IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI - GDPR UE 2016/679 - Corso Formazione Privacy GDPR - 1 modulo Giugno 2018
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IL NUOVO REGOLAMENTO EUROPEO
SULLA PROTEZIONE DEI DATI
GDPR UE 2016/679
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 1
PRINCIPALI NOVITÀ DEL GDPR
Regole comuni per tutti i paesi UE per eliminare disparità di trattamento per i soggetti
interessati
Introdotto il principio cardine di "Accountability", ovvero della "Responsabilizzazione" del
Titolare del trattamento dei dati, che deve essere in grado di dimostrare la conformità al
regolamento. Il Titolare deve obbligatoriamente documentare tutti i trattamenti effettuati,
gli eventuali rischi e le misure di protezione adottate.
Ai diritti dell'interessato già esistenti (trasparenza, accesso, rettifica, cancellazione, diritto
di opposizione) se ne aggiungono di nuovi quali il diritto all’oblio e il diritto alla portabilità.
Introdotti i principi di "Privacy by Design" e "Privacy by Default" i quali implicano che i
trattamenti debbano essere concepiti, sin dal momento della loro ideazione, nel rispetto
delle regole fissate dal legislatore e impostati di conseguenza
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 2PRINCIPALI NOVITÀ DEL GDPR
Introduzione della Contitolarità nel trattamento dei dati. Viene introdotta la nomina
obbligatoria per il Responsabile esterno per i soggetti che effettuano operazioni di
trattamento per il Titolare (con contratto o altro atto giuridico a norma UE).
Al momento non è più codificata la figura del Responsabile Interno.
Introduzione della figura del Responsabile della Protezione dei Dati (RPD - DPO), figura
obbligatoria per alcune categorie di soggetti Titolari del Trattamento (PA, soggetti la cui
attività principale consiste nel trattamento su larga scala di dati particolari o sul controllo
regolare e sistematico degli interessati, sempre su larga scala).
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 3PRINCIPALI NOVITÀ DEL GDPR
Viene istituito il "Registro delle attività di Trattamento", da redigersi a cura del Titolare sul
quale rendicontare tutte le attività in materia di protezione e circolazione dei dati personali
trattati. Nel caso il Titolare operi anche come Responsabile esterno del trattamento, dovrò
rendicontare con modalità analoghe le attività svolte su un altro specifico registro.
L’informativa deve essere accessibile , concisa e scritta con linguaggio chiaro e semplice
con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto
Il consenso oltre che libero, specifico e informato, deve essere inequivocabile. E’ valido solo
se la volontà è espressa in modo NON equivoco per ogni singolo trattamento.
il titolare dovrà sempre essere in grado di dimostrare che l'interessato abbia prestato il
consenso ad uno specifico trattamento.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 4PRINCIPALI NOVITÀ DEL GDPR
E’ stato sancito l’obbligo per il Titolare, di comunicare le violazioni o perdite di dati anche
accidentali (DATA BREACH) all’Autorità Garante, senza ingiustificato ritardo e, ove possibile,
entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché al soggetto interessato,
qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i
diritti
e le libertà dello stesso
La legge applicabile è quella del soggetto interessato del trattamento, I Titolari (tra i quali
anche social network, piattaforme web e motori di ricerca) saranno quindi soggetti alla
normativa Europea anche se aventi sede fuori dall’UE.
Sono previste sanzioni amministrative fino a 20.000.000 di Euro, o in alternativa, se superiore,
il 4% del fatturato mondiale annuo. Tali sanzioni possono essere attenuate da comportamenti
virtuosi.
Ad oggi non è ancora possibile definire sanzioni penali comunitarie, tali sanzioni sono stabilite
dai singoli stati membri. E' previsto anche il risarcimento di danni materiali o immateriali. In
ogni caso le sanzioni devono essere EFFETTIVE, PROPORZIONATE e DISSUASIVE.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 5RIASSUMENDO BREVEMENTE
La principale novità è il principio di ACCOUNTABILITY, ovvero della "Responsabilizzazione
del titolare" che deve essere in grado di dimostrare la conformità al regolamento,
chiunque agisca sotto la sua autorità e abbia accesso a dati personali non può trattare tali
dati se non è istruito in tal senso (PROCEDURE e FORMAZIONE).
E’ OBBLIGATORIO documentare tutti i trattamenti effettuati, trattamenti che vanno progettati
e configurati secondo i dettami del Regolamento
3 NUOVI ADEMPIMENTI IMPORTANTI:
1. I Registri dei trattamenti (per Titolari e Responsabili)
2. L'analisi dei rischi (necessaria per definire le misure di sicurezza adeguate da applicarsi)
3. Data Breach , violazione dei dati personali (fraudolenta o accidentale)
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 6RESTANO PERO'ANCORA DA DEFINIRE:
• Le disposizioni di adeguamento
• Codici di condotta e certificazioni
• I provvedimenti generali (le linee guida)
• Il concetto di Larga Scala
• La figura dei manutentori
• Semplificazioni
• ……………….
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 7Ma cosa intendiamo esattamente per dati personali ?
"dato personale": qualsiasi informazione riguardante una persona fisica identificata o
identificabile ("interessato"); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo
come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 8Categorie particolari di dati personali (gli ex dati sensibili)
Sono i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche,
le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici,
dati biometrici intesi a identificare in modo univoco una persona fisica, dati
relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 9Principi applicabili al trattamento dei dati personali
e alla loro libera circolazione
I dati personali devono essere
– trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e
trasparenza");
– raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che
non sia incompatibile con tali finalità;
– adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
("minimizzazione dei dati");
– esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per
cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono
trattati ("esattezza");
– conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non
superiore al conseguimento delle finalità per le quali sono trattati;
– trattati in maniera da garantire un'adeguata sicurezza, che comprenda la protezione da
trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentale,
mediante misure tecniche e organizzative ADEGUATE.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 10Liceità del trattamento
perché un trattamento di dati personali sia considerato lecito, deve incorrere almeno una
delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o
più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il
titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di
un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del
trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà
fondamentali dell’interessato.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 11Trattamento di categorie particolari di dati personali
(gli ex dati sensibili)
Per quanto riguarda tali dati, il loro trattamento è vietato in prima battuta, a
meno che il titolare possa dimostrare di soddisfare almeno una delle
condizioni fissate all’articolo 9, paragrafo 2 del Regolamento.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 12Condizioni di liceità per il Trattamento di categorie particolari di
dati personali
• l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o
più finalità specifiche;
• il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro
che persegua finalità politiche, filosofiche, religiose o sindacali;
• il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
• il trattamento è necessario per uno dei seguenti scopi:
– per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o
dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
– per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si
trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
– per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità
giurisdizionali esercitino le loro funzioni giurisdizionali;
– per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;
– per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità
lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei
sistemi e servizi sanitari o sociali;
– per motivi di interesse pubblico nel settore della sanità pubblica;
– per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 13Consenso al trattamento dei dati
Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in
grado di dimostrare che l'interessato ha prestato il proprio consenso, che è valido se:
• all'interessato è stata resa l'informazione sul trattamento dei dati personali;
• è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento
persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve
essere sempre revocabile;
• Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre
richieste o dichiarazioni rivolte all’interessato, per esempio all’interno della modulistica.
• Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già
spuntate su un modulo).
• Quando il trattamento riguarda le “categorie particolari di dati personali” (art.9) il
consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su
trattamenti automatizzati (compresa la profilazione ).
• Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la
“forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del
consenso e il suo essere “esplicito”.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 14Informativa al trattamento dei dati (Art.13 – 14)
L’informativa deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della
raccolta dei dati (Art.13)
Nel caso di dati personali non raccolti direttamente presso l’interessato (Art.14), l’informativa deve essere
fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto
nel contesto di servizi online.
In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve
essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e
semplice.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 15Informativa al trattamento dei dati (Art.13 – 14)
I contenuti dell’informativa sono più ampi rispetto al Codice, in particolare, il titolare deve sempre specificare:
• la propria identità ed i dati di contatto;
• I dati di contatto del RPD-DPO (Responsabile della protezione dei dati – DPO), ove applicabile;
• Le finalità del trattamento;
• la base giuridica del trattamento;
• Qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento;
• Gli eventuali destinatari dei dati;
• Eventuali responsabili del trattamento
• L'eventuale trasferimento di dati personali verso Paesi terzi e, in caso affermativo, attraverso quali strumenti (es.
Paese terzo giudicato adeguato dalla Commissione europea; BCR di gruppo; specifiche clausole contrattuali
modello, ecc.);
• Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve
comprendere anche le categorie dei dati personali oggetto di trattamento;
• il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione;
• Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), la logica di tali processi e le
conseguenze previste per l’interessato;
• i diritti degli interessati (compreso il diritto alla portabilità dei dati);
• il diritto di presentare un reclamo all’autorità di controllo.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 16Diritti dell'interessato
L'interessato ha il diritto di ottenere dal Titolare del trattamento la conferma o meno di un trattamento di
dati che lo riguardino, e in tal caso di aver accesso alle informazioni in questione.
Di seguito un breve riassunto dei diritti che può esercitare l'interessato:
• Accesso ( a tutte le informazioni che lo riguardano)
• Rettifica (variazione dei dati inesatti)
• Cancellazione - diritto all'oblio (eliminazione dei dati conservati ma anche deindicizzazione dal web)
• Limitazione (riduzione anche parziale dell'utilizzo)
• Portabilità (trasmissione dei dati da un Titolare ad altro Titolare in formato elettronico ove
tecnicamente possibile)
• Diritto di opposizione (opporsi al trattamento relativo a particolari finalità es. Marketing)
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 17Esercizio dei diritti
L'interessato ha il diritto di ottenere dal Titolare del trattamento la conferma o meno di un trattamento di dati che lo
riguardino, e consigliabile effettuare tale richiesta con un formato "dimostrabile", cartaceo od informatico. Se
l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le
informazioni dovranno essere fornite in un formato elettronico di uso comune
Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali
incompleti, anche fornendo una dichiarazione integrativa.
Su richiesta specifica, l titolare fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie
richieste dall'interessato, il titolare può addebitare un contributo spese ragionevole basato sui costi amministrativi..
Su richiesta motivata e lecita, titolare ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali
dell'interessato
Nell'esercitare i propri diritti relativamente alla portabilità dei dati, l'interessato ha il diritto di ottenere la trasmissione
diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.
Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta
relativa all'esercizio dei diritti, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento
della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e
del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo,
entro un mese dal ricevimento della richiesta.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 18Titolare del trattamento
la persona fisica o giuridica, l’autorità pubblica, il servizio o
altro organismo che, singolarmente o insieme ad altri,
determina le finalità e i mezzi del trattamento di dati personali.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 19Contitolari del Trattamento
Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i
mezzi del trattamento, essi sono contitolari del trattamento.
Essi determinano in modo trasparente, mediante un accordo interno, le rispettive
responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, con
particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di
comunicazione delle informazioni di cui agli articoli 13 e 14
L'accordo riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli
interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato
se richiesto.
Indipendentemente dalle disposizioni dell'accordo, l'interessato può esercitare
i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare
del trattamento.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 20Responsabile del Trattamento
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento,
quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie
sufficienti per mettere in atto misure tecniche e organizzative adeguate per garantire la
conformità al GDPR.
Il responsabile del trattamento non ricorre a un altro responsabile senza previa
autorizzazione scritta, specifica o generale, del titolare del trattamento, il responsabile del
trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti
l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del
trattamento l'opportunità di opporsi a tali modifiche.
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o
da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il
responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e
la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le
categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 21Autorizzati al trattamento
(gli ex incaricati al trattamento)
La figura dell’incaricato del trattamento , precedentemente prevista dal Codice della Privacy,
non viene più espressamente citata nel GDPR.
il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al
trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (Art. 4, n.
10).
Chiunque agisca sotto l'autorità del Titolare del trattamento, ed abbia accesso a dati
personali, non può trattare tali dati se non è istruito in tal senso (FORMAZIONE sulla
normativa e sulle PROCEDURE INTERNE).
La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei
trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le
responsabilità e le sanzioni.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 22Privacy by Design e by Default
L'articolo 25, introduce il principio di privacy by design e privacy by default, un approccio
concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto
prevedendo, fin da subito, prima di iniziare il trattamento, gli strumenti a tutela dei dati
personali.
Privacy by design impone di esaminare e configurare il trattamento dei dati prevedendo sino
dalla fase di progettazione le garanzie previste dal Regolamento per tutelare i diritti degli
interessati, definendo le modalità di raccolta e trattamento solamente dei dati necessari ,
evidenziando anche i ruoli e le autorizzazioni dei soggetti preposti.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 23Privacy by Default
Il principio di privacy by default stabilisce che, per impostazione predefinita, i sistemi di
trattamento debbano essere configurati in maniera tale da non permettere trattamenti di dati
ulteriori rispetto a quanto progettato, consentendone l'accesso solamente alle persone
preposte al trattamento degli stessi.
Ogni volta che si avvia un progetto che prevede un nuovo trattamento di dati, le Imprese
devono predisporre e documentare una valutazione di impatto Privacy (DPIA o VIP).
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 24Registri delle attività di trattamento
L’obbligo del registro non compete alle imprese o organizzazioni con meno di 250
dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i
diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento
di categorie particolari di dati, o di dati giudiziari.
Va da sé che tutte le organizzazioni che hanno dei dipendenti di cui trattano anche dati
relativi allo stato di salute e quindi particolari saranno obbligate alla tenuta del registro dei
trattamenti.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 25Ogni Titolare del trattamento dovrà tenere un registro delle attività di trattamento svolte
sotto la propria responsabilità, se il Titolare del Trattamento effettua trattamenti di dati per
altri Titolari, agisce come Responsabile esterno del trattamento ed è quindi tenuto a
redigere un registro analogo per ogni Titolare del trattamento per conto del quale agisce.
Una corretta compilazione dei Registri, serve per conoscere quali trattamenti sono svolti in
azienda o in outsourcing, da chi, con quali modalità e misure di sicurezza, ma soprattutto, per
mettere il Titolare in condizioni di dimostrarlo.
I registri potranno essere tenuti anche in formato elettronico, e dovranno essere messi a
disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4
dell’art. 30
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 26Registro dei trattamenti del Titolare
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del
contitolare del trattamento e del responsabile della protezione dei dati (DPO);
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di
dati;
g) una descrizione generale delle misure di sicurezza tecniche e organizzative
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 27Registro dei trattamenti del Responsabile
Ogni Responsabile del trattamento tiene obbligatoriamente un registro di tutte le
categorie di attività relative al trattamento svolte per conto di un Titolare del
trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni
titolare del trattamento per conto del quale agisce e, ove applicabile, del responsabile
della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
d) una descrizione generale delle misure di sicurezza tecniche e organizzative
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 28Registro dei trattamenti del Titolare Registro dei trattamenti del Responsabile
a) il nome e i dati di contatto del titolare del a) il nome e i dati di contatto del responsabile o
trattamento e, ove applicabile, del contitolare dei responsabili del trattamento, di ogni titolare
del trattamento e del responsabile della del trattamento per conto del quale agisce e, ove
protezione dei dati (DPO); applicabile (DPO);
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati
e delle categorie di dati personali; b) le categorie dei trattamenti effettuati per conto
d) le categorie di destinatari a cui i dati di ogni titolare del trattamento;
personali sono stati o saranno comunicati,
compresi i destinatari di paesi terzi od
organizzazioni internazionali;
e) Se presenti, i trasferimenti di dati personali c) Se presenti, i trasferimenti di dati personali
verso paesi terzi e la loro identificazione; verso paesi terzi e la loro identificazione;
f) ove possibile, i termini ultimi previsti per la
cancellazione delle diverse categorie di dati;
g) una descrizione generale delle misure di d) una descrizione generale delle misure di
sicurezza tecniche e organizzative sicurezza tecniche e organizzative
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 29Mappatura dei trattamenti
Per una corretta compilazione del registro dei trattamenti, vanno precedentemente mappati
i flussi di dati interni ed eventualmente anche quelli affidati all’esterno dell’organizzazione.
Le informazioni da rilevare e valutare sono le seguenti:
• Tipologia di dati personali (comuni e particolari)
• Categorie di interessati (es. dipendenti, clienti, fornitori, utenti)
• Finalità del trattamento e loro liceità
• Destinatari a cui possono essere comunicati (anche extra UE)
• Soggetti che concorrono al trattamento (interni od esterni)
• Dove sono conservati i dati
• Tempi di conservazione dei dati
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 30Ma ci sono altri soggetti esterni alla nostra organizzazione che
concorrono al trattamento dei dati?
• Contitolari
• Responsabili esterni e Sub responsabili (affido un trattamento ad una società
che lo subappalta ad un'altra)
• Sito Internet – come è stato configurato, chi lo gestisce?
• Manutentori HW /SW, che attività svolgono per noi? Effettuano solamente manutenzioni
o hanno accessi autonomi al nostro sistema informatico?
• Collaboratori esterni - Consulenti
• Stagisti
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 31Analisi dei rischi
Il GDPR, non indica puntualmente le linee guida per proteggere le informazioni, ma chiede
di essere in grado di dimostrare di averle protette in modo adeguato, per arrivare a
questo, il Titolare deve valutare soprattutto i rischi legati al trattamento dei dati.
Di seguito i principali rischi oggetto di valutazione:
• rischi significativi per i diritti e le libertà fondamentali della persona
• rischio di distruzione accidentale o illegale
• rischio di perdita dei dati
• rischio di modifica non voluta
• rischio di comunicazione e diffusione non consentita
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 32Analisi dei rischi
Diventa a questo punto molto utile, se non indispensabile, al fine di dimostrare il principio
di accountability, seguire un percorso logico, che dimostri come si sono protette le
informazioni gestite e quali rischi corrono gli interessati.
Le eventuali vulnerabilità e le successive azioni correttive, vanno documentate in formato
cartaceo o elettronico.
L'analisi dei rischi è efficace quando il suo fine ultimo è determinare l'esistenza dei cinque
rischi indicati e le contromisure prese per ridurli. Solo in questo modo l'analisi dei rischi
sarà adeguata allo stile dell’azienda, alle sue modalità di lavoro e alla sua capacità di
spesa.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 33Violazione di dati personali
Per violazione dei dati personali (data breach) si intende la violazione di sicurezza che
comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque
trattati;
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione
all'autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno
che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le
libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata
entro 72 ore, è corredata dei motivi del ritardo.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 34Violazione di dati personali Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 35
FORMAZIONE
Il GDPR reintroduce l’obbligo della formazione a tutti i livelli
Chiunque agisca sotto l'autorità del Titolare del trattamento, ed abbia accesso a
dati personali, non può trattare tali dati se non è istruito in tal senso
(FORMAZIONE sulla normativa e sulle PROCEDURE interne).
La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e
specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche
adottate, nonché le responsabilità e le sanzioni.
Il Programma di Formazione va rivisto ed aggiornato periodicamente, a fronte di
nuovi trattamenti effettuati dall'organizzazione o a seguito di evoluzioni della
normativa
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 36SANZIONI AMMINISTRATIVE
Art.83 – Condizioni generali per infliggere sanzioni amministrative
Ogni Autorità di controllo provvede affinché le sanzioni pecuniarie inflitte siano in
ogni singolo caso EFFETTIVE,PROPORZIONATE e DISSUASIVE.
Al momento di decidere se infliggere una sanzione e di fissare l'ammontare della
stessa si terranno in debito conto una serie di condizioni che potranno essere
attenuanti o aggravanti
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 37SANZIONI AMMINISTRATIVE
Di seguito gli elementi oggetto di valutazione:
1) La natura, la gravità e la durata della violazione nonchè il numero degli interessati lesi ed il danno
subito
2) Il carattere doloso o colposo
3) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il
danno subito dagli interessati;
4) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo
conto delle misure tecniche e organizzative da essi messe in atto
5) eventuali precedenti violazioni pertinenti commesse;
6) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne
i possibili effetti negativi
7) le categorie di dati personali interessate dalla violazione
8) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione (notifica o denuncia)
9) La verifica se siano stati precedentemente disposti provvedimenti relativamente allo stesso oggetto
ed il rispetto di tali provvedimenti
10) l’adesione ai codici di condotta approvati o a meccanismi di certificazione
11) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i
benefici finanziari conseguiti o le perdite evitate, quale conseguenza della violazione.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 38SANZIONI AMMINISTRATIVE
Dopo la verifica degli 11 punti precedenti, viene definita l'effettiva sanzione a fronte della specifica
violazione come specificato nei paragrafi 4. e 5.:
4. la violazione delle disposizioni seguenti è soggetta a sanzioni pecuniarie fino a 10.000.000 €, o per le imprese, fino al
2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42
e 43 (Art.8 consenso dei minori- Art.25 privacy by design e by default – Art.22 profilazione – Art.24 Responsabilità
del Titolare – Art.28 Responsabile esterno del trattamento – Art.30 Registri dei trattamenti- Art.35 Analisi dei
rischi) ;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;
5. la violazione delle disposizioni seguenti è soggetta a sanzioni pecuniarie fino a 20 000 000 €, o per le imprese, fino al
4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9
(liceità, consenso e trattamento di dati particolari);
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli
articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione
dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58 (poteri del Garante).
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 39SANZIONI PENALI (Art.84)
1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del
presente regolamento in particolare per le violazioni non soggette a sanzioni
amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti
necessari per assicurarne l’applicazione. Anche per questa fattispecie, le sanzioni
dovranno essere effettive, proporzionate e dissuasive.
2. E' previsto anche il risarcimento di danni materiali o immateriali (affidando l'incarico
ad un legale)
3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai
sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni
successiva modifica.
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 40QUALI SONO I 10 PASSI DA COMPIERE PER ADEGUARSI AL GDPR
Per adempiere a quanto previsto dal GDPR i Titolari del trattamento devono:
1. Formarsi per conoscere la nuova normativa GDPR
2. Rilevare le categorie di Dati Personali oggetto di trattamento
3. Mappare i trattamenti e le finalità
4. Individuare ruoli, responsabilità e compiti degli addetti al trattamento
5. Rilevare gli asset (uffici e dispositivi)
6. Definire l’analisi dei rischi (minacce, misure tecniche, Data Breach)
7. Definire e attuare gli adempimenti previsti
8. Definire le procedure organizzative e tecniche conformi al GDPR
9. Stilare la documentazione che comprova la conformità al GDPR
10. Formare e tenere aggiornati gli addetti al trattamento
Corso Formazione Privacy GDPR – 1° modulo Giugno 2018 41Puoi anche leggere
