1. 20/10/2022
Introduzione alla Protezione dei Dati Personali
Ing. Raffaele Esposito
Di cosa parleremo
• Perché tutelare i dati personali
• Cenni all’evoluzione del contesto normativo
• I dati personali
• Le figure coinvolte
• I 3 pilastri della Data Protection
• I principali adempimenti
• Aggiornamento delle “Informative”
• La protezione dati a scuola
Formazione in materia di protezione dei dati
personali - Ing. Esposito
2
2. 20/10/2022
I dati personali di chi?
• Parleremo di Dati delle Persone Fisiche e delle normative vigenti a loro
tutela.
▫ Dati Anagrafici (indirizzi, telefoni, etc.)
▫ Dati Sanitari (certif. medici, diagnosi funzionali, etc.)
▫ Dati Giudiziari (divorzi, affidamenti esclusivi etc.)
▫ Dati Patrimoniali (stipendi, compensi accessori etc.)
▫ Dati Scolastici (voti, giudizi, presenze etc.)
• Tutti i dati hanno la caratteristica di appartenere ad una persona fisica
(Dipendente, fornitore, cliente, studente, docente, etc.)…
3
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Perché bisogna tutelare i DP?
• EVOLUZIONE TECNOLOGICA
(milioni di dati su una semplice chiavetta o su un file)
• GLOBALIZZAZIONE
(ormai gli scambi commerciali non hanno più limiti geografici)
• hanno un rilevante valore economico e quindi
TUTTI LI VOGLIONO!!
4
Formazione in materia di protezione dei dati
personali - Ing. Esposito
3. 20/10/2022
Perché bisogna tutelare i DP?
• La protezione dei dati di carattere personale delle persone
fisiche è da oltre 20 anni, secondo i nostri ordinamenti statali,
un diritto fondamentale dell’individuo!
5
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Perché la necessità di conoscere le origini della protezione
dei dati
• Per capire «da dove veniamo»
• Per non avere una visione «burocratica» della protezione dei dati ma
coglierne l’essenza (diritto fondamentale)
• Per orientare e rendere consapevole/efficace l’azione degli incaricati al
trattamento
Formazione in materia di protezione dei dati
personali - Ing. Esposito
6
4. 20/10/2022
Il concetto di riservatezza
• Norme di «riservatezza» sono sempre esistite (Ippocrate, IV sec. a.C.):
▫ Nei secoli si espandono i doveri di riservatezza «professionale» (avvocati,
banchieri, ministri di culto, ecc.)
▫ Diritto di escludere dall'altrui conoscenza quanto attiene alla propria vita
privata (bene del singolo, ma con ripercussioni sulla collettività:
In assenza di riservatezza chilling effect sull’esercizio di diritti/libertà (riluttanza
e la refrattarietà ad esercitare un proprio diritto per paura)
Formazione in materia di protezione dei dati
personali - Ing. Esposito
7
Un ventennio di norme…
8
Formazione in materia di protezione dei dati
personali - Ing. Esposito
5. 20/10/2022
Un po’ di storia…
• In tutta la legislazione in materia di dati personali degli ultimi 25 anni
circa, il vero elemento di novità è rappresentato dalla presa d’atto che i
dati, oltre ad essere contenuti in polverosi documenti cartacei, possono
essere trattati mediante
STRUMENTI INFORMATICI
9
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Un ventennio di norme…
• Legge 675/1996
figlia della Direttiva UE del 1995 che ha dato vita a 27 figli «diversi tra loro» rendendo la materia incoerente.
(Abrogato dal Codice della Privacy)
• Carta europea dei diritti fondamentali (Nizza - 2000, giuridicamente vincolante nell’UE con trattato di Lisbona -
2009)
Rispetto della vita privata e della vita familiare e diritto alla Protezione dei dati di carattere personale
• Decreto Legislativo 196/2003
segue una Direttiva UE del 2002, detto anche «Codice della Privacy», attualmente in vigore è un buon testo che
fornisce una visione più integrata della materia (rivisitato e con molti articoli abrogati con il D.lgs. n. 101/2018)
• Regolamento Europeo 679/2016
è l’ultimo arrivato, all’insegna della unificazione legislativa europea
(Entrato in vigore il 25 Maggio 2018)
10
Formazione in materia di protezione dei dati
personali - Ing. Esposito
6. 20/10/2022
Cos’è un «Regolamento UE» ?
• Regolamento dell’Unione Europea
▫ È un atto di diritto dell’Unione Europea di portata generale.
▫ È obbligatorio in tutti i suoi elementi e direttamente applicabile in
ciascuno degli Stati membri.
• Significa che il regolamento 679/2016 non avrebbe avuto bisogno di una
legge italiana che lo ratificasse perché perfettamente applicabile dal 2016;
• Il Legislatore italiano però ha integrato ed adeguato il Codice in materia di
protezione dei dati personali (d.lgs. 196/2003) alle disposizioni
del Regolamento (UE) 2016/679 con il:
D.lgs. 101/2018 (10/08/18)
11
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Il Regolamento UE 2016/679
• Entra in vigore dopo 2 anni, tempo necessario perché potesse essere recepita dagli Stati
membri (25 Maggio 2018);
• 2 anni necessario per l’allineamento fra la normativa nazionale in materia di protezione dati e
le disposizioni del Regolamento;
• Oltre ai Soggetti economici stabiliti nell’Unione Europea si applica al trattamento dei dati
personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o
da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di
trattamento riguardano:
▫ l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione,
indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
▫ il monitoraggio del loro comportamento (abitudini di consumo e gusti personali:
Profilazione) nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
12
Formazione in materia di protezione dei dati
personali - Ing. Esposito
7. 20/10/2022
Cos’è la profilazione?
• Si intende il processo di automatizzazione del trattamento dei dati:
l’attività di raccolta ed elaborazione dei dati relativi agli utenti di un
servizio, al fine di suddividerli in gruppi a seconda delle loro preferenze.
Questi gruppi vengono chiamati tecnicamente “Cluster”.
• quando ci viene proposta una pubblicità comportamentale:
ad es. viene inserita una locandina pubblicitaria a margine di un sito web
relativa ad un servizio che precedentemente avevamo ricercato.
Formazione in materia di protezione dei dati
personali - Ing. Esposito
13
La profilazione: scopi commerciali
Formazione in materia di protezione dei dati
personali - Ing. Esposito
14
8. 20/10/2022
Cos’è successo in questo caso?
• Attraverso un’attività di profilazione, è stato rilevato il bisogno espresso
di un utente di ottenere un determinato servizio/prodotto e, quindi, il
dato è stato elaborato al fine di riproporre tale pubblicità in una
successiva ricerca.
• Consiglio? Modificare impostazioni Account Google
(sezione ”Personalizzazione annunci”: disattivare)
• Il GDPR vieta in via generale l’attività di profilazione
• Eccezioni: consenso esplicito dell’interessato
Formazione in materia di protezione dei dati
personali - Ing. Esposito
15
E tutti noi coi nostri device?
• Il Regolamento non si applica ai trattamenti di dati personali
effettuati da una persona fisica per l’esercizio di attività a carattere
esclusivamente personale o domestico!
• Attenzione: rischio richieste risarcimento danni!
16
Formazione in materia di protezione dei dati
personali - Ing. Esposito
9. 20/10/2022
Cos’è un “dato personale”?
• «Dato personale» è:
qualsiasi informazione riguardante una persona fisica identificata o
identificabile («Interessato»);
17
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Ci sono dati e dati…
• Una volta stabilito che un’Informazione è un dato personale, dobbiamo individuare
la sua categoria di appartenenza, ovvero chiederci se rientra nella categoria dei:
▫ Dati personali comuni
▫ Dati personali particolari
▫ Dati personali giudiziari
• Perché mai?
Perché a ciascuna categoria, GDPR e Provvedimenti del Garante riservano:
▫ modalità di trattamento e
▫ profili relativi alla sicurezza differenti.
18
Formazione in materia di protezione dei dati
personali - Ing. Esposito
10. 20/10/2022
I dati personali di tipo comune
• Sono definiti per esclusione, ovvero:
sono tutti i dati personali diversi da quelli particolari o giudiziari.
• Esempi di dati personali comuni sono i dati anagrafici relativi a una
persona fisica (nominativo, indirizzo, partita iva, codice fiscale,
indirizzo email, indirizzo web, etc.).
19
Formazione in materia di protezione dei dati
personali - Ing. Esposito
I dati personali di tipo “particolare”
I dati particolari, sono i dati personali che rivelino:
• l’origine razziale o etnica,
• le opinioni politiche,
• le convinzioni religiose o filosofiche, o l’appartenenza sindacale,
• nonché dati genetici, dati biometrici intesi a identificare in modo
univoco una persona fisica,
• dati relativi alla salute o
• alla vita sessuale o all’orientamento sessuale della persona.
20
Formazione in materia di protezione dei dati
personali - Ing. Esposito
11. 20/10/2022
I dati di tipo “giudiziario”
Dati personali relativi:
• alle condanne penali e ai reati
• misure di sicurezza
(la liberazione condizionale, il divieto od obbligo di soggiorno, le misure
alternative alla detenzione)
21
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Quando posso trattare dati comuni?
Le basi legali del trattamento
22
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Rapporti sugli
incidenti nei registri
relativi alla salute e
sicurezza (D. lgs
81/08)
Scuole che possono
trattare soltanto i DP
necessari al perseguimento
delle specifiche finalità
istituzionali
Elaborazione dei DP per
la protezione contro le
frodi, la trasmissione di DP
all’interno delle imprese
12. 20/10/2022
Quando posso trattare dati particolari?
Le basi legali del trattamento
• È vietato trattare dati particolari!
• Il divieto non si applica ad es. se si verifica uno dei seguenti casi:
1. l’interessato ha prestato il proprio consenso esplicito al trattamento
di tali dati personali per una o più finalità specifiche;
2. Per tutelare un interesse vitale dell’interessato.
23
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Quando posso trattare dati giudiziari?
Le basi legali del trattamento
Il trattamento dei dati giudiziari, deve avvenire soltanto:
sotto il controllo dell’autorità pubblica o
se il trattamento è autorizzato dal diritto dell’Unione o degli Stati
membri che preveda garanzie appropriate per i diritti e le libertà degli
interessati.
Un eventuale registro completo delle condanne penali deve essere
tenuto soltanto sotto il controllo dell’autorità pubblica.
24
Formazione in materia di protezione dei dati
personali - Ing. Esposito
13. 20/10/2022
Il “consenso”
“Consenso”: qualsiasi manifestazione di volontà
libera,
specifica,
informata e
inequivocabile
dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante:
dichiarazione o
azione positiva inequivocabile
che i dati personali che lo riguardano siano oggetto di trattamento.
25
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Condizioni del “consenso”
1. Per i dati particolari, il consenso DEVE essere "esplicito” (anche per il consenso a decisioni basate
su trattamenti automatizzati compresa la profilazione – art. 22).
“esplicito”: che risulti da una manifestazione di pensiero espressa e non da comportamento concludente.
2. NON deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta",
anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere
"esplicito" (per i dati particolari);
3. il titolare (art. 7.1) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a
uno specifico trattamento.
4. Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il
consenso dei genitori o di chi ne fa le veci (14 anni per servizi di società di informazione)
26
Formazione in materia di protezione dei dati
personali - Ing. Esposito
14. 20/10/2022
Condizioni del “consenso”
5. DEVE essere, in tutti i casi,
▫ libero,
▫ specifico,
▫ informato e inequivocabile e
▫ NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un
modulo).
6. DEVE essere manifestato attraverso "dichiarazione o azione positiva
inequivocabile“
7. Il consenso può essere ritirato in qualsiasi momento
27
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Quando inizia il “trattamento” dei dati?
Trattamento dati è:
qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
• la raccolta,
• la registrazione,
• l’organizzazione,
• la strutturazione,
• la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione;
28
Formazione in materia di protezione dei dati
personali - Ing. Esposito
15. 20/10/2022
Le figure coinvolte
I Soggetti del trattamento sono i player, i protagonisti sullo scenario
privacy delineato dal GDPR e si chiamano:
1. Interessato
2. Titolare del trattamento - Data Controller
3. DPO – Data Protection Officer
4. Responsabile del trattamento - Data Processor
5. Persone autorizzate al trattamento dei dati personali sotto l'autorità
diretta del titolare o del responsabile (in precedenza “incaricati”)
29
Formazione in materia di protezione dei dati
personali - Ing. Esposito
L’Interessato
• È la persona fisica a cui si riferiscono i dati personali.
• I dati personali rimangono sempre di proprietà dell’Interessato il quale,
alle condizioni indicate nell’Informativa, può concederli “in prestito” ad
un determinato Titolare.
30
Formazione in materia di protezione dei dati
personali - Ing. Esposito
16. 20/10/2022
Il Titolare del trattamento
• Titolare del trattamento è la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che, singolarmente o insieme ad
altri, determina:
▫ le finalità e
▫ i mezzi del trattamento di dati personali;
31
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Il DPO (Data Protection Officer)
• È Il responsabile della protezione dati
• Chi lo nomina?
• La designazione di un DPO è obbligatoria:
se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il
monitoraggio regolare e sistematico di interessati su larga scala; oppure
se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di
categorie particolari di dati o di dati personali relativi a condanne penali e reati.
• Rappresenta l’interfaccia tra il Garante e il Titolare per questioni connesse al
trattamento
32
Formazione in materia di protezione dei dati
personali - Ing. Esposito
17. 20/10/2022
Il Responsabile del trattamento
• Il Responsabile del trattamento” è la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che tratta dati personali per conto del
Titolare del trattamento;
• Qualora un trattamento debba essere effettuato per conto del titolare del
trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento
che presentino:
▫ garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate
in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela
dei diritti dell’interessato.
33
Formazione in materia di protezione dei dati
personali - Ing. Esposito
Persone autorizzate al trattamento
• È il soggetto persona fisica che effettua materialmente le
operazioni di trattamento sui dati personali.
• A scuola: docenti, personale ATA, ecc.
34
Formazione in materia di protezione dei dati
personali - Ing. Esposito