Tarallo privacy
-
Upload
carlo-favaretti -
Category
Health & Medicine
-
view
64 -
download
11
Transcript of Tarallo privacy
© Pasquale Tarallo
Linee Guidain vista della piena applicazione
prevista per il 25 Maggio 2018
Regolamento Europeo per la Protezione dei Dati Personali
2016/679
© Pasquale Tarallo
2
Copyright Licenza Creative Commons CC BY-NC-SA 3.0 IT
per essere successivamente
UTILIZZATO,
MODIFICATODISTRIBUITO LIBERAMENTE
con Licenza Creative Commons CC BY-NC-SA 3.0 IT(Attribuzione – Non commerciale – Condividi allo stesso modo 3.0 Italia)
Questa presentazione è parte di un progetto editoriale più ampioIdeato, Realizzato e Distribuito GRATUITAMENTE
per tentare una Chiave di Lettura al Regolamento Europeo per la Protezione dei Dati Personali 2016/679
(in inglese General Data Protection Regulation, GDPR).
Può essere richiesto via mail in formato ppt all’Autore
Pasquale Tarallo
3
Contenuti
1 Perché si promuove la Protezione dei Dati Personali
2 La Guida dell’Autorità Garante
3 Fondamenti di Liceità
4 Informativa
5 Diritti degli interessati
6 Titolare, responsabile, incaricato del Trattamento
7 Approccio basato sul rischio e Responsabilizzazione
8 Il Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali
9 Conclusioni
4
© Pasquale Tarallo
1 Perché si promuove la Protezione dei Dati Personali
© Pasquale Tarallo
5
Il nuovo scenario digitale mostra che la Rete è pervasiva, immateriale ed immediatamente disponibile a molti utenti
La rapidità e l’intensità dell'evoluzione tecnologica
hanno condotto all’aumento di soggetti ed oggetti connessi fra loro
(per questo si parla di rete delle cose, Internet Of Things, IoT).
Si assiste al conseguente scambio e condivisione di dati fra
Individui ed Organizzazioni di diverso genere e tipo
(o scopo, quali Istituzioni, Imprese, Enti no Profit, etc.) in tutto il mondo
sia fisico che digitale.
© Pasquale Tarallo
6
L’importanza della Sicurezza delle Informazioni è discussa in maniera più approfondita in ALTRA PRESENTAZIONE
© Pasquale Tarallo
7
Considerato che qualcosa è cambiato, cosa deve essere preso in considerazione ?
Come Proteggere i Dati
Personali ?
Come Proteggere le
Informazioni ?
Cosa bisogna prendere in considerazione
© Pasquale Tarallo
8
Il fenomeno dei Big Data
L’innovazione comporta nuove sfide.
Tra le altre, la portata della condivisione e della raccolta dei BIG DATA*
• da un lato dovrebbe facilitare ancora di più la loro libera circolazione sia all'interno dell'Unione che per il loro trasferimento verso paesi terzi e organizzazioni internazionali,
• mentre dall’altro dovrebbe garantire un elevato livello di protezione da eventuali violazioni dei dati personali.
*Definizione nella slide successiva.
© Pasquale Tarallo
9
A proposito di Big Data, cosa sono e come possono essere trattati ?
Talvolta si usa l’espressione inglese BIG DATA per fare riferimento ai grandi volumi di dati, siano essi grezzi o strutturati, in una forma definita in termini di Volume, Velocità, Varietà e Veridicità che potrebbero essere trattari in formato Elettronico, per Iscritto o Visivamente.
Individui Organizzazioni
Oggetti
Profilazione
e/o
Condivisione
Il Trattamento può comprendere la Raccolta, la Registrazione, la Conservazione, il Recupero, la Trasmissione, il Blocco o la Cancellazione dei dati. Anche per Sostenere oppure Opporsi alla Profilazione e/o Condivisione dei medesimi.
© Pasquale Tarallo
10
In virtù dell’enorme quantità di Norme presenti alcuni anni fa si avviò un confronto per armonizzarle in tutta l’Unione
© Pasquale Tarallo
11
Considerate le nuove minacce e le violazioni dei dati personali si decise di accelerare la trasformazione normativa con il GDPR
Abbiamo scelto un Regolamento perché non necessita un recepimento dei Paesi Membri ed è in grado di disciplinare la
Protezione del Trattamento dei Dati Personali delle
Persone Fisiche e della loro Circolazione in tutta
l’Unione Europea
© Pasquale Tarallo
12
Il Regolamento per la Protezione dei Dati Personali
A seguito della pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del 04Giugno 2016, è entrato formalmente in vigore il 24 maggio 2016 il RegolamentoEuropeo per la Protezione dei Dati Personali 2016/679 o nella sua accezioneinglese General Data Protection Regulation (GDPR).
© Pasquale Tarallo
13
Dall’approvazione all’applicazione
Il GDPR diverrà pienamente applicabile a decorrere dal 25 maggio 2018 (secondo quanto previsto dall’art. 99 delle disposizioni finali)
Pubblicazione sulla Gazzetta Ufficiale UE:
04 Maggio 2016
Entrata in vigore (dopo 20 gg):
24 Maggio 2016
Effettiva applicazione:
25 Maggio 2018
© Pasquale Tarallo
14
Alcuni primi dettagli del GDPR
Per favorire l’applicazione del GDPR ciascuno stato membro è stato chiamato adistituire un’Autorità Sovrintendente Indipendente per
dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc.
• Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre,fornendo assistenza reciproca e organizzando operazioni congiunte sotto ilcoordinamento e la supervisione di una apposita commissione europea per laprotezione dei dati (EDPB, European Data Protection Board).
© Pasquale Tarallo
15
Il WP 29
• Inizialmente il gruppo di lavoro delle diverse autorità è stato citato anche comeWP 29 (Working Party Article 29) poiché è stato istituito dall'art. 29 della direttiva95/46, come organismo consultivo e indipendente.
• Il WP 29 è composto da un rappresentante delle autorità di protezione dei datipersonali designate da ciascuno Stato membro, dal GEPD (Garante europeo dellaprotezione dei dati), nonché da un rappresentante della Commissioneappositamente istituita in sede UE.
• Il 25 Maggio 2018, all’atto della piena applicazione del GDPR, il WP29 verràsostituito dall’EDPB (European Data Protection Board)
© Pasquale Tarallo
16
Compiti del WP 29
Fra i compiti più rilevanti del WP29 vi sono i seguenti:
• formulare pareri sul livello di tutela nella Comunità e nei paesi terzi
• fornire consulenze alla Commissione in merito ad ogni progetto di modifica delladirettiva, ogni progetto di misure addizionali o specifiche da prendere ai fini dellatutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto dimisure comunitarie che incidano su tali diritti e libertà
• formulare pareri sui codici di condotta elaborati a livello comunitario
• formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi laprotezione dei dati personali nella Comunità
• definire i criteri di adeguatezza per i paesi terzi.
© Pasquale Tarallo
17
Meccanismo di coerenza all’interno dell’UE
Il Regolamento prevede un MECCANISMO DI COERENZA, gestito dal Garante Europeo per la Protezione dei Dati (GEPD, oppure nella versione inglese EDPS, European Data Protection Supervisor) che uniforma l'interpretazione e applicazione del Regolamento in tutti i Paesi dell'Unione.
In particolare viene indicato che, qualora ci siano delle divergenze tra le legislazioni degli stati membri che possano pregiudicare l'equivalenza della tutela persone, interviene il WP29 informando la speciale commissione dell’UE, formulando pareri e raccomandazioni.
La Commissione è tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni.
© Pasquale Tarallo
18
Il riconoscimento di una Leading Authority favorisce la disponibilità di un punto di contatto unico
• Qualora un’impresa abbia più stabilimenti nell'UE, avrà un'unica Autoritàsovrintendente come propria «Autorità principale« a cui fare riferimento, sullabase dell'ubicazione del proprio "stabilimento principale" (ossia il luogo dove sirealizzano le principali attività di gestione).
• L’Autorità principale agirà quale "sportello unico (noto anche come meccanismodell’One Stop Shop, ovvero unico negozio dove trovo tutto)" per supervisionaretutte le attività di gestione dati di quell’impresa nell’UE.
L’Autorità principale fungerà anche da capofila (Leading Authority) nei confronti delle altre Autorità nazionali cooperando ed avendo la competenza di emettere decisioni vincolanti per la altre autorità.
© Pasquale Tarallo
19
Nonostante l’approssimarsi del 25 Maggio permangono i Dubbi su modalità, costi, opportunità e necessità di essere conformi
Considerando le principali novità introdotte dal nuovo Regolamentosi deve riflettere sui possibili approcci da utilizzare
per confermare l’ìmportanza della protezione dei dati personalie giungere alla scadenza del 25 maggio 2018
con le idee più CHIARE non solo ai fini della conformità.
© Pasquale Tarallo
20
In sintesi si chiede di comprendere COSA FARE
Seguendo l’Autorità Garante per la Protezione dei Dati Personali si distinguono
LE AZIONI CHE POSSONO ESSERE INTRAPRESE IMMEDIATAMENTE in quanto basate su
disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale,
rispetto alle altre norme del Regolamento,
come quelle che disciplinano i trattamenti per finalità di interesse pubblico
ovvero in ottemperanza a obblighi di legge.
21
© Pasquale Tarallo
2 Il GDPR nella sua Formulazione Originale
© Pasquale Tarallo
22
Il Regolamento Generale per la Protezione dei Dati Personali si compone di 11 Capi suddivisi in 99 Articoli e 173 Considerando
1 2 3 4 5 6 7 8 9 10 11
12 13 14 15 16 17 18 19 20 21 22
23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44
45 46 47 48 49 50 51 52 43 54 55
56 57 58 59 60 61 62 63 64 65 66
67 68 69 70 71 72 73 74 75 76 77
78 79 80 81 82 83 84 85 86 87 88
89 90 91 92 93 94 95 96 97 98 99
© Pasquale Tarallo
23
Nel Capo I si disciplinano le DISPOSIZIONI GENERALI in 4 Articoli
1. Oggetto e finalità 2. Ambito di applicazione materiale 3. Ambito di applicazione territoriale 4. Definizioni
1 2 3 4
© Pasquale Tarallo
24
Nel Capo II si disciplinano i PRINCIPI in 11 Articoli
5 6 7 8 9 10 11
5. Principi applicabili al Trattamento di dati personali 6. Liceità del Trattamento 7. Condizioni per il consenso 8. Condizioni applicabili al consenso dei minori in relazione ai servizi
della società dell'informazione 9. Trattamento di categorie particolari di dati personali 10. Trattamento dei dati personali relativi a condanne penali e reati 11. Trattamento che non richiede l'identificazione
© Pasquale Tarallo
25
Nel Capo IV si disciplinano il TITOLARE ed il RESPONSABILE del Trattamento in 3 Sezioni e 20 Articoli
Sezione 1 - Obblighi generali Sezione 2 - Sicurezza dei dati personali Sezione 3 - Valutazione d'impatto sulla protezione dei dati e consultazione
preventivaSezione 4 - Responsabile della protezione dei dati Sezione 5 - Codici di condotta e certificazione
23
12 13 14 15 16 17 18 19 20 21 22
© Pasquale Tarallo
26
Nel Capo III si disciplinano i DIRITTI DELL’INTERESSATO in 5 Sezioni e 12 Articoli
Sezione 1 - Trasparenza e modalità Sezione 2 - Informazione e accesso ai dati personaliSezione 3 - Rettifica e cancellazioneSezione 4 - Diritto di opposizione e processo decisionale automatizzato
relativo alle persone fisiche Sezione 5 - Limitazioni
24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
© Pasquale Tarallo
27
Nel Capo V si disciplinano i Trasferimenti di dati verso paesi terzi o organizzazioni internazionali in 7 Articoli
44 45 46 47 48 49 50
44. Principio generale per il trasferimento45. Trasferimento sulla base di una decisione di adeguatezza 46. Trasferimento soggetto a garanzie adeguate 47. Norme vincolanti d'impresa48. Trasferimento o comunicazione non autorizzati dal diritto
dell'Unione 49. Deroghe in specifiche situazioni 50. Cooperazione internazionale per la protezione dei dati personali
© Pasquale Tarallo
28
Nel Capo VI si disciplinano le Autorità di controllo indipendenti in 2 Sezioni e 9 Articoli
51 52 53 54 55 56 57 58 59
Sezione 1 - IndipendenzaSezione 2 – Competenza, compiti e poteri
© Pasquale Tarallo
29
Nel Capo VI si disciplinano la Cooperazione e la Coerenza in 3 Sezioni e 26 Articoli
Sezione 1 - CooperazioneSezione 2 – CoerenzaSezione 3 – Comitato europeo per la protezione dei dati
51 52 53 54 55 56 57 58 59 60
61 62 63 64 65 66 67 68 69 70 71
72 73 74 75 76
© Pasquale Tarallo
30
Nel Capo VIII si disciplinano i Mezzi di ricorso, le responsabilità e le sanzioni in 8 Articoli
77. Diritto di proporre reclamo all'autorità di controllo 78. Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità
di controllo79. Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare
del Trattamento o del responsabile del Trattamento 80. Rappresentanza degli interessati 81. Sospensione delle azioni 82. Diritto al risarcimento e responsabilità 83. Condizioni generali per infliggere sanzioni amministrative pecuniarie 84. Sanzioni
77 78 79 80 81 82 83 84
© Pasquale Tarallo
31
Nel Capo IX si disciplinano le Disposizioni relative a specifiche situazioni di Trattamento in 7 Articoli
85 86 87 88 89 90 91
85. Trattamento e libertà d'espressione e di informazione 86. Trattamento e accesso del pubblico ai documenti ufficiali 87. Trattamento del numero di identificazione nazionale 88. Trattamento dei dati nell'ambito dei rapporti di lavoro 89. Garanzie e deroghe relative al Trattamento a fini di archiviazione
nel pubblico interesse, di ricerca scientifica o storica o a fini statistici 90. Obblighi di segretezza 91. Norme di protezione dei dati vigenti presso chiese e associazioni
religiose
© Pasquale Tarallo
32
Nel Capo X si disciplinano gli Atti delegati e gli Atti di esecuzione in 2 Articoli
92 93
92. Esercizio della delega 93. Procedura di comitato
© Pasquale Tarallo
33
Nel Capo XI si riportano le Disposizioni Finali in 6 Articoli
94. Abrogazione della direttiva 95/46/CE 95. Rapporto con la direttiva 2002/58/CE 96. Rapporto con accordi precedentemente conclusi97. Relazioni della Commissione98. Riesame di altri atti legislativi dell'Unione in materia di protezione
dei dati 99. Entrata in vigore e applicazione
9694 95 97 98 99
© Pasquale Tarallo
34
Per Esplicitare il lessico utilizzato nel GDPR si riportano per esteso il CAPO 1 ed i Relativi Articoli (A) e Considerando (C)
1 2 3 4 5 6 7 8 9 10 11
12 13 14 15 16 17 18 19 20 21 22
23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44
45 46 47 48 49 50 51 52 43 54 55
56 57 58 59 60 61 62 63 64 65 66
67 68 69 70 71 72 73 74 75 76 77
78 79 80 81 82 83 84 85 86 87 88
89 90 91 92 93 94 95 96 97 98 99
© Pasquale Tarallo
35
Come abbiamo visto nel Capo I si disciplinano le DISPOSIZIONI GENERALI in 4 Articoli
1. Oggetto e finalità 2. Ambito di applicazione materiale 3. Ambito di applicazione territoriale 4. Definizioni
1 2 3 4
© Pasquale Tarallo
36
Vediamo i Dettagli
Esaminiamo in dettaglio l’Art.1 (A1)Oggetto e Finalità (C1-14, C170, C172)
Vediamo i Dettagli
© Pasquale Tarallo
37
Disposizioni Generali (Capo I) Oggetto e Finalità (A1)
• Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
• Esso protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
• La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali.
© Pasquale Tarallo
38
Disposizioni Generali (Capo I) Oggetto e Finalità (C1)
• La protezione delle persone fisiche con riguardo al Trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
© Pasquale Tarallo
39
Disposizioni Generali (Capo I) Oggetto e Finalità (C14)
• È opportuno che la protezione prevista dal presente regolamento si applichi alle persone
fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei
loro dati personali.
• Il presente regolamento non disciplina il Trattamento dei dati personali relativi a persone
giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma
della persona giuridica e i suoi dati di contatto.
© Pasquale Tarallo
40
Disposizioni Generali (Capo I) Oggetto e Finalità (C170)
• Poiché l’obiettivo del presente regolamento, vale a dire garantire un livello equivalente di tutela
delle persone fisiche e la libera circolazione dei dati personali nell’Unione, non può essere
conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti
dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può
intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione
europea (TUE).
• Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in
ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
© Pasquale Tarallo
41
Disposizioni Generali (Capo I) Oggetto e Finalità (C172)
• Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28,
paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso un parere il 7 marzo 2012
© Pasquale Tarallo
42
Vediamo i Dettagli
Esaminiamo in dettaglio l’Art.2 (A2)Ambito di Applicazione Materiale (C15-21)
Vediamo i Dettagli
© Pasquale Tarallo
43
Disposizioni Generali Ambito di Applicazione Materiale (A2)
1. Il GDPR si applica alle PERSONE FISICHE, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei loro dati personali contenuti in un archivio o destinati a figurarvi.
© Pasquale Tarallo
44
Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (A2) (continua)
2. Il regolamento non si applica ai trattamenti di alcune categorie di Dati Personali
(esplicitate nelle prossime diapositive).
© Pasquale Tarallo
45
Disposizioni Generali: Ambito di applicazione materiale Esclusioni
• per attività che non rientrano nell'ambito di applicazione del diritto dell’UE
• effettuato dagli Stati membri nell'esercizio di attività relative alla POLITICA ESTERA e di SICUREZZA NAZIONALE o COMUNE DELL’UE
• effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di REATI O ESECUZIONE DI SANZIONI PENALI incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
IL GDPR non si applica per il Trattamento dei dati personali effettuato
© Pasquale Tarallo
46
Disposizioni Generali: Ambito di applicazione materiale Esclusioni (continua)
Inoltre, Il GDPR non si applica ai Trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività commerciale o professionale.
Le attività a carattere personale o domestico dovrebbero comprendere la corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività.
Tuttavia, il GDPR si applica comunque ai titolari del Trattamento o ai responsabili del Trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
© Pasquale Tarallo
47
Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (A2) (continua)
3. Per il Trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie
dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n.
45/2001 e gli altri atti giuridici dell’Unione applicabili a tale Trattamento di dati
personali devono essere adeguati ai principi e alle norme del presente regolamento
conformemente all’articolo 98.
4. Il Regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE,
in particolare le norme relative alla responsabilità dei prestatori intermediari di
servizi di cui agli articoli da 12 a 15 della medesima direttiva.
© Pasquale Tarallo
48
Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (C15)
• Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone
fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere
dalle tecniche impiegate.
• La protezione delle persone fisiche dovrebbe applicarsi sia al Trattamento
automatizzato che al Trattamento manuale dei dati personali, se i dati personali sono
contenuti o destinati a essere contenuti in un archivio.
• Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i
fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le
rispettive copertine.
© Pasquale Tarallo
49
Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (C21)
• Il presente regolamento non pregiudica l’applicazione della direttiva 2000/31/CE
del Parlamento europeo e del Consiglio, in particolare delle norme relative alla
responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della
medesima direttiva.
• Detta direttiva mira a contribuire al buon funzionamento del mercato interno
garantendo la libera circolazione dei servizi della società dell’informazione tra Stati
membri.
© Pasquale Tarallo
50
Vediamo i Dettagli
Esaminiamo in dettaglio l’Art.3 (A3)Ambito di Applicazione Territoriale (C22-25)
Vediamo i Dettagli
© Pasquale Tarallo
51
Disposizioni Generali Ambito di Applicazione Territoriale (A3)
1. Il presente regolamento si applica al Trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del Trattamento o di un responsabile del Trattamento nell’Unione, indipendentemente dal fatto che il Trattamento sia effettuato o meno nell’Unione
© Pasquale Tarallo
52
Disposizioni Generali Ambito di Applicazione Territoriale (C22)
• Qualsiasi Trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del Trattamento o responsabile del Trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il Trattamento avvenga all’interno dell’Unione.
• Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile.
• A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
© Pasquale Tarallo
53
Disposizioni Generali Ambito di Applicazione Territoriale (A3)
2. Il presente regolamento si applica al Trattamento dei Dati di Interessati che si trovano nell'Unione, effettuato da un titolare o da un responsabile che non è stabilito nell'Unione, quando le attività di Trattamento riguardano:
• l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
• oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
© Pasquale Tarallo
54
Disposizioni Generali Ambito di Applicazione Territoriale (C23)
• Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il Trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del Trattamento o da un responsabile del Trattamento non stabilito nell’Unione, quando le attività di Trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato.
© Pasquale Tarallo
55
Disposizioni Generali Ambito di Applicazione Territoriale (C23) (continua)
• Per determinare se tale titolare o responsabile del Trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del Trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione.
© Pasquale Tarallo
56
Disposizioni Generali Ambito di Applicazione Territoriale (C23) (continua)
• Mentre la semplice accessibilità del sito web del titolare del Trattamento, del responsabile del Trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del Trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del Trattamento di offrire beni o servizi agli interessati nell’Unione
© Pasquale Tarallo
57
Disposizioni Generali Ambito di Applicazione Territoriale (C24)
• È opportuno che anche il Trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del Trattamento o di un responsabile del Trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
• Per stabilire se un’attività di Trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di Trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
© Pasquale Tarallo
58
Disposizioni Generali Ambito di Applicazione Territoriale (A3)
3. Il presente regolamento si applica al Trattamento dei dati personali effettuato da un titolare che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. (ad esempio in una a rappresentanza diplomatica o consolare
© Pasquale Tarallo
59
Disposizioni Generali Ambito di Applicazione Territoriale (C25)
• Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del Trattamento non stabilito nell’Unione.
© Pasquale Tarallo
60
Vediamo i Dettagli
Esaminiamo in dettaglio l’Art.4 (A4)Definizioni (vari Considerando)
Vediamo i Dettagli
© Pasquale Tarallo
61
Disposizioni Generali Definizioni
© Pasquale Tarallo
62
Disposizioni Generali - Definizioni Dato Personale (A4 comma 1)
Un DATO PERSONALE è
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato») con particolare riferimento a un identificativo.
Possibili identificativi
• il nome, • un numero di identificazione, • i dati relativi all'ubicazione, • un identificativo online • uno o più elementi caratteristici
della sua identità fisica, fisiologica, genetica, psichica (dati biometrici),
• uno o più elementi caratteristici della sua identità economica, culturale o sociale
© Pasquale Tarallo
63
Disposizioni Generali Il Dato Personale: alcune considerazioni dell’autore
Secondo gli estensori del GDPR è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile.
Si noti che si utilizza in modo equivalente il termine DATO ed il termine INFORMAZIONE.
I puristi potrebbero obiettare che il termine DATO è sinonimo di dato grezzo, primitivo, senza alcuna forma di Trattamento, mentre quando si parla di INFORMAZIONE si prevede già qualche forma di elaborazione, aggregazione, etc.
Tuttavia, questa distinzione non emerge nel GDPR.
© Pasquale Tarallo
64
Disposizioni Generali Dato Personale (C26)
© Pasquale Tarallo
65
Disposizioni Generali Dato Personale (C26) (continua)
© Pasquale Tarallo
66
Disposizioni Generali Dato Personale (C26) (continua)
© Pasquale Tarallo
67
Disposizioni Generali Dato Personale (C27)
© Pasquale Tarallo
68
Disposizioni Generali Dato Personale (C30)
© Pasquale Tarallo
69
Disposizioni Generali - Definizioni Trattamento (A4 comma 2)
© Pasquale Tarallo
70
Disposizioni Generali Il Trattamento: qualche esempio riportati nell’Art. 4
Esempi di Trattamento dei dati personali sono:
• la raccolta, • la registrazione, • l'organizzazione, • la strutturazione, • la conservazione, • l'adattamento o la modifica, • l'estrazione, • la consultazione,
• l'uso,• la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione,
• il raffronto o l'interconnessione, • la limitazione, • la cancellazione,• la distruzione.
© Pasquale Tarallo
71
Disposizioni Generali . Definizioni Limitazione del Trattamento (A4 comma 3)
© Pasquale Tarallo
72
Disposizioni Generali La Limitazione del Trattamento (C67)
© Pasquale Tarallo
73
Disposizioni Generali La Limitazione del Trattamento (C67) (continua)
© Pasquale Tarallo
74
Disposizioni Generali - Definizioni Profilazione (A4 comma 4)
© Pasquale Tarallo
75
Disposizioni Generali - Definizioni Profilazione (A4 comma 4) (continua)
© Pasquale Tarallo
76
Disposizioni Generali - Definizioni La Profilazione (C24)
© Pasquale Tarallo
77
Disposizioni Generali - Definizioni La Profilazione (C24) (continua)
© Pasquale Tarallo
78
Disposizioni Generali - Definizioni La Profilazione (C30)
© Pasquale Tarallo
79
Disposizioni Generali - Definizioni La Profilazione (C71)
© Pasquale Tarallo
80
Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
© Pasquale Tarallo
81
Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
© Pasquale Tarallo
82
Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
© Pasquale Tarallo
83
Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
© Pasquale Tarallo
84
Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
© Pasquale Tarallo
85
Disposizioni Generali - Definizioni La Profilazione (C71) (continua)
© Pasquale Tarallo
86
Disposizioni Generali - Definizioni La Profilazione (C72)
© Pasquale Tarallo
87
Disposizioni Generali - Definizioni Pseudonimizzazione (A4 comma 5)
© Pasquale Tarallo
88
Disposizioni Generali - Definizioni Pseudonimizzazione (C26)
© Pasquale Tarallo
89
Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)
© Pasquale Tarallo
90
Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)
© Pasquale Tarallo
91
Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)
© Pasquale Tarallo
92
Disposizioni Generali - Definizioni Pseudonimizzazione (C28)
© Pasquale Tarallo
93
Disposizioni Generali - Definizioni Pseudonimizzazione (C29)
© Pasquale Tarallo
94
Disposizioni Generali - Definizioni Pseudonimizzazione (C29) (continua)
© Pasquale Tarallo
95
Disposizioni Generali - Definizioni Archivio (A4 comma 6)
© Pasquale Tarallo
96
Disposizioni Generali - Definizioni Archivio (C15)
© Pasquale Tarallo
97
Disposizioni Generali - Definizioni Titolare del Trattamento (A4 comma 7)
© Pasquale Tarallo
98
Disposizioni Generali - Definizioni Titolare del Trattamento (C74)
© Pasquale Tarallo
99
Disposizioni Generali - Definizioni Titolare del Trattamento (C74) (continua)
© Pasquale Tarallo
100
Disposizioni Generali - Definizioni Responsabile del Trattamento (A4 comma 8)
© Pasquale Tarallo
101
Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 1 di 10
© Pasquale Tarallo
102
Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 2 di 10
© Pasquale Tarallo
103
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 3 di 10
© Pasquale Tarallo
104
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 4 di 10
© Pasquale Tarallo
105
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 5 di 11
© Pasquale Tarallo
106
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 6 di 10
© Pasquale Tarallo
107
Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 7 di 11
© Pasquale Tarallo
108
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 8 di 10
© Pasquale Tarallo
109
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 9 di 10
© Pasquale Tarallo
110
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 10 di 10
© Pasquale Tarallo
111
Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 10 di 10
© Pasquale Tarallo
112
Disposizioni Generali - DefinizioniDestinatario (A4 comma 9)
© Pasquale Tarallo
113
Disposizioni Generali - DefinizioniIl Destinatario (C31)
© Pasquale Tarallo
114
Disposizioni Generali - DefinizioniIl Destinatario (C31) (continua)
© Pasquale Tarallo
115
Disposizioni Generali - Definizioni Terzi (A4 comma 10)
© Pasquale Tarallo
116
Disposizioni Generali - DefinizioniConsenso dell’Interessato (A4 comma 11)
© Pasquale Tarallo
117
Disposizioni Generali - DefinizioniConsenso dell’Interessato (C32)
© Pasquale Tarallo
118
Disposizioni Generali - DefinizioniConsenso dell’Interessato (C32) (continua)
© Pasquale Tarallo
119
Disposizioni Generali - DefinizioniConsenso dell’Interessato (C32) (continua)
© Pasquale Tarallo
120
Disposizioni Generali - DefinizioniIl Consenso (C33)
© Pasquale Tarallo
121
Disposizioni Generali - DefinizioniViolazione dei dati personali (A4 comma 12)
© Pasquale Tarallo
122
Disposizioni Generali - DefinizioniViolazione dei dati personali (C85)
© Pasquale Tarallo
123
Disposizioni Generali - DefinizioniViolazione dei dati personali (C85) (continua)
© Pasquale Tarallo
124
Disposizioni Generali - DefinizioniDati Genetici (A4 comma 13)
© Pasquale Tarallo
125
Disposizioni Generali - DefinizioniDati Genetici (C34)
© Pasquale Tarallo
126
Disposizioni Generali - DefinizioniDati Biometrici (A4 comma 14)
© Pasquale Tarallo
127
Disposizioni Generali - DefinizioniDati Biometrici (C51)
© Pasquale Tarallo
128
Disposizioni Generali - DefinizioniDati Biometrici (C51) (continua)
© Pasquale Tarallo
129
Disposizioni Generali - DefinizioniDati Biometrici (C51) (continua)
© Pasquale Tarallo
130
Disposizioni Generali - DefinizioniDati Biometrici (C51) (continua)
© Pasquale Tarallo
131
Disposizioni Generali - DefinizioniDati relativi alla salute (A4 comma 15)
© Pasquale Tarallo
132
Disposizioni Generali - DefinizioniDati relativi alla salute (C35)
© Pasquale Tarallo
133
Disposizioni Generali - DefinizioniDati relativi alla salute (C35) (continua)
© Pasquale Tarallo
134
Disposizioni Generali - DefinizioniDati relativi alla salute (C35) (continua)
© Pasquale Tarallo
135
Disposizioni Generali - DefinizioniStabilimento Principale (A4 comma 16)
© Pasquale Tarallo
136
Disposizioni Generali - DefinizioniStabilimento Principale (A4 comma 16) (continua)
© Pasquale Tarallo
137
Disposizioni Generali - DefinizioniStabilimento Principale (C36)
© Pasquale Tarallo
138
Disposizioni Generali - DefinizioniStabilimento Principale (C36) (continua)
© Pasquale Tarallo
139
Disposizioni Generali - DefinizioniStabilimento Principale (C36) (continua)
© Pasquale Tarallo
140
Disposizioni Generali - DefinizioniStabilimento Principale (C36) (continua)
© Pasquale Tarallo
141
Disposizioni Generali - DefinizioniStabilimento Principale (C36) (continua)
© Pasquale Tarallo
142
Disposizioni Generali - DefinizioniStabilimento Principale (C37)
© Pasquale Tarallo
143
Disposizioni Generali - Definizioni Rappresentante (A4 comma 17)
© Pasquale Tarallo
144
Disposizioni Generali - DefinizioniIl Rappresentante (C80)
© Pasquale Tarallo
145
Disposizioni Generali - DefinizioniIl Rappresentante (C80) (continua)
© Pasquale Tarallo
146
Disposizioni Generali - DefinizioniIl Rappresentante (C80) (continua)
© Pasquale Tarallo
147
Disposizioni Generali - DefinizioniIl Rappresentante (C80) (continua)
© Pasquale Tarallo
148
Disposizioni Generali - Definizioni Impresa (A4 comma 18)
© Pasquale Tarallo
149
Disposizioni Generali - Definizioni Gruppo Imprenditoriale (A4 comma 19)
© Pasquale Tarallo
150
Disposizioni Generali - Definizioni Gruppo Imprenditoriale (C37)
© Pasquale Tarallo
151
Disposizioni Generali - Definizioni Gruppo Imprenditoriale (C37) (continua)
© Pasquale Tarallo
152
Disposizioni Generali - DefinizioniIl Gruppo Imprenditoriale (C48)
© Pasquale Tarallo
153
Disposizioni Generali - Definizioni Norme Vincolanti di Impresa (A4 comma 20)
© Pasquale Tarallo
154
Disposizioni Generali - Definizioni Norme Vincolanti di Impresa (C37, già discusse, e C110)
© Pasquale Tarallo
155
Disposizioni Generali - Definizioni Autorità di Controllo (A4 comma 21)
© Pasquale Tarallo
156
Disposizioni Generali - Definizioni Autorità di Controllo Interessate (A4 comma 22)
© Pasquale Tarallo
157
Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124)
© Pasquale Tarallo
158
Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124) (continua)
© Pasquale Tarallo
159
Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124) (continua)
© Pasquale Tarallo
160
Disposizioni Generali - Definizioni Trattamento transfrontaliero (A4 comma 23)
© Pasquale Tarallo
161
Disposizioni Generali – DefinizioniObiezione pertinente e motivata (A4 comma 24)
© Pasquale Tarallo
162
Disposizioni Generali - Definizioni Servizio della Società dell’informazione (A4 comma 25)
© Pasquale Tarallo
163
Disposizioni Generali - Definizioni Organizzazione Internazionale (A4 comma 26)
164
© Pasquale Tarallo
2 La Guida dell’Autorità Garante per la Protezione dei Dati Personali
© Pasquale Tarallo
165
Una chiave di Lettura al GDPR è suggerita dalla nostra Autorità Garante per la Protezione dei Dati Personali con una GUIDA
La guida qui riportata
• Trae origine dal testo redatto dalla nostra Autorità Garante per la Protezione dei Dati Personali (*)
Inoltre
• Tiene conto del modo in cui il nuovo Regolamento trova applicazione nel nuovo scenario digitale
* L’autorità richiama l’attenzione sulla possibilità che in seguito si potranno apportare opportune integrazioni e modifiche alla Guida alla luce dell'evoluzione della riflessione a livello nazionale ed europeo
© Pasquale Tarallo
166
Trasferimento dei dati
Approccio basato sul rischio & Accountability
Titolare, Responsabile, e Incaricato del Trattamento
Diritti degli interessati
Informativa
Fondamenti di liceità del Trattamento
La nostra Autorità Garante ha preso in esame vari punti per spiegare i passi utili alla comprensione del GDPR
167
© Pasquale Tarallo
3 I Fondamenti di Liceità
© Pasquale Tarallo
168
Fondamenti di liceità del Trattamento
© Pasquale Tarallo
169
I Fondamenti di Liceità
Il regolamento conferma che ogni Trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del Trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice, ovvero:
• il CONSENSO
• l’adempimento ad OBBLIGHI CONTRATTUALI
• gli INTERESSI VITALI della persona interessata o di terzi
• gli OBBLIGHI DI LEGGE cui è soggetto il Titolare
• l’INTERESSE PUBBLICO o l’ESERCIZIO DI PUBBLICI
POTERI
• l’INTERESSE LEGITTIMO prevalente del Titolare o di terzi
cui i dati vengono comunicati.
© Pasquale Tarallo
170
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Il Consenso Cosa Bisogna Chiedersi ?
© Pasquale Tarallo
171
Cosa CAMBIA
Il ConsensoCosa Cambia
• DEVE essere ESPLICITO per i DATI SENSIBILI (si veda art. 9 Regolamento), anche per le DECISIONI basate su TRATTAMENTI AUTOMATIZZATI (compresa la profilazione – art. 22).
• NON deve essere necessariamente DOCUMENTATO PER ISCRITTO, né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili).
• Il Titolare (art. 7.1) DEVE essere in grado di DIMOSTRAREche l'Interessato ha prestato il consenso a uno specifico Trattamento..
• Il consenso dei MINORI è valido a partire dai SEDICI ANNI:prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
© Pasquale Tarallo
172
Cosa è INVARIATO
Il Consenso Cosa è Invariato
• DEVE ESSERE, in tutti i casi, LIBERO, SPECIFICO, INFORMATO E INEQUIVOCABILE
• NON È AMMESSO IL CONSENSO TACITO O PRESUNTO(no a caselle pre-spuntate su un modulo).
• DEVE ESSERE MANIFESTATO attraverso una apposita dichiarazione o azione positiva inequivocabile (gli approfondimenti sono riportati nei considerando 39 e 42 del regolamento)
© Pasquale Tarallo
173
Ancora sul Consenso – 1 di 3
© Pasquale Tarallo
174
Ancora sul Consenso – 2 di 3
© Pasquale Tarallo
175
Ancora sul Consenso – 3 di 3
© Pasquale Tarallo
176
Cosa CAMBIA
L’Interesse Vitale di un Terzo Cosa Cambia
• Il Regolamento per la Protezione dei Dati Personali consente di invocare l’INTERESSE VITALE DI UN TERZO unicamente nel caso in cui nessuna delle altre condizioni di liceità può trovare applicazione (sul punto vale il Considerando 46)
© Pasquale Tarallo
177
Cosa è INVARIATO
L’Interesse Vitale di un Terzo Cosa è Invariato
• Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.
© Pasquale Tarallo
178
Cosa CAMBIA
L’Interesse Legittimo Prevalente di un Titolare o di un Terzo - Cosa Cambia
• Il BILANCIAMENTO fra legittimo interesse del Titolare o del terzo e diritti e libertà dell'Interessato non spetta all'Autorità ma è COMPITO DELLO STESSO TITOLARE* DEL TRATTAMENTO.
* Il Regolamento fa leva sul cosiddetto principio di RESPONSABILIZZAZIONE (ACCOUNTABILITY) introdotto per indurre il Titolare a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il Trattamento sia effettuato conformemente al Regolamento. medesimo. Sul punto di torna in seguito.
© Pasquale Tarallo
179
Cosa è INVARIATO
L’Interesse Legittimo Prevalente di un Titolare o di un Terzo - Cosa è Invariato
• L'interesse legittimo del Titolare o del terzo DEVE PREVALERE sui diritti e le libertà fondamentali dell'Interessato per costituire un valido fondamento di liceità.
• Il Regolamento sancisce espressamente che l'interesse legittimo del Titolare NON COSTITUISCE IDONEA BASE GIURIDICA per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.
© Pasquale Tarallo
180
Ancora sull’Interesse Legittimo – 1 di 2
© Pasquale Tarallo
181
Ancora sull’Interesse Legittimo – 2 di 2
182
© Pasquale Tarallo
4 L’Informativa
© Pasquale Tarallo
183
Fondamenti di liceità del Trattamento
Informativa
© Pasquale Tarallo
184
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
L’Informativa
© Pasquale Tarallo
185
Cosa CAMBIA
L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 1 di 3
CONTENUTI DELL’INFORMATIVA
I contenuti dell'informativa sono elencati in modo tassativo dal Regolamento negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte SONO PIÙ AMPI RISPETTO AL CODICE. In questo senso il Regolamento prevede che IL TITOLARE DEVE SEMPRE specificare
• i dati di contatto del Responsabile per la Protezione dei Dati (in italiano RPD oppure in inglese DPO) se esistente
• la base giuridica del Trattamento• qual è il suo interesse legittimo se quest'ultimo costituisce la
base giuridica del Trattamento.
© Pasquale Tarallo
186
Cosa CAMBIA
L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 2 di 3
CONTENUTI DELL’INFORMATIVA
Inoltre il Titolare DEVE SEMPRE specificare
• se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, come ad esempio:
si tratta di un Paese terzo giudicato adeguato dalla Commissione europea
si utilizzano Regole Vincolanti per aziende multinazionali con più sedi locali (Binding Corporate Rules – BCR) per trasferimenti infragruppo
sono state inserite specifiche clausole contrattuali modello, ecc..
© Pasquale Tarallo
187
Cosa CAMBIA
L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 3 di 3
CONTENUTI DELL’INFORMATIVA
• Il Regolamento prevede anche ulteriori informazioni in quanto «necessarie per garantire un Trattamento corretto e trasparente». In particolare, il Titolare deve specificare:
il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione
il diritto di presentare un reclamo all'autorità di controllo se il Trattamento comporta processi decisionali automatizzati
(anche la profilazione), l'informativa deve specificarlo deve indicare anche la logica di tali processi decisionali e le
conseguenze previste per l'Interessato.
© Pasquale Tarallo
188
Cosa CAMBIA
L’Informativa – Tempistica Cosa Cambia
TEMPI DELL'INFORMATIVA
• Nel caso di dati personali non raccolti direttamente presso l'Interessato l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta,
• oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all'Interessato)
© Pasquale Tarallo
189
Cosa CAMBIA
L’Informativa - Modalità Cosa Cambia
MODALITÀ DELL'INFORMATIVA
Il Regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma
• concisa• trasparente• intelligibile • e facilmente accessibile per l'Interessato
occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (come riportato anche dal Considerando 58).
© Pasquale Tarallo
190
Cosa CAMBIA
L’Informativa - Modalità Cosa Cambia
MODALITÀ DELL'INFORMATIVA
• L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online) anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1).
• Il Regolamento ammette l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa. Le icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.
© Pasquale Tarallo
191
Cosa CAMBIA
L’Informativa - Modalità Cosa Cambia
MODALITÀ DELL'INFORMATIVA
• Sono inoltre parzialmente diversi i requisiti che il Regolamento fissa per l'esonero dall'informativa (come si esplicita nell’art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto nell'articolo 23, paragrafo 1, di quest'ultimo) ,
• Spetta al Titolare, in caso di dati personali raccolti da fonti diverse dall'Interessato, valutare se la prestazione dell'informativa agli interessati comporti uno sforzo sproporzionato
© Pasquale Tarallo
192
Cosa è INVARIATO
L’Informativa - ModalitàCosa è Invariato
MODALITÀ DELL'INFORMATIVA
• L'informativa deve essere fornita all'Interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l'Interessato, come si evince nell’art. 13).
• Se i dati non sono raccolti direttamente presso l'Interessato (art.14), l'informativa deve comprendere anche le categorie dei dati personali oggetto di Trattamento.
© Pasquale Tarallo
193
Cosa è INVARIATO
L’Informativa - ModalitàCosa è Invariato
MODALITÀ DELL'INFORMATIVA
• In tutti i casi, il Titolare deve specificare la propria identità e quella dell'eventuale rappresentante nel territorio italiano, le finalità del Trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un Responsabile del Trattamento e la sua identità, e quali sono i destinatari dei dati.
NOTA: ogni volta che le finalità cambiano si impone di informarne l'Interessato prima di procedere al Trattamento ulteriore.
© Pasquale Tarallo
194
Ancora sull’Informativa - 1 di 5
© Pasquale Tarallo
195
Ancora sull’Informativa - 2 di 5
© Pasquale Tarallo
196
Ancora sull’Informativa - 3 di 5
© Pasquale Tarallo
197
Ancora sull’Informativa - 1 di 5
© Pasquale Tarallo
198
Ancora sull’Informativa - 1 di 5
199
© Pasquale Tarallo
5 I Diritti degli Interessati
© Pasquale Tarallo
200
I Diritti degli Interessati
Il Regolamento disciplina
• Il diritto di ACCESSO
• Il diritto di cancellazione (DIRITTO ALL’OBLIO)
• Il diritto alla LIMITAZIONE DEL TRATTAMENTO
• Il diritto alla PORTABILITÀ DEI DATI
• le Modalità per l’ESERCIZIO DEI DIRITTI
© Pasquale Tarallo
201
Fondamenti di liceità del Trattamento
Informativa
Diritti degli interessati
© Pasquale Tarallo
202
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Modalità per l’esercizio dei diritti Cosa è Cambiato
© Pasquale Tarallo
203
Modalità per l’esercizio dei diritti Cosa è cambiato – 1 di 2
• Il termine per la risposta all'Interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità
• il Titolare deve comunque dare un riscontro all'Interessato ENTRO 1 MESE DALLA RICHIESTA, anche in caso di diniego
• SPETTA AL TITOLARE valutare la complessità del riscontro all'Interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'Interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5) , a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice=, ovvero se sono chieste più "copie" dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3.
Cosa CAMBIA
© Pasquale Tarallo
204
Modalità per l’esercizio dei diritti Cosa è cambiato – 2 di 2
• Nel caso di richieste di più copie il Titolare deve tenere conto dei costi amministrativi sostenuti.
• Il riscontro all'Interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità
• Può essere dato oralmente solo se così richiede l'Interessato (art. 12, paragrafo 1; oppure anche art. 15, paragrafo 3)
• La risposta fornita all'Interessato non deve essere solo "intelligibile", ma anche CONCISA, TRASPARENTE E FACILMENTE ACCESSIBILE, oltre a utilizzare un LINGUAGGIO SEMPLICE E CHIARO.
Cosa CAMBIA
© Pasquale Tarallo
205
Modalità per l’esercizio dei diritti Cosa è Invariato – 1 di 2
• Il Titolare del Trattamento deve agevolare l'esercizio dei diritti da parte dell'Interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea.
• Benché sia il solo Titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e),
• L'esercizio dei diritti è, in linea di principio, gratuito per l'Interessato, ma possono esservi eccezioni (riportate nelle slide precedenti, dove abbiamo visto cosa cambia).
• Il Titolare ha il diritto di chiedere informazioni necessarie a identificare l'Interessato, e quest'ultimo ha il dovere di fornirle, secondo modalità idonee (come disciplinato, in particolare, agli art. 11, paragrafo 2 e art. 12, paragrafo 6)
Cosa è INVARIATO
© Pasquale Tarallo
206
Modalità per l’esercizio dei dirittiCosa è Invariato – 2 di 2
• Sono ammesse deroghe ai diritti riconosciuti dal Regolamento, ma solo sul fondamento di disposizioni normative nazionali ai sensi dell'articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/"oblio", art. 83 trattamenti di natura giornalistica e art. 89 trattamenti per finalità di ricerca scientifica o storica o di statistica).
• In via generale, possono continuare a essere applicate tutte le deroghe previste dall'art. 8, comma 2, del Codice in quanto compatibili con le disposizioni citate.
• Al momento il Garante sta valutando la piena rispondenza delle disposizioni del Codice con altri requisiti fissati per la legislazione nazionale per renderla coerente con il Regolamento
Cosa è INVARIATO
© Pasquale Tarallo
207
Esercizio dei dirittiUlteriori Raccomandazioni – 1 di 2
© Pasquale Tarallo
208
Esercizio dei dirittiUlteriori Raccomandazioni – 2 di 2
© Pasquale Tarallo
209
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Diritto di accesso
© Pasquale Tarallo
210
Diritto di accesso Cosa Cambia
• Il diritto di accesso prevede in ogni caso il DIRITTO DI RICEVERE UNA COPIA DEI DATI personali oggetto di Trattamento.
• Fra le informazioni che il Titolare deve fornire non rientrano le "modalità" del Trattamento, mentre occorre INDICARE IL PERIODO DI CONSERVAZIONE previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Cosa CAMBIA
© Pasquale Tarallo
211
Diritto d accessoCosa è Invariato
• Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.
Cosa è INVARIATO
© Pasquale Tarallo
212
Ancora sul Diritto di Accesso
© Pasquale Tarallo
213
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Diritto di cancellazione/all’oblio
© Pasquale Tarallo
214
Diritto alla cancellazione/all’oblio Cosa cambia
• Il diritto cosiddetto "all'oblio" si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata.
• Si prevede, infatti, l'obbligo per i titolari (se hanno "reso pubblici" i dati personali dell'Interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione (come si evince dall’art. 17 paragrafo 2).
• Ha un campo di applicazione più esteso di quello espresso dal Codice (art.7, comma 3, lettera b), poiché l'Interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al Trattamento (come si evince dall’art. 17 paragrafo 1).
Cosa CAMBIA
© Pasquale Tarallo
215
Diritto alla cancellazione/all’oblioCosa è Invariato
Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.
Cosa è INVARIATO
© Pasquale Tarallo
216
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Diritto di Limitazione del Trattamento
© Pasquale Tarallo
217
Diritto di Limitazione del Trattamento Cosa Cambia
• Si tratta di un diritto diverso e più esteso rispetto al "blocco" del Trattamento di cui all'art. 7, comma 3, lettera a), del Codice: in particolare, È ESERCITABILE NON SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI DI LICEITÀ DEL TRATTAMENTO (quale alternativa alla cancellazione dei dati stessi), BENSÌ ANCHE SE L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI (in attesa di tale rettifica da parte del Titolare) O SI OPPONE AL LORO TRATTAMENTO ai sensi dell'art. 21 del regolamento (in attesa della valutazione da parte del Titolare).
• Esclusa la conservazione, OGNI ALTRO TRATTAMENTO DEL DATO DI CUI SI CHIEDE LA LIMITAZIONE È VIETATO a meno che ricorrano determinate circostanze (consenso dell'Interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
Cosa CAMBIA
© Pasquale Tarallo
218
Diritto di Limitazione del Trattamento Cosa è Invariato
• Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.
Cosa è INVARIATO
© Pasquale Tarallo
219
Ancora sulle Limitazioni del Trattamento
© Pasquale Tarallo
220
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Diritto alla portabilità dei dati
© Pasquale Tarallo
221
Diritto alla portabilità dei dati Cosa Cambia
• Si tratta di uno dei nuovi diritti previsti dal Regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).
• Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio.
• Sono portabili solo i dati trattati con il consenso dell'Interessato o sulla base di un contratto stipulato con l'Interessato (quindi non si applica ai dati il cui Trattamento si fonda sull'interesse pubblico o sull'interesse legittimo del Titolare, per esempio), e solo i dati che siano stati "forniti" dall'Interessato al Titolare.
• Il Titolare deve essere in grado di trasferiredirettamente i dati portabili a un altro Titolare indicato dall'Interessato, se tecnicamente possibile.
Cosa CAMBIA
© Pasquale Tarallo
222
Diritto alla portabilità dei datiCosa è Invariato
• Essendo una nuova disposizione prevista dal Regolamento non vi sono norme o disposizioni nella legislazione attualmente in vigore.
Cosa è INVARIATO
© Pasquale Tarallo
223
Ancora sul Diritto alla Portabilità dei Dati - 1 di 2
© Pasquale Tarallo
224
Ancora sul Diritto alla Portabilità dei Dati - 2 di 2
225
© Pasquale Tarallo
6 Titolare, responsabile, incaricato del Trattamento
© Pasquale Tarallo
226
Fondamenti di liceità del Trattamento
Informativa
Diritti degli interessati
Titolare, Responsabile, e Incaricato del Trattamento
© Pasquale Tarallo
227
Titolare, Responsabile, Incaricato del Trattamento
Cosa è INVARIATOCosa CAMBIA
Diventa opportuno chiedersi
Diventa opportuno chiedersi
© Pasquale Tarallo
228
Titolare, Responsabile, IncaricatoCosa Cambia – 1 di 4
• All’art. 26 del Regolamento si disciplina LA CONTITOLARITÀ DEL TRATTAMENTO E SI IMPONE AI TITOLARI DI DEFINIRE SPECIFICAMENTE (con un atto giuridicamente valido ai sensi del diritto nazionale) IL RISPETTIVO AMBITO DI RESPONSABILITÀ E I COMPITI CON PARTICOLARE RIGUARDO ALL'ESERCIZIO DEI DIRITTI DEGLI INTERESSATI, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.
• Si fissano più dettagliatamente (rispetto all'art. 29 del Codice) le CARATTERISTICHE DELL'ATTO con cui il Titolare designa un Responsabile del Trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale).
Cosa CAMBIA
© Pasquale Tarallo
229
Titolare, Responsabile, IncaricatoCosa Cambia – 2 di 4
• L'atto con cui il Titolare designa un Responsabile del Trattamento deve disciplinare tassativamente almeno le materie riportate dal Regolamento al fine di dimostrare che il Responsabile fornisce "garanzie sufficienti" su:
la NATURA la DURATA le FINALITÀ DEL TRATTAMENTO o dei
trattamenti assegnati le CATEGORIE DI DATI oggetto di Trattamento, le MISURE TECNICHE E ORGANIZZATIVE
adeguate a consentire il rispetto delle istruzioni impartite dal Titolare e, in via generale, delle disposizioni contenute nel Regolamento.
Cosa CAMBIA
© Pasquale Tarallo
230
Titolare, Responsabile, Incaricato Cosa Cambia – 3 di 4
• Si consente (art. 28 par. 4) la nomina di sub-responsabili del Trattamento da parte di un Responsabile, per specifiche attività di Trattamento, nel rispetto degli stessi obblighi contrattuali che legano Titolare e Responsabile primario
• il Responsabile risponde dinanzi al Titolare dell'inadempimento dell'eventuale sub-Responsabile, anche ai fini del risarcimento di eventuali dannicausati dal Trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile« (art,82 par, 1 e 3).Cosa CAMBIA
© Pasquale Tarallo
231
Titolare, Responsabile, IncaricatoCosa Cambia - 4 di 4
• Si prevedono obblighi specifici in capo ai responsabili del Trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:
la tenuta del REGISTRO DEI TRATTAMENTIsvolti
L'ADOZIONE DI IDONEE MISURE TECNICHE E ORGANIZZATIVE per garantire la sicurezza dei trattamenti
la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale.
• Si ricorda, infine, che anche il Responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono particolari condizioni di cui all'art. 27, paragrafo 3, del regolamento – diversamente da quanto prevede oggi l'art. 5, comma 2, del Codice.
•
Cosa CAMBIA
© Pasquale Tarallo
232
Titolare, Responsabile, Incaricato Cosa è Cambiato
• Il Regolamento definisce caratteristiche soggettive e responsabilità di Titolare e Responsabile del Trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano).
• Pur non prevedendo espressamente la figura dell' "incaricato" del Trattamento, il Regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al Trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile (come si evince in particolare, all’art. 4, n. 10, del regolamento) .
Cosa è INVARIATO
© Pasquale Tarallo
233
Ancora sul Titolare, il Responsabile, l’Incaricato - 1 di 7
© Pasquale Tarallo
234
Ancora sul Titolare, il Responsabile, l’Incaricato - 2 di 7
© Pasquale Tarallo
235
Ancora sul Titolare, il Responsabile, l’Incaricato - 3 di 7
© Pasquale Tarallo
236
Ancora sul Titolare, il Responsabile, l’Incaricato - 4 di 7
© Pasquale Tarallo
237
Ancora sul Titolare, il Responsabile, l’Incaricato - 5 di 7
© Pasquale Tarallo
238
Ancora sul Titolare, il Responsabile, l’Incaricato - 6 di 7
© Pasquale Tarallo
239
Ancora sul Titolare, il Responsabile, l’Incaricato - 7 di 7
240
© Pasquale Tarallo
7 Approccio basato sul rischio e responsabilizzazione
© Pasquale Tarallo
241
Fondamenti di liceità del Trattamento
Informativa
Diritti degli interessati
Titolare, Responsabile, e Incaricato del Trattamento
Approccio basato sul rischio & Accountability
© Pasquale Tarallo
242
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Approccio basato sul rischio e responsabilizzazione
© Pasquale Tarallo
243
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 1 di 8
• Il Regolamento pone con forza l'accento sulla capacità di dare
conto con responsabilità (ACCOUNTABILITYnell'accezione inglese) dei titolari e dei responsabili – ossia, sulla rispettiva capacità di dare luogo a comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento (come si legge (si negli artt. 23-25, in particolare, e l'intero Capo IV).
• Si tratta di una GRANDE NOVITÀ PER LA PROTEZIONE DEI DATI in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del Trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.
© Pasquale Tarallo
244
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazioneCosa Cambia – 2 di 8
• Uno dei primi criteri individuati per l’accountability è
sintetizzato dalle due espressioni inglesi «DATA PROTECTION BY DEFAULT» e DATA PROTECTION BY DESIGN", ossia dalla NECESSITÀ
DI CONFIGURARE IL TRATTAMENTO PREVEDENDO FIN DALL'INIZIO LE GARANZIE INDISPENSABILI "al fine di soddisfare i requisiti" del Regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il Trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
© Pasquale Tarallo
245
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 3 di 8
• Quanto fin qui delineato deve avvenire a monte, prima di procedere al Trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del Trattamento sia all'atto del Trattamento stesso«, secondo quanto afferma l'art. 25 del regolamento, e richiede, pertanto, un'analisi preventiva sugli impatti relativi alla protezione dei dato (DPIA – DATA PROTECION IMPACT ASSESSMENT) e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
© Pasquale Tarallo
246
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 4 di 8
• Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al Trattamento, ovvero il RISCHIO DI IMPATTI NEGATIVI sulle libertà e i diritti degli interessati (come esplicitano nei (si vedano considerando 75-77).
© Pasquale Tarallo
247
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 5 di 8
• Gli impatti dovranno essere analizzati attraverso un apposito PROCESSO DI VALUTAZIONE (come disciplinato negli art, 35-36) o PIA, cioè Privacy Impact Assessment, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il Titolare ritiene di dover adottare per mitigare tali rischi.
© Pasquale Tarallo
248
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 6 di 8
• All'esito di questa valutazione di impatto il Titolare potrà decidere in autonomia se iniziare il Trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.
• L'autorità non avrà il compito di "autorizzare" il Trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del Titolare e potrà (come disposto all’art. 58 del Regolamento), ove necessario, adottare tutte le misure correttive:
ammonimento del Titolare limitazione, oppure divieto di procedere al Trattamento.
© Pasquale Tarallo
249
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 7 di 8
• L'intervento delle autorità di controllo sarà quindi principalmente "ex post", ossia si collocherà successivamente alle determinazioni assunte autonomamente dal Titolare.
• Questo spiega l'ABOLIZIONE a partire dal 25 maggio 2018 di alcuni istituti finora previsti, come la NOTIFICA PREVENTIVA dei trattamenti all'autorità di controllo e il cosiddetto PRIOR CHECKING (O VERIFICA PRELIMINARE), sostituiti da obblighi di tenuta di un Registro dei trattamenti da parte del Titolare/Responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.
© Pasquale Tarallo
250
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 8 di 8
• Alle autorità di controllo, e in particolare al "Comitato europeo della protezione dei dati" (l'erede dell'attuale Gruppo "Articolo 29") spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di Trattamento dati.
© Pasquale Tarallo
251
Cosa CAMBIA
Approccio basato sul rischio e responsabilizzazione Registro dei trattamenti – Cosa Cambia
• Tutti i titolari e i responsabili di Trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un Registro delle operazioni di Trattamento.
• Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico –indispensabile per ogni valutazione e analisi del rischio.
• Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
© Pasquale Tarallo
252
Ancora sul Registro dei Trattamenti – 1 di 3
© Pasquale Tarallo
253
Ancora sul Registro dei Trattamenti – 2 di 3
© Pasquale Tarallo
254
Ancora sul Registro dei Trattamenti – 3 di 3
© Pasquale Tarallo
255
Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 1 di 3
• Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del Trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva ("tra le altre, se del caso").
• Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Cosa CAMBIA
© Pasquale Tarallo
256
Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 2 di 3
• Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate.
• Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato "B" al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni.
Cosa CAMBIA
© Pasquale Tarallo
257
Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 2 di 3
• Per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
•Cosa CAMBIA
© Pasquale Tarallo
258
Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia
• A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi –dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85).
• La notifica all'autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.
Cosa CAMBIA
© Pasquale Tarallo
259
Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia
• Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo"; fanno eccezione le circostanze indicate al paragrafo 3 dell'art. 34, che coincidono solo in parte con quelle attualmente menzionate nell'art. 32-bis del Codice.
• I contenuti della notifica all'autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del regolamento.
• Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è stato chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il Gruppo "Articolo 29".
Cosa CAMBIA
© Pasquale Tarallo
260
Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia
• La nostra Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di Trattamento secondo quanto prevede il regolamento.
Cosa CAMBIA
© Pasquale Tarallo
261
Ancora sulle violazioni dei dati
© Pasquale Tarallo
262
Approccio basato sul rischio e responsabilizzazione Data Protection Officer (DPO) – Cosa Cambia – 1 di 2
• Anche la designazione di un "Responsabile della Protezione Dati" (RPD, ovvero DPO se si utilizza l'acronimo inglese: Data Protection Officer) riflette l'approccio responsabilizzante che è proprio del Regolamento, essendo finalizzata a facilitare l'attuazione del Regolamento da parte del Titolare/del Responsabile.
• Non è un caso, infatti, che fra i compiti del RPD rientrino "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto.
Cosa CAMBIA
© Pasquale Tarallo
263
Approccio basato sul rischio e responsabilizzazione Data Protection Officer (DPO) – Cosa Cambia – 2 di 2
• La designazione del DPO è obbligatoria in alcuni casi, e il Regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano I termini che il WP29 ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante con le rispettive domande ricorrenti (FAQ).
Cosa CAMBIA
264
© Pasquale Tarallo
8Trasferimento dei dati verso Paesi terzi e Organizzazioni Internazionali
© Pasquale Tarallo
265
Fondamenti di liceità del Trattamento
Informativa
Diritti degli interessati
Titolare, Responsabile, e Incaricato del Trattamento
Approccio basato sul rischio & Accountability
Trasferimento dei dati
© Pasquale Tarallo
266
Cosa è INVARIATOCosa CAMBIA
Articoli del Codice Privacy
e Altre Disposizioni
Articoli e Considerando
del GDPR
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali
© Pasquale Tarallo
267
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 1 di 9
• Viene meno il requisito dell'autorizzazione nazionale (si vedano art. 45, paragrafo 1, e art. 46, paragrafo 2).
• Il trasferimento verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa approvate attraverso la specifica procedura di cui all'art. 47 del regolamento, potrà avere inizio senza attendere l'autorizzazione nazionale del Garante - a differenza di quanto attualmente previsto dall'art. 44 del Codice.
Cosa CAMBIA
© Pasquale Tarallo
268
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 2 di 9
• L'autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.
Cosa CAMBIA
© Pasquale Tarallo
269
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 3 di 9
• Il Regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" previste.
• Ciò significa che i titolari o i responsabili del Trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti.
• Tuttavia, (si vedano art. 40, paragrafo 3, e art. 42, paragrafo 2) tali titolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.
Cosa CAMBIA
© Pasquale Tarallo
270
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 4 di 9
• Il Regolamento vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell'esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (art. 48).
• Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche.
Cosa CAMBIA
© Pasquale Tarallo
271
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 5 di 9
• Si deve ricordare che il Regolamento sancisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato "per importanti motivi di interesse pubblico", in deroga al divieto generale.
• In questo caso deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del Titolare o dal diritto dell'Ue (si veda art. 49, paragrafo 4) e dunque non può essere fatto valere l'interesse pubblico dello Stato terzo ricevente.
Cosa CAMBIA
© Pasquale Tarallo
272
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 6 di 9
• Il Regolamento fissa i requisiti per l'approvazione delle norme vincolanti d'impresa e i contenuti obbligatori di tali norme.
• L'elenco indicato al riguardo nel paragrafo 2 dell'art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori.
• Ad ogni modo, l'approvazione delle norme vincolanti d'impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento – ossia, è previsto in ogni caso l'intervento del Comitato europeo per la protezione dei dati (coedisciplinato all’art. 65, paragrafo 1, lettera d).
Cosa CAMBIA
© Pasquale Tarallo
273
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 7 di 9
• Il Regolamento al Capo V ha confermato l'approccio attualmente vigente in base alla direttiva 95/46 e al Codice Italiano per quanto riguarda i flussi di dati al di fuori dell'Unione europea e dello spazio economico europeo, prevedendo che tali flussi sono vietati, in linea di principio a meno che intervengano specifiche garanzie.
Cosa è INVARIATO
© Pasquale Tarallo
274
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 8 di 9
• Il Regolamento ha confermato la possibilità di deroga se intervengono le seguenti specifiche garanzie:
l’adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea (art. 44, comma 1, lettera b), del Codice);
l’assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d'impresa - BCR, e clausole contrattuali modello, come descritto all’art. 44, comma 1, lettera a) del Codice);
in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni corrispondenti in parte alle disposizioni dell'art. 43, comma 1, del Codice).
Cosa è INVARIATO
© Pasquale Tarallo
275
Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 9 di 9
• Le decisioni di adeguatezza sinora adottate dalla Commissione (livello di protezione dati in Paesi terzi, a partire dallo scudo per la Privacy (Privacy Shield), e clausole contrattuali tipo per titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica.
• Restano valide, conseguentemente, le autorizzazioni nazionali sinora emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione
• Restano valide, inoltre, le autorizzazioni nazionali che il Garante ha rilasciato in questi anni per specifici casi, sino a loro eventuale modifica
Cosa è INVARIATO
276
© Pasquale Tarallo
9 Conclusioni
© Pasquale Tarallo
277
Contenuti di questa presentazione e di ulteriori contributi
Come specificato al principio della presentazione i contenuti fin qui esposti
fanno parte di un progetto editoriale più ampioIdeato, Realizzato e Distribuito GRATUITAMENTE
che può essere richiesto in formato ppt via mail inviando i propri riferimenti completi a
Pasquale Tarallo
© Pasquale Tarallo
278
Riferimenti dell’autore e dove trovare altri contributi simili
Email [email protected]. +39 02 90377918 Mobile +39 3394561469