GDPR: il nuovo regolamento Privacy
MILANO, 15 marzo 2018
Prof. Avv. Barbara Indovina
Regolamento n. 679/2016
Il nuovo Regolamento è stato pubblicato sullaGUUE L 119 del 4 maggio 2016.
E’ in vigore ma non applicabile.
24 maggio 2018: diventa applicabile e decadono precedentinormative (direttiva 1995/46)
DIRETTAMENTE APPLICABILEOBBLIGATORIO PER TUTTI GLI STATII MEMBRI
Principi relativi al trattamento dei dati
Cosa resta invariato (o cambia marginalmente)
Definizioni di dato personale e trattamento
Obbligo di informativaTitolare
Protezione di solo persone fisiche
Obbligo di consenso
Cosa cambia?
Registri del trattamento
Data Privacy Impact assessment
Data Privacy Officer
Sanzioni
Accountability del titolare
Responsabilità solidale titolare e responsabile
1
2
3
4
5
6
D.Lgs 196/2003I soggetti: Regolamento Privacy (679/2016)
titolareData Controller
Stabilimento principale (new)Se diversi sedi in Europa è il luogo ove vengono assunte le decisioni sul trattamento dati
ResponsabileData Processor: esterno- ha responsabilità proprie art. 28
Rappresentante (new)Persona stabilita nell’unione che rappresenta la società per gli obblighi del GDPR
Gruppo Imprenditoriale (new)Un controllante e altre controllate
Incaricatoterzo
Informativa Accesso Rettifica Oblio Portabilità
Diritti dell’interessato (artt. 12- 23)
Violazioni diritti interessati: sanzione fino a 20 milioni di Euro o per le imprese fino al 4% del fatturato mondiale
annuo dell’esercizio precedente, se superiore
Privacy by design e by default (art. 25)
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento… art. 35-infra
Protezione dei dati fin dalla sua
progettazione
La protezione del dato deve diventare
impostazione predefinita
sanzione fino a 10 milioni di Euro o per le imprese fino al 2%
del fatturato mondiale annuo dell’esercizio precedente, se
superiore
Tenuto conto della natura, dell'ambito di applicazione, del contesto
e delle finalità del trattamento, nonché dei rischi aventi probabilità
e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare
del trattamento mette in atto misure tecniche e organizzative
adeguate per garantire, ed essere in grado di dimostrare, che il
trattamento è effettuato conformemente al presente regolamento.
Dette misure sono riesaminate e aggiornate qualora necessario.
La responsabilità del titolare (ART. 24)
ACCOUNTABILITY: il titolare è competente
per il rispetto dei principi ed è in grado di dimostrarlo!
Data Protection officer
REQUISITI
Professionista che possieda una
adeguata conoscenza della
normativa e delle prassi di
gestione dei dati personali, che sia
in grado di adempiere alle proprie
funzioni in assenza di conflitto di
interesse (dipendente o contratto
di servizi)
CHI DEVE NOMINARLO:
• Tutte le PA e Enti pubblici
• Se le attività principali del titolare o del responsabile
consistono in trattamenti che richiedono il
monitoraggio regolare e sistematico di interessati
su larga scala (attività principali = operazioni
essenziali che sono necessarie al raggiungimento
degli obiettivi perseguiti dal titolare o dal
responsabile del trattamento)
• Se le attività principali del titolare o del responsabile
consistono nel trattamento su larga scala di
categorie particolari di dati o di dati personali relativi
a condanne penali e reati.
Larga scala
Considerando 91
che mirano al trattamento di una
notevole quantità di dati personali
a livello regionale, nazionale o
sovranazionale e che potrebbero
incidere su un vasto numero di
interessati e che potenzialmente
presentano un rischio elevato
INDICATORI (WP 231)
Il numero di soggetti interessati dal
trattamento, in termini assoluti
ovvero espressi in percentuale
della popolazione di riferimento;
Il volume dei dati e/o le diverse
tipologie di dati oggetto di
trattamento;
La durata, ovvero la persistenza,
dell’attività di trattamento;
La portata geografica dell’attività
di trattamento.
Alcuni esempi
trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici telematici.
Qualità professionali del DPO (art. 37 comma 5)
Competenzeinformatiche
Conoscenza della normativa
Conoscenza dei processi aziendali
Il responsabile della protezione dei
dati è designato in funzione delle
qualità professionali, in particolare
della conoscenza specialistica della
normativa e delle prassi in materia di
protezione dei dati, e della capacità
di assolvere i compiti di cui all'articolo
39.
Compiti del DPO (art. 39) a) informare e fornire consulenza al titolare del trattamento o al responsabile del
trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. ,
Problemi…?
• Adempimento formale (ex notifica del trattamento al Garante
Privacy Italiano)
• Elemento della DPIA
• Se >250 dipendenti
• Forma scritta (anche elettronica)
• Simile al vecchio DPS?
REGISTRO DEL TITOLARE:
NOME E DATI DI CONTATTO( titolare, responsabile,
rappresentante, contitolare), finalità trattamento, tipologia
dati trattati, modo esercizio diritti, descrizione misure tecniche
e organizzative
REGISTRO DEL RESPONSABILE:
NOME E DATI DI CONTATTO(responsabile, titolare per cui
agisce), categorie trattamenti effettuati per il titolare,
descrizione misure tecniche e organizzative
Registri delle attività del trattamento (titolare e responsabile)
D.Lgs. 196/2003:
Misure di sicurezza
minime
Misure di sicurezza
adeguate (IDONEE)
Regolamento 679/2016:
Misure tecniche e
organizzative adeguate
TECNICHE E
ORGANIZZATIVE
Al centro del Regolamento: la sicurezza del dato
Tenendo conto dello stato dell'arte e dei costi di
attuazione, nonché della natura, dell'oggetto,
del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e
gravità per i diritti e le libertà delle persone
fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche
e organizzative adeguate per garantire un livello
di sicurezza adeguato al rischio
ART. 32
SICUREZZA DEL TRATTAMENTO
La sicurezza è un processo non un prodotto
hardware software humanware
Sicurezza del dato?
IoT
Cloud
Network
Mobile
web
Misure di sicurezza che comprendono (se del caso)
01 la pseudonimizzazione e la cifratura dei dati
personali;
02la capacità di assicurare :
a) la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi
e dei servizi di trattamento;
b) ripristinare tempestivamente la disponibilità e l'accesso dei dati
personali in caso di incidente fisico o tecnico
03procedura per testare, verificare e valutare regolarmente
l'efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento
Chiunque subisca un danno materiale o immateriale causato da una
violazione del presente regolamento ha il diritto di ottenere il risarcimento del
danno dal titolare del trattamento o dal responsabile del trattamento.
Un titolare del trattamento coinvolto nel trattamento risponde per il danno
cagionato dal suo trattamento che violi il presente regolamento.
Un responsabile del trattamento risponde per il danno causato dal trattamento
solo se non ha adempiuto gli obblighi del presente regolamento
specificatamente diretti ai responsabili del trattamento o ha agito in modo
difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
La responsabilità del titolare e responsabile
(art. 82) (diritto al risarcimento del danno)
Diritto al risarcimento e responsabilità
QUINDI?
TITOLARE E RESPONSABILE
Tenuto conto di:
▪ Natura
▪ Rischi
▪ Costi
▪ Finalità
Mettono in atto
procedure di sicurezza
adeguate per garantire
un livello di sicurezza
adeguato al rischio
Non appena viene a conoscenza di una avvenuta
violazione dei dati personali trattati, il titolare
deve notificare al Garante :
Senza giustificato ritardo e, se
possibile, entro le 72 ore
Notificata anche
all’interessato in caso di
elevato rischio dei diritti e
delle libertà
Sanzione: fino a 10 mil o 4%
Data Breach
Data Protection Impact Assessment
Sostituisce notifica al garante e si
inserisce nelle misure dell’art. 35
Valutazione di impatto soprattutto
delle nuove tecnologie nella
gestione del trattamento dei dati
Richiesta in particolare su
trattamenti su larga scala o che
presentano un rischio elevato
Cosa fare?
Consulenza: capire la normativa
Assessment: analisi dei rischi e dell’impatto del GDPR sull’azienda
GAP Analysis AS IS- TO BE
Configurare i processi operativi
Garantire la sicurezza
Formazione dipendenti e implementazione policies e procedure