Il Regolamento UE sulla Data Protection è in vigore: cosa fare ora?

1. Il Regolamento UE sulla Data
Protection è in vigore: cosa
fare ora?
9 giugno 2016
Guglielmo Troiano
Senior Legal Consultant
Partners4Innovation

3. Credit: Biagio Lammoglia
testo
approva
to

4. Direttiva
1995/46
Direttiva
2002/58
Provvedimenti
Autorità Garante
Accordi
internazionali su
trasferimento dati
Decisioni
Commissione UE
25 maggio 2018
Regolamento
2016/679
24 maggio 2016 > 24 maggio 2018
IN VIGORE, NON APPLICABILE (?)
IN VIGORE, DECADE il 24 maggio 2018
NON DECADE ma dovrà essere
riesaminata
NON DECADONO fino a quando non verranno
modificati, sostituiti, abrogati
NON DECADONO fino a quando non verranno
modificati, sostituiti, abrogati
NON DECADONO fino a quando non verranno
modificate, sostituite, abrogate

5. Ho il controllo di tutti i luoghi (fisici, virtuali e logici) in cui sono
conservati i dati dei miei dipendenti e dei miei clienti?
Ho esternalizzato sistemi informativi che trattano dati di cui sono
Titolare?
Ho visibilità di tutti i fornitori esterni che trattano dati di cui sono
Titolare?
Ho stipulato con i fornitori contratti con adeguate garanzie?
Ho informato adeguatamente dipendenti e clienti circa i loro diritti?
Ho possibilità di dimostrare che un dato è stato completamente
rimosso e non è più trattato?
Ho un procedura di risposta in caso di violazione della sicurezza?
Ho una procedura di ripristino dei dati?
Ho adottato (o verificato che vengano adottate) tutte le misure di
sicurezza possibili in relazione ai trattamenti di cui sono Titolare?
Alcune domande, da porsi ora:

6. Considerazioni preliminari

7. Sarà solo il RGPD a disciplinare la
materia? NO
Considerando n. 8 del RGPD
Ove il presente regolamento preveda specificazioni o
limitazioni delle sue norme ad opera del diritto degli Stati
membri, gli Stati membri possono, nella misura
necessaria per la coerenza e per rendere le disposizioni
nazionali comprensibili alle persone cui si applicano,
integrare elementi del presente regolamento nel
proprio diritto nazionale.

8. Sarà solo il RGPD a disciplinare la
materia? NO
Considerando n. 10 del RGPD
Per quanto riguarda il trattamento dei dati personali per
l'adempimento di un obbligo legale, per l'esecuzione di
un compito di interesse pubblico o connesso all'esercizio
di pubblici poteri di cui è investito il titolare del
trattamento, gli Stati membri dovrebbero rimanere
liberi di mantenere o introdurre norme nazionali al
fine di specificare ulteriormente l'applicazione delle
norme del presente regolamento

9. Sarà solo il RGPD a disciplinare la
materia? NO
Articolo 9 c. 4 del RGPD
Gli Stati membri possono mantenere o introdurre
ulteriori condizioni, comprese limitazioni, con riguardo
al trattamento di dati genetici, dati biometrici o dati
relativi alla salute.

10. Sarà solo il RGPD a disciplinare la
materia? NO
Articolo 23 del RGPD
Il diritto dell'Unione o dello Stato membro cui è
soggetto il titolare del trattamento o il responsabile del
trattamento può limitare, mediante misure legislative,
la portata degli obblighi e dei diritti di cui agli articoli […],
nella misura in cui le disposizioni ivi contenute
corrispondano ai diritti e agli obblighi di cui agli articoli
da 12 a 22, qualora tale limitazione rispetti l'essenza dei
diritti e delle libertà fondamentali e sia una misura
necessaria e proporzionata …

11. Ci saranno deroghe e semplificazioni
per le PMI? SI
Considerando n. 13 del RGPD
Per tener conto della specifica situazione delle micro,
piccole e medie imprese, il presente regolamento
prevede una deroga per le organizzazioni che hanno
meno di 250 dipendenti per quanto riguarda la
conservazione delle registrazioni. Inoltre, le istituzioni
e gli organi dell'Unione e gli Stati membri e le loro
autorità di controllo sono invitati a considerare le
esigenze specifiche delle micro, piccole e medie
imprese nell'applicare il presente regolamento.

12. Ci saranno deroghe e semplificazioni
per le PMI? SI
Articolo 30 c. 5 del RGPD
Gli obblighi di cui ai paragrafi 1 e 2 (REGISTRO DEI
TRATTAMENTI) non si applicano alle imprese o
organizzazioni con meno di 250 dipendenti, a meno
che il trattamento che esse effettuano possa presentare
un rischio per i diritti e le libertà dell'interessato, il
trattamento non sia occasionale o includa il trattamento
di categorie particolari di dati di cui all'articolo 9,
paragrafo 1, o i dati personali relativi a condanne penali e
a reati di cui all'articolo 10.

13. Il Titolare deve ottenere nuovamente
il consenso per tutti i trattamenti in
essere? NO
Considerando n. 171 del RGPD
Qualora il trattamento si basi sul consenso a norma
della direttiva 95/46/CE, non occorre che l'interessato
presti nuovamente il suo consenso, se questo è stato
espresso secondo modalità conformi alle condizioni del
presente regolamento, affinché il titolare del
trattamento possa proseguire il trattamento in
questione dopo la data di applicazione del presente
regolamento

14. Cosa resta invariato

15. Non decadono e continueranno ad
essere applicabili i provvedimenti del
Garante Privacy
- videosorveglianza,
- fascicolo sanitario elettronico,
- tracciamento operazioni bancarie,
- amministratori di sistema,
- biometria,
- fidelity card,
- ecc.

16. Restano sostanzialmente invariati
- Definizione di dato personale
- Protezione delle sole persone fisiche
- Principi relativi al trattamento di dati
- Liceità del trattamento
- Informativa
- Consenso
- Soggetti che effettuano il trattamento
(salvo introduzione del DPO)

17. Art. 5 del RGPD (Principi applicabili al trattamento di
dati)
I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato
(«liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in
modo che non sia incompatibile con tali finalità;
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali
sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure
ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle
finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco
di tempo non superiore al conseguimento delle finalità per le quali sono trattati …
(«limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa
la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti
non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali
(«integrità e riservatezza»).

18. Art. 6 del RGPD (Liceità del trattamento)
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti
condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per
una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è
parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il
titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato
o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o
connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del
titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i
diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei
dati personali, in particolare se l'interessato è un minore.

19. TITOLARE DEL TRATTAMENTO TITOLARE DEL TRATTAMENTO
DATA CONTROLLER
RESPONSABILE DEL TRATTAMENTO RESPONSABILE DEL TRATTAMENTO
DATA PROCESSOR
INCARICATO DEL TRATTAMENTO Figura non contemplata
Soggetti che effettuano trattamento
Codice Privacy RGPD

20. Le assolute novità

21. Responsabile della
protezione dei dati
Registro dei
trattamenti
Protezione sin dalla
progettazione
Figura indipendente nominata dal titolare e dal responsabile del
trattamento. Svolge le seguenti funzioni: informare e consigliare il
Titolare o il Responsabile in merito agli obblighi del Regolamento,
verificarne l’applicazione e l’attuazione, fornire pareri, fungere da punto
di contattato sia con gli interessati che con il Garante.
Contenente i dati del/dei titolare/i e degli eventuali responsabili, le
finalità del trattamento, una descrizione delle categorie di interessati e
dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi
terzi ed una descrizione generale delle misure di sicurezza. Tali
documenti devono essere messi a disposizione del Garante e
manutenuti sia dal titolare che dagli eventuali responsabili. I registri di
cui sono tenuti in forma scritta.
Le misure a protezione di dati devono essere adottate già al momento
della progettazione di un prodotto o software.
Il titolare del trattamento deve mettere in atto misure tecniche e
organizzative adeguate per garantire in ogni caso che siano trattati solo
i dati necessari per ogni specifica finalità.
Responsabilità del
titolare
Tenuto conto della natura, dell'ambito di applicazione, del contesto e
delle finalità del trattamento, nonché dei rischi aventi probabilità e
gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del
trattamento mette in atto misure tecniche e organizzative adeguate
per garantire, ed essere in grado di dimostrare, che il trattamento è
effettuato conformemente al presente regolamento. Dette misure
sono riesaminate e aggiornate qualora necessario.
ACCOUNTABILITY
DPO
PRIVACY BY DESIGN
Eccezione per imprese
con meno di 250
dipendenti

22. Responsabilità
solidale di
titolare e
responsabile
Il Titolare e il Responsabile del trattamento sono responsabili in solido
nei confronti dell’interessato, per un eventuale danno causato dal
trattamento.
Violazione di dati
Nel caso si verifichino violazioni di dati personali, il Titolare ne deve
dare comunicazione all’Autorità di Controllo e, nei casi più gravi, anche
agli interessati (attualmente ciò avviene solo per violazione di dati
biometrici).
Designazione di
terzi da parte del
responsabile del
trattamento
Nella nomina di un Responsabile del trattamento, il Titolare potrà
prevedere una delega scritta specifica o generale per la designazione di
eventuali Responsabili terzi, a fronte dell’obbligo di comunicare ogni
nomina effettuata .
DATA BREACH
Allorché due o più titolari del trattamento determinano congiuntamente
le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.
Essi determinano in modo trasparente, mediante un accordo interno, le
rispettive responsabilità.
Responsabilità dei
contitolari

23. Eliminazione
dell’obbligo di
notifica
Viene eliminato l’obbligo generale di notificare all’autorità di controllo
per il trattamento di dati personali, da sostituire con meccanismi e
procedure efficaci che si concentrino piuttosto su quei trattamenti che
potenzialmente presentano un rischio elevato per i diritti e le libertà
delle persone fisiche
Valutazione
d’impatto
Sostituisce la notificazione. È la valutazione preliminare degli impatti a
cui andrebbe incontro un processo qualora dovessero essere violate le
misure di protezione dei dati. Necessita di alcune attività come la
mappatura dei dati e dei trattamenti, la pianificazione degli interventi
tecnologici e organizzativi di protezione dei dati con una valutazione
complessiva di riduzione dello stato di rischio
Certificazioni
Richiesta volta ad ottenere il riconoscimento della conformità al
Regolamento delle operazioni di trattamento dei dati.
Diritto all’oblio
PRIVACY IMPACT
ASSESSMENT
Diritto di ottenere la cancellazione dei dati che lo riguardano purché non
sussistano motivi legittimi per conservarli.
Limitazione del
trattamento
L’interessato può richiedere la limitazione del trattamento qualora
contesti l’esattezza dei dati nel periodo necessario al Titolare per
verificare la correttezza, trattamento illecito, qualora i dati non siano più
necessari al Titolare, ma l’interessato debba utilizzarli in sede
giudiziaria, l’interessato si è opposto al trattamento in attesa di verifica.

24. Diritto alla
portabilità dei dati
Possibilità per l’interessato di ricevere i propri dati personali in un
formato strutturato, leggibile da dispositivo automatico e di uso comune.
Introduce, inoltre, il diritto di ottenere, salvo impedimenti tecnici, la
trasmissione diretta dei dati da un Titolare all’altro.
Nuove categorie di
dati
Dati genetici, dati biometrici, dati relativi alla salute
Pseudonimizzazione
Il trattamento dei dati personali in modo tale che i dati personali non
possano più essere attribuiti a un interessato specifico senza l'utilizzo di
informazioni aggiuntive, a condizione che tali informazioni aggiuntive
siano conservate separatamente e soggette a misure tecniche e
organizzative intese a garantire che tali dati personali non siano
attribuiti a una persona fisica identificata o identificabile;
Trattamento e
consenso per i
minori di anni 16
Per quanto riguarda l'offerta diretta di servizi della società
dell'informazione ai minori, il trattamento di dati personali del minore è
lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età
inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in
cui tale consenso è prestato o autorizzato dal titolare della
responsabilità genitoriale.

25. quando:
1) autorità pubblica o organismo pubblico
2) controllo regolare e sistematico degli interessati su larga scala
3) trattamento, su larga scala, di categorie particolari di dati
- è una figura di vigilanza, interna o esterna (meglio)
- un gruppo di imprese può nominare un unico DPO
- è designato in funzione delle qualità professionali
- coinvolto in tutte le questioni
- non deve ricevere istruzioni e non dev’essere in conflitto d’interessi
Responsabile delle protezione dei dati

26. incarichi:
- informare e consigliare;
- sorvegliare
- fornire, se richiesto, un parere in merito alla valutazione d'impatto
sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l'autorità di controllo per questioni
connesse al trattamento di dati personali;
- considerare debitamente i rischi inerenti al trattamento, tenuto conto
della natura, del campo di applicazione, del contesto e delle finalità
del medesimo.
Responsabile delle protezione dei dati

27. Trattamento che prevede l'uso di nuove tecnologie, che può
presentare un rischio elevato per i diritti e le libertà delle
persone fisiche, in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti
personali relativi a persone fisiche, basata su un
trattamento automatizzato, compresa la profilazione, e
sulla quale si fondano decisioni che hanno effetti giuridici o
incidono in modo analogo significativamente su dette
persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di
dati personali di cui all'articolo 9, paragrafo 1, o di dati
relativi a condanne penali e a reati di cui all'articolo 10;
c) la sorveglianza sistematica su larga scala di una zona
accessibile al pubblico.
Valutazione d’impatto: quando

28. L'autorità di controllo redige e rende pubblico un elenco delle
tipologie di trattamenti soggetti al requisito di una
valutazione d'impatto sulla protezione dei dati.
L'autorità di controllo comunica tali elenchi al comitato di cui
all'articolo 68.
L'autorità di controllo può inoltre redigere e rendere pubblico
un elenco delle tipologie di trattamenti per le quali non è
richiesta una valutazione d'impatto sulla protezione dei dati.
L'autorità di controllo comunica tali elenchi al comitato.
Valutazione d’impatto: elenco pubblico

29. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle
finalità del trattamento, compreso, ove applicabile, l'interesse
legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei
trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli
interessati di cui al paragrafo 1;
d) le misure previste per affrontare i rischi, includendo le
garanzie, le misure di sicurezza e i meccanismi per garantire
la protezione dei dati personali e dimostrare la conformità al
presente regolamento, tenuto conto dei diritti e degli interessi
legittimi degli interessati e delle altre persone in questione.
Valutazione d’impatto: contenuti

30. Cosa cambia

31. Estensione
territoriale
1) trattamenti nell'ambito delle attività di uno stabilimento da parte di un
titolare del trattamento o di un responsabile del trattamento nell'Unione,
indipendentemente dal fatto che il trattamento sia effettuato o meno
nell'Unione
2) trattamento di interessati che si trovano nell'Unione, effettuato da un
titolare del trattamento o da un responsabile del trattamento che non è
stabilito nell'Unione, quando le attività di trattamento riguardano:
a) l'offerta di beni o la prestazione di servizi ai suddetti interessati
nell'Unione, indipendentemente dall'obbligatorietà di un pagamento
dell'interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale
comportamento ha luogo all'interno dell'Unione.
3) Il presente regolamento si applica al trattamento dei dati personali
effettuato da un titolare del trattamento che non è stabilito
Sicurezza del
trattamento
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e organizzative
adeguate per garantire un livello di sicurezza adeguato al rischio,
che comprendono …

32. Titolare e responsabile mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio, tenuto conto:
o dello stato dell'arte e dei costi di attuazione,
o della natura, del campo di applicazione, del contesto e delle finalità del trattamento,
o del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Tali misure comprendono:
o la pseudonimizzazione e la cifratura dei dati personali;
 «pseudonimizzazione»: trattamento dei dati personali in modo tale che i dati
non possano più essere attribuiti ad un interessato specifico senza l'utilizzo di
informazioni aggiuntive (sempre che tali informazioni aggiuntive siano
conservate separatamente e soggette a misure tecniche e organizzative intese
a garantire la non attribuzione a una persona identificata o identificabile
o la capacità di:
 assicurare la continua riservatezza, integrità, disponibilità e resilienza dei
sistemi e dei servizi che trattano i dati personali;
 ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di
incidente fisico o tecnico;
o una procedura per provare, verificare e valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Sicurezza del trattamento

33. Nel valutare l'adeguato livello di sicurezza, si deve tener conto dei rischi presentati
da trattamenti di dati derivanti in particolare:
o dalla distruzione,
o dalla perdita,
o dalla modifica,
o dalla divulgazione non autorizzata
o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi,
memorizzati o comunque trattati.
Titolare e responsabile fanno sì che chiunque agisca sotto la loro autorità abbia accesso
a dati personali non tratti tali dati se non è istruito in tal senso dal titolare, salvo che
lo richieda il diritto dell'Unione o degli Stati membri.
Sicurezza del trattamento

34. Sicurezza del trattamento: ripristino dei dati
Art. 23 dell’Allegato B Art. 32 c. 1 lett. C)
Sono adottate idonee misure per garantire
il ripristino dell'accesso ai dati in caso di
danneggiamento degli stessi o degli
strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e
non superiori a sette giorni.
Il titolare del trattamento e il responsabile del
trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che
comprendono, tra le altre, se del caso: la
capacità di ripristinare tempestivamente la
disponibilità e l'accesso dei dati personali in
caso di incidente fisico o tecnico.
Codice Privacy RGPD

35. Cosa fare ora?

36. Check documentazione: verifica della conformità al RGPD
Definizione di eventuali interventi necessari per garantire un
adeguato livello di copertura degli adempimenti con pianificazione di
una roadmap di attività da intraprendere
Questionari volti ad investigare tutti gli ambiti ed i processi di
trattamento
Interviste mirate ad approfondire la corretta applicazione del RGPD
e delle policy in materia di trattamento di dati
Report con i risultati delle attività svolte
deve essere
costante, chi la
applica (DPO)
dev’essere
costantemente
informato sulle
attività che
possono avere
impatto sul
trattamento di dati
CONTROLLO SORVEGLIANZA
AS IS (Codice Privacy) > TO BE (RGPD)

37. Check documentazione
METODOLOGIA - CONTROLLO E SORVEGLIANZA
37
Cosa prevede la legge Cosa viene controllato
Valutazione
• Adeguato
• Parzialmente adeguato
• Non adeguato
Obiettivo > individuazione di eventuali gap normativi
RGPD

38. Questionari
METODOLOGIA - CONTROLLO E SORVEGLIANZA
38
Obiettivo > attività preliminare finalizzata alla successiva intervista (le
risposte fornite attraverso il questionario possono essere utilizzate
come base per la stessa)

39. Interviste
METODOLOGIA - CONTROLLO E SORVEGLIANZA
39
Obiettivo > verifica della effettiva attuazione e implementazione dei
requisiti normativi, anche sulla base delle due precedenti attività di
audit

40. Report
METODOLOGIA - CONTROLLO E SORVEGLIANZA
Cosa prevede la
legge
Risultanze audit
• Check documentale
• Questionari
• Interviste
Obiettivo > fornire uno strumento di sintesi delle attività di audit
svolte, anche al fine di avere documentazione che possa portare
alla produzione di un registro dei trattamenti

41. Audit Report
24 maggio 2016 > 24 maggio 2018
25maggio2018
PROJECT MANAGEMENT
Plan Do Act Check

42. GRAZIE