Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Tarallo privacy

69 views

Published on

Analisi del problema

Published in: Health & Medicine
  • Be the first to comment

  • Be the first to like this

Tarallo privacy

  1. 1. © Pasquale Tarallo Linee Guida in vista della piena applicazione prevista per il 25 Maggio 2018 Regolamento Europeo per la Protezione dei Dati Personali 2016/679
  2. 2. © Pasquale Tarallo 2 Copyright Licenza Creative Commons CC BY-NC-SA 3.0 IT per essere successivamente UTILIZZATO, MODIFICATO DISTRIBUITO LIBERAMENTE con Licenza Creative Commons CC BY-NC-SA 3.0 IT (Attribuzione – Non commerciale – Condividi allo stesso modo 3.0 Italia) Questa presentazione è parte di un progetto editoriale più ampio Ideato, Realizzato e Distribuito GRATUITAMENTE per tentare una Chiave di Lettura al Regolamento Europeo per la Protezione dei Dati Personali 2016/679 (in inglese General Data Protection Regulation, GDPR). Può essere richiesto via mail in formato ppt all’Autore Pasquale Tarallo
  3. 3. 3 Contenuti 1 Perché si promuove la Protezione dei Dati Personali 2 La Guida dell’Autorità Garante 3 Fondamenti di Liceità 4 Informativa 5 Diritti degli interessati 6 Titolare, responsabile, incaricato del Trattamento 7 Approccio basato sul rischio e Responsabilizzazione 8 Il Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali 9 Conclusioni
  4. 4. 4 © Pasquale Tarallo 1 Perché si promuove la Protezione dei Dati Personali
  5. 5. © Pasquale Tarallo 5 Il nuovo scenario digitale mostra che la Rete è pervasiva, immateriale ed immediatamente disponibile a molti utenti La rapidità e l’intensità dell'evoluzione tecnologica hanno condotto all’aumento di soggetti ed oggetti connessi fra loro (per questo si parla di rete delle cose, Internet Of Things, IoT). Si assiste al conseguente scambio e condivisione di dati fra Individui ed Organizzazioni di diverso genere e tipo (o scopo, quali Istituzioni, Imprese, Enti no Profit, etc.) in tutto il mondo sia fisico che digitale.
  6. 6. © Pasquale Tarallo 6 L’importanza della Sicurezza delle Informazioni è discussa in maniera più approfondita in ALTRA PRESENTAZIONE
  7. 7. © Pasquale Tarallo 7 Considerato che qualcosa è cambiato, cosa deve essere preso in considerazione ? Come Proteggere i Dati Personali ? Come Proteggere le Informazioni ? Cosa bisogna prendere in considerazione
  8. 8. © Pasquale Tarallo 8 Il fenomeno dei Big Data L’innovazione comporta nuove sfide. Tra le altre, la portata della condivisione e della raccolta dei BIG DATA* • da un lato dovrebbe facilitare ancora di più la loro libera circolazione sia all'interno dell'Unione che per il loro trasferimento verso paesi terzi e organizzazioni internazionali, • mentre dall’altro dovrebbe garantire un elevato livello di protezione da eventuali violazioni dei dati personali. *Definizione nella slide successiva.
  9. 9. © Pasquale Tarallo 9 A proposito di Big Data, cosa sono e come possono essere trattati ? Talvolta si usa l’espressione inglese BIG DATA per fare riferimento ai grandi volumi di dati, siano essi grezzi o strutturati, in una forma definita in termini di Volume, Velocità, Varietà e Veridicità che potrebbero essere trattari in formato Elettronico, per Iscritto o Visivamente. Individui Organizzazioni Oggetti Profilazione e/o Condivisione Il Trattamento può comprendere la Raccolta, la Registrazione, la Conservazione, il Recupero, la Trasmissione, il Blocco o la Cancellazione dei dati. Anche per Sostenere oppure Opporsi alla Profilazione e/o Condivisione dei medesimi.
  10. 10. © Pasquale Tarallo 10 In virtù dell’enorme quantità di Norme presenti alcuni anni fa si avviò un confronto per armonizzarle in tutta l’Unione
  11. 11. © Pasquale Tarallo 11 Considerate le nuove minacce e le violazioni dei dati personali si decise di accelerare la trasformazione normativa con il GDPR Abbiamo scelto un Regolamento perché non necessita un recepimento dei Paesi Membri ed è in grado di disciplinare la Protezione del Trattamento dei Dati Personali delle Persone Fisiche e della loro Circolazione in tutta l’Unione Europea
  12. 12. © Pasquale Tarallo 12 Il Regolamento per la Protezione dei Dati Personali A seguito della pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del 04 Giugno 2016, è entrato formalmente in vigore il 24 maggio 2016 il Regolamento Europeo per la Protezione dei Dati Personali 2016/679 o nella sua accezione inglese General Data Protection Regulation (GDPR).
  13. 13. © Pasquale Tarallo 13 Dall’approvazione all’applicazione Il GDPR diverrà pienamente applicabile a decorrere dal 25 maggio 2018 (secondo quanto previsto dall’art. 99 delle disposizioni finali) Pubblicazione sulla Gazzetta Ufficiale UE: 04 Maggio 2016 Entrata in vigore (dopo 20 gg): 24 Maggio 2016 Effettiva applicazione: 25 Maggio 2018
  14. 14. © Pasquale Tarallo 14 Alcuni primi dettagli del GDPR Per favorire l’applicazione del GDPR ciascuno stato membro è stato chiamato ad istituire un’Autorità Sovrintendente Indipendente per  dare udienza ai reclami,  effettuare indagini,  sanzionare le infrazioni amministrative,  ecc. • Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte sotto il coordinamento e la supervisione di una apposita commissione europea per la protezione dei dati (EDPB, European Data Protection Board).
  15. 15. © Pasquale Tarallo 15 Il WP 29 • Inizialmente il gruppo di lavoro delle diverse autorità è stato citato anche come WP 29 (Working Party Article 29) poiché è stato istituito dall'art. 29 della direttiva 95/46, come organismo consultivo e indipendente. • Il WP 29 è composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione appositamente istituita in sede UE. • Il 25 Maggio 2018, all’atto della piena applicazione del GDPR, il WP29 verrà sostituito dall’EDPB (European Data Protection Board)
  16. 16. © Pasquale Tarallo 16 Compiti del WP 29 Fra i compiti più rilevanti del WP29 vi sono i seguenti: • formulare pareri sul livello di tutela nella Comunità e nei paesi terzi • fornire consulenze alla Commissione in merito ad ogni progetto di modifica della direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà • formulare pareri sui codici di condotta elaborati a livello comunitario • formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità • definire i criteri di adeguatezza per i paesi terzi.
  17. 17. © Pasquale Tarallo 17 Meccanismo di coerenza all’interno dell’UE Il Regolamento prevede un MECCANISMO DI COERENZA, gestito dal Garante Europeo per la Protezione dei Dati (GEPD, oppure nella versione inglese EDPS, European Data Protection Supervisor) che uniforma l'interpretazione e applicazione del Regolamento in tutti i Paesi dell'Unione. In particolare viene indicato che, qualora ci siano delle divergenze tra le legislazioni degli stati membri che possano pregiudicare l'equivalenza della tutela persone, interviene il WP29 informando la speciale commissione dell’UE, formulando pareri e raccomandazioni. La Commissione è tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni.
  18. 18. © Pasquale Tarallo 18 Il riconoscimento di una Leading Authority favorisce la disponibilità di un punto di contatto unico • Qualora un’impresa abbia più stabilimenti nell'UE, avrà un'unica Autorità sovrintendente come propria «Autorità principale« a cui fare riferimento, sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il luogo dove si realizzano le principali attività di gestione). • L’Autorità principale agirà quale "sportello unico (noto anche come meccanismo dell’One Stop Shop, ovvero unico negozio dove trovo tutto)" per supervisionare tutte le attività di gestione dati di quell’impresa nell’UE. L’Autorità principale fungerà anche da capofila (Leading Authority) nei confronti delle altre Autorità nazionali cooperando ed avendo la competenza di emettere decisioni vincolanti per la altre autorità.
  19. 19. © Pasquale Tarallo 19 Nonostante l’approssimarsi del 25 Maggio permangono i Dubbi su modalità, costi, opportunità e necessità di essere conformi Considerando le principali novità introdotte dal nuovo Regolamento si deve riflettere sui possibili approcci da utilizzare per confermare l’ìmportanza della protezione dei dati personali e giungere alla scadenza del 25 maggio 2018 con le idee più CHIARE non solo ai fini della conformità.
  20. 20. © Pasquale Tarallo 20 In sintesi si chiede di comprendere COSA FARE Seguendo l’Autorità Garante per la Protezione dei Dati Personali si distinguono LE AZIONI CHE POSSONO ESSERE INTRAPRESE IMMEDIATAMENTE in quanto basate su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale, rispetto alle altre norme del Regolamento, come quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge.
  21. 21. 21 © Pasquale Tarallo 2 Il GDPR nella sua Formulazione Originale
  22. 22. © Pasquale Tarallo 22 Il Regolamento Generale per la Protezione dei Dati Personali si compone di 11 Capi suddivisi in 99 Articoli e 173 Considerando 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 43 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99
  23. 23. © Pasquale Tarallo 23 Nel Capo I si disciplinano le DISPOSIZIONI GENERALI in 4 Articoli 1. Oggetto e finalità 2. Ambito di applicazione materiale 3. Ambito di applicazione territoriale 4. Definizioni 1 2 3 4
  24. 24. © Pasquale Tarallo 24 Nel Capo II si disciplinano i PRINCIPI in 11 Articoli 5 6 7 8 9 10 11 5. Principi applicabili al Trattamento di dati personali 6. Liceità del Trattamento 7. Condizioni per il consenso 8. Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione 9. Trattamento di categorie particolari di dati personali 10. Trattamento dei dati personali relativi a condanne penali e reati 11. Trattamento che non richiede l'identificazione
  25. 25. © Pasquale Tarallo 25 Nel Capo IV si disciplinano il TITOLARE ed il RESPONSABILE del Trattamento in 3 Sezioni e 20 Articoli Sezione 1 - Obblighi generali Sezione 2 - Sicurezza dei dati personali Sezione 3 - Valutazione d'impatto sulla protezione dei dati e consultazione preventiva Sezione 4 - Responsabile della protezione dei dati Sezione 5 - Codici di condotta e certificazione 23 12 13 14 15 16 17 18 19 20 21 22
  26. 26. © Pasquale Tarallo 26 Nel Capo III si disciplinano i DIRITTI DELL’INTERESSATO in 5 Sezioni e 12 Articoli Sezione 1 - Trasparenza e modalità Sezione 2 - Informazione e accesso ai dati personali Sezione 3 - Rettifica e cancellazione Sezione 4 - Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche Sezione 5 - Limitazioni 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43
  27. 27. © Pasquale Tarallo 27 Nel Capo V si disciplinano i Trasferimenti di dati verso paesi terzi o organizzazioni internazionali in 7 Articoli 44 45 46 47 48 49 50 44. Principio generale per il trasferimento 45. Trasferimento sulla base di una decisione di adeguatezza 46. Trasferimento soggetto a garanzie adeguate 47. Norme vincolanti d'impresa 48. Trasferimento o comunicazione non autorizzati dal diritto dell'Unione 49. Deroghe in specifiche situazioni 50. Cooperazione internazionale per la protezione dei dati personali
  28. 28. © Pasquale Tarallo 28 Nel Capo VI si disciplinano le Autorità di controllo indipendenti in 2 Sezioni e 9 Articoli 51 52 53 54 55 56 57 58 59 Sezione 1 - Indipendenza Sezione 2 – Competenza, compiti e poteri
  29. 29. © Pasquale Tarallo 29 Nel Capo VI si disciplinano la Cooperazione e la Coerenza in 3 Sezioni e 26 Articoli Sezione 1 - Cooperazione Sezione 2 – Coerenza Sezione 3 – Comitato europeo per la protezione dei dati 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76
  30. 30. © Pasquale Tarallo 30 Nel Capo VIII si disciplinano i Mezzi di ricorso, le responsabilità e le sanzioni in 8 Articoli 77. Diritto di proporre reclamo all'autorità di controllo 78. Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo 79. Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del Trattamento o del responsabile del Trattamento 80. Rappresentanza degli interessati 81. Sospensione delle azioni 82. Diritto al risarcimento e responsabilità 83. Condizioni generali per infliggere sanzioni amministrative pecuniarie 84. Sanzioni 77 78 79 80 81 82 83 84
  31. 31. © Pasquale Tarallo 31 Nel Capo IX si disciplinano le Disposizioni relative a specifiche situazioni di Trattamento in 7 Articoli 85 86 87 88 89 90 91 85. Trattamento e libertà d'espressione e di informazione 86. Trattamento e accesso del pubblico ai documenti ufficiali 87. Trattamento del numero di identificazione nazionale 88. Trattamento dei dati nell'ambito dei rapporti di lavoro 89. Garanzie e deroghe relative al Trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici 90. Obblighi di segretezza 91. Norme di protezione dei dati vigenti presso chiese e associazioni religiose
  32. 32. © Pasquale Tarallo 32 Nel Capo X si disciplinano gli Atti delegati e gli Atti di esecuzione in 2 Articoli 92 93 92. Esercizio della delega 93. Procedura di comitato
  33. 33. © Pasquale Tarallo 33 Nel Capo XI si riportano le Disposizioni Finali in 6 Articoli 94. Abrogazione della direttiva 95/46/CE 95. Rapporto con la direttiva 2002/58/CE 96. Rapporto con accordi precedentemente conclusi 97. Relazioni della Commissione 98. Riesame di altri atti legislativi dell'Unione in materia di protezione dei dati 99. Entrata in vigore e applicazione 9694 95 97 98 99
  34. 34. © Pasquale Tarallo 34 Per Esplicitare il lessico utilizzato nel GDPR si riportano per esteso il CAPO 1 ed i Relativi Articoli (A) e Considerando (C) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 43 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99
  35. 35. © Pasquale Tarallo 35 Come abbiamo visto nel Capo I si disciplinano le DISPOSIZIONI GENERALI in 4 Articoli 1. Oggetto e finalità 2. Ambito di applicazione materiale 3. Ambito di applicazione territoriale 4. Definizioni 1 2 3 4
  36. 36. © Pasquale Tarallo 36 Vediamo i Dettagli Esaminiamo in dettaglio l’Art.1 (A1) Oggetto e Finalità (C1-14, C170, C172) Vediamo i Dettagli
  37. 37. © Pasquale Tarallo 37 Disposizioni Generali (Capo I) Oggetto e Finalità (A1) • Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. • Esso protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. • La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali.
  38. 38. © Pasquale Tarallo 38 Disposizioni Generali (Capo I) Oggetto e Finalità (C1) • La protezione delle persone fisiche con riguardo al Trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
  39. 39. © Pasquale Tarallo 39 Disposizioni Generali (Capo I) Oggetto e Finalità (C14) • È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei loro dati personali. • Il presente regolamento non disciplina il Trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
  40. 40. © Pasquale Tarallo 40 Disposizioni Generali (Capo I) Oggetto e Finalità (C170) • Poiché l’obiettivo del presente regolamento, vale a dire garantire un livello equivalente di tutela delle persone fisiche e la libera circolazione dei dati personali nell’Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea (TUE). • Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
  41. 41. © Pasquale Tarallo 41 Disposizioni Generali (Capo I) Oggetto e Finalità (C172) • Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso un parere il 7 marzo 2012
  42. 42. © Pasquale Tarallo 42 Vediamo i Dettagli Esaminiamo in dettaglio l’Art.2 (A2) Ambito di Applicazione Materiale (C15-21) Vediamo i Dettagli
  43. 43. © Pasquale Tarallo 43 Disposizioni Generali Ambito di Applicazione Materiale (A2) 1. Il GDPR si applica alle PERSONE FISICHE, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei loro dati personali contenuti in un archivio o destinati a figurarvi.
  44. 44. © Pasquale Tarallo 44 Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (A2) (continua) 2. Il regolamento non si applica ai trattamenti di alcune categorie di Dati Personali (esplicitate nelle prossime diapositive).
  45. 45. © Pasquale Tarallo 45 Disposizioni Generali: Ambito di applicazione materiale Esclusioni • per attività che non rientrano nell'ambito di applicazione del diritto dell’UE • effettuato dagli Stati membri nell'esercizio di attività relative alla POLITICA ESTERA e di SICUREZZA NAZIONALE o COMUNE DELL’UE • effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di REATI O ESECUZIONE DI SANZIONI PENALI incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. IL GDPR non si applica per il Trattamento dei dati personali effettuato
  46. 46. © Pasquale Tarallo 46 Disposizioni Generali: Ambito di applicazione materiale Esclusioni (continua) Inoltre, Il GDPR non si applica ai Trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività commerciale o professionale. Le attività a carattere personale o domestico dovrebbero comprendere la corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il GDPR si applica comunque ai titolari del Trattamento o ai responsabili del Trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
  47. 47. © Pasquale Tarallo 47 Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (A2) (continua) 3. Per il Trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell’Unione applicabili a tale Trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98. 4. Il Regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.
  48. 48. © Pasquale Tarallo 48 Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (C15) • Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. • La protezione delle persone fisiche dovrebbe applicarsi sia al Trattamento automatizzato che al Trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio. • Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.
  49. 49. © Pasquale Tarallo 49 Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (C21) • Il presente regolamento non pregiudica l’applicazione della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, in particolare delle norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva. • Detta direttiva mira a contribuire al buon funzionamento del mercato interno garantendo la libera circolazione dei servizi della società dell’informazione tra Stati membri.
  50. 50. © Pasquale Tarallo 50 Vediamo i Dettagli Esaminiamo in dettaglio l’Art.3 (A3) Ambito di Applicazione Territoriale (C22-25) Vediamo i Dettagli
  51. 51. © Pasquale Tarallo 51 Disposizioni Generali Ambito di Applicazione Territoriale (A3) 1. Il presente regolamento si applica al Trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del Trattamento o di un responsabile del Trattamento nell’Unione, indipendentemente dal fatto che il Trattamento sia effettuato o meno nell’Unione
  52. 52. © Pasquale Tarallo 52 Disposizioni Generali Ambito di Applicazione Territoriale (C22) • Qualsiasi Trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del Trattamento o responsabile del Trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il Trattamento avvenga all’interno dell’Unione. • Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. • A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
  53. 53. © Pasquale Tarallo 53 Disposizioni Generali Ambito di Applicazione Territoriale (A3) 2. Il presente regolamento si applica al Trattamento dei Dati di Interessati che si trovano nell'Unione, effettuato da un titolare o da un responsabile che non è stabilito nell'Unione, quando le attività di Trattamento riguardano: • l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; • oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
  54. 54. © Pasquale Tarallo 54 Disposizioni Generali Ambito di Applicazione Territoriale (C23) • Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il Trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del Trattamento o da un responsabile del Trattamento non stabilito nell’Unione, quando le attività di Trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato.
  55. 55. © Pasquale Tarallo 55 Disposizioni Generali Ambito di Applicazione Territoriale (C23) (continua) • Per determinare se tale titolare o responsabile del Trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del Trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione.
  56. 56. © Pasquale Tarallo 56 Disposizioni Generali Ambito di Applicazione Territoriale (C23) (continua) • Mentre la semplice accessibilità del sito web del titolare del Trattamento, del responsabile del Trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del Trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del Trattamento di offrire beni o servizi agli interessati nell’Unione
  57. 57. © Pasquale Tarallo 57 Disposizioni Generali Ambito di Applicazione Territoriale (C24) • È opportuno che anche il Trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del Trattamento o di un responsabile del Trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. • Per stabilire se un’attività di Trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di Trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
  58. 58. © Pasquale Tarallo 58 Disposizioni Generali Ambito di Applicazione Territoriale (A3) 3. Il presente regolamento si applica al Trattamento dei dati personali effettuato da un titolare che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. (ad esempio in una a rappresentanza diplomatica o consolare
  59. 59. © Pasquale Tarallo 59 Disposizioni Generali Ambito di Applicazione Territoriale (C25) • Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del Trattamento non stabilito nell’Unione.
  60. 60. © Pasquale Tarallo 60 Vediamo i Dettagli Esaminiamo in dettaglio l’Art.4 (A4) Definizioni (vari Considerando) Vediamo i Dettagli
  61. 61. © Pasquale Tarallo 61 Disposizioni Generali Definizioni
  62. 62. © Pasquale Tarallo 62 Disposizioni Generali - Definizioni Dato Personale (A4 comma 1) Un DATO PERSONALE è Qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato») con particolare riferimento a un identificativo. Possibili identificativi • il nome, • un numero di identificazione, • i dati relativi all'ubicazione, • un identificativo online • uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica (dati biometrici), • uno o più elementi caratteristici della sua identità economica, culturale o sociale
  63. 63. © Pasquale Tarallo 63 Disposizioni Generali Il Dato Personale: alcune considerazioni dell’autore Secondo gli estensori del GDPR è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. Si noti che si utilizza in modo equivalente il termine DATO ed il termine INFORMAZIONE. I puristi potrebbero obiettare che il termine DATO è sinonimo di dato grezzo, primitivo, senza alcuna forma di Trattamento, mentre quando si parla di INFORMAZIONE si prevede già qualche forma di elaborazione, aggregazione, etc. Tuttavia, questa distinzione non emerge nel GDPR.
  64. 64. © Pasquale Tarallo 64 Disposizioni Generali Dato Personale (C26)
  65. 65. © Pasquale Tarallo 65 Disposizioni Generali Dato Personale (C26) (continua)
  66. 66. © Pasquale Tarallo 66 Disposizioni Generali Dato Personale (C26) (continua)
  67. 67. © Pasquale Tarallo 67 Disposizioni Generali Dato Personale (C27)
  68. 68. © Pasquale Tarallo 68 Disposizioni Generali Dato Personale (C30)
  69. 69. © Pasquale Tarallo 69 Disposizioni Generali - Definizioni Trattamento (A4 comma 2)
  70. 70. © Pasquale Tarallo 70 Disposizioni Generali Il Trattamento: qualche esempio riportati nell’Art. 4 Esempi di Trattamento dei dati personali sono: • la raccolta, • la registrazione, • l'organizzazione, • la strutturazione, • la conservazione, • l'adattamento o la modifica, • l'estrazione, • la consultazione, • l'uso, • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, • il raffronto o l'interconnessione, • la limitazione, • la cancellazione, • la distruzione.
  71. 71. © Pasquale Tarallo 71 Disposizioni Generali . Definizioni Limitazione del Trattamento (A4 comma 3)
  72. 72. © Pasquale Tarallo 72 Disposizioni Generali La Limitazione del Trattamento (C67)
  73. 73. © Pasquale Tarallo 73 Disposizioni Generali La Limitazione del Trattamento (C67) (continua)
  74. 74. © Pasquale Tarallo 74 Disposizioni Generali - Definizioni Profilazione (A4 comma 4)
  75. 75. © Pasquale Tarallo 75 Disposizioni Generali - Definizioni Profilazione (A4 comma 4) (continua)
  76. 76. © Pasquale Tarallo 76 Disposizioni Generali - Definizioni La Profilazione (C24)
  77. 77. © Pasquale Tarallo 77 Disposizioni Generali - Definizioni La Profilazione (C24) (continua)
  78. 78. © Pasquale Tarallo 78 Disposizioni Generali - Definizioni La Profilazione (C30)
  79. 79. © Pasquale Tarallo 79 Disposizioni Generali - Definizioni La Profilazione (C71)
  80. 80. © Pasquale Tarallo 80 Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
  81. 81. © Pasquale Tarallo 81 Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
  82. 82. © Pasquale Tarallo 82 Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
  83. 83. © Pasquale Tarallo 83 Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
  84. 84. © Pasquale Tarallo 84 Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
  85. 85. © Pasquale Tarallo 85 Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
  86. 86. © Pasquale Tarallo 86 Disposizioni Generali - Definizioni La Profilazione (C72)
  87. 87. © Pasquale Tarallo 87 Disposizioni Generali - Definizioni Pseudonimizzazione (A4 comma 5)
  88. 88. © Pasquale Tarallo 88 Disposizioni Generali - Definizioni Pseudonimizzazione (C26)
  89. 89. © Pasquale Tarallo 89 Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)
  90. 90. © Pasquale Tarallo 90 Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)
  91. 91. © Pasquale Tarallo 91 Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)
  92. 92. © Pasquale Tarallo 92 Disposizioni Generali - Definizioni Pseudonimizzazione (C28)
  93. 93. © Pasquale Tarallo 93 Disposizioni Generali - Definizioni Pseudonimizzazione (C29)
  94. 94. © Pasquale Tarallo 94 Disposizioni Generali - Definizioni Pseudonimizzazione (C29) (continua)
  95. 95. © Pasquale Tarallo 95 Disposizioni Generali - Definizioni Archivio (A4 comma 6)
  96. 96. © Pasquale Tarallo 96 Disposizioni Generali - Definizioni Archivio (C15)
  97. 97. © Pasquale Tarallo 97 Disposizioni Generali - Definizioni Titolare del Trattamento (A4 comma 7)
  98. 98. © Pasquale Tarallo 98 Disposizioni Generali - Definizioni Titolare del Trattamento (C74)
  99. 99. © Pasquale Tarallo 99 Disposizioni Generali - Definizioni Titolare del Trattamento (C74) (continua)
  100. 100. © Pasquale Tarallo 100 Disposizioni Generali - Definizioni Responsabile del Trattamento (A4 comma 8)
  101. 101. © Pasquale Tarallo 101 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 1 di 10
  102. 102. © Pasquale Tarallo 102 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 2 di 10
  103. 103. © Pasquale Tarallo 103 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 3 di 10
  104. 104. © Pasquale Tarallo 104 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 4 di 10
  105. 105. © Pasquale Tarallo 105 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 5 di 11
  106. 106. © Pasquale Tarallo 106 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 6 di 10
  107. 107. © Pasquale Tarallo 107 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 7 di 11
  108. 108. © Pasquale Tarallo 108 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 8 di 10
  109. 109. © Pasquale Tarallo 109 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 9 di 10
  110. 110. © Pasquale Tarallo 110 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 10 di 10
  111. 111. © Pasquale Tarallo 111 Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 10 di 10
  112. 112. © Pasquale Tarallo 112 Disposizioni Generali - Definizioni Destinatario (A4 comma 9)
  113. 113. © Pasquale Tarallo 113 Disposizioni Generali - Definizioni Il Destinatario (C31)
  114. 114. © Pasquale Tarallo 114 Disposizioni Generali - Definizioni Il Destinatario (C31) (continua)
  115. 115. © Pasquale Tarallo 115 Disposizioni Generali - Definizioni Terzi (A4 comma 10)
  116. 116. © Pasquale Tarallo 116 Disposizioni Generali - Definizioni Consenso dell’Interessato (A4 comma 11)
  117. 117. © Pasquale Tarallo 117 Disposizioni Generali - Definizioni Consenso dell’Interessato (C32)
  118. 118. © Pasquale Tarallo 118 Disposizioni Generali - Definizioni Consenso dell’Interessato (C32) (continua)
  119. 119. © Pasquale Tarallo 119 Disposizioni Generali - Definizioni Consenso dell’Interessato (C32) (continua)
  120. 120. © Pasquale Tarallo 120 Disposizioni Generali - Definizioni Il Consenso (C33)
  121. 121. © Pasquale Tarallo 121 Disposizioni Generali - Definizioni Violazione dei dati personali (A4 comma 12)
  122. 122. © Pasquale Tarallo 122 Disposizioni Generali - Definizioni Violazione dei dati personali (C85)
  123. 123. © Pasquale Tarallo 123 Disposizioni Generali - Definizioni Violazione dei dati personali (C85) (continua)
  124. 124. © Pasquale Tarallo 124 Disposizioni Generali - Definizioni Dati Genetici (A4 comma 13)
  125. 125. © Pasquale Tarallo 125 Disposizioni Generali - Definizioni Dati Genetici (C34)
  126. 126. © Pasquale Tarallo 126 Disposizioni Generali - Definizioni Dati Biometrici (A4 comma 14)
  127. 127. © Pasquale Tarallo 127 Disposizioni Generali - Definizioni Dati Biometrici (C51)
  128. 128. © Pasquale Tarallo 128 Disposizioni Generali - Definizioni Dati Biometrici (C51) (continua)
  129. 129. © Pasquale Tarallo 129 Disposizioni Generali - Definizioni Dati Biometrici (C51) (continua)
  130. 130. © Pasquale Tarallo 130 Disposizioni Generali - Definizioni Dati Biometrici (C51) (continua)
  131. 131. © Pasquale Tarallo 131 Disposizioni Generali - Definizioni Dati relativi alla salute (A4 comma 15)
  132. 132. © Pasquale Tarallo 132 Disposizioni Generali - Definizioni Dati relativi alla salute (C35)
  133. 133. © Pasquale Tarallo 133 Disposizioni Generali - Definizioni Dati relativi alla salute (C35) (continua)
  134. 134. © Pasquale Tarallo 134 Disposizioni Generali - Definizioni Dati relativi alla salute (C35) (continua)
  135. 135. © Pasquale Tarallo 135 Disposizioni Generali - Definizioni Stabilimento Principale (A4 comma 16)
  136. 136. © Pasquale Tarallo 136 Disposizioni Generali - Definizioni Stabilimento Principale (A4 comma 16) (continua)
  137. 137. © Pasquale Tarallo 137 Disposizioni Generali - Definizioni Stabilimento Principale (C36)
  138. 138. © Pasquale Tarallo 138 Disposizioni Generali - Definizioni Stabilimento Principale (C36) (continua)
  139. 139. © Pasquale Tarallo 139 Disposizioni Generali - Definizioni Stabilimento Principale (C36) (continua)
  140. 140. © Pasquale Tarallo 140 Disposizioni Generali - Definizioni Stabilimento Principale (C36) (continua)
  141. 141. © Pasquale Tarallo 141 Disposizioni Generali - Definizioni Stabilimento Principale (C36) (continua)
  142. 142. © Pasquale Tarallo 142 Disposizioni Generali - Definizioni Stabilimento Principale (C37)
  143. 143. © Pasquale Tarallo 143 Disposizioni Generali - Definizioni Rappresentante (A4 comma 17)
  144. 144. © Pasquale Tarallo 144 Disposizioni Generali - Definizioni Il Rappresentante (C80)
  145. 145. © Pasquale Tarallo 145 Disposizioni Generali - Definizioni Il Rappresentante (C80) (continua)
  146. 146. © Pasquale Tarallo 146 Disposizioni Generali - Definizioni Il Rappresentante (C80) (continua)
  147. 147. © Pasquale Tarallo 147 Disposizioni Generali - Definizioni Il Rappresentante (C80) (continua)
  148. 148. © Pasquale Tarallo 148 Disposizioni Generali - Definizioni Impresa (A4 comma 18)
  149. 149. © Pasquale Tarallo 149 Disposizioni Generali - Definizioni Gruppo Imprenditoriale (A4 comma 19)
  150. 150. © Pasquale Tarallo 150 Disposizioni Generali - Definizioni Gruppo Imprenditoriale (C37)
  151. 151. © Pasquale Tarallo 151 Disposizioni Generali - Definizioni Gruppo Imprenditoriale (C37) (continua)
  152. 152. © Pasquale Tarallo 152 Disposizioni Generali - Definizioni Il Gruppo Imprenditoriale (C48)
  153. 153. © Pasquale Tarallo 153 Disposizioni Generali - Definizioni Norme Vincolanti di Impresa (A4 comma 20)
  154. 154. © Pasquale Tarallo 154 Disposizioni Generali - Definizioni Norme Vincolanti di Impresa (C37, già discusse, e C110)
  155. 155. © Pasquale Tarallo 155 Disposizioni Generali - Definizioni Autorità di Controllo (A4 comma 21)
  156. 156. © Pasquale Tarallo 156 Disposizioni Generali - Definizioni Autorità di Controllo Interessate (A4 comma 22)
  157. 157. © Pasquale Tarallo 157 Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124)
  158. 158. © Pasquale Tarallo 158 Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124) (continua)
  159. 159. © Pasquale Tarallo 159 Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124) (continua)
  160. 160. © Pasquale Tarallo 160 Disposizioni Generali - Definizioni Trattamento transfrontaliero (A4 comma 23)
  161. 161. © Pasquale Tarallo 161 Disposizioni Generali – Definizioni Obiezione pertinente e motivata (A4 comma 24)
  162. 162. © Pasquale Tarallo 162 Disposizioni Generali - Definizioni Servizio della Società dell’informazione (A4 comma 25)
  163. 163. © Pasquale Tarallo 163 Disposizioni Generali - Definizioni Organizzazione Internazionale (A4 comma 26)
  164. 164. 164 © Pasquale Tarallo 2 La Guida dell’Autorità Garante per la Protezione dei Dati Personali
  165. 165. © Pasquale Tarallo 165 Una chiave di Lettura al GDPR è suggerita dalla nostra Autorità Garante per la Protezione dei Dati Personali con una GUIDA La guida qui riportata • Trae origine dal testo redatto dalla nostra Autorità Garante per la Protezione dei Dati Personali (*) Inoltre • Tiene conto del modo in cui il nuovo Regolamento trova applicazione nel nuovo scenario digitale * L’autorità richiama l’attenzione sulla possibilità che in seguito si potranno apportare opportune integrazioni e modifiche alla Guida alla luce dell'evoluzione della riflessione a livello nazionale ed europeo
  166. 166. © Pasquale Tarallo 166 Trasferimento dei dati Approccio basato sul rischio & Accountability Titolare, Responsabile, e Incaricato del Trattamento Diritti degli interessati Informativa Fondamenti di liceità del Trattamento La nostra Autorità Garante ha preso in esame vari punti per spiegare i passi utili alla comprensione del GDPR
  167. 167. 167 © Pasquale Tarallo 3 I Fondamenti di Liceità
  168. 168. © Pasquale Tarallo 168 Fondamenti di liceità del Trattamento
  169. 169. © Pasquale Tarallo 169 I Fondamenti di Liceità Il regolamento conferma che ogni Trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del Trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice, ovvero: • il CONSENSO • l’adempimento ad OBBLIGHI CONTRATTUALI • gli INTERESSI VITALI della persona interessata o di terzi • gli OBBLIGHI DI LEGGE cui è soggetto il Titolare • l’INTERESSE PUBBLICO o l’ESERCIZIO DI PUBBLICI POTERI • l’INTERESSE LEGITTIMO prevalente del Titolare o di terzi cui i dati vengono comunicati.
  170. 170. © Pasquale Tarallo 170 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Il Consenso Cosa Bisogna Chiedersi ?
  171. 171. © Pasquale Tarallo 171 Cosa CAMBIA Il Consenso Cosa Cambia • DEVE essere ESPLICITO per i DATI SENSIBILI (si veda art. 9 Regolamento), anche per le DECISIONI basate su TRATTAMENTI AUTOMATIZZATI (compresa la profilazione – art. 22). • NON deve essere necessariamente DOCUMENTATO PER ISCRITTO, né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili). • Il Titolare (art. 7.1) DEVE essere in grado di DIMOSTRARE che l'Interessato ha prestato il consenso a uno specifico Trattamento.. • Il consenso dei MINORI è valido a partire dai SEDICI ANNI: prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
  172. 172. © Pasquale Tarallo 172 Cosa è INVARIATO Il Consenso Cosa è Invariato • DEVE ESSERE, in tutti i casi, LIBERO, SPECIFICO, INFORMATO E INEQUIVOCABILE • NON È AMMESSO IL CONSENSO TACITO O PRESUNTO (no a caselle pre-spuntate su un modulo). • DEVE ESSERE MANIFESTATO attraverso una apposita dichiarazione o azione positiva inequivocabile (gli approfondimenti sono riportati nei considerando 39 e 42 del regolamento)
  173. 173. © Pasquale Tarallo 173 Ancora sul Consenso – 1 di 3
  174. 174. © Pasquale Tarallo 174 Ancora sul Consenso – 2 di 3
  175. 175. © Pasquale Tarallo 175 Ancora sul Consenso – 3 di 3
  176. 176. © Pasquale Tarallo 176 Cosa CAMBIA L’Interesse Vitale di un Terzo Cosa Cambia • Il Regolamento per la Protezione dei Dati Personali consente di invocare l’INTERESSE VITALE DI UN TERZO unicamente nel caso in cui nessuna delle altre condizioni di liceità può trovare applicazione (sul punto vale il Considerando 46)
  177. 177. © Pasquale Tarallo 177 Cosa è INVARIATO L’Interesse Vitale di un Terzo Cosa è Invariato • Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.
  178. 178. © Pasquale Tarallo 178 Cosa CAMBIA L’Interesse Legittimo Prevalente di un Titolare o di un Terzo - Cosa Cambia • Il BILANCIAMENTO fra legittimo interesse del Titolare o del terzo e diritti e libertà dell'Interessato non spetta all'Autorità ma è COMPITO DELLO STESSO TITOLARE* DEL TRATTAMENTO. * Il Regolamento fa leva sul cosiddetto principio di RESPONSABILIZZAZIONE (ACCOUNTABILITY) introdotto per indurre il Titolare a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il Trattamento sia effettuato conformemente al Regolamento. medesimo. Sul punto di torna in seguito.
  179. 179. © Pasquale Tarallo 179 Cosa è INVARIATO L’Interesse Legittimo Prevalente di un Titolare o di un Terzo - Cosa è Invariato • L'interesse legittimo del Titolare o del terzo DEVE PREVALERE sui diritti e le libertà fondamentali dell'Interessato per costituire un valido fondamento di liceità. • Il Regolamento sancisce espressamente che l'interesse legittimo del Titolare NON COSTITUISCE IDONEA BASE GIURIDICA per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.
  180. 180. © Pasquale Tarallo 180 Ancora sull’Interesse Legittimo – 1 di 2
  181. 181. © Pasquale Tarallo 181 Ancora sull’Interesse Legittimo – 2 di 2
  182. 182. 182 © Pasquale Tarallo 4 L’Informativa
  183. 183. © Pasquale Tarallo 183 Fondamenti di liceità del Trattamento Informativa
  184. 184. © Pasquale Tarallo 184 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR L’Informativa
  185. 185. © Pasquale Tarallo 185 Cosa CAMBIA L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 1 di 3 CONTENUTI DELL’INFORMATIVA I contenuti dell'informativa sono elencati in modo tassativo dal Regolamento negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte SONO PIÙ AMPI RISPETTO AL CODICE. In questo senso il Regolamento prevede che IL TITOLARE DEVE SEMPRE specificare • i dati di contatto del Responsabile per la Protezione dei Dati (in italiano RPD oppure in inglese DPO) se esistente • la base giuridica del Trattamento • qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del Trattamento.
  186. 186. © Pasquale Tarallo 186 Cosa CAMBIA L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 2 di 3 CONTENUTI DELL’INFORMATIVA Inoltre il Titolare DEVE SEMPRE specificare • se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, come ad esempio:  si tratta di un Paese terzo giudicato adeguato dalla Commissione europea  si utilizzano Regole Vincolanti per aziende multinazionali con più sedi locali (Binding Corporate Rules – BCR) per trasferimenti infragruppo  sono state inserite specifiche clausole contrattuali modello, ecc..
  187. 187. © Pasquale Tarallo 187 Cosa CAMBIA L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 3 di 3 CONTENUTI DELL’INFORMATIVA • Il Regolamento prevede anche ulteriori informazioni in quanto «necessarie per garantire un Trattamento corretto e trasparente». In particolare, il Titolare deve specificare:  il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione  il diritto di presentare un reclamo all'autorità di controllo  se il Trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo  deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'Interessato.
  188. 188. © Pasquale Tarallo 188 Cosa CAMBIA L’Informativa – Tempistica Cosa Cambia TEMPI DELL'INFORMATIVA • Nel caso di dati personali non raccolti direttamente presso l'Interessato l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, • oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all'Interessato)
  189. 189. © Pasquale Tarallo 189 Cosa CAMBIA L’Informativa - Modalità Cosa Cambia MODALITÀ DELL'INFORMATIVA Il Regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma • concisa • trasparente • intelligibile • e facilmente accessibile per l'Interessato occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (come riportato anche dal Considerando 58).
  190. 190. © Pasquale Tarallo 190 Cosa CAMBIA L’Informativa - Modalità Cosa Cambia MODALITÀ DELL'INFORMATIVA • L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online) anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). • Il Regolamento ammette l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa. Le icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.
  191. 191. © Pasquale Tarallo 191 Cosa CAMBIA L’Informativa - Modalità Cosa Cambia MODALITÀ DELL'INFORMATIVA • Sono inoltre parzialmente diversi i requisiti che il Regolamento fissa per l'esonero dall'informativa (come si esplicita nell’art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto nell'articolo 23, paragrafo 1, di quest'ultimo) , • Spetta al Titolare, in caso di dati personali raccolti da fonti diverse dall'Interessato, valutare se la prestazione dell'informativa agli interessati comporti uno sforzo sproporzionato
  192. 192. © Pasquale Tarallo 192 Cosa è INVARIATO L’Informativa - Modalità Cosa è Invariato MODALITÀ DELL'INFORMATIVA • L'informativa deve essere fornita all'Interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l'Interessato, come si evince nell’art. 13). • Se i dati non sono raccolti direttamente presso l'Interessato (art.14), l'informativa deve comprendere anche le categorie dei dati personali oggetto di Trattamento.
  193. 193. © Pasquale Tarallo 193 Cosa è INVARIATO L’Informativa - Modalità Cosa è Invariato MODALITÀ DELL'INFORMATIVA • In tutti i casi, il Titolare deve specificare la propria identità e quella dell'eventuale rappresentante nel territorio italiano, le finalità del Trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un Responsabile del Trattamento e la sua identità, e quali sono i destinatari dei dati. NOTA: ogni volta che le finalità cambiano si impone di informarne l'Interessato prima di procedere al Trattamento ulteriore.
  194. 194. © Pasquale Tarallo 194 Ancora sull’Informativa - 1 di 5
  195. 195. © Pasquale Tarallo 195 Ancora sull’Informativa - 2 di 5
  196. 196. © Pasquale Tarallo 196 Ancora sull’Informativa - 3 di 5
  197. 197. © Pasquale Tarallo 197 Ancora sull’Informativa - 1 di 5
  198. 198. © Pasquale Tarallo 198 Ancora sull’Informativa - 1 di 5
  199. 199. 199 © Pasquale Tarallo 5 I Diritti degli Interessati
  200. 200. © Pasquale Tarallo 200 I Diritti degli Interessati Il Regolamento disciplina • Il diritto di ACCESSO • Il diritto di cancellazione (DIRITTO ALL’OBLIO) • Il diritto alla LIMITAZIONE DEL TRATTAMENTO • Il diritto alla PORTABILITÀ DEI DATI • le Modalità per l’ESERCIZIO DEI DIRITTI
  201. 201. © Pasquale Tarallo 201 Fondamenti di liceità del Trattamento Informativa Diritti degli interessati
  202. 202. © Pasquale Tarallo 202 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Modalità per l’esercizio dei diritti Cosa è Cambiato
  203. 203. © Pasquale Tarallo 203 Modalità per l’esercizio dei diritti Cosa è cambiato – 1 di 2 • Il termine per la risposta all'Interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità • il Titolare deve comunque dare un riscontro all'Interessato ENTRO 1 MESE DALLA RICHIESTA, anche in caso di diniego • SPETTA AL TITOLARE valutare la complessità del riscontro all'Interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'Interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5) , a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice=, ovvero se sono chieste più "copie" dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3. Cosa CAMBIA
  204. 204. © Pasquale Tarallo 204 Modalità per l’esercizio dei diritti Cosa è cambiato – 2 di 2 • Nel caso di richieste di più copie il Titolare deve tenere conto dei costi amministrativi sostenuti. • Il riscontro all'Interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità • Può essere dato oralmente solo se così richiede l'Interessato (art. 12, paragrafo 1; oppure anche art. 15, paragrafo 3) • La risposta fornita all'Interessato non deve essere solo "intelligibile", ma anche CONCISA, TRASPARENTE E FACILMENTE ACCESSIBILE, oltre a utilizzare un LINGUAGGIO SEMPLICE E CHIARO. Cosa CAMBIA
  205. 205. © Pasquale Tarallo 205 Modalità per l’esercizio dei diritti Cosa è Invariato – 1 di 2 • Il Titolare del Trattamento deve agevolare l'esercizio dei diritti da parte dell'Interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. • Benché sia il solo Titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e), • L'esercizio dei diritti è, in linea di principio, gratuito per l'Interessato, ma possono esservi eccezioni (riportate nelle slide precedenti, dove abbiamo visto cosa cambia). • Il Titolare ha il diritto di chiedere informazioni necessarie a identificare l'Interessato, e quest'ultimo ha il dovere di fornirle, secondo modalità idonee (come disciplinato, in particolare, agli art. 11, paragrafo 2 e art. 12, paragrafo 6) Cosa è INVARIATO
  206. 206. © Pasquale Tarallo 206 Modalità per l’esercizio dei diritti Cosa è Invariato – 2 di 2 • Sono ammesse deroghe ai diritti riconosciuti dal Regolamento, ma solo sul fondamento di disposizioni normative nazionali ai sensi dell'articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/"oblio", art. 83 trattamenti di natura giornalistica e art. 89 trattamenti per finalità di ricerca scientifica o storica o di statistica). • In via generale, possono continuare a essere applicate tutte le deroghe previste dall'art. 8, comma 2, del Codice in quanto compatibili con le disposizioni citate. • Al momento il Garante sta valutando la piena rispondenza delle disposizioni del Codice con altri requisiti fissati per la legislazione nazionale per renderla coerente con il Regolamento Cosa è INVARIATO
  207. 207. © Pasquale Tarallo 207 Esercizio dei diritti Ulteriori Raccomandazioni – 1 di 2
  208. 208. © Pasquale Tarallo 208 Esercizio dei diritti Ulteriori Raccomandazioni – 2 di 2
  209. 209. © Pasquale Tarallo 209 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Diritto di accesso
  210. 210. © Pasquale Tarallo 210 Diritto di accesso Cosa Cambia • Il diritto di accesso prevede in ogni caso il DIRITTO DI RICEVERE UNA COPIA DEI DATI personali oggetto di Trattamento. • Fra le informazioni che il Titolare deve fornire non rientrano le "modalità" del Trattamento, mentre occorre INDICARE IL PERIODO DI CONSERVAZIONE previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. Cosa CAMBIA
  211. 211. © Pasquale Tarallo 211 Diritto d accesso Cosa è Invariato • Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore. Cosa è INVARIATO
  212. 212. © Pasquale Tarallo 212 Ancora sul Diritto di Accesso
  213. 213. © Pasquale Tarallo 213 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Diritto di cancellazione/all’oblio
  214. 214. © Pasquale Tarallo 214 Diritto alla cancellazione/all’oblio Cosa cambia • Il diritto cosiddetto "all'oblio" si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. • Si prevede, infatti, l'obbligo per i titolari (se hanno "reso pubblici" i dati personali dell'Interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione (come si evince dall’art. 17 paragrafo 2). • Ha un campo di applicazione più esteso di quello espresso dal Codice (art.7, comma 3, lettera b), poiché l'Interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al Trattamento (come si evince dall’art. 17 paragrafo 1). Cosa CAMBIA
  215. 215. © Pasquale Tarallo 215 Diritto alla cancellazione/all’oblio Cosa è Invariato Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore. Cosa è INVARIATO
  216. 216. © Pasquale Tarallo 216 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Diritto di Limitazione del Trattamento
  217. 217. © Pasquale Tarallo 217 Diritto di Limitazione del Trattamento Cosa Cambia • Si tratta di un diritto diverso e più esteso rispetto al "blocco" del Trattamento di cui all'art. 7, comma 3, lettera a), del Codice: in particolare, È ESERCITABILE NON SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI DI LICEITÀ DEL TRATTAMENTO (quale alternativa alla cancellazione dei dati stessi), BENSÌ ANCHE SE L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI (in attesa di tale rettifica da parte del Titolare) O SI OPPONE AL LORO TRATTAMENTO ai sensi dell'art. 21 del regolamento (in attesa della valutazione da parte del Titolare). • Esclusa la conservazione, OGNI ALTRO TRATTAMENTO DEL DATO DI CUI SI CHIEDE LA LIMITAZIONE È VIETATO a meno che ricorrano determinate circostanze (consenso dell'Interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante). Cosa CAMBIA
  218. 218. © Pasquale Tarallo 218 Diritto di Limitazione del Trattamento Cosa è Invariato • Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore. Cosa è INVARIATO
  219. 219. © Pasquale Tarallo 219 Ancora sulle Limitazioni del Trattamento
  220. 220. © Pasquale Tarallo 220 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Diritto alla portabilità dei dati
  221. 221. © Pasquale Tarallo 221 Diritto alla portabilità dei dati Cosa Cambia • Si tratta di uno dei nuovi diritti previsti dal Regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico). • Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio. • Sono portabili solo i dati trattati con il consenso dell'Interessato o sulla base di un contratto stipulato con l'Interessato (quindi non si applica ai dati il cui Trattamento si fonda sull'interesse pubblico o sull'interesse legittimo del Titolare, per esempio), e solo i dati che siano stati "forniti" dall'Interessato al Titolare. • Il Titolare deve essere in grado di trasferire direttamente i dati portabili a un altro Titolare indicato dall'Interessato, se tecnicamente possibile. Cosa CAMBIA
  222. 222. © Pasquale Tarallo 222 Diritto alla portabilità dei dati Cosa è Invariato • Essendo una nuova disposizione prevista dal Regolamento non vi sono norme o disposizioni nella legislazione attualmente in vigore. Cosa è INVARIATO
  223. 223. © Pasquale Tarallo 223 Ancora sul Diritto alla Portabilità dei Dati - 1 di 2
  224. 224. © Pasquale Tarallo 224 Ancora sul Diritto alla Portabilità dei Dati - 2 di 2
  225. 225. 225 © Pasquale Tarallo 6 Titolare, responsabile, incaricato del Trattamento
  226. 226. © Pasquale Tarallo 226 Fondamenti di liceità del Trattamento Informativa Diritti degli interessati Titolare, Responsabile, e Incaricato del Trattamento
  227. 227. © Pasquale Tarallo 227 Titolare, Responsabile, Incaricato del Trattamento Cosa è INVARIATOCosa CAMBIA Diventa opportuno chiedersi Diventa opportuno chiedersi
  228. 228. © Pasquale Tarallo 228 Titolare, Responsabile, Incaricato Cosa Cambia – 1 di 4 • All’art. 26 del Regolamento si disciplina LA CONTITOLARITÀ DEL TRATTAMENTO E SI IMPONE AI TITOLARI DI DEFINIRE SPECIFICAMENTE (con un atto giuridicamente valido ai sensi del diritto nazionale) IL RISPETTIVO AMBITO DI RESPONSABILITÀ E I COMPITI CON PARTICOLARE RIGUARDO ALL'ESERCIZIO DEI DIRITTI DEGLI INTERESSATI, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente. • Si fissano più dettagliatamente (rispetto all'art. 29 del Codice) le CARATTERISTICHE DELL'ATTO con cui il Titolare designa un Responsabile del Trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale). Cosa CAMBIA
  229. 229. © Pasquale Tarallo 229 Titolare, Responsabile, Incaricato Cosa Cambia – 2 di 4 • L'atto con cui il Titolare designa un Responsabile del Trattamento deve disciplinare tassativamente almeno le materie riportate dal Regolamento al fine di dimostrare che il Responsabile fornisce "garanzie sufficienti" su:  la NATURA  la DURATA  le FINALITÀ DEL TRATTAMENTO o dei trattamenti assegnati  le CATEGORIE DI DATI oggetto di Trattamento,  le MISURE TECNICHE E ORGANIZZATIVE adeguate a consentire il rispetto delle istruzioni impartite dal Titolare e, in via generale, delle disposizioni contenute nel Regolamento. Cosa CAMBIA
  230. 230. © Pasquale Tarallo 230 Titolare, Responsabile, Incaricato Cosa Cambia – 3 di 4 • Si consente (art. 28 par. 4) la nomina di sub- responsabili del Trattamento da parte di un Responsabile, per specifiche attività di Trattamento, nel rispetto degli stessi obblighi contrattuali che legano Titolare e Responsabile primario • il Responsabile risponde dinanzi al Titolare dell'inadempimento dell'eventuale sub-Responsabile, anche ai fini del risarcimento di eventuali danni causati dal Trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile« (art,82 par, 1 e 3).Cosa CAMBIA
  231. 231. © Pasquale Tarallo 231 Titolare, Responsabile, Incaricato Cosa Cambia - 4 di 4 • Si prevedono obblighi specifici in capo ai responsabili del Trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:  la tenuta del REGISTRO DEI TRATTAMENTI svolti  L'ADOZIONE DI IDONEE MISURE TECNICHE E ORGANIZZATIVE per garantire la sicurezza dei trattamenti  la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale. • Si ricorda, infine, che anche il Responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono particolari condizioni di cui all'art. 27, paragrafo 3, del regolamento – diversamente da quanto prevede oggi l'art. 5, comma 2, del Codice. • Cosa CAMBIA
  232. 232. © Pasquale Tarallo 232 Titolare, Responsabile, Incaricato Cosa è Cambiato • Il Regolamento definisce caratteristiche soggettive e responsabilità di Titolare e Responsabile del Trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). • Pur non prevedendo espressamente la figura dell' "incaricato" del Trattamento, il Regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al Trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile (come si evince in particolare, all’art. 4, n. 10, del regolamento) . Cosa è INVARIATO
  233. 233. © Pasquale Tarallo 233 Ancora sul Titolare, il Responsabile, l’Incaricato - 1 di 7
  234. 234. © Pasquale Tarallo 234 Ancora sul Titolare, il Responsabile, l’Incaricato - 2 di 7
  235. 235. © Pasquale Tarallo 235 Ancora sul Titolare, il Responsabile, l’Incaricato - 3 di 7
  236. 236. © Pasquale Tarallo 236 Ancora sul Titolare, il Responsabile, l’Incaricato - 4 di 7
  237. 237. © Pasquale Tarallo 237 Ancora sul Titolare, il Responsabile, l’Incaricato - 5 di 7
  238. 238. © Pasquale Tarallo 238 Ancora sul Titolare, il Responsabile, l’Incaricato - 6 di 7
  239. 239. © Pasquale Tarallo 239 Ancora sul Titolare, il Responsabile, l’Incaricato - 7 di 7
  240. 240. 240 © Pasquale Tarallo 7 Approccio basato sul rischio e responsabilizzazione
  241. 241. © Pasquale Tarallo 241 Fondamenti di liceità del Trattamento Informativa Diritti degli interessati Titolare, Responsabile, e Incaricato del Trattamento Approccio basato sul rischio & Accountability
  242. 242. © Pasquale Tarallo 242 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Approccio basato sul rischio e responsabilizzazione
  243. 243. © Pasquale Tarallo 243 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 1 di 8 • Il Regolamento pone con forza l'accento sulla capacità di dare conto con responsabilità (ACCOUNTABILITY nell'accezione inglese) dei titolari e dei responsabili – ossia, sulla rispettiva capacità di dare luogo a comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento (come si legge (si negli artt. 23-25, in particolare, e l'intero Capo IV). • Si tratta di una GRANDE NOVITÀ PER LA PROTEZIONE DEI DATI in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del Trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.
  244. 244. © Pasquale Tarallo 244 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 2 di 8 • Uno dei primi criteri individuati per l’accountability è sintetizzato dalle due espressioni inglesi «DATA PROTECTION BY DEFAULT» e DATA PROTECTION BY DESIGN", ossia dalla NECESSITÀ DI CONFIGURARE IL TRATTAMENTO PREVEDENDO FIN DALL'INIZIO LE GARANZIE INDISPENSABILI "al fine di soddisfare i requisiti" del Regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il Trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
  245. 245. © Pasquale Tarallo 245 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 3 di 8 • Quanto fin qui delineato deve avvenire a monte, prima di procedere al Trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del Trattamento sia all'atto del Trattamento stesso«, secondo quanto afferma l'art. 25 del regolamento, e richiede, pertanto, un'analisi preventiva sugli impatti relativi alla protezione dei dato (DPIA – DATA PROTECION IMPACT ASSESSMENT) e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
  246. 246. © Pasquale Tarallo 246 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 4 di 8 • Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al Trattamento, ovvero il RISCHIO DI IMPATTI NEGATIVI sulle libertà e i diritti degli interessati (come esplicitano nei (si vedano considerando 75-77).
  247. 247. © Pasquale Tarallo 247 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 5 di 8 • Gli impatti dovranno essere analizzati attraverso un apposito PROCESSO DI VALUTAZIONE (come disciplinato negli art, 35-36) o PIA, cioè Privacy Impact Assessment, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il Titolare ritiene di dover adottare per mitigare tali rischi.
  248. 248. © Pasquale Tarallo 248 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 6 di 8 • All'esito di questa valutazione di impatto il Titolare potrà decidere in autonomia se iniziare il Trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale. • L'autorità non avrà il compito di "autorizzare" il Trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del Titolare e potrà (come disposto all’art. 58 del Regolamento), ove necessario, adottare tutte le misure correttive:  ammonimento del Titolare  limitazione, oppure  divieto di procedere al Trattamento.
  249. 249. © Pasquale Tarallo 249 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 7 di 8 • L'intervento delle autorità di controllo sarà quindi principalmente "ex post", ossia si collocherà successivamente alle determinazioni assunte autonomamente dal Titolare. • Questo spiega l'ABOLIZIONE a partire dal 25 maggio 2018 di alcuni istituti finora previsti, come la NOTIFICA PREVENTIVA dei trattamenti all'autorità di controllo e il cosiddetto PRIOR CHECKING (O VERIFICA PRELIMINARE), sostituiti da obblighi di tenuta di un Registro dei trattamenti da parte del Titolare/Responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.
  250. 250. © Pasquale Tarallo 250 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 8 di 8 • Alle autorità di controllo, e in particolare al "Comitato europeo della protezione dei dati" (l'erede dell'attuale Gruppo "Articolo 29") spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di Trattamento dati.
  251. 251. © Pasquale Tarallo 251 Cosa CAMBIA Approccio basato sul rischio e responsabilizzazione Registro dei trattamenti – Cosa Cambia • Tutti i titolari e i responsabili di Trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un Registro delle operazioni di Trattamento. • Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. • Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
  252. 252. © Pasquale Tarallo 252 Ancora sul Registro dei Trattamenti – 1 di 3
  253. 253. © Pasquale Tarallo 253 Ancora sul Registro dei Trattamenti – 2 di 3
  254. 254. © Pasquale Tarallo 254 Ancora sul Registro dei Trattamenti – 3 di 3
  255. 255. © Pasquale Tarallo 255 Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 1 di 3 • Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del Trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva ("tra le altre, se del caso"). • Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento.Cosa CAMBIA
  256. 256. © Pasquale Tarallo 256 Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 2 di 3 • Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate. • Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato "B" al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni. Cosa CAMBIA
  257. 257. © Pasquale Tarallo 257 Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 2 di 3 • Per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti. •Cosa CAMBIA
  258. 258. © Pasquale Tarallo 258 Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia • A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). • La notifica all'autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Cosa CAMBIA
  259. 259. © Pasquale Tarallo 259 Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia • Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo"; fanno eccezione le circostanze indicate al paragrafo 3 dell'art. 34, che coincidono solo in parte con quelle attualmente menzionate nell'art. 32-bis del Codice. • I contenuti della notifica all'autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del regolamento. • Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è stato chiamato a formulare linee- guida specifiche, alle quali sta già lavorando il Gruppo "Articolo 29". Cosa CAMBIA
  260. 260. © Pasquale Tarallo 260 Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia • La nostra Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di Trattamento secondo quanto prevede il regolamento. Cosa CAMBIA
  261. 261. © Pasquale Tarallo 261 Ancora sulle violazioni dei dati
  262. 262. © Pasquale Tarallo 262 Approccio basato sul rischio e responsabilizzazione Data Protection Officer (DPO) – Cosa Cambia – 1 di 2 • Anche la designazione di un "Responsabile della Protezione Dati" (RPD, ovvero DPO se si utilizza l'acronimo inglese: Data Protection Officer) riflette l'approccio responsabilizzante che è proprio del Regolamento, essendo finalizzata a facilitare l'attuazione del Regolamento da parte del Titolare/del Responsabile. • Non è un caso, infatti, che fra i compiti del RPD rientrino "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto. Cosa CAMBIA
  263. 263. © Pasquale Tarallo 263 Approccio basato sul rischio e responsabilizzazione Data Protection Officer (DPO) – Cosa Cambia – 2 di 2 • La designazione del DPO è obbligatoria in alcuni casi, e il Regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano I termini che il WP29 ha ritenuto opportuno chiarire attraverso alcune linee- guida di recente pubblicazione, disponibili anche sul sito del Garante con le rispettive domande ricorrenti (FAQ). Cosa CAMBIA
  264. 264. 264 © Pasquale Tarallo 8 Trasferimento dei dati verso Paesi terzi e Organizzazioni Internazionali
  265. 265. © Pasquale Tarallo 265 Fondamenti di liceità del Trattamento Informativa Diritti degli interessati Titolare, Responsabile, e Incaricato del Trattamento Approccio basato sul rischio & Accountability Trasferimento dei dati
  266. 266. © Pasquale Tarallo 266 Cosa è INVARIATOCosa CAMBIA Articoli del Codice Privacy e Altre Disposizioni Articoli e Considerando del GDPR Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali
  267. 267. © Pasquale Tarallo 267 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 1 di 9 • Viene meno il requisito dell'autorizzazione nazionale (si vedano art. 45, paragrafo 1, e art. 46, paragrafo 2). • Il trasferimento verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa approvate attraverso la specifica procedura di cui all'art. 47 del regolamento, potrà avere inizio senza attendere l'autorizzazione nazionale del Garante - a differenza di quanto attualmente previsto dall'art. 44 del Codice. Cosa CAMBIA
  268. 268. © Pasquale Tarallo 268 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 2 di 9 • L'autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad- hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento. Cosa CAMBIA
  269. 269. © Pasquale Tarallo 269 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 3 di 9 • Il Regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" previste. • Ciò significa che i titolari o i responsabili del Trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. • Tuttavia, (si vedano art. 40, paragrafo 3, e art. 42, paragrafo 2) tali titolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati. Cosa CAMBIA
  270. 270. © Pasquale Tarallo 270 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 4 di 9 • Il Regolamento vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell'esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (art. 48). • Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche. Cosa CAMBIA
  271. 271. © Pasquale Tarallo 271 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 5 di 9 • Si deve ricordare che il Regolamento sancisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato "per importanti motivi di interesse pubblico", in deroga al divieto generale. • In questo caso deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del Titolare o dal diritto dell'Ue (si veda art. 49, paragrafo 4) e dunque non può essere fatto valere l'interesse pubblico dello Stato terzo ricevente. Cosa CAMBIA
  272. 272. © Pasquale Tarallo 272 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 6 di 9 • Il Regolamento fissa i requisiti per l'approvazione delle norme vincolanti d'impresa e i contenuti obbligatori di tali norme. • L'elenco indicato al riguardo nel paragrafo 2 dell'art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori. • Ad ogni modo, l'approvazione delle norme vincolanti d'impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento – ossia, è previsto in ogni caso l'intervento del Comitato europeo per la protezione dei dati (coe disciplinato all’art. 65, paragrafo 1, lettera d). Cosa CAMBIA
  273. 273. © Pasquale Tarallo 273 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 7 di 9 • Il Regolamento al Capo V ha confermato l'approccio attualmente vigente in base alla direttiva 95/46 e al Codice Italiano per quanto riguarda i flussi di dati al di fuori dell'Unione europea e dello spazio economico europeo, prevedendo che tali flussi sono vietati, in linea di principio a meno che intervengano specifiche garanzie. Cosa è INVARIATO
  274. 274. © Pasquale Tarallo 274 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 8 di 9 • Il Regolamento ha confermato la possibilità di deroga se intervengono le seguenti specifiche garanzie:  l’adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea (art. 44, comma 1, lettera b), del Codice);  l’assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d'impresa - BCR, e clausole contrattuali modello, come descritto all’art. 44, comma 1, lettera a) del Codice);  in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni corrispondenti in parte alle disposizioni dell'art. 43, comma 1, del Codice). Cosa è INVARIATO
  275. 275. © Pasquale Tarallo 275 Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 9 di 9 • Le decisioni di adeguatezza sinora adottate dalla Commissione (livello di protezione dati in Paesi terzi, a partire dallo scudo per la Privacy (Privacy Shield), e clausole contrattuali tipo per titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica. • Restano valide, conseguentemente, le autorizzazioni nazionali sinora emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione • Restano valide, inoltre, le autorizzazioni nazionali che il Garante ha rilasciato in questi anni per specifici casi, sino a loro eventuale modifica Cosa è INVARIATO
  276. 276. 276 © Pasquale Tarallo 9 Conclusioni
  277. 277. © Pasquale Tarallo 277 Contenuti di questa presentazione e di ulteriori contributi Come specificato al principio della presentazione i contenuti fin qui esposti fanno parte di un progetto editoriale più ampio Ideato, Realizzato e Distribuito GRATUITAMENTE che può essere richiesto in formato ppt via mail inviando i propri riferimenti completi a Pasquale Tarallo
  278. 278. © Pasquale Tarallo 278 Riferimenti dell’autore e dove trovare altri contributi simili Email pasqualetarallo@tin.it Tel. +39 02 90377918 Mobile +39 3394561469

×