SlideShare a Scribd company logo

GDPR: il nuovo Regolamento Europeo dal punto di vista del legale

Stiip Srl
Stiip Srl

Le sanzioni amministrative previste dal GDPR spaventano le aziende. Per non incorrere nelle multe è necessario ripensare la privacy in base al nuovo l'approccio del Regolamento europeo in materia di protezione dei dati personali. - Sanzioni amministrative - Big Data - Dati Personali - Trattamento dei dati - Informativa per il trattamento - Soggetti della Privacy - DPO Data Protection Officer - Accountability - Data Protection Impact Assessment - Privacy by design & by default - Data Breach Notification Intervento dell'avvocato Massimo Bacci al seminario organizzato da CZ Informatica, Stiip e Opensi: GDPR - Come adeguarsi al nuovo Regolamento Europeo sulla Privacy

Business
1 of 35
Download to read offline
GDPR GENERAL DATA PROTECTION REGULATION REG. UE 2016/679
PERCHÉ LA MAGGIOR PARTE DI VOI SONO QUÀ? GENERAL DATA PROTECTION REGULATION REG. UE 2016/679
LE SANZIONI AMMINISTRATIVE ØFino a 10.000.000 € o, se superiore, fino al 2% del fatturato mondiale dell’esercizio precedente Casi: consenso minori; misure di sicurezza; tenuta del registro; notificazioni data breach; mancata designazione responsabile etc. Ø Fino a 20.000.000 € o, se superiore, fino al 4% del fatturato mondiale dell’esercizio precedente Casi: violazione diritti soggetti interessati; mancanza base trattamento; trasferimento fuori UE etc.
PERCHÉ IL GDPR? GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
BIG DATA Il mercato dei Big Data Analytics continua la sua crescita nel 2017, segnando un aumento del 22% e raggiungendo un valore complessivo di 1,1 miliardi di euro Il 2018 sarà l’anno del boom della tecnologia IoT (Internet delle cose), che comporterà un ulteriore aumento esponenziale della quantità di dati in circolazione
I DATI SONO IL NUOVO PETROLIO PER LE IMPRESE Entro cinque anni nel mondo ci saranno oltre 50 miliardi di dispositivi connessi, tutti sviluppati per raccogliere, analizzare e condividere dati Apple, Alphabet (casa madre di Google), Microsoft, Facebook e Amazon sono le aziende ad avere oggi il maggior valore sui mercati. Tutte e cinque fondano la loro ricchezza sui dati raccolti dagli utenti che utilizzano i loro prodotti, nuovo capitale più importante e redditizio del bene o del servizio stesso che producono
I RISCHI DEL TRATTAMENTO DATI PER LE PERSONE FISICHE ØI dati ci permettono di trovare informazioni ma anche di essere trovati https://www.youtube.com/watch?v=qYnmfBiomlo&t=10s ØUna foto imbarazzante scattata anni fa, pubblicata su Facebook e di cui abbiamo perso il controllo può compromettere un’opportunità lavorativa ØOggi le persone fisiche non fanno molta attenzione ai dati personali che rilasciano e vedono la privacy come una seccatura, ma con l’aumento dei dati e l’aumento dei rischi aumenterà anche la loro sensibilità ØAumenterà conseguentemente il rischio di segnalazioni e sanzioni verso chi non rispetta le norme sulla privacy
I RISCHI DEL TRATTAMENTO DATI PER LE PERSONE FISICHE
PERCHÉ IL GDPR? ØPer generare consapevolezza sul valore dei dati personali ma anche sui rischi che tale trattamento comporta ØPer bilanciare l’interesse delle imprese ad utilizzare i dati personali e l’interesse delle persone fisiche a mantenere il controllo sui loro dati ØPer ridurre gli adempimenti meramente formali e burocratici e generare consapevolezza e responsabilizzazione in capo ai soggetti che trattano dati personali ØPer permettere un uso maggiore ma più consapevole e responsabile dei dati ØPer uniformare la normativa nel Mercato Unico Europeo
GDPR COME OPPORTUNITÀ E NON COME COSTO ØAdeguarsi al GDPR non è importante soltanto per evitare le sanzioni ma per restare competitivi in un mercato che, sempre più, ruota intorno al trattamento dei dati personali ØL’imprenditore è responsabile della scelta dei partner commerciali con cui condivide i dati personali. Se sceglie un’impresa (es. un provider di cloud computing, un hosting provider, un consulente del lavoro, un fornitore etc.) che non garantisce il corretto trattamento dei dati personali diviene direttamente responsabile per culpa in eligendo ØConseguentemente, vi sarà un vantaggio concorrenziale per i soggetti che sono conformi alle normative, che si dotano di certificazioni etc., mentre resteranno fuori dal mercato i soggetti che non sono in grado di dimostrare la loro conformità
IL DATO PERSONALE GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
COS’È UN DATO PERSONALE Il dato è personale se contiene informazioni idonee a ricondurlo ad una persona fisica identificata o identificabile ØInformazione: qualsiasi informazione (es. la posizione, un acquisto, un interesse, l’indirizzo e-mail, l’età etc.) ØPersona fisica: non sono dati personali i dati delle persone giuridiche, né delle persone decedute ØIdentificata: non sono dati personali i dati anonimi ØIdentificabile: quando si può risalire all’identità della persona combinando diverse informazioni, che il titolare può procurarsi con un sforzo non sproporzionato in termini di costi e tempo, tecnologia disponibile e tenendo conto delle finalità del trattamento
ANONIMIZZAZIONE VS PSEUDONIMIZZAZIONE ØPseudonimizzazione: i dati possono essere riferiti all’interessato solo mediante informazioni aggiuntive, che vengono conservate separatamente e soggette a misure tecniche ed organizzative Il GDPR si applica ma rappresenta un’ottima misura di accountability ØAnonimizzazione: le informazioni aggiuntive vengono cancellate con processo irreversibile, rendendo la persona non più identificabile Il GDPR non si applica
TIPOLOGIE DI DATO PERSONALE Dati comuni Tutti i dati ad esclusione di quelli sensibili e giudiziari (es. nome, indirizzo, telefono, e-mail, posizione etc.) Dati sensibili (o categorie particolari di dati personali) Salute; vita ed orientamento sessuale; origine razziale o etnica; opinioni politiche; convinzioni religiose o filosofiche; appartenenza sindacale; dati genetici; dati biometrici Dati giudiziari I dati relativi a condanne penali e ai reati o a connesse misure di sicurezza
IL TRATTAMENTO GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
COS’È UN TRATTAMENTO Trattamento è qualsiasi operazione effettuata su un dato personale o su un insieme di dati personali, sia con mezzi automatizzati che manualmente Esempi di trattamento: la raccolta, la conservazione, l’organizzazione, l’archiviazione, la cancellazione, la comunicazione, l’utilizzo etc. In caso di trattamenti non automatizzati, il GDPR si applica solo con riferimento a dati facenti parte di un data base strutturato
BASI GIURIDICHE DEL TRATTAMENTO Il trattamento di dati personali comuni è lecito solo in presenza di una delle seguenti basi giuridiche: Øconsenso per una o più finalità specifiche (da non confondere con l’informativa) Ønecessità per l’esecuzione di un contratto Ønecessità per adempiere ad un obbligo legale Øsalvaguardia degli interessi vitali dell’interessato o di un terzo Øinteresse pubblico o connesso all’esercizio di pubblici poteri Øinteresse legittimo del titolare prevalente sui diritti dell’interessato
CONDIZIONI DEL TRATTAMENTO DEI DATI SENSIBILI Il trattamento dei dati sensibili (o dati particolari) è vietato, salvo che nei casi elencati dall’art. 9: Øconsenso esplicito dell’interessato per una o più finalità specifiche Øper assolvere gli obblighi ed esercitare i diritti in materia di diritto del lavoro e sicurezza sociale protezione sociale (in presenza di garanzie appropriate) Ønecessario per tutelare un interesse vitale dell’interessato, qualora non sia in grado di prestare il consenso, o di un terzo Ødati resi manifestamente pubblici dall’interessato Øesercizio di un diritto in sede giudiziaria Ømotivi di interesse pubblico rilevante
L’INFORMATIVA ØIndipendentemente dalla necessità del consenso, l’informativa deve essere sempre data all’interessato ØQuando i dati non sono ricevuti direttamente dall’interessato ma da un terzo, il titolare deve comunque inviare l’informativa all’interessato entro un mese ØL’informativa deve contenere: l’identità ed i contatti del titolare e dei rappresentanti; le finalità del trattamento; la base giuridica (es. legittimo interesse); i destinatari; il trasferimento extra UE; il periodo di conservazione od i criteri per determinarlo; i diritti dell’interessato (accesso, rettifica, cancellazione, opposizione, portabilità etc.); il diritto di revoca del consenso; il diritto di proporre reclamo; se la comunicazione dei dati è obbligatoria o no e quali sono le conseguenze della mancata comunicazione; l’esistenza di un processo decisionale automatizzato (es. profilazione)
I SOGGETTI DELLA PRIVACY GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
I SOGGETTI DEL TRATTAMENTO ØInteressato: la persona a cui si riferiscono i dati personali trattati ØTitolare (Controller): la persona fisica o giuridica che determina le finalità e le modalità del trattamento ØResponsabile del trattamento (Processor): la persona fisica o giuridica che effettua il trattamento per conto del titolare e secondo le sue istruzioni ØIncaricato del trattamento: persona autorizzata dal titolare ad effettuare determinati trattamenti ØResponsabile della protezione dati (DPO): soggetto nominato dal titolare al fine di svolgere funzioni di consulenza, organizzazione, monitoraggio e cooperazione con l’Autorità Garante in materia di trattamento dei dati personali ØAmministratore di sistema: soggetto esperto chiamato a gestire e sorvegliare il corretto utilizzo dei sistemi informatici di un’azienda
TITOLARE, CONTITOLARE O RESPONSABILE? Distinguere il titolare dal responsabile non è sempre immediato, poiché spesso un responsabile del trattamento ha molta autonomia decisionale (es. in materia di modalità del trattamento e misure di sicurezza) Un soggetto che tratta dei dati personali comunicatigli da un altro soggetto, per capire se è un responsabile o un titolare deve rispondere alla seguenti domande: Nell’interesse di chi sto trattando questi dati? Chi decide le finalità? Øse tratto i dati nell’interesse e secondo le istruzioni del titolare sono un responsabile Øse tratto i dati nel mio interesse e decido le finalità sono titolare Øse condivido l’interesse e la scelta delle finalità del trattamento sono contitolare
DESIGNAZIONE DEL RESPONSABILE Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato (art. 28.1 GDPR) I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (art. 28.3 GDPR)
DESIGNAZIONE DEL SUB-RESPONSABILE ØIl titolare deve espressamente autorizzare il responsabile alla nomina di un sub-responsabile ØLa designazione di un sub-responsabile richiede un contratto che ricalca quanto scritto in quello per la designazione del responsabile
DESIGNAZIONE INCARICATI Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri (art. 29 GDPR) Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (Garante Privacy) Devono continuare ad essere designati ed istruiti gli incaricati del trattamento!
IL DATA PROTECTION OFFICER Quali sono i compiti del DPO? Øsorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità Øcollaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA) Øinformare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati Øcooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento Øsupportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento
LE COMPETENZE DEL DATA PROTECTION OFFICER Il Responsabile della protezione dei dati dovrà: Øpossedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze Øadempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse Øoperare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno)
OBBLIGO DI NOMINA DEL DPO Hanno l’obbligo di nomina di un DPO: Øamministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie Øtutti i soggetti la cui attività principale consiste in trattamenti che, su larga scala Øper la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati Ødi dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un DPO, è comunque possibile una nomina su base volontaria Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO
IL PRINCIPIO DELL’ACCOUNTABILITY Il concetto di accountability comprende in sé due elementi: ØResponsabilizzazione interna delle aziende ØCapacità di dimostrazione Non sono più sufficienti meri adempimenti burocratici, quali la notificazione al Garante, il rilascio dell’informativa agli interessati od il rispetto di misure minime di sicurezza. L’imprenditore deve mettere in atto dellemisure di protezione adeguate valutando autonomamente ciò che ritiene necessario sulla base del rischio. L’imprenditore deve essere in grado di giustificare la decisione presa, documentando il processo decisionale, nonché di dimostrare di aver posto in essere le misure ritenute adeguate. L’imprenditore viene responsabilizzato.
ESEMPI DI ACCOUNTABILITY Øtenere un registro dei trattamenti o documentare le ragioni per cui si è deciso di non adottarlo Ønominare un DPO o documentare la ragione per cui si ritiene di non doverlo nominare Øadottare una privacy policy aziendale Øadottare codici di condotta o munirsi di certificazioni Øassegnare e documentare i ruoli privacy all’interno dell’azienda Øfare corsi di formazione del personale e documentarli Øeffettuare una DPIA (Data Protection Impact Assessment) prima di iniziare un trattamento rischioso Øadottare misure di sicurezza adeguate e documentarle Øeffettuare audit periodici per verificare il rispetto delle norme privacy etc.
APPROCCIO BASATO SUL RISCHIO Il GDPR introduce un approccio basato sul rischio per determinare quali sono le misure tecniche ed organizzative da implementare Il titolare deve tenere in considerazione i rischi di distruzione, perdita, alterazione, pubblicazione non autorizzata o accesso ai dati personali Ciò che possono comportare: discriminazione, furto di identità, frode, perdite finanziarie, danni alla reputazione, svantaggi sociali ed economici etc. Il tipo di dati trattati: dati comuni, sensibili, giudiziari etc.
DATA PROTECTION IMPACT ASSESSMENT ØPrima di iniziare un trattamento, in particolare se usa nuove tecnologie, idoneo a creare un alto rischio per i diritti e le libertà degli interessati, il titolare deve effettuare una valutazione d’impatto (Data Protection Impact Assessment) ØUna volta analizzati i rischi, il titolare deve porre in essere le misure adeguate (pseudonimizzazione, minimizzazione etc.) per limitare il rischio ØSe il rischio resta elevato, nonostante l’applicazione di misure adeguate, occorre rivolgersi all’Autorità Garante
PRIVACY BY DESIGN E BY DEFAULT Privacy by Design: la tutela della privacy deve essere tenuta in considerazione sin dalla fase di progettazione di un nuovo trattamento così come di una nuova tecnologia e durante tutto il trattamento, al fine di mettere in atto misure tecniche ed organizzative adeguate Es. nel progettare un nuovo applicativo, una software house dovrebbe prevedere misure di minimizzazione dei dati, pseudonimizzazione, registrazione degli access log, log-out automatico dopo un determinato periodo di non utilizzazione etc. Privacy by Default: ogni tecnologia deve prevedere come impostazione di default il trattamento meno invasivo possibile Es. quando mi iscrivo ad un social network, le impostazioni della privacy preimpostate devono essere le più protettive possibili e non costringermi a modificarle; i consensi privacy non devono essere preimpostati; le newsletter prevedere il double opt-in etc.
DATA BREACH NOTIFICATION ØUn data breach è una violazione della sicurezza dei dati che può portare alla loro distruzione, perdita, alterazione, pubblicazione o accesso non autorizzati ØIn caso di violazione dei dati personali, il titolare notifica il data breach al Garante entro 72 dal momento in cui ne è venuto a conoscenza, se non è improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche ØI data breach devono comunque essere sempre registrati e devono essere descritti i provvedimenti adottati per porvi rimedio ØSe vi è un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare comunica il data breach anche ai soggetti interessati
STUDIO LEGALE ASSOCIATO CAPPELLINI CARLESI Avv. Massimo Bacci LL.M. in Intellectual Property Via Valentini 23/a 59100 Prato www.iprights.it massimobacci@legalicappellinicarlesi.it Tel. 0574/870551-2 Fax. 0574/870554

Recommended

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
Marco Marcellini
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
Interlogica
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
Fabio Tonini
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
Adriano Bertolino
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
Porto4CulturaLegaled
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
Andrea Maggipinto [+1k]
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
Claudio De Luca
 

Recommended

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
Marco Marcellini
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
Interlogica
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
Fabio Tonini
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
Adriano Bertolino
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
Porto4CulturaLegaled
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
Andrea Maggipinto [+1k]
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
Claudio De Luca
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
Giacomo Giovanelli
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
Adriano Bertolino
 
GDPR
GDPRGDPR
GDPR
Pasquale Tarallo
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
Simone Chiarelli
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
SMAU
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
Gianluigi Spagnoli
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
M2 Informatica
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Pedroletti Sharmayne
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico Trento
Francesco Paolo Micozzi
 
Marketing e Privacy
Marketing e PrivacyMarketing e Privacy
Marketing e Privacy
AIMB2B
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
Lucia Ruocco
 
Gdpr privacy-v.3
Gdpr privacy-v.3Gdpr privacy-v.3
Gdpr privacy-v.3
Irene Magistro
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Digital Building Blocks
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
Edoardo Ferraro
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
ThinkOpen
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
Fabio Vezzoli
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
Lodovico Mabini
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
Stefano Versace
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Edoardo Ferraro
 

More Related Content

What's hot

Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
Giacomo Giovanelli
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
Adriano Bertolino
 
GDPR
GDPRGDPR
GDPR
Pasquale Tarallo
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
Simone Chiarelli
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
SMAU
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
Gianluigi Spagnoli
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
M2 Informatica
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Pedroletti Sharmayne
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico Trento
Francesco Paolo Micozzi
 
Marketing e Privacy
Marketing e PrivacyMarketing e Privacy
Marketing e Privacy
AIMB2B
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
Lucia Ruocco
 
Gdpr privacy-v.3
Gdpr privacy-v.3Gdpr privacy-v.3
Gdpr privacy-v.3
Irene Magistro
 

What's hot (14)

Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
GDPR
GDPRGDPR
GDPR
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico Trento
 
Marketing e Privacy
Marketing e PrivacyMarketing e Privacy
Marketing e Privacy
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
Gdpr privacy-v.3
Gdpr privacy-v.3Gdpr privacy-v.3
Gdpr privacy-v.3
 

Similar to GDPR: il nuovo Regolamento Europeo dal punto di vista del legale

Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Digital Building Blocks
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
Edoardo Ferraro
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
ThinkOpen
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
Fabio Vezzoli
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
Lodovico Mabini
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
Stefano Versace
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Edoardo Ferraro
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
Giovanni Maria Riccio
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
Giuseppe Ricci
 
GDPR: guida pratica per psicologi
GDPR: guida pratica per psicologiGDPR: guida pratica per psicologi
GDPR: guida pratica per psicologi
Ada Moscarella
 
Guida al GDPR
Guida al GDPRGuida al GDPR
Guida al GDPR
Altrapsicologia
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
Quotidiano Piemontese
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Adriano Bertolino
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
Ingreen;
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
ALESSIA PALLADINO
 

Similar to GDPR: il nuovo Regolamento Europeo dal punto di vista del legale (20)

Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Privacy Sanità
Privacy SanitàPrivacy Sanità
Privacy Sanità
 
GDPR: guida pratica per psicologi
GDPR: guida pratica per psicologiGDPR: guida pratica per psicologi
GDPR: guida pratica per psicologi
 
Guida al GDPR
Guida al GDPRGuida al GDPR
Guida al GDPR
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 

GDPR: il nuovo Regolamento Europeo dal punto di vista del legale

  • 1. GDPR GENERAL DATA PROTECTION REGULATION REG. UE 2016/679
  • 2. PERCHÉ LA MAGGIOR PARTE DI VOI SONO QUÀ? GENERAL DATA PROTECTION REGULATION REG. UE 2016/679
  • 3. LE SANZIONI AMMINISTRATIVE ØFino a 10.000.000 € o, se superiore, fino al 2% del fatturato mondiale dell’esercizio precedente Casi: consenso minori; misure di sicurezza; tenuta del registro; notificazioni data breach; mancata designazione responsabile etc. Ø Fino a 20.000.000 € o, se superiore, fino al 4% del fatturato mondiale dell’esercizio precedente Casi: violazione diritti soggetti interessati; mancanza base trattamento; trasferimento fuori UE etc.
  • 4. PERCHÉ IL GDPR? GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
  • 5. BIG DATA Il mercato dei Big Data Analytics continua la sua crescita nel 2017, segnando un aumento del 22% e raggiungendo un valore complessivo di 1,1 miliardi di euro Il 2018 sarà l’anno del boom della tecnologia IoT (Internet delle cose), che comporterà un ulteriore aumento esponenziale della quantità di dati in circolazione
  • 6. I DATI SONO IL NUOVO PETROLIO PER LE IMPRESE Entro cinque anni nel mondo ci saranno oltre 50 miliardi di dispositivi connessi, tutti sviluppati per raccogliere, analizzare e condividere dati Apple, Alphabet (casa madre di Google), Microsoft, Facebook e Amazon sono le aziende ad avere oggi il maggior valore sui mercati. Tutte e cinque fondano la loro ricchezza sui dati raccolti dagli utenti che utilizzano i loro prodotti, nuovo capitale più importante e redditizio del bene o del servizio stesso che producono
  • 7. I RISCHI DEL TRATTAMENTO DATI PER LE PERSONE FISICHE ØI dati ci permettono di trovare informazioni ma anche di essere trovati https://www.youtube.com/watch?v=qYnmfBiomlo&t=10s ØUna foto imbarazzante scattata anni fa, pubblicata su Facebook e di cui abbiamo perso il controllo può compromettere un’opportunità lavorativa ØOggi le persone fisiche non fanno molta attenzione ai dati personali che rilasciano e vedono la privacy come una seccatura, ma con l’aumento dei dati e l’aumento dei rischi aumenterà anche la loro sensibilità ØAumenterà conseguentemente il rischio di segnalazioni e sanzioni verso chi non rispetta le norme sulla privacy
  • 8. I RISCHI DEL TRATTAMENTO DATI PER LE PERSONE FISICHE
  • 9. PERCHÉ IL GDPR? ØPer generare consapevolezza sul valore dei dati personali ma anche sui rischi che tale trattamento comporta ØPer bilanciare l’interesse delle imprese ad utilizzare i dati personali e l’interesse delle persone fisiche a mantenere il controllo sui loro dati ØPer ridurre gli adempimenti meramente formali e burocratici e generare consapevolezza e responsabilizzazione in capo ai soggetti che trattano dati personali ØPer permettere un uso maggiore ma più consapevole e responsabile dei dati ØPer uniformare la normativa nel Mercato Unico Europeo
  • 10. GDPR COME OPPORTUNITÀ E NON COME COSTO ØAdeguarsi al GDPR non è importante soltanto per evitare le sanzioni ma per restare competitivi in un mercato che, sempre più, ruota intorno al trattamento dei dati personali ØL’imprenditore è responsabile della scelta dei partner commerciali con cui condivide i dati personali. Se sceglie un’impresa (es. un provider di cloud computing, un hosting provider, un consulente del lavoro, un fornitore etc.) che non garantisce il corretto trattamento dei dati personali diviene direttamente responsabile per culpa in eligendo ØConseguentemente, vi sarà un vantaggio concorrenziale per i soggetti che sono conformi alle normative, che si dotano di certificazioni etc., mentre resteranno fuori dal mercato i soggetti che non sono in grado di dimostrare la loro conformità
  • 11. IL DATO PERSONALE GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
  • 12. COS’È UN DATO PERSONALE Il dato è personale se contiene informazioni idonee a ricondurlo ad una persona fisica identificata o identificabile ØInformazione: qualsiasi informazione (es. la posizione, un acquisto, un interesse, l’indirizzo e-mail, l’età etc.) ØPersona fisica: non sono dati personali i dati delle persone giuridiche, né delle persone decedute ØIdentificata: non sono dati personali i dati anonimi ØIdentificabile: quando si può risalire all’identità della persona combinando diverse informazioni, che il titolare può procurarsi con un sforzo non sproporzionato in termini di costi e tempo, tecnologia disponibile e tenendo conto delle finalità del trattamento
  • 13. ANONIMIZZAZIONE VS PSEUDONIMIZZAZIONE ØPseudonimizzazione: i dati possono essere riferiti all’interessato solo mediante informazioni aggiuntive, che vengono conservate separatamente e soggette a misure tecniche ed organizzative Il GDPR si applica ma rappresenta un’ottima misura di accountability ØAnonimizzazione: le informazioni aggiuntive vengono cancellate con processo irreversibile, rendendo la persona non più identificabile Il GDPR non si applica
  • 14. TIPOLOGIE DI DATO PERSONALE Dati comuni Tutti i dati ad esclusione di quelli sensibili e giudiziari (es. nome, indirizzo, telefono, e-mail, posizione etc.) Dati sensibili (o categorie particolari di dati personali) Salute; vita ed orientamento sessuale; origine razziale o etnica; opinioni politiche; convinzioni religiose o filosofiche; appartenenza sindacale; dati genetici; dati biometrici Dati giudiziari I dati relativi a condanne penali e ai reati o a connesse misure di sicurezza
  • 15. IL TRATTAMENTO GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
  • 16. COS’È UN TRATTAMENTO Trattamento è qualsiasi operazione effettuata su un dato personale o su un insieme di dati personali, sia con mezzi automatizzati che manualmente Esempi di trattamento: la raccolta, la conservazione, l’organizzazione, l’archiviazione, la cancellazione, la comunicazione, l’utilizzo etc. In caso di trattamenti non automatizzati, il GDPR si applica solo con riferimento a dati facenti parte di un data base strutturato
  • 17. BASI GIURIDICHE DEL TRATTAMENTO Il trattamento di dati personali comuni è lecito solo in presenza di una delle seguenti basi giuridiche: Øconsenso per una o più finalità specifiche (da non confondere con l’informativa) Ønecessità per l’esecuzione di un contratto Ønecessità per adempiere ad un obbligo legale Øsalvaguardia degli interessi vitali dell’interessato o di un terzo Øinteresse pubblico o connesso all’esercizio di pubblici poteri Øinteresse legittimo del titolare prevalente sui diritti dell’interessato
  • 18. CONDIZIONI DEL TRATTAMENTO DEI DATI SENSIBILI Il trattamento dei dati sensibili (o dati particolari) è vietato, salvo che nei casi elencati dall’art. 9: Øconsenso esplicito dell’interessato per una o più finalità specifiche Øper assolvere gli obblighi ed esercitare i diritti in materia di diritto del lavoro e sicurezza sociale protezione sociale (in presenza di garanzie appropriate) Ønecessario per tutelare un interesse vitale dell’interessato, qualora non sia in grado di prestare il consenso, o di un terzo Ødati resi manifestamente pubblici dall’interessato Øesercizio di un diritto in sede giudiziaria Ømotivi di interesse pubblico rilevante
  • 19. L’INFORMATIVA ØIndipendentemente dalla necessità del consenso, l’informativa deve essere sempre data all’interessato ØQuando i dati non sono ricevuti direttamente dall’interessato ma da un terzo, il titolare deve comunque inviare l’informativa all’interessato entro un mese ØL’informativa deve contenere: l’identità ed i contatti del titolare e dei rappresentanti; le finalità del trattamento; la base giuridica (es. legittimo interesse); i destinatari; il trasferimento extra UE; il periodo di conservazione od i criteri per determinarlo; i diritti dell’interessato (accesso, rettifica, cancellazione, opposizione, portabilità etc.); il diritto di revoca del consenso; il diritto di proporre reclamo; se la comunicazione dei dati è obbligatoria o no e quali sono le conseguenze della mancata comunicazione; l’esistenza di un processo decisionale automatizzato (es. profilazione)
  • 20. I SOGGETTI DELLA PRIVACY GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
  • 21. I SOGGETTI DEL TRATTAMENTO ØInteressato: la persona a cui si riferiscono i dati personali trattati ØTitolare (Controller): la persona fisica o giuridica che determina le finalità e le modalità del trattamento ØResponsabile del trattamento (Processor): la persona fisica o giuridica che effettua il trattamento per conto del titolare e secondo le sue istruzioni ØIncaricato del trattamento: persona autorizzata dal titolare ad effettuare determinati trattamenti ØResponsabile della protezione dati (DPO): soggetto nominato dal titolare al fine di svolgere funzioni di consulenza, organizzazione, monitoraggio e cooperazione con l’Autorità Garante in materia di trattamento dei dati personali ØAmministratore di sistema: soggetto esperto chiamato a gestire e sorvegliare il corretto utilizzo dei sistemi informatici di un’azienda
  • 22. TITOLARE, CONTITOLARE O RESPONSABILE? Distinguere il titolare dal responsabile non è sempre immediato, poiché spesso un responsabile del trattamento ha molta autonomia decisionale (es. in materia di modalità del trattamento e misure di sicurezza) Un soggetto che tratta dei dati personali comunicatigli da un altro soggetto, per capire se è un responsabile o un titolare deve rispondere alla seguenti domande: Nell’interesse di chi sto trattando questi dati? Chi decide le finalità? Øse tratto i dati nell’interesse e secondo le istruzioni del titolare sono un responsabile Øse tratto i dati nel mio interesse e decido le finalità sono titolare Øse condivido l’interesse e la scelta delle finalità del trattamento sono contitolare
  • 23. DESIGNAZIONE DEL RESPONSABILE Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato (art. 28.1 GDPR) I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (art. 28.3 GDPR)
  • 24. DESIGNAZIONE DEL SUB-RESPONSABILE ØIl titolare deve espressamente autorizzare il responsabile alla nomina di un sub-responsabile ØLa designazione di un sub-responsabile richiede un contratto che ricalca quanto scritto in quello per la designazione del responsabile
  • 25. DESIGNAZIONE INCARICATI Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri (art. 29 GDPR) Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (Garante Privacy) Devono continuare ad essere designati ed istruiti gli incaricati del trattamento!
  • 26. IL DATA PROTECTION OFFICER Quali sono i compiti del DPO? Øsorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità Øcollaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA) Øinformare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati Øcooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento Øsupportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento
  • 27. LE COMPETENZE DEL DATA PROTECTION OFFICER Il Responsabile della protezione dei dati dovrà: Øpossedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze Øadempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse Øoperare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno)
  • 28. OBBLIGO DI NOMINA DEL DPO Hanno l’obbligo di nomina di un DPO: Øamministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie Øtutti i soggetti la cui attività principale consiste in trattamenti che, su larga scala Øper la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati Ødi dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un DPO, è comunque possibile una nomina su base volontaria Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO
  • 29. IL PRINCIPIO DELL’ACCOUNTABILITY Il concetto di accountability comprende in sé due elementi: ØResponsabilizzazione interna delle aziende ØCapacità di dimostrazione Non sono più sufficienti meri adempimenti burocratici, quali la notificazione al Garante, il rilascio dell’informativa agli interessati od il rispetto di misure minime di sicurezza. L’imprenditore deve mettere in atto dellemisure di protezione adeguate valutando autonomamente ciò che ritiene necessario sulla base del rischio. L’imprenditore deve essere in grado di giustificare la decisione presa, documentando il processo decisionale, nonché di dimostrare di aver posto in essere le misure ritenute adeguate. L’imprenditore viene responsabilizzato.
  • 30. ESEMPI DI ACCOUNTABILITY Øtenere un registro dei trattamenti o documentare le ragioni per cui si è deciso di non adottarlo Ønominare un DPO o documentare la ragione per cui si ritiene di non doverlo nominare Øadottare una privacy policy aziendale Øadottare codici di condotta o munirsi di certificazioni Øassegnare e documentare i ruoli privacy all’interno dell’azienda Øfare corsi di formazione del personale e documentarli Øeffettuare una DPIA (Data Protection Impact Assessment) prima di iniziare un trattamento rischioso Øadottare misure di sicurezza adeguate e documentarle Øeffettuare audit periodici per verificare il rispetto delle norme privacy etc.
  • 31. APPROCCIO BASATO SUL RISCHIO Il GDPR introduce un approccio basato sul rischio per determinare quali sono le misure tecniche ed organizzative da implementare Il titolare deve tenere in considerazione i rischi di distruzione, perdita, alterazione, pubblicazione non autorizzata o accesso ai dati personali Ciò che possono comportare: discriminazione, furto di identità, frode, perdite finanziarie, danni alla reputazione, svantaggi sociali ed economici etc. Il tipo di dati trattati: dati comuni, sensibili, giudiziari etc.
  • 32. DATA PROTECTION IMPACT ASSESSMENT ØPrima di iniziare un trattamento, in particolare se usa nuove tecnologie, idoneo a creare un alto rischio per i diritti e le libertà degli interessati, il titolare deve effettuare una valutazione d’impatto (Data Protection Impact Assessment) ØUna volta analizzati i rischi, il titolare deve porre in essere le misure adeguate (pseudonimizzazione, minimizzazione etc.) per limitare il rischio ØSe il rischio resta elevato, nonostante l’applicazione di misure adeguate, occorre rivolgersi all’Autorità Garante
  • 33. PRIVACY BY DESIGN E BY DEFAULT Privacy by Design: la tutela della privacy deve essere tenuta in considerazione sin dalla fase di progettazione di un nuovo trattamento così come di una nuova tecnologia e durante tutto il trattamento, al fine di mettere in atto misure tecniche ed organizzative adeguate Es. nel progettare un nuovo applicativo, una software house dovrebbe prevedere misure di minimizzazione dei dati, pseudonimizzazione, registrazione degli access log, log-out automatico dopo un determinato periodo di non utilizzazione etc. Privacy by Default: ogni tecnologia deve prevedere come impostazione di default il trattamento meno invasivo possibile Es. quando mi iscrivo ad un social network, le impostazioni della privacy preimpostate devono essere le più protettive possibili e non costringermi a modificarle; i consensi privacy non devono essere preimpostati; le newsletter prevedere il double opt-in etc.
  • 34. DATA BREACH NOTIFICATION ØUn data breach è una violazione della sicurezza dei dati che può portare alla loro distruzione, perdita, alterazione, pubblicazione o accesso non autorizzati ØIn caso di violazione dei dati personali, il titolare notifica il data breach al Garante entro 72 dal momento in cui ne è venuto a conoscenza, se non è improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche ØI data breach devono comunque essere sempre registrati e devono essere descritti i provvedimenti adottati per porvi rimedio ØSe vi è un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare comunica il data breach anche ai soggetti interessati
  • 35. STUDIO LEGALE ASSOCIATO CAPPELLINI CARLESI Avv. Massimo Bacci LL.M. in Intellectual Property Via Valentini 23/a 59100 Prato www.iprights.it massimobacci@legalicappellinicarlesi.it Tel. 0574/870551-2 Fax. 0574/870554