SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Smau Bologna 2016 -Assintel, Paola Generali
1. Il nuovo Regolamento Generale
sulla Protezione dei Dati Personali
Cosa cambia nella Privacy e cosa fare nei prossimi due anni?
A cura del Gruppo di Lavoro Assintel
Sicurezza Informatica
Paola Generali
Managing Director Get Solution
Š GETSOLUTION
2. Profilo Paola Generali
Dopo la laurea in Scienze Bancarie Finanziarie ed Assicurative allâuniversitĂ Cattolica di Milano, inizia
a lavorare per un importante societĂ di consulenza del settore ICT occupandosi di compliance e
sicurezza dei sistemi informativi, svolgendo prima e gestendo poi numerosi progetti in tale ambito.
Successivamente diviene, per un altra importante societĂ di consulenza, responsabile della divisione
âInformation securityâ gestendo progetti complessi per aziende sia italiane che internazionali.
Nel 2003 fonda GetSolution societĂ di consulenza specializzata nellâambito della âCompliance,
sicurezza dei sistemi informativi e governanceâ.
Eâ membro del:
⢠Gruppo di Lavoro Sicurezza Informatica di Assintel.
⢠Gruppo di lavoro di UNINFO âSerie ISO/IEC 27000âł sullâInformation Security Management
System.
⢠Gruppo di lavoro âProfili professionali relativi alla Privacyâ della UNI/CT 526 âUNINFO APNRâ
partecipando attivamente allâEditing Commitee delle relative norme.
Da circa 15 anni svolge attivitĂ di docenza sia presso istituiti di formazione internazionali che in master
univesitari.
Š GETSOLUTION
3. Presentazione
GETSOLUTION è una societĂ di consulenza specializzata nellâambito della compliance, della
sicurezza dei sistemi informativi e della governance aziendale.
GETSOLUTION si occupa di Privacy Law e di Sicurezza dei Sistemi Informativi da piĂš di un decennio,
svolgendo progetti molto complessi presso clienti di medie e grandi dimensioni sia italiani che
internazionali.
Abbiamo una grande esperienza sia in Italia che a livello internazionale: ci occupiamo di tematiche
complesse quali i Big Data, Profilazione, Anonimizzazione, Pseudonimizzazione, Dati Aggregati,
Dati Biometrici, Dati Genetici, Trattamento di dati Particolari su larga scala (gli attuali dati
sensibili) affrontando quotidianamente problematiche estremamente sfidanti ma ovviamente molto
stimolanti.
GETSOLUTION collabora con i propri clienti per supportarli su tutti gli aspetti che riguardano la
compliance, la sicurezza dei sistemi informativi, la governance e la formazione relativa agli
adempimenti. Tutto questo viene svolto con grande attenzione alla responsabilitĂ sociale dâimpresa,
in quanto insieme vogliamo dare un valido contributo alla societĂ nella quale viviamo.
Per maggiori informazioni www.getsolution.it
Š GETSOLUTION
4. REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI
Il Regolamento abrogherĂ la Direttiva 95/46/CE, recepita dallâattuale D.lgs. 196/2003 (c.d.
Codice Privacy).
REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI
Il Regolamento abrogherĂ la Direttiva 95/46/CE, recepita dallâattuale D.lgs. 196/2003 (c.d.
Codice Privacy).
DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALI
trattati ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o esecuzione
delle sanzioni penali.
DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALI
trattati ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o esecuzione
delle sanzioni penali.
Riforma in materia di protezione dei dati
Š GETSOLUTION
Pubblicazione sulla Gazzetta
Ufficiale UE:
04 Maggio 2016
Entrata in vigore:
24 Maggio 2016
Effettiva applicazione:
25 Maggio 2018
Pubblicazione sulla Gazzetta
Ufficiale UE:
04 Maggio 2016
Entrata in vigore:
05 Maggio 2016
RECEPIMENTO dagli
Stati Membri entro
due anni
5. Nonostante il Regolamento generale non sarĂ da recepire con normative
nazionali, ci saranno diversi aspetti che dovranno essere disciplinati
dallâAutoritĂ Garante nazionale, cosĂŹ come vedremo in alcuni casi piĂš avanti.
In particolar modo, il Garante si dovrĂ esprimere per ognuno dei
Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi
valutandone la conformitĂ rispetto al Regolamento, modificandoli o
annullandoli.
Nonostante il Regolamento generale non sarĂ da recepire con normative
nazionali, ci saranno diversi aspetti che dovranno essere disciplinati
dallâAutoritĂ Garante nazionale, cosĂŹ come vedremo in alcuni casi piĂš avanti.
In particolar modo, il Garante si dovrĂ esprimere per ognuno dei
Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi
valutandone la conformitĂ rispetto al Regolamento, modificandoli o
annullandoli.
Entrata in vigore e Recepimento
Š GETSOLUTION
7. Lâimplementazione delle
misure a tutela dei dati
personali avviene quando il
Titolare avvia un
trattamento o decide di
avvalersi di un nuovo
sistema.
Il Regolamento introduce il principio di
protezione dei dati personali giĂ in
fase di progettazione (by Design) per
qualsiasi tipo di progetto che comporti
lâutilizzo di dati personali (sito internet,
software, soluzione IT, ambiente di
lavoro, etc.).
Regolamento
Codice
Privacy
Privacy By Design (Art. 25)
Š GETSOLUTION
8. Il D.lgs. 196/2003 stabilisce il
âprincipio di necessitĂ nel
trattamento dei datiâ,
imponendo la configurazione dei
sistemi e dei programmi in modo
da ridurre al minimo lâutilizzo di
dati personali e identificativi,
soprattutto se le finalitĂ
consentono un trattamento di
dati anonimi o permettono di
identificare l'interessato solo in
caso di necessitĂ .
Il Regolamento impone che il Titolare adotti
opportune misure per garantire che siano
trattati di default solo i dati personali
necessari in ogni fase del trattamento:
dalla raccolta alla cancellazione dei dati e non
soltanto durante lâelaborazione.
Regolamento
Codice Privacy
Privacy By Default (Art. 25)
Š GETSOLUTION
9. Politiche interne e misure adeguate che soddisfino i principi di protezione dei dati fin dalla
progettazione e di default:
Minimizzazione dei dati personali giĂ in fase di raccolta;
Pseudonimizzazione dei dati personali;
Sistemi giĂ predisposti alla cancellazione dei dati dopo il termine stabilito;
Accesso ai dati consentito solo per soggetti autorizzati al trattamento;
Trasparenza nei confronti dei soggetti interessati con informative chiare;
ModalitĂ facili e veloci per consentire allâutente di avere accesso ai dati personali e
controllare o modificare le condizioni del trattamento;
Il principio di privacy by design e by default dovrebbe essere rispettato anche dai
fornitori in fase di sviluppo di sistemi, prodotti o servizi.
Privacy By Design e By Default (Art. 25)
Š GETSOLUTION
10. Codice Privacy Regolamento Generale
si applica al trattamento di dati
personali, anche conservati
all'Estero, svolto da soggetti stabiliti
nello Stato Italiano.
si applica al trattamento di dati
personali effettuato da soggetti non
stabiliti nel territorio Italiano ma che
si avvalgono di strumenti situati nel
territorio dello Stato, a meno che
essi siano utilizzati solo ai fini di
transito.
si applica al trattamento dei dati personali
effettuato nellâambito delle attivitĂ di un soggetto
stabilito nellâUnione.
si applica al trattamento dei dati personali di
cittadini europei effettuato da un soggetto che
non è stabilito nellâUnione, indipendentemente
dalla forma giuridica assunta (succursale, filiale,
etc.), quando riguarda:
l'offerta di beni o la prestazione di servizi
(anche a titolo gratuito);
il controllo del comportamento dei cittadini
nell'Unione europea.
Ambiti territoriali di applicazione (Art. 3)
Š GETSOLUTION
11. Definizione Codice Privacy Definizione Regolamento
Dato personale: qualunque
informazione relativa a persona
fisica, identificata o identificabile,
anche indirettamente, mediante
riferimento a qualsiasi altra
informazione, ivi compreso un
numero di identificazione
personale;
Dati identificativi: i dati personali
che permettono l'identificazione
diretta dell'interessato
Dati personali: qualsiasi informazione
concernente una persona fisica
identificata o identificabile
("interessato"), direttamente o
indirettamente:
il nome
un numero di identificazione
dati relativi allâubicazione
un identificativo online
uno o piĂš elementi caratteristici
dellâidentitĂ (fisica, fisiologica,
genetica, psichica, economica, etc.).
Dati Personali (Art. 4)
Š GETSOLUTION
12. Per stabilire se un soggetto può essere identificato è necessario
considerare i mezzi di cui può ragionevolmente avvalersi il
Titolare del trattamento, i costi e il tempo necessario per
l'identificazione, tenendo conto sia delle tecnologie disponibili
al momento del trattamento, sia dello sviluppo tecnologico.
Dati personali
Š GETSOLUTION
13. Dati Genetici
Tutti i dati personali riguardanti le
caratteristiche genetiche di una persona
fisica, ereditarie o acquisite, che forniscono
informazioni uniche sulla fisionomia o sulla
salute dell'individuo considerato, ottenuti in
particolare dall'analisi di un campione
biologico della persona in questione.
Atre tipologie di dati personali la cui definizione è stata introdotta ufficialmente dal
Regolamento:
Nuove categorie di Dati Personali (Art. 4)
Š GETSOLUTION
14. Dati Biometrici
I dati personali ottenuti da un
trattamento tecnico specifico, relativi alle
caratteristiche fisiche, fisiologiche o
comportamentali di una persona, che ne
consentono o confermano
lâidentificazione univoca, quali lâimmagine
facciale o i rilievi dattiloscopici;
Atre tipologie di dati personali la cui definizione è stata introdotta ufficialmente dal
Regolamento:
Nuove categorie di Dati Personali (Art. 4)
Š GETSOLUTION
15. Dati relativi alla salute
I dati attinenti alla salute fisica o mentale di una persona, inclusa la prestazione
di servizi sanitari, che rivelano informazioni relative al suo stato di salute:
informazioni sulle richieste di prestazione di servizi sanitari;
un numero, simbolo o elemento specifico attribuito per identificare
lâinteressato in modo univoco a fini sanitari;
le informazioni risultanti da esami e controlli effettuati su una parte del
corpo o una sostanza organica, compresi i dati genetici e i campioni biologici;
qualsiasi informazione riguardante una malattia, lâinvaliditĂ , il rischio di
malattie;
lâanamnesi medica;
i trattamenti clinici;
lâeffettivo stato fisiologico o biomedico.
Nuove categorie di Dati Personali (Art. 4)
Š GETSOLUTION
16. Definizione Codice Privacy Definizione Regolamento
Non esiste una definizione di dato
pseudo-anonimo o di
pseudonimizzazione dei dati.
Eâ presente solo lâindividuazione
del "dato anonimo": il dato che in
origine, o a seguito di trattamento,
non può essere associato ad un
interessato identificato o
identificabile.
Pseudonimizzazione: il trattamento dei dati
personali in modo tale che i dati non possano
essere piĂš attribuiti ad un interessato specifico
senza l'utilizzo di informazioni aggiuntive,
sempre che tali informazioni aggiuntive siano
conservate separatamente e soggette a misure
tecniche e organizzative intese a garantire la
non attribuzione a una persona identificata o
identificabile.
Come per il Codice Privacy, il Regolamento non
si applica al trattamento di informazioni
anonime.
Nuove categorie di Dati Personali (Art. 4)
Š GETSOLUTION
17. L'applicazione della pseudonimizzazione ai dati personali è una
garanzia aggiuntiva volta a ridurre i rischi connessi al
trattamento di dati personali.
Tale tecnica non deve essere considerata come unâalternativa
ad altre misure di protezione dei dati.
Pseudonimizzazione
Š GETSOLUTION
18. Definizione Codice Privacy Definizione Regolamento
Dati Sensibili: i dati personali
idonei a rivelare l'origine razziale
ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le
opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale,
nonchĂŠ i dati personali idonei a
rivelare lo stato di salute e la vita
sessuale.
Il Regolamento individua delle categorie di dati
personali che rientrano nella definizione di
âParticolariâ:
I dati personali che rivelano lâorigine razziale
o etnica;
le opinioni politiche;
le convinzioni religiose o filosofiche;
lâappartenenza sindacale;
i dati genetici;
i dati relativi alla salute;
i dati relativi alla vita sessuale.
Categorie Particolari di Dati Personali (Art. 9)
Š GETSOLUTION
19. Il Regolamento vieta il trattamento di categorie particolari di dati personali, ad eccezione
dei seguenti casi, alcuni dei quali non erano previsti dal Codice Privacy:
previo consenso esplicito al trattamento;
nellâambito delle legittime attivitĂ da parte di una fondazione, associazione o altro
organismo senza scopo di lucro;
per salvaguardare un interesse vitale;
per accertare, esercitare o difendere un diritto in sede giudiziaria;
per motivi di interesse pubblico;
per finalitĂ di archiviazione,storiche, statistiche o scientifiche nel pubblico interesse;
per dati personali resi manifestamente pubblici dallâinteressato (laddove il
trattamento sia effettuato nell'interesse dell'interessato);
in materia di diritto del lavoro, sicurezza e protezione sociale;
per finalitĂ di prevenzione diagnosi, assistenza o terapia medico-sanitaria o di
medicina del lavoro (se da parte o sotto la responsabilitĂ di un professionista soggetto al
segreto professionale).
Categorie Particolari di Dati Personali (Art. 9)
Š GETSOLUTION
20. Gli Stati membri possono mantenere o introdurre disposizioni
piĂš specifiche per quanto riguarda i dati genetici o i dati relativi
alla salute. Ciò comprende la possibilità per gli Stati membri di
introdurre ulteriori condizioni per il trattamento di tali dati.
Categorie Particolari di Dati Personali (Art. 9)
Š GETSOLUTION
21. Codice Privacy Regolamento Definizione
Titolare del
trattamento
Titolare del
trattamento
Soggetto che determina le
finalitĂ e i mezzi del trattamento di
dati personali
Titolare del trattamento (Art. 4)
Š GETSOLUTION
22. Il Titolare del trattamento è tenuto a:
Implementare opportune misure di sicurezza
Tali misure devono tener conto della natura, dell'oggetto, del contesto e delle finalitĂ
del trattamento, nonchĂŠ del rischio per i diritti e le libertĂ delle persone fisiche.
Dimostrare la conformitĂ delle operazioni di trattamento rispetto ai principi sanciti
dal Regolamento, ad esempio tramite:
⢠misure tecniche e organizzative ⢠adeguate politiche in materia di
protezione dei dati
⢠protezione dei dati dalla progettazione e di default
⢠registro delle categorie di attività di trattamento (per taluni casi è un obbligo)
⢠adesione a codici di condotta approvati⢠adesione a un meccanismo di
certificazione approvato
Obblighi del Titolare del trattamento (Art. 24)
Š GETSOLUTION
23. Codice Privacy Regolamento Generale
Nei confronti dei soggetti
interessati il Titolare del
trattamento è responsabile
per eventuali danni cagionati
in base a quanto stabilisce
l'articolo 2050 del Codice
Civile.
Il Regolamento stabilisce che il soggetto interessato può
richiedere al Titolare del trattamento il risarcimento dei
danni subiti da un trattamento; in tal caso il Titolare è
tenuto a risponderne direttamente e interamente.
ResponsabilitĂ del Titolare del trattamento
(Art. 82)
Š GETSOLUTION
24. Codice Privacy Regolamento Definizione
Responsabile
del trattamento
interno o
esterno
Responsabile del
trattamento
Soggetto che elabora dati personali per
conto del Titolare del trattamento
I Responsabili sono scelti dal Titolare anche in funzione delle garanzie che offrono per
lâadozione di misure tecniche ed organizzative nel rispetto del Regolamento.
Il trattamento affidato ai Responsabili del trattamento deve essere regolamentato da un
contratto o da altro atto giuridico a norma che vincoli il Responsabile al Titolare e
disciplini tutti gli aspetti relativi alle operazioni di trattamento (finalitĂ , durata, natura dei
dati, misure di sicurezza, etc.).
Responsabile del trattamento (Art. 4)
Š GETSOLUTION
25. trattare i dati personali eseguendo le istruzioni fornite dal Titolare
assicurare che le persone autorizzate a trattare i dati personali si siano impegnate a
rispettare vincoli di riservatezza
implementare e mantenere tutte le misure tecniche e organizzative adeguate
assistere il Titolare del trattamento per la gestione delle richieste di diritto dâaccesso e
per gli altri obblighi imposti dal Regolamento
su richiesta del Titolare cancellare o restituire i dati personali al termine del trattamento
fornire al Titolare qualsiasi informazione necessaria per dimostrare il rispetto del
Regolamento
rendersi disponibile a audit di verifica da parte del Titolare del trattamento
Obblighi del Responsabile del trattamento
(Art. 28)
Š GETSOLUTION
26. Regolamento Generale
â˘Il Responsabile del trattamento non può avvalersi di un altro soggetto senza ricevere
espressa e documentata autorizzazione dal Titolare del trattamento, il quale ha anche la
facoltĂ di rifiutarsi.
â˘Nei casi in cui il Responsabile deleghi in tutto o in parte il trattamento ad un altro
Responsabile del trattamento è tenuto ad imporre tramite contratto o atto giuridico i
medesimi doveri in materia di protezione dei dati personali che il Titolare gli ha prescritto.
â˘Il Responsabile del trattamento mantiene la totale responsabilitĂ nei confronti del Titolare
anche nel caso in cui lâinadempienza degli obblighi in materia di protezione dei dati derivi
dallâaltro Responsabile.
â˘Il Responsabile del trattamento può rispondere per il danno cagionato ad un Interessato se
si dimostra che non ha soddisfatto i propri obblighi previsti dal Regolamento o ha eseguito il
trattamento in contrasto a quanto stabilito dal Titolare del trattamento.
ResponsabilitĂ (Artt. 28 e 82)
Š GETSOLUTION
27. Codice Privacy Regolamento Definizione
Incaricato del
trattamento
Soggetto che ha
accesso ai dati
personali
Soggetto che accede ai dati personali e
li elabora sotto lâautoritĂ del Titolare del
trattamento o Responsabile.
Qualsiasi persona che agisce sotto l'autoritĂ del Titolare del trattamento o Responsabile,
che ha accesso ai dati personali, può trattarli solo su istruzione del Titolare o se è
imposto dalla legge o degli Stati Membri dell'Unione.
Soggetti autorizzati (Artt. 29)
Š GETSOLUTION
28. Codice Privacy Regolamento Definizione
Titolare
autonomo del
trattamento
Contitolare del
trattamento
Soggetto che determina le
finalitĂ e i mezzi del trattamento di dati
personali congiuntamente con un
Titolare
Il Regolamento introduce il principio di âcontitolaritĂ â quando due o piĂš soggetti
stabiliscono insieme le finalitĂ e le modalitĂ del trattamento dei dati personali.
Contitolari (Art. 26)
Š GETSOLUTION
29. I Contitolari devono stabilire mediante un accordo interno:
le rispettive responsabilitĂ in relazione agli obblighi in materia di protezione
dei dati;
il soggetto che sarĂ individuato come punto di contatto unico per l'esercizio
dei diritti degli interessati;
le modalitĂ per lâespletamento delle richieste di diritto dâaccesso ai dati;
le modalitĂ per fornire unâadeguata informativa agli interessati;
i rispettivi ed effettivi ruoli dei Contitolari, soprattutto nei confronti degli
interessati.
Il contenuto essenziale dell'accordo deve essere reso disponibile agli
Interessati.
Contitolari (Art. 26)
Š GETSOLUTION
30. ⢠Se il Titolare del trattamento è unâAutoritĂ o un Ente pubblico;
Casi in cui deve essere obbligatoriamente nominato un Data Protection Officer
(DPO):
Il Titolare del trattamento designa il DPO sulla base delle sue qualitĂ professionali,
della conoscenza specialistica della normativa, delle pratiche in materia di protezione
dei dati e per la capacitĂ di adempiere ai compiti previsti dal Regolamento.
⢠Se lâattivitĂ principale del Titolare o del Responsabile comprende il
trattamento di dati che comporta un monitoraggio regolare e sistematico
dei soggetti interessati su larga scala;
⢠se lâattivitĂ principale del Titolare o del Responsabile comprende il
trattamento su larga scala di dati particolari e dati relativi a condanne
penali e reati.
Data Protection Officer (Art. 37)
Š GETSOLUTION
31. Il Data Protection Officer ha il dovere e il compito di:
⢠informare e consigliare i soggetti coinvolti in merito alle attività necessarie
volte a garantire la conformitĂ ai requisiti normativi sulla protezione dei
dati;
⢠essere di supporto per la valutazione d'impatto sulla protezione dei dati e
monitorare lo svolgimento;
⢠esercitare unâazione di controllo e vigilanza per ciò che attiene l'osservanza
del Regolamento (politiche interne, attribuzione delle responsabilitĂ ,
formazione del personale che concorre ai trattamenti, etc.);
⢠essere un punto di contatto per i soggetti interessati, le Autorità di
controllo esterne e le funzioni operative e di controllo interne.
Data Protection Officer (Art. 39)
Š GETSOLUTION
32. Diritto di ottenere la conferma del trattamento
Diritto di avere accesso ai dati e alle informazioni
inerenti il trattamento
Diritto di rettifica
Diritto alla cancellazione
Diritto di limitazione di trattamento solo per
determinate finalitĂ o operazioni di trattamento
Diritto di opposizione ad uno o piĂš trattamenti
Diritto allâoblio
Diritto alla portabilitĂ
CodicePrivacy
RegolamentoRegolamento
Diritti degli Interessati (Artt. dal 15 al 23)
Š GETSOLUTION
33. Gli Stati Membri possono decidere di limitare, mediante misure
legislative, la portata dei Diritti dei soggetti Interessati, qualora
tale limitazione costituisca una misura necessaria per
salvaguardare, ad esempio, la sicurezza e la difesa nazionale, la
prevenzione, l'indagine, l'accertamento o il perseguimento di
reati, ecc.
Diritti degli Interessati
Š GETSOLUTION
34. Su richiesta dellâinteressato, il Titolare del trattamento deve provvedere a cancellare
i dati personali e, se sono stati resi pubblici, a comunicare tale volontĂ anche agli
altri soggetti che stanno utilizzando tali dati; questi ultimi devono a loro volta
cancellare qualsiasi link, copia o riproduzione dei dati personali.
Il Titolare dovrebbe preventivamente attuare possibili misure tecniche e
organizzative per tale gestione, tenendo in considerazione la tecnologia disponibile
e i costi di attuazione.
Il diritto allâoblio non è applicabile se in contrasto a:
l'esercizio del diritto alla libertĂ di espressione e di informazione
l'adempimento di un obbligo legale
motivi e finalitĂ di pubblico interesse
l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Diritto allâoblio (Art. 17)
Š GETSOLUTION
35. Un nuovo diritto riconosciuto allâinteressato è il diritto alla portabilitĂ dei dati,
ovvero la possibilitĂ di:
Ciò può avvenire quando:
il trattamento si basa sul consenso;
il trattamento si basa su un contratto;
il trattamento è effettuato mediante sistemi automatizzati;
ricevere in formato strutturato, di uso comune e leggibile digitalmente i propri
dati personali in possesso del Titolare del trattamento;
richiedere al Titolare il trasferimento dei propri dati personali ad un altro
Titolare, anche direttamente ove sia tecnicamente consentito.
Diritto alla portabilitĂ (Art. 20)
Š GETSOLUTION
36. Qui di seguito sono indicati gli elementi essenziali che il Regolamento impone per unâidonea
Informativa, evidenziando le novitĂ rispetto al Codice Privacy:
lâidentitĂ e i dati di contatto del Titolare del trattamento e, se designato, del DPO;
le finalitĂ del trattamento;
se il trattamento si basa su legittimi interessi perseguiti dal Titolare;
i destinatari dei dati o le categorie di destinatari;
se è previsto un trasferimento di dati allâEstero e le garanzie esistenti a tutela dei dati
trasferiti;
il periodo temporale previsto per la conservazione dei dati o il criterio per determinarlo;
i diritti riconosciuti ai soggetti interessati;
la possibilitĂ di revocare il consenso in qualsiasi momento;
il diritto di proporre reclamo ad un'autoritĂ di controllo;
lâindicazione se la comunicazione di dati personali è un obbligo legale o è necessario per la
conclusione di un contratto;
se l'interessato ha l'obbligo di fornire i dati e le possibili conseguenze di un rifiuto;
se lâinteressato sarĂ oggetto di attivitĂ di profilazione.
Informativa (Art. 14)
Š GETSOLUTION
37. Se i dati personali non sono conferiti direttamente dallâinteressato, il Titolare
del trattamento deve fornire anche le seguenti informazioni aggiuntive:
le categorie di dati personali trattati;
la fonte dalla quale derivano i dati personali e se tale fonte è accessibile al
pubblico.
Il Regolamento consiglia di rendere lâinformativa
accompagnata da icone standardizzate per renderla piĂš
visibile, comprensibile e chiara ai soggetti interessati.
Informativa (Art. 14)
Š GETSOLUTION
38. Codice Privacy Regolamento Generale
Per essere considerato valido il
consenso deve avere le seguenti
caratteristiche:
essere espresso
libero
specifico
informato
documentato
manifestato in forma scritta quando
il trattamento riguarda dati sensibili.
Il consenso dellâinteressato è una qualsiasi
manifestazione di volontĂ al trattamento
dellâinteressato e deve essere:
inequivocabile
libero
specifico
informato
espresso mediante dichiarazione o chiara
azione positiva.
Il Titolare deve essere in grado di dimostrare che
il soggetto interessato ha conferito il proprio
consenso.
Consenso (Art. 7)
Š GETSOLUTION
39. Il Regolamento impone una maggiore protezione per i bambini, in quanto
potrebbero essere meno consapevoli dei rischi, delle conseguenze e dei loro
diritti in relazione al trattamento dei dati personali.
Se il Titolare del trattamento intende fornire servizi della societĂ
dellâinformazione ai minori è tenuto, infatti, a raccogliere il consenso del
genitore o del tutore, adoperandosi per quanto possibile per verificarne lâ
autenticitĂ .
Gli Stati Membri devono stabilire la soglia di etĂ per i minori tra i 13 e i 16
anni.
Consenso per i Minori (Art. 8)
Š GETSOLUTION
40. Nel caso in cui si verifichi una violazione dei dati personali
che possa in qualche modo tradursi in un rischio per i diritti e le
libertĂ degli individui, qualsiasi Titolare del trattamento ha
lâobbligo normativo di notificare lâavvenimento allâAutoritĂ di
controllo.
La notifica deve avvenire senza ingiustificato ritardo, con un limite
massimo di 72 ore. Oltre le 72 ore, il Titolare deve comunicare
allâAutoritĂ il motivo valido che giustifichi il ritardo della notifica.
Obbligo di notifica di una violazione dei dati allâAutoritĂ Garante e
ai contraenti soltanto in capo ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico.
Codice Privacy
Regolamento
Data Breach (Art. 33)
Š GETSOLUTION
41. Il Titolare del trattamento è tenuto anche ad informare gli interessati tempestivamente se la
violazione può comportare una grave ed elevata compromissione dei loro diritti e delle
libertĂ :
Danni fisici, materiali
o morali
Danno economico o
sociale
Perdita del controllo
dei dati
Limitazione dei
diritti
Discriminazione
Furto o usurpazione
d'identitĂ
Perdite finanziarie
Decifratura non
autorizzata della
pseudonimizzazione
Pregiudizio alla
reputazione
Perdita di
riservatezza dei dati
protetti da segreto
professionale
Data Breach (Art. 33)
Š GETSOLUTION
42. Contromisure necessarie per la gestione di una violazione e per limitarne gli effetti:
misure tecniche che riconoscano all'istante la violazione e allertino
prontamente il Titolare o il Responsabile;
sensibilizzazione dei Responsabile del trattamento e dei soggetti autorizzati
al trattamento, anche tramite adeguate policy, affinchĂŠ si possa agire
correttamente e tempestivamente in caso di data breach;
misure atte a rendere non intellegibili e criptati i dati oggetto di violazione
per chiunque non sia autorizzato ad accedervi;
mezzi adeguati per lâinvio della comunicazione ai soggetti interessati
quando dovuto, tenendo in considerazione che la violazione potrebbe
anche compromettere i dati presenti a sistema;
Data Breach (Art. 33)
Š GETSOLUTION
43. Non è necessaria la comunicazione ai soggetti interessati se il
Titolare del trattamento ha applicato le opportune misure
tecnologiche e organizzative preventive (esempio crittografia dei
dati) o è stato in grado di evitare tempestivamente il verificarsi di
rischi elevati.
Data Breach (Art. 34)
Š GETSOLUTION
44. Codice Privacy Regolamento Generale
Lâart. 19.3 dellâAllegato B del
Codice Privacy (Disciplinare
tecnico in materia di misure
minime di sicurezza), che
prevedeva l'analisi dei rischi
che incombono sui dati, è
stato soppresso dal Decreto
legge del 9 febbraio 2012.
Il Regolamento introduce lâobbligo di effettuare
una valutazione di impatto (Data Protection
Impact Assessment) quando il trattamento può
comportare un elevato rischio per i diritti e le
libertĂ degli individui, soprattutto se effettuato
mediante nuove tecnologie.
Analisi dei Rischi
Š GETSOLUTION
45. âQuando un tipo di trattamento, allorchĂŠ prevede in particolare l'uso di nuove tecnologie,
considerati la natura, il campo di applicazione, il contesto e le finalitĂ del trattamento,
può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il
responsabile del trattamento effettua, prima di procedere al trattamento, una
valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personaliâ.
Elementi da valutare:
â˘la natura dei dati e del
trattamento
â˘il campo di applicazione
â˘il contesto
â˘le finalitĂ del trattamento
Quando è obbligatoria:
â˘Il trattamento prevede lâuso
di nuove tecnologie
â˘Il trattamento presenta
rischi per i diritti e le libertĂ
delle persone fisiche
Analisi dei Rischi (Art. 35)
Š GETSOLUTION
46. Il Data Protection Impact Assessment è finalizzato ad analizzare e ridurre i rischi che
impattano sulle libertĂ e i diritti degli Interessati.
Il Regolamento individua, in particolare, i seguenti casi in cui è sempre e indubbiamente
obbligatoria lâanalisi dei rischi:
valutazione sistematica ed estesa di aspetti della personalitĂ dei soggetti interessati
tramite processi automatizzati, tra cui la profilazione, e da cui derivano decisioni che
hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati;
il trattamento su larga scala di categorie particolari di dati personali, o di dati relativi
a condanne penali e reati;
il controllo sistematico di zone accessibili al pubblico su larga scala.
Analisi dei Rischi (Art. 35)
Š GETSOLUTION
47. Le autoritĂ di controllo dei singoli Stati sono tenuti a stabilire e
rendere pubblico un elenco delle tipologie di operazioni di
trattamento soggette al requisito di una valutazione d'impatto
sulla protezione dei dati e per le quali non è richiesta una
valutazione d'impatto sulla protezione dei dati.
Analisi dei Rischi (Art. 35)
Š GETSOLUTION
48. la perdita lâalterazione
lâaccesso non
autorizzato
lâutilizzo non
consentito
Principali rischi per i
diritti e le libertĂ delle
persone fisiche:
il pregiudizio e
la
discriminazione
il furto di
identitĂ
lâinvasivitĂ nella
sfera privata
le perdite
finanziarie
la perdita di
riservatezza dei
dati protetti
il danno fisico,
materiale o
morale
Principali rischi per la
sicurezza dei dati
personali:
Codice Privacy
Regolamento
Regolamento
Analisi dei Rischi (Art. 35)
49. Obbligo di adottare
misure tecniche ed
organizzative
ADEGUATE al
trattamento e ai
rischi.
Obbligo di
misure di
sicurezza
MINIME.
Codice Privacy Regolamento
Contromisure (Art. 32)
Š GETSOLUTION
50. Il Regolamento introduce lâobbligo di attuare misure di sicurezza ADEGUATE in
considerazione dei seguenti elementi:
lo stato dell'arte e i costi di attuazione;
la natura e il campo di applicazione del trattamento;
il contesto e le finalitĂ del trattamento;
il rischio, la probabilitĂ e la gravitĂ delle conseguenze per i diritti e le libertĂ delle
persone.
Il Regolamento introduce lâobbligo di attuare misure di sicurezza ADEGUATE in
considerazione dei seguenti elementi:
lo stato dell'arte e i costi di attuazione;
la natura e il campo di applicazione del trattamento;
il contesto e le finalitĂ del trattamento;
il rischio, la probabilitĂ e la gravitĂ delle conseguenze per i diritti e le libertĂ delle
persone.
Misure tecniche e organizzative (Art. 32)
Š GETSOLUTION
51. La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:
Pseudonimizzazione o crittografia dei dati;
Garanzie di riservatezza, integritĂ , disponibilitĂ e recupero dei dati personali e dei
sistemi che li custodiscono e li elaborano;
Accesso tempestivo ai dati in caso di un evento dannoso fisico o tecnico;
Processi di verifica periodica dellâefficacia ed effettiva applicazione delle misure di
sicurezza in atto.
Misure tecniche e organizzative
Š GETSOLUTION
52. Chiunque subisca un danno materiale o immateriale cagionato da una violazione del
presente regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del
trattamento o dal Responsabile del trattamento.
Il Titolare del trattamento è tenuto a risponderne direttamente e interamente. Il
Responsabile del trattamento può rispondere per il danno cagionato ad un Interessato se si
dimostra che non ha soddisfatto i propri obblighi previsti dal Regolamento o ha eseguito il
trattamento in contrasto a quanto stabilito dal Titolare del trattamento.
I soggetti sono esonerati dallâobbligo di risarcimento soltanto se sono in grado di dimostrare
che lâevento dannoso subĂŹto dallâinteressato non è in alcun modo loro imputabile.
Il Titolare del trattamento che ha pagato l'intero risarcimento del danno, qualora ne
sussistano le condizioni, ha il diritto di reclamare dagli altri Titolare del trattamento o
Responsabile coinvolti nel trattamento la parte del risarcimento corrispondente alla loro
parte di responsabilitĂ per il danno cagionato.
Risarcimento del danno (Art. 82)
Š GETSOLUTION
53. Sono previste sanzioni penali per gravi illeciti
che comportano la reclusione fino ad un
massimo di 3 anni.
Le sanzioni possono essere aumentate fino
al quadruplo in ragione delle condizioni
economiche del contravventore.
In casi di maggiore gravitĂ o sono coinvolti
numerosi interessati, le sanzioni possono
essere applicate in misura pari al doppio.
Sanzioni amministrative che variano da un
minimo di 6.000 Euro ad un massimo di
120.000 Euro.
Le sanzioni penali dovranno essere
eventualmente stabilite da ciascuno Stato
Membro sulla base della propria legislazione.
Per violazioni piÚ rilevanti, la sanzione può
raggiungere 20.000.000 Euro o il 4% del
fatturato mondiale totale annuo
Per alcune violazioni la sanzione può arrivare
fino ad un massimo di 10.000.000 Euro o al
2% del fatturato mondiale totale annuo
Elementi e condizioni generali per valutare
lâapplicazione delle sanzioni in caso di
violazione.
Codice Privacy Regolamento
Sanzioni (Art. 83)
Š GETSOLUTION
54. Sanzione fino ad un massimo di 10.000.000 Euro o al 2% del fatturato mondiale totale annuo,
per la violazione degli articoli che regolamentano i seguenti aspetti:
â˘Consenso per il trattamento di minori
â˘Trattamento di dati personali che identificano il soggetto anche quando non è necessario
â˘Protezione dei dati fin dalla progettazione e di default
â˘Corresponsabili del trattamento
â˘Rappresentante del Responsabile del trattamento nel territorio UE
â˘Responsabile del trattamento
â˘Registri delle attivitĂ di trattamento
â˘Cooperazione con l'autoritĂ di controllo
â˘Sicurezza del trattamento
â˘Data breach
â˘Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
â˘Data Protection Officer
â˘Violazione dei meccanismi di certificazione
Sanzioni (Art. 83)
Š GETSOLUTION
55. Sanzione fino ad un massimo di 20.000.000 Euro o al 4% del fatturato mondiale totale
annuo, per la violazione degli articoli che riguardano i seguenti aspetti:
â˘Violazione dei principi (liceitĂ , correttezza e trasparenza, limitazione della finalitĂ ,
minimizzazione dei dati, esattezza, limitazione della conservazione, integritĂ e
riservatezza, responsabilizzazione)
â˘LiceitĂ del trattamento
â˘Consenso al trattamento
â˘Trattamento di categorie particolari di dati
â˘Esercizio diritti degli interessati
â˘Informativa
â˘Trasferimento dati allâEstero
Sanzioni (Art. 83)
Š GETSOLUTION
56. Dott.ssa Paola Generali
Managing Director
paola.generali@getsolution.it
cell: +39 335 5366986
Via Ippolito Rosellini n. 12
20124 Milano Italy
Tel: + 39 (0)2 39661701
Fax: + 39 (0)2 39661800
info@getsolution.it
www.getsolution.it
PER INFORMAZIONI
Š GETSOLUTION