Intervento presentato nel corso del DIGEat2018 - Consilum "I soggetti del trattamento: la nuova geometria di ruoli, responsabilità e rapporti alla luce del GDPR", a cura del D&L NET
2. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Il
legislatore
europeo,
pur
allineandosi
alla
norma/va
preesistente,
con
il
Regolamento
Generale
sulla
Protezione
dei
Da6
(UE/2016/679)
svela
una
sensibilità
maggiore
a
favore
dei
diri3
e
delle
libertà
dei
sogge3
“interessa5”,
riconoscendogli
maggiore
dignità
giuridica
e
nuovi
poteri
in
una
nuova
centralità
a
confronto
con
gli
altri
soggeA
già
aBori
del
traBamento.
Le
nuove
norme,
poi,
accendono
un
faro
sulle
tecnologie
moderne
per
fronteggiare
al
meglio
rischi
e
pericoli.
3. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
CHI
È
L’INTERESSATO?
(Art. 4.1 GDPR)
•
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o
indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati
relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità
fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
4. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
CAPO III – Diritti dell’interessato
Sezione 1 –Trasparenza e modalità
Articolo 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
5. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Sezione 2 – Informazione e accesso ai dati personali
Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
Articolo 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
Articolo 15 – Diritto di accesso dell’interessato
CAPO III – Diritti dell’interessato
6. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Articolo 15 – Diritto di accesso dell’interessato
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un
trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle
seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se
destinatari di paesi terzi o organizzazioni internazionali;
7. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Articolo 15 – Diritto di accesso dell’interessato
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri
utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati
personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e,
almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze
previste di tale trattamento per l’interessato.
8. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Sezione 3 – Rettifica e cancellazione
Articolo 16 – Diritto di rettifica: L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica
dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.Tenuto conto delle finalità del
trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche
fornendo una dichiarazione integrativa
CAPO III – Diritti dell’interessato
9. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Articolo 17 – Diritto alla cancellazione («diritto all’oblio»)
CAPO III – Diritti dell’interessato
10. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo
riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato
ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o
all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c)l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo
prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
11. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello
Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo
8, paragrafo 1.
12. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo
conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i
titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia
o riproduzione dei suoi dati personali.
13. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato
membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse
oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e
i), e dell’articolo 9, paragrafo 3;
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente
all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di
pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
14. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
«Diritto all’oblio» secondo una recente pronuncia dell’Autorità Garante (n. 277 del 15 giugno 2017)
• Il tempo trascorso
•
Il controllo da esercitare da parte dell’interessato sulle informazioni che lo riguardano
Il limite a questo bilanciamento risiede nella qualità soggettiva dell’interessato e nel ruolo da quest’ultimo rivestito
in considerazione di possibili riflessi con la vita pubblica
Tale pronuncia del Garante si pone come una bussola per poi orientarsi di volta in volta a prendere in esame tutti i
risultati di ricerca ottenuti a partire dal nome e cognome e includendovi quelli associati ad ulteriori specificazioni.
Nel caso in cui tale ricerca conduca ad una notizia datata e non rilevante per l’interesse pubblico potrà disporsi la
cancellazione.
In caso diverso se la ricerca produca un risultato attuale o passato ma incidente sull’interesse pubblico in
considerazione dell’immagine pubblica che il soggetto riveste allora non potranno dirsi verificati i presupposti
necessario per la cancellazione.
15. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Sezione 3 – Rettifica e cancellazione
Articolo 18 – Diritto di limitazione di trattamento
Articolo 19 – Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o
limitazione del trattamento
Articolo 20 – Diritto alla portabilità dei dati
CAPO III – Diritti dell’interessato
16. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
… e “nuovi adempimenti” scaturenti per i
titolari:
•
nuova
informa/va
(informare
gli
interessa.
del
nuovo
diri2o
alla
portabilità
previsto
dal
GDPR);
•
verifica
delle
capacità
tecniche
e
misure
tecnologiche
adeguate
(studio
delle
prassi
aziendali
più
corre2e)
17. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Portabilità dei dati (art. 20 GDPR)
Nuovi diritti e nuovi rischi per i titolari
Interoperabilità di comunicazione tra sistemi
diversi Capacità di aggregare i dati adeguata alla
organizzazione
dei processi
interni per metterli a disposizione
secondo la normativa
18. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Nuova attenzione a contenitori e contenuti
La Stele di Rosetta è una stele egizia in granodiorite che riporta un'iscrizione divisa
in registri, in tre differenti grafie: geroglifico, demotico e greco.
L'iscrizione è il testo di un decreto tolemaico emesso nel 196 a.C. in onore del faraone Tolomeo
V Epifane, al tempo tredicenne, in occasione del primo anniversario della sua incoronazione.
Poiché si tratta pressoché dello stesso testo, la stele ha offerto, grazie alla parte in
greco, una chiave decisiva per la comprensione dei geroglifici[1].
Il nome deriva da quello latinizzato di Rosetta, oggi nota come Rashid, antica città sul delta del
Nilo, nel Governatorato di Buhayra, dove fu scoperta nel 1799 da Pierre-François Bouchard,
capitano nella Campagna d'Egitto di Napoleone Bonaparte. Fu a lungo oggetto di contesa tra
Francia e Inghilterra, e dal 1802 si trova a Londra nel British Museum[2], del quale, con le
mummie, è l'oggetto più popolare[3].
(immagine e testo tratto da Wikipedia – enciclopedia libera on line)
19. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
CAPO III – Diritti dell’interessato
Sezione 4 – Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Articolo 21 – Diritto di opposizione
Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
Sezione 5 – Limitazioni
Articolo 23 – Limitazioni
20. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Le
principali
obbligazioni
di
compliance
previste
nel
Regolamento
UE
2016/679
Privacy by design e
privacy by default
Art. 25
Consultazione
preventiva
Art. 36
Responsabile della
protezione dei dati
(DPO)
Artt. 37, 38 e 39
Registri delle
attività di
trattamento
Art. 30
Valutazione d’impatto
sulla protezione dei
dati Art. 35
Notifica e
comunicazione
“data breach”
Artt. 33 e 34
Sicurezza dei dati
Art. 32
(FONTE: EUROCONFERENCE – D&L NET Department – Master Data Protection Officer; docente: dott. Franco Cardin)
21. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
INTERESSATI TITOLARE
al trattamento dei dati (ed eventuali altri soggetti esposti per responsabilità)
Diritti a vedere tutelati i propri
dati, ad una adeguata e
costante informativa, ad una
congrua comunicazione in caso
di violazioni e data breach
Obblighi di legge corrispondenti ai
diritti dell’interessato e responsabilità
diretta in caso di violazione fino a
sanzioni pari all’importo di 20 milioni
di euro o pari al 4% di fatturato
22. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Valutazione d’impatto sulla protezione dei dati (Art. 35 GDPR)
Cosa deve/può fare il titolare? Analizzare periodicamente le procedure di trattamento messe in atto
– in considerazione della natura dei dati e in ragione della circolazione (interna ed esterna) dei propri
dati– insieme ad una costante verifica di adeguamento delle misure di protezione.
Creare un team affidabile di esperti che possano monitorare le procedure di trattamento e protezione dei
dati sia sotto l’aspetto giuridico sia sotto l’aspetto tecnico e informatico fino alla previsione della nuova
figura del Responsabile della Protezione dei Dati (DPO) introdotta dal GDPR per il pieno assolvimento
degli adempimenti e al fine di scongiurare o ridurre i rischi di un illegittimo trattamento che
comporterebbe pesanti sanzioni oltre alle eventuali ed evidenti richieste di risarcimento danni promosse
dagli interessati che ne avessero potuto subire conseguenze sfavorevoli alla luce dei diritti
fondamentali e delle libertà riconosciuti.
DPIA (Data protection Impact Assessment, oValutazione d’Impatto
Protezione Dati)
23. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
In caso di data breach la normativa (GDPR), laddove il titolare ritenga probabile che dalla violazione dei dati possano
derivare rischi per i diritti e le libertà degli interessati, sancisce l'obbligo di comunicare alle autorità di controllo la
violazione dei dati per i fornitori di servizi di comunicazione elettronica accessibili al pubblico. Tutti i titolari del
trattamento sono soggetti alla norma. La notifica dovrà avvenire entro 72 ore e comunque "senza ingiustificato ritardo".
Se il titolare ritiene che il rischio per i diritti e le libertà degli interessati è elevato, allora si dovranno informare anche gli
interessati, sempre "senza ingiustificato ritardo".
Non è richiesta la comunicazione all'interessato nei casi indicati dall'art. 34, cioé quando:
Notifica e comunicazione “data breach” (Art. 33 e 34 GDPR)
24. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure
erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali
incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio
elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a
una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
25. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
NUOVI DIRITTI DELL’INTERESSATO NUOVE RESPONSABILITÀ DELTITOLARE
Informative aggiornate o integrate (magari proposte in lingua italiana ed inglese)
Procedure adeguate ai diritti degli interessati
Registro delle attività di trattamento
Procedure per regolamentare ipotesi di data breach
Piano di Risk Assestment e di valutazione di impatto sulla protezione dei dati (PIA) per categorie particolari di dati e in
caso di profilazioni di clienti/utenti
Adempimenti per eventuali trasferimenti di dati all’estero
Potenziamento e aggiornamento delle misure di sicurezza
Aggiornamento della contrattualistica nei rapporti tra le parti e aggiornamento di eventuali regolamenti aziendali
Agenda di conservazione dei dati con riferimenti temporali
Manuale sulle misure organizzative e di sicurezza
Nomina DPO obbligatoria o facoltativa
Formazione continua del personale
&
26. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
GRAZIE ATUTTI
27. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Avv.Antonella D’Iorio
D&L NET
of counsel Studio Legale Prof. Abbamonte in Napoli
email: antonelladiorio@me.com - tel. 0813416654
www.studiolegalelisi.it/d-l-net