5年生の国語教科書紹介本のリスト · 5年生の国語教科書紹介本のリスト 凡 例 1.日本の絵本、外国の絵本、日本の物語、外国の物語、日本の昔話、外国
GDPR EUの実態と我が国への影響...本日のスケジュール •はじめに...
Transcript of GDPR EUの実態と我が国への影響...本日のスケジュール •はじめに...
GDPR EUの実態と我が国への影響Luca Tufarelli 弁護士Dott. Carlo A.M.Corazzini牧 野 二 郎 弁護士
本日のスケジュール• はじめに 本日の講演の趣旨説明 牧野二郎弁護士• 日本から見たGDPRと、日本への影響 同 30分
• GDPRの概要とEUの実態について Luca Tufarelli弁護士 60分Dott. Carlo A.M.Corazzini
• 質疑応答 ディスカッション 30分牧野二郎弁護士Luca Tufarelli弁護士Dott. Carlo A.M.Corazzini森 悟史 弁護士牧野 剛 弁護士
本日の講演の趣旨• EUの新しい規制の理解促進1 GDPRをEU本場の弁護士から説明いただくことは、英語版の日本語翻訳を読み解くのとは異なる、より深い理解を促進できると考えました。
2 特にEUの企業が実際にどの様に対応しているのか、を見るのは我々日本の企業、組織にとっても貴重なものとなります。
3 また、GEPRの疑問なども解明できるものと思います。
以上の趣旨から、EU(イタリア)の弁護士であるLuca Tuffarelli氏による講演を企画しました。
第1 EU発 GDPR対応• GDPRとはなにかGeneral Data Protection Reguration 一般データ保護規則1995年EUデータ保護指令 の改正法(規則) 加盟国へ直接適用2002年eプライバシー指令 の改正規則 eプライバシー規則審議中
域内の自由移動を保証
域外移転を厳しく規制=保護措置を要求
EU/米 プライバシーシールド衝突
米国企業も次々とGDPR準拠へカリフォルニア州もGDPR類似制度を法制化 4
• GDPRの目的とは何か規制強化と規制緩和
加盟国内の個人データの流通の自由の保障・徹底利用による加盟国競争力の強化が狙い。他方でEU域外の諸外国に対しては、EU域内の情報活用するには十分な保護疎措置(SCC、BCR、明確な合意)を要求
IOT、ビックデータへの対応を標榜EU(EEA)は、すでに共同体内でのデータ自由移動を前提に、データの信頼性確保のための法規制(e-Idas規則)を完備し、データの活用を強力に推進している。
Electronic Identification and Trust Services Regulation(eIDAS規則910/2014/EC)トラストサービス(加盟各国の認証制度の統一、標準化、信頼性確保)の確立
• 世界への影響はあるのかEUの勝手な規則だとして、無視していればいいのか?1995年指令の時どうだったか?
世界がこれを標準として足並みそろえてきた事実があるすでに米国はいち早くプライバシーシールドで準拠を初め、カリフォルニア州も準拠方向
米国企業(Facebook、Googleなど)も、順次対応強化
1 EUの新しい規制 GDPRの狙い
5
2 我が国の個人情報保護法とGDPR他• 2017年5月30日改正個人情報保護法全面施行 EUの十分性認定を得るために大幅改正を実施したが・・・
• しかし、権利保護についてかなりの弱点があるのも事実1 個人データ:GDPR§4(1) 直接的、間接的に識別されうる自然人為関するあらゆる情報とされ、クッキー、IP
アドレスなどが含まれると考えられるなど、我が国の認識よりも広い可能性が指摘されている。e-プライバシー法(通称「EUクッキー法」)にも注意が必要。特に広告宣伝作業、アクセス解析に注意米国 Customer Online Notification for Stopping Edge-provider Network Transgressions:通称CONSENT法案
2 政治的、労働組合、生体データ、健康データ等の取扱禁止 §9 我が国は無制限3 同意条項:同意は明確な意思表示であることが必要
かつ、撤回はいつでも可能。理由は不要で、まったく自由であることを明確にすること。立証義務あり。4 オプトアウト規定(個人情報保護法23条2項)は、同意を前提とする方向性と矛盾しないか。5 削除請求:理由限定せず。クレームとともに停止することが義務付けされた。6 漏えい対応義務化:監督機関への報告 72時間ルール、本人への通知7 ポータビリティの権利保障8 職場における取扱:同意の解釈が厳しい。ガイドラインによる規制。9 強力な制裁:手続き侵害1000万ユーロ、権利侵害2000万ユーロ
現在、我が国の法改正をしないでガイドラインレベルで解決するとして対応中。
6
3 記録、立証• §30 処理活動の記録を保持しなければならない(義務)
記録内容 ・管理者名、共同管理者、代理人、DPO・データ主体関連情報・開示対象者・第三国移転の保護条件の内容・消去までの期間情報(努力義務)・技術的及び組織的案保護措置の概要
監督機関が確認できる状態にしておくこと例外 企業規模が250名以下の場合で、特別なデータ取扱をしない場合
• §7 同意による場合は、同意があることを証明できること
7
4 第三国の取るべき保護措置とは保護措置とは
1 SCC(標準契約条項)の遵守合意
2 BCR(企業拘束規則)3 明確な本人同意4 認証制度の遵守
など
域外移転に対する厳しい規制=移転情報一切の保護
(§3の適用との関係に注意)
8
5 日本への影響、何をなすべきか何をなすべきか
(1)まずは、情報の棚卸し、情報の集約どの様な情報が保有されているか権利行使対応のための一元化
(2)保有情報評価必要最小限か、センシティブ情報か同意の有無、同意の記録の有無
(3)体制整備開示請求対応、ポータビリティ対応などの実施
(4)記録システムの再検討監督機関への報告、DPIAの実施
(5)DPO,代理人選任等の手続き
9
6 GDPR「十分性認定で安心」との誤解• 十分性認定とは 欧州委員会が、その国の制度がEUのレベルと同等か、それに近いものとして、安全な取扱ができると判断すること。
• 十分性認定で変化すること域外移転に関して、所定の保護措置をとる必要がなくなる。域外移転に先立つSCC,BCRなどが不要となる。その結果、GDPRの原則(§3 地理的適用範囲)に立ち戻り
1 拠点があればGDPR全面適用2 拠点がない場合には
①EU域内人に対する物品、サービス提供の場合②EU域内でのモニタリング、追尾、監視行為
の場合にGDPR適用となる。サービス提供などを行わない非業務的情報収集(学術系情報収集など)については適用範囲外となる可能性があるが、EU現地の事業者、研究者に対してはGDPRの適用があるので、実態的な変化は存在しない。
• 変化しないこと EU域内の個人データを保持している場合には、各種権利を保護し、監督機関に対応すること。情報漏洩等が起きた場合に、発生の蓋然性を把握した後、監督機関に72時間以内の通報する義務など。
特段に、安心できる材料は、何もないことを認識しなければならない。
10
© 2018 Studio Legale Ristuccia & Tufarelli
[REGOLAMENTO (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati]
GENERAL DATA PROTECTION REGULATION
GDPR
2 di 42
IL NUOVO REGOLAMENTO EUROPEO: UN CAMBIO DI PARADIGMA
© 2018 Studio Legale Ristuccia & Tufarelli
Vecchia Direttiva 95/46/CE
•Obiettivi: assicurare il funzionamento del mercato unico e la protezione dei diritti e le libertà delle persone fisiche indicando quali trattamenti sono possibili e delegando al Garante l’autorizzazione di quelli non previsti.
•Ogni trattamento, salvo casi particolari, presupponeva l’informativa e il consenso dell’interessato
•Necessità di notificare il trattamento all’Autorità Garante (in caso di silenzio, dopo 45 giorni il Titolare poteva procedere al trattamento, salvo diversa successiva determinazione)
•Autorizzazione del Garante preventiva per il trattamento dei dati sensibili e giudiziari rispettando le prescrizioni e le misure adottate sul tema dal Garante (c.d. «prior checking»)
•Incapacità di gestire i fenomeni della big data analisys rischi sottesi alle nuove tecnologie (cookies e altri sistemi di tracciamento seppur anonimi))
1/3
© 2018 Studio Legale Ristuccia & Tufarelli 3 di 42
IL NUOVO REGOLAMENTO EUROPEO: UN CAMBIO DI PARADIGMA 2/3
4 di 42
IL NUOVO REGOLAMENTO EUROPEO: UN CAMBIO DI PARADIGMA
© 2018 Studio Legale Ristuccia & Tufarelli
Regolamento (UE) 2016/679
•Il Regolamento è uno strumento normativo che non necessita di essere implementatodagli Stati membri in quanto «self executing»
•Si passa da una concezione formale a un approccio sostanziale (principio di«accountability») di tutela dei dati personali
•L’approccio del nuovo Regolamento è quello dell’autodeterminazione dei singolideputati al trattamento dei dati
•Obiettivi: assicurare la protezione dei dati delle persone fisiche e le esigenzeimprenditoriali sottese alla libera circolazione dei dati all’interno dell’UE
•Tiene conto delle potenzialità e dei rischi connessi al funzionamento della rete e dellalarga possibilità degli utenti (anche minori) di condividere liberamente e, alle volte,inconsapevolmente, i propri dati personali (es. social network)
•È il Titolare, o il Responsabile, a dover valutare la conformità dei trattamenti allanormativa, seguendo un approccio basato sul rischio (c.d. «Risk Based Approach»)
Con l’introduzione del GDPR e del principio di accountability assistiamo a un radicale cambio di paradigma nell’approccioal trattamento dei dati rispetto alla Direttiva 95/46/CE.
3/3
L’ ATTUALE ASSETTO NORMATIVO
Regolamento (UE) 2016/679 – «GDPR»
© 2018 Studio Legale Ristuccia & Tufarelli
Codice Privacy(Non applicabile ove in contrasto col GDPR)
Provvedimenti del Garante e Autorizzazioni
Schema di decreto per l’adeguamento della normativanazionale al GDPR (abroga o modifica le norme delCodice Privacy in contrasto col GDPR)
Non è più presente il prior checking (art.
17).Non è più necessaria la
notificazione delle operazioni di
trattamento al Garante imposta dall’art. 37 del
Codice Privacy
È in contrasto con il GDPR la procedura
di ricorso al Garantestabilita dal Codice
Privacy. Di conseguenza si
applicheranno gli artt. 77 e ss. del
GDPR (doc. 1 Vol. 2 Deliberazione del
Garante del 31 maggio 2018 [doc.
web 8997237])
Utili indicazioni possono rinvenirsi nella «Guidaall’Applicazione del GDPR» emessa dal Garante italiano in cuisono richiamati i provvedimenti emessi dal Garante nellavigenza della vecchia normativa e che, salvo indicazionecontraria, dovrebbero essere ad oggi comunque validi
5 di 42
6 di 42
IL NUOVO REGOLAMENTO EUROPEO: LE PRINCIPALI NOVITÀ
© 2018 Studio Legale Ristuccia & Tufarelli
Parte IIApproccio basato sul
rischio, privacy by design e by default
(art. 25)
Parte I«Principio di
accountability» (art. 5, par. 2 e art. 24)
Parte IIIValutazione d’impatto
sulla protezione dei dati (art. 35)
Parte IVData breach
management (artt. 33 e 34)
7 di 42
LA RESPONSABILIZZAZIONE DEL TITOLAREIL PRINCIPIO DI AUTODETERMINAZIONE
© 2018 Studio Legale Ristuccia & Tufarelli
PARTE I - ACCOUNTABILITY
8 di 42© 2018 Studio Legale Ristuccia & Tufarelli
• Il principio di accountability obbliga tutti i soggetti, Titolare e Responsabile,chiamati a trattare i dati personali, ad adottare necessariamente comportamentiproattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurarel’applicazione del GDPR. Viene così demandata al Titolare e al Responsabile lavalutazione in ordine alla necessità di adottare, o meno, una determinata misura(es. misure di sicurezza specifiche)
• Il Titolare è tenuto a mettere in atto misure adeguate ed efficaci ed essere in gradodi dimostrare la conformità delle attività di trattamento con il GDPR. Tali misuredovrebbero tener conto:
IL PRINCIPIO DI ACCOUNTABILITY
ACCOUNTABILITY
Art. 5, par 2 Art. 24
Il GDPR introduce il nuovo principio di responsabilizzazione (o «accountability»)
della natura dell’ambito di applicazione
del contestodelle finalità del trattamento
dei rischi per i diritti e le libertà delle persone fisiche (C. 74)
Art. 25
© 2018 Studio Legale Ristuccia & Tufarelli
L’AUTODETERMINAZIONE INFORMATIVA ED IL LEGITTIMO AFFIDAMENTO DELL’INTERESSATO
L’oggetto della tutela normativa è il diritto fondamentale alla protezione dei dati personali. Tale diritto, che per alcunipuò considerarsi autonomo rispetto al più generale diritto alla riservatezza, si sostanzia nella possibilità, per il singolo, didecidere autonomamente se e con quali limiti possono essere diffuse le informazioni che lo riguardano, nel senso chel’interessato può ragionevolmente aspettarsi un trattamento sicuro dei suoi dati («legittimo affidamento») e conformealle ragioni che lo hanno messo in contatto col Titolare ed all’informativa che ha ricevuto da quest’ultimo (c.d.«autodeterminazione informativa»)
C. 1: «La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un
diritto fondamentale. […] ogni persona ha diritto alla protezione dei dati di carattere personale che
la riguardano»
C. 4: «Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua
funzione sociale e va contemperato con altri diritti fondamentali, in
ossequio al principio di proporzionalità»
Art. 1, par. 1: «Il presente regolamento stabilisce norme relative alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonché norme relative alla libera circolazione di tali dati»
9 di 42
10 di 42
LICEITÀ DEL TRATTAMENTO
© 2018 Studio Legale Ristuccia & Tufarelli
• Consenso dell’interessato (lett. a) • Adempimento di obblighi contrattuali o esecuzione di
misure precontrattuali (lett b.)• Obblighi di legge cui è soggetto il Titolare (lett. c)• Salvaguardia degli interessi vitali dell’interessato o di terzi*
(lett. d) • Interesse pubblico o esercizio di pubblici poteri di cui è
investito il titolare (lett. e)• Interesse legittimo prevalente del Titolare o di terzi a cui i
dati vengono comunicati (lett. f)
Gli Stati membri sono liberi di introdurre disposizioni specifiche per stabilire
eventuali e ulteriori condizioni di liceità del trattamento
Ogni trattamento deve essere lecito. Per essere lecitamente svolto, ogni trattamento deve trovare fondamentoalmeno in una delle seguenti basi giuridiche (o «condizioni di liceità») - art. 6
*Es. trattamento necessario a fini umanitari, in caso di terremoti o di altre catastrofi naturali (tale base giuridica è residuale e può essere invocata solose le altre condizioni di liceità non possono trovare applicazione
11 di 42
L’INFORMATIVA
Diritto alla trasparenza
© 2018 Studio Legale Ristuccia & Tufarelli
Individuate le caratteristiche del trattamento e la relativa base giuridica, il Titolare, prima del trattamento e salvo casiparticolari, deve fornire all’interessato le informazioni indicate agli artt. 13 e 14 del GDPR
• concise, trasparenti, intellegibili e facilmente accessibili per l’interessato (es. «click» dalla pagina webda cui accede l’utente
• espresse con un linguaggio chiaro e semplice e idoneo nel caso di minori• rese per iscritto e preferibilmente in formato elettronico, ovvero possono essere fornite oralmente,
purché sia comprovata con altri mezzi l’identità dell’interessato», es. mediante associazione delnominativo a un codice identificativo (art. 12, par. 1 GDPR)
• In contesti digitali potranno essere utilizzate informative su più livelli (in particolare, una informativabreve da rendere ad es. mediante un banner a comparsa immediata sulla home page e unainformativa estesa resa su più livelli anche attraverso link cliccabili che rinviano a ulteriori dettagli(informativa «stratificata») – cfr. Provvedimento del Garante del 22.02.2018
Tali informazioni devono essere:
• è ammesso l’utilizzo di icone standard ma in combinazione con l’informativa estesa (le icone dovrebbero essereleggibili da dispositivo automatico, Cfr Provvedimento 8 aprile 2010 e/o Provvedimento 27 ottobre 2005)
• è opportuno tenere conto del contesto e delle circostanze in cui si svolge il trattamento e delle modalità di interazione conl’interessato (es. ambiente cartaceo, telefonico, ambiente IoT-Internet delle cose, utilizzo di tecnologie intelligenti etc. – cfr. doc. 7Provvedimento del Garante del 22.02.2018)
12 di 42
IL CONSENSO
© 2018 Studio Legale Ristuccia & Tufarelli
Direttiva 95/46/CE
• Prima dell’entrata in vigore del GDPR si distingueva tra «consenso manifestato in forma scritta» e consenso «documentato per iscritto»
• La differenza sostanziale tra tali forme di consenso consiste nel fatto che il primo (i.e. «scritto») deve essere manifestato dall’interessato mediante lo scritto, mentre per il secondo (i.e. «documentato per iscritto») lo scrittoha solo finalità probatorie (Cfr. art. 2712 c.c. - Es: consenso espresso apponendo il «flag» su una casella web o utilizzo dell’account [ipotesi di riproduzione informatica])
• le disposizioni delle normative di attuazione della Direttiva (es. Codice Privacy) sono ancora in vigore e si applicano se compatibili con il GDPR
GDPR
• Nel GDPR scompare la dicotomia «consenso scritto»/«documentato per iscritto»
• Il GDPR, invece, prevede che per poter trattare legittimamente i dati di cui all’art. 9 («dati particolari») e/o per le ipotesi di cui all’art. 22 («trattamento mediante strumenti automatizzati, compresa la profilazione») è richiesto, inter alia, un «consenso esplicito»
• Art. 12: «Qualora il trattamento sia basato sul consenso, il titolare deve essere in grado di dimostrare che l’interessato ha manifestato il proprio consenso al trattamento dei propri dati personali»
COSA CAMBIA?
• Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta esplicitamente la “forma scritta”
• Rispetto al passato non si registrano importanti novità sul punto
• Infatti, seppur non sia più richiesta la forma scritta, questa, come anche indicato dal Garante, rappresenta la modalità più idonea a configurare il consenso esplicito, in quanto sarà poi lo stesso titolare a dover dimostrare che l’interessato ha espresso il proprio consenso al trattamento
• Quindi, le modalità di raccolta del consenso vigenti sotto l’egida della precedente normativa possono ritenersi ancora valide
Cosa cambia con l’entrata in vigore del GDPR?
Le conclusioni di cui sopra sono anche confermate dal C. 171, ai sensi del quale, nell’ottica del principio di «accountability», i consensi raccolti prima del25 maggio 2018 restano validi se conformi alle disposizioni del GDPR
13 di 42
IL LEGITTIMO INTERESSE DEL TITOLARE
© 2018 Studio Legale Ristuccia & Tufarelli
1/2
© 2018 Studio Legale Ristuccia & Tufarelli
Il legittimo interesse del Titolare o di terzi* può costituire base
giuridica del trattamento a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, in
particolare se l’interessato è minore
Spetta sempre al Titolare valutare il bilanciamento fra
legittimo interesse dello stesso Titolare o di un Terzo e i diritti e
le libertà dell’interessato
Il legittimo interesse non costituisce
idonea base giuridicaper i trattamenti
svolti dalle autorità pubbliche
nell’esecuzione dei loro compiti (Cfr. art.
6, par. 3)
*Es. nel caso di pubblicazione dei dati per scopi di trasparenza societaria (es. compensi degli amministratori), nell’interesse degli stakeholders (dipendenti,giornalisti e il pubblico in generale). Si precisa che di regola la base giuridica per tali trattamenti si rinviene in una norma di legge (cfr. Opinion 6/2014 delGruppo Art. 29). Il Codice Privacy consente la diffusione dei dati personali da parte di un soggetto pubblico solo in presenza di una specifica norma
14 di 42
IL LEGITTIMO INTERESSE: CRITERI PER IL BILANCIAMENTO
© 2018 Studio Legale Ristuccia & Tufarelli
Potrebbero prevalere gli interessi e i diritti fondamentali dell’interessato qualora i dati personali siano trattati
in circostanze in cui quest’ultimo non possa ragionevolmente
attendersi un ulteriore trattamento dei dati (legittimo affidamento)
2/2
© 2018 Studio Legale Ristuccia & Tufarelli
È necessario assistere le imprese per individuare i casi in cui è configurabile un «legittimo interesse», tra cui:
Trattare dati nell’ambito di una relazione pertinente e appropriatatra l’interessato e il Titolare (es. interessato cliente o dipendente)C.47
Trasferimenti infragruppo dei dati per fini amministrativi interniC.48
Trattamento di dati personali relativi al traffico nellecomunicazioni per garantire la sicurezza delle reti edell’informazione
C.49
Trattamento per prevenzione delle frodiC.49
Trattare dati per finalità di marketing diretto (nei limiti dellaDirettiva e-privacy (2002/58/CE) applicabile sino a nuovedisposizioni)
C.47
È sempre necessaria un’attenta valutazione (che, oggi, dovrà
condurre il Titolare o il Responsabile) in merito
all’eventualità che l’interessato possa ragionevolmente attendersi
che abbia luogo un trattamento per tali fini.
IL RISCONTRO ALL’INTERESSATO
Cosa CAMBIAcon il GDPR
© 2018 Studio Legale Ristuccia & Tufarelli
Il termine per fornire una risposta all’interessato è, per tutti i diritti elencati agli artt. 15 e ss., di 1 mese* (15 giorni ex art. 10 Codice Privacy) anche nel caso in cui il Titolare intende fornire risposta negativa*è estendibile a 3 mesi in casi di particolare complessità
Il riscontro deve avvenire (per impostazione predefinita) in forma scritta anche attraverso strumenti elettronici
che ne favoriscano l’accessibilità
Il riscontro può essere dato oralmente solo se espressamente richiesto dall’interessato (art. 12,
par. 1 e art. 15, par. 3)
L’esercizio dei diritti da parte dell’interessato è, in linea di principio, gratuito (in alcunicasi può essere richiesto un contributo all’interessato [es. richieste manifestatamenteinfondate ed eccessive o ripetitive, richiesta di più copie nel caso del diritto di accesso]).
Il riscontro deve essere non solo «intelligibile» ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio
semplice e chiaro
È opportuno adottare misure tecniche e organizzative necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli
interessati
L’interessato potrà, in ogni momento, esercitare i propri diritti e/o richiedere chiarimenti in merito ai trattamenti condotti sui suoi dati personali. Le modalità per esercizio dei diritti sono indicate, in via generale, agli artt. 12 e 12 del GDPR
15 di 42
L’ADEGUAMENTO AL NUOVO REGOLAMENTOIL RISK ASSESSMENT E MISURE DI SICUREZZA
© 2018 Studio Legale Ristuccia & Tufarelli 16 di 42
PARTE II – PRIVACY BY DESIGN E BY DEFAULT
LA SICUREZZA DEI TRATTAMENTI
Richiede che il Titolare garantisca la protezione dei dati findalla fase di ideazione e progettazione di un trattamento odi un sistema, al fine di evitare eventuali problematiche,adottando e attuando misure tecniche e organizzative chetutelino i dati e i diritti degli interessati
Presuppone che, nelle modalità operative del trattamento, il Titolare adotti e attui misure tecniche e organizzative che, per impostazione predefinita, garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità (art. 25)
Attività finalizzata a valutare i rischi connessi al trattamento, con particolare riguardo agli impatti sulle libertà e i diritti degli interessati. L’analisi deve essere effettuata tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di impatti negativi sulle libertà e sui diritti per gli interessati
Il livello di sicurezza deve essere in grado dicontrastare i rischi di distruzione, perdita,modifica, divulgazione non autorizzata,accesso, in modo accidentale o illegale, a datipersonali trasmessi, conservati o comunquetrattati dal Titolare o dal Responsabile
Privacy by design
Riskassessment
e DPIA
Privacy by default Sicurezza
Il Titolare deve decidere autonomamente le modalità, le garanzie e i limiti del trattamento e deve essere in grado di dimostrare laconformità al GDPR. Inoltre, il Titolare, prima di procedere a un’operazione di trattamento, è altresì tenuto a valutare i rischi sottesi altrattamento. Tale attività si declina nei principi e negli adempimenti riportati di seguito:
© 2018 Studio Legale Ristuccia & Tufarelli
1/2
17 di 42
RISK ASSESSMENT
Il Titolare, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. (art. 24, GDPR)
• Il Titolare del trattamento deve adottare le misure tecniche e organizzative cheritiene opportune, efficaci e dunque adeguate per salvaguardare i dati chetratta e deve altresì dimostrare che il trattamento effettuato è conforme allostesso GDPR
• Le misure di sicurezza devono essere decise dal Titolare in piena autonomia, inrelazione al trattamento concretamente operato e ai rischi individuati sulla basedi una preventiva attività di privacy risk assessment sulla base dei criteri indicatinel medesimo GDPR
• L’attività di risk assessment è finalizzata a individuare i rischi sottesi alleoperazioni di trattamento, nonché le eventuali azioni correttive e di mitigazionefinalizzate a ridurre i rischi individuati
© 2018 Studio Legale Ristuccia & Tufarelli
2/2
ACCOUNTABILITY
Art. 24
Art. 25
Risk Assessment
18 di 42
LA VALUTAZIONE DI IMPATTO (PIA)
© 2018 Studio Legale Ristuccia & Tufarelli
PARTE III – DPIA
19 di 42
20 di 42© 2018 Studio Legale Ristuccia & Tufarelli
Il GDPR, seguendo l’approccio basato sul rischio, all’art. 35 segnala le criticità legate all’utilizzo di particolaritecnologie collegate a particolari finalità del trattamento (par. 3), introducendo l’istituto della valutazioned'impatto sulla protezione dei dati (DPIA - Data Protection Impact Assessment)
Il GDPR, seguendo l’approccio basato sul rischio, all’art. 35 segnala le criticità legate all’utilizzo di particolaritecnologie collegate a particolari finalità del trattamento (par. 3), introducendo l’istituto della valutazioned'impatto sulla protezione dei dati (DPIA - Data Protection Impact Assessment)
• Dopo aver proceduto a valutare i rischi, qualora ricorrano le ipotesi previste dalla legge, ilTitolare sarà tenuto a effettuare una DPIA
• La DPIA è uno specifico processo di valutazione da adottare nel caso in cui i trattamentipresentino «rischi elevati» per i diritti e le libertà degli interessati
• È uno strumento necessario per bilanciare gli interessi del Titolare e i diritti dell’interessatoper verificare gli impatti connessi ai trattamenti operati dal Titolare o dal Responsabile
• Deve tener conto delle dei rischi noti e evidenziabili, delle misure tecniche e organizzativee di sicurezza da adottare per mitigare i rischi
• Il trattamento può essere iniziato se sono state adottate tutte le misure idonee a mitigare ilrischio
LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI PERSONALI
Sul tema, si segnalano le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento“possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – (WP 248), adottate dal Gruppo Art. 29https://www.garanteprivacy.it/documents/10160/0/WP+248+-+Linee-guida+concernenti+valutazione+impatto+sulla+protezione+dati
Accountability
1/2
21 di 42© 2018 Studio Legale Ristuccia & Tufarelli
• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamentoautomatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono inmodo analogo significativamente su dette persone fisiche
• il trattamento, su larga scala*, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di datirelativi a condanne penali e a reati di cui all'articolo 10; oppure
• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico
LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI PERSONALI
*Per valutare se un trattamento avviene su «larga scala» è necessario considerare:
L'articolo 35, par. 3, individua espressamente tre ipotesi in cui il trattamento «possa presentare rischielevati»:
il territorio geografico il volume
tipologia dei dati trattatipercentuale di interessati sul totale di una popolazione di riferimento, durata del trattamento
Es. si pensi a un ospedale o a un’azienda che effettui la profilazione su una customerbase di un milione di utenti
L’elencazione non è tassativa (Cfr. WP250)L’elencazione non è tassativa (Cfr. WP250)
2/2
IL DATA BREACH MANAGEMENT
© 2018 Studio Legale Ristuccia & Tufarelli 22 di 42
PARTE IV – DATA BREACH
23 di 42© 2018 Studio Legale Ristuccia & Tufarelli
LA VIOLAZIONE DEI DATI PERSONALI «DATA BREACH»
Tutti i Titolari del trattamento devono notificare all‘Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza senza ingiustificato ritardo e, ove possibile, entro 72 ore, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
•Spetta al Titolare valutare se la violazione presenta rischi per i diritti e le libertà degli interessati
•Il Responsabile del trattamento informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione
•Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore è corredata dei motivi del ritardo
Le violazioni di dati personali subite, nonché le relative circostanze, conseguenze e i provvedimenti adottati devono essere sempre documentati dal Titolare (Cfr. art. 33, par. 5)
•Tale documentazione (es. «registro delle violazioni»), su richiesta, deve essere fornita al Garante in caso di accertamenti.
•Necessario adottare misure, sia tecniche che organizzative, per documentare le violazioni
•Necessario definire una procedura specifica che consenta di individuare e gestire gli eventi qualificabili quali violazioni e per cui sussiste l’obbligo di notifica al Garante
Sul tema, si vedano le «Linee Guida in materia di notifica delle violazioni di dati personali (data breach notification) - WP250, adottate dal Gruppo Art. 29, http: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052
1/2
Cosa CAMBIAcon il GDPR
COSTRUIRE UN SISTEMA PRIVACY «GDPR COMPLIANT»
© 2018 Studio Legale Ristuccia & Tufarelli 24 di 42
PARTE V – IL RUOLO DELL’AVVOCATO
25 di 42
IL VALORE CONNESSO ALLA GESTIONE DEI DATI PERSONALI
© 2018 Studio Legale Ristuccia & Tufarelli
Tutti gli operatori del mercato sono chiamati ad autodeterminarsi e a valutare se il trattamento dei datipersonali ipotizzato possa presentare rischi non mitigabili o sproporzionati
È ormai nata una profonda consapevolezza in relazione al fatto che un’adeguata organizzazione e gestionedei dati personali rappresenta un punto di forza nell’ambito dell’economia 4.0
I dati personali, oggi, sono diventati un asset economicamente valutabile e rendono le impresemaggiormente competitive
È quindi necessario definire una struttura d’impresa capace di adattarsi alla nuova realtà imprenditoriale ead organizzarsi efficacemente per sfruttare le potenzialità connesse al trattamento dei dati personali (es.attività di profilazione delle customer base, analisi dei log e tracciamento delle attività degli utenti sullarete, ecc.)
I professionisti operanti nei settori coinvolti dall’entrata in vigore del GDPR (avvocati, esperti in ambito IT,ingegneri, ecc.) sono oggi chiamati ad affrontare le problematiche organizzative e tecnologiche connesse altrattamento dei dati personali
26 di 42
IL RUOLO DELL’ AVVOCATO
© 2018 Studio Legale Ristuccia & Tufarelli
Il ruolo dell’avvocato
• L’avvocato, anche avvalendosi del supporto di altri esperti (es. in ambito IT), oggi è chiamato ad accompagnare l’impresa in un processo virtuoso finalizzato a rendere la gestione dei dati all’interno delle imprese compliant con la normativa in materia di protezione dei dati
• Tale attività consente di rendere l’impresa non solo conforme ai dettami di legge, ma anche più competitiva in un contesto sempre più globalizzato e tecnologicamente più avanzato
• Un’efficace ed efficiente organizzazione e gestione dei dati rappresenta, quindi, un punto di forza per le impreseoperanti, in particolari, in settori in cui il trattamento dei dati personali rappresenta il core business dell’azienda (si pensi ai siti di e-commerce, alle web tv o ai siti che offrono servizi di varia natura mediante l’utilizzo della rete)
Le imprese operanti in Europa, mediante l’imprescindibile sostegno dei professionisti operanti in questo settore, stanno provvedendo a una riorganizzazione interna finalizzata a una corretta gestione dei dati personali. Questo processo di riorganizzazione passa attraverso l’implementazione delle misure richieste dal GDPR (es. analisi dei rischi, DPIA, registro dei trattamenti, nomina del DPO)
27 di 42© 2018 Studio Legale Ristuccia & Tufarelli
LA PRIVACY E L’IMPATTO SULLE FUNZIONI AZIENDALI
•Conoscere gli aspetti legati alla sicurezza informatica e dei dati è fondamentale per garantire la riservatezza e l’integrità dei medesimi
•Le nuove tecnologie hanno creato nuove responsabilità per gli operatori e per le aziende, rendendo così necessaria un’attenta analisi degli aspetti legali volta a favorire il raggiungimento degli obiettivi di efficienza nel rispetto della legislazione vigente
Conoscenza
•La normativa in materia di privacy èuna norma “anti scarica barile” ecolpisce tutta la filiera delleresponsabilità professionali, aseconda del ruolo rivestito di fattoall’interno dell’organizzazione
Ruoli
•Ciò comporta che, nel caso di trattamenti effettuati da una persona giuridica ogni responsabilità è parametrata sul ruolo di fatto svolto da ciascun soggetto (interno od esterno) preposto al compimento di ciascuna operazione
Responsabilità
28 di 42
IL SISTEMA PRIVACY
© 2018 Studio Legale Ristuccia & Tufarelli
un Modello Organizzativo che definisca i ruoli privacy a valle dell’analisi dei processi aziendali
e individui i diversi attori di processo coinvolti nelle operazioni di trattamento
un Manuale Privacy contenente le procedure e la modulistica da adottare per la gestione dei
processi aziendali, ivi compresa l’assegnazione, ai diversi attori, dei ruoli previsti dal GDPR
L’adeguamento al nuovo Regolamento postula la predisposizione di un «sistema privacy» chedefinisca:
L’ATTIVITÀ DI ASSESSMENT SUI TRATTAMENTI
© 2018 Studio Legale Ristuccia & Tufarelli 29 di 42
Per definire un sistema «GDPR compliant», sono necessarie una serie di attività prodromiche volte a determinare qualiaree sono deputate e/o coinvolte nel trattamento di dati personali (c.d. attività di «assessment» o «mappatura deitrattamenti»). Tale attività è finalizzata a verificare le operazioni di trattamento condotte all’interno delle singolearee/strutture aziendali
Una volta individuate le predette aree, è necessario analizzare:
Struttura dell’area
(comprese eventuali
suddivisioni interne in direzioni,
strutture, ecc.)
organigrammae attori
coinvolti nelle operazioni di trattamento
Operazioni di trattamento
effettuate (es.
trattamento dei dati dei dipendenti, dei clienti,
ecc.)
Categorie di dati trattati
(es. identificativi, particolari, giudiziari)
Finalità e modalità del trattamento
Periodo di conservazione dei dati ed
eventuale trasferimento
extra-UE
L’ANALISI DEI RISCHI
© 2018 Studio Legale Ristuccia & Tufarelli 30 di 42
L’analisi dei rischi («risk assessment») consente di bilanciare, by design, la natura e le finalità del trattamento con i costiconnessi all’implementazione delle misure di sicurezza a protezione del dato, anche al fine di mettere in atto misuretecniche e organizzative che, by default, consentano di trattare esclusivamente i dati necessari per ogni specifica finalità.
Per lo svolgimento di tale attività, è opportuno avvalersi dell’assistenza di un esperto IT e di organizzazione aziendale, ilquale, nello svolgimento della propria attività, seguirà le linee guida e gli standard internazionali in materia (es. ISO/IEC27005:2011 - Information security risk management e ISO/IEC 29134:2017 - Guideline for privacy impact assessment)
Tale attività consente di:
Individuare i rischi connessi al
trattamento (accesso non autorizzato,
modifiche non previste, furto di dati personali)
Definire le misure tecniche e organizzative
necessarie per la mitigazione dei
rischi
Valutare la resilienza (fault
tolerance e disaster
recovery) dei sistemi in uso
presso la società e la loro
conformità agli standard
internazionali
Comprendere la necessità, o
meno, di condurre una
DPIA per i trattamenti
diversi da quelli di cui all’art. 35,
par. 3
Individuare eventuali azioni di mitigazione,
di natura tecnica o organizzativa, per minimizzare il rischio residuo
L’INDIVIDUAZIONE DEI RUOLI: IL MODELLO ORGANIZZATIVO
© 2018 Studio Legale Ristuccia & Tufarelli 31 di 42
1
2
Responsabile: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta datipersonali per conto del titolare del trattamento (es. società esterna a cui è affidata la gestione delle bustepaga o fornitore di una soluzione IT). Per agire come Responsabile occorre essere una persona giuridicadistinta dal titolare ed elaborare dati per conto di quest’ultimo
3
Contitolare: si verifica un caso di contitolarità quando due o più titolari che determinano congiuntamente lefinalità e i mezzi del trattamento (es. due società operano sugli stessi dati, accedendo alla medesimapiattaforma informatica, per offrire congiuntamente il medesimo servizio)
4
Rappresentante nell’Unione: la persona fisica o giuridica stabilita nell’Unione designata per iscritto dal titolare odal Responsabile per rappresentarli in Europa per quanto riguarda gli obblighi derivanti a ciascuno dei predettisoggetti a norma del presente regolamento
5
Creare un Modello Organizzativo e definire i ruoli degli attori coinvolti nei trattamenti costituisce la misura organizzativa minima per garantire la sicurezza dei trattamenti e una gestione «GDPR compliant»
Persone autorizzate («incaricati»): agiscono sotto la responsabilità del Titolare o del Responsabile (es.dipendenti) e ricevono istruzioni specifiche in merito al trattamento dei dati personali (per il Garante, seppurnon è più prevista espressamente la figura dell’incaricato”, il GDPR non ne esclude la presenza)
Persone autorizzate con funzioni particolari: soggetti deputati alla gestione/manutenzione dei sistemiinformativi che dovranno essere nominati, a seconda delle funzioni, quali «amministratori di sistema» o«database administrator» in conformità al provvedimento del Garante del 27 novembre 2008 [doc. web1577499]
Secondo il Garante, in virtù del principio di accountability, i Modelli Organizzativi e le modalità di designazione degli incaricati definite sotto la vigenza della vecchia Direttiva, anche in conformità ai provvedimenti dell’Autorità, potranno essere mantenute
Data Protection Officer: il responsabile delle protezione dei dati. Il Titolare e/o il Responsabile del trattamentosono chiamati a verificare se, alla luce dei trattamenti svolti, devono o ritengono opportuno procedere allanomina di un DPO
6
32 di 42© 2018 Studio Legale Ristuccia & Tufarelli
Cosa CAMBIAcon il GDPR
Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all'azienda, con riferimento ai fornitori di servizi.Infatti, vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile. A livello europeo, inoltre, si è da sempreaffermata l'idea che il responsabile del trattamento non possa essere un soggetto alle dipendenze del titolare. Sia l'ICO britannico che il CNIL francese, infatti, richiamanoespressamente il parere (1/2010) del Gruppo articolo 29 per evidenziare come il responsabile sia solo un soggetto esterno all'azienda.
Sono disciplinati con maggior dettaglio i requisiti e i contenuti dell’atto con cui il Titolare designa il Responsabile del trattamento.
• Deve trattarsi di un contratto (o altro atto giuridico conforme al diritto nazionale),stipulato anche in forma elettronica e, al fine di dimostrare che il responsabile presenta«garanzie sufficienti», deve disciplinare tassativamente: la natura, durata e finalità deltrattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, lemisure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartitedal titolare e, in via generale, delle disposizioni contenute nel regolamento (art. 28, par. 3)
• Il Responsabile deve tenere un Registro della attività di trattamento (art. 30), adottare lemisure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32),nominare, ove previsto, un Responsabile della protezione dei dati (DPO)
• Previa autorizzazione scritta, generale o specifica, del Titolare, il Responsabile puònominare eventuali subresponsabili (art. 28, par. 4). In tal caso, il Responsabile risponderàdinnanzi al Titolare degli eventuali inadempimenti o dei danni causati a quest’ultimo daipropri subresponsabili
RESPONSABILE DEL TRATTAMENTO
33 di 42
CONTITOLARE
© 2018 Studio Legale Ristuccia & Tufarelli
Per l’individuazione di casi di contitolarità, ad esempio, il Garante ha chiarito che [doc. web 39785]:
Gli enti, le persone giuridiche e le pubbliche amministrazioni articolate in direzioni generali o in sedi centrali, decentrate operiferiche, sono titolari nel loro complesso dei trattamenti
«Se la singola direzione generale o area esercita, tramite i propri organi, un potere decisionale reale e del tutto autonomo sulle finalitàe sulle modalità dei trattamenti effettuati nel proprio ambito, non condizionato da scelte effettuate a livello centrale o di vertice, lamedesima direzione o area potrebbe essere considerata come titolare dei trattamenti» (ovvero, a seconda dei casi, come contitolare)
È necessario un accordo interno per definire le rispettive responsabilità e i compiti. Il
contenuto essenziale di tale accordo deve essere messo a disposizione dell’interessato
Gli interessati, per l’esercizio dei propri diritti, possono rivolgersi indifferentemente
a uno qualsiasi dei titolari operanti congiuntamente
Nell’ottica del principio di trasparenza, è necessario
indicare il punto di contatto per gli interessati ai fini dell’esercizio dei loro
diritti
34 di 42
RAPPRESENTANTE NELL’UNIONE
© 2018 Studio Legale Ristuccia & Tufarelli
1/2
Qualora il Titolare e/o il Responsabile del trattamento non avessero sede nel territorio dell’Unione Europea, saranno tenuti a designare un Rappresentante nell’Unione (art. 27).
• deve essere designato esplicitamente, mediante mandato scritto (C. 80), quanto i trattamenti del Titolare consistano nell’offerta di beni o servizi agliinteressati stabiliti nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato o nel monitoraggio del loro comportamentonella misura in cui tale comportamento abbia luogo nel territorio europeo (art. 3, par. 2)
• può essere una persona fisica o giuridica• deve essere stabilito in uno degli Stati membri in cui si trovano gli interessati o in cui il loro comportamento viene monitorato• può essere incaricato dal Titolare o dal Responsabile di interloquire (in aggiunta o in loro sostituzione) con il Garante e gli interessati per tutte le
questioni riguardanti il trattamento• La nomina del Rappresentante non esonera il Titolare e il Responsabile del trattamento dalle responsabilità connesse alla commissione di eventuali
violazioni
Il Rappresentante nell’Unione:
La nomina non è prevista quando il trattamento:
• sia occasionale* (secondo il WP29, oggi EDBP, il trattamento è occasionale in tutti quei casi in cui il trattamento di dati personali non sia effettuatoregolarmente, ovvero è effettuato al di fuori delle ordinarie attività di impresa del Titolare o del Responsabile*)
• non includa il trattamento, su larga scala, di categorie di dati particolari o giudiziari ed è improbabile che presenti un rischio per i diritti e le libertàdelle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento;
• sia effettuato da autorità e/o da organismi pubblici.
* Non può considerarsi «trattamento occasionale» il caso in cui venga dato a un soggetto un accesso diretto a un database (es. tramite remoto, un’interfaccia utente o grazie aun’applicazione IT) senza restrizione alcuna (Cfr. WP262)
© 2018 Studio Legale Ristuccia & Tufarelli
RAPPRESENTANTE NELL’UNIONE: I TRASFERIMENTI VERSO IL GIAPPONE
35 di 42
Approvazione del progetto di decisione di adeguatezza da parte della Commissione Parere dell’EDPB e del
Parlamento UEAdozione della decisione di adeguatezza
Parallelamente, il Giappone porterà a termine la propria procedura di riconoscimento della decisione di adeguatezza
Le prossime tappe:
Con specifico riferimento al Giappone, si segnala che il 17 luglio 2018 l’UE e il Giappone hanno concluso positivamente i colloqui in merito all’adeguatezza reciproca, convenendo di riconoscere come equivalenti i rispettivi sistemi di data protection
•La decisione di adeguatezza, prevista per il prossimoautunno, si inserisce e andrà a completare l’accordo dipartenariato economico UE-Giappone che, una voltaconcluso, determinerà la nascita della più vasta areadi scambi protetti di dati
La decisione di adeguatezza coprirà tutti i dati personaliscambiati per finalità commerciali, assicurando che pertutti gli scambi venga applicato un adeguato livello diprotezione dei dati
•Per rispettare le norme e proteggere i dati oggetto ditrasferimento, il Giappone si è impegnato nei confrontidell’UE a mettere in atto garanzie supplementari prima chela Commissione adotti formalmente la decisione diadeguatezza
•Verrà integrato l’APPI («Japanese Act on the Protection ofPersonal Information»). Le modifiche saranno vincolanti perle imprese giapponesi che importano dati dall’UE e sarannoazionabili dinnanzi all’Autorità giapponese indipendente perla protezione dei dati e delle altre Autorità giurisdizionaligiapponesi
2/2
36 di 42
DATA PROTECTION OFFICER: DESIGNAZIONE
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionaliquando esercitano le loro funzioni giurisdizionali
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che,per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessatisu larga scala (es. attività di marketing basate sull’analisi dei dati raccolti, tracciamento dell’ubicazione, medianteapp su dispositivi mobili, tracciamento e profilazione su internet anche per pubblicità comportamentale – cfr. C. 24 eWP243)
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, sularga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (es. trattamenti di datirelative a pazienti svolto da un ospedale nell’ambito delle ordinarie attività, NON costituisce invece larga scala iltrattamento effettuato dal singolo medico, operatore sanitario o avvocato – cfr. C. 91 e WP243)
Al di fuori dei suddetti casi la nomina non è obbligatoria, ma il WP29 (oggi «EDPB») raccomanda la designazione del DPO su basevolontaria [cfr. Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243)]
© 2018 Studio Legale Ristuccia & Tufarelli
Il GDPR prevede la nomina obbligatoria del DPO nelle seguenti tre ipotesi (art. 37):
1/3
37 di 42
Il DPO nominato dal Titolare o dal Responsabile è individuato sempre in una persona fisica e può essereinterno o esterno
© 2018 Studio Legale Ristuccia & Tufarelli
DATA PROTECTION OFFICER: MAKE OR BUY?
La scelta del DPO deve essere effettuata sulla base delle qualità professionali possedute e in particolare della conoscenzaspecialistica della normativa e delle prassi di gestione dei dati personali (incluse le misure tecniche e organizzative o dimisure atte a garantire la sicurezza dei dati), nonché della capacità di assolvere i compiti assegnatigli (art. 37)
DPO INTERNO
• Es. dipendente della società• Lo svolgimento dei compiti
e delle funzioni affidate al DPO non deve dare luogo a situazioni di conflitto di interesse (art. 38, par. 6)
DPO ESTERNO
•Persona fisica o giuridica (in quest’ultimo caso andrà comunque individuata la persona fisica che di fatto assumerà il ruolo di DPO)
•Il rapporto con il DPO esterno deve essere regolato da un apposito contratto di servizi
2/3
Il DPO può avvalersi di un Ufficio dedicato o Gruppo di lavoro (membri interni e/o esterni)
DATA PROTECTION OFFICER: COMPOSIZIONE
Risorse con competenze legali specifiche in materia di privacy
Risorse con competenze legate all’Information Technology, incluse le analisi e valutazioni dei
rischi
Risorse per finalità connesse alla mappatura dei trattamenti e all’organizzazione aziendale
Segreteria per la gestione della reportistica e della manualistica
• Le risorse a disposizione del DPO, potranno essere coinvolte di volta in volta, su richiesta del DPO, in relazione a specifiche esigenze. Inogni caso, è necessario definire formalmente (es. mediante modifica dell’organigramma aziendale) i soggetti coinvolti a supporto delDPO, specificando il relativo ambito operativo e le relative responsabilità.
• Ad esempio, l’Ufficio/Gruppo di Lavoro potrà essere costituito, tenuto conto della struttura organizzativa aziendale e della tipologia deitrattamenti, delle seguenti risorse:
© 2018 Studio Legale Ristuccia & Tufarelli 38 di 42
3/3
39 di 42© 2018 Studio Legale Ristuccia & Tufarelli
IL MANUALE PRIVACY
• Modelli di informativa da rilasciare agli interessati (clienti, dipendenti, fornitori) o da pubblicare sui siti web dell’impresa (es. privacypolicy da pubblicare su un sito di e-commerce)
• Procedura per la gestione delle linee di controllo in caso di nuovi trattamenti («procedura censimento trattamenti») e per la gestionedei casi di data breach
• Documento illustrante le risultanze dell’analisi dei rischi e le eventuali azioni di mitigazioni adottate e/o da adottare a valledell’assessment
• Documento riepilogativo della DPIA svolta su un’intera categoria di trattamenti o su trattamenti specifici, il quale dovrà essere poiconservato presso dall’impresa ed essere messo a disposizione su richiesta del Garante in caso di ispezione
• Sistema di gestione delle nomine delle persone autorizzate al trattamento, anche con funzioni particolari, e gli eventuali atti/accordirelativi al trattamento dei dati (es. accordo interno in caso di contitolarità o Data Processing Agreement per la designazione delresponsabile del trattamento ai sensi dell’art. 28 GDPR)
• Sistema di gestione delle deleghe interne riferite al trattamento dei dati, istruzioni operative e policies relative al trattamento dei dati,anche di natura particolare e dei dati giudiziari
• Registro delle attività di trattamento (salvo i casi di cui all’art. 30, par. 5)
Dopo aver definito il Modello organizzativo, sarà possibile costruire il Manuale Privacy, il quale contiene l’insieme delle procedure e dellamodulistica da adottare per la gestione dei processi aziendali che implicano il trattamento di dati personali e che, unitamente al ModelloOrganizzativo, costituirà il Sistema Privacy dell’impresa.
Il Manuale Privacy è composto dalla seguente documentazione:
40 di 42© 2018 Studio Legale Ristuccia & Tufarelli
Accountability
IL REGISTRO DEI TRATTAMENTI
• è obbligatorio salvo nei casi in cui l’impresa abbia meno di 250 dipendenti e purché l’impresanon tratti dati di natura particolare o dati giudiziari (art. 30, par. 5)
• consente di mappare e tenere aggiornati i trattamenti effettuati nell’ambito del Titolare (o delResponsabile), e effettuare le valutazioni e analisi dei rischi (quindi, è necessario pertanto curarel’aggiornamento periodico del Registro)
• è uno strumento fondamentale in caso di controlli da parte del Garante• consente di dimostrare la conformità al GDPR e il rispetto del principio di accountability• è parte integrante di un sistema di corretta gestione dei dati personali• il Garante invita tutti i Titolari e Responsabili, a prescindere dall’obbligatorietà o meno imposta dal
GDPR, a dotarsi di un Registro delle attività di trattamento
Il GDPR prevede la tenuta (anche in formato elettronico) dal parte del Titolare o del Responsabile di un «Registro delle attivitàdi trattamento» che descriva le caratteristiche delle operazioni di trattamento, i rischi e i ruoli privacy degli attori coinvolti nelmedesimo trattamento. Il registro presuppone l’assessment sia delle attività di trattamento effettuate che dei rischi.
I contenuti minimi del registro sono indicati all’art. 30 e possono essere integrati allaluce delle risultanze della valutazione di impatto
Il registro (art. 30):
1/2
41 di 42© 2018 Studio Legale Ristuccia & Tufarelli
IL REGISTRO DEI TRATTAMENTI 2/2
REGISTRO DELLE ATTIVITA' DI TRATTAMENTOTITOLARE: Alfa S.p.A. - Sede: Milano (MI) 20111 - Via Michelucci 1.
P.IVA 00933213 - Iscrizione al Registro delle Imprese di Milano 12222DPO: Mario Rossi
Area coinvolta
nelle operazioni
di trattamento
Altre strutture coinvolte
nelle operazioni
di trattamento
Responsabile del
trattamento
Subresponsabiledel trattamento
Descrizione del
trattamento
Finalità del trattamento
Base giuridica del trattamento (art 6
GDPR)
Categorie di
interessati
Categorie dei dati
Tipologia archivio
Categorie di destinatari per la comunicazione
dei dati
Trasferimenti dei dati verso
PaesiTerzi(extra UE) e
Organizzazioni internazionali
Periodo di conservazione dei dati
Misure di Sicurezza tecniche/organizzat
iveDPIA
TechnologyChief
TechonologyOfficer
Beta S.p.A. (Gestione attività di
manutezionedella
piattaforma cloud)
Gamma S.r.l. (gestione dei
ticket di intervento -
autorizzata dal Titolare)
Gestione del sistema
cloudcontente i dati di Alfa
S.p.A.
Gestione dei sistemi informatici
della Società
Necessità di eseguire un
contratto o di adottare misure
precontrattuali su richiesta
dell'interessato
Clienti di Alfa S.p.A.
Dati identificativi e anagrafici
Sistema Cloud
Società che collaborano con il
Titolare
USA verso Google LLC
(trasferimento legittimo sulla
base del privacy shield)
Per tutta la durata del contratto stipulato
con il Titolare.
Firewall, credenziali di autenticazione, sistemi antivirus
aggiornati, monitoraggio
amministratori di sistema e accessi esterni attraverso
log
No
Di seguito si riporta un esempio di registro delle attività del trattamento del Titolare:
42 di 42
ROMAPiazza Cavour, 1700193 Roma – Italyph. +39 06 321 53 19fax +39 06 321 52 83e-mail: [email protected]
MILANOVia Montenapoleone, 2020121 Milano – Italyph. +39 06 321 53 19fax +39 06 321 52 83e-mail: [email protected]
Adv. Luca Tufarellie-mail: [email protected]. Carlo A.M. Corazzinie-mail: [email protected]
TOKYOMarunouchi Mitsui Building, 5 F2-2-2-, Marunouch Chiyoda-ku. TOKYO 100-0005 - Japanph. 03 6273 4445fax 03 6273 4446e-mail: [email protected]
www.ristucciatufarelli.it
Adv. Jiro Makinoe-mail: [email protected]. Go Makinoe-mail: [email protected]
www.makino-law.net
GRAZIE PER L’ATTENZIONE!
© 2018 Studio Legale Ristuccia & Tufarelli