Corso Soci APRE I Progetti H2020 e il GDPR - APRE - Università degli Studi ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Corso Soci APRE
I Progetti H2020 e il GDPR
Università di Cassino
18 giugno 2019
docente Renato Fa
coordinatore unità GDPR
APRE
18/6/2019 1
Alcuni riferimenti Europei e nazionali
Convenzione 108 del Consiglio d'Europa, è uno dei più importanti strumenti legali per la protezione delle persone rispetto al
trattamento automatizzato dei dati personali. E' l'unico strumento giuridicamente vincolante a livello internazionale in tale
materia, potendo ad essa aderire anche Stati non membri del Consiglio d'Europa. Ad oggi sottoscritta da 50 paesi.
Carta diritti fondamentali dell’UE Articolo 8 Protezione dei dati di carattere personale 1. Ogni individuo ha diritto alla
protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali
regole è soggetto al controllo di un’autorità indipendente.
Trattato sul Funzionamento dell’Unione Europea Art. 16.1 Ogni persona ha diritto alla protezione dei dati di carattere
personale che la riguardano.
Regolamento Europeo sulla protezione dei dati UE n. 2016/679,relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE comunemente
noto con la sigla GDPR, operativo a partire dal 25 maggio 2018.
Codice per la protezione dei dati personali d.lgs. n. 196/2003 novellato dal decreto legislativo 101/2018 “Disposizioni per
l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (in G.U. 4 settembre 2018 n.205)
.
18/06/2018 2
Regolamento UE n. 2016/679
RGPD (Regolamento Generale sulla Protezione dei Dati)
GDPR (General Data Protection Regulation).
18/06/2018 3
Comitato Europeo Protezione Dati e Autorità Garante Privacy
Comitato Europeo per la Protezione dei Dati ( EDPB - European Data Protection Board) Il
comitato europeo per la protezione dei dati è un organo europeo indipendente, che
contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione
europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati
dell’UE. Il comitato europeo per la protezione dei dati è composto da rappresentanti delle
autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati
Autorità Garante della Privacy : - controlla che i trattamenti di dati personali siano conformi
al Regolamento nonché a leggi e regolamenti nazionali e prescrivere, ove necessario, ai
titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il
trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui;
Reclami, Provvedimenti - Regole deontologiche.....
18/06/2018 4
Comitato Europeo per la Protezione dei Dati ( EDPB - European Data Protection Board)
Il comitato può:
fornire orientamenti generali (fra cui linee guida, raccomandazioni e migliori prassi) per chiarire le
disposizioni normative;
fornire consulenza alla Commissione europea su qualsiasi questione correlata alla protezione dei dati
personali e a proposte normative nell’Unione europea;
adottare strumenti di coerenza in casi transfrontalieri relativi alla protezione dei dati; e
promuovere la cooperazione e lo scambio efficace di informazioni e migliori prassi fra le autorità di
controllo nazionali;
Il 23 gennaio 2019 il Comitato ha emesso il Parere 3/2019 relativo alle domande e risposte sull’interazione
tra il Regolamento sulla sperimentazione clinica e il GDPR (articolo 70, paragrafo 1, lettera b)In seguito a
una richiesta della CE- (DG SANTE), il Comitato ha adottato il proprio parere in merito alle FAQ sulle
sperimentazioni cliniche. Il parere esamina in particolare gli aspetti relativi alle basi giuridiche adeguate
nel contesto delle sperimentazioni cliniche e gli usi secondari dei dati della sperimentazione clinica a fini
scientifici.
18/06/2018 5
Il Regolamento UE 679/2016
Struttura del Regolamento
Il Regolamento, che consta
di 173 considerando e 99
articoli, suddivisi in XI Capi
conferma i principi posti a
fondamento del sistema di
data protection introdotti
dalla Direttiva n. 95/46/CE,
modificandone le modalità
di applicazione.
18/06/2018 6
Il Regolamento UE 679/2016
Modifiche di base:
Nuove Definizioni e Categorie di Dati;
I Dati Sensibili diventano «Dati Particolari»;
Nuovi scenari di responsabilità per i soggetti.
Principali novità:
Il principio di Accountability - la “responsabilizzazione” del Titolare e del Responsabile del
trattamento;
Informativa: più chiara e semplice, con l’indicazione delle tempistiche di conservazione dei
dati;
Maggiori misure di tutela: consenso inequivocabile, protezione dei minori, principi di
anonimizzazione e minimizzazione, diritto all’oblio –cancellazione e portabilità dei dati,
semplificazioni .
18/06/2018 7
Il Regolamento UE 679/2016
Adempimenti:
Privacy By Design – Privacy By Default
Registro delle Attività di Trattamento
La valutazione dei rischi: il Data Protection Impact Assessment (DPIA)
Il Responsabile della Protezione Dati -Data Protection Officer (RPD o DPO)
Misure di Sicurezza non più minime, ma adeguate
Il riscontro al Diritto d’Accesso
Le notifiche per le violazioni di dati personali (i Data Breach)
La Consultazione Preventiva
I Codici di condotta e le certificazioni dei modelli
18/06/2018 8Il Regolamento UE 679/2016
ARTICOLI
18/06/2018 9Articolo 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse,
di ricerca scientifica o storica o a fini statistici
1.Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente
regolamento. rispetto del principio della minimizzazione dei dati. ...pseudonimizzazione
2.Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione o
degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21.......
3.Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione o
degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18, 19, 20 e 21, fatte salve le
condizioni e le garanzie..................
4.Qualora il trattamento di cui ai paragrafi 2 e 3 funga allo stesso tempo a un altro scopo, le deroghe si
applicano solo al trattamento per le finalità di cui ai medesimi paragrafi......
18/06/2018 10GDPR Art. 3 Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di
uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione,
indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano
nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è
stabilito nell'Unione, quando le attività di trattamento riguardano:
a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente
dall'obbligatorietà di un pagamento dell'interessato; oppure
b) b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del
trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù
del diritto internazionale pubblico.
18/06/2018 11Art. 4 Definizioni
TRATTAMENTO qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio
di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la
raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento
o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione,
diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione;
18/06/2018 12Art. 4 Definizioni (all’art. 4 vengono dettagliate 26 definizioni)
DATO PERSONALE: qualsiasi informazione riguardante una persona fisica identificata o
identificabile “interessato”; si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo
come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale.
18/06/2018 13GDPR Definizioni
DATI COMUNI: sono tutti i dati personali che non appartengono alle categorie dei dati particolari e giudiziari;
DATI GIUDIZIARI: dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza;
DATI PARTICOLARI: dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento
sessuale della persona;
DATI GENETICI: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona
fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano
in particolare dall'analisi di un campione biologico della persona fisica in questione;
DATI BIOMETRICI: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche
fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione
univoca, quali l'immagine facciale o i dati dattiloscopici;
DATI RELATIVI ALLA SALUTE: i dati personali attinenti alla salute fisica o mentale di una persona fisica,
compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di
salute;
18/06/2018 14Considerando 26 - Anonimizzazione
Considerando 26 […] I principi di protezione dei dati non dovrebbero pertanto applicarsi a
informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica
identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da
non consentire più̀ l'identificazione dell'interessato. Il presente regolamento non si applica
pertanto al trattamento di tali informazioni anonime, anche per finalità̀ statistiche o di
ricerca.
Informazione anonima: è l’informazione che non riguarda una persona fisica identificata o
identificabile.
Anonimizzazione: è un trattamento a cui sono sottoposti i dati personali, volto a ottenerne la
de-identificazione irreversibile del soggetto a cui l’informazione si riferisce.
18/06/2018 15Dati personali - Dati anonimi?
Nell’ambito del progetto noi tratteremo i dati dei
pazienti che saranno raccolti dai nostri partners.
I dati, una volta anonimizzati saranno caricati su
una piattaforma cloud noi li aggregheremo e li
tratteremo con metodi statistici.
Di conseguenza noi trattiamo solo dati anonimi e
non possiamo risalire alla identità dei pazienti
quindi il trattamento che effettuiamo è fuori dal
campo applicazione del GDPR....
18/06/2018 16Art. 4 Definizioni
Soggetti attivi di trattamento di dati
Titolare del trattamento: (data controller) persona fisica o giuridica, l'autorità pubblica, il
servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i
mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono
determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri
specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o
degli Stati membri.
Contitolari di trattamento (Joint controllers) : due o più titolari che determinano
congiuntamente le finalità e i mezzi del trattamento. Ciascuno dei contitolari è
corresponsabile e tenuto al rispetto delle obbligazioni poste dal Regolamento Generale sulla
protezione dei dati (EU) 2016/679, al fine di tutelare le persone fisica a cui i dati trattati si
riferiscono Il riparto di responsabilità e ruoli assunti in merito alle obbligazioni imposte loro
dal Regolamento devono essere chiaramente definiti in un accordo ex art. 26 GDPR.
18/06/2018 17Chi è il titolare del trattamento ?
Noi siamo subcontraenti in un progetto TtTitolare del
H2020. Il WP leader comunicazione & Trattamento ??
disseminazione ci ha affidato l’incarico di
realizzare il sito WEB del progetto. Ora
dobbiamo scrivere l’informativa per il sito,
ma siamo in difficoltà perché non sappiamo
chi indicare come titolare del trattamento.
E’ il coordinatore del progetto, oppure il
coordinatore del WP comunicazione
disseminazione che ci ha affidato l’incarico?
18/06/2018 18Art. 4 Definizioni
Soggetti attivi di trattamento
Responsabile del trattamento (Data processor) : persona fisica o giuridica, pubblica o privata,
che tratta dati personali per conto del titolare del trattamento. Deve presentare garanzie
sufficienti di attuare misure tecniche e organizzative adeguate in modo tale che il trattamento
soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato. È designato
con contratto o altro atto giuridico, anche in forma elettronica, o dal titolare, o da altro
responsabile dietro previa autorizzazione scritta del titolare specifica o generale. Il
Responsabile deve procedere al trattamento secondo le istruzioni impartite per iscritto dal
Titolare con contratto o altro atto giuridico che specifichi durata, natura e finalità del
trattamento, tipo di dati personali, categorie di interessati, obblighi e diritti del Titolare.
18/06/2018 19Responsabili del trattamento ?
Una piccola società offre servizi di cloud
backup. La società afferma di non avere alcun
accesso ai dati salvati dai suoi clienti nel
server e di non poterli visualizzare in alcun
modo.
Non potendo vedere i dati dei clienti «non
trattano i dati » ma offrono solo un servizio di
backup, di conseguenza, non devono firmare
con il cliente «titolare del trattamento» un
accordo in qualità di
«responsabile del trattamento».....
18/06/2018 20Ruolo misto di controllo / consulenza - Data protection officer:
Il Responsabile della protezione dei dati, è una «persona fisica»*, nominata
obbligatoriamente nei casi di cui all’art. 37.1 GDPR dal titolare del trattamento o dal
responsabile del trattamento e deve:
- possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei
dati personali, anche in termini di misure tecniche e organizzative o di misure atte a
garantire la sicurezza dei dati;
- adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di
interesse;
- svolgere i suoi compiti garantendo il segreto e la riservatezza;
- operare alle dipendenze del titolare o del responsabile oppure sulla base di un
contratto di servizio (DPO esterno).
- * Faq Autorità Garante: Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno,
quest'ultimo potrà essere anche una persona giuridica.....
18/06/2018 21Articolo 39 Compiti del responsabile della protezione dei dati
1.Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai
dipendenti....
b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati
membri.....
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e
sorvegliarne lo svolgimento ai sensi dell'articolo 35;.......
d) cooperare con l'autorità di controllo;........
e) fungere da punto di contatto per l'autorità di controllo.......
2.Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi
18/06/2018 22Art. 5 Principi applicabili al trattamento di dati personali 1/2
1.I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato
(«liceità, correttezza e trasparenza»);
b) b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati
in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei
dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1,
considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le
quali sono trattati («minimizzazione dei dati»);
d) d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure
ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle
finalità per le quali sono trattati («esattezza»);
18/06/2018 23Art. 5 Principi applicabili al trattamento di dati personali 2/2
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di
tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati
personali possono essere conservati per periodi più lunghi a condizione che siano trattati
esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica
o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di
misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei
diritti e delle libertà dell'interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e
riservatezza»).
2.Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di
comprovarlo («responsabilizzazione»).
18/06/2018 24ART. 6 - Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche
finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di
misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona
fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di
pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di
terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che
richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
18/06/2019 25ART. 9.2 - condizioni di liceità Per i dati “particolari”
Si prevedono ulteriori condizioni di legittimità Carattere generale:
-Consenso esplicito dell’interessato
-Salvaguardia di interessi vitali di una persona fisica o del terzo
-Dati resi manifestamente pubblici dall’interessato
-Esercizio di un diritto in sede giudiziaria
-Motivi di interesse pubblico rilevante.
Settori specifici:
-in ambito giuslavoristico,
-sanitario,
-archivistico, ricerca scientifica o storica
18/06/2019 26ART. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
a) il periodo di conservazione dei dati personali i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati rettifica o la
cancellazione limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento
basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale - le possibili conseguenze della
mancata comunicazione di tali dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione l'importanza e le conseguenze
previste di tale trattamento per l'interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da
quella per cui essi sono stati raccolti..... informazioni in merito a tale diversa finalità e ogni ulteriore trattamento
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni
18/06/2019 27ART. 14 Informazioni da fornire qualora i dati personali NON siano stati ottenuti presso
l’interessato
Qualora i dati non siano stati ottenuti presso l'interessato ai contenuti dell’informativa
ex art. 13 vanno aggiunti:
1) l'origine dei dati personali (vale a dire, come ed eventualmente da quali fonti sono
stati raccolti); in particolare, l’eventuale indicazione espressa che i dati provengono da
fonti accessibili al pubblico;
2) le categorie di dati personali in questione e se si tratta di dati comuni, speciali o
giudiziari;
L’informativa va fornita all’interessato entro un termine ragionevole e comunque non
oltre un mese dall’ottenimento dei dati personali (informativa successiva), tuttavia in
caso di comunicazione dei dati personali all’interessato o di rivelazione di essi a terzi, è
possibile procedervi al più tardi al momento rispettivamente della prima
comunicazione o della prima rivelazione
18/06/2019 28Misure Appropriate - Informazioni e comunicazioni
Stiamo avviando un progetto di
Forma concisa - Trasparente -
ricerca sulle condizioni sociali dei Intellegibile - Facilmente
richiedenti asilo provenienti dal accessibile - Linguaggio Semplice
medio oriente, abbiamo difficoltà e chiaro
con l'informativa per il trattamento
dati personali;
Abbiamo un progetto di ricerca
sull’evoluzione delle capacità
cognitive di persone anziane che
vivono sole, è sufficiente il
consenso dell’interessato?
Stiamo facendo delle interviste in
Turchia per un progetto H2020, per
l’informativa si applica la normativa
locale o il GDPR?
18/06/2019 29ART. 15 Diritto di accesso dell'interessato
1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un
trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle
seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in
particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i
criteri utilizzati per determinare tale periodo;
.............
2. Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato
ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al
trasferimento.
18/06/2018 30Art. 24 Responsabilità del Titolare del Trattamento
Accountability
Articolo 24
Responsabilità del titolare del trattamento L’Articolo 24 del GDP è importante perché
1.Tenuto conto della natura, dell'ambito di evidenzia la nuova prospettiva nel
applicazione, del contesto e delle finalità
del trattamento, nonché dei rischi aventi
trattamento dei dati: Si passa dalla tutela
probabilità e gravità diverse per i diritti e le dei diritti mediante trattamento dei dati in
libertà delle persone fisiche, il titolare del conformità alla normativa (impostazione
trattamento mette in atto misure tecniche della Direttiva 95/46 ) alla tutela mediante
e organizzative adeguate per garantire, ed l’adozione di accorgimenti tecnico
essere in grado di dimostrare, che il
trattamento è effettuato conformemente
organizzativi della cui conformità alla
al presente regolamento. Dette misure normativa si possa fornire prova....
sono riesaminate e aggiornate qualora
necessario. .......
18/06/2018 31Accountability? ....documentare e motivare
La nostra è una piccola azienda privata e il
commercialista ha detto al titolare che non
rientriamo tra i casi previsti dal Regolamento
per la nomina del Responsabile Protezione
Dati pertanto il titolare dell’azienda non ha
nominato un RPD/DPO....
18/06/2018 32ART. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di
applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e
gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di
determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette
in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo
efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli
interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che
siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del
trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il
periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per
impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone
fisiche senza l'intervento della persona fisica.
3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come
elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
18/06/2018 332010 Privacy by Design 32ma Conferenza mondiale dei Garanti Privacy
Nel contesto internazionale, l'elaborazione del concetto PdD è della Dott.ssa Ann
Cavoukian (Privacy Commissioner dell'Ontario Canada) Secondo questa impostazione,
l'utente è considerato il centro del sistema privacy. Qualsiasi progetto va realizzato
considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei
dati personali.
Vengono individuati 7 principi fondanti
1. Proattivo non reattivo – prevenire non correggere;
2. Privacy come impostazione di default;
3. Privacy incorporata nella progettazione;
4. Massima funzionalità − Valore positivo, non valore zero;
5. Sicurezza fino alla fine − Piena protezione del ciclo vitale;
6. Visibilità e trasparenza − Mantenere la trasparenza;
7. Rispetto per la privacy dell'utente − Centralità dell'utente.
18/06/2018 34I PILASTRI DELLA SICUREZZA 18/06/2018 35
ASSET DA PROTEGGERE 18/06/2018 36
Art. 35 valutazione d’impatto sulla protezione dei dati
Data protection by design & by default
1.Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove
tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento,
può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il
titolare del trattamento effettua, prima di procedere al trattamento, una valutazione
dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola
valutazione può esaminare un insieme di trattamenti simili che presentano rischi
elevati analoghi.
2.Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla
protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora
ne sia designato uno.
18/06/2018 3718/06/2018 38
GdL. ART. 29 PER LA PROTEZIONE DEI DATI WP 248 rev.01 4 ottobre 2017
DPIA obbligatoria Quando:
1. Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione,
2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo
significativamente
3. monitoraggio sistematico
4. dati sensibili o dati aventi carattere altamente personale
5. trattamento di dati su larga scala
6. creazione di corrispondenze o combinazione di insiemi di dati
7. dati relativi a interessati vulnerabili (considerando 75)
8. uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la
combinazione dell'uso dell'impronta digitale e del riconoscimento facciale
9. quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi
di un servizio o di un contratto
Se un trattamento che soddisfa due criteri è opportuna una valutazione d'impatto sulla
protezione dei dati.... un titolare del trattamento può ritenere che un trattamento che soddisfi
soltanto uno di questi criteri richieda una valutazione d'impatto sulla protezione dei dati.
18/06/2018 39Autorità Garante – Elenco trattamenti da sottoporre a DPIA GU n. 269 del 19.11.2018
1. Trattamenti valutativi o di scoring su larga scala
2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici”
3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il
controllo
4. Trattamenti su larga scala di dati aventi carattere estremamente personale
5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici
6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi
di mente, pazienti, richiedenti asilo)
7. Trattamenti effettuati attraverso l’uso di tecnologie innovative
8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità
telematiche
9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di
informazioni
10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9
11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati
12. Trattamenti sistematici di dati genetici
18/06/2018 40DATA Breach!
30 marzo 2019 "Caso Exodus" - Software spia: Soro, 7. Maggio 2019 Violata la posta elettronica certificata
fatto gravissimo - di 30mila avvocati iscritti all'Ordine di Roma; questo
"E' un fatto gravissimo. La notizia dell'avvenuta l'ultimo colpo messo a segno dal collettivo di hacker
intercettazione di centinaia di cittadini del tutto Anonymous Italia......
estranei ad indagini giudiziarie, per un mero errore
nel funzionamento di un captatore informatico
utilizzato a fini investigativi.... La vicenda presenta 23 maggio A Baltimora non si pagano più tasse e
contorni ancora assai incerti ed è indispensabile bollette online: la città è sotto attacco hacker
chiarirne l'esatta dinamica''. Lo dice il Garante della L'attacco ha fermato tutti i sistemi operativi degli uffici
privacy Antonello Soro, interpellato in merito pubblici, colpiti da un ransomware. Bloccata
dall'ANSA.
l'operatività del Comune da due settimane. Il sindaco
18 maggio 2019 I dati personali di passaporti di chiede aiuto al Fbi
centinaia di migliaia di cittadini russi, inclusi ex
funzionari governativi, sono stati pubblicati online a
seguito di un enorme data breach in Russia. A renderlo
noto è stato il sito web di notizie RBC....
18/06/2019 41ART. 33 Notifica di una violazione dei dati personali all'autorità di controllo
1. In caso di violazione dei dati personali, il titolare del trattamento
notifica la violazione all'autorità di controllo competente a norma
dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore
dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio per i
diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di
controllo non sia effettuata entro 72 ore, è corredata dei motivi del
ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza
ingiustificato ritardo dopo essere venuto a conoscenza della violazione
18/06/2019 42TRASFERIMENTO DI DATI ALL’ESTERO Art. 44 -49
“Qualunque trasferimento di dati personali oggetto di
un trattamento o destinati a essere oggetto di un
trattamento dopo il trasferimento verso un paese terzo
[...] ha luogo soltanto se il titolare del trattamento e il
responsabile del trattamento rispettano le condizioni”
dettate dal Regolamento (UE) 2016/679
18/06/2019 43DECISIONE DI ADEGUATEZZA ART. 45
Il trasferimento di dati personali verso un paese terzo o un’organizzazione
internazionale è ammesso se la Commissione ha deciso che il paese terzo o
l’organizzazione internazionale garantiscono un livello di protezione adeguato:
Stato di diritto, rispetto dei diritti umani e libertà fondamentali e verifiche sulla
legislazione pertinente e relativa attuazione
Norme in materia di protezione dei dati
Norme professionali
Misure di sicurezza
Esistenza e funzionamento di un’autorità di controllo indipendente
Impegni internazionali assunti dal paese terzo o dall’organizzazione
internazionale o altri obblighi derivanti da convenzioni o strumenti
giuridicamente vincolanti
18/06/2019 44EU USA Privacy Shield
È in linea con quanto chiesto dalla Corte di giustizia dell’UE
(Maximillian Schrems vs. Data Protection Commissioner - 2015 Safe Harbour)
Impone alle imprese americane obblighi più stringenti di tutela dei dati personali
degli europei
Le autorità americane devono vigilare e assicurare con maggior forza il rispetto
dell’accordo e devono collaborare in misura maggiore con le autorità europee
per la protezione dei dati
Le imprese americane
• Autocertificheranno su base annuale il rispetto degli obblighi;
• Dovranno pubblicare una privacy policy (informativa privacy) sul loro sito;
• Dovranno rispondere tempestivamente ai reclami;
• Dovranno collaborare con le Autorità europee per la protezione dei dati e dare
seguito alle loro richieste (se trattano dati relativi al personale/alle risorse
umane).
18/06/2019 45Articolo 46 Trasferimento soggetto a garanzie adeguate
In mancanza di una decisione di adeguatezza il titolare del trattamento o il
responsabile del trattamento può trasferire dati personali verso un paese terzo o
un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione
che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi
Norme vincolanti d’impresa (BCR) = Comunicazioni infragruppo
Clausole Contrattuali Standard (SCC) = Incorporando il testo delle clausole
contrattuali già licenziate dalla Commissione Europea in un contratto utilizzato per il
trasferimento, l'esportatore dei dati garantisce che questi ultimi saranno trattati
conformemente ai principi stabiliti dal GDPR anche nel Paese terzo di destinazione
Codici di condotta = I titolari o i responsabili del trattamento possono vincolarsi ai
codici di condotta di riferimento associati al loro tipo di attività, al fine di garantire il
rispetto delle misure organizzative e di sicurezza stabilite all’interno di questi.
18/06/2019 46Articolo 49 Deroghe in specifiche situazioni
In mancanza di una decisione di adeguatezza o di garanzie adeguati, comprese le BCR, è
ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese
terzo o un’organizzazione internazionale soltanto se si verifica una tra le seguenti condizioni:
• L’interessato ha dato il consenso;
• Il trasferimento sia necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
• Il trasferimento sia necessario all’esecuzione di un contratto tra il titolare e un’altra persona
fisica o giuridica a favore dell’interessato;
• Il trasferimento sia necessario per importanti motivi di interesse pubblico;
• Il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede
giudiziaria;
• Il trasferimento sia necessario per tutelare un interesse vitale dell’interessato o di altre
persone fisiche,
qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.
18/06/2019 47GDPR E NORMATIVA NAZIONALE Alcune materie restano regolamentate anche a livello nazionale: es. privacy sanitaria , privacy dei lavoratori, libertà di espressione e informazione, accesso a documenti pubblici e trasparenza , fini di ricerca scientifica o statistici, codici identificativi nazionali ecc. 18/06/2019 48
GDPR
Abroga la Non abroga il D.Lgs.n. 196/2003 ma
direttiva esclusivamente le norme con esso
europea incompatibili (individuate dal D.Lgs n.
95/46/CE 101/2018)
Non abroga le autorizzazioni generali
(v. periodo transitorio art. 21 D.Lgs n.
101/2018) e i provvedimenti del
Garante in quanto compatibili con il
Regolamento
18/06/2019 49Normativa nazionale D.Lgs 196/2003 e Ricerca
D.Lgs.196/2003 Artt. Dal 97 al 110 bis
Titolo VII - Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca
scientifica o storica o a fini statistici
Capo I - Profili generali
Capo II -Trattamento a fini di archiviazione nel pubblico interesse o di ricerca
storica
Capo III - Trattamento a fini statistici o di ricerca scientifica
18/06/2019 50Normativa nazionale D.Lgs 196/2003
Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca
scientifica o a fini statistici)
1. Il Garante può autorizzare il trattamento ulteriore di dati personali, compresi quelli
dei trattamenti speciali di cui all’articolo 9 del Regolamento, a fini di ricerca scientifica
o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività
quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o
implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di
pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che
siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi
dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme
preventive di minimizzazione e di anonimizzazione dei dati.
18/06/2019 51Normativa nazionale D.Lgs 196/2003
Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca
scientifica o a fini statistici)
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro
quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione o anche successivamente, sulla base di
eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad
assicurare adeguate garanzie a tutela degli interessati nell'ambito del trattamento
ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro
sicurezza.
18/06/2019 52Normativa nazionale D.Lgs 196/2003
Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca
scientifica o a fini statistici)
3. Il trattamento ulteriore di dati personali da parte di terzi per le finalità di cui al
presente articolo può essere autorizzato dal Garante anche mediante provvedimenti
generali, adottati d’ufficio e anche in relazione a determinate categorie di titolari e
di trattamenti, con i quali sono stabilite le condizioni dell’ulteriore trattamento e
prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli
interessati. I provvedimenti adottati a norma del presente comma sono pubblicati
nella Gazzetta Ufficiale della Repubblica italiana.
18/06/2019 53Normativa nazionale D.Lgs 196/2003
Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca
scientifica o a fini statistici)
4. Non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati
personali raccolti per l’attività clinica, a fini di ricerca, da parte degli Istituti di
ricovero e cura a carattere scientifico, pubblici e provati, in ragione del carattere
strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla
ricerca, nell’osservanza di quanto previsto dall’articolo 89 del Regolamento.
18/06/2019 54Normativa nazionale D.Lgs 196/2003 agg. al 101/2028
il trattamento dei dati a fini di ricerca può NON essere basato sul consenso
dell’interessato, quando:
•la ricerca scientifica è effettuata in base a disposizioni di legge e di regolamento o al diritto dell’Unione
Europea, a condizione che il titolare o i co-titolari del trattamento conducano e rendano pubblica una
valutazione di impatto ai sensi degli artt. 35 e 36 GDPR, analizzando la necessità e proporzionalità del
trattamento, i rischi per i diritti e le libertà degli interessati e le misure di sicurezza previste per affrontare tali
rischi;
•a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo
sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle
finalità di ricerca, a condizione che il titolare adotti misure appropriate per tutelare i diritti, le libertà e gli
interessi legittimi degli interessati, il programma di ricerca sia oggetto di motivato parere favorevole da parte
del competente Comitato Etico e sia sottoposto alla preventiva consultazione del Garante Privacy, all’esito di
una valutazione d’impatto, ai sensi degli artt. 35 e 36 GDPR.
18/06/2019 55Normativa nazionale D.Lgs 196/2003
In base all’art. 110-bis del Codice Privacy, così come modificato dal D.Lgs.101/2018, il
riutilizzo dei dati per fini di natura scientifica è consentito quando:
è effettuato da soggetti terzi che svolgono principalmente attività di ricerca scientifica;
informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure
rischia di rendere o di pregiudicare gravemente la ricerca;
è sottoposto alla preventiva autorizzazione del Garante Privacy, subordinata all’adozione
di misure appropriate in conformità all’art. 89 del GDPR.
Con specifico riferimento all’autorizzazione del Garante Privacy, il D.Lgs.101/2018 fissa un
termine di 45 giorni per l’evasione della richiesta, decorsi i quali la mancata pronuncia
equivale a rigetto, prevendendo altresì la possibilità per tale autorità di autorizzare il
riutilizzo dei dati a fini scientifici anche medianti provvedimenti di carattere generale
18/06/2019 56Art. 2-quater Nuovo Codice Privacy – D.lgs 196/2003 aggiornato al D.lgs 101/2018
Regole deontologiche
1. Il Garante promuove, nell’osservanza del principio di rappresentatività e tenendo conto delle
raccomandazioni del Consiglio d’Europa sul trattamento dei dati personali, l’adozione di regole
deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c)
ed e), 9, paragrafo 4, e al capo IX del Regolamento, ne verifica la conformità alle disposizioni vigenti,
anche attraverso l’esame di osservazioni di soggetti interessati e contribuisce a garantirne la
diffusione e il rispetto.
2. Lo schema di regole deontologiche è sottoposto a consultazione pubblica per almeno sessanta
giorni.
3. Conclusa la fase delle consultazioni, le regole deontologiche sono approvate dal Garante ai sensi
dell’articolo 154-bis, comma 1, lettera b), pubblicate nella Gazzetta Ufficiale della Repubblica italiana
e, con decreto del Ministro della giustizia, sono riportate nell’allegato A del presente codice.
4. Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce
condizione essenziale per la liceità e la correttezza del trattamento dei dati personali.
18/06/2019 5718/06/2019 58
18/06/2019 59
18/06/2019 60
DIFFERENZE
Regole Deontologiche Codici di Condotta
(art.2 quater del codice) Art. 40 del GDPR
• Garante promuove • Garante incoraggia
• Art. 9 par. 4 e altro • Vari settori
• Condizione di correttezza e • Elemento di accountability
liceità • Emanato da rappresentanti e
• Verifica del garante parere del Garante
• Consultazione pubblica e • Diffusione
allegate al codice
61Linee Guida
EDPB 1/2019
4 giugno 2019
62CRITERI DI APPROVAZIONE
Soddisfa particolari esigenze del settore
Linee Guida facilita applicazione del GDPR
EDPB 1/2019
4 giugno 2019 fornisce garanzie sufficienti
tiene conto pareri Autorità
fornisce meccanismi efficaci per
monitorare la conformità
Non deve ripresentare i contenuti del
GDPR
63Horizon 2020 - Etica e GDPR
Alcune indicazioni
6465
Nel caso vengano elaborati dati personali, il proponente deve:
Confermare di aver nominato un Responsabile della Protezione dei Dati
(DPO), il contatto e i dettagli del DPO sono resi disponibili a tutti i
soggetti interessati dal programma ricerca. Se la designazione di un DPO
non è richiesta dal GDPR, deve essere elaborata una descrizione
dettagliata la politica di protezione dei dati per il progetto
66Nel caso vengano elaborati dati personali, il proponente deve:
Spiegare come tutti i dati che si intendono elaborare sono
rilevanti e limitati agli scopi del progetto di ricerca
( secondo il principio della "minimizzazione dei dati").
Eventualmente spiegare perché i dati della ricerca non
saranno resi anonimi / pseudonimizzati (se rilevante).
67Nel caso vengano elaborati dati personali, il proponente deve:
Fornire informazioni dettagliate sul consenso informato
e le procedure relative alla dei elaborazione dati
Fornire i modelli dei moduli di consenso informato e
documenti informativi (in lingua e termini intelligibili
ai partecipanti
68Nel caso vengano elaborati dati personali, il proponente deve:
Descrivere le misure tecniche e organizzative che saranno
implementate per salvaguardare i diritti e le libertà degli
interessati/partecipanti alla ricerca Questo deve includere anche:
• Descrizione della rispettive tecniche di pseudonimizzazione o di
anonimizzazione;
•Descrizione delle misure di sicurezza che verranno implementate per
prevenire accesso non autorizzato ai dati personali o alle attrezzature
utilizzate per la lavorazione.
69Nel caso vengano elaborate categorie di dati speciali, il proponente deve:
Controllare se esistono deroghe o norme speciali relativamente ai
diritti dei soggetti o al trattamento di dati genetici, dati biometrici
e / o sanitari stabilite dalla legge nazionale e presentare la
dichiarazione di conformità
Fornire giustificazione per l'elaborazione di dati personali sensibili
70Nei casi di ulteriore elaborazione di dati precedentemente raccolti, il
proponente deve:
Fornire dettagli delle operazioni di elaborazione, del database usato o della
fonte dei dati
Confermare/dimostrare la liceità del trattamento e descrivere le appropriate
misure tecniche e organizzative che sono poste in essere per salvaguardare i
diritti degli interessati.
Fornire il permesso dal proprietario / gestore dei set di dati (ad es. database di
social media)
71Nei casi la ricerca utilizza l’elaborazione dei dati disponibili al pubblico, il
richiedente deve:
Confermare che i dati utilizzati nel progetto sono disponibili al pubblico e può
essere liberamente utilizzato per il progetto.
Fornire il permesso dal proprietario / gestore dei set di dati (ad es. database di
social media).
72Nel caso in cui i dati personali vengano trasferiti dall'UE a un paese non UE, il
richiedente deve: * Esclusi paesi riconosciuti con decisione di adeguatezza
Fornire dettagli dei tipi di dati personali da esportare
Confermare che tali trasferimenti sono conformi al
capitolo V del GDPR.
.
*The European Commission has so far recognised :
Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of
Man, Japan, Jersey, New Zealand, Switzerland, Uruguay and the United States of America (limited
to the Privacy Shield framework)
73Nel caso in cui i dati personali vengano trasferiti da un paese non UE all'UE (o a paese
terzo), il proponente deve :
Fornire dettagli dei tipi di dati personali da importare
Confermare che tali trasferimenti sono conformi alle leggi del
paese in cui sono stati raccolti i dati
74Nei casi la ricerca preveda la profilazione delle persone, il richiedente deve:
Fornire dettagli sui metodi utilizzati per la profilazione
Fornire la spiegazione del modo in cui le persone interessate
saranno informate della profilazione, le sue possibili
conseguenze e come i loro diritti fondamentali saranno
salvaguardati.
75Nel caso la ricerca utilizzi metodologie intrusive* o qualsiasi altra operazione di
elaborazione dei dati che può comportare un alto rischio per i diritti e le libertà del
partecipanti alla ricerca, il richiedente deve:
Fornire dettagli dei metodi utilizzati per il monitoraggio, la sorveglianza
o l'osservazione di partecipanti.
Spiegare come verranno prevenuti i possibili rischi e tutelati i diritti dei
partecipanti alla ricerca
*monitoraggio, sorveglianza, registrazione audio e video, localizzazione geografica,
ecc.
76Nel caso la ricerca preveda la profilazione, sistematica il monitoraggio sistematico
degli individui su larga scala, o di categorie speciali di dati, o metodi di invadenti
raccolta ed elaborazione dati o qualsiasi altra operazione di elaborazione dati che
può comportare un alto rischio per i diritti e le libertà del partecipanti alla ricerca, il
richiedente deve:
Valutare i rischi etici relativi alle attività di elaborazione dei dati del
progetto.
Richiedere il parere del comitato etico
E se previsto dalla normativa procedere alla valutazione d'impatto
privacy ai sensi dell'art.35 GDPR.
77H2020 Documenti Utili
EC Guidance Note on Ethics and Data Protection (2018):
http://ec.europa.eu/research/participants/data/ref/h2020/grants_manual/hi/ethi
cs/h2020_hi_ethics-data-protection_en.pdf
Guidance ‘How to complete your ethics self-assessment’ (2018):
http://ec.europa.eu/research/participants/data/ref/h2020/grants_manual/hi/ethi
cs/h2020_hi_ethics-self-assess_en.pdf
Ethics help desk: RTD-ETHICS-REVIEW-HELPDESK@ec.europa.eu
Manuale sul diritto europeo in materia di protezione dei dati
edizione 2018
https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-
handbook-data-protection_it.pdf
78Puoi anche leggere
