A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018). Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.

1. GDPR:
scenari attuali e
futuribili
Avv. Andrea Maggipinto (www.maggipinto.eu)
Ing. Igor Serraino (www.serraino.it)

2. www.maggipinto.eu
avvocato@maggipinto.eu
➢ In vigore dal: 24
maggio 2016
➢ Piena applicazione dal:
25 maggio 2018
➢ Sistematica: 99
articoli, XI capi, 173
considerando,
importanti
abrogazioni
(dir.95/46/CE)
GDPR in breve
REGOLAMENTO (UE)
2016/679 del Parlamento
Europeo e del Consiglio del
27 aprile 2016 relativo alla
protezione delle persone
fisichecon riguardo al
trattamento dei dati
personali, nonché alla
libera circolazione di tali
dati e che abroga la
direttiva 95/46/CE

3. www.maggipinto.eu
avvocato@maggipinto.eu
Corretta applicazione del GDPR
ACCOUNTABILITY (art. 24)
COSA È CAMBIATO
Necessità di comportamenti proattivi e capacità di dimostrare la
concreta adozione di misure finalizzate ad assicurare l'applicazione
del GDPR (in primis, rispetto dei principi di cui all’art. 5).
Alcune novità:
➜ Registro delle attività di trattamenti (art. 30)
➜ Misure di sicurezza «adeguate» (art. 32)
➜ Gestione delle violazioni di dati personali (artt. 33-34)
➜ Valutazione di impatto (DPIA) (art. 35)
Abolizione della notifica preventiva dei trattamenti all’autorità di
controllo e il prior checking sostituiti dalla tenuta di un registro dei
trattamenti e valutazioni d’impatto

4. www.maggipinto.eu
avvocato@maggipinto.eu
Corretta applicazione del GDPR
TITOLARE - RESPONSABILE - «AUTORIZZATO» - «DESIGNATO»
COSA È CAMBIATO
➜ Contitolarità del
trattamento e accordo
interno (art. 26)
➜ Designazione responsabile
del trattamento (art. 28)
➜ Nomina di sub-responsabili
➜ Prevede obblighi specifici in
capo ai responsabili del
trattamento: registro,
designazione DPO, ecc.
COSA NON È CAMBIATO
➜ Requisiti soggettivi e
responsabilità negli stessi
termini della direttiva
95/46/CE.
➜ Pur non prevedendo
espressamente la figura
dell' "incaricato" del
trattamento, il GDPR non
ne esclude la presenza
(c.d. «autorizzati»)

5. www.maggipinto.eu
avvocato@maggipinto.eu
Corretta applicazione del GDPR
INFORMATIVA
COSA È CAMBIATO
Il titolare DEVE SEMPRE specificare i
dati di contatto del DPO, la base
giuridica del trattamento, qual è
l’interesse legittimo. Il titolare deve
specificare il periodo di conservazione
dei dati, e il diritto di presentare un
reclamo all'autorità di controllo. Se il
trattamento comporta processi
decisionali automatizzati (anche la
profilazione), l'informativa deve
specificarlo e deve indicare la logica e
le conseguenze previste per
l'interessato.
COSA NON È CAMBIATO
Deve essere fornita
all'interessato prima di
effettuare la raccolta dei dati.
Il titolare deve specificare la
propria identità, le finalità del
trattamento, i diritti degli
interessati , se esiste un
responsabile del trattamento e
la sua identità, e quali sono i
destinatari dei dati.

6. www.maggipinto.eu
avvocato@maggipinto.eu
Corretta applicazione del GDPR
BASE GIURIDICA
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una
delle seguenti condizioni:
a) l’interessato ha espresso il consenso
b) il trattamento è necessario all’esecuzione di un contratto
c) il trattamento è necessario per adempiere un obbligo legale
d) Il trattamento è necessario per la salvaguardia degli interessi vitali
e) il trattamento è necessario per l’esecuzione di un compito di interesse
pubblico o connesso all’esercizio di pubblici poteri
f) il trattamento è necessario per il perseguimento del legittimo interesse
Se basato sul consenso, deve essere espresso mediante un atto
positivo con il quale l’interessato manifesta l’intenzione di autorizzare
il trattamento in modo INFORMATO – INEQUIVOCABILE – SPECIFICO –
LIBERO – DIMOSTRABILE.

7. www.maggipinto.eu
avvocato@maggipinto.eu
..IN ITALIA
GDPR

8. www.maggipinto.eu
avvocato@maggipinto.eu
Il «nuovo» D.LGS. 196/03 (mod. d.lgs. 101/18)
➜ Richiamo espresso al Regolamento 2016/679, fonte primaria
della disciplina a protezione dei dati personali
➜ Consenso dei minori con almeno 14 anni d’età (per s.s.i.)
➜ «Misure di garanzia» per dati genetici, biometrici e relativi alla
salute (art. 2 septies)
➜ Inutilizzabilità dei dati trattati in violazione della normativa
(art. 2 decies)
➜ Diritti riguardanti le persone decedute (art. 2 terdecies)
➜ Organismo nazionale di accreditamento (art. 2 septiesdecies)
➜ Non solo Reclami, ma anche Segnalazioni (art. 144).
➜ Sanzioni penali (artt. 167 e ss.)
➜ Codici di deontologia e buona condotta, autorizzazioni e
provvedimenti generali (cfr. artt. 20-22 del d.lgs. 101/18)

9. www.maggipinto.eu
avvocato@maggipinto.eu
IN U.E.
Nel frattempo..

10. www.maggipinto.eu
avvocato@maggipinto.eu
«ePrivacy»
Proposta di Regolamento della Commissione UE concernente il
"rispetto della vita privata e la protezione dei dati personali nelle
comunicazioni elettroniche all´interno dell´Unione Europea", che
andrà a sostituire la Direttiva 2002/58/CE
Il Regolamento andrà ad estendere l’ambito di applicazione della
disciplina sui dati personali nelle comunicazioni anche ai trattamenti
legati allo scambio di e-mail e messaggi online, dunque ai nuovi
servizi di comunicazione elettronica (c.d. OTT: WhatsApp, Skype,
Facebook, Messenger, ecc.)
➜ COOKIES
○ i browser devono offrire agli utenti la possibilità di bloccare
il trattamento dei dati a livello tecnico
○ davvero i gestori dei siti web potranno usufruire dei cookies
solamente con il consenso dell’utente?

11. www.maggipinto.eu
avvocato@maggipinto.eu
«ePrivacy»
➜ Metadati: non soltanto i dati, ma anche il contenuto delle
comunicazioni e i metadati (cioè gli elementi accessori e di
contorno di una informazione) godranno dello stesso livello di
protezione.
➜ Protezione del dispositivo: si prevede che ogni interferenza con i
terminali richieda il consenso dell´utente.
➜ IOT: viene per la prima volta menzionata la specificità
dell´internet delle cose al fine di estendere il principio di
confidenzialità delle comunicazioni anche ai trattamenti machine-
to-machine.
➜ Telemarketing: la proposta prevede che per l´effettuazione di
chiamate a carattere promozionale gli operatori utilizzino linee
telefoniche contraddistinte da un prefisso identificativo unico che
dovrà obbligatoriamente essere mostrato in chiaro.

12. www.maggipinto.eu
avvocato@maggipinto.eu
..COSA FARE?
A cinque mesi dal 25 maggio..

13. www.maggipinto.eu
avvocato@maggipinto.eu
Mi può servire una «CERTIFICAZIONE»?
➜ Artt. 42 e 43 GDPR
○ «per dimostrare la conformità al presente regolamento dei
trattamenti effettuati»
○ «non riduce la responsabilità .. riguardo alla conformità al
presente regolamento e lascia impregiudicati i compiti e i
poteri delle autorità di controllo»
➜ Il decreto legislativo (italiano) di adeguamento al GDPR
riconosce Accredia come istituto nazionale per l’accreditamento
degli «accreditatori» ex GDPR.

14. www.maggipinto.eu
avvocato@maggipinto.eu
Può aiutarmi il «DPO»?
➜ Compito principale di garantire, in maniera autonoma e
indipendente, l'applicazione delle disposizioni del GDPR
➜ Il DPO deve essere coinvolto dal Titolare in tutte le questioni
riguardanti il trattamento di dati personali
➜ È il punto di contatto sia con le Autorità d controllo, sia con gli
interessati
➜ Il DPO è un consulente: ha il compito di informare e consigliare il
Titolare circa gli obblighi ai sensi del GDPR e delle altre disposizioni
applicabili
➜ Fornisce consulenza ove richiesto per quanto riguarda la
valutazione d’impatto sulla protezione dei dati e monitorare i
relativi adempimenti

15. www.maggipinto.eu
avvocato@maggipinto.eu
Gestire «in prima persona» il rischio privacy
Gestire il rischio significa definire piani d’azione, effettuare
una manutenzione periodica dei piani d’azione, gestire gli
incidenti che rappresentano un insegnamento per il futuro,
avviare e mantenere un’attività di auditing periodica per
monitorare la situazione.
❑ Individuazione della metodologia
❑ Individuazione delle minacce (quelle effettivamente
applicabili al contesto e al perimetro di analisi)
❑ Individuazione del livello di rischio residuo “accettabile”

16. www.maggipinto.eu
avvocato@maggipinto.eu
Gestire il «rischio tecnologico»
The Global Risks Report 2018 (13th Ed.)

17. www.maggipinto.eu
avvocato@maggipinto.eu
Articolo 32 (Sicurezza del trattamento)
1. Tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità per i
diritti e le libertà delle persone fisiche, il titolare del trattamento e il
responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato
al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza,
l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di
trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e
l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente
l'efficacia delle misure tecniche e organizzative al fine di garantire la
sicurezza del trattamento.

18. Grazie dell’attenzione.
www.maggipinto.eu
avvocato@maggipinto.eu