Il documento discute gli adempimenti per il trattamento dei dati personali secondo il GDPR, evidenziando l'importanza della protezione dei dati nell'era digitale. Vengono delineati i principi fondamentali e i ruoli di soggetti coinvolti, come titolari e responsabili del trattamento, sottolineando l'importanza di un approccio personalizzato alle misure di sicurezza. Infine, viene analizzato l'iter legislativo e le scadenze fornite dal governo italiano in relazione al recepimento del GDPR.

1. Avv. Francesco Paolo Micozzi
1
TRENTO, 25 maggio 2018
L’AVVOCATO AL TEMPO DEL
GDPR
GLI ADEMPIMENTI
PER IL TRATTAMENTO
DEI DATI PERSONALI

2. Avv. Francesco Paolo Micozzi
2
25 maggio 2018
Benvenuti nell’era del GDPR

3. Avv. Francesco Paolo Micozzi
3
C’è solo un modo per adeguarsi
al GDPR in 4 semplici mosse

4. Avv. Francesco Paolo Micozzi
GDPR
E OPPORTUNITÀ
PER GLI AVVOCATI
4

5. Avv. Francesco Paolo Micozzi
Disclaimer 5

6. Avv. Francesco Paolo Micozzi
Italiani spaghetti, mandolino e milleproroghe
Camera dei Deputati, 23 maggio 2018
“Il Governo ha infatti trasmesso il 10 maggio 2018 lo
schema di decreto legislativo alle Camere, per
l’espressione del parere che deve essere reso entro il 24
giugno. Per effetto dello «scorrimento dei termini»
necessario a consentire l’espressione del parere
parlamentare, il nuovo termine per l’esercizio della
delega è individuato nel 21 agosto 2018”
(Senato) Legislatura 18ª - Commissione speciale per l'esame degli atti
urgenti presentati dal Governo - Resoconto sommario n. 17 del
23/05/2018
Del resto, il termine per l’esercizio della delega,
precedentemente fissato al 21 maggio 2018, è prorogato
di tre mesi, per effetto dello scorrimento dei termini
per l’espressione del parere parlamentare, ai sensi
dell'articolo 31, comma 3, della legge n. 234 del 2012.
6

7. Avv. Francesco Paolo Micozzi
21 agosto 2018?
3. La legge di delegazione europea indica le
direttivein relazione alle quali sugli schemi dei decreti legislativi di
recepimento è acquisito il parere delle competenti Commissioni
parlamentari della Camera dei deputati e del Senato della
Repubblica. […] Qualora il termine per l'espressione del parere
parlamentare di cui al presente comma ovvero i diversi termini
previsti dai commi 4 e 9 scadano nei trenta giorni che precedono
la scadenza dei termini di delega previsti ai commi 1 o 5 o
successivamente, questi ultimi sono prorogati di tre
mesi.
7

8. Avv. Francesco Paolo Micozzi
Disclaimer 2 8

9. Avv. Francesco Paolo Micozzi
Disclaimer 3 (antibufala) 9
Non ci sarà nessuna proroga :-)

10. Avv. Francesco Paolo Micozzi
Avvocati verso il GDPR 10
http://www.consiglionazionaleforense.it/web/cnf/-/gdpr-avvocati-proget-1

11. Avv. Francesco Paolo Micozzi
Introduzione
11

12. Avv. Francesco Paolo Micozzi
1995 12

13. Avv. Francesco Paolo Micozzi
1995: ancora non erano nati… 13
2004
1997
2006
2010
2001 2005

14. Avv. Francesco Paolo Micozzi
Perché il GDPR?
Considerando 6 - La rapidità dell’evoluzione tecnologica e la
globalizzazione comportano nuove sfide per la protezione dei dati
personali. La portata della condivisione e della raccolta di dati
personali è aumentata in modo significativo. La tecnologia attuale
consente tanto alle imprese private quanto alle autorità pubbliche
di utilizzare dati personali, come mai in precedenza, nello
svolgimento delle loro attività
Considerando 13 - Per assicurare un livello coerente di
protezione delle persone fisiche in tutta l’Unione e prevenire
disparità che possono ostacolare la libera circolazione dei dati
personali nel mercato interno, è necessario un
regolamento che garantisca certezza del diritto e
trasparenza ...
14

15. Avv. Francesco Paolo Micozzi
Di cosa si occupa il GDPR? 15

16. Avv. Francesco Paolo Micozzi
La valutazione del rischio… quale rischio?
Il termine “RISCHIO” ricorre 81 volte nel
GDPR
Il GDPR ha lo scopo principale di limitare i RISCHI che
incombono su
“diritti e libertà delle persone
fisiche”
“protezione delle persone fisiche”
“diritti e libertà degli interessati”
16

17. Avv. Francesco Paolo Micozzi
Quale rischio? 17

18. Avv. Francesco Paolo Micozzi
La valutazione del rischio… quale rischio?
“I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e
gravità diverse, possono derivare da trattamenti di dati personali suscettibili
di cagionare un danno fisico, materiale o immateriale”
RISCHIO = PROBABILITÀ x DANNO MASSIMO IPOTIZZABILE
R=PxDPotenziali danni derivanti da trattamento di dati personali:
• danno fisico
• danno materiale
• danno immateriale
18

19. Avv. Francesco Paolo Micozzi
Il dato personale e
il suo trattamento
19

20. Avv. Francesco Paolo Micozzi
Il dato personale, perno del GDPR
«dato personale»: qualsiasi informazione
riguardante una persona fisica identificata o
identificabile («interessato»); si considera
identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con
particolare riferimento a un identificativo come il
nome, un numero di identificazione, dati relativi
all'ubicazione, un identificativo online o a uno o più
elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o
sociale;
20

21. Avv. Francesco Paolo Micozzi
21
Dati
Anonimi
Personali
Pseudonimi
Comuni
Categorie
particolari
•l'origine razziale o etnica,
•opinioni politiche,
•convinzioni religiose o
filosofiche
•l'appartenenza sindacale,
•dati genetici,
•dati biometrici intesi a
identificare in modo univoco
una persona fisica,
•dati relativi alla salute
•dato relativi alla vita sessuale
•dati relativi all'orientamento
sessuale della persona
•dati personali relativi alle
condanne penali e ai reati o
a connesse misure di
sicurezza
9
10

22. Avv. Francesco Paolo Micozzi
Il trattamento - art. 4
2) «trattamento»: qualsiasi operazione o
insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la
raccolta, la registrazione, l’organizzazione, la
strutturazione, la conservazione, l’adattamento o la
modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il
raffronto o l’interconnessione, la limitazione, la
cancellazione o la distruzione;
22

23. Avv. Francesco Paolo Micozzi
I principi generali - l’art. 5
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti
dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e
successivamente trattati in modo che non sia incompatibile con
tali finalità; [...] («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle
finalità per le quali sono trattati («minimizzazione dei
dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte
le misure ragionevoli per cancellare o rettificare tempestivamente
i dati inesatti rispetto alle finalità per le quali sono trattati
(«esattezza»);
23

24. Avv. Francesco Paolo Micozzi
I principi generali - l’art. 5
e) conservati in una forma che consenta
l’identificazione degli interessati per un arco di
tempo non superiore al conseguimento delle
finalità per le quali sono trattati […]
(«limitazione della conservazione»);
f ) trattati in maniera da garantire un’adeguata
sicurezza dei dati personali […] («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il
rispetto del paragrafo 1 e in grado di comprovarlo
(«responsabilizzazione»).
24

25. Avv. Francesco Paolo Micozzi
In sintesi 25
Accountability
Misure adeguate e efficaci per
garantire i principi e gli obblighi
Dimostrazione
dell’osservanza degli obblighi
Adattabilità

26. Avv. Francesco Paolo Micozzi
One size fits all?
“Non esistono alternative valide alle
soluzioni “su misura”. Infatti, le misure specifiche
da applicare devono essere determinate in funzione dei
fatti e delle circostanze di ciascun caso specifico, con
particolare attenzione al rischio inerente al trattamento
e al tipo di dati. Un approccio uguale per tutti
avrebbe il solo effetto di costringere i responsabili del
trattamento all’interno di strutture inadatte e si
rivelerebbe quindi fallimentare”
Art. 29WP, Parere 3/2010 - WP 173
26

27. Avv. Francesco Paolo Micozzi
i soggetti
27

28. Avv. Francesco Paolo Micozzi
Come si dice in… 28
Italiano Inglese Francese
Titolare Controller
Responsable du
traitement
Responsabile del
trattamento
Processor Sous-traitant
Responsabile della
protezione dei dati
Data Protection Officer
Délégué à la protection
des données
Interessato Data subject Personne concernée
Autorità di controllo Supervisory authority Autorité de contrôle

29. Avv. Francesco Paolo Micozzi
Le figure soggettive - Titolare e contitolari 29
TITOLARE
decide
Finalità del
trattamento
Mezzi del
trattamento
CONTITOLARE

30. Avv. Francesco Paolo Micozzi
Titolare, responsabile e sub-responsabile 30
TITOLARE
del trattamento
RESPONSABILE
del trattamento
Decide finalità e mezzi
del trattamento
Tratta i dati personali
per conto del titolare
SUBRESPONSABILE
del trattamento
Tratta i dati personali su
incarico del responsabile e
per conto del titolare
“AUTORIZZATI” al
trattamento
“AUTORIZZATI” al
trattamento
“AUTORIZZATI” al
trattamento
Gli “autorizzati” possono
essere organizzati con diversi
livelli di delega (incaricati/
responsabili interni)
Gli “autorizzati” possono
essere organizzati con diversi
livelli di delega (incaricati/
responsabili interni)
Gli “autorizzati” possono
essere organizzati con
diversi livelli di delega
(incaricati/responsabili
interni)

31. Avv. Francesco Paolo Micozzi
Il rapporto trattamento-soggetto 31
Soggetto A
Trattamento 1 TITOLARE
Trattamento 3 TITOLARE
Trattamento 4 TITOLARE
Trattamento 2 RESPONSABILE
Soggetto B
Trattamento 2 TITOLARE
Trattamento 3 RESPONSABILE
Trattamento 1 TITOLARE

32. Avv. Francesco Paolo Micozzi
Le figure soggettive - Responsabile del trattamento
Art. 4 n. 8 GDPR - «responsabile del trattamento»: la
persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che tratta dati personali per conto del titolare
del trattamento;
Art. 4 comma 1 lett. g D.lgs 196/2003 - "responsabile", la
persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal
titolare al trattamento di dati personali;
Non confondiamo questa figura con il Responsabile
della protezione dei dati - RPD (o data protection
officer - DPO), disciplinato dagli artt. 37–39 del GDPR
32

33. Avv. Francesco Paolo Micozzi
Contenuto della nomina del responsabile
Il contratto o altro atto giuridico prevede, in particolare, che il
responsabile del trattamento:
a) tratti i dati personali su istruzione documentata del titolare
b) garantisca che le persone autorizzate al trattamento dei dati personali si
siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) ricorra ad altro responsabile solo se previsto dal titolare;
e) assista il titolare nel dare riscontro agli interessati
f ) assista il titolare nel rispetto degli obblighi di misure tecniche e organizzative
adeguate
g) se richiesto dal titolare, cancelli o gli restituisca tutti i dati personali (salvo
che vi sia un obbligo di conservazione);
h) metta a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e
consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati
dal titolare del trattamento o da un altro soggetto da questi incaricato.
33

34. Avv. Francesco Paolo Micozzi
Il Responsabile secondo l’art. 28 del
GDPR - Il contratto
Contenuti ulteriori:
•Rispetto dei principi di privacy by design e privacy
by default
•Regolamentazione delle tempistiche dell’avviso per i
data breach
•Regolamentazione puntuale delle attività di audit
•Penali e risoluzione
•Clausola di manleva
34

35. Avv. Francesco Paolo Micozzi
Gli “incaricati” - art. 29 - Trattamento sotto l’autorità del
titolare del trattamento o del responsabile del trattamento
Art. 29. Il responsabile del trattamento, o chiunque agisca
sotto la sua autorità o sotto quella del titolare del
trattamento, che abbia accesso a dati personali non può
trattare tali dati se non è istruito in tal senso dal titolare del
trattamento, salvo che lo richieda il diritto dell’Unione o
degli Stati membri.
Art. 32 n. 4. Il titolare del trattamento e il responsabile
del trattamento fanno sì che chiunque agisca sotto la loro
autorità e abbia accesso a dati personali non tratti tali dati se
non è istruito in tal senso dal titolare del trattamento, salvo
che lo richieda il diritto dell’Unione o degli Stati membri.
Dovremmo chiamarli “Autorizzati al
trattamento”?
35

36. Avv. Francesco Paolo Micozzi
Informativa
36

37. Avv. Francesco Paolo Micozzi
In cosa resta uguale ad oggi?
• l’informativa deve precedere il
trattamento (salvo i casi in cui i dati non siano
raccolti presso l’interessato)
Il Titolare deve indicare:
•i propri dati e quelli dell’eventuale
rappresentante nel territorio italiano
•le finalità del trattamento
•i diritti dell’interessato
•gli eventuali destinatari dei dati
37

38. Avv. Francesco Paolo Micozzi
Come cambia l’informativa nel GDPR?
Contenuti
• Dati di contatto del Data Protection Officer
• Base giuridica del trattamento
• Interesse legittimo al trattamento (non applicabile alle PA)
• Indicazione se sia previsto il trasferimento di dati in Paesi
terzi
• in caso affermativo: attraverso quali strumenti
• Periodo di conservazione dei dati
• Nel caso non possa indicarsi il periodo preciso si dovrà,
almeno, indicare i criteri stabiliti per stabilire la
durata della conservazione
• Il diritto di presentare reclamo all’Autorità di controllo
• Si deve specificare se il trattamento comporta processi
decisionali automatizzati e, nel caso, la logica dei
processi decisionali e le possibili conseguenze per
l’interessato
38

39. Avv. Francesco Paolo Micozzi
Base giuridica del trattamento (art. 6)
• Consenso al trattamento
• Il trattamento è necessario all'esecuzione di un
contratto
• Il trattamento è necessario per adempiere un
obbligo legale
• Il trattamento è necessario per la salvaguardia di
interessi vitali
• Il trattamento è necessario per l'esecuzione di un
compito di interesse pubblico o connesso
all'esercizio di pubblici poteri
• Il trattamento è necessario per il perseguimento
del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi
o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei
dati personali, in particolare se l'interessato è un minore (non si applica alle PA)
39

40. Avv. Francesco Paolo Micozzi
Come cambia l’informativa nel GDPR?
Forma dell’informativa
• In linea di principio è data per iscritto e
(preferibilmente) in formato
elettronico
• Potranno essere previste delle icone in
combinazione con l’informativa
estesa (le icone sono approvate dalla
Commissione europea)
• L’informativa deve essere concisa,
trasparente, intelligibile (linguaggio
chiaro e semplice) e facilmente
accessibile
40

41. Avv. Francesco Paolo Micozzi
Consenso
41

42. Avv. Francesco Paolo Micozzi
Il consenso come condizione di liceità del trattamento
Art. 6, 1 Il trattamento è lecito solo se e nella misura in cui
ricorre almeno una delle seguenti condizioni:
1.l’interessato ha espresso il consenso al trattamento dei
propri dati personali per una o più specifiche finalità;
2.[...]
Per le categorie “particolari” di dati, il consenso deve
essere “esplicito”
Come abbiamo visto prima, gli Avvocati
possono (e anzi devono) avvalersi di altre
condizioni per la liceità del trattamento, ed in
particolare il trattamento sarà lecito nella
misura in cui sia necessario all'esecuzione di
un contratto
42

43. Avv. Francesco Paolo Micozzi
Condizioni per il consenso (art. 7)
Il titolare deve essere in grado di dimostrare che
l’interessato abbia prestato il proprio consenso,
quando il trattamento sia basato su di esso
La richiesta di consenso deve essere:
!chiaramente distinguibile, se prestato nel contesto
di una dichiarazione scritta che riguarda anche
altri aspetti
!in forma comprensibile e facilmente accessibile
!utilizzando un linguaggio semplice e chiaro
43

44. Avv. Francesco Paolo Micozzi
Diritti degli
interessati
44

45. Avv. Francesco Paolo Micozzi
I diritti degli interessati
• Trasparenza
• Informativa
• Diritto di accesso
• Diritto di rettifica
• Diritto alla cancellazione (oblio)
• Diritto di limitazione di trattamento
• Diritto alla portabilità dei dati (consenso; contratto;
mezzi automatizzati)
• Diritto di opposizione
• Diritto a non essere sottoposto a una decisione
basata unicamente sul trattamento
automatizzato
45

46. Avv. Francesco Paolo Micozzi
I Registri delle
attività di
trattamento
46

47. Avv. Francesco Paolo Micozzi
Il registro del Titolare – art. 30.1
1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un
registro delle attività di trattamento svolte sotto la propria responsabilità.Tale registro
contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile,
del contitolare del trattamento, del rappresentante del titolare del
trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati
personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o
un’organizzazione internazionale, compresa l’identificazione del paese terzo o
dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma
dell’articolo 49, la documentazione delle garanzie adeguate;
f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse
categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche
e organizzative di cui all’articolo 32, paragrafo 1.
47

48. Avv. Francesco Paolo Micozzi
Il registro del Responsabile – art. 30.2
2. Ogni responsabile del trattamento e, ove applicabile, il suo
rappresentante tengono un registro di tutte le categorie di attività relative
al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del
trattamento, di ogni titolare del trattamento per conto del quale agisce il
responsabile del trattamento, del rappresentante del titolare del
trattamento o del responsabile del trattamento e, ove applicabile, del
responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del
trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o
un’organizzazione internazionale, compresa l’identificazione del paese
terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al
secondo comma dell’articolo 49, la documentazione delle garanzie
adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche
e organizzative di cui all’articolo 32, paragrafo 1.
48

49. Avv. Francesco Paolo Micozzi
Chi deve tenere il Registro?
Art. 30, par. 5. Gli obblighi di cui ai paragrafi 1 e 2 non si
applicano alle imprese o organizzazioni con meno di 250
dipendenti, a meno che il trattamento che esse effettuano possa
presentare un rischio per i diritti e le libertà
dell’interessato, il trattamento non sia occasionale o
includa il trattamento di categorie particolari di
dati di cui all’articolo 9, paragrafo 1, o i dati personali
relativi a condanne penali e a reati di cui all’articolo
10.
5.The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or
an organisation employing fewer than 250 persons unless the processing it carries out is
likely to result in a risk to the rights and freedoms of data subjects, the processing is not
occasional, or the processing includes special categories of data as referred to in Article
9(1) or personal data relating to criminal convictions and offences referred to in Article
10.
49

50. Avv. Francesco Paolo Micozzi
Le formalità e l’aggiornamento
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in
forma scritta, anche in formato elettronico.
4. Su richiesta, il titolare del trattamento o il
responsabile del trattamento e, ove applicabile, il
rappresentante del titolare del trattamento o del
responsabile del trattamento mettono il
registro a disposizione dell’autorità di
controllo.
I registri vanno aggiornati?
50

51. Avv. Francesco Paolo Micozzi
51

52. Avv. Francesco Paolo Micozzi
La nascita di una
nuova figura: il DPO
52

53. Avv. Francesco Paolo Micozzi
La nascita di una nuova figura: il DPO 53

54. Avv. Francesco Paolo Micozzi
Art. 37, comma 5
5. Il responsabile della protezione dei
dati è designato in funzione delle qualità
professionali, in particolare della
conoscenza specialistica della
normativa e delle prassi in materia
di protezione dei dati, e della capacità
di assolvere i compiti di cui
all'articolo 39.
54

55. Avv. Francesco Paolo Micozzi
Una figura con differenti competenze 55
Tecniche-
Informatiche
Giuridiche

56. Avv. Francesco Paolo Micozzi
Art. 37, comma 5 - Requisiti del DPO 56
Qualità
professionali del
DPO
Conoscenza specialistica di
norme su privacy e data
protection
Capacità di assolvere ai
compiti previsti dall’art. 39

57. Avv. Francesco Paolo Micozzi
Compiti del DPO
1. offre consulenza a titolare, responsabile e dipendenti
2. fornisce il parere (se richiesto) sul DPIA
3. sorveglia sul rispetto della disciplina sulla protezione dati
4. coopera con l’autorità di controllo
5. funge da punto di contatto per l'autorità di controllo
6. valuta i rischi che incombono sui dati personali trattati
In che modo si può valutare la capacità di assolvere a tali compiti?
(la valutazione è necessaria ai fini della individuazione del DPO)
57

58. Avv. Francesco Paolo Micozzi
Data Protection
By Default
By Design
58

59. Avv. Francesco Paolo Micozzi
Minimizzare il trattamento - Minimizzare il rischio
“Quello che non c’è non si rompe”
(Henry Ford)
59

60. Avv. Francesco Paolo Micozzi
Art. 25 GDPR
il titolare del trattamento
mette in atto misure tecniche e organizzative adeguate,
(quali la pseudonimizzazione),
sia al momento di determinare i mezzi del
trattamento sia all'atto del trattamento stesso
tenendo conto dello stato dell'arte e dei costi di
attuazione, nonché della natura, dell'ambito di
applicazione, del contesto e delle finalità del
trattamento, come anche dei rischi (aventi probabilità e
gravità diverse) per i diritti e le libertà delle persone fisiche
costituiti dal trattamento
attuare in modo efficace i principi di protezione dei dati
(quali la minimizzazione) e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del
presente regolamento e tutelare i diritti degli interessati
60
WHO?
WHAT?
WHEN?
HOW?
WHY?

61. Avv. Francesco Paolo Micozzi
Quando porsi il problema di privacy-by-
default e by-design?
In fase di sviluppo (produttori);
In fase di progettazione (produttori);
In fase di selezione (titolari e responsabili);
In fase di utilizzo (titolari e responsabili),
di applicazioni, servizi e prodotti basati sul
trattamento di dati personali o che trattano dati
personali
(Considerando 78)
“sia al momento di determinare i mezzi del trattamento sia all'atto
del trattamento” (art. 25 GDPR)
61

62. Avv. Francesco Paolo Micozzi
Obblighi di
sicurezza
62

63. Avv. Francesco Paolo Micozzi
Cosa è la sicurezza delle informazioni?
C - Confidenzialità
I - Integrità
A - Disponibilità
63

64. Avv. Francesco Paolo Micozzi
Articolo 32 - Sicurezza del trattamento
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché
della natura, dell'oggetto, del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la
riservatezza, l'integrità, la disponibilità e la resilienza dei
sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità
e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare
regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
64

65. Avv. Francesco Paolo Micozzi
Articolo 32 - Sicurezza del trattamento
3. L'adesione a un codice di condotta
approvato di cui all'articolo 40 o a un meccanismo di
certificazione approvato di cui all'articolo 42 può
essere utilizzata come elemento per
dimostrare la conformità ai requisiti di cui
al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il
responsabile del trattamento fanno sì che
chiunque agisca sotto la loro autorità e
abbia accesso a dati personali non tratti tali
dati se non è istruito in tal senso dal titolare del
trattamento, salvo che lo richieda il diritto dell'Unione
o degli Stati membri.
65

66. Avv. Francesco Paolo Micozzi
MISURE TECNICHE (no numero chiuso)
pseudonimizzazione e cifratura dei dati personali (art.
32)
capacità di assicurare su base permanente la riservatezza,
l'integrità, la disponibilità [CIA] (art. 32)
capacità di assicurare su base permanente la resilienza dei
sistemi e dei servizi di trattamento (art. 32)
capacità di ripristinare tempestivamente la disponibilità e
l'accesso dei dati personali in caso di incidente fisico o tecnico;
procedura per testare, verificare e valutare
regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento
(art. 32)
Privacy-By-Default - minimizzazione (art. 25)
Privacy-By-Design
66

67. Avv. Francesco Paolo Micozzi
MISURE ORGANIZZATIVE (no numero chiuso)
Scelta corretta dei responsabili del trattamento - art. 28
Formazione (di tutti i soggetti autorizzati al trattamento)
Designazione dei rappresentanti dei titolari extra UE - art. 27
Nomina del responsabile della protezione dei dati (DPO) - art.
37
Redazione di policy specifiche (e eventuale integrazione con
MOG e PTPCT)
Eventuale adesione a codici di condotta
Eventuale certificazione
67

68. Avv. Francesco Paolo Micozzi
Data Breach
68

69. Avv. Francesco Paolo Micozzi
69

70. Avv. Francesco Paolo Micozzi
www.haveibeenpwned.com 70

71. Avv. Francesco Paolo Micozzi
Art. 33 GDPR
Notifica di una violazione dei dati personali all’autorità di
controllo
1. In caso di violazione dei dati personali, il titolare del trattamento
notifica la violazione all’autorità di controllo competente a norma
dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72
ore dal momento in cui ne è venuto a conoscenza, a meno
che sia improbabile che la violazione dei dati personali presenti un
rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all’autorità di controllo non sia effettuata entro 72
ore, è corredata dei motivi del ritardo.
Rischio per i diritti e le libertà delle persone
fisiche
Valutazione caso per caso (WP29)
71

72. Avv. Francesco Paolo Micozzi
Data breach 72
DATA
BREACH
Improbabile rischio
per diritti e libertà
degli interessati?
Nessuna
Segnalazione
Probabile rischio per
diritti e libertà degli
interessati? Garante
Interessati
Probabile rischio
elevato per diritti e
libertà degli
interessati?

73. Avv. Francesco Paolo Micozzi
Contenuto della notifica al Garante
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove
possibile, le categorie e il numero approssimativo di interessati in
questione nonché le categorie e il numero approssimativo di
registrazioni [records] dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile
della protezione dei dati o di altro punto di contatto
presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati
personali;
d) descrivere le misure adottate o di cui si propone l’adozione da
parte del titolare del trattamento per porre rimedio alla violazione dei
dati personali e anche, se del caso, per attenuarne i possibili effetti
negativi.
73

74. Avv. Francesco Paolo Micozzi
Art. 34 - Comunicazione all’interessato
Modalità della comunicazione
• Messaggio specifico (no a inserimento in newsletter etc.)
• Comunicazione sul sito
• Eventuale pubblicazione su quotidiani e simili
• Attenzione al formato e alla lingua
• Attenzione ai phishing che simulano i data breach
Tempestività
è opportuno che tali modalità e procedure tengano conto
dei legittimi interessi delle autorità incaricate
dell’applicazione della legge [law-enforcement
authorities], qualora una divulgazione prematura possa
ostacolare inutilmente l’indagine sulle circostanze di una
violazione di dati personali. (C.88)
74

75. Avv. Francesco Paolo Micozzi
Art. 34 - Comunicazione all’interessato
3. Non è richiesta la comunicazione all’interessato di cui al
paragrafo 1 se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e
organizzative adeguate di protezione e tali misure erano state applicate ai
dati personali oggetto della violazione, in particolare quelle destinate a
rendere i dati personali incomprensibili a chiunque non sia autorizzato ad
accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure
atte a scongiurare il sopraggiungere di un rischio elevato per
i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In
tal caso, si procede invece a una comunicazione pubblica o a una misura
simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato
all’interessato la violazione dei dati personali, l’autorità di controllo può
richiedere, dopo aver valutato la probabilità che la violazione dei dati
personali presenti un rischio elevato, che vi provveda o può decidere che
una delle condizioni di cui al paragrafo 3 è soddisfatta.
75

76. Avv. Francesco Paolo Micozzi
Valutazione di
impatto (DPIA)
76

77. Avv. Francesco Paolo Micozzi
Art. 35 GDPR (ipotesi generale)
1. Quando un tipo di trattamento, allorché prevede
in particolare l'uso di nuove tecnologie, considerati la
natura, l'oggetto, il contesto e le finalità del trattamento,
può presentare un rischio elevato per i diritti e
le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al
trattamento, una valutazione dell'impatto dei
trattamenti previsti sulla protezione dei dati
personali. Una singola valutazione può esaminare un
insieme di trattamenti simili che presentano rischi elevati
analoghi.
77

78. Avv. Francesco Paolo Micozzi
Lo schema dell’art. 29 WP 78

79. Avv. Francesco Paolo Micozzi
79

80. Avv. Francesco Paolo Micozzi
GDPR
E OBBLIGHI PER
GLI AVVOCATI
80

81. Avv. Francesco Paolo Micozzi
Avvocati verso il GDPR 81
1
Analisi del flusso di
trattamenti
2
“Organigramma” dello
studio
3
Informativa e altre
policy
4
Creazione del
Registro dei
Trattamenti
5
Verifica delle misure
tecniche impiegate per
ciascun trattamento
6
Mettere in atto il
sistema di segnalazione
di data breach
7
Eseguire la DPIA (ove
richiesto)
9
Individuazione e nomina
del DPO ?
10
Verificare ipotesi di
trattamenti
transfrontalieri
7
Prepararsi alla data
portability
11
Verifica contratti con
responsabili del
trattamento

82. Avv. Francesco Paolo Micozzi
Avvocati verso il GDPR 82
goo.gl/1vPSs9

83. Avv. Francesco Paolo Micozzi
Let’s keep in touch!
www.linkedin.com/in/
francesco-paolo-micozzi
micozzi@array.eu
www.slideshare.net/
fpmicozzi
@fpmicozzi

84. Avv. Francesco Paolo Micozzi
Grazie
per la tensione