regolamento privacy 2016 convegno asspricom 9.01.2017
TRANSCRIPT
La normativa privacy: dal Codice della Privacy al nuovo Regolamento
comunitario. I principi generali di tutela dei dati personali negli ambiti
professionalia cura di:
Domenico VozzaAvvocato Stabilito - Privacy & Compliance
expert Roma, 9 Gennaio 2017
Argomenti • La privacy nell’Unione Europea
• Il nuovo Regolamento privacy
• Oggetto e finalità
• Ambito di applicazione materiale e territoriale
• Definizioni essenziali
• Principi fondamentali
• Diritti dell’interessato
• Consultazione preventiva e PIA
• La figura del DPO
• Trasferimento di dati personali in Paesi extra-UE o organizzazioni internazionali
• Le autorità di controllo indipendenti
• Mezzi di ricorso e sanzioni
33
IL RICONOSCIMENTO DEL DIRITTO ALLA PRIVACY NEL MONDO E IN EUROPA
1950: Articolo 8 della Convenzione Europea dei Diritti dell’Uomo che la Corte utilizza per le interferenze nella vita privata delle persone.
10 Dicembre 1948: Articolo 12 della Dichiarazione Universale dei Diritti dell’Uomo, inteso come diritto negativo nel senso che lo Stato deve astenersi dall’interferire illegalmente nella vita privata della persona.
44
25/10/1995Adozione della Direttiva 95/46/CE sulla Protezione dei Dati Personali
6/04/2016 Posizione del Consiglio in
prima lettura in vista dell’adozione del
Regolamento sulla Protezione di Dati
Personali
14/04/2016 Approvazione
definitiva del nuovo Regolamento sulla Protezione dei Dati
Personali
4/05/2016Pubblicazione del nuovo
Regolamento Privacy sulla Gazzetta Ufficiale
dell’Unione Europea
LA PRIVACY NELL’UNIONE EUROPEA
Dalla Direttiva 95/46/CE al Regolamento sulla Protezione dei Dati Personali 2016/679
55
REGOLAMENTO 2016/679: ASPETTI TECNICI
Il Regolamento:
• Pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 4 Maggio 2016.
• Entrato in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale. (25 Maggio 2016).
• Applicabile a decorrere dal 25 Maggio 2018, giorno in cui sarà ufficialmente abrogata la precedente Direttiva 95/46/CE.
66
REGOLAMENTO UE 2016/679: OGGETTO E FINALITÀ DEL
REGOLAMENTO PRIVACY (ART.1)
Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
Il Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare la protezione dei dati personali.
77
REGOLAMENTO UE 2016/679: AMBITI DI APPLICAZIONE
Ambiti di Applicazione
del Regolamento
Territoriale (Art.3)
Materiale (Art. 2)
88
REGOLAMENTO UE 2016/679: Ambito di applicazione materiale (ART.2)
Il Regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
NON si applica ai trattamenti: effettuati dagli Stati Membri UE in riferimento all’area di Spazio di Libertà, Sicurezza e
Giustizia. a carattere esclusivamente personale o domestico. effettuati dalle autorità competenti a fini di prevenzione, indagine, esecuzione penale.
99
REGOLAMENTO UE 2016/679: Ambito di applicazione territoriale (ART. 3)
Il Regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività dell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Un titolare di un trattamento può non essere stabilito ufficialmente nell’Unione Europea ma svolgere comunque un trattamento a livello Europeo.
1010
Regolamento UE 2016/679: Definizioni essenziali
• Dato personale Qualsiasi informazione riguardante una persona fisica identificata o identificabile.
• Titolare del trattamento persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali
• Responsabile del trattamento persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
• Interessato dal trattamento persona fisica, i cui dati vengono trattati, identificata o identificabile.
• Destinatario del trattamento La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi
• Autorità di controllo indipendente L’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51
1111
REGOLAMENTO UE 2016/679: PRINCIPI DEL NUOVO REGOLAMENTO
Principi
Liceità, correttezza, trasparenza
Limitazione del periodo di
conservazione
Minimizzazione dei dati trattati in
relazione allo scopo del
trattamento stesso
Esattezza e quindi di aggiornamento dei dati personali
trattati
1212
REGOLAMENTO UE 2016/679: CONDIZIONI PER IL CONSENSO
DELL’INTERESSATO (ART. 7)
Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.
1313
REGOLAMENTO UE 2016/679: DIRITTI DELL’INTERESSATO
Fra le principali novità del Regolamento in riferimento a specifici diritti dell’interessato vi sono:
• Diritto di rettifica
• Diritto di cancellazione (o oblio)
• Diritto di limitazione del trattamento
• Diritto alla portabilità dei dati
1414
REGOLAMENTO UE 2016/679:DIRITTO DI RETTIFICA (ART. 16)
L’interessato ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
L’interessato ha anche il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
1515
REGOLAMENTO UE 2016/6769 DIRITTO ALLA CANCELLAZIONE O
OBLIO
L’interessato ha il diritto di ottenere dal titolare la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali.
1616
Diritto alla cancellazione o oblio
• I dati non sono più necessari rispetto alle finalità per le quali sono state raccolte.
• I dati personali sono stati trattati illecitamente.
• I dati sono inaccurati, inadeguati, irrilevanti o eccessivi.
16
In quali casi?
In tali casi, un motore di ricerca è tenuto a cancellare i dati
dell’interessato.
1717
REGOLAMENTO UE 2016/679: DIRITTO DI LIMITAZIONE DI
TRATTAMENTO (ART. 18) L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando:
• Contesta l’inesattezza dei dati personali • Il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e
chiede che questo sia limitato.
• I dati personali sono necessari per l’esercizio e la difesa di un diritto in sede giudiziaria.
18
Le Linee Guida dell’ Article 29 Working Party
L’Article 29 Working Party, costituito dall’Art. 29 della Direttiva UE 95/46, è composto dai rappresentanti delle Autorità di protezione dei dati personali designati da ogni Stato Membro, dal Garante Europeo della Protezione dei Dati e da un rappresentante della Commissione Europea.
Fra i loro innumerevoli compiti vi è quello di formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità.
Fra le più recenti e importanti Linee Guida emanate, vi sono:
• Linee Guida sul diritto alla portabilità dei dati (13 Dicembre 2016);
• Linee Guida sul DPO (Data Protection Officer) (13 Dicembre 2016);
• Linee Guida sull’identificazione dell’autorità del titolare o responsabile del trattamento (13 Dicembre 2016)
1919
REGOLAMENTO UE 2016/679: DIRITTO ALLA PORTABILITA’ DEI DATI
Il diritto alla portabilità dei dati prevede che all’interessato:
- venga riconosciuto il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo
riguardano forniti ad un titolare del trattamento;
- venga riconosciuto il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento che li ha forniti.
Ciò avviene nei casi in cui: • il trattamento si basi su un consenso o un contratto; • Il trattamento sia effettuato con mezzi automatizzati
2020
REGOLAMENTO UE 2016/679:TITOLARE DEL TRATTAMENTO E
RESPONSABILE DEL TRATTAMENTO
Il Titolare del trattamento:
• Mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento.
• Attua politiche adeguate in materia di protezione dei dati
• Aderisce ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto dei suoi obblighi.
2121
Il Responsabile del trattamento:
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, questo
ricorre ad un Responsabile che abbia garanzie sufficienti in modo da soddisfare determinati
requisiti previsti dal Regolamento.
Il Responsabile del trattamento
• Tratta i dati personali solamente su istruzione documentata dal titolare del trattamento • Garantisce che le persone autorizzate al trattamento si siano impegnate nella riservatezza• Assiste il titolare del trattamento con specifiche misure tecniche e organizzative • Su scelta del titolare, cancella o restituisce i dati personali nel momento in cui è terminata la
prestazione dei servizi.
22
IL REGISTRO DEI TRATTAMENTI DI DATI PERSONALI
L’articolo 30 del nuovo Regolamento Privacy si occupa del registro dei trattamenti di dati personali.
In base allo stesso saranno esentati enti, imprese e altri organismi con meno di 250 dipendenti. L’esenzione non opera per qualunque titolare con un numero di dipendenti inferiore a 250 dipendenti che effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati e al contempo:
• il trattamento non è occasionale;
• anche se occasionale, il trattamento include quelli che definiamo dati sensibili e/o giudiziari
23
Il registro dei trattamenti di dati personali
Il Regolamento impone allo stesso di descrivere i trattamenti e di indicare le finalità del trattamento, le categorie di interessati e di dati nonché quelle dei destinatari, cosi come il contesto in cui le attività sono sviluppate.
Il registro serve innanzi tutto a documentare dinanzi all’Autorità di controllo la conformità dell’organizzazione alle norme del Regolamento. Non è dunque una prova della conformità alle norme ‘privacy’, ma può ben costituirne un ‘indizio’.
2424
REGOLAMENTO UE 2016/679 SICUREZZA DEI DATI PERSONALI
Il titolare e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguata al rischio.
Nel momento in cui dovesse esserci una violazione della sicurezza dei dati personali si procede:
•Ad una notifica di una violazione dei dati personali all’autorità di controllo
•Alla comunicazione di violazione di dati all’interessato
2525
REGOLAMENTO UE 2016/679: VALUTAZIONE D’IMPATTO SULLA
PROTEZIONE DEI DATI E CONSULTAZIONE PREVENTIVA
a) Valutazione d’impatto sulla protezione dei dati personali o Privacy Impact Assessment
b) Consultazione preventiva
2626
A. PRIVACY IMPACT ASSESSMENT (PIA)
Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali.
2727
B. REGOLAMENTO UE 2016/679: CONSULTAZIONE PREVENTIVA
Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo, qualora il Privacy Impact Assessment indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
28
La consultazione preventiva
Al momento di consultare l’autorità di controllo, il titolare del trattamento comunica all’autorità di controllo:
• Le rispettive responsabilità del titolare e/o contitolari del trattamento.
• Le finalità e i mezzi del trattamento previsto.
• Le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati.
• I dati di contatto del titolare della protezione dei dati.
• La valutazione d’impatto sulla protezione dei dati.
2929
REGOLAMENTO UE 2016/679: RESPONSABILE PROTEZIONE DATI (DPO)
Il Titolare e il Responsabile del trattamento designano sistematicamente un DPO ogniqualvolta:
• Il trattamento è effettuato da un’autorità pubblica o organismo pubblico.• Le attività principali del titolare del trattamento o del responsabile
consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
• La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
N.B: Qualora non si rispettino i criteri di designazione e le prescrizioni deliberate dal WP29 relative al ruolo della figura stessa, un soggetto non può essere ritenuto un «DPO».
3030
E se non si prevede una nomina obbligatoria?
Anche se non si prevede una nomina obbligatoria della figura del DPO, è possibile la designazione su base volontaria.
Quali sono i vantaggi per le aziende, nel caso di designazione volontaria del DPO?
• Maggiore rispetto della compliance aziendale attraverso PIA e audit;
• Maggiore competitività aziendale;• Maggiore mediazione fra i principali stakeholders ( autorità di
controllo indipendenti, soggetti al trattamento di dati personali e unità operative interne all’azienda).
3131
Il concetto di ‘larga scala’
• Non vi è nessuna definizione circa il numero di trattamenti di dati personali in base a cui un’attività sia su larga scala.
• La Germania prevede un DPO automatico in caso di trattamenti automatizzati di dati personali, mentre nei casi di trattamenti non automatizzati solamente nel caso in cui vi siano minimo 20 impiegati aziendali.
3232
Fattori determinanti per un trattamento su ‘larga scala’
Nonostante non si siano predisposti criteri precisi, il WP29 ha definito 4 principali fattori da tenere in considerazione per considerare un trattamento su ‘larga scala’: • il numero di soggetti al trattamento di dati personali un numero specifico o in
proporzione della popolazione;
• il volume dei dati e/o i vari dati trattati;
• la durata del trattamento;
• l’estensione geografica del trattamento.
3333
Esempi di trattamento su ‘larga scala’
• Trattamento dati da parte di una struttura sanitaria;
• Trattamento dati relativo ai singoli individui in relazione all’utilizzo di mezzi di trasporto pubblici tessere di viaggio;
• Trattamento dati da parte di compagnie assicurative e banche;
• Trattamento di dati da parte di motori di ricerca a fini pubblicitari
• Trattamento dati da parte di sistemi di geo-localizzazione di motori di ricerca e cellulari
3434
E gli studi legali/professionali?
Non costituisce trattamento di dati personali su larga scala il trattamento di dati relativi a dati giudiziari da parte di un singolo avvocato.
Si deduce, dunque, che, nel caso di studi associati, siano essi di avvocati, commercialisti o professionisti vari, si può ben prevedere la figura del DPO come garante della protezione di dati personali quali quelli giudiziari/commerciali ecc.
Tale ipotesi viene ulteriormente suffragata dal fatto che lo stesso Regolamento prevede la figura del DPO nel caso in cui vi sia un controllo regolare e sistematico operato dai titolari del trattamento. tale trattamento NON è assolutamente limitato all’ambiente informatico.
3535
DPO in contratto di servizio esterno
La funzione di DPO può essere anche esercitata sulla base di un contratto di servizio esterno. È importante che il DPO non sia in conflitto di interesse con l’azienda e che abbia il sostegno operativo da parte della stessa, attraverso un team a sua disposizione con compiti chiari e precisi.
Il Regolamento privacy prevede che il titolare o responsabile del trattamento: • pubblichino i dettagli di contatto del DPO; • comunichino gli stessi all’ autorità di controllo
indipendente competente
Tutto ciò ha lo scopo di facilitare il contatto fra i soggetti interni ed esterni all’azienda, cosi come le autorità di controllo indipendenti in maniera trasparente e di facile accesso.
3636
Controllo ‘regolare e sistematico’
Il significato di controllo ‘regolare e sistematico’ non è stato rigidamente definito dal nuovo Regolamento Privacy.
Come può essere interpretato un trattamento ‘regolare’?
• In corso o accaduto in particolari intervalli di tempo;
• Ricorrente o ripetuto in specifici momenti;
• Costante o periodico
Come può essere interpretato un trattamento ‘sistematico’?
• Accaduto in riferimento ad un piano organizzativo;
• Definito in base ad un programma generale di trattamento dati;
• Definito come parte di una strategia organizzativa
3737
Compiti del DPO
Informare e fornire consulenza al titolare o al responsabile del trattamento in merito agli obblighi derivanti da tale Regolamento;
Sorvegliare l’osservanza del Regolamento e fornire un parere in merito al Privacy Impact Assessment;
Cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento di dati personali.
3838
Requisiti ed esperienza del DPO
L’Art.37(5) del Regolamento Privacy prevede che il DPO venga designato sulla base del livello di esperienza, delle qualità professionali in materia di protezione dei dati personali e l’abilità di adempiere alle proprie funzioni.
• Livello di esperienza:
Nonostante non vi siano criteri specifici, è bene che l’esperienza del DPO sia proporzionata alla sensibilità, complessità e quantità di dati relativi al processo organizzativo in oggetto.
• Qualità professionali:
E’ importante che i DPO abbiano esperienza in materia di legislazione nazionale ed Europea in materia di protezione dei dati personali. Il DPO dovrebbe anche essere a conoscenza dei processi operativi aziendali, cosi come i sistemi informatici e bisogni di sicurezza del titolare del trattamento.
• Abilità di adempiere alle proprie funzioni:
Dovrebbe essere interpretata come facente capo a qualità personali e conoscenze, ma anche alla propria posizione nell’ambito dell’organizzazione. La sua principale funzione è quella di rispettare e far rispettare fedelmente il Regolamento privacy.
3939
Azienda/professionisti e il DPO!
Come può l’azienda o il gruppo di professionisti agevolare il lavoro del DPO? • includere il DPO in OGNI aspetto relativo alla protezione dei dati
personali; • fornire le risorse necessarie al DPO per operare; • fornire la possibilità al DPO di operare in piena autonomia
nell’ambito organizzativo aziendale; • evitare alcuna penalizzazione del DPO in riferimento al suo
operato; • permettere al DPO di operare in autonomia senza però svolgere
attività che possano portare ad un conflitto di interessi.
4040
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI EXTRA-UE O
ORGANIZZAZIONI INTERNAZIONALI
E’ lecito solo se il titolare e il responsabile del trattamento rispettano le condizioni del Regolamento:
- se la Commissione UE ha deciso che il Paese terzo o l’Organizzazione Internazionale garantiscono un livello di protezione adeguato, secondo indici quali: il rispetto dei diritti umani, l’esistenza e la concreta operatività di «autorità garanti», impegni internazionali assunti dal soggetto terzo;
- in assenza di quanto sopra, solo se il titolare ha fornito garanzie adeguate (art. 46 Reg. UE) e a condizione che gli interessati dispongano di strumenti giurisdizionali di tutela.
TRASFERIMENTO DI DATI PERSONALI : DEROGHE
• l’interessato abbia prestato consenso esplicito al trasferimento;
• il trasferimento si rende necessario:
• all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento;
• per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
• per importanti motivi di interesse pubblico;
• per accertare, esercitare o difendere un diritto in sede giudiziaria;
• per tutelare interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità di prestare il consenso.
41
4242
REGOLAMENTO UE 2016/679: LE AUTORITÀ DI CONTROLLO
INDIPENDENTI Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del Regolamento privacy in modo da tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione Europea.
Ogni autorità agisce in piena INDIPENDENZA e TRASPARENZA.
4343
REGOLAMENTO UE 2016/679: COMPITI DELLE AUTORITÀ DI CONTROLLO NEI PROPRI
TERRITORI
Compiti delle
Autorità di Controllo
Sorveglia l’applicazione
del Regolamento
Tratta reclami
Collabora con altre
autorità di controllo
Incoraggia l’elaborazione
di codici di condotta
Sorveglia gli sviluppi che presentano
un interesse
Svolge qualsiasi altro compito legato alla protezione
dei dati personali
4444
REGOLAMENTO UE 2016/679: MEZZI DI RICORSO E SANZIONI
Fra i mezzi di ricorso principali in materia di privacy vi sono:
• Reclamo all’autorità di controllo
• Ricorso giurisdizionale
• Sospensione delle azioni
• Diritto al risarcimento e responsabilità
• Sanzioni amministrative pecuniarie
45
A) RECLAMO ALL’AUTORITÀ DI CONTROLLO
L’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre un reclamo all’autorità di controllo, nello Stato membro in cui risiede abitualmente, lavora oppure del luogo in cui si è verificata la presunta violazione.
L’autorità di controllo informa il reclamante dello stato o dell’esito del reclamo, inclusa la possibilità di un ricorso giurisdizionale.
45
46
B) RICORSO GIURISDIZIONALE
46
Nei confronti dell’autorità di controllo
Nei confronti del Titolare o del Responsabile del trattamento
47
C) SOSPENSIONE DELLE AZIONI
Qualora l’autorità giurisdizionale di uno Stato membro venga a conoscenza di azioni riguardanti lo stesso oggetto presso un’autorità giurisdizionale presso un altro Stato membro prende contatto con tale autorità giurisdizionale.
Qualora si occupino dello stesso caso, l’ultimo Stato membro interessato può sospendere le azioni.
47
48
D) DIRITTO AL RISARCIMENTO E RESPONSABILITÀ
Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
48
49
E) SANZIONI AMMINISTRATIVE PECUNIARIE
Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa si tiene conto di numerosi elementi fra cui:
• La natura, gravità e durata della violazione
• Il carattere doloso o colposo della violazione
• Le misure adottate dal titolare o responsabile del trattamento
• Eventuali precedenti violazioni
• Adesione ai codici di condotta
• Eventuali fattori aggravanti
49
50
Sanzioni amministrative e pecuniarie
Sanzioni pecuniarie fino a 10.000.000 Euro o, per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, sono previste in caso di violazione di:
• obblighi del titolare e del responsabile del trattamento;
• obblighi dell’organismo di certificazione
• obblighi dell’organismo di controllo
Sanzioni pecuniarie fino a 20.000.000 Euro o, per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente, sono previste in caso di violazione di:
• principi base del Regolamento, incluse le condizioni relative al consenso:
• diritti degli interessati;
• trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale ;
• l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo
GRAZIE PER L’ATTENZIONE...