Seminario Nuovo Regolamento
Protezione Dati Personali (GDPR)
Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30
Seminario
Le norme e i regolamenti
2
• Direttiva 95/46/CE
• Recepita in Italia con la legge 675/96 e il DPR 318/1999
• Codice per la protezione dei dati personali – d.lgs 196/03 (e allegati)
• Provvedimento del garante della privacy 27/11/2008 (amministratori di sistema)
• Regolamento europeo privacy (GDPR) – n. 679/2016
• Regolamento eIDAS – n. 910/2014
• Codice dell’amministrazione digitale – d.lgs n.82/2005
La tutela dei dati personali
3
Regolamento 679 del 14 aprile 2016
• È entrato in vigore il 24 maggio 2016
• Gli enti devono adeguarsi entro il 25 maggio 2018
È direttamente applicabile: non ha bisogno di essere recepito da alcun atto
Obiettivo: armonizzare le regole privacy dei vari stati e aggiornare le normative europee alla
centralità del web
I dati devono essere trattati in modo da garantire un’adeguata sicurezza e riservatezza al fine
di impedire l’accesso o il loro utilizzo non autorizzato
Garantire agli enti, alle organizzazioni e ai servizi la circolazione di dati e delle
informazioni nel rispetto del diritto alla privacy
Seminario
La struttura del regolamento
4
11 capi e 99 articoli
• Disposizioni generali e principi (capi I e II)
• Requisiti di attuazioni per gli enti, le aziende ed i servizi (capi III, IV, V, VIII)
• Tematiche di governance (capi VI autorità di controllo – VII, IX e X)
• Disposizioni finali (capo XI)
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificata.
(vengono poi distinti dati particolari, penali …)
Trattamento: qualsiasi operazione o insieme di operazioni compiute con
o senza l’ausilio di processi automatizzati applicate a dati personali
Seminario
Principi riconosciuti
5
- Diritto alla protezione dei dati – la gestione dei dati personali di cittadini UE implica la
strutturazione di processi e tecnologie adeguate per la protezione di tali dati
- Diritto al consenso attivo ovvero il diritto a revocare in qualsiasi momento il consenso dato
- Portabilità dei dati – senza che il responsabile del trattamento possa impedirlo
Seminario
Principi riconosciuti
6
- Diritto all’oblio:
- Se non è più necessario l’uso dei dati per lo scopo originario
- Se l’interessato revoca il consenso
- Se l’interessato si oppone
- Se sono trattati illegittimamente
- Se i dati devono essere cancellati per legge
- Diritto all’informazione trasparente – chiara semplice e comprensibile
- Data breach – obbligo di informare il soggetto in merito alle violazioni avvenute
Seminario
Obblighi di chi effettua il trattamento
• Principio di responsabilità
Dimostrare di aver adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati
• Tracciabilità di tutte le operazioni di trattamento
• Devono essere identificate tutte le misure di sicurezza adottate, assicurando e comprovando
la conformità di ciascuna operazione alle disposizioni del Regolamento
• Principio di minimizzazione dei dati da raccogliere
• Limitazione della conservazione
Seminario
Cambia il concetto di privacy
9
La privacy diviene un processo di gestione del dato e della sua protezione.
(dati associati ad una persona fisica sia oggettivi es. il luogo di residenza – che presuntivi es. una
qualsiasi opinione espressa ad una persona)
PRIVACY BY DEFAULT E PRIVACY BY DESIGN
Diviene fondamentale sapere:
- Quale dato viene trattato
- Da chi
- Per quanto tempo
REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
I ruoli della privacy
Seminario
Titolare del trattamento
Persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali
- Mette in atto le misure tecniche ed organizzative adeguate per garantire e dimostrare che il
trattamento è effettuato conformemente al regolamento UE
Responsabile del trattamento
È designato dal titolare per occuparsi del trattamento dei dati con un contratto o altro atto
giuridico. Nel contratto saranno indicati:
- La materia disciplinata e la durata del trattamento
- La natura e la finalità del trattamento
- Il tipo di dati personali e le categorie di interessati
- Gli obblighi e i diritti del titolare
DPO – Data Protection Officer
Seminario
Controlla che le procedure siano conformi alla normativa e ne vigila la corretta esecuzione
Requisiti Responsabilità
Competenze informatiche Sorvegliare i profili privacy
Competenze normative Riferisce direttamente al titolare del
trattamento
Indipendenza Consiglia e sorveglia sull’applicazione
del regolamento
Autonomia di risorse Cooperare con l’autorità di controllo
È il punto di riferimento per i cittadini in materia di privacy
(13/12/2016 pubblicazione Linee guida (WP art. 29))
Prime indicazioni del Garante (newsletter 15/09/2017)
Nuove FAQ su RPD in ambito pubblico (15/12/2017)
Quale documentazione produrre?
Seminario
12
È necessario elaborare un sistema di gestione della privacy (i regolamenti interni, le procedure e
la documentazione aggiornata)
• Istituire registro delle attività di trattamento dei dati
• Valutazione di impatto sulla protezione dei dati
• Informativa
• consenso
Principio di responsabilità
Principio di trasparenza
Registro delle attività di trattamento
Seminario
13
Il registro è relativo alla descrizione delle misure di sicurezza:
- Tecniche
- Organizzative
Deve contenere le attività di trattamento svolte sotto la responsabilità del titolare (o del
responsabile)
1. Nome e dati del titolare (o del responsabile) del trattamento 2. Le finalità del trattamento 3. Una descrizione delle categorie di interessati e delle categorie dei dati personali 4. Le categorie di destinatari a cui i dati sono comunicati 5. I termini ultimi per la cancellazione delle diverse categorie di dati 6. Una descrizione delle misure di sicurezza tecniche e organizzative (art. 32) 7. (Indicazione di eventuali trasferimenti fuori UE)
DPS VS registro dei trattamenti
14
Guida operativa per redigere DPS
ART. 30 GDPR
Titolare, Contitolare, rappresentante, RPD Finalità perseguita o attività svolta Finalità del trattamento
Categorie di Interessati Categorie di interessati
Natura dei dati trattati (S, G) Categorie di dati personali Struttura di riferimento
Altre strutture (anche esterne) che concorrono al trattamento
Categorie di destinatari a cui i dati personali sono stati o saranno comunicati
Descrizione degli strumenti utilizzati
Descrizione generale delle misure di sicurezza tecniche e organizzative
Eventuale banca dati Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso Tipologia di Interconnessione Trasferimenti di dati personali verso un paese terzo
Termini ultimi previsti per la cancellazione
Quali misure per garantire la sicurezza?
Seminario
15
Ad esempio (art.32):
• Psudonimizzazione e la cifratura dei dati personali
• La capacità di assicurare su base permanente la riservatezza, l’illegalità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento
• La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso
di incidente fisico o tecnico
• Una procedura di test, verificare e valutare l’efficacia delle misure tecniche e organizzative al fine
di garantire la sicurezza del trattamento
• L’adesione a un codice di condotta approvato
• Il possesso di certificazioni rilasciate da enti accreditati
Valutazione dell’impatto sulla protezione dei dati – PIA (art. 35)
Seminario
L’articolo 35 del GDPR prevede, in caso di nuovi trattamenti di dati, di effettuare una valutazione
preliminare dell’impatto sulla protezione dei dati che tali nuovi trattamenti comporterebbero.
1. Descrizione dei trattamenti previsti e delle relative finalità
2. Valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità
3. Una valutazione dei rischi per i diritti degli interessati
4. Le misure attuate per prevenire ed affrontare i rischi
Qualora le misure non siano sufficienti per garantire la privacy occorre indicare le azioni necessarie
per garantire livelli adeguati
• Il titolare del trattamento procede a un riesame (annuale)
Strumenti: informative e consenso
Seminario
Rispondono al principio di trasparenza
Devono essere trasparenti le modalità con cui sono raccolti, utilizzati consultati e trattati i dati personali
Informativa: deve essere data in forma concisa, trasparente, intelligibile, facilmente accessibile e con
linguaggio chiaro e semplice
Deve indicare:
• l’identità del titolare e del DPO
• la completa finalità del trattamento
• i tempi e i criteri dei meccanismi di conservazione
• Diritto di inviare reclamo all’autorità di controllo
Può essere fornita anche tramite icone standard a livello europeo (ancora non definite)
È fornita per iscritto o con alti mezzi (oralmente o in formato elettronico)
Va indicato il periodo di conservazione
Strumenti: consenso «inequivocabile»
Seminario
Il trattamento dei dati personali deve fondarsi sul consenso dell’interessato (se non c’è un contratto esplicito –
es. cookie sui siti-) – tramite il consenso l’interessato accetta che i dati che lo riguardino siano oggetto di
trattamento
• Deve essere chiesto per ogni singola finalità
• Deve esserci un azione esplicita per darlo (es. un clic sull’ok)
• Non configura consenso il silenzio, l’inattività o la preselezione di caselle
Non è obbligatorio il consenso quando il trattamento è necessario per il legittimo interesse del titolare e alle
sue finalità (ad eccezione delle attività di profilazione)
Le finalità devono essere data nelle informative (considerando 47)
Il titolare del trattamento deve essere in grado di dimostrare che l’interessato
ha acconsentito al trattamento
Sanzioni (art. 83)
Seminario
• Fino a 10 milioni di euro o 2% del fatturato mondiale totale annuo dell’anno
precedente
• Se violati gli obblighi del titolare e del responsabile
• Fino a 20 milioni di euro o 4% del fatturato mondiale totale annuo dell’anno
precedente
• Se sono violati i principi dettati in materia di principi base del trattamento ed
in particolare del consenso, i diritti degli interessati, le disposizioni in materia
di trasferimenti di dati in paesi terzi o in caso di negato accesso
Cosa resta - Cosa cambia
Protezione delle sole persone fisiche Diritto all’oblio
Definizione di trattamento Portabilità dei dati
Definizione di dato personale Privacy by default e by design
Principi relativi al trattamento dei dati Responsabilizzazione dei titolare
Liceità del trattamento Registro dei trattamenti
Obbligo informativa Notifica in caso di data breach
Valutazione d’impatto
DPO
Sanzioni
Privacy: che fare ora?
Seminario
A. Raccogliere meno dati possibile (es. SPID)
B. Attuare la pseudonimizzazione – mascherare l’identità delle persone
1- Predisporre il registro dei trattamenti
2- Determinare i tempi di conservazione dei dati
3- Valutare per ogni trattamento la fonte dei dati
4- Nominare un Data Privacy Officer
5- Predisporre il documento di valutazione
di impatto del trattamento dei dati (PIA –
privacy Impact Assessment)
6- Data breach (es. attraverso software specifici)