intro privacy.pdf

20/10/2022
Introduzione alla Protezione dei Dati Personali
Ing. Raffaele Esposito
Di cosa parleremo
• Perché tutelare i dati personali
• Cenni all’evoluzione del contesto normativo
• I dati personali
• Le figure coinvolte
• I 3 pilastri della Data Protection
• I principali adempimenti
• Aggiornamento delle “Informative”
• La protezione dati a scuola
Formazione in materia di protezione dei dati
personali - Ing. Esposito
2

20/10/2022
I dati personali di chi?
• Parleremo di Dati delle Persone Fisiche e delle normative vigenti a loro
tutela.
▫ Dati Anagrafici (indirizzi, telefoni, etc.)
▫ Dati Sanitari (certif. medici, diagnosi funzionali, etc.)
▫ Dati Giudiziari (divorzi, affidamenti esclusivi etc.)
▫ Dati Patrimoniali (stipendi, compensi accessori etc.)
▫ Dati Scolastici (voti, giudizi, presenze etc.)
• Tutti i dati hanno la caratteristica di appartenere ad una persona fisica
(Dipendente, fornitore, cliente, studente, docente, etc.)…
3
Perché bisogna tutelare i DP?
• EVOLUZIONE TECNOLOGICA
(milioni di dati su una semplice chiavetta o su un file)
• GLOBALIZZAZIONE
(ormai gli scambi commerciali non hanno più limiti geografici)
• hanno un rilevante valore economico e quindi
TUTTI LI VOGLIONO!!
4

20/10/2022
Perché bisogna tutelare i DP?
• La protezione dei dati di carattere personale delle persone
fisiche è da oltre 20 anni, secondo i nostri ordinamenti statali,
un diritto fondamentale dell’individuo!
5
Perché la necessità di conoscere le origini della protezione
dei dati
• Per capire «da dove veniamo»
• Per non avere una visione «burocratica» della protezione dei dati ma
coglierne l’essenza (diritto fondamentale)
• Per orientare e rendere consapevole/efficace l’azione degli incaricati al
trattamento
6

20/10/2022
Il concetto di riservatezza
• Norme di «riservatezza» sono sempre esistite (Ippocrate, IV sec. a.C.):
▫ Nei secoli si espandono i doveri di riservatezza «professionale» (avvocati,
banchieri, ministri di culto, ecc.)
▫ Diritto di escludere dall'altrui conoscenza quanto attiene alla propria vita
privata (bene del singolo, ma con ripercussioni sulla collettività:
 In assenza di riservatezza chilling effect sull’esercizio di diritti/libertà (riluttanza
e la refrattarietà ad esercitare un proprio diritto per paura)
7
Un ventennio di norme…
8

20/10/2022
Un po’ di storia…
• In tutta la legislazione in materia di dati personali degli ultimi 25 anni
circa, il vero elemento di novità è rappresentato dalla presa d’atto che i
dati, oltre ad essere contenuti in polverosi documenti cartacei, possono
essere trattati mediante
STRUMENTI INFORMATICI
9
Un ventennio di norme…
• Legge 675/1996
figlia della Direttiva UE del 1995 che ha dato vita a 27 figli «diversi tra loro» rendendo la materia incoerente.
(Abrogato dal Codice della Privacy)
• Carta europea dei diritti fondamentali (Nizza - 2000, giuridicamente vincolante nell’UE con trattato di Lisbona -
2009)
Rispetto della vita privata e della vita familiare e diritto alla Protezione dei dati di carattere personale
• Decreto Legislativo 196/2003
segue una Direttiva UE del 2002, detto anche «Codice della Privacy», attualmente in vigore è un buon testo che
fornisce una visione più integrata della materia (rivisitato e con molti articoli abrogati con il D.lgs. n. 101/2018)
• Regolamento Europeo 679/2016
è l’ultimo arrivato, all’insegna della unificazione legislativa europea
(Entrato in vigore il 25 Maggio 2018)
10

20/10/2022
Cos’è un «Regolamento UE» ?
• Regolamento dell’Unione Europea
▫ È un atto di diritto dell’Unione Europea di portata generale.
▫ È obbligatorio in tutti i suoi elementi e direttamente applicabile in
ciascuno degli Stati membri.
• Significa che il regolamento 679/2016 non avrebbe avuto bisogno di una
legge italiana che lo ratificasse perché perfettamente applicabile dal 2016;
• Il Legislatore italiano però ha integrato ed adeguato il Codice in materia di
protezione dei dati personali (d.lgs. 196/2003) alle disposizioni
del Regolamento (UE) 2016/679 con il:
D.lgs. 101/2018 (10/08/18)
11
Il Regolamento UE 2016/679
• Entra in vigore dopo 2 anni, tempo necessario perché potesse essere recepita dagli Stati
membri (25 Maggio 2018);
• 2 anni necessario per l’allineamento fra la normativa nazionale in materia di protezione dati e
le disposizioni del Regolamento;
• Oltre ai Soggetti economici stabiliti nell’Unione Europea si applica al trattamento dei dati
personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o
da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di
trattamento riguardano:
▫ l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione,
indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
▫ il monitoraggio del loro comportamento (abitudini di consumo e gusti personali:
Profilazione) nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
12

20/10/2022
Cos’è la profilazione?
• Si intende il processo di automatizzazione del trattamento dei dati:
l’attività di raccolta ed elaborazione dei dati relativi agli utenti di un
servizio, al fine di suddividerli in gruppi a seconda delle loro preferenze.
Questi gruppi vengono chiamati tecnicamente “Cluster”.
• quando ci viene proposta una pubblicità comportamentale:
ad es. viene inserita una locandina pubblicitaria a margine di un sito web
relativa ad un servizio che precedentemente avevamo ricercato.
13
La profilazione: scopi commerciali
14

20/10/2022
Cos’è successo in questo caso?
• Attraverso un’attività di profilazione, è stato rilevato il bisogno espresso
di un utente di ottenere un determinato servizio/prodotto e, quindi, il
dato è stato elaborato al fine di riproporre tale pubblicità in una
successiva ricerca.
• Consiglio? Modificare impostazioni Account Google
(sezione ”Personalizzazione annunci”: disattivare)
• Il GDPR vieta in via generale l’attività di profilazione
• Eccezioni: consenso esplicito dell’interessato
15
E tutti noi coi nostri device?
• Il Regolamento non si applica ai trattamenti di dati personali
effettuati da una persona fisica per l’esercizio di attività a carattere
esclusivamente personale o domestico!
• Attenzione: rischio richieste risarcimento danni!
16

20/10/2022
Cos’è un “dato personale”?
• «Dato personale» è:
qualsiasi informazione riguardante una persona fisica identificata o
identificabile («Interessato»);
17
Ci sono dati e dati…
• Una volta stabilito che un’Informazione è un dato personale, dobbiamo individuare
la sua categoria di appartenenza, ovvero chiederci se rientra nella categoria dei:
▫ Dati personali comuni
▫ Dati personali particolari
▫ Dati personali giudiziari
• Perché mai?
Perché a ciascuna categoria, GDPR e Provvedimenti del Garante riservano:
▫ modalità di trattamento e
▫ profili relativi alla sicurezza differenti.
18

20/10/2022
I dati personali di tipo comune
• Sono definiti per esclusione, ovvero:
sono tutti i dati personali diversi da quelli particolari o giudiziari.
• Esempi di dati personali comuni sono i dati anagrafici relativi a una
persona fisica (nominativo, indirizzo, partita iva, codice fiscale,
indirizzo email, indirizzo web, etc.).
19
I dati personali di tipo “particolare”
I dati particolari, sono i dati personali che rivelino:
• l’origine razziale o etnica,
• le opinioni politiche,
• le convinzioni religiose o filosofiche, o l’appartenenza sindacale,
• nonché dati genetici, dati biometrici intesi a identificare in modo
univoco una persona fisica,
• dati relativi alla salute o
• alla vita sessuale o all’orientamento sessuale della persona.
20

20/10/2022
I dati di tipo “giudiziario”
Dati personali relativi:
• alle condanne penali e ai reati
• misure di sicurezza
(la liberazione condizionale, il divieto od obbligo di soggiorno, le misure
alternative alla detenzione)
21
Quando posso trattare dati comuni?
Le basi legali del trattamento
22
Rapporti sugli
incidenti nei registri
relativi alla salute e
sicurezza (D. lgs
81/08)
Scuole che possono
trattare soltanto i DP
necessari al perseguimento
delle specifiche finalità
istituzionali
Elaborazione dei DP per
la protezione contro le
frodi, la trasmissione di DP
all’interno delle imprese

20/10/2022
Quando posso trattare dati particolari?
• È vietato trattare dati particolari!
• Il divieto non si applica ad es. se si verifica uno dei seguenti casi:
1. l’interessato ha prestato il proprio consenso esplicito al trattamento
di tali dati personali per una o più finalità specifiche;
2. Per tutelare un interesse vitale dell’interessato.
23
Quando posso trattare dati giudiziari?
Il trattamento dei dati giudiziari, deve avvenire soltanto:
sotto il controllo dell’autorità pubblica o
se il trattamento è autorizzato dal diritto dell’Unione o degli Stati
membri che preveda garanzie appropriate per i diritti e le libertà degli
interessati.
Un eventuale registro completo delle condanne penali deve essere
tenuto soltanto sotto il controllo dell’autorità pubblica.
24

20/10/2022
Il “consenso”
“Consenso”: qualsiasi manifestazione di volontà
libera,
specifica,
informata e
inequivocabile
dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante:
dichiarazione o
azione positiva inequivocabile
che i dati personali che lo riguardano siano oggetto di trattamento.
25
Condizioni del “consenso”
1. Per i dati particolari, il consenso DEVE essere "esplicito” (anche per il consenso a decisioni basate
su trattamenti automatizzati compresa la profilazione – art. 22).
 “esplicito”: che risulti da una manifestazione di pensiero espressa e non da comportamento concludente.
2. NON deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta",
anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere
"esplicito" (per i dati particolari);
3. il titolare (art. 7.1) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a
uno specifico trattamento.
4. Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il
consenso dei genitori o di chi ne fa le veci (14 anni per servizi di società di informazione)
26

20/10/2022
Condizioni del “consenso”
5. DEVE essere, in tutti i casi,
▫ libero,
▫ specifico,
▫ informato e inequivocabile e
▫ NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un
modulo).
6. DEVE essere manifestato attraverso "dichiarazione o azione positiva
inequivocabile“
7. Il consenso può essere ritirato in qualsiasi momento
27
Quando inizia il “trattamento” dei dati?
Trattamento dati è:
qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
• la raccolta,
• la registrazione,
• l’organizzazione,
• la strutturazione,
• la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione;
28

20/10/2022
Le figure coinvolte
I Soggetti del trattamento sono i player, i protagonisti sullo scenario
privacy delineato dal GDPR e si chiamano:
1. Interessato
2. Titolare del trattamento - Data Controller
3. DPO – Data Protection Officer
4. Responsabile del trattamento - Data Processor
5. Persone autorizzate al trattamento dei dati personali sotto l'autorità
diretta del titolare o del responsabile (in precedenza “incaricati”)
29
L’Interessato
• È la persona fisica a cui si riferiscono i dati personali.
• I dati personali rimangono sempre di proprietà dell’Interessato il quale,
alle condizioni indicate nell’Informativa, può concederli “in prestito” ad
un determinato Titolare.
30

20/10/2022
Il Titolare del trattamento
• Titolare del trattamento è la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che, singolarmente o insieme ad
altri, determina:
▫ le finalità e
▫ i mezzi del trattamento di dati personali;
31
Il DPO (Data Protection Officer)
• È Il responsabile della protezione dati
• Chi lo nomina?
• La designazione di un DPO è obbligatoria:
 se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
 se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il
monitoraggio regolare e sistematico di interessati su larga scala; oppure
 se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di
categorie particolari di dati o di dati personali relativi a condanne penali e reati.
• Rappresenta l’interfaccia tra il Garante e il Titolare per questioni connesse al
trattamento
32

20/10/2022
Il Responsabile del trattamento
• Il Responsabile del trattamento” è la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che tratta dati personali per conto del
Titolare del trattamento;
• Qualora un trattamento debba essere effettuato per conto del titolare del
trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento
che presentino:
▫ garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate
in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela
dei diritti dell’interessato.
33
Persone autorizzate al trattamento
• È il soggetto persona fisica che effettua materialmente le
operazioni di trattamento sui dati personali.
• A scuola: docenti, personale ATA, ecc.
34

20/10/2022
Le figure coinvolte
35

intro privacy.pdf

More Related Content

Similar to intro privacy.pdf

Recently uploaded

intro privacy.pdf