/46/CE in materia di protezione dei dati personali Il GDPR non ha abrogato il Codice Privacy (D.Lgs. 196/2003) Il d.lgs 101/2018 ha parzialmente abrogato e integrato il Codice Privacy
porto4.it Aspetti invariati o variati marginalmente • Protezione delle sole persone fisiche • Definizione di “dato personale” • Definizione di “trattamento” • Principi generali per il trattamento dei dati personali • Condizioni di liceità del trattamento (novità: legittimo interesse del titolare o del terzo) • Obbligo di fornire l’informativa (novità: forma e contenuti innovati) • Obbligo di acquisire, soltanto quando necessario, il consenso • Soggetti che effettuano il trattamento (novità: rappresentante del titolare e del responsabile e sub-responsabile)
porto4.it Principali novità • Ambito di applicazione territoriale • Introduzione del principio di responsabilizzazione (c.d. principio di accountability) • Privacy by design / privacy by default • Principio di adeguatezza delle misure tecniche ed organizzative • Valutazione di impatto sulla protezione dei dati personali (DPIA) • Obbligo di tenere il registro delle attività di trattamento • Data Protection Officer (DPO) o Responsabile della Protezione dei dati • Notifica e comunicazione degli eventi di “Data Breach” • Responsabilità civile solidale tra titolare, contitolare e responsabile del trattamento • Nuovo sistema sanzionatorio
porto4.it Ambito di applicazione materiale del GDPR Art. 2, co. 1 “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” Il Gdpr NON SI APPLICA ai trattamenti di dati: • Effettuati per attività riguardanti la sicurezza nazionale • Effettuati dagli Stati Membri nell’esercizio di attività riguardanti la politica estera e di difesa comune (titolo V capo 2 TUE) • Effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico • Effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse
porto4.it Ambito di applicazione territoriale del GDPR Art. 3, co. 1 “Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento (non necessariamente sede legale ma anche organizzazione stabile) di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Art. 3, co. 2 “trattamento effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) L’offerta di beni o la prestazione di servizi agli interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato b) Il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione
porto4.it I soggetti del trattamento RUOLI ATTIVI ❖Titolare e contitolari ❖Responsabile/i e sub- responsabile/i ❖ Rappresentante del titolare e del responsabile ❖Personale dipendente del titolare o del responsabile e collaboratori RUOLI PASSIVI ❖Gli interessati RUOLI DI CONSULENZA, CONTROLLO O COOPERAZIONE ❖ Il responsabile della protezione dei dati personali (DPO) ha un ruolo misto di consulente e sorvegliante
porto4.it I soggetti del trattamento Responsabile di trattamento, contenuto obbligatorio incarico: ➢ Contratto o atto giuridico di nomina con effetto vincolante ➢ Obbligo di rispetto delle istruzioni del Titolare ➢ Impegno alla riservatezza ➢ Rispetto delle misure di sicurezza (art. 32) ➢ Adeguate misure tecniche e organizzative ➢ Cancellazione/restituzione dati alla fine della prestazione di servizio Responsabile interno esterno
porto4.it Principi applicabili al trattamento dei dati personali (art. 5 GDPR artt. 3 e 11 Cod. Privacy) I dati personali sono: a) Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (PRINCIPI DI LICEITA’, CORRETTEZZA e TRASPARENZA) b) Raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (PRINCIPIO DI LIMITAZIONE DELLE FINALITA’) c) Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (PRINCIPIO DI MINIMIZZAZIONE DEI DATI) d) Esatti e, se necessario, aggiornati, oppure rettificati o cancellati (PRINCIPIO DI ESATTEZZA) e) Conservati in una forma che consente l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (PRINCIPIO DI LIMITAZIONE DELLA CONSERVAZIONE)
porto4.it Principi applicabili al trattamento dei dati personali f) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (PRINCIPIO DI INTEGRITA’ e RISERVATEZZA) IL TITOLARE DEL TRATTAMENTO E’ TENUTO AL RISPETTO DI TUTTI I PRINCIPI ELENCATI E DEVE ESSERE IN GRADO DI COMPROVARE LA CONFORMITA’ DEL TRATTAMENTO AGLI STESSI PRINCIPIO DI ACCOUNTABILITY Art. 24 GDPR
porto4.it Principio di responsabilizzazione o accountability Il nuovo quadro normativo è prevalentemente incentrato sui doveri e la responsabilizzazione del titolare del trattamento È il soggetto che determina finalità, mezzi e misure di sicurezza e ha maggiore discrezionalità nel decidere come conformarsi alla normativa, ma ha l’onere di dimostrare le ragioni a supporto delle decisioni e le motivazioni per le quali ritiene che le stesse siano conformi alle previsioni del GDPR
porto4.it …Principio di responsabilizzazione o accountability …CONSIDERANDO 74 GDPR… …CONSIDERANDO 82 GDPR…
Liceità del trattamento basi giuridiche Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (basi giuridiche): a) L’interessato ha espresso il consenso al trattamento dei propri dati personali b) Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte c) Il trattamento è necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento d) Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato e) Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento f) Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Quest’ultima previsione non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti
porto4.it Novità: il legittimo interesse Il trattamento dei dati personali fondato su questa base giuridica (legittimo interesse del titolare del trattamento o di un soggetto terzo) è legittimo a condizione che sia, non solo necessario, ma anche: • Reale e attuale: sia atteso un beneficio in un futuro prossimo • Definito e articolato in modo tale da permettere l’effettuazione del test di bilanciamento con l’interesse o con i diritti fondamentali dell’interessato (soprattutto se minore)
porto4.it Fattori da considerare nell’effettuare il test di bilanciamento • Natura del legittimo interesse • Impatti sull’interessato • Eventuali misure di sicurezza addizionali
porto4.it ….Il legittimo interesse Alcuni esempi di legittimo interesse si rinvengono nei considerando 47, 48, 49 GDPR NOVITA’: IL BILANCIAMENTO DEGLI INTERESSI NON SPETTA ALL’AUTORITA’ GARANTE MA E’ COMPITO DEL TITOLARE STESSO PRINCIPIO DI ACCOUNTABILITY
porto4.it ….Liceità del trattamento Gli Stati Membri possono inoltre mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione del regolamento con riguardo ai trattamenti necessari: • per adempiere un obbligo legale al quale è soggetto il titolare del trattamento • per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento Art.2 ter d.lgs 196/2003 inserito da d.lgs 101/18 Possibile solo con una Legge o un Regolamento; in mancanza e in caso di comunicazione di dati per interesse pubblico è possibile attivare una procedura autorizzativa nei confronti del Garante, il quale avrà 45 gg di tempo per indicare differenti misure di tutela
porto4.it Condizioni per il consenso art. 7 GDPR Se il consenso è l’unica base giuridica, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali La forma della richiesta di consenso deve essere comprensibile, facilmente accessibile ed elaborata con l’impiego di un linguaggio semplice e chiaro
porto4.it …condizioni per il consenso Il consenso è REVOCABILE in qualsiasi momento da parte dell’interessato Nel valutare se il consenso è stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto stesso
porto4.it Il consenso dei minori art. 8 GDPR • > o = 14 anni: il trattamento dei dati personali del minore nell’ambito della rete è lecito se il minore ha almeno 14 anni (d.lgs 101/2018). • < 14 anni: se di età inferiore il consenso deve essere prestato o autorizzato dal titolare della responsabilità genitoriale. • < 18 anni: informativa particolarmente chiara, semplice, esaustiva e facilmente comprensibile (d.lgs 101/2018).
porto4.it I requisiti del consenso Il consenso deve essere: ➢LIBERO ➢SPECIFICO ➢INEQUIVOCABILE ➢ESPRESSO ➢ESPLICITO
porto4.it ….il consenso..... NOVITA’: il consenso non deve essere necessariamente documentato per iscritto né è richiesta la forma scritta (anche se è consigliabile sotto un profilo probatorio) Il titolare deve essere in ogni caso in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento
porto4.it …..il consenso.... Il consenso raccolto prima del 25.05.2018 resta valido se ha tutte le caratteristiche elencate; in caso contrario è opportuno raccogliere nuovamente il consenso I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali ➢Considerando 43 ➢Artt.6 lett e), 9 lett. g) GDPR ➢Artt. 2 ter e sexies Cod. Privacy integrato da d.lgs 101/2018
porto4.it Categorie particolari di dati personali (art. 9 GDPR) E’ vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
porto4.it Eccezioni art 9 co 2 lett a-j) gdpr Possono essere considerate ulteriori basi giuridiche da aggiungere a quelle espressamente previste dall’art. 6 GDPR Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Trattamento dati biometrici art. 2 septies Cod Privacy post d lgs 101/2018: aggiornamento biennale delle misure di sicurezza
porto4.it Dati personali relativi a condanne penali e reati (art. 10 GDPR) Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’art. 6, co. 1, deve avvenire soltanto sotto il controllo dell’Autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’Autorità pubblica. Trattamento di dati giudiziari consentito se autorizzato da norma di legge art 2 octies Codice Privacy post d.lgs 101/2018; lett. i) per la partecipazione a bandi
porto4.it I diritti dell’interessato CONOSCITIVI ▪ Diritto all’informativa (artt. 13 e 14) ▪ Diritto di accesso (art. 15) ▪ Diritto alla comunicazione di una violazione dei dati personali, c.d. data breach (art. 34) DI CONTROLLO ▪ Diritto di rettifica e di integrazione (art. 16) ▪ Diritto alla cancellazione (art. 17) ▪ Diritto alla limitazione (art. 18) ▪ Diritto alla portabilità dei dati personali (art. 20) ▪ Diritto di opposizione (art. 21) ▪ Diritto a non subire decisioni basate unicamente sul trattamento automatizzato (art. 22)
porto4.it Modalità per l’esercizio dei diritti dell’interessato Il Titolare deve adottare misure appropriate per: ➢Fornire all’interessato l’informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro ➢Agevolare l’esercizio dei diritti dell’interessato ➢Fornire all’interessato le informazioni relative all’azione intrapresa entro 1 mese dal ricevimento della richiesta ➢Fornire all’interessato le informazioni richieste gratuitamente, salvo il caso in cui si tratti di richieste manifestamente infondate o eccessive
porto4.it ….i diritti dell’interessato... La violazione delle disposizioni relative ai diritti degli interessati ai sensi degli artt. da 12 a 22 GDPR è soggetta alle sanzioni amministrative pecuniarie di cui all’art. 83, co. 5 lett b) GDPR!
porto4.it L’informativa In caso di raccolta presso l’interessato di dati personali che lo riguardano, il Titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le informazioni indicate all’art. 13, co. 1 e 2 GDPR Qualora i dati personali non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato ulteriori informazioni rispetto a quelle indicate all’art. 13, co. 1 e 2 GDPR, di cui all’art. 14 GDPR (che aggiunge alle informazioni dell’art 13, l’indicazione della fonte dei dati e se sia pubblica)
porto4.it Eccezioni E’ possibile NON fornire l’informativa quando: 1. L’interessato dispone già delle informazioni 2. Comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato 3. L’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dallo Stato membro cui è soggetto il Titolare 4. I dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale o a un obbligo di segretezza previsto per legge
porto4.it Modalità e termini per rendere l’informativa ✓ PER ISCRITTO ✓ FACILE ACCESSIBILE, TRASPARENTE, CONCISA, SEMPLICE, CHIARA ✓ SONO AMMESSE ICONE STANDARDIZZATE ❑Se l’informativa è resa ex art. 13 GDPR deve essere fornita al momento della raccolta dei dati personali ❑Se l’informativa è resa ex art. 14 GDPR deve essere fornita al massimo entro 1 mese dall’ottenimento dei dati personali
porto4.it Novità nei contenuti dell’informativa ➢Dati di contatto del DPO ➢Base giuridica e interesse legittimo ➢Trasferimento dei dati personali verso Paesi extra UE e relativi strumenti di garanzia ➢Periodo di conservazione dei dati o indicazione dei criteri seguiti ➢Diritto di presentare reclamo all’Autorità di controllo ➢Processi decisionali automatizzati, compresa la profilazione
Diritto di accesso (art. 15 GDPR) L’interessato richiede al titolare se sia in corso un trattamento dei dati personali che lo riguardano ➢ È riconosciuto rispetto a qualsiasi trattamento di dati personali ➢ Deve essere indicata l’esistenza di processi decisionali automatizzati ➢ L’esercizio del diritto deve essere a titolo gratuito ➢ Il titolare può rifiutare l’accesso se dimostra che la richiesta dell’interessato è manifestamente infondata o eccessiva ➢ Non sono previste formalità particolari per l’inoltro della richiesta e per la risposta del titolare ➢ Il titolare deve verificare l’identità del richiedente ➢ il titolare deve dare riscontro all’interessato entro il termine di 1 mese ➢ Il rifiuto del titolare deve essere motivato e reso entro 1 mese, con l’indicazione della possibilità di proporre reclamo
porto4.it Diritto di rettifica e di integrazione (art. 16 GDPR) L’interessato ha il diritto di ottenere dal Titolare del trattamento la RETTIFICA dei dati personali INESATTI che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento l’interessato ha il diritto di ottenere l’INTEGRAZIONE dei dati personali INCOMPLETI anche fornendo una dichiarazione integrativa.
porto4.it Diritto alla cancellazione (diritto all’oblio) L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, se sussiste uno dei seguenti motivi: • Dati non più necessari per le finalità dichiarate dal Titolare • Revoca del consenso da parte dell’interessato • Opposizione dell’interessato al trattamento • Illecito trattamento dei dati personali • Cancellazione dei dati personali per adempiere ad un obbligo legale • Illiceità del trattamento per offerta di servizi ad un minore
porto4.it …diritto alla cancellazione... In ipotesi di COMUNICAZIONE/DIFFUSIONE lecita dei dati personali, il Titolare, oltre all’obbligo di cancellazione dei dati, deve anche adottare le misure ragionevoli per informare gli altri titolari del trattamento, che stanno trattando quei medesimi dati, della richiesta di cancellazione pervenuta dall’interessato (analogo per le richieste di rettifica e di limitazione del trattamento)
Eccezioni In alcuni casi NON può essere esercitato il diritto alla cancellazione, in particolare per dati personali il cui trattamento è necessario: ▪ per l’esercizio del diritto alla libertà d’espressione e di informazione ▪ per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento ▪ per finalità sanitarie (art. 9, co. 2, lett. h) e i) GDPR) ▪ a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (art. 89 GDPR) ▪ per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
porto4.it Diritto alla limitazione del trattamento (art. 18 GDPR) Il diritto alla limitazione del trattamento comporta, salva la sola operazione di conservazione, l’INUTILIZZABILITA’ e l’INACCESSIBILITA’ ai dati personali. Può essere esercitato nei seguenti casi: ▪ Contestazione dell’esattezza dei dati ▪ Trattamento illecito e l’interessato si oppone alla cancellazione ▪ Dati non più necessari al titolare del trattamento ma necessari all’interessato per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria ▪ Opposizione dell’interessato al trattamento in attesa della verifica della prevalenza dei motivi legittimi del titolare
porto4.it …diritto alla limitazione del trattamento… I dati conservati a seguito dell’esercizio del diritto di limitazione possono essere trattati nei seguenti casi: ✓Consenso dell’interessato ✓Accertamento, esercizio o difesa di un diritto in sede giudiziaria da parte del titolare o di un terzo ✓Per motivi di rilevante interesse pubblico dell’Unione o di uno Stato membro
porto4.it Diritto alla portabilità dei dati personali (art. 20 GDPR) L’interessato ha il diritto di ricevere dal titolare i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché, se tecnicamente possibile, di ottenere la trasmissione diretta ad altro titolare da lui indicato, qualora il trattamento: ❖ sia basato sul consenso dell’interessato o sia necessario per l’esecuzione di un contratto ❖ sia effettuato con mezzi automatizzati Il diritto alla portabilità dei dati non pregiudica il diritto alla loro cancellazione NON è esercitabile se il trattamento è necessario per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare
porto4.it Scopo del diritto alla portabilità dei dati Lo scopo del diritto alla portabilità dei dati è promuovere il controllo degli interessati sui propri dati personali, facilitando la circolazione degli stessi da un ambiente informatico ad un altro Il titolare ricevente è tenuto all’osservanza di tutti i principi elencati all’art. 5 GDPR sono PORTABILI tutti i dati forniti consapevolmente e attivamente dall’interessato, nonché quelli osservati sulla base della sua attività NON sono PORTABILI tutti i dati personali dedotti o derivati dalla successiva analisi effettuata dal titolare del comportamento dell’interessato
porto4.it Diritto di opposizione al trattamento (art. 21 GDPR) Il diritto di opposizione ha l’effetto di far cessare in via permanente il trattamento di dati personali e può essere esercitato dall’interessato nei seguenti casi: ▪ Trattamento necessario per il perseguimento di un interesse legittimo del titolare, inclusa la conseguente profilazione (soggetti privati) ▪ Trattamento per finalità di marketing diretto e conseguente profilazione ▪ Trattamento per finalità di ricerca scientifica o storica o per finalità statistica Il diritto di opposizione al trattamento deve essere oggetto di una indicazione chiara e specifica nell’informativa all’interessato.
porto4.it Processo decisionale automatizzato (art. 22 GDPR) L’interessato ha il diritto a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Il diritto non è esercitabile se la decisione: - È necessaria per la conclusione/esecuzione di un contratto - È autorizzata da un legge dell’Unione o di uno Stato membro - Si basa sul consenso dell’interessato Salve le ipotesi del consenso e del trattamento necessario per motivi di interesse pubblico, le decisioni automatizzate NON possono basarsi sul trattamento di dati sensibili
porto4.it Limitazione ai diritti dell’interessato Tutti i diritti sino ad ora elencati non possono essere esercitati in caso di conflitto con norme Pubblicistiche in materia di: • Antiriciclaggio • Sostegno alle vittime delle estorsioni • Attività delle Commissioni parlamentari • Finalità di politica monetaria e strumenti di credito e finanziari • Investigazioni difensive o esercizio di diritti in sedi giudiziarie • Whistleblowing • Ragioni di giustizia
porto4.it Sistema sanzionatorio CODICE PRIVACY art.166 post d.lgs 101/18 richiama le sanzioni previste dal GDPR + sanzione accessoria pubblicazione sul sito del Garante + sanzionabilità di autorità pubbliche GDPR ART 83 • Apparato sanzionatorio esplicitamente previsto • Sanzioni effettive, proporzionate e dissuasive
porto4.it Sistema sanzionatorio Sanzioni proporzionate (art 83 comma 2) a) natura, gravità e durata violazione b) carattere doloso/colposo c) misure di attenuazione adottate d) grado di responsabilità e misure tecniche e) violazioni precedenti f) cooperazione con autorità di controllo g) categorie di dati personali coinvolte h) avvenuta/ non avvenuta notifica della violazione i) rispetto di provvedimenti precedentemente disposti j) adesione codici di condotta k) aggravanti / attenuanti
porto4.it Sistema sanzionatorio sanzioni fino a 10.000.000 o 2% fatturato per imprese +autorità pubbliche In caso di violazione di disposizioni in materia di: a) Obblighi del titolare e del responsabile b) Obblighi dell’organismo di certificazione c) Obblighi dell’organismo di monitoraggio dei codici di condotta
porto4.it Sistema sanzionatorio sanzioni fino a 20.000.000 o 4% fatturato per imprese +autorità pubbliche In caso di violazione di disposizioni in materia di: a) Principi base del trattamento (5,6,7,9) b) Diritti degli interessati (12 a 22) c) Trasferimenti transfrontalieri d) Inosservanza dell’ordine di un’Autorità di controllo
porto4.it GDPR e PP.AA. Il GDPR non si sofferma sulla natura pubblica o privata del titolare del trattamento ma sulla tipologia di trattamento che deriva dall’attività svolta dal titolare Il GDPR non prevede una specifica disciplina per il trattamento dei dati personali effettuato dai soggetti pubblici al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, talvolta anche in regime di eccezione rispetto alle regole generali Il GDPR non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico ma si occupa in generale delle condizioni di liceità del trattamento Non c’è differenza tra pubblico e privato
porto4.it …vecchio Cod. Privacy… Cosa prevedeva il Cod. Privacy (D.Lgs. 196/2003) per il trattamento dei dati personali effettuato da parte dei soggetti pubblici?
porto4.it …vecchio Cod. Privacy… Il D.Lgs. 196/2003 prevedeva regole specifiche applicabili ai trattamenti di dati personali effettuati da parte di soggetti pubblici (in particolare Parte I, Titolo III, Capo II, artt. 18-22) Necessità di coordinamento tra i diritti e le libertà dei soggetti dei cui dati si tratta con gli obblighi di trasparenza e di pubblicità delle PP.AA.
porto4.it Art. 18 Vecchio Cod. Privacy Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici: Trattamenti ammessi soltanto per lo svolgimento delle funzioni istituzionali Ad eccezione del settore sanitario, l’istituto del consenso viene menzionato quale elemento distintivo tra titolari privati e titolari pubblici Divieto di comunicazione e di diffusione dei dati personali raccolti
porto4.it Art. 19 Vecchio Cod. Privacy Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari: Regola generale: il trattamento è consentito Comunicazione dei dati ad altri soggetti pubblici: -Se prevista da norma di legge o di regolamento -Se necessaria per lo svolgimento delle funzioni istituzionali Comunicazione dei dati a privati o ad enti pubblici economici: soltanto se prevista da norma di legge o di regolamento Diffusione: soltanto se prevista da norma di legge o di regolamento
porto4.it Art. 21 Vecchio Cod. Privacy Principi applicabili al trattamento dei dati giudiziari Il trattamento è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante con la specifica delle finalità, dei dati trattati e delle operazioni eseguibili (è ammesso anche in questo caso un atto di natura regolamentare per determinare i dati e le operazioni) L’identificazione dei tipi di dati e di operazioni eseguibili deve essere aggiornata e integrata periodicamente!
porto4.it Art. 22 Vecchio Cod. Privacy Principi applicabili al trattamento di dati sensibili e giudiziari: ▪ Impiego di modalità del trattamento volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato ▪ L’informativa deve indicare la normativa che prevede il trattamento ▪ Principio di indispensabilità dei dati sensibili e giudiziari raccolti per lo svolgimento delle attività istituzionali ▪ I dati di, regola, sono raccolti presso l’interessato ▪ Verifica periodica dell’esattezza dei dati e loro aggiornamento ▪ I dati tenuti con strumenti elettronici devono essere trattati con tecniche di cifratura o codici identificativi ▪ I dati relativi allo stato di salute e alla vita sessuale devono essere conservati separatamente dagli altri dati personali ▪ I dati idonei a rivelare lo stato di salute non possono divenire oggetto di diffusione ▪ I dati sensibili e giudiziari non possono essere utilizzati per svolgere test psico-attitudinali
porto4.it Cosa prevede il GDPR con riferimento ai soggetti pubblici?
porto4.it Il GDPR e i soggetti pubblici …..CONSIDERANDO 10….. …..CONSIDERANDO 45….. Il GDPR riserva agli Stati membri un margine di flessibilità per alcune tipologie di trattamento
porto4.it Materie lasciate alla libera determinazione da parte degli Stati membri ✓ dati genetici, dati biometrici o dati relativi alla salute (art. 9.4) art 2 septies nuovo codice privacy ✓ scopi giornalistici o di espressione accademica, artistica o letteraria (art. 85) Titolo XII ✓ accesso del pubblico ai documenti ufficiali (art. 86) Titolo IV ✓ numero di identificazione nazionale (art. 87) ✓ dati nell’ambito del rapporto di lavoro (art.88) Titolo VIII ✓ fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (art. 89) Titolo VII
porto4.it Bilanciamento di interessi …..CONSIDERANDO 4 e 154….. Interessi contrapposti da bilanciare Diritto alla protezione dei dati personali Diritto di accesso ai dati e obblighi di pubblicazione per adempiere agli obblighi di pubblicità legale e trasparenza amministrativa
porto4.it …bilanciamento di interessi… La necessità di bilanciamento degli interessi coinvolti era già prevista dagli artt. 59 e 60 Cod. Privacy • Accesso agli atti (art.59.1) conferma la disciplina ex l.241/90 anche per dati di cui all’art. 9 e 10 GDPR • Accesso civico (art. 59.1 bis) conferma la disciplina ex d.lgs 33/2013 • Correttivo (art.60) x dati sanitari, genetici, sessuali: trattamento consentito se il diritto da tutelare è di rango pari o superiore al diritto dell’interessato
porto4.it Comunicazione e diffusione dei dati Diritto alla protezione dei dati personali Diritto di accesso ai documenti amministrativi Obbligo di pubblicità legale online Obbligo di trasparenza COMUNICAZIONE DEI DATI A TERZI DIFFUSIONE DEI DATI • COMUNICAZIONE a uno o più destinatari • DIFFUSIONE a un numero indeterminato di destinatari
porto4.it Comunicazione e diffusione COMUNICAZIONE: definizione art. 2 ter, co. 4, lett. a) Cod. Priv. Ammessa se prevista da una specifica norma di legge o se necessaria per lo svolgimento di funzioni pubbliche su richiesta al Garante ( 45 gg silenzio assenso) DIFFUSIONE: definizione art. 2 ter, co. 4, lett. b) Cod. Priv. Ammessa esclusivamente se prevista da una specifica norma di legge
porto4.it Diritto di accesso ai documenti amministrativi Fonti normative: • D.Lgs. 33/2013 • Lg. 241/1990 • Artt. 59 e 60 Cod. Privacy Quale base giuridica legittima il trattamento dei dati personali e la comunicazione a terzi soggetti dei dati personali dell’interessato?
porto4.it …diritto di accesso… CONSIDERANDO 154: «L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico» Tra gli stessi presupposti di liceità del trattamento di cui all’art. 6 GDPR si ritrovano: - Lett. c) adempimento di un obbligo legale - Lett. e) esecuzione di un compito di interesse pubblico in queste ipotesi è esclusa la necessità del consenso degli interessati Inoltre, art. 6, co. 2 prevede la possibilità dell’introduzione di disposizioni normative statali specifiche proprio nelle ipotesi di cui alle lettere c) ed e).
porto4.it Diritto di accesso a particolari categorie di dati Tra le eccezioni al divieto generale di trattare categorie particolari di dati personali di cui all’art. 9, co. 1 GDPR, si ritrovano molteplici riferimenti a finalità di interesse pubblico alle lettere f), g), h), i) e j). Quanto al trattamento dei dati di cui all’art. 10 GDPR è ammesso soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
porto4.it Diffusione dei dati personali DIFFUSIONE: definizione art. 2 ter, co. 4, lett. b) Cod. Priv. Si differenzia dalla comunicazione per essere un’attività diretta a dare conoscenza dei dati a una cerchia di soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione È l’attività in cui si sostanzia l’obbligo di pubblicità legale posto in capo alle pubbliche amministrazioni e l’obbligo di trasparenza delle medesime (cfr. D.Lgs. 33/2013 e Lg 69/2009 sulla trasparenza e sul processo di innovazione delle PP.AA)
porto4.it Limitazioni Di rilevanza in materia pubblicistica è altresì l’art. 23 GDPR laddove è prevista la possibilità per il diritto dell’unione o degli Stati membri di limitare la portata degli obblighi e dei diritti previsti dal GDPR qualora si tratti di misure necessarie e proporzionate per salvaguardare finalità di pubblico interesse
porto4.it Novità La principale novità introdotta dal GDPR è il principio di responsabilizzazione (c.d. accountability) che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR) La nuova disciplina impone alle PP.AA. un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento.
porto4.it Adempimenti prioritari Il Garante per la protezione dei dati personali suggerisce alle PP.AA. di avviare con assoluta priorità tre adempimenti: 1. Definizione interna dell’ufficio che si occupa stabilmente dell’adeguamento al GDPR e Designazione del DPO, artt. 37-39 GDPR: il DPO deve essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali e la sua nomina costituisce il fulcro del processo di attuazione del principio di accountability. Il diretto coinvolgimento del DPO in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. Le principali caratteristiche del DPO sono: - la posizione: riferisce direttamente al vertice - l’indipendenza: non riceve istruzioni per quanto riguarda l’esecuzione di suoi compiti - l’autonomia: attribuzione di risorse umane e finanziarie adeguate
porto4.it …adempimenti prioritari… 2. Istituzione del Registro delle attività di trattamento (art. 30 e Cons. 171 GDPR): è essenziale avviare quanto prima la ricognizione e la mappatura dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione. E ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e privacy by default, art. 25), in modo da assicurare la piena conformità dei trattamenti in corso (cons. 171).
…adempimenti prioritari… 3. La notifica delle violazioni dei dati personali (c.d. data breach, artt. 33 e 34): è necessaria la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati nella disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni (30 giorni per riscontrare le richieste di accesso e notifica all’autorità entro 72 ore dal momento in cui il titolare viene a conoscenza della violazione). Nell’ottica del GDPR se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati, senza ingiustificato ritardo, e offrire indicazioni su come intende limitare le possibili conseguenze negative.
porto4.it Data Protection Officer Il GDPR ha previsto l’introduzione obbligatoria del DPO per tutte le pubbliche amministrazioni, ad eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali (artt. 37, 38, 39 e Cons. 97), indipendentemente dai dati oggetto di trattamento (necessità di maggiore tutela per i singoli che hanno un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali L’art. 37, co. 3 GDPR prevede espressamente un’importante facoltà: «Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.»
Funzioni del DPO 1. INFORMZIONE (anche a terzi) E CONSULENZA • PREPARAZIONE PROFESSONALE Il DPO deve avere una conoscenza specialistica della normativa e delle prassi in tema di protezione dei dati personali e deve poter disporre di risorse per la formazione continua • INFORMAZIONE E CONSULENZA INTERNA Il DPO deve garantire la compliance rispetto alla normativa sulla protezione dei dati personali e fornire un parere nel caso fosse necessario procedere con la valutazione d’impatto del trattamento • INFORMZIONE ESTERNA Il DPO deve informare il Garante e gli interessati in ipotesi di data breach; inoltre i dati di contatto del DPO devono essere indicati nell’informativa e devono essere comunicati al Garante
porto4.it …funzioni del DPO… 2. MONITORAGGIO INTERNO Il DPO deve monitorare: - la compliance rispetto alla normativa in tema di protezione dei dati personali - la policy del titolare del trattamento e l’adozione di adeguate misure tecniche e di sicurezza - le attribuzioni di responsabilità ai soggetti attivi nell’attività di trattamento dei dati personali - la sensibilizzazione e la formazione del personale - la valutazione del rischio ed eventualmente il monitoraggio della valutazione d’impatto del trattamento
porto4.it …funzioni del DPO… 3. COOPERAZIONE CON L’AUTORITA’ Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti propri dell’autorità di controllo. Il DPO assume pertanto il ruolo di «facilitatore» (art. 39, lett. d) GDPR).
porto4.it Il DPO e il registro delle attività di trattamento Il GDPR prevede all’art. 30 che sia il titolare o il responsabile del trattamento e non il DPO a tenere il registro delle attività e delle categorie di trattamento. Tuttavia, spesso è il DPO a realizzare l’inventario dei trattamenti e a tenere il registro dei trattamenti sulla base delle informazioni raccolte. L’art. 39 GDPR contiene un elenco non esaustivo dei compiti affidati al DPO, pertanto, è ammissibile che il titolare o il responsabile possano affidare al DPO il compito di tenere il registro delle attività di trattamento pur rimanendone la responsabilità della corretta compilazione in capo al titolare. Il registro può essere considerato come uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del GDPR, informazione e consulenza.
porto4.it Chi è il DPO ➢La funzione del DPO può essere svolta da una singola persona fisica o da un team, purché in quest’ultimo caso una singola persona fisica sia referente ➢Il DPO può essere interno o esterno ➢Non è ammessa la nomina di una pluralità di DPO, deve esserci un unico referente e contatto principale sia per l’autorità di controllo sia per gli interessati
porto4.it Indipendenza nell’ esercizio delle funzioni Il DPO ai sensi dell’art. 38 GDPR: ▪ NON riceve istruzioni ▪ NON può essere penalizzato per l’esercizio delle sue funzioni ▪ NON può trovarsi in posizione di conflitto d’interessi (situazione del tutto incompatibile con la figura del DPO) ▪ NON è valida la nomina a DPO di figure apicali con poteri decisionali in conflitto d’interesse (ad es. direttore IT, direttore marketing, direttore HR)
Risorse necessarie al DPO Il titolare o il responsabile del trattamento devono sostenere il DPO garantendogli: - Supporto attivo per l’esercizio delle funzioni proprie del DPO - Tempo sufficiente per l’espletamento dei compiti affidati - Risorse finanziarie, infrastrutture e, ove necessario, personale - Comunicazione ufficiale della nomina a tutto il personale interno - Accesso garantito ad altri servizi ed uffici interni - Formazione permanente - Eventuale costituzione di un ufficio o di un gruppo di lavoro dedicato
porto4.it Competenza del DPO Il DPO deve possedere una competenza EFFETTIVA e non formale per soli titoli e certificati. CONSIDERANDO 97: «Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare o dal responsabile.» Il DPO dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare (è fondamentale la collaborazione con tecnici informatici) Nel caso di un’autorità pubblica o organismo pubblico, il DPO dovrebbe possedere anche una conoscenza approfondita delle norme e delle procedure amministrative applicabili.
porto4.it Posizione del DPO nella struttura di trattamento ➢Il DPO riferisce direttamente al vertice gerarchico ➢Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali ➢Il DPO deve conoscere la struttura interna del titolare o del responsabile ➢Il DPO deve conoscere le decisioni che il vertice gerarchico intende adottare ➢Il DPO svolge un ruolo di coordinamento tra uffici diversi ➢Il DPO informa e fornisce consulenza anche ai dipendenti ➢In considerazione della sua posizione conoscitiva all’interno della struttura organizzativa, il DPO deve assicurare riservatezza e segreto
porto4.it Responsabilità del DPO La responsabilità per mancata compliance al GDPR resta in capo al titolare del trattamento La responsabilità per mancata predisposizione di misure di sicurezza tecniche e organizzative adeguate al rischio resta in capo al titolare del trattamento e al responsabile Il DPO risponde invece al titolare e al responsabile per inosservanza della funzione di informazione, consulenza, sorveglianza e degli obblighi di informazione a terzi e di collaborazione con il Garante
porto4.it Presupposti per la designazione del DPO 1) SOGGETTI PUBBLICI E’ sempre obbligatoria la nomina del DPO, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali 2) SOGGETTI PRIVATI Il DPO deve essere nominato dal titolare e/o dal responsabile ed è obbligatoria la designazione quando ricorrono 3 parametri: a) tipologia di attività: monitoraggio regolare e sistematico degli interessati e/o trattamento di dati sensibili e giudiziari b) incidenza dell’attività: attività principali (core business) c) volume: su larga scala 3) Il diritto dell’Unione o degli Stati membri può prevedere ulteriori ipotesi di designazione obbligatoria del DPO 4) E’ sempre possibile la designazione del DPO su base volontaria
porto4.it I soggetti pubblici Art. 37, co. 1, lett. a) GDPR: designazione sistematica del DPO in ipotesi di trattamento effettuato da un’autorità pubblica o da un organismo pubblico il GDPR non fornisce la definizione di autorità pubblica o organismo pubblico e ne rimette l’individuazione al diritto nazionale applicabile SONO SOGGETTI PUBBLICI: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del servizio sanitario nazionale, le autorità indipendenti, ecc. NON SONO SOGGETTI PUBBLICI: i privati che esercitano funzioni pubbliche (in qualità, ad es., di concessionari di servizi pubblici come trasporti, forniture idriche ed elettriche, infrastrutture stradali, organismi di disciplina professionale ecc.); in questi casi pur non essendo prevista come obbligatoria la designazione del DPO, è fortemente raccomandata
porto4.it L’atto di designazione del DPO L’atto di designazione del DPO è parte costitutiva dell’adempimento imposto al titolare e al responsabile. Nel caso in cui la scelta del DPO ricada su una professionalità INTERNA all’ente, occorre formalizzare un apposito atto di designazione a «Responsabile della protezione dei dati» In caso di ricorso a soggetti ESTERNI all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, co. 5 GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta del DPO, oltre ad essere indice di trasparenza e buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability.
porto4.it GRAZIE PER L’ATTENZIONE

Recommended

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 

Recommended

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoFrancesco Paolo Micozzi
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR
GDPRGDPR
GDPRPasquale Tarallo
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legaliRoberta Rapicavoli
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali Manuel Salvi
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12Giovanni Maria Riccio
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 

More Related Content

What's hot

Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 

What's hot (13)

Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico Trento
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
GDPR
GDPRGDPR
GDPR
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 

Similar to Gdpr e d.lgs 101/2018

Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali Manuel Salvi
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
Il Dpo alla luce del Regolamento UE 2016/679
Il Dpo alla luce del Regolamento UE 2016/679Il Dpo alla luce del Regolamento UE 2016/679
Il Dpo alla luce del Regolamento UE 2016/679Regola&Arte
 

Similar to Gdpr e d.lgs 101/2018 (20)

Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
Il Dpo alla luce del Regolamento UE 2016/679
Il Dpo alla luce del Regolamento UE 2016/679Il Dpo alla luce del Regolamento UE 2016/679
Il Dpo alla luce del Regolamento UE 2016/679
 

Gdpr e d.lgs 101/2018

  • 1. porto4.it CA' FOSCARI CHALLENGE SCHOOL Tecnologie Innovative per l'Empowerment Digitale delle Pubbliche Amministrazioni Cod. 3706-1-1540-2017 REGOLAMENTO GENERALE PROTEZIONE DEI DATI 2016/679/UE- GDPR LE PRIORITA’ PER LE PP.AA. Avv. Giovanni Brancalion Spadon
  • 2. porto4.it CA' FOSCARI CHALLENGE SCHOOL - come mi chiamo? - qual’è il mio ruolo professionale? - in cosa consiste il mio lavoro? - come credo impatti il GDPR nella mia attività? - come credo possa migliorare/peggiorare la mia attività? - ci sono procedure nuove che devo applicare per l’adeguamento? - quali? sono utili/complesse?
  • 3. porto4.it SOMMARIO 1. STRUTTURA E PRINCIPI GENERALI DEL GDPR 2. DIRITTI DEGLI INTERESSATI 3. STRUMENTI DI TUTELA E SISTEMA SANZIONATORIO 4. GDPR E SOGGETTI PUBBLICI 5. IL DPO 6. IL REGISTRO DELLE ATTIVITA' DI TRATTAMENTO 7. DATA BREACH
  • 4. porto4.it Il percorso di applicazione del (nuovo) Reg. 2016/679/UE A - Proposta della Commissione Europea del 25.01.2012 B - Pubblicazione Reg (UE) 2016/679 sulla GUCE del 04.05.2016 C - Entrata in vigore dal 25.05.2016 ( +20 gg dalla pubblicazione in GUCE) D – Legge n. 163 del 25 ottobre 2017, art. 13 delega del Parlamento italiano al Governo per l’emanazione dei decreti legislativi integrativi, modificativi e di coordinamento del Codice Privacy (d.lgs 196/2003) E – Applicazione diretta a decorrere dal 25.05.2018 (art.99) F – D.lgs 101 del 10.8.2018 (Adeguamento della normativa nazionale –Codice Privacy– al Reg. UE 2016/976) G – Pubblicazione d.lgs 101/18 in G.U. il 4.9.2018
  • 5. porto4.it Duplice finalità Protezione delle persone fisiche con riguardo al trattamento dei dati personali Tutela della libera circolazione dei dati personali per garantire il corretto funzionamento del mercato Bilanciamento tra il diritto delle persone fisiche e il diritto a fare impresa
  • 6. porto4.it Incidenza del GDPR sulla normativa vigente Il GDPR ha abrogato la c.d. Direttiva “madre” 95/46/CE in materia di protezione dei dati personali Il GDPR non ha abrogato il Codice Privacy (D.Lgs. 196/2003) Il d.lgs 101/2018 ha parzialmente abrogato e integrato il Codice Privacy
  • 7. porto4.it Aspetti invariati o variati marginalmente • Protezione delle sole persone fisiche • Definizione di “dato personale” • Definizione di “trattamento” • Principi generali per il trattamento dei dati personali • Condizioni di liceità del trattamento (novità: legittimo interesse del titolare o del terzo) • Obbligo di fornire l’informativa (novità: forma e contenuti innovati) • Obbligo di acquisire, soltanto quando necessario, il consenso • Soggetti che effettuano il trattamento (novità: rappresentante del titolare e del responsabile e sub-responsabile)
  • 8. porto4.it Principali novità • Ambito di applicazione territoriale • Introduzione del principio di responsabilizzazione (c.d. principio di accountability) • Privacy by design / privacy by default • Principio di adeguatezza delle misure tecniche ed organizzative • Valutazione di impatto sulla protezione dei dati personali (DPIA) • Obbligo di tenere il registro delle attività di trattamento • Data Protection Officer (DPO) o Responsabile della Protezione dei dati • Notifica e comunicazione degli eventi di “Data Breach” • Responsabilità civile solidale tra titolare, contitolare e responsabile del trattamento • Nuovo sistema sanzionatorio
  • 9. porto4.it Ambito di applicazione materiale del GDPR Art. 2, co. 1 “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” Il Gdpr NON SI APPLICA ai trattamenti di dati: • Effettuati per attività riguardanti la sicurezza nazionale • Effettuati dagli Stati Membri nell’esercizio di attività riguardanti la politica estera e di difesa comune (titolo V capo 2 TUE) • Effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico • Effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse
  • 10. porto4.it Ambito di applicazione territoriale del GDPR Art. 3, co. 1 “Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento (non necessariamente sede legale ma anche organizzazione stabile) di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Art. 3, co. 2 “trattamento effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) L’offerta di beni o la prestazione di servizi agli interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato b) Il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione
  • 11. porto4.it I soggetti del trattamento RUOLI ATTIVI ❖Titolare e contitolari ❖Responsabile/i e sub- responsabile/i ❖ Rappresentante del titolare e del responsabile ❖Personale dipendente del titolare o del responsabile e collaboratori RUOLI PASSIVI ❖Gli interessati RUOLI DI CONSULENZA, CONTROLLO O COOPERAZIONE ❖ Il responsabile della protezione dei dati personali (DPO) ha un ruolo misto di consulente e sorvegliante
  • 12. porto4.it I soggetti del trattamento Responsabile di trattamento, contenuto obbligatorio incarico: ➢ Contratto o atto giuridico di nomina con effetto vincolante ➢ Obbligo di rispetto delle istruzioni del Titolare ➢ Impegno alla riservatezza ➢ Rispetto delle misure di sicurezza (art. 32) ➢ Adeguate misure tecniche e organizzative ➢ Cancellazione/restituzione dati alla fine della prestazione di servizio Responsabile interno esterno
  • 13. porto4.it Principi applicabili al trattamento dei dati personali (art. 5 GDPR artt. 3 e 11 Cod. Privacy) I dati personali sono: a) Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (PRINCIPI DI LICEITA’, CORRETTEZZA e TRASPARENZA) b) Raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (PRINCIPIO DI LIMITAZIONE DELLE FINALITA’) c) Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (PRINCIPIO DI MINIMIZZAZIONE DEI DATI) d) Esatti e, se necessario, aggiornati, oppure rettificati o cancellati (PRINCIPIO DI ESATTEZZA) e) Conservati in una forma che consente l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (PRINCIPIO DI LIMITAZIONE DELLA CONSERVAZIONE)
  • 14. porto4.it Principi applicabili al trattamento dei dati personali f) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (PRINCIPIO DI INTEGRITA’ e RISERVATEZZA) IL TITOLARE DEL TRATTAMENTO E’ TENUTO AL RISPETTO DI TUTTI I PRINCIPI ELENCATI E DEVE ESSERE IN GRADO DI COMPROVARE LA CONFORMITA’ DEL TRATTAMENTO AGLI STESSI PRINCIPIO DI ACCOUNTABILITY Art. 24 GDPR
  • 15. porto4.it Principio di responsabilizzazione o accountability Il nuovo quadro normativo è prevalentemente incentrato sui doveri e la responsabilizzazione del titolare del trattamento È il soggetto che determina finalità, mezzi e misure di sicurezza e ha maggiore discrezionalità nel decidere come conformarsi alla normativa, ma ha l’onere di dimostrare le ragioni a supporto delle decisioni e le motivazioni per le quali ritiene che le stesse siano conformi alle previsioni del GDPR
  • 17. Liceità del trattamento basi giuridiche Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (basi giuridiche): a) L’interessato ha espresso il consenso al trattamento dei propri dati personali b) Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte c) Il trattamento è necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento d) Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato e) Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento f) Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Quest’ultima previsione non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti
  • 18. porto4.it Novità: il legittimo interesse Il trattamento dei dati personali fondato su questa base giuridica (legittimo interesse del titolare del trattamento o di un soggetto terzo) è legittimo a condizione che sia, non solo necessario, ma anche: • Reale e attuale: sia atteso un beneficio in un futuro prossimo • Definito e articolato in modo tale da permettere l’effettuazione del test di bilanciamento con l’interesse o con i diritti fondamentali dell’interessato (soprattutto se minore)
  • 19. porto4.it Fattori da considerare nell’effettuare il test di bilanciamento • Natura del legittimo interesse • Impatti sull’interessato • Eventuali misure di sicurezza addizionali
  • 20. porto4.it ….Il legittimo interesse Alcuni esempi di legittimo interesse si rinvengono nei considerando 47, 48, 49 GDPR NOVITA’: IL BILANCIAMENTO DEGLI INTERESSI NON SPETTA ALL’AUTORITA’ GARANTE MA E’ COMPITO DEL TITOLARE STESSO PRINCIPIO DI ACCOUNTABILITY
  • 21. porto4.it ….Liceità del trattamento Gli Stati Membri possono inoltre mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione del regolamento con riguardo ai trattamenti necessari: • per adempiere un obbligo legale al quale è soggetto il titolare del trattamento • per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento Art.2 ter d.lgs 196/2003 inserito da d.lgs 101/18 Possibile solo con una Legge o un Regolamento; in mancanza e in caso di comunicazione di dati per interesse pubblico è possibile attivare una procedura autorizzativa nei confronti del Garante, il quale avrà 45 gg di tempo per indicare differenti misure di tutela
  • 22. porto4.it Condizioni per il consenso art. 7 GDPR Se il consenso è l’unica base giuridica, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali La forma della richiesta di consenso deve essere comprensibile, facilmente accessibile ed elaborata con l’impiego di un linguaggio semplice e chiaro
  • 23. porto4.it …condizioni per il consenso Il consenso è REVOCABILE in qualsiasi momento da parte dell’interessato Nel valutare se il consenso è stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto stesso
  • 24. porto4.it Il consenso dei minori art. 8 GDPR • > o = 14 anni: il trattamento dei dati personali del minore nell’ambito della rete è lecito se il minore ha almeno 14 anni (d.lgs 101/2018). • < 14 anni: se di età inferiore il consenso deve essere prestato o autorizzato dal titolare della responsabilità genitoriale. • < 18 anni: informativa particolarmente chiara, semplice, esaustiva e facilmente comprensibile (d.lgs 101/2018).
  • 25. porto4.it I requisiti del consenso Il consenso deve essere: ➢LIBERO ➢SPECIFICO ➢INEQUIVOCABILE ➢ESPRESSO ➢ESPLICITO
  • 26. porto4.it ….il consenso..... NOVITA’: il consenso non deve essere necessariamente documentato per iscritto né è richiesta la forma scritta (anche se è consigliabile sotto un profilo probatorio) Il titolare deve essere in ogni caso in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento
  • 27. porto4.it …..il consenso.... Il consenso raccolto prima del 25.05.2018 resta valido se ha tutte le caratteristiche elencate; in caso contrario è opportuno raccogliere nuovamente il consenso I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali ➢Considerando 43 ➢Artt.6 lett e), 9 lett. g) GDPR ➢Artt. 2 ter e sexies Cod. Privacy integrato da d.lgs 101/2018
  • 28. porto4.it Categorie particolari di dati personali (art. 9 GDPR) E’ vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
  • 29. porto4.it Eccezioni art 9 co 2 lett a-j) gdpr Possono essere considerate ulteriori basi giuridiche da aggiungere a quelle espressamente previste dall’art. 6 GDPR Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Trattamento dati biometrici art. 2 septies Cod Privacy post d lgs 101/2018: aggiornamento biennale delle misure di sicurezza
  • 30. porto4.it Dati personali relativi a condanne penali e reati (art. 10 GDPR) Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’art. 6, co. 1, deve avvenire soltanto sotto il controllo dell’Autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’Autorità pubblica. Trattamento di dati giudiziari consentito se autorizzato da norma di legge art 2 octies Codice Privacy post d.lgs 101/2018; lett. i) per la partecipazione a bandi
  • 31. porto4.it I diritti dell’interessato CONOSCITIVI ▪ Diritto all’informativa (artt. 13 e 14) ▪ Diritto di accesso (art. 15) ▪ Diritto alla comunicazione di una violazione dei dati personali, c.d. data breach (art. 34) DI CONTROLLO ▪ Diritto di rettifica e di integrazione (art. 16) ▪ Diritto alla cancellazione (art. 17) ▪ Diritto alla limitazione (art. 18) ▪ Diritto alla portabilità dei dati personali (art. 20) ▪ Diritto di opposizione (art. 21) ▪ Diritto a non subire decisioni basate unicamente sul trattamento automatizzato (art. 22)
  • 32. porto4.it Modalità per l’esercizio dei diritti dell’interessato Il Titolare deve adottare misure appropriate per: ➢Fornire all’interessato l’informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro ➢Agevolare l’esercizio dei diritti dell’interessato ➢Fornire all’interessato le informazioni relative all’azione intrapresa entro 1 mese dal ricevimento della richiesta ➢Fornire all’interessato le informazioni richieste gratuitamente, salvo il caso in cui si tratti di richieste manifestamente infondate o eccessive
  • 33. porto4.it ….i diritti dell’interessato... La violazione delle disposizioni relative ai diritti degli interessati ai sensi degli artt. da 12 a 22 GDPR è soggetta alle sanzioni amministrative pecuniarie di cui all’art. 83, co. 5 lett b) GDPR!
  • 34. porto4.it L’informativa In caso di raccolta presso l’interessato di dati personali che lo riguardano, il Titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le informazioni indicate all’art. 13, co. 1 e 2 GDPR Qualora i dati personali non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato ulteriori informazioni rispetto a quelle indicate all’art. 13, co. 1 e 2 GDPR, di cui all’art. 14 GDPR (che aggiunge alle informazioni dell’art 13, l’indicazione della fonte dei dati e se sia pubblica)
  • 35. porto4.it Eccezioni E’ possibile NON fornire l’informativa quando: 1. L’interessato dispone già delle informazioni 2. Comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato 3. L’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dallo Stato membro cui è soggetto il Titolare 4. I dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale o a un obbligo di segretezza previsto per legge
  • 36. porto4.it Modalità e termini per rendere l’informativa ✓ PER ISCRITTO ✓ FACILE ACCESSIBILE, TRASPARENTE, CONCISA, SEMPLICE, CHIARA ✓ SONO AMMESSE ICONE STANDARDIZZATE ❑Se l’informativa è resa ex art. 13 GDPR deve essere fornita al momento della raccolta dei dati personali ❑Se l’informativa è resa ex art. 14 GDPR deve essere fornita al massimo entro 1 mese dall’ottenimento dei dati personali
  • 37. porto4.it Novità nei contenuti dell’informativa ➢Dati di contatto del DPO ➢Base giuridica e interesse legittimo ➢Trasferimento dei dati personali verso Paesi extra UE e relativi strumenti di garanzia ➢Periodo di conservazione dei dati o indicazione dei criteri seguiti ➢Diritto di presentare reclamo all’Autorità di controllo ➢Processi decisionali automatizzati, compresa la profilazione
  • 38. Diritto di accesso (art. 15 GDPR) L’interessato richiede al titolare se sia in corso un trattamento dei dati personali che lo riguardano ➢ È riconosciuto rispetto a qualsiasi trattamento di dati personali ➢ Deve essere indicata l’esistenza di processi decisionali automatizzati ➢ L’esercizio del diritto deve essere a titolo gratuito ➢ Il titolare può rifiutare l’accesso se dimostra che la richiesta dell’interessato è manifestamente infondata o eccessiva ➢ Non sono previste formalità particolari per l’inoltro della richiesta e per la risposta del titolare ➢ Il titolare deve verificare l’identità del richiedente ➢ il titolare deve dare riscontro all’interessato entro il termine di 1 mese ➢ Il rifiuto del titolare deve essere motivato e reso entro 1 mese, con l’indicazione della possibilità di proporre reclamo
  • 39. porto4.it Diritto di rettifica e di integrazione (art. 16 GDPR) L’interessato ha il diritto di ottenere dal Titolare del trattamento la RETTIFICA dei dati personali INESATTI che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento l’interessato ha il diritto di ottenere l’INTEGRAZIONE dei dati personali INCOMPLETI anche fornendo una dichiarazione integrativa.
  • 40. porto4.it Diritto alla cancellazione (diritto all’oblio) L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, se sussiste uno dei seguenti motivi: • Dati non più necessari per le finalità dichiarate dal Titolare • Revoca del consenso da parte dell’interessato • Opposizione dell’interessato al trattamento • Illecito trattamento dei dati personali • Cancellazione dei dati personali per adempiere ad un obbligo legale • Illiceità del trattamento per offerta di servizi ad un minore
  • 41. porto4.it …diritto alla cancellazione... In ipotesi di COMUNICAZIONE/DIFFUSIONE lecita dei dati personali, il Titolare, oltre all’obbligo di cancellazione dei dati, deve anche adottare le misure ragionevoli per informare gli altri titolari del trattamento, che stanno trattando quei medesimi dati, della richiesta di cancellazione pervenuta dall’interessato (analogo per le richieste di rettifica e di limitazione del trattamento)
  • 42. Eccezioni In alcuni casi NON può essere esercitato il diritto alla cancellazione, in particolare per dati personali il cui trattamento è necessario: ▪ per l’esercizio del diritto alla libertà d’espressione e di informazione ▪ per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento ▪ per finalità sanitarie (art. 9, co. 2, lett. h) e i) GDPR) ▪ a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (art. 89 GDPR) ▪ per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
  • 43. porto4.it Diritto alla limitazione del trattamento (art. 18 GDPR) Il diritto alla limitazione del trattamento comporta, salva la sola operazione di conservazione, l’INUTILIZZABILITA’ e l’INACCESSIBILITA’ ai dati personali. Può essere esercitato nei seguenti casi: ▪ Contestazione dell’esattezza dei dati ▪ Trattamento illecito e l’interessato si oppone alla cancellazione ▪ Dati non più necessari al titolare del trattamento ma necessari all’interessato per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria ▪ Opposizione dell’interessato al trattamento in attesa della verifica della prevalenza dei motivi legittimi del titolare
  • 44. porto4.it …diritto alla limitazione del trattamento… I dati conservati a seguito dell’esercizio del diritto di limitazione possono essere trattati nei seguenti casi: ✓Consenso dell’interessato ✓Accertamento, esercizio o difesa di un diritto in sede giudiziaria da parte del titolare o di un terzo ✓Per motivi di rilevante interesse pubblico dell’Unione o di uno Stato membro
  • 45. porto4.it Diritto alla portabilità dei dati personali (art. 20 GDPR) L’interessato ha il diritto di ricevere dal titolare i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché, se tecnicamente possibile, di ottenere la trasmissione diretta ad altro titolare da lui indicato, qualora il trattamento: ❖ sia basato sul consenso dell’interessato o sia necessario per l’esecuzione di un contratto ❖ sia effettuato con mezzi automatizzati Il diritto alla portabilità dei dati non pregiudica il diritto alla loro cancellazione NON è esercitabile se il trattamento è necessario per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare
  • 46. porto4.it Scopo del diritto alla portabilità dei dati Lo scopo del diritto alla portabilità dei dati è promuovere il controllo degli interessati sui propri dati personali, facilitando la circolazione degli stessi da un ambiente informatico ad un altro Il titolare ricevente è tenuto all’osservanza di tutti i principi elencati all’art. 5 GDPR sono PORTABILI tutti i dati forniti consapevolmente e attivamente dall’interessato, nonché quelli osservati sulla base della sua attività NON sono PORTABILI tutti i dati personali dedotti o derivati dalla successiva analisi effettuata dal titolare del comportamento dell’interessato
  • 47. porto4.it Diritto di opposizione al trattamento (art. 21 GDPR) Il diritto di opposizione ha l’effetto di far cessare in via permanente il trattamento di dati personali e può essere esercitato dall’interessato nei seguenti casi: ▪ Trattamento necessario per il perseguimento di un interesse legittimo del titolare, inclusa la conseguente profilazione (soggetti privati) ▪ Trattamento per finalità di marketing diretto e conseguente profilazione ▪ Trattamento per finalità di ricerca scientifica o storica o per finalità statistica Il diritto di opposizione al trattamento deve essere oggetto di una indicazione chiara e specifica nell’informativa all’interessato.
  • 48. porto4.it Processo decisionale automatizzato (art. 22 GDPR) L’interessato ha il diritto a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Il diritto non è esercitabile se la decisione: - È necessaria per la conclusione/esecuzione di un contratto - È autorizzata da un legge dell’Unione o di uno Stato membro - Si basa sul consenso dell’interessato Salve le ipotesi del consenso e del trattamento necessario per motivi di interesse pubblico, le decisioni automatizzate NON possono basarsi sul trattamento di dati sensibili
  • 49. porto4.it Limitazione ai diritti dell’interessato Tutti i diritti sino ad ora elencati non possono essere esercitati in caso di conflitto con norme Pubblicistiche in materia di: • Antiriciclaggio • Sostegno alle vittime delle estorsioni • Attività delle Commissioni parlamentari • Finalità di politica monetaria e strumenti di credito e finanziari • Investigazioni difensive o esercizio di diritti in sedi giudiziarie • Whistleblowing • Ragioni di giustizia
  • 50. porto4.it Sistema sanzionatorio CODICE PRIVACY art.166 post d.lgs 101/18 richiama le sanzioni previste dal GDPR + sanzione accessoria pubblicazione sul sito del Garante + sanzionabilità di autorità pubbliche GDPR ART 83 • Apparato sanzionatorio esplicitamente previsto • Sanzioni effettive, proporzionate e dissuasive
  • 51. porto4.it Sistema sanzionatorio Sanzioni proporzionate (art 83 comma 2) a) natura, gravità e durata violazione b) carattere doloso/colposo c) misure di attenuazione adottate d) grado di responsabilità e misure tecniche e) violazioni precedenti f) cooperazione con autorità di controllo g) categorie di dati personali coinvolte h) avvenuta/ non avvenuta notifica della violazione i) rispetto di provvedimenti precedentemente disposti j) adesione codici di condotta k) aggravanti / attenuanti
  • 52. porto4.it Sistema sanzionatorio sanzioni fino a 10.000.000 o 2% fatturato per imprese +autorità pubbliche In caso di violazione di disposizioni in materia di: a) Obblighi del titolare e del responsabile b) Obblighi dell’organismo di certificazione c) Obblighi dell’organismo di monitoraggio dei codici di condotta
  • 53. porto4.it Sistema sanzionatorio sanzioni fino a 20.000.000 o 4% fatturato per imprese +autorità pubbliche In caso di violazione di disposizioni in materia di: a) Principi base del trattamento (5,6,7,9) b) Diritti degli interessati (12 a 22) c) Trasferimenti transfrontalieri d) Inosservanza dell’ordine di un’Autorità di controllo
  • 54. porto4.it GDPR e PP.AA. Il GDPR non si sofferma sulla natura pubblica o privata del titolare del trattamento ma sulla tipologia di trattamento che deriva dall’attività svolta dal titolare Il GDPR non prevede una specifica disciplina per il trattamento dei dati personali effettuato dai soggetti pubblici al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, talvolta anche in regime di eccezione rispetto alle regole generali Il GDPR non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico ma si occupa in generale delle condizioni di liceità del trattamento Non c’è differenza tra pubblico e privato
  • 55. porto4.it …vecchio Cod. Privacy… Cosa prevedeva il Cod. Privacy (D.Lgs. 196/2003) per il trattamento dei dati personali effettuato da parte dei soggetti pubblici?
  • 56. porto4.it …vecchio Cod. Privacy… Il D.Lgs. 196/2003 prevedeva regole specifiche applicabili ai trattamenti di dati personali effettuati da parte di soggetti pubblici (in particolare Parte I, Titolo III, Capo II, artt. 18-22) Necessità di coordinamento tra i diritti e le libertà dei soggetti dei cui dati si tratta con gli obblighi di trasparenza e di pubblicità delle PP.AA.
  • 57. porto4.it Art. 18 Vecchio Cod. Privacy Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici: Trattamenti ammessi soltanto per lo svolgimento delle funzioni istituzionali Ad eccezione del settore sanitario, l’istituto del consenso viene menzionato quale elemento distintivo tra titolari privati e titolari pubblici Divieto di comunicazione e di diffusione dei dati personali raccolti
  • 58. porto4.it Art. 19 Vecchio Cod. Privacy Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari: Regola generale: il trattamento è consentito Comunicazione dei dati ad altri soggetti pubblici: -Se prevista da norma di legge o di regolamento -Se necessaria per lo svolgimento delle funzioni istituzionali Comunicazione dei dati a privati o ad enti pubblici economici: soltanto se prevista da norma di legge o di regolamento Diffusione: soltanto se prevista da norma di legge o di regolamento
  • 59. porto4.it Art. 21 Vecchio Cod. Privacy Principi applicabili al trattamento dei dati giudiziari Il trattamento è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante con la specifica delle finalità, dei dati trattati e delle operazioni eseguibili (è ammesso anche in questo caso un atto di natura regolamentare per determinare i dati e le operazioni) L’identificazione dei tipi di dati e di operazioni eseguibili deve essere aggiornata e integrata periodicamente!
  • 60. porto4.it Art. 22 Vecchio Cod. Privacy Principi applicabili al trattamento di dati sensibili e giudiziari: ▪ Impiego di modalità del trattamento volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato ▪ L’informativa deve indicare la normativa che prevede il trattamento ▪ Principio di indispensabilità dei dati sensibili e giudiziari raccolti per lo svolgimento delle attività istituzionali ▪ I dati di, regola, sono raccolti presso l’interessato ▪ Verifica periodica dell’esattezza dei dati e loro aggiornamento ▪ I dati tenuti con strumenti elettronici devono essere trattati con tecniche di cifratura o codici identificativi ▪ I dati relativi allo stato di salute e alla vita sessuale devono essere conservati separatamente dagli altri dati personali ▪ I dati idonei a rivelare lo stato di salute non possono divenire oggetto di diffusione ▪ I dati sensibili e giudiziari non possono essere utilizzati per svolgere test psico-attitudinali
  • 61. porto4.it Cosa prevede il GDPR con riferimento ai soggetti pubblici?
  • 62. porto4.it Il GDPR e i soggetti pubblici …..CONSIDERANDO 10….. …..CONSIDERANDO 45….. Il GDPR riserva agli Stati membri un margine di flessibilità per alcune tipologie di trattamento
  • 63. porto4.it Materie lasciate alla libera determinazione da parte degli Stati membri ✓ dati genetici, dati biometrici o dati relativi alla salute (art. 9.4) art 2 septies nuovo codice privacy ✓ scopi giornalistici o di espressione accademica, artistica o letteraria (art. 85) Titolo XII ✓ accesso del pubblico ai documenti ufficiali (art. 86) Titolo IV ✓ numero di identificazione nazionale (art. 87) ✓ dati nell’ambito del rapporto di lavoro (art.88) Titolo VIII ✓ fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (art. 89) Titolo VII
  • 64. porto4.it Bilanciamento di interessi …..CONSIDERANDO 4 e 154….. Interessi contrapposti da bilanciare Diritto alla protezione dei dati personali Diritto di accesso ai dati e obblighi di pubblicazione per adempiere agli obblighi di pubblicità legale e trasparenza amministrativa
  • 65. porto4.it …bilanciamento di interessi… La necessità di bilanciamento degli interessi coinvolti era già prevista dagli artt. 59 e 60 Cod. Privacy • Accesso agli atti (art.59.1) conferma la disciplina ex l.241/90 anche per dati di cui all’art. 9 e 10 GDPR • Accesso civico (art. 59.1 bis) conferma la disciplina ex d.lgs 33/2013 • Correttivo (art.60) x dati sanitari, genetici, sessuali: trattamento consentito se il diritto da tutelare è di rango pari o superiore al diritto dell’interessato
  • 66. porto4.it Comunicazione e diffusione dei dati Diritto alla protezione dei dati personali Diritto di accesso ai documenti amministrativi Obbligo di pubblicità legale online Obbligo di trasparenza COMUNICAZIONE DEI DATI A TERZI DIFFUSIONE DEI DATI • COMUNICAZIONE a uno o più destinatari • DIFFUSIONE a un numero indeterminato di destinatari
  • 67. porto4.it Comunicazione e diffusione COMUNICAZIONE: definizione art. 2 ter, co. 4, lett. a) Cod. Priv. Ammessa se prevista da una specifica norma di legge o se necessaria per lo svolgimento di funzioni pubbliche su richiesta al Garante ( 45 gg silenzio assenso) DIFFUSIONE: definizione art. 2 ter, co. 4, lett. b) Cod. Priv. Ammessa esclusivamente se prevista da una specifica norma di legge
  • 68. porto4.it Diritto di accesso ai documenti amministrativi Fonti normative: • D.Lgs. 33/2013 • Lg. 241/1990 • Artt. 59 e 60 Cod. Privacy Quale base giuridica legittima il trattamento dei dati personali e la comunicazione a terzi soggetti dei dati personali dell’interessato?
  • 69. porto4.it …diritto di accesso… CONSIDERANDO 154: «L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico» Tra gli stessi presupposti di liceità del trattamento di cui all’art. 6 GDPR si ritrovano: - Lett. c) adempimento di un obbligo legale - Lett. e) esecuzione di un compito di interesse pubblico in queste ipotesi è esclusa la necessità del consenso degli interessati Inoltre, art. 6, co. 2 prevede la possibilità dell’introduzione di disposizioni normative statali specifiche proprio nelle ipotesi di cui alle lettere c) ed e).
  • 70. porto4.it Diritto di accesso a particolari categorie di dati Tra le eccezioni al divieto generale di trattare categorie particolari di dati personali di cui all’art. 9, co. 1 GDPR, si ritrovano molteplici riferimenti a finalità di interesse pubblico alle lettere f), g), h), i) e j). Quanto al trattamento dei dati di cui all’art. 10 GDPR è ammesso soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
  • 71. porto4.it Diffusione dei dati personali DIFFUSIONE: definizione art. 2 ter, co. 4, lett. b) Cod. Priv. Si differenzia dalla comunicazione per essere un’attività diretta a dare conoscenza dei dati a una cerchia di soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione È l’attività in cui si sostanzia l’obbligo di pubblicità legale posto in capo alle pubbliche amministrazioni e l’obbligo di trasparenza delle medesime (cfr. D.Lgs. 33/2013 e Lg 69/2009 sulla trasparenza e sul processo di innovazione delle PP.AA)
  • 72. porto4.it Limitazioni Di rilevanza in materia pubblicistica è altresì l’art. 23 GDPR laddove è prevista la possibilità per il diritto dell’unione o degli Stati membri di limitare la portata degli obblighi e dei diritti previsti dal GDPR qualora si tratti di misure necessarie e proporzionate per salvaguardare finalità di pubblico interesse
  • 73. porto4.it Novità La principale novità introdotta dal GDPR è il principio di responsabilizzazione (c.d. accountability) che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR) La nuova disciplina impone alle PP.AA. un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento.
  • 74. porto4.it Adempimenti prioritari Il Garante per la protezione dei dati personali suggerisce alle PP.AA. di avviare con assoluta priorità tre adempimenti: 1. Definizione interna dell’ufficio che si occupa stabilmente dell’adeguamento al GDPR e Designazione del DPO, artt. 37-39 GDPR: il DPO deve essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali e la sua nomina costituisce il fulcro del processo di attuazione del principio di accountability. Il diretto coinvolgimento del DPO in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. Le principali caratteristiche del DPO sono: - la posizione: riferisce direttamente al vertice - l’indipendenza: non riceve istruzioni per quanto riguarda l’esecuzione di suoi compiti - l’autonomia: attribuzione di risorse umane e finanziarie adeguate
  • 75. porto4.it …adempimenti prioritari… 2. Istituzione del Registro delle attività di trattamento (art. 30 e Cons. 171 GDPR): è essenziale avviare quanto prima la ricognizione e la mappatura dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione. E ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e privacy by default, art. 25), in modo da assicurare la piena conformità dei trattamenti in corso (cons. 171).
  • 76. …adempimenti prioritari… 3. La notifica delle violazioni dei dati personali (c.d. data breach, artt. 33 e 34): è necessaria la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati nella disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni (30 giorni per riscontrare le richieste di accesso e notifica all’autorità entro 72 ore dal momento in cui il titolare viene a conoscenza della violazione). Nell’ottica del GDPR se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati, senza ingiustificato ritardo, e offrire indicazioni su come intende limitare le possibili conseguenze negative.
  • 77. porto4.it Data Protection Officer Il GDPR ha previsto l’introduzione obbligatoria del DPO per tutte le pubbliche amministrazioni, ad eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali (artt. 37, 38, 39 e Cons. 97), indipendentemente dai dati oggetto di trattamento (necessità di maggiore tutela per i singoli che hanno un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali L’art. 37, co. 3 GDPR prevede espressamente un’importante facoltà: «Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.»
  • 78. Funzioni del DPO 1. INFORMZIONE (anche a terzi) E CONSULENZA • PREPARAZIONE PROFESSONALE Il DPO deve avere una conoscenza specialistica della normativa e delle prassi in tema di protezione dei dati personali e deve poter disporre di risorse per la formazione continua • INFORMAZIONE E CONSULENZA INTERNA Il DPO deve garantire la compliance rispetto alla normativa sulla protezione dei dati personali e fornire un parere nel caso fosse necessario procedere con la valutazione d’impatto del trattamento • INFORMZIONE ESTERNA Il DPO deve informare il Garante e gli interessati in ipotesi di data breach; inoltre i dati di contatto del DPO devono essere indicati nell’informativa e devono essere comunicati al Garante
  • 79. porto4.it …funzioni del DPO… 2. MONITORAGGIO INTERNO Il DPO deve monitorare: - la compliance rispetto alla normativa in tema di protezione dei dati personali - la policy del titolare del trattamento e l’adozione di adeguate misure tecniche e di sicurezza - le attribuzioni di responsabilità ai soggetti attivi nell’attività di trattamento dei dati personali - la sensibilizzazione e la formazione del personale - la valutazione del rischio ed eventualmente il monitoraggio della valutazione d’impatto del trattamento
  • 80. porto4.it …funzioni del DPO… 3. COOPERAZIONE CON L’AUTORITA’ Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti propri dell’autorità di controllo. Il DPO assume pertanto il ruolo di «facilitatore» (art. 39, lett. d) GDPR).
  • 81. porto4.it Il DPO e il registro delle attività di trattamento Il GDPR prevede all’art. 30 che sia il titolare o il responsabile del trattamento e non il DPO a tenere il registro delle attività e delle categorie di trattamento. Tuttavia, spesso è il DPO a realizzare l’inventario dei trattamenti e a tenere il registro dei trattamenti sulla base delle informazioni raccolte. L’art. 39 GDPR contiene un elenco non esaustivo dei compiti affidati al DPO, pertanto, è ammissibile che il titolare o il responsabile possano affidare al DPO il compito di tenere il registro delle attività di trattamento pur rimanendone la responsabilità della corretta compilazione in capo al titolare. Il registro può essere considerato come uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del GDPR, informazione e consulenza.
  • 82. porto4.it Chi è il DPO ➢La funzione del DPO può essere svolta da una singola persona fisica o da un team, purché in quest’ultimo caso una singola persona fisica sia referente ➢Il DPO può essere interno o esterno ➢Non è ammessa la nomina di una pluralità di DPO, deve esserci un unico referente e contatto principale sia per l’autorità di controllo sia per gli interessati
  • 83. porto4.it Indipendenza nell’ esercizio delle funzioni Il DPO ai sensi dell’art. 38 GDPR: ▪ NON riceve istruzioni ▪ NON può essere penalizzato per l’esercizio delle sue funzioni ▪ NON può trovarsi in posizione di conflitto d’interessi (situazione del tutto incompatibile con la figura del DPO) ▪ NON è valida la nomina a DPO di figure apicali con poteri decisionali in conflitto d’interesse (ad es. direttore IT, direttore marketing, direttore HR)
  • 84. Risorse necessarie al DPO Il titolare o il responsabile del trattamento devono sostenere il DPO garantendogli: - Supporto attivo per l’esercizio delle funzioni proprie del DPO - Tempo sufficiente per l’espletamento dei compiti affidati - Risorse finanziarie, infrastrutture e, ove necessario, personale - Comunicazione ufficiale della nomina a tutto il personale interno - Accesso garantito ad altri servizi ed uffici interni - Formazione permanente - Eventuale costituzione di un ufficio o di un gruppo di lavoro dedicato
  • 85. porto4.it Competenza del DPO Il DPO deve possedere una competenza EFFETTIVA e non formale per soli titoli e certificati. CONSIDERANDO 97: «Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare o dal responsabile.» Il DPO dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare (è fondamentale la collaborazione con tecnici informatici) Nel caso di un’autorità pubblica o organismo pubblico, il DPO dovrebbe possedere anche una conoscenza approfondita delle norme e delle procedure amministrative applicabili.
  • 86. porto4.it Posizione del DPO nella struttura di trattamento ➢Il DPO riferisce direttamente al vertice gerarchico ➢Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali ➢Il DPO deve conoscere la struttura interna del titolare o del responsabile ➢Il DPO deve conoscere le decisioni che il vertice gerarchico intende adottare ➢Il DPO svolge un ruolo di coordinamento tra uffici diversi ➢Il DPO informa e fornisce consulenza anche ai dipendenti ➢In considerazione della sua posizione conoscitiva all’interno della struttura organizzativa, il DPO deve assicurare riservatezza e segreto
  • 87. porto4.it Responsabilità del DPO La responsabilità per mancata compliance al GDPR resta in capo al titolare del trattamento La responsabilità per mancata predisposizione di misure di sicurezza tecniche e organizzative adeguate al rischio resta in capo al titolare del trattamento e al responsabile Il DPO risponde invece al titolare e al responsabile per inosservanza della funzione di informazione, consulenza, sorveglianza e degli obblighi di informazione a terzi e di collaborazione con il Garante
  • 88. porto4.it Presupposti per la designazione del DPO 1) SOGGETTI PUBBLICI E’ sempre obbligatoria la nomina del DPO, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali 2) SOGGETTI PRIVATI Il DPO deve essere nominato dal titolare e/o dal responsabile ed è obbligatoria la designazione quando ricorrono 3 parametri: a) tipologia di attività: monitoraggio regolare e sistematico degli interessati e/o trattamento di dati sensibili e giudiziari b) incidenza dell’attività: attività principali (core business) c) volume: su larga scala 3) Il diritto dell’Unione o degli Stati membri può prevedere ulteriori ipotesi di designazione obbligatoria del DPO 4) E’ sempre possibile la designazione del DPO su base volontaria
  • 89. porto4.it I soggetti pubblici Art. 37, co. 1, lett. a) GDPR: designazione sistematica del DPO in ipotesi di trattamento effettuato da un’autorità pubblica o da un organismo pubblico il GDPR non fornisce la definizione di autorità pubblica o organismo pubblico e ne rimette l’individuazione al diritto nazionale applicabile SONO SOGGETTI PUBBLICI: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del servizio sanitario nazionale, le autorità indipendenti, ecc. NON SONO SOGGETTI PUBBLICI: i privati che esercitano funzioni pubbliche (in qualità, ad es., di concessionari di servizi pubblici come trasporti, forniture idriche ed elettriche, infrastrutture stradali, organismi di disciplina professionale ecc.); in questi casi pur non essendo prevista come obbligatoria la designazione del DPO, è fortemente raccomandata
  • 90. porto4.it L’atto di designazione del DPO L’atto di designazione del DPO è parte costitutiva dell’adempimento imposto al titolare e al responsabile. Nel caso in cui la scelta del DPO ricada su una professionalità INTERNA all’ente, occorre formalizzare un apposito atto di designazione a «Responsabile della protezione dei dati» In caso di ricorso a soggetti ESTERNI all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, co. 5 GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta del DPO, oltre ad essere indice di trasparenza e buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability.