smau padova 2016 - assintel regolamento europeo
TRANSCRIPT
Il nuovo Regolamento Generale
sulla Protezione dei Dati PersonaliCosa cambia nella Privacy e cosa fare nei prossimi due anni?
A cura del Gruppo di Lavoro Assintel
Sicurezza Informatica
Paola Generali
Managing Director Get Solution
© GETSOLUTION
Profilo Paola Generali
Dopo la laurea in Scienze Bancarie Finanziarie ed Assicurative all’università Cattolica di Milano, inizia a lavorare per un importante società di consulenza del settore ICT occupandosi di compliance e sicurezza dei sistemi informativi, svolgendo prima e gestendo poi numerosi progetti in tale ambito.Successivamente diviene, per un altra importante società di consulenza, responsabile della divisione “Information security” gestendo progetti complessi per aziende sia italiane che internazionali.Nel 2003 fonda GetSolution società di consulenza specializzata nell’ambito della “Compliance, sicurezza dei sistemi informativi e governance”.E’ membro del:• Gruppo di Lavoro Sicurezza Informatica di Assintel.• Gruppo di lavoro di UNINFO “Serie ISO/IEC 27000″ sull’Information Security Management
System. • Gruppo di lavoro “Profili professionali relativi alla Privacy” della UNI/CT 526 “UNINFO APNR”
partecipando attivamente all’Editing Commitee delle relative norme.
Da circa 15 anni svolge attività di docenza sia presso istituiti di formazione internazionali che in master univesitari.
© GETSOLUTION
Presentazione
GETSOLUTION è una società di consulenza specializzata nell’ambito della compliance, della sicurezza dei sistemi informativi e della governance aziendale .GETSOLUTION si occupa di Privacy Law e di Sicurezza dei Sistemi Informativi da più di un decennio, svolgendo progetti molto complessi presso clienti di medie e grandi dimensioni sia italiani che internazionali.Abbiamo una grande esperienza sia in Italia che a livello inter nazionale : ci occupiamo di tematiche complesse quali i Big Data, Profilazione, Anonimizzazione, Pseudoni mizzazione, Dati Aggregati, Dati Biometrici, Dati Genetici, Trattamento di dati Particolari su larga scala (gli attuali dati sensibili) affrontando quotidianamente problematiche estremamente sfidanti ma ovviamente molto stimolanti.GETSOLUTION collabora con i propri clienti per supportarli su tutti gli aspetti che riguardano la compliance, la sicurezza dei sistemi informativi, la governance e la formazione relativa agli adempimenti. Tutto questo viene svolto con grande attenzione alla responsabilità sociale d’impresa,in quanto insieme vogliamo dare un valido contributo alla società nella quale viviamo.Per maggiori informazioni www.getsolution.it
© GETSOLUTION
Nel 2012 la Commissione Europea ha proposto una Riforma in materia di protezione dei dati personali . La riforma comprende due proposte legislative:
REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERS ONALI(General Data Protection Regulation - GDPR)
Ha l’obiettivo di fortificare i diritti delle persone fisiche in merito alla protezione dei propri dati personali e unificare la Normativa all’interno di tutta l’Unione Europea, sostituendo le diverse leggi nazionali presenti nei diversi Paesi Membri.Il Regolamento abrogherà la Direttiva 95/46/CE, recepita dall’attuale D.lgs. 196/2003 (c.d. Codice Privacy).
REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERS ONALI(General Data Protection Regulation - GDPR)
Ha l’obiettivo di fortificare i diritti delle persone fisiche in merito alla protezione dei propri dati personali e unificare la Normativa all’interno di tutta l’Unione Europea, sostituendo le diverse leggi nazionali presenti nei diversi Paesi Membri.Il Regolamento abrogherà la Direttiva 95/46/CE, recepita dall’attuale D.lgs. 196/2003 (c.d. Codice Privacy).
DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALIDisciplina il trattamento dei dati effettuato dalla Polizia e dalle Autorità giudiziarie penali ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o esecuzione delle sanzioni penali.
DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALIDisciplina il trattamento dei dati effettuato dalla Polizia e dalle Autorità giudiziarie penali ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o esecuzione delle sanzioni penali.
Riforma in materia di protezione dei dati© GETSOLUTION
Approvazione ufficiale del Parlamento:
Marzo 2016 (ipotesi)
Entrata in vigore:
dal ventesimo giorno successivo alla pubblicazione
nella Gazzetta ufficiale
Effettiva applicazione:
a decorrere da due anni da tale data.
Regolamento Europeo sulla protezione dei dati
Direttiva Europea sulla protezione dei dati
Approvazione ufficiale del Parlamento:
Marzo 2016 (ipotesi)
Entrata in vigore:
entro due anni dalla pubblicazione nella Gazzetta
Ufficiale
Effettiva applicazione:
La Direttiva deve essere RECEPITA dagli Stati Membri
entro due anni
Entrata in vigore e Recepimento© GETSOLUTION
Nonostante il Regolamento generale non sarà da recepire con normative nazionali, ci saranno diversi aspetti che dovranno essere disciplinati dall’Autorità Garante nazionale, così come vedremo in alcuni casi più avanti.
In particolar modo, il Garante si dovrà esprimere per ognuno dei Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi valutandone la conformità rispetto al Regolamento, modificandoli o annullandoli.
Nonostante il Regolamento generale non sarà da recepire con normative nazionali, ci saranno diversi aspetti che dovranno essere disciplinati dall’Autorità Garante nazionale, così come vedremo in alcuni casi più avanti.
In particolar modo, il Garante si dovrà esprimere per ognuno dei Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi valutandone la conformità rispetto al Regolamento, modificandoli o annullandoli.
Entrata in vigore e Recepimento© GETSOLUTION
Regolamento Generale sulla Data Protection© GETSOLUTION
L’implementazione delle
misure a tutela dei dati
personali avviene quando il
Titolare avvia un
trattamento o decide di
avvalersi di un nuovo
sistema.
Il Regolamento introduce il principio di
protezione dei dati personali già in
fase di progettazione (by Design) per
qualsiasi tipo di progetto che comporti
l’utilizzo di dati personali (sito internet,
software, soluzione IT, ambiente di
lavoro, etc.).
Regolamento
Codice
Privacy
Privacy By Design (Art. 23)© GETSOLUTION
Il D.lgs. 196/2003 stabilisce il
“principio di necessità nel
trattamento dei dati”,
imponendo la configurazione dei
sistemi e dei programmi in modo
da ridurre al minimo l’utilizzo di
dati personali e identificativi,
soprattutto se le finalità
consentono un trattamento di
dati anonimi o permettono di
identificare l'interessato solo in
caso di necessità.
Il Regolamento impone che il Controller
adotti opportune misure per garantire che
siano trattati di default solo i dati personali
necessari in ogni fase del trattamento:
dalla raccolta alla cancellazione dei dati e non
soltanto durante l’elaborazione.
RegolamentoCodice Privacy
Privacy By Default (Art. 23)© GETSOLUTION
Politiche interne e misure adeguate che soddisfino i principi di protezione dei dati fin dalla progettazione e di default:
Minimizzazione dei dati personali già in fase di raccolta;
Pseudonimizzazione dei dati personali;
Sistemi già predisposti alla cancellazione dei dati dopo il termine stabilito;
Accesso ai dati consentito solo per soggetti autorizzati al trattamento;
Trasparenza nei confronti dei soggetti interessati con informative chiare;
Modalità facili e veloci per consentire all’utente di avere accesso ai dati personali e controllare o modificare le condizioni del trattamento;
Il principio di privacy by design e by default dovrebbe essere rispettato anche dai
fornitori in fase di sviluppo di sistemi, prodotti o servizi.
Privacy By Design e By Default (Art. 23)© GETSOLUTION
Codice Privacy Regolamento Generale
� si applica al trattamento di dati
personali, anche conservati
all'Estero, svolto da soggetti stabiliti
nello Stato Italiano.
� si applica al trattamento di dati
personali effettuato da soggetti non
stabiliti nel territorio Italiano ma che
si avvalgono di strumenti situati nel
territorio dello Stato, a meno che
essi siano utilizzati solo ai fini di
transito.
� si applica al trattamento dei dati personali
effettuato nell’ambito delle attività di un soggetto
stabilito nell’Unione.
� si applica al trattamento dei dati personali di
cittadini europei effettuato da un soggetto che
non è stabilito nell’Unione, indipendentemente
dalla forma giuridica assunta (succursale, filiale,
etc.), quando riguarda:
l'offerta di beni o la prestazione di servizi
(anche a titolo gratuito);
il controllo del comportamento dei cittadini
nell'Unione europea.
Ambiti territoriali di applicazione (Art. 3)© GETSOLUTION
Definizione Codice Privacy Definizione Regolamento
Dato personale: qualunque
informazione relativa a persona
fisica, identificata o identificabile,
anche indirettamente, mediante
riferimento a qualsiasi altra
informazione, ivi compreso un
numero di identificazione
personale;
Dati identificativi: i dati personali
che permettono l'identificazione
diretta dell'interessato
Dati personali: qualsiasi informazione
concernente una persona fisica
identificata o identificabile
("interessato"), direttamente o
indirettamente:
�il nome
�un numero di identificazione
�dati relativi all’ubicazione
�un identificativo online
�uno o più elementi caratteristici
dell’identità (fisica, fisiologica,
genetica, psichica, economica, etc.).
Dati Personali (Art. 4)© GETSOLUTION
Per stabilire se un soggetto può essere identificato è necessario
considerare i mezzi di cui può ragionevolmente avvalersi il Data
Controller, i costi e il tempo necessario per l'identificazione,
tenendo conto sia delle tecnologie disponibili al momento del
trattamento, sia dello sviluppo tecnologico.
Dati personali© GETSOLUTION
Dati Genetici
Tutti i dati personali riguardanti le
caratteristiche genetiche di una persona
fisica, ereditarie o acquisite, che forniscono
informazioni uniche sulla fisionomia o sulla
salute dell'individuo considerato, ottenuti in
particolare dall'analisi di un campione
biologico della persona in questione.
Atre tipologie di dati personali la cui definizione è stata introdotta ufficialmente dal
Regolamento:
Nuove categorie di Dati Personali (Art. 4)© GETSOLUTION
Dati Biometrici
I dati personali ottenuti da un
trattamento tecnico specifico, relativi alle
caratteristiche fisiche, fisiologiche o
comportamentali di una persona, che ne
consentono o confermano
l’identificazione univoca, quali l’immagine
facciale o i rilievi dattiloscopici;
Atre tipologie di dati personali la cui definizione è stata introdotta ufficialmente dal
Regolamento:
Nuove categorie di Dati Personali (Art. 4)© GETSOLUTION
Dati relativi alla salute
I dati attinenti alla salute fisica o mentale di una persona, inclusa la prestazione
di servizi sanitari, che rivelano informazioni relative al suo stato di salute:
� informazioni sulle richieste di prestazione di servizi sanitari;
� un numero, simbolo o elemento specifico attribuito per identificare
l’interessato in modo univoco a fini sanitari;
� le informazioni risultanti da esami e controlli effettuati su una parte del
corpo o una sostanza organica, compresi i dati genetici e i campioni biologici;
�qualsiasi informazione riguardante una malattia, l’invalidità, il rischio di
malattie;
� l’anamnesi medica;
� i trattamenti clinici;
� l’effettivo stato fisiologico o biomedico.
Nuove categorie di Dati Personali (Art. 4)© GETSOLUTION
Definizione Codice Privacy Definizione Regolamento
Non esiste una definizione di dato
pseudo-anonimo o di
pseudonimizzazione dei dati.
E’ presente solo l’individuazione
del "dato anonimo": il dato che in
origine, o a seguito di trattamento,
non può essere associato ad un
interessato identificato o
identificabile.
Pseudonimizzazione: il trattamento dei dati
personali in modo tale che i dati non possano
essere più attribuiti ad un interessato specifico
senza l'utilizzo di informazioni aggiuntive,
sempre che tali informazioni aggiuntive siano
conservate separatamente e soggette a misure
tecniche e organizzative intese a garantire la
non attribuzione a una persona identificata o
identificabile.
Come per il Codice Privacy, il Regolamento non
si applica al trattamento di informazioni
anonime.
Nuove categorie di Dati Personali (Art. 4)© GETSOLUTION
L'applicazione della pseudonimizzazione ai dati personali è una
garanzia aggiuntiva volta a ridurre i rischi connessi al
trattamento di dati personali.
Tale tecnica non deve essere considerata come un’alternativa
ad altre misure di protezione dei dati.
Pseudonimizzazione© GETSOLUTION
Definizione Codice Privacy Definizione Regolamento
Dati Sensibili: i dati personali
idonei a rivelare l'origine razziale
ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le
opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale,
nonché i dati personali idonei a
rivelare lo stato di salute e la vita
sessuale.
Il Regolamento individua delle categorie di dati
personali che rientrano nella definizione di
“Particolari”:
�I dati personali che rivelano l’origine razziale
o etnica;
� le opinioni politiche;
� le convinzioni religiose o filosofiche;
� l’appartenenza sindacale;
� i dati genetici;
� i dati relativi alla salute;
� i dati relativi alla vita sessuale.
Categorie Particolari di Dati Personali (Art. 9)© GETSOLUTION
Il Regolamento vieta il trattamento di categorie particolari di dati personali, ad eccezione dei seguenti casi, alcuni dei quali non erano previsti dal Codice Privacy:
�previo consenso esplicito al trattamento;
�nell’ambito delle legittime attività da parte di una fondazione, associazione o altro
organismo senza scopo di lucro;
�per salvaguardare un interesse vitale;
�per accertare, esercitare o difendere un diritto in sede giudiziaria;
�per motivi di interesse pubblico;
�per finalità di archiviazione,storiche, statistiche o scientifiche nel pubblico interesse;
�per dati personali resi manifestamente pubblici dall’interessato (laddove il
trattamento sia effettuato nell'interesse dell'interessato);
�in materia di diritto del lavoro, sicurezza e protezione sociale;
�per finalità di prevenzione diagnosi, assistenza o terapia medico-sanitaria o di
medicina del lavoro (se da parte o sotto la responsabilità di un professionista soggetto al
segreto professionale).
Categorie Particolari di Dati Personali (Art. 9)© GETSOLUTION
Gli Stati membri possono mantenere o introdurre disposizioni
più specifiche per quanto riguarda i dati genetici o i dati relativi
alla salute. Ciò comprende la possibilità per gli Stati membri di
introdurre ulteriori condizioni per il trattamento di tali dati.
Categorie Particolari di Dati Personali (Art. 9)© GETSOLUTION
Codice Privacy Regolamento Definizione
Titolare del
trattamentoData Controller
Soggetto che determina le
finalità e i mezzi del trattamento di
dati personali
Data Controller (Art. 4)© GETSOLUTION
Il Data Controller è tenuto a:
� Implementare opportune misure di sicurezza
Tali misure devono tener conto della natura, dell'oggetto, del contesto e delle finalità
del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
� Dimostrare la conformità delle operazioni di trattamento rispetto ai principi sanciti
dal Regolamento, ad esempio tramite:
• misure tecniche e organizzative • adeguate politiche in materia di
protezione dei dati
• protezione dei dati dalla progettazione e di default
• registro delle categorie di attività di trattamento (per taluni casi è un obbligo)
• adesione a codici di condotta approvati• adesione a un meccanismo di
certificazione approvato
Obblighi del Data Controller (Art. 22)© GETSOLUTION
Codice Privacy Regolamento Generale
Nei confronti dei soggetti
interessati il Titolare del
trattamento è responsabile
per eventuali danni cagionati
in base a quanto stabilisce
l'articolo 2050 del Codice
Civile.
Il Regolamento stabilisce che il soggetto interessato può
richiedere al Data Controller il risarcimento dei danni
subiti da un trattamento; in tal caso il Controller è tenuto
a risponderne direttamente e interamente.
Responsabilità del Data Controller (Art. 77)© GETSOLUTION
Codice Privacy Regolamento Definizione
Responsabile
del trattamento
interno o
esterno
Data ProcessorSoggetto che elabora dati personali per
conto del Data Controller
I Processor sono scelti dal Controller anche in funzione delle garanzie che offrono per
l’adozione di misure tecniche ed organizzative nel rispetto del Regolamento.
Il trattamento affidato ai Data Processor deve essere regolamentato da un contratto o da
altro atto giuridico a norma che vincoli il Processor al Controller e disciplini tutti gli
aspetti relativi alle operazioni di trattamento (finalità, durata, natura dei dati, misure di
sicurezza, etc.).
Data Processor (Art. 4)© GETSOLUTION
trattare i dati personali eseguendo le istruzioni fornite dal Controller
assicurare che le persone autorizzate a trattare i dati personali si siano impegnate a rispettare vincoli di riservatezza
implementare e mantenere tutte le misure tecniche e organizzative adeguate
assistere il Data Controller per la gestione delle richieste di diritto d’accesso e per gli altri obblighi imposti dal Regolamento
su richiesta del Controller cancellare o restituire i dati personali al termine del trattamento
fornire al Controller qualsiasi informazione necessaria per dimostrare il rispetto del Regolamento
rendersi disponibile a audit di verifica da parte del Data Controller
Obblighi del Data Processor (Art. 26)© GETSOLUTION
Regolamento Generale
•Il Data Processor non può avvalersi di un altro soggetto senza ricevere espressa e
documentata autorizzazione dal Data Controller, il quale ha anche la facoltà di rifiutarsi.
•Nei casi in cui il Processor deleghi in tutto o in parte il trattamento ad un altro Data
Processor è tenuto ad imporre tramite contratto o atto giuridico i medesimi doveri in
materia di protezione dei dati personali che il Controller gli ha prescritto.
•Il Data Processor mantiene la totale responsabilità nei confronti del Controller anche nel
caso in cui l’inadempienza degli obblighi in materia di protezione dei dati derivi dall’altro
Processor.
•Il Data Processor può rispondere per il danno cagionato ad un Interessato se si dimostra
che non ha soddisfatto i propri obblighi previsti dal Regolamento o ha eseguito il
trattamento in contrasto a quanto stabilito dal Data Controller.
Responsabilità del Processor (Artt. 26 e 77) © GETSOLUTION
Codice Privacy Regolamento Definizione
Incaricato del
trattamento
Soggetto che ha
accesso ai dati
personali
Soggetto che accede ai dati personali e
li elabora sotto l’autorità del Data
Controller o Processor.
Qualsiasi persona che agisce sotto l'autorità del Data Controller o Processor, che
ha accesso ai dati personali, può trattarli solo su istruzione del Controller o se è imposto
dalla legge o degli Stati Membri dell'Unione.
Responsabilità del Processor (Artt. 26 e 77) © GETSOLUTION
Codice Privacy Regolamento Definizione
Titolare
autonomo del
trattamento
Joint Controller
Soggetto che determina le
finalità e i mezzi del trattamento di dati
personali congiuntamente con un
Controller
Il Regolamento introduce il principio di “corresponsabilità” quando due o più
soggetti stabiliscono insieme le finalità e le modalità del trattamento dei dati
personali.
Soggetti terzi (Art. 24)© GETSOLUTION
I Joint Controllers devono stabilire mediante un accordo interno:
� le rispettive responsabilità in relazione agli obblighi in materia di protezione
dei dati;
� il soggetto che sarà individuato come punto di contatto unico per l'esercizio
dei diritti degli interessati;
� le modalità per l’espletamento delle richieste di diritto d’accesso ai dati;
� le modalità per fornire un’adeguata informativa agli interessati;
� i rispettivi ed effettivi ruoli dei Joint Controllers, soprattutto nei confronti
degli interessati.
Il contenuto essenziale dell'accordo deve essere reso disponibile agli
Interessati.
Joint controllers (Art. 24)
© GETSOLUTION
• Se il Data Controller è un’Autorità o un Ente pubblico;
Casi in cui deve essere obbligatoriamente nominato un Data Protection Officer
(DPO):
Il Data Controller designa il DPO sulla base delle sue qualità professionali, della
conoscenza specialistica della normativa, delle pratiche in materia di protezione dei
dati e per la capacità di adempiere ai compiti previsti dal Regolamento.
• Se l’attività principale del Controller o del Processor comprende il trattamento di dati che comporta un monitoraggio regolare e sistematico dei soggetti interessati su larga scala;
• se l’attività principale del Controller o del Processor comprende il trattamento su larga scala di dati particolari e dati relativi a condanne penali e reati.
Data Protection Officer (Art. 35)© GETSOLUTION
Il Data Protection Officer ha il dovere e il compito di:
• informare e consigliare i soggetti coinvolti in merito alle attività necessarie volte a garantire la conformità ai requisiti normativi sulla protezione dei dati;
• essere di supporto per la valutazione d'impatto sulla protezione dei dati e monitorare lo svolgimento;
• esercitare un’azione di controllo e vigilanza per ciò che attiene l'osservanza del Regolamento (politiche interne, attribuzione delle responsabilità, formazione del personale che concorre ai trattamenti, etc.);
• essere un punto di contatto per i soggetti interessati, le Autorità di controllo esterne e le funzioni operative e di controllo interne.
Data Protection Officer (Art. 35)© GETSOLUTION
Il Regolamento Generale sulla Protezione dei Dati incentiva l'istituzione di
meccanismi di certificazione finalizzati a riconoscere ufficialmente le
garanzie e le conoscenze in materia di protezione dei dati dei soggetti
esperti professionisti, dei Controller e dei Processor.
Ad oggi non esiste uno schema di riferimento che definisca profili
professionali certificabili in materia di Data Protection.
In previsione dell’entrata in vigore del Regolamento, si sta già lavorando
alla concreta stesura delle norme di certificazione delle diverse figure
professionali, tra cui naturalmente anche il Data Privacy Officer ma non
solo, che poi dovranno essere approvate da UNI/UNINFO e solo in seguito
a questa approvazione diverranno gli unici profili professionali verso cui
potrà essere possibile conseguire delle certificazioni valide.
Certificazione Professionali (Art. 39)
© GETSOLUTION
Diritto di ottenere la conferma del trattamento
Diritto di avere accesso ai dati e alle informazioni inerenti il trattamento
Diritto di rettifica
Diritto alla cancellazione
Diritto di limitazione di trattamento solo per determinate finalità o operazioni di trattamento
Diritto di opposizione ad uno o più trattamenti
Diritto all’oblio
Diritto alla portabilità
Co
dic
e P
riv
acy
Re
go
lam
en
toR
eg
ola
me
nto
Diritti degli Interessati (Artt. dal 15 al 19)© GETSOLUTION
Gli Stati Membri possono decidere di limitare, mediante misure
legislative, la portata dei Diritti dei soggetti Interessati, qualora
tale limitazione costituisca una misura necessaria per
salvaguardare, ad esempio, la sicurezza e la difesa nazionale, la
prevenzione, l'indagine, l'accertamento o il perseguimento di
reati, ecc.
Diritti degli Interessati© GETSOLUTION
Su richiesta dell’interessato, il Data Controller deve provvedere a cancellare i dati
personali e, se sono stati resi pubblici, a comunicare tale volontà anche agli altri
Controller che stanno utilizzando tali dati; questi ultimi devono a loro volta
cancellare qualsiasi link, copia o riproduzione dei dati personali.
Il Controller dovrebbe preventivamente attuare possibili misure tecniche e
organizzative per tale gestione, tenendo in considerazione la tecnologia disponibile
e i costi di attuazione.
Il diritto all’oblio non è applicabile se in contrasto a:
�l'esercizio del diritto alla libertà di espressione e di informazione
�l'adempimento di un obbligo legale
�motivi e finalità di pubblico interesse
�l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Diritto all’oblio (Art. 17)© GETSOLUTION
Un nuovo diritto riconosciuto all’interessato è il diritto alla portabilità dei dati,
ovvero la possibilità di:
Ciò può avvenire quando:
�il trattamento si basa sul consenso;
�il trattamento si basa su un contratto;
�il trattamento è effettuato mediante sistemi automatizzati;
ricevere in formato strutturato, di uso comune e leggibile digitalmente i propri
dati personali in possesso del Data Controller;
richiedere al Controller il trasferimento dei propri dati personali ad un altro
Controller, anche direttamente ove sia tecnicamente consentito.
Diritto alla portabilità (Art. 18)© GETSOLUTION
Qui di seguito sono indicati gli elementi essenziali che il Regolamento impone per un’idonea
Informativa, evidenziando le novità rispetto al Codice Privacy:
� l’identità e i dati di contatto del Data Controller e, se designato, del DPO;
� le finalità del trattamento;
� se il trattamento si basa su legittimi interessi perseguiti dal Controller;
� i destinatari dei dati o le categorie di destinatari;
� se è previsto un trasferimento di dati all’Estero e le garanzie esistenti a tutela dei dati
trasferiti;
� il periodo temporale previsto per la conservazione dei dati o il criterio per determinarlo;
� i diritti riconosciuti ai soggetti interessati;
� la possibilità di revocare il consenso in qualsiasi momento;
� il diritto di proporre reclamo ad un'autorità di controllo;
� l’indicazione se la comunicazione di dati personali è un obbligo legale o è necessario per la
conclusione di un contratto;
�se l'interessato ha l'obbligo di fornire i dati e le possibili conseguenze di un rifiuto;
�se l’interessato sarà oggetto di attività di profilazione.
Informativa (Art. 14)© GETSOLUTION
Se i dati personali non sono conferiti direttamente dall’interessato, il Data
Controller deve fornire anche le seguenti informazioni aggiuntive:
� le categorie di dati personali trattati;
� la fonte dalla quale derivano i dati personali e se tale fonte è accessibile al
pubblico.
Il Regolamento consiglia di rendere l’informativa
accompagnata da icone standardizzate per renderla più
visibile, comprensibile e chiara ai soggetti interessati.
Informativa (Art. 14) © GETSOLUTION
Codice Privacy Regolamento Generale
Per essere considerato valido il
consenso deve avere le seguenti
caratteristiche:
�essere espresso
�libero
�specifico
�informato
�documentato
�manifestato in forma scritta quando
il trattamento riguarda dati sensibili.
Il consenso dell’interessato è una qualsiasi
manifestazione di volontà al trattamento
dell’interessato e deve essere:
�inequivocabile
�libero
�specifico
�informato
�espresso mediante dichiarazione o chiara
azione positiva.
Il Controller deve essere in grado di dimostrare
che il soggetto interessato ha conferito il proprio
consenso.
Consenso (Art. 7)© GETSOLUTION
© GETSOLUTION
Il Regolamento impone una maggiore protezione per i bambini, in quanto
potrebbero essere meno consapevoli dei rischi, delle conseguenze e dei loro
diritti in relazione al trattamento dei dati personali.
Se il Data Controller intende fornire servizi della società dell’informazione ai
minori è tenuto, infatti, a raccogliere il consenso del genitore o del tutore,
adoperandosi per quanto possibile per verificarne l’ autenticità.
Gli Stati Membri devono stabilire la soglia di età per i minori tra i 13 e i 16
anni.
Consenso per i Minori (Art. 8)© GETSOLUTION
Nel caso in cui si verifichi una violazione dei dati personali
che possa in qualche modo tradursi in un rischio per i diritti e le
libertà degli individui, qualsiasi Data Controller ha l’obbligo
normativo di notificare l’avvenimento all’Autorità di controllo.
La notifica deve avvenire senza ingiustificato ritardo, con un limite
massimo di 72 ore. Oltre le 72 ore, il Controller deve comunicare
all’Autorità il motivo valido che giustifichi il ritardo della notifica.
Obbligo di notifica di una violazione dei dati all’Autorità Garante e
ai contraenti soltanto in capo ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico.
Codice Privacy
Regolamento
Data Breach (Art. 31)© GETSOLUTION
Il Data Controller è tenuto anche ad informare gli interessati tempestivamente se la violazione
può comportare una grave ed elevata compromissione dei loro diritti e delle libertà:
Danni fisici, materiali o morali
Danno economico o sociale
Perdita del controllo dei dati
Limitazione dei diritti
DiscriminazioneFurto o usurpazione
d'identitàPerdite finanziarie
Decifratura non autorizzata della
pseudonimizzazione
Pregiudizio alla reputazione
Perdita di riservatezza dei dati protetti da segreto
professionale
Data Breach (Art. 32)© GETSOLUTION
Contromisure necessarie per la gestione di una violazione e per limitarne gli effetti:
misure tecniche che riconoscano all'istante la violazione e allertino prontamente il Controller o il Processor;
sensibilizzazione dei Data Processor e dei soggetti autorizzati al trattamento, anche tramite adeguate policy, affinché si possa agire correttamente e tempestivamente in caso di data breach;
misure atte a rendere non intellegibili e criptati i dati oggetto di violazione per chiunque non sia autorizzato ad accedervi;
mezzi adeguati per l’invio della comunicazione ai soggetti interessati quando dovuto, tenendo in considerazione che la violazione potrebbe anche compromettere i dati presenti a sistema;
Data Breach (Art. 31)© GETSOLUTION
Non è necessaria la comunicazione ai soggetti interessati se il Data
Controller ha applicato le opportune misure tecnologiche e
organizzative preventive (esempio crittografia dei dati) o è stato in
grado di evitare tempestivamente il verificarsi di rischi elevati.
Data Breach (Art. 32)© GETSOLUTION
Codice Privacy Regolamento Generale
L’art. 19.3 dell’Allegato B del
Codice Privacy (Disciplinare
tecnico in materia di misure
minime di sicurezza), che
prevedeva l'analisi dei rischi
che incombono sui dati, è
stato soppresso dal Decreto
legge del 9 febbraio 2012.
Il Regolamento introduce l’obbligo di effettuare
una valutazione di impatto (Data Protection
Impact Assessment) quando il trattamento può
comportare un elevato rischio per i diritti e le
libertà degli individui, soprattutto se effettuato
mediante nuove tecnologie.
Analisi dei Rischi© GETSOLUTION
“Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,
considerati la natura, il campo di applicazione, il contesto e le finalità del trattamento,
può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il
responsabile del trattamento effettua, prima di procedere al trattamento, una
valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.
Elementi da valutare:
•la natura dei dati e del
trattamento
•il campo di applicazione
•il contesto
•le finalità del trattamento
Quando è obbligatoria:
•Il trattamento prevede l’uso
di nuove tecnologie
•Il trattamento presenta
rischi per i diritti e le libertà
delle persone fisiche
Analisi dei Rischi (Art. 33)© GETSOLUTION
Il Data Protection Impact Assessment è finalizzato ad analizzare e ridurre i rischi che
impattano sulle libertà e i diritti degli Interessati.
Il Regolamento individua, in particolare, i seguenti casi in cui è sempre e indubbiamente
obbligatoria l’analisi dei rischi:
valutazione sistematica ed estesa di aspetti della personalità dei soggetti interessati tramite processi automatizzati, tra cui la profilazione, e da cui derivano decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati;
il trattamento su larga scala di categorie particolari di dati personali, o di dati relativi a condanne penali e reati;
il controllo sistematico di zone accessibili al pubblico su larga scala.
Analisi dei Rischi (Art. 33)© GETSOLUTION
Le autorità di controllo dei singoli Stati sono tenuti a stabilire e
rendere pubblico un elenco delle tipologie di operazioni di
trattamento soggette al requisito di una valutazione d'impatto
sulla protezione dei dati e per le quali non è richiesta una
valutazione d'impatto sulla protezione dei dati.
Analisi dei Rischi (Art. 33)© GETSOLUTION
Obiettivo di un Data Protecion Impact Assessment:
determinare la tipologia, la probabilità e la gravità dei rischi, derivanti dalle operazioni di trattamento dei dati personali.
provvedere a limitare i rischi adeguando il livello di sicurezza, tenendo conto della tecnologia disponibile e dei costi di attuazione.
Fattori per la determinazione dei rischi: natura dei dati oggetto del
trattamento
contesto
finalitàorigine del
rischio
misure per ridurre il rischio
Analisi dei Rischi (Art. 33)© GETSOLUTION
la perdita l’alterazione
l’accesso non autorizzato
l’utilizzo non consentito
Principali rischi per i
diritti e le libertà delle
persone fisiche:
il pregiudizio e la
discriminazione
il furto di identità
l’invasività nella sfera privata
le perdite finanziarie
la perdita di riservatezza dei
dati protetti
il danno fisico, materiale o
morale
Principali rischi per la
sicurezza dei dati
personali:
Codice Privacy
Regolamento
Regolamento
Analisi dei Rischi (Art. 33)
Obbligo di adottare misure tecniche ed
organizzative ADEGUATE al
trattamento e ai rischi.
Obbligo di misure di sicurezza MINIME.
Codice Privacy Regolamento
Contromisure (Art. 30)© GETSOLUTION
Il Regolamento introduce l’obbligo di attuare misure di sicurezza ADEGUATE in considerazione dei seguenti elementi:
lo stato dell'arte e i costi di attuazione;
la natura e il campo di applicazione del trattamento;
il contesto e le finalità del trattamento;
il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone.
Il Regolamento introduce l’obbligo di attuare misure di sicurezza ADEGUATE in considerazione dei seguenti elementi:
lo stato dell'arte e i costi di attuazione;
la natura e il campo di applicazione del trattamento;
il contesto e le finalità del trattamento;
il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone.
Misure tecniche e organizzative (Art. 30)© GETSOLUTION
Il Data Controller è tenuto a mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza ADEGUATO AL RISCHIO.
Per implementare le contromisure necessarie è imprescindibile aver prima individuato e analizzato i
rischi al fine di poterli ridurre.
RISK
ANALYSIS
Misure tecniche e organizzative (Art. 30)© GETSOLUTION
La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:
Pseudonimizzazione o crittografia dei dati;
Garanzie di riservatezza, integrità, disponibilità e recupero dei dati personali e dei sistemi che li custodiscono e li elaborano;
Accesso tempestivo ai dati in caso di un evento dannoso fisico o tecnico;
Processi di verifica periodica dell’efficacia ed effettiva applicazione delle misure di sicurezza in atto.
Misure tecniche e organizzative© GETSOLUTION
Raggiungere gli obiettivi di
sicurezza adeguati per i dati trattati
Dimostrare la conformità
delle operazioni di trattamento
effettuate
Applicare correttamente le disposizione
del Regolamento
Il Regolamento promuove l’elaborazione di nuovi standard di sicurezza, quali codici di
condotta o certificazioni in materia di protezione dei dati, approvati ufficialmente
dall’Autorità di controllo, al fine di permettere ai Data Controller e ai Data Processor di:
Codici di Condotta e Certificazioni (Artt. 38–39)
© GETSOLUTION
Strumenti quali Codici di Condotta e Certificazioni applicati dai Data controller o Data
Processor possono essere istituiti al fine di dimostrare l’impegno vincolante ad applicare
adeguate garanzie per il trattamento dei dati personali effettuato nel rispetto del
Regolamento.
L’adesione a tali strumenti è volontaria e non riduce la responsabilità del Data controller
o Data Processor riguardo alla conformità al Regolamento, ma può essere utilizzata
come elemento per comprovare il rispetto degli obblighi in caso di accertamento o nei
confronti dei soggetti interessati.
Codici di Condotta e Certificazioni (Artt. 38–39)© GETSOLUTION
Chiunque subisca un danno materiale o immateriale cagionato da una violazione del
presente regolamento ha il diritto di ottenere il risarcimento del danno dal Data controller o
dal Data processor.
Il Data Controller è tenuto a risponderne direttamente e interamente. Il Data Processor può
rispondere per il danno cagionato ad un Interessato se si dimostra che non ha soddisfatto i
propri obblighi previsti dal Regolamento o ha eseguito il trattamento in contrasto a quanto
stabilito dal Data Controller.
I soggetti sono esonerati dall’obbligo di risarcimento soltanto se sono in grado di dimostrare
che l’evento dannoso subìto dall’interessato non è in alcun modo loro imputabile.
Il Data Controller che ha pagato l'intero risarcimento del danno, qualora ne sussistano le
condizioni, ha il diritto di reclamare dagli altri Data Controller o Processor coinvolti nel
trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il
danno cagionato.
Risarcimento del danno (Art. 77)© GETSOLUTION
Sono previste sanzioni penali per gravi illeciti che comportano la reclusione fino ad un
massimo di 3 anni.
Le sanzioni possono essere aumentate fino al quadruplo in ragione delle condizioni
economiche del contravventore.
In casi di maggiore gravità o sono coinvolti numerosi interessati, le sanzioni possono essere applicate in misura pari al doppio.
Sanzioni amministrative che variano da un
minimo di 6.000 Euro ad un massimo di 120.000 Euro.
Le sanzioni penali dovranno essere eventualmente stabilite da ciascuno Stato
Membro sulla base della propria legislazione.
Per violazioni più rilevanti, la sanzione può raggiungere 20.000.000 Euro o il 4% del
fatturato mondiale totale annuo
Per alcune violazioni la sanzione può arrivare fino ad un massimo di 10.000.000 Euro o al
2% del fatturato mondiale totale annuo
Elementi e condizioni generali per valutare l’applicazione delle sanzioni in caso di
violazione.
Codice Privacy Regolamento
Sanzioni (Art. 79) © GETSOLUTION
Sanzione fino ad un massimo di 10.000.000 Euro o al 2% del fatturato mondiale totale annuo,
per la violazione degli articoli che regolamentano i seguenti aspetti:
•Consenso per il trattamento di minori
•Trattamento di dati personali che identificano il soggetto anche quando non è necessario
•Protezione dei dati fin dalla progettazione e di default
•Corresponsabili del trattamento
•Rappresentante del Data processor nel territorio UE
•Data processor
•Registri delle attività di trattamento
•Cooperazione con l'autorità di controllo
•Sicurezza del trattamento
•Data breach
•Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
•Data Protection Officer
•Violazione dei meccanismi di certificazione
Sanzioni (Art. 79) © GETSOLUTION
Sanzione fino ad un massimo di 20.000.000 Euro o al 4% del fatturato mondiale totale
annuo, per la violazione degli articoli che riguardano i seguenti aspetti:
•Violazione dei principi
•Liceità del trattamento
•Consenso al trattamento
•Trattamento di categorie particolari di dati
•Esercizio diritti degli interessati
•Informativa
•Trasferimento dati all’Estero
Sanzioni (Art. 79) © GETSOLUTION
Dott.ssa Paola GeneraliManaging [email protected]: +39 335 5366986
Via Ippolito Rosellini n. 1220124 Milano Italy
Tel: + 39 (0)2 39661701Fax: + 39 (0)2 39661800
PER INFORMAZIONI© GETSOLUTION