SlideShare a Scribd company logo

SMAU Milano 2018 Eleonora Mataloni - ANORC

SMAU
SMAU

Le ultime novità alla luce del Decreto di adeguamento privacy (Decreto Legislativo 10 agosto 2018, n. 101)

Law
1 of 51
Download to read offline
Le ultime novità alla luce del Decreto di adeguamento privacy (Decreto Legislativo 10 agosto 2018, n. 101)”
Ciao! mi presento… Sono diventata avvocato nel 2010 dopo aver conseguito una laurea Specialistica in Giurisprudenza ottenendo il riconoscimento della Dignità di Stampa, presso l’Università degli Studi di Genova. Sono membro del network professionale D&L NET, fondato e coordinato dal D&L Department e dall' Avv. Andrea Lisi e collaboro con il Digital & Law Department da luglio 2017 con una specializzazione su ambiti normativi legati alla privacy. Ho partecipato, in qualità di relatrice, all’evento nazionale Dig.eat, XI edizione 10 maggio 2018 – Centro Congressi Piazza di Spagna con assegnazione del tema: “Il piano di assessment per la compliance secondo il Regolamento UE 679/2016”. Da luglio 2018 sono iscritta all’Elenco dei Professionisti della privacy ANORC Professioni
Le ultime novità alla luce del Decreto di adeguamento privacy (Decreto Legislativo 10 agosto 2018, n. 101)” ➜ Il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il tanto atteso Decreto Legislativo 10 agosto 2018, n. 101, che reca disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Il Dlgs 10 agosto 2018, n. 101 Dopo il regolamento europeo sulla protezione dei dati personali n. 2016/679 (GDPR), è stato necessario emanare un decreto legislativo e per la precisione il d.lgs. n. 101 del 10 agosto 2018 di adeguamento della normativa nazionale in materia di protezione dei dati personali. Il Decreto Legislativo, entrato in vigore in data 19 settembre, si pone come strumento di modifica e coordinamento del codice privacy al GDPR abrogando le disposizioni del d.lgs. n. 196/2003 non più compatibili con il GDPR, introducendone nuove, nonché integrando e modificando le disposizioni che rimangono in vita.
Dal GDPR al Decreto Legislativo 10 agosto 2018, n. 101… … passando per la Legge 25 ottobre 2017, n. 163
La Legge 25 ottobre 2017, n. 163 – legge di delegazione europea Il Dlgs 10 agosto 2018, n. 101 è stato emanato, dopo un lungo e tormentato iter approvativo, nel rispetto di quanto sancito dall’art. 13 della legge n. 163/2017, legge di delegazione europea, entrata in vigore il 21 novembre 2017, contenente una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR. Il Dlgs 10 agosto 2018, n. 101 rappresenta pertanto il decreto di raccordo tra la normativa italiana e il GDPR.
PERCHE’ UN DECRETO DI ADEGUAMENTO SE VI E’ GIA’ IL REGOLAMENTO EUROPEO? Con l’adozione del Decreto Legislativo 10 agosto 2018, n. 101, il legislatore italiano ha esercitato quella specifica delega che il testo del Regolamento ha conferito mediante il rinvio alla legislazione interna degli Stati Membri. Il decreto, in particolare, ha introdotto adeguamenti della normativa nazionale, soprattutto in settori dove il trattamento dei dati personali è più complesso e delicato (come ad esempio il trattamento dei dati personali cd. particolari ex art 9.4 GDPR), rispetto al quale il Regolamento prevede un margine di manovra affidato agli Stati Membri.
PERCHE’ UN DECRETO DI ADEGUAMENTO SE VI E’ GIA’ UN REGOLAMENTO EUROPEO? Altre ipotesi di rinvio espresso al legislatore nazionale sono contenute negli artt. 85-89 GDPR in tema di attività di giornalismo o di espressione accademica, artistica e letteraria (cfr. art. 85); diritto di accesso ai documenti amministrativi e degli obblighi di trasparenza delle PP.AA (cfr. art. 86); attribuzione e utilizzo di un numero di identificazione nazionale (cfr. art. 87); gestione dei rapporti di lavoro (cfr. art. 88); obblighi di archiviazione nel pubblico interesse e delle attività di ricerca scientifica, statistica e storica (cfr. art. 88) Senza dimenticare che la disciplina delle sanzioni penali è riservata alla sola competenza nazionale propria di ciascun Stato Membro, disponendo in tal senso l’art. 84 che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento”.
Considerando 8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.
Considerando 10) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
Considerando 19) … gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento.
Le Principali novità contenute nel “nuovo” Codice in materia di protezione dei dati personali
Uno sguardo di insieme sul nuovo quadro normativo Il Dlgs 101/2018 è composto da 27 articoli, molti dei quali abrogano le disposizioni del Codice previgente che, all’esito di un giudizio di compatibilità, sono risultate contrastanti con le disposizioni (“orizzontali”) del Regolamento. Le numerose abrogazioni dichiarate dall’articolo 27 del Dlgs 101/2018, nonché tutte le modifiche e sostituzioni introdotte dalle altre disposizioni del Dlgs 101/2018 richiederanno agli gli interpreti e agli operatori uno sforzo interpretativo e di adeguamento non trascurabile. L’attività di interpretazione della normativa italiana dovrà in ogni caso rispettare il principio di supremazia della normativa europea su quella nazionale.
I RAPPORTI FRA IL “NUOVO CODICE” E IL GDPR La dipendenza del “nuovo” Codice emerge con evidenza dall’art. 2 comma 1 del Decreto 101/2018 che va a emendare l’articolo 1 (oggetto) nella parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). L’art. 1, nella nuova versione, sancisce che: “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
IL PRINCIPIO DI SUPREMAZIA DELLA NORMATIVA EUROPEA SU QUELLA NAZIONALE Le disposizioni interne al nostro ordinamento possono ritenersi legittime nel contesto europeo in quanto e nella misura in cui: - rientrino nelle materie rimesse dal GDPR al legislatore nazionale (competenza per materia); - il loro contenuto sia conforme alle disposizioni del GDPR; - esse siano interpretate e applicate nel rispetto del Regolamento
➜ Vengono meno tutti i principi generali che aprivano il Codice previgente applicabili a tutti i trattamenti Il Codice, dopo l’entrata in vigore del decreto di adeguamento, risulta profondamente novellato nelle sue disposizioni ma anche fortemente modificato nella sua ispirazione di fondo e nella sua stessa finalità, perdendo la caratteristica di autonomo e sistematico corpus di norme regolanti la protezione dei dati personali.
➜ Tra le abrogazioni più rilevanti, si deve menzionare quella relativa alle norme in tema di misure di sicurezza contenute nel Capo I del Titolo V, parte I, del vecchio codice (Misure di sicurezza), incluso l’Allegato B al Codice - Disciplinare Tecnico). Ciò risponde all’introduzione del principio dell’accountability di cui all’articolo 5 del Regolamento, secondo cui spetta solamente al titolare individuare e applicare le più idonee e pertinenti misure tecniche e operative ai trattamenti da questi effettuati. ABROGAZIONE delle MISURE di SICUREZZA Vd. art. 32 del Regolamento
ACCOUNTABILITY Il concetto di “accountability” costituisce la vera novità che permea tutta la nuova normativa europea e rappresenta il principio di “responsabilizzazione” cui il Titolare deve conformarsi nel trattare i dati personali di cui dispone. Sul Titolare (e Responsabile) del Trattamento viene imposto un generale obbligo di implementare misure di sicurezza appropriate al fine di comprovare il rispetto del Regolamento nello svolgimento dei diversi Trattamenti. Titolare (e Responsabile) devono esser sempre “pronti” a dimostrare di aver rispettato e di essersi conformati alle nuove disposizioni introdotte con il GDPR.
A fronte dello spazio di manovra che il GDPR (art. 8.1) lascia agli Stati se scegliere di derogare il limite di età, fissato a 16 anni dal legislatore dell’Unione nel definire l’età minima del minore per esprimere il consenso in relazione ai servizi della società dell’informazione (“SSI”), l’articolo 2-quinquies, stabilisce che il soggetto che ha compiuto 14 anni può prestare il proprio consenso al trattamento dei suoi dati per usufruire di tali servizi. Il legislatore delegato ha deciso di abbandonare il principio del favor minoris, cui inizialmente si era ispirato, per tener conto della realtà attuale, caratterizzata dall’uso sempre più ampio dei servizi telematici e, in particolare, dei social network da parte dei minori. IL CONSENSO DEL MINORE
La facoltà accordata dall’articolo 8.1, GDPR trova un limite: nessuno Stato è legittimato a stabilire un’età inferiore ai 13 anni, al di sotto della quale è necessario che il consenso al trattamento dei dati del minore venga prestato da parte di chi esercita la responsabilità genitoriale. In tale ambito, il titolare del trattamento ha l’obbligo di predisporre le informative e le altre comunicazioni relative al trattamento con linguaggio particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore.
BASE GIURIDICA PER L'ESECUZIONE DI COMPITI DI INTERESSE PUBBLICO O CONNESSI ALL'ESERCIZIO DI PUBBLICI POTERI L’art. 2 del decreto di adeguamento introduce l'articolo 2-ter del Codice, il quale specifica che per quanto riguarda i trattamenti effettuati per "l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri" la base giuridica per i trattamenti aventi ad oggetto dati personali "comuni" sia da rinvenirsi esclusivamente in una norma di legge o di regolamento. La disposizione riformula il previgente articolo 19 del Codice, ampliando l’ambito soggettivo di applicazione in ossequio a quanto previsto dal GDPR. Nel Regolamento, infatti, scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando unicamente la finalità (concernente un interesse pubblico o privato) del trattamento perseguita. L'articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e), Reg).
L’art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni) introduce l’obbligo per le autorità giudiziarie di designare il Data protection officer (Dpo) La previsione ricalca quanto già stabilito dal d.lgs. 18 maggio 2018, n. 51, approvato lo scorso maggio, in attuazione alla direttiva (UE) 2016/680. DPO OBBLIGATORIO per le AUTORITA’ GIUDIZIARIE
I MAGGIORI POTERI IN CAPO AL GARANTE
Con il decreto di adeguamento, al Garante italiano sono stati conferiti poteri molto ampi, finalizzati ad assicurare, anche nel tempo, una attuazione della normativa flessibile e adeguata allo sviluppo delle tecnologie. Uno degli aspetti più importanti della nuova normativa riguarda, infatti, l’evidente centralità assegnata al Garante. Gli viene infatti affidato il compito di promuovere regole deontologiche, scrivere misure di garanzia per il trattamento di dati genetici, biometrici, sanitari, adottare provvedimenti contenenti misure ed accorgimenti a garanzia dell’interessato. I MAGGIORI POTERI IN CAPO AL GARANTE
L’art. 2 quater disciplina la promozione di “regole deontologiche” il cui rispetto, in seguito all’approvazione e pubblicazione, diviene condizione essenziale per la liceità e la correttezza dei trattamenti effettuati in osservanza di un obbligo legale, per ragioni di rilevante interesse pubblico e per i dati genetici, biometrici e relativi alla salute. Oltre alle regole deontologiche, qualora si tratti di dati genetici, biometrici e relativi alla salute, il legislatore italiano ha previsto, secondo quanto concesso dall’art. 9.4 GDPR, l’emanazione di apposite misure di garanzia da parte del Garante. I MAGGIORI POTERI IN CAPO AL GARANTE
Le misure di garanzia In tema di trattamento dati sanitari, genetici e ricerca scientifica, il legislatore delegato ha infatti deciso di imporre al Garante l’adozione di un provvedimento, sottoposto a consultazione pubblica prima della sua emanazione e della durata almeno biennale, con cui individuare quelle ulteriori misure di sicurezza (oggi contenute nelle attuali Autorizzazioni Generali, oggetto di successivo riesame e che saranno abrogate solo se dovessero essere ritenute incompatibili con il GDPR) condizioni o determinati accorgimenti che i Titolari dovranno osservare nel trattare tali particolari categorie di dati. .
Le misure di garanzia ➜ Tali misure individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione (cfr. art. 32 GDPR), le misure di minimizzazione (in linea con quanto già disponeva il Codice previgente), le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.
Le misure di garanzia Infine, per trattamenti nell’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati, di cui all’art. 35 GDPR, ossia per quei trattamenti per i quali sarebbe necessaria una valutazione di impatto, ai sensi dell’art. 2 quinquedecies, il Garante, può adottare d’ufficio provvedimenti a carattere generale prescrivendo misure ed accorgimenti a garanzia dell’interessato.
Il decreto di adeguamento, oltre ad ampliare i compiti del Garante, ha rafforzato anche il potere dell’Autorità. L’art. 154-ter, rubricato “Potere di agire e rappresentanza in giudizio”, introdotto dall’art. 14 del decreto di adeguamento, conferisce al Garante la legittimazione ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali. I MAGGIORI POTERI IN CAPO AL GARANTE
TRATTAMENTO dei DATI BIOMETRICI e RELATIVI ALLA SALUTE Anche il trattamento di dati personali in ambito sanitario subisce rilevanti modifiche. ➜ Il decreto n. 101/2018 ridisegna la parte II del titolo V del d.lgs. n. 196/2003 in conformità alle previsioni del GDPR (art. 9) eliminando la necessità del consenso per il trattamento di categorie particolari di dati personali in ambito sanitario (Vd. nuovo art. 75 del d.lgs. n. 196/2003) ➜ In ogni caso, il trattamento dei dati genetici, biometrici e relativi alla salute dovrà avvenire in conformità alle misure di garanzia disposte dal garante con cadenza biennale (art. 2-septies del Codice). ➜ Con la riforma si arricchisce anche la “lista” dei dati particolari (i “vecchi” dati sensibili) includendo i dati genetici, in conformità a quanto previsto dall’articolo 9, paragrafo 1, del Regolamento.
DIRITTI RIGUARDANTI LE PERSONE DECEDUTE ➜ Art. 2-terdecies (Diritti riguardanti le persone decedute) 1. comma: “I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
DIRITTI RIGUARDANTI LE PERSONE DECEDUTE ➜ A fronte della generale inapplicabilità alle persone decedute sancita dal GDPR nel considerando 27) a mente del quale “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” … il Decreto Legislativo 10 agosto 2018, n. 101, introduce il concetto di diritto all’eredità del dato in caso di decesso, con la previsione espressa di una norma che consente di disporre post mortem dei propri dati forniti ai servizi informativi delle società, mediante l’esercizio dei diritti ex artt. 15-22 GDPR.
SEMPLIFICAZIONI PER LE PICCOLE E MEDIE IMPRESE ➜ Il Decreto Legislativo 10 agosto 2018, n. 10, nell’attribuire al Garante il potere di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento e di approvare le regole deontologiche di cui all’art. 2 – quater, contiene al 4° comma dell’art. 154 – bis l’espressa previsione della promozione, mediante lo strumento delle linee guida, di modalità semplificate di adempimento degli obblighi del titolare del trattamento per le micro, piccole e medie imprese. La previsione si pone l’intento di introdurre una gradualità di applicazione della normativa, che tenga conto delle esigenze specifiche delle dimensioni delle diverse realtà economiche presenti sul territorio nazionale.
TUTELA DI FRONTE AL GARANTE ➜ Rispetto alle forme di tutela dinanzi al Garante, con il d.lgs. n. 101/2018 viene meno il Ricorso quale forma di tutela dinanzi al Garante. In alternativa alla tutela giurisdizionale persiste il Reclamo (art. 141 e ss. del Codice), novellato dall’art. 13 del decreto di adeguamento, il cui procedimento di esame sarà disciplinato dal Garante con proprio regolamento. ➜ Viene modificata anche la disciplina delle segnalazioni (richiamate nell’art. 54, par. 2, del GDPR) L’art 144 del Codice novellato stabilisce che, “Chiunque” possa rivolgere una segnalazione al Garante e non i soli interessati come previsto dalla lettura combinata dei previgenti artt. 142 e 144.
I SOGGETTI DESIGNATI
I soggetti designati ➜ La figura dei soggetti designati viene introdotta dall’art. 2 – terdecies, il cui titolo recita “Attribuzione di funzioni e compiti a soggetti designati” dispone che: ➜ Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. ➜ Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.
I soggetti designati Nella relazione illustrativa al decreto, in commento all’art. 2 – terdecies si legge che “la norma (ndr) prevede il potere di Titolare e Responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati.”
I soggetti designati Ad una prima lettura, il soggetto “designato” sembrerebbe pertanto diverso da quello definito “istruito” al trattamento ai sensi dell’art. 29 GDPR. I designati, infatti, sono coloro a cui vengono attribuiti specifici compiti e funzioni internamente all’assetto organizzativo del titolare o del responsabile e relativamente al trattamento dei dati personali
I soggetti designati ➜ Il secondo comma dell’artt. 2 terdecies invece, fa riferimento ai soggetti che sono autorizzati al trattamento di dati personali sotto la diretta autorità del titolare o responsabile. La norma sembrerebbe richiedere un quid aggiuntivo rispetto all’art. 29 GDPR che prevede, solo la necessaria istruzione – e non un’autorizzazione – di coloro che effettuano il trattamento. Le due disposizioni sono quindi incompatibili?
I soggetti designati Svolgendo un’analisi semantica più approfondita, si arriva alla conclusione che l’atto di istruire qualcuno ad effettuare un trattamento contiene implicitamente l’autorizzazione allo svolgimento del trattamento stesso. Non si ravvisa pertanto un’incongruità della previsione contenuta nel nuovo art. 2 terdecies rispetto alla previsione regolamentare ex art 29 GDPR. In ottica di “accountability” interna, è possibile quindi, prevedere specifiche deleghe o redigere mansionari per classi omogenee (per tipologie di autorizzati/designati), delimitando l’ambito del trattamento al quale si è autorizzati, consentendo, di dare seguito agli adempimenti organizzativi interni alla struttura aziendale/professionale del Titolare del trattamento.
LE DISPOSIZIONI TRANSITORIE
Si può parlare di “sospensione” delle sanzioni? In attesa della pubblicazione del Decreto di adeguamento, è emersa la nota questione relativa all’ipotesi di un “periodo di proroga” di 8 mesi con relativa sospensione delle attività ispettive del Garante
Si può parlare di “sospensione” delle sanzioni? Il nuovo testo del Codice Privacy, sull’eco delle richieste pervenute da più parti anche in sede di audizioni parlamentari, stabilisce, all’art. 22, comma 13, che per i primi otto mesi dalla data di entrata in vigore del decreto legislativo, il Garante per la protezione dei dati personali debba tenere conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento europeo, della fase di prima applicazione delle disposizioni transitorie.
Si può parlare di “sospensione” delle sanzioni? La disposizione pertanto non introduce alcuna proroga o sospensione dei controlli, ma si limita a disporre che il Garante adotti nei primi 8 mesi un approccio “soft” dal punto di vista sanzionatorio, valutando in sede ispettiva diversi fattori come suggerito anche Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 - WP253 Adottate il 3 ottobre 2017 anche alla luce del principio di gradualità e di proporzionalità delle sanzioni sancito dallo stesso GDPR
LE SANZIONI
IL QUADRO SANZIONATORIO Con l’applicazione degli articoli 83 e 84 del Regolamento e con l’entrata in vigore del Dlgs 101/2018, il quadro sanzionatorio è radicalmente mutato. Sanzioni amministrative pecuniarie In linea con quanto stabilito dall’art. 83 del Regolamento, che ha reso incompatibile la disciplina delle sanzioni amministrative con il GDPR, l’art. 27 del Dlgs 101/2018 ha espressamente abrogato gli artt. da 161 a 164 del Codice previgente e ha sostituito il precedente articolo 166 con una nuova disposizione, ricca di rinvii.
IL QUADRO SANZIONATORIO Sanzioni penali Solo gli Stati membri possono prevedere sanzioni per le violazioni del Regolamento diverse da quelle pecuniarie (art. 84 GDPR) e poiché l’impianto sanzionatorio del Regolamento è improntato esclusivamente su sanzioni amministrative, tutte le condotte qualificate, a livello europeo, come illeciti amministrativi non possono essere qualificate come sanzioni penali (l’articolo 169 del Codice in tema di violazione di misure di sicurezza è stato p.e. abrogato con la conseguente depenalizzazione delle condotte ante riforma sanzionate penalmente).
IL QUADRO SANZIONATORIO Con l’introduzione del Dlgs n. 101/201, permangono le fattispecie di reato relative a: • “Trattamento illecito dei dati” novellato nella pena (reclusione da sei mesi a tre anni, art. 167) • “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” (art. 168) • “Inosservanza di provvedimenti del Garante” (art. 170) • “Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori” (art. 171)
IL QUADRO SANZIONATORIO Sono state introdotte nuove fattispecie di reato, quali: - Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (reclusione da uno a sei anni, art 167-bis) - Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (reclusione da uno a quattro anni, art. 167-ter)
Le novità in PILLOLE del Decreto Legislativo 10 agosto 2018, n. 101 1. BASE GIURIDICA TRATTAMENTO DATI DA PARTE DEGLI ENTI PUBBLICI 2. ETA’ PER IL CONSENSO DEL MINORE 3. DATI BIOMETRICI, GENETCI E RELATIVI ALLA SALUTE 4. PERSONE DECEDUTE 5. PICCOLE E MEDIE IMPRESE 6. REGIME TRANSITORIO DELLE DISPOSIZONI 7. I SOGGETTI “DESIGNATI” 9. QUADRO SANZIONATORIO 8. I MAGGIORI POTERI DEL GARANTE
Non dimenticare di segnarti la mia email: eleonora.mataloni@virgilio.it

Recommended

Le ultime novità alla luce del Decreto di adeguamento privacy
Le ultime novità alla luce del Decreto di adeguamento privacy Le ultime novità alla luce del Decreto di adeguamento privacy
Le ultime novità alla luce del Decreto di adeguamento privacy
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101
Agostino Pedone
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
Vittorio Pasteris
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679
Vittorio Pasteris
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
teresadepiano
 
Linee guida in materia di trattamento di dati personali, contenuti anche in a...
Linee guida in materia di trattamento di dati personali, contenuti anche in a...Linee guida in materia di trattamento di dati personali, contenuti anche in a...
Linee guida in materia di trattamento di dati personali, contenuti anche in a...
AmmLibera AL
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018
Simone Chiarelli
 

Recommended

Le ultime novità alla luce del Decreto di adeguamento privacy
Le ultime novità alla luce del Decreto di adeguamento privacy Le ultime novità alla luce del Decreto di adeguamento privacy
Le ultime novità alla luce del Decreto di adeguamento privacy
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101
Agostino Pedone
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
Vittorio Pasteris
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679
Vittorio Pasteris
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
teresadepiano
 
Linee guida in materia di trattamento di dati personali, contenuti anche in a...
Linee guida in materia di trattamento di dati personali, contenuti anche in a...Linee guida in materia di trattamento di dati personali, contenuti anche in a...
Linee guida in materia di trattamento di dati personali, contenuti anche in a...
AmmLibera AL
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018
Simone Chiarelli
 
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Andrea Cortellazzo
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Pedroletti Sharmayne
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
Simone Chiarelli
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
Fabio Tonini
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
SMAU
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018
Caterina Claudi
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Diritto & Information and Communication Technology
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
Giovanni Maria Riccio
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
Simone Chiarelli
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Simone Chiarelli
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
Lodovico Mabini
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Salomone & Travaglia Studio Legale
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
Fattura elettronica inps
Fattura elettronica inpsFattura elettronica inps
Fattura elettronica inps
Antonio Palmieri
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018
Simone Chiarelli
 
PEC nel Processo Tributario
PEC nel Processo TributarioPEC nel Processo Tributario
PEC nel Processo Tributario
Antonio Palmieri
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
Simone Chiarelli
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
M2 Informatica
 
Nota commento legge delegazione europea
Nota commento legge delegazione europeaNota commento legge delegazione europea
Nota commento legge delegazione europea
Marco Krogh
 

More Related Content

What's hot

Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Salomone & Travaglia Studio Legale
 

What's hot (20)

Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
Fattura elettronica inps
Fattura elettronica inpsFattura elettronica inps
Fattura elettronica inps
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018
 
PEC nel Processo Tributario
PEC nel Processo TributarioPEC nel Processo Tributario
PEC nel Processo Tributario
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 

Similar to SMAU Milano 2018 Eleonora Mataloni - ANORC

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
BTO Educational
 

Similar to SMAU Milano 2018 Eleonora Mataloni - ANORC (20)

Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Nota commento legge delegazione europea
Nota commento legge delegazione europeaNota commento legge delegazione europea
Nota commento legge delegazione europea
 
Regolamento ue-679-2016
Regolamento ue-679-2016Regolamento ue-679-2016
Regolamento ue-679-2016
 
Smau Padova 2016 - Assintel regolamento europeo
Smau Padova 2016 - Assintel regolamento europeoSmau Padova 2016 - Assintel regolamento europeo
Smau Padova 2016 - Assintel regolamento europeo
 
News SSL 10 2016
News SSL 10 2016News SSL 10 2016
News SSL 10 2016
 
12345
1234512345
12345
 
News SSL 22 2016
News SSL 22 2016News SSL 22 2016
News SSL 22 2016
 
News A 34 2017
News A 34 2017News A 34 2017
News A 34 2017
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Legge Comunitaria 2009 - Art 19 - e modifiche al D.lgs. 231/01
Legge Comunitaria 2009 - Art 19 - e modifiche al D.lgs. 231/01Legge Comunitaria 2009 - Art 19 - e modifiche al D.lgs. 231/01
Legge Comunitaria 2009 - Art 19 - e modifiche al D.lgs. 231/01
 
L'avvocato penalista e le intersezioni fra il diritto interno ed il diritto d...
L'avvocato penalista e le intersezioni fra il diritto interno ed il diritto d...L'avvocato penalista e le intersezioni fra il diritto interno ed il diritto d...
L'avvocato penalista e le intersezioni fra il diritto interno ed il diritto d...
 
346.bis.pw.diritto penale per l’amministrazioneDiritto penale per l'amministr...
346.bis.pw.diritto penale per l’amministrazioneDiritto penale per l'amministr...346.bis.pw.diritto penale per l’amministrazioneDiritto penale per l'amministr...
346.bis.pw.diritto penale per l’amministrazioneDiritto penale per l'amministr...
 
News SSL 45 2016
News SSL 45 2016News SSL 45 2016
News SSL 45 2016
 
8 corso oss greco-elementi di etica e deontologia - la tutela della privacy
8 corso oss greco-elementi di etica e deontologia - la tutela della privacy8 corso oss greco-elementi di etica e deontologia - la tutela della privacy
8 corso oss greco-elementi di etica e deontologia - la tutela della privacy
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...
 
Lotta al riciclaggio mediante il diritto penale
Lotta al riciclaggio mediante il diritto penaleLotta al riciclaggio mediante il diritto penale
Lotta al riciclaggio mediante il diritto penale
 
296 modifiche al dlgs 81 approvate
296 modifiche al dlgs 81 approvate296 modifiche al dlgs 81 approvate
296 modifiche al dlgs 81 approvate
 

More from SMAU

More from SMAU (20)

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
 

SMAU Milano 2018 Eleonora Mataloni - ANORC

  • 1. Le ultime novità alla luce del Decreto di adeguamento privacy (Decreto Legislativo 10 agosto 2018, n. 101)”
  • 2. Ciao! mi presento… Sono diventata avvocato nel 2010 dopo aver conseguito una laurea Specialistica in Giurisprudenza ottenendo il riconoscimento della Dignità di Stampa, presso l’Università degli Studi di Genova. Sono membro del network professionale D&L NET, fondato e coordinato dal D&L Department e dall' Avv. Andrea Lisi e collaboro con il Digital & Law Department da luglio 2017 con una specializzazione su ambiti normativi legati alla privacy. Ho partecipato, in qualità di relatrice, all’evento nazionale Dig.eat, XI edizione 10 maggio 2018 – Centro Congressi Piazza di Spagna con assegnazione del tema: “Il piano di assessment per la compliance secondo il Regolamento UE 679/2016”. Da luglio 2018 sono iscritta all’Elenco dei Professionisti della privacy ANORC Professioni
  • 3. Le ultime novità alla luce del Decreto di adeguamento privacy (Decreto Legislativo 10 agosto 2018, n. 101)” ➜ Il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il tanto atteso Decreto Legislativo 10 agosto 2018, n. 101, che reca disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
  • 4. Il Dlgs 10 agosto 2018, n. 101 Dopo il regolamento europeo sulla protezione dei dati personali n. 2016/679 (GDPR), è stato necessario emanare un decreto legislativo e per la precisione il d.lgs. n. 101 del 10 agosto 2018 di adeguamento della normativa nazionale in materia di protezione dei dati personali. Il Decreto Legislativo, entrato in vigore in data 19 settembre, si pone come strumento di modifica e coordinamento del codice privacy al GDPR abrogando le disposizioni del d.lgs. n. 196/2003 non più compatibili con il GDPR, introducendone nuove, nonché integrando e modificando le disposizioni che rimangono in vita.
  • 5. Dal GDPR al Decreto Legislativo 10 agosto 2018, n. 101… … passando per la Legge 25 ottobre 2017, n. 163
  • 6. La Legge 25 ottobre 2017, n. 163 – legge di delegazione europea Il Dlgs 10 agosto 2018, n. 101 è stato emanato, dopo un lungo e tormentato iter approvativo, nel rispetto di quanto sancito dall’art. 13 della legge n. 163/2017, legge di delegazione europea, entrata in vigore il 21 novembre 2017, contenente una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR. Il Dlgs 10 agosto 2018, n. 101 rappresenta pertanto il decreto di raccordo tra la normativa italiana e il GDPR.
  • 7. PERCHE’ UN DECRETO DI ADEGUAMENTO SE VI E’ GIA’ IL REGOLAMENTO EUROPEO? Con l’adozione del Decreto Legislativo 10 agosto 2018, n. 101, il legislatore italiano ha esercitato quella specifica delega che il testo del Regolamento ha conferito mediante il rinvio alla legislazione interna degli Stati Membri. Il decreto, in particolare, ha introdotto adeguamenti della normativa nazionale, soprattutto in settori dove il trattamento dei dati personali è più complesso e delicato (come ad esempio il trattamento dei dati personali cd. particolari ex art 9.4 GDPR), rispetto al quale il Regolamento prevede un margine di manovra affidato agli Stati Membri.
  • 8. PERCHE’ UN DECRETO DI ADEGUAMENTO SE VI E’ GIA’ UN REGOLAMENTO EUROPEO? Altre ipotesi di rinvio espresso al legislatore nazionale sono contenute negli artt. 85-89 GDPR in tema di attività di giornalismo o di espressione accademica, artistica e letteraria (cfr. art. 85); diritto di accesso ai documenti amministrativi e degli obblighi di trasparenza delle PP.AA (cfr. art. 86); attribuzione e utilizzo di un numero di identificazione nazionale (cfr. art. 87); gestione dei rapporti di lavoro (cfr. art. 88); obblighi di archiviazione nel pubblico interesse e delle attività di ricerca scientifica, statistica e storica (cfr. art. 88) Senza dimenticare che la disciplina delle sanzioni penali è riservata alla sola competenza nazionale propria di ciascun Stato Membro, disponendo in tal senso l’art. 84 che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento”.
  • 9. Considerando 8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.
  • 10. Considerando 10) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
  • 11. Considerando 19) … gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento.
  • 12. Le Principali novità contenute nel “nuovo” Codice in materia di protezione dei dati personali
  • 13. Uno sguardo di insieme sul nuovo quadro normativo Il Dlgs 101/2018 è composto da 27 articoli, molti dei quali abrogano le disposizioni del Codice previgente che, all’esito di un giudizio di compatibilità, sono risultate contrastanti con le disposizioni (“orizzontali”) del Regolamento. Le numerose abrogazioni dichiarate dall’articolo 27 del Dlgs 101/2018, nonché tutte le modifiche e sostituzioni introdotte dalle altre disposizioni del Dlgs 101/2018 richiederanno agli gli interpreti e agli operatori uno sforzo interpretativo e di adeguamento non trascurabile. L’attività di interpretazione della normativa italiana dovrà in ogni caso rispettare il principio di supremazia della normativa europea su quella nazionale.
  • 14. I RAPPORTI FRA IL “NUOVO CODICE” E IL GDPR La dipendenza del “nuovo” Codice emerge con evidenza dall’art. 2 comma 1 del Decreto 101/2018 che va a emendare l’articolo 1 (oggetto) nella parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). L’art. 1, nella nuova versione, sancisce che: “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
  • 15. IL PRINCIPIO DI SUPREMAZIA DELLA NORMATIVA EUROPEA SU QUELLA NAZIONALE Le disposizioni interne al nostro ordinamento possono ritenersi legittime nel contesto europeo in quanto e nella misura in cui: - rientrino nelle materie rimesse dal GDPR al legislatore nazionale (competenza per materia); - il loro contenuto sia conforme alle disposizioni del GDPR; - esse siano interpretate e applicate nel rispetto del Regolamento
  • 16. ➜ Vengono meno tutti i principi generali che aprivano il Codice previgente applicabili a tutti i trattamenti Il Codice, dopo l’entrata in vigore del decreto di adeguamento, risulta profondamente novellato nelle sue disposizioni ma anche fortemente modificato nella sua ispirazione di fondo e nella sua stessa finalità, perdendo la caratteristica di autonomo e sistematico corpus di norme regolanti la protezione dei dati personali.
  • 17. ➜ Tra le abrogazioni più rilevanti, si deve menzionare quella relativa alle norme in tema di misure di sicurezza contenute nel Capo I del Titolo V, parte I, del vecchio codice (Misure di sicurezza), incluso l’Allegato B al Codice - Disciplinare Tecnico). Ciò risponde all’introduzione del principio dell’accountability di cui all’articolo 5 del Regolamento, secondo cui spetta solamente al titolare individuare e applicare le più idonee e pertinenti misure tecniche e operative ai trattamenti da questi effettuati. ABROGAZIONE delle MISURE di SICUREZZA Vd. art. 32 del Regolamento
  • 18. ACCOUNTABILITY Il concetto di “accountability” costituisce la vera novità che permea tutta la nuova normativa europea e rappresenta il principio di “responsabilizzazione” cui il Titolare deve conformarsi nel trattare i dati personali di cui dispone. Sul Titolare (e Responsabile) del Trattamento viene imposto un generale obbligo di implementare misure di sicurezza appropriate al fine di comprovare il rispetto del Regolamento nello svolgimento dei diversi Trattamenti. Titolare (e Responsabile) devono esser sempre “pronti” a dimostrare di aver rispettato e di essersi conformati alle nuove disposizioni introdotte con il GDPR.
  • 19. A fronte dello spazio di manovra che il GDPR (art. 8.1) lascia agli Stati se scegliere di derogare il limite di età, fissato a 16 anni dal legislatore dell’Unione nel definire l’età minima del minore per esprimere il consenso in relazione ai servizi della società dell’informazione (“SSI”), l’articolo 2-quinquies, stabilisce che il soggetto che ha compiuto 14 anni può prestare il proprio consenso al trattamento dei suoi dati per usufruire di tali servizi. Il legislatore delegato ha deciso di abbandonare il principio del favor minoris, cui inizialmente si era ispirato, per tener conto della realtà attuale, caratterizzata dall’uso sempre più ampio dei servizi telematici e, in particolare, dei social network da parte dei minori. IL CONSENSO DEL MINORE
  • 20. La facoltà accordata dall’articolo 8.1, GDPR trova un limite: nessuno Stato è legittimato a stabilire un’età inferiore ai 13 anni, al di sotto della quale è necessario che il consenso al trattamento dei dati del minore venga prestato da parte di chi esercita la responsabilità genitoriale. In tale ambito, il titolare del trattamento ha l’obbligo di predisporre le informative e le altre comunicazioni relative al trattamento con linguaggio particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore.
  • 21. BASE GIURIDICA PER L'ESECUZIONE DI COMPITI DI INTERESSE PUBBLICO O CONNESSI ALL'ESERCIZIO DI PUBBLICI POTERI L’art. 2 del decreto di adeguamento introduce l'articolo 2-ter del Codice, il quale specifica che per quanto riguarda i trattamenti effettuati per "l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri" la base giuridica per i trattamenti aventi ad oggetto dati personali "comuni" sia da rinvenirsi esclusivamente in una norma di legge o di regolamento. La disposizione riformula il previgente articolo 19 del Codice, ampliando l’ambito soggettivo di applicazione in ossequio a quanto previsto dal GDPR. Nel Regolamento, infatti, scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando unicamente la finalità (concernente un interesse pubblico o privato) del trattamento perseguita. L'articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e), Reg).
  • 22. L’art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni) introduce l’obbligo per le autorità giudiziarie di designare il Data protection officer (Dpo) La previsione ricalca quanto già stabilito dal d.lgs. 18 maggio 2018, n. 51, approvato lo scorso maggio, in attuazione alla direttiva (UE) 2016/680. DPO OBBLIGATORIO per le AUTORITA’ GIUDIZIARIE
  • 23. I MAGGIORI POTERI IN CAPO AL GARANTE
  • 24. Con il decreto di adeguamento, al Garante italiano sono stati conferiti poteri molto ampi, finalizzati ad assicurare, anche nel tempo, una attuazione della normativa flessibile e adeguata allo sviluppo delle tecnologie. Uno degli aspetti più importanti della nuova normativa riguarda, infatti, l’evidente centralità assegnata al Garante. Gli viene infatti affidato il compito di promuovere regole deontologiche, scrivere misure di garanzia per il trattamento di dati genetici, biometrici, sanitari, adottare provvedimenti contenenti misure ed accorgimenti a garanzia dell’interessato. I MAGGIORI POTERI IN CAPO AL GARANTE
  • 25. L’art. 2 quater disciplina la promozione di “regole deontologiche” il cui rispetto, in seguito all’approvazione e pubblicazione, diviene condizione essenziale per la liceità e la correttezza dei trattamenti effettuati in osservanza di un obbligo legale, per ragioni di rilevante interesse pubblico e per i dati genetici, biometrici e relativi alla salute. Oltre alle regole deontologiche, qualora si tratti di dati genetici, biometrici e relativi alla salute, il legislatore italiano ha previsto, secondo quanto concesso dall’art. 9.4 GDPR, l’emanazione di apposite misure di garanzia da parte del Garante. I MAGGIORI POTERI IN CAPO AL GARANTE
  • 26. Le misure di garanzia In tema di trattamento dati sanitari, genetici e ricerca scientifica, il legislatore delegato ha infatti deciso di imporre al Garante l’adozione di un provvedimento, sottoposto a consultazione pubblica prima della sua emanazione e della durata almeno biennale, con cui individuare quelle ulteriori misure di sicurezza (oggi contenute nelle attuali Autorizzazioni Generali, oggetto di successivo riesame e che saranno abrogate solo se dovessero essere ritenute incompatibili con il GDPR) condizioni o determinati accorgimenti che i Titolari dovranno osservare nel trattare tali particolari categorie di dati. .
  • 27. Le misure di garanzia ➜ Tali misure individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione (cfr. art. 32 GDPR), le misure di minimizzazione (in linea con quanto già disponeva il Codice previgente), le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.
  • 28. Le misure di garanzia Infine, per trattamenti nell’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati, di cui all’art. 35 GDPR, ossia per quei trattamenti per i quali sarebbe necessaria una valutazione di impatto, ai sensi dell’art. 2 quinquedecies, il Garante, può adottare d’ufficio provvedimenti a carattere generale prescrivendo misure ed accorgimenti a garanzia dell’interessato.
  • 29. Il decreto di adeguamento, oltre ad ampliare i compiti del Garante, ha rafforzato anche il potere dell’Autorità. L’art. 154-ter, rubricato “Potere di agire e rappresentanza in giudizio”, introdotto dall’art. 14 del decreto di adeguamento, conferisce al Garante la legittimazione ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali. I MAGGIORI POTERI IN CAPO AL GARANTE
  • 30. TRATTAMENTO dei DATI BIOMETRICI e RELATIVI ALLA SALUTE Anche il trattamento di dati personali in ambito sanitario subisce rilevanti modifiche. ➜ Il decreto n. 101/2018 ridisegna la parte II del titolo V del d.lgs. n. 196/2003 in conformità alle previsioni del GDPR (art. 9) eliminando la necessità del consenso per il trattamento di categorie particolari di dati personali in ambito sanitario (Vd. nuovo art. 75 del d.lgs. n. 196/2003) ➜ In ogni caso, il trattamento dei dati genetici, biometrici e relativi alla salute dovrà avvenire in conformità alle misure di garanzia disposte dal garante con cadenza biennale (art. 2-septies del Codice). ➜ Con la riforma si arricchisce anche la “lista” dei dati particolari (i “vecchi” dati sensibili) includendo i dati genetici, in conformità a quanto previsto dall’articolo 9, paragrafo 1, del Regolamento.
  • 31. DIRITTI RIGUARDANTI LE PERSONE DECEDUTE ➜ Art. 2-terdecies (Diritti riguardanti le persone decedute) 1. comma: “I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
  • 32. DIRITTI RIGUARDANTI LE PERSONE DECEDUTE ➜ A fronte della generale inapplicabilità alle persone decedute sancita dal GDPR nel considerando 27) a mente del quale “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” … il Decreto Legislativo 10 agosto 2018, n. 101, introduce il concetto di diritto all’eredità del dato in caso di decesso, con la previsione espressa di una norma che consente di disporre post mortem dei propri dati forniti ai servizi informativi delle società, mediante l’esercizio dei diritti ex artt. 15-22 GDPR.
  • 33. SEMPLIFICAZIONI PER LE PICCOLE E MEDIE IMPRESE ➜ Il Decreto Legislativo 10 agosto 2018, n. 10, nell’attribuire al Garante il potere di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento e di approvare le regole deontologiche di cui all’art. 2 – quater, contiene al 4° comma dell’art. 154 – bis l’espressa previsione della promozione, mediante lo strumento delle linee guida, di modalità semplificate di adempimento degli obblighi del titolare del trattamento per le micro, piccole e medie imprese. La previsione si pone l’intento di introdurre una gradualità di applicazione della normativa, che tenga conto delle esigenze specifiche delle dimensioni delle diverse realtà economiche presenti sul territorio nazionale.
  • 34. TUTELA DI FRONTE AL GARANTE ➜ Rispetto alle forme di tutela dinanzi al Garante, con il d.lgs. n. 101/2018 viene meno il Ricorso quale forma di tutela dinanzi al Garante. In alternativa alla tutela giurisdizionale persiste il Reclamo (art. 141 e ss. del Codice), novellato dall’art. 13 del decreto di adeguamento, il cui procedimento di esame sarà disciplinato dal Garante con proprio regolamento. ➜ Viene modificata anche la disciplina delle segnalazioni (richiamate nell’art. 54, par. 2, del GDPR) L’art 144 del Codice novellato stabilisce che, “Chiunque” possa rivolgere una segnalazione al Garante e non i soli interessati come previsto dalla lettura combinata dei previgenti artt. 142 e 144.
  • 36. I soggetti designati ➜ La figura dei soggetti designati viene introdotta dall’art. 2 – terdecies, il cui titolo recita “Attribuzione di funzioni e compiti a soggetti designati” dispone che: ➜ Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. ➜ Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.
  • 37. I soggetti designati Nella relazione illustrativa al decreto, in commento all’art. 2 – terdecies si legge che “la norma (ndr) prevede il potere di Titolare e Responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati.”
  • 38. I soggetti designati Ad una prima lettura, il soggetto “designato” sembrerebbe pertanto diverso da quello definito “istruito” al trattamento ai sensi dell’art. 29 GDPR. I designati, infatti, sono coloro a cui vengono attribuiti specifici compiti e funzioni internamente all’assetto organizzativo del titolare o del responsabile e relativamente al trattamento dei dati personali
  • 39. I soggetti designati ➜ Il secondo comma dell’artt. 2 terdecies invece, fa riferimento ai soggetti che sono autorizzati al trattamento di dati personali sotto la diretta autorità del titolare o responsabile. La norma sembrerebbe richiedere un quid aggiuntivo rispetto all’art. 29 GDPR che prevede, solo la necessaria istruzione – e non un’autorizzazione – di coloro che effettuano il trattamento. Le due disposizioni sono quindi incompatibili?
  • 40. I soggetti designati Svolgendo un’analisi semantica più approfondita, si arriva alla conclusione che l’atto di istruire qualcuno ad effettuare un trattamento contiene implicitamente l’autorizzazione allo svolgimento del trattamento stesso. Non si ravvisa pertanto un’incongruità della previsione contenuta nel nuovo art. 2 terdecies rispetto alla previsione regolamentare ex art 29 GDPR. In ottica di “accountability” interna, è possibile quindi, prevedere specifiche deleghe o redigere mansionari per classi omogenee (per tipologie di autorizzati/designati), delimitando l’ambito del trattamento al quale si è autorizzati, consentendo, di dare seguito agli adempimenti organizzativi interni alla struttura aziendale/professionale del Titolare del trattamento.
  • 42. Si può parlare di “sospensione” delle sanzioni? In attesa della pubblicazione del Decreto di adeguamento, è emersa la nota questione relativa all’ipotesi di un “periodo di proroga” di 8 mesi con relativa sospensione delle attività ispettive del Garante
  • 43. Si può parlare di “sospensione” delle sanzioni? Il nuovo testo del Codice Privacy, sull’eco delle richieste pervenute da più parti anche in sede di audizioni parlamentari, stabilisce, all’art. 22, comma 13, che per i primi otto mesi dalla data di entrata in vigore del decreto legislativo, il Garante per la protezione dei dati personali debba tenere conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento europeo, della fase di prima applicazione delle disposizioni transitorie.
  • 44. Si può parlare di “sospensione” delle sanzioni? La disposizione pertanto non introduce alcuna proroga o sospensione dei controlli, ma si limita a disporre che il Garante adotti nei primi 8 mesi un approccio “soft” dal punto di vista sanzionatorio, valutando in sede ispettiva diversi fattori come suggerito anche Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 - WP253 Adottate il 3 ottobre 2017 anche alla luce del principio di gradualità e di proporzionalità delle sanzioni sancito dallo stesso GDPR
  • 46. IL QUADRO SANZIONATORIO Con l’applicazione degli articoli 83 e 84 del Regolamento e con l’entrata in vigore del Dlgs 101/2018, il quadro sanzionatorio è radicalmente mutato. Sanzioni amministrative pecuniarie In linea con quanto stabilito dall’art. 83 del Regolamento, che ha reso incompatibile la disciplina delle sanzioni amministrative con il GDPR, l’art. 27 del Dlgs 101/2018 ha espressamente abrogato gli artt. da 161 a 164 del Codice previgente e ha sostituito il precedente articolo 166 con una nuova disposizione, ricca di rinvii.
  • 47. IL QUADRO SANZIONATORIO Sanzioni penali Solo gli Stati membri possono prevedere sanzioni per le violazioni del Regolamento diverse da quelle pecuniarie (art. 84 GDPR) e poiché l’impianto sanzionatorio del Regolamento è improntato esclusivamente su sanzioni amministrative, tutte le condotte qualificate, a livello europeo, come illeciti amministrativi non possono essere qualificate come sanzioni penali (l’articolo 169 del Codice in tema di violazione di misure di sicurezza è stato p.e. abrogato con la conseguente depenalizzazione delle condotte ante riforma sanzionate penalmente).
  • 48. IL QUADRO SANZIONATORIO Con l’introduzione del Dlgs n. 101/201, permangono le fattispecie di reato relative a: • “Trattamento illecito dei dati” novellato nella pena (reclusione da sei mesi a tre anni, art. 167) • “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” (art. 168) • “Inosservanza di provvedimenti del Garante” (art. 170) • “Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori” (art. 171)
  • 49. IL QUADRO SANZIONATORIO Sono state introdotte nuove fattispecie di reato, quali: - Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (reclusione da uno a sei anni, art 167-bis) - Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (reclusione da uno a quattro anni, art. 167-ter)
  • 50. Le novità in PILLOLE del Decreto Legislativo 10 agosto 2018, n. 101 1. BASE GIURIDICA TRATTAMENTO DATI DA PARTE DEGLI ENTI PUBBLICI 2. ETA’ PER IL CONSENSO DEL MINORE 3. DATI BIOMETRICI, GENETCI E RELATIVI ALLA SALUTE 4. PERSONE DECEDUTE 5. PICCOLE E MEDIE IMPRESE 6. REGIME TRANSITORIO DELLE DISPOSIZONI 7. I SOGGETTI “DESIGNATI” 9. QUADRO SANZIONATORIO 8. I MAGGIORI POTERI DEL GARANTE
  • 51. Non dimenticare di segnarti la mia email: eleonora.mataloni@virgilio.it