Post on 13-Apr-2017
transcript
Il Principio della «Privacy By Design»
nel REGOLAMENTO UE (2016/679)
Linux Day 2016
Palermo – 22 ottobre 2016
Teatro Gregotti - Università degli Studi di Palermorelatore
Adriano Bertolino
CHI SONO?
Adriano Bertolino
it.linkedin.com/in/adrianobertolino
about.me/adrianobertolino
Data Protection Officer | Consulente della Privacy Consulente e Formatore in materia di protezione dei dati personali
Dal 2001 mio occupo di consulenza e formazione in materia di privacy (D.lgs. 196/03 ss.mm.ii.) per enti pubblici e privati, imprese, startup e professionisti, in tutti i settori interessati dalle norme in materia. Durante la mia attività di assistenza guardo sempre con particolare attenzione alla protezione legale del cliente, utilizzando gli strumenti normativi come criteri sia per un’efficiente organizzazione, sia per la gestione corretta dei dati personali trattati, considerando questi ultimi quale risorsa primaria ed essenziale per lo sviluppo dell'impresa.
a.bertolino@neostudio.it
Certificato TÜV Italia n° CDP_272conforme ISO/IEC 17024:2012
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
AGENDA
− Evoluzione delle norme privacy in UE
− Definizioni e Principi del trattamento dati personali
− Privacy by Design
− Privacy by Default
− Trattamento dati personali extra UE
− Sanzioni e Responsabilità
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
EVOLUZIONE NORMATIVA
• Direttiva Europea n. 95/46/CE
• LEGGE n. 675/96 - La “legge sulla Privacy”
• DPR n. 318/99 - Decreto attuativo: Le misure di sicurezza
• D.LGS n. 196/2003 - Codice della Privacy
• REGOLAMENTO (UE) n. 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27/04/2016
Regolamento generale relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. (#GDPR)
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
REGOLAMENTO (UE) 2016/679
Dalle legislazioni vigente nei singoli Stati membri UE e dall’esperienza dei Garanti Privacy Europei…
…ad un Regolamento unico applicabile su tutto il territorio europeo ed anche fuori a protezione di tutti i cittadini UE
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
A cosa serve?
Il Regolamento UE protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali e regolamenta la loro libera circolazione nell’Unione Europea e fuori dall’UE
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
I principali temi del Regolamento UE 2016/679
Privacy by
Default
Trasferimenti
Extra
UE
Profilazione
on line
Trasparenza
Data
Breach
Threats
Portabilità
dei Dati
Social
e MinoriPrivacy
Impact
Assessement
(PIA)Dirittto
all’oblio
Threats
Privacy by
Design
Accountability
One
Stop
ShopData
Protection
Officer
Consenso
Esplicito
Misure di
Sicurezza
Sanzioni
Amministrative
elevate
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
PRINCIPALI DEFINIZIONIL’ Articolo 4 della General Data Protection Regulation riporta le definizioni
fondamentali per comprendere l’applicazione del Regolamento UE.
Dato Personale
Trattamento
Pseudoanonimizzazione
Profilazione
Consenso dell'interessato
Titolare e Responsabile del
trattamento
Responsabile della protezione
dati (Data Protection Officer)
Violazione dei dati personali
Rappresentante
Trattamento transfrontaliero
Norme vincolanti d'impresa
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
DATO PERSONALE
“Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], direttamente o indirettamente
• Nome;
• Numero identificazione; (C.F./Matricola)
• Dati relativi all'ubicazione; (GPS)
• Identificativo online; (Login)
• Elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale (Impronta, Iride, Comportamento,
Etnia, Status sociale e Economico)
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
DATO PERSONALE - 2Non solo i dati identificativi di tipo
documentale…
Anche, una ripresa video, una fotografia,un’immagine diagnostica o i dati biometrici…
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
TRATTAMENTO DEL DATO PERSONALE
«Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;»
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Principi del trattamento - Art.5
Liceità, correttezza e trasparenza;
Limitazione della finalità;
Minimizzazione dei dati;
Esattezza;
Limitazione della conservazione;
Integrità e riservatezza;
Responsabilizzazione;
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Come devono essere Trattati? Art.5
«Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali»
Il titolare del trattamento è competente per il rispetto del trattamento e deve essere in grado di comprovarlo («accountability»)
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
GDPR - art. 25
Privacy by Design
• Protezione dei dati fin dalla progettazione del trattamento
Privacy by Default
• Protezione dei dati trattati per impostazione predefinita
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Privacy by Design
• Il principio chiede di garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o dalla scelta di un determinato servizio/fornitore di servizi, in modo da prevenire possibili rischi
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Privacy by Design
Art. 25.1
Nel quadro di tale progettazione, tenuto conto e quindi in proporzione
• dello stato dell’arte e dei costi di attuazione
• delle finalità del trattamento
• del grado di probabilità e gravità del rischio associato al trattamento
il Titolare del trattamento, al momento di determinare i mezzi del trattamento, mette in ogni caso in atto misure tecniche ed organizzative adeguate quali la pseudoanonimizzazione o la minimizzazione.
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Privacy by Design
Art. 4 - 5)
Pseudoanonimizzazione:
trattare dati personali in modo tale che tali dati non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive.
In ogni caso tali informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative volte a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Privacy by Design
Pseudoanonimizzazione
Identificativo Dati
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Privacy by Design
Minimizzazione dei dati
Limitazione nel trattamento dei dati:
• Adeguati;
• Pertinenti;
• Limitati;
Soloi dati necessari rispetto alle finalità perseguite
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Privacy by Default
Art. 25.2
Il titolare del trattamento mette in atto misure tecniche eorganizzative adeguate per garantire che siano trattati, perimpostazione predefinita, solo i dati personali necessariper ogni specifica finalità del trattamento. Tale obbligo valeper la quantità dei dati personali raccolti,[…] il periodo diconservazione e l'accessibilità.[…]
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
In sostanza
1. Sicurezza Proattiva e non Reattiva;
2. Impostazioni di protezione dei dati di default;
3. Tutela dei dati personali inclusa nel progetto;
4. Funzionalità di protezione dei dati complete ( e non =);
5. Sicurezza durante tutto il ciclo del trattamento dalla raccoltaalla distruzione;
6. Trasparenza nelle informazioni all’interessato;
7. Centralità dell'utente nel trattamento (User Centric);
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Trattamento dati extra UE - 1
Articolo 44 - Principio generale per il trasferimento
• Qualunque trasferimento di dati personali oggetto diun trattamento […] verso un paese terzo […], haluogo soltanto se il titolare del trattamento […]rispettano le condizioni di cui al presente capo,[…].Tutte le disposizioni del presente capo sonoapplicate al fine di assicurare che il livello diprotezione delle persone fisiche garantito dalpresente regolamento non sia pregiudicato.
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Trattamento dati extra UE - 2
Condizioni per il trasferimento dati extra UE:
• Decisione di adeguatezza presa dalla Commissione europea.
Tuttavia la stessa Commissione almeno ogni 4 anni effettua un riesame di tale decisione, al fine di verificare il mantenimento delil livello di protezione adeguato già valutato.
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Trattamento dati extra UE - 3
Condizioni per il trasferimento dati extra UE:
• Garanzie adeguate:Il titolare o il responsabile del trattamento devono fornire garanzie adeguate ovvero:
i. Siano disponibili diritti mezzi di ricorso effettivi per gli interessati;
ii. Norme vincolanti di impresa;
iii. Clausole contrattuali standard adottate dalla Commissione;
iv. Codici di condotta;
v. Certificazioni specifiche;
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Trattamento dati extra UE - 4
Condizioni per il trasferimento dati extra UE:
• Norme vincolanti d'impresa (BCR – Binding Corporate Rules):
a) Consente il trasferimento, anche verso paesi extra UE, tra società dellostesso gruppo imprenditoriale;
b) Clausole contrattuali in linea con il GDPR, in particolare con art. 47 eapplicate in tutte le società del gruppo;
c) Le BCR devono essere valutate ed approvate preventivamente dallaCommissione o dal Garante nazionale o europeo;
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Trattamento dati extra UE - 5
Casi deroga :
1. Consenso esplicitamente espresso dall’interessato altrasferimento;
2. Quando è necessario per l'esecuzione di un contratto concluso trail titolare e l’interessato;
3. Per importanti motivi di ordine pubblico;
4. Per tutelare gli interessi vitali dell’interessato o altre persone;
5. Per accertare, esercitare o difendere un diritto in sede giudiziaria;
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Sanzioni amministrative - 1
Articolo 82 - Diritto al risarcimento e responsabilità
1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
ma…
3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, […] se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
Sanzioni amministrative - 2
Art. 83
4. Fino a 10.000.000 euro, o per le imprese, finoal 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
5. Fino a 20.000.000 euro, o per le imprese, fino
al 4% del fatturato mondiale totale annuo
dell'esercizio precedente, se superiore.
Studio
di consu
lenza pe
r l’infor
matica
giuridic
a e l’org
anizzaz
ione azi
endale
29
NEO STUDIO 2000 S.R.L.
Largo Villaura, 27 – PALERMO
Tel. 091 364924 - neostudio@neostudio.it
a.bertolino@neostudio.it - cell. 3477167484