Il nuovo GDPR Il nuovo GDPR
STUDIO LEGALE BRIOLA
IL REGOLAMENTO UE 2016/679: la protezione delle persone fisiche
con riguardo al trattamento dei dati personali
Dal 25 maggio 2018 diventerà definitivamente applicabile in tutto il territorio europeo il Regolamento UE 2016/679
Il nuovo «pacchetto di protezione dati» – composto anche della direttiva UE 2016/680 – mira ad adeguare il sistema di data protection all’evoluzione tecnologica del flusso transfrontaliero dei dati
STUDIO LEGALE BRIOLA
Gli obiettivi dell’Europa
Libera circolazione dei dati nel territorio dell’UE
Alto livello di protezione delle informazioni personali
Sistema uniforme
Eliminazione della frammentazione normativa
Gli obiettivi dell’Europa
STUDIO LEGALE BRIOLA
Le principali novità del GDPR
Il principio di stabilimento «allargato» Art. 3 del Regolamento
Il principio di Privacy by Design e Privacy by Default
Art. 25, comma 1 e 2 del Regolamento
Il principio di responsabilizzazione (più importanza al Titolare e al Responsabile del trattamento e introduzione del DPO)
Artt. 24 – 27 del Regolamento Artt. 28 e 29 del Regolamento Artt. 37- 39 del Regolamento
Introduzione del diritto all’oblio e alla portabilità dei dati per gli interessati
Artt. 17 – 20 del Regolamento
I registri di trattamento Art. 30 del Regolamento
La valutazione dei rischi e le misure di sicurezza dei dati
Artt. 32, 35 e 36 del Regolamento
Il data breach Artt. 33 e 34 del Regolamento
Il principio di trasparenza e l’informativa Artt. 12, 13 e 14 del Regolamento
Le nuove sanzioni Artt. 83 e 84 del Regolamento STUDIO LEGALE BRIOLA
Il GDPR e i dati trattati
Il GDPR (General Data Protection Regulation)
Dati personali Dati sensibili
Art. 4, punto 1: «qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)» Es: il nome e cognome, un numero di identificazione, i dati sull’ubicazione, l’identificativo online
Art. 9: «categorie particolari di dati personali» Dati razziali, etnici, politici, religiosi, di appartenenza sindacale, genetici, biometrici, giudiziari, fisici, sanitari e sessuali.
STUDIO LEGALE BRIOLA
Un sistema conforme alla Privacy by design e by default
STUDIO LEGALE BRIOLA
Titolare del trattamento
Responsabile del trattamento
DPO
decide le finalità e i mezzi
del trattamento e nomina il
Responsabile
gestisce i dati ricopre un
ruolo esecutivo per la
tutela della privacy
informa, assiste, sorveglia e
garantisce l’adeguatezza del
sistema informatico al
Regolamento
Figure interne che conoscono la
realtà dell’impresa e sono dotate di responsabilità
Figura interna o esterna priva di responsabilità
L’organigramma Privacy
STUDIO LEGALE BRIOLA
I soggetti esterni all’azienda: gli interessati
Soggetti presenti nell’UE a cui i dati utilizzati nel trattamento si
riferiscono
Diritto all’oblio
Diritto alla portabilità dei dati personali
STUDIO LEGALE BRIOLA
STUDIO LEGALE BRIOLA
• diritto di negare il trattamento ab origine
• diritto di trasferire i dati, fermo restando il diritto all’oblio
• diritto di limitare il trattamento, pur conservando i dati
• diritto ad essere cancellato se ricorrono dei motivi, con obbligo di comunicazione
Diritto all’oblio
Diritto di limitazione
Diritto di opposizione
Diritto alla portabilità
I registri delle attività di trattamento (art. 30)
sono l’apparato documentale per dimostrare la compliance dell’azienda e rientrano nel concetto di «valutazione impatto privacy»
sono adempimento formale e sostitutivo dell’obbligo di notificare il trattamento all’Autorità
Le realtà con meno di 250 dipendenti sono esonerate dall’obbligo di tenuta dei registri, a meno che compiano attività rischiose per i diritti e le libertà degli interessati (art. 30 c.5)
STUDIO LEGALE BRIOLA
Sicurezza dei dati e valutazione dei rischi
La sicurezza dei dati è funzionale alla protezione delle informazioni ricevute nel trattamento
La sicurezza si articola su più piani e prevede diversi livelli di «adeguatezza»
il Regolamento europeo non prevede più misure minime di sicurezza, ma «contromisure» adeguate
I parametri per l’individuazione delle misure di sicurezza sono: lo stato dell’arte, i costi dii attuazione, la natura, l’oggetto, il contesto, le finalità, il rischio e la gravità.
STUDIO LEGALE BRIOLA
La valutazione dei rischi
Il Titolare deve:
- elencare i rischi
- catalogare i rischi
- ordinare i rischi
La valutazione d’impatto
Considera:
l’origine, la natura, la particolarità e la gravità del rischio
Opera solo in caso di «rischio elevato» e prevede l’intervento dell’Autorità Garante
La valutazione dei rischi e la valutazione d’impatto
STUDIO LEGALE BRIOLA
Il data breach
Data Breach Art. 4 punto 12
Obbligo di notifica del Titolare del trattamento
al Garante della Privacy
all’interessato
entro 72 ore
se non è conforme alla normativa europea
STUDIO LEGALE BRIOLA
Gli strumenti: - informativa
- disclosure sui mezzi
- il sistema di valutazione dei
rischi
informativa pre-contrattuale
obbligatoria
Informativa: concisa
trasparente intelligibile accessibile
Finalità di informazione effettiva sulle
finalità del trattamento
Il principio di trasparenza e l’informazione all’interessato
STUDIO LEGALE BRIOLA
STUDIO LEGALE BRIOLA
Dati raccolti presso l’interessato
Il Titolare fornisce le informazioni all’interessato nel momento di raccolta del consenso
Se le finalità sono diverse da quelle per cui i dati sono raccolti, c’è l’obbligo di informazione pertinente
Eccezione generale: l’obbligo non si applica se e nella misura l’interessato dispone già delle informazioni
STUDIO LEGALE BRIOLA
Dati raccolti presso soggetti diversi dall’interessato
Entro un termine ragionevole, non oltre un mese, il Titolare comunica le informazioni all’interessato
In caso di comunicazione con altro destinatario, il Titolare informa al più tardi al momento della divulgazione dei dati
Nel caso in cui i dati vengano comunicati all’interessato, le informazioni sono comunicati al momento del primo contatto
Consenso (art. 4)
chiaro
distinguibile
comprensibile
revocabile
informato
libero
Il consenso alla trattazione dei dati personali
STUDIO LEGALE BRIOLA
Il trasferimento dei dati personali all’estero
trasferimento dei dati verso Paesi all’interno dell’UE
applicazione del Regolamento UE 2016/679
controllo del Garante successivo ed eventuale (data breach)
trasferimento dei dati verso Paesi terzi o un’organizzazione internazionale
solo se sono rispettate le condizioni di adeguatezza e le garanzie previste dal
Regolamento
sono previste 3 circostanze specifiche in cui è ammesso il trasferimento a
Paesi terzi
libera circolazione dei servizi e norma unitaria
In assenza di esse, è possibile fare il trasferimento se ricorre almeno una
delle condizioni ex art. 49
STUDIO LEGALE BRIOLA
Sanzioni penali
Titolo III, capo II, del Codice Privacy (D.lgs.
196/2003)
Sanzioni amministrative
ammonimento
Fino a 10 milioni di euro o fino al 2% del fatturato mondiale
globale annuo
Fino a 20 milioni di euro o fino al 4% del fatturato mondiale
globale annuo
Le sanzioni
STUDIO LEGALE BRIOLA
Cosa si può fare per evitare le sanzioni?
Verificare
Mappare
informare implementare
creare un piano
adeguato Modello sul trattamento
dei dati personali
STUDIO LEGALE BRIOLA
STUDIO LEGALE BRIOLA
Oltre alle sanzioni: la violazione del GDPR e il risarcimento del danno
Art. 82: «Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento, ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento».
Il Titolare del trattamento risponde per tutti i danni causati da un trattamento illegittimo (responsabilità riconducibile all’art. 2050 c.c.)
Il Responsabile del trattamento risponde della violazione solo se ha agito in modo difforme o contrario rispetto a quanto stabilito con il Titolare (responsabilità di tipo contrattuale)