Gianluca Di Ascenzo a cura di - Chorus Call
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
a cura di
Gianluca Di Ascenzo
1
Gianluca Di Ascenzo
I Parte
Il Regolamento UE 2016/679 - GDPR
II Parte
A.G. 22 – Schema di adeguamento della
disciplina sulla protezione dei dati personali
al Regolamento (UE) 2016/679
III Parte
Il Regolamento ePrivacy
2
Gianluca Di Ascenzo
CARTA DEI DIRITTI FONDAMENTALI
DELL’UNIONE EUROPEA
CARTA DEI DIRITTI FONDAMENTALI DELL’UNIONE EUROPEA
(2000/C 364/01)
Articolo 7
Rispetto della vita privata e della vita familiare
Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e
delle proprie comunicazioni.
Articolo 8
Protezione dei dati di carattere personale
1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in
base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di
ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.
3
Gianluca Di Ascenzo
Il REGOLAMENTO SULLA PRIVACY 2016/679
4
Gianluca Di Ascenzo
Il REGOLAMENTO SULLA PRIVACY N. 2016/679
Consenso Il consenso deve essere effettivo e
inequivocabile
Valutazione d’impatto Il trattamento deve essere testato con una
valutazione d’impatto privacy
Privacy by design I sistemi e gli applicativi devono essere tarati
sul principio dell’uso minimo e indispensabile
dei dati
Privacy by default I sistemi devono essere impostati al fine di
utilizzare solo i dati necessari per una certa
finalità
Sicurezza Obbligo di effettuare analisi dei rischi e vaglio
di adeguatezza delle misure di tutela
Violazione dei dati Obbligo della notifica della violazione dei
dati al Garante (e all’interessato)
5Gianluca Di Ascenzo
Il REGOLAMENTO SULLA PRIVACY N. 2016/679
Registro dei trattamenti Adozione di registri in cui indicare
caratteristiche, modalità e finalità dei
trattamenti
Portabilità dei dati Il Regolamento introduce il diritto alla
«portabilità» dei propri dati personali per
trasferirli da un titolare del trattamento ad un
altro. Ad esempio, si potrà cambiare il
provider di posta elettronica senza perdere i
contatti e i messaggi salvati
Oblio Diritto di chiedere ai motori di ricerca la
deindicizzazione delle informazioni
Profilazione Diritto a non subire trattamenti automatizzati
in modo inconsapevole
Sportello unico L’interessato può rivolgersi all’Autorità del
proprio Paese
Sanzioni, codici di condotta e Sanzioni dal 2% al 4% del fatturato globale
che può essere ridotta in caso di adozione di
certificazione codici di condotta e certificazioni
6Gianluca Di Ascenzo
IL GDPR
Principi applicabili al trattamento di dati personali
L’art. 5 del Regolamento europeo (GDPR) stabilisce che i dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile
con tali finalità («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione
dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi
a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici («limitazione della conservazione»);
f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure
tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno
accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo
(«responsabilizzazione»).
7Gianluca Di Ascenzo
Fondamento di liceità del trattamento
Il regolamento stabilisce nell’art. 6 che ogni trattamento
deve trovare fondamento in un´idonea base giuridica:
consenso, adempimento obblighi contrattuali, interessi
vitali della persona interessata o di terzi, obblighi di legge
cui è soggetto il titolare, interesse pubblico o esercizio di
pubblici poteri, interesse legittimo prevalente del titolare o
di terzi cui i dati vengono comunicati.
8Gianluca Di Ascenzo
Fondamento di liceità del trattamento
9Gianluca Di Ascenzo
Fondamento di liceità del trattamento
10Informativa
Contenuti dell´informativa (art. 13)
Il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data
Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest´ultimo
costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo,
attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si
utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
Il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di
conservazione, e il diritto di presentare un reclamo all´autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l´informativa deve specificarlo e
deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l´interessato.
Tempi dell´informativa
Nel caso di dati personali non raccolti direttamente presso l´interessato (art. 14 del regolamento), l´informativa deve
essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della
comunicazione (NON della registrazione) dei dati (a terzi o all´interessato) (diversamente da quanto prevede
attualmente l´art. 13, comma 4, del Codice).
Modalità dell´informativa
L´informativa deve avere forma concisa, trasparente, intelligibile per l´interessato e facilmente accessibile; occorre
utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.
L´informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico.
Il regolamento ammette l´utilizzo di icone per presentare i contenuti dell´informativa in forma sintetica, ma solo "in
combinazione" con l´informativa estesa.
11Diritti degli interessati
Diritto di accesso (art. 15)
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di
dati personali che lo riguardano e, in tal caso, di ottenere le seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati
per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere la RETTIFICA o la CANCELLAZIONE dei dati personali o la
LIMITAZIONE del trattamento dei dati personali che lo riguardano o di OPPORSI al loro trattamento;
f ) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni
significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto
di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento.
In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese
ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo
indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
12Diritti degli interessati
Diritto di limitazione del trattamento (art. 18)
Si tratta di un diritto diverso e più esteso rispetto al "blocco" del trattamento di cui all´art. 7, comma 3, lettera a), del
Codice privacy.
L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle
seguenti ipotesi:
a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare
l’esattezza di tali dati personali;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia
limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari
all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto al trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi
del titolare del trattamento rispetto a quelli dell’interessato.
Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano
determinate circostanze (consenso dell´interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona
fisica o giuridica, interesse pubblico rilevante).
RACCOMANDAZIONI
Il diritto alla limitazione prevede che il dato personale sia "contrassegnato" in attesa di determinazioni ulteriori; pertanto,
è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.
13Gianluca Di Ascenzo
Il REGOLAMENTO SULLA PRIVACY N. 679/2016
14Gianluca Di Ascenzo
Il REGOLAMENTO SULLA PRIVACY N. 679/2016
15Gianluca Di Ascenzo
Trasferimento di dati extra UE
16Gianluca Di Ascenzo
Data breach
17Gianluca Di Ascenzo
A.G. 22 - articolo 13 della legge n. 163 del 2017
(legge di delegazione europea 2016-2017)
Nell’esercizio della delega il Governo è chiamato a rispettare i seguenti principi
e criteri generali:
abrogare espressamente le disposizioni del Codice della privacy
incompatibili con quelle del regolamento (UE) n. 2016/679;
modificare il Codice della privacy limitatamente a quanto necessario
per dare attuazione alle disposizioni non direttamente applicabili
contenute nel regolamento (UE);
coordinare le disposizioni vigenti in materia di protezione dei dati
personali con le disposizioni recate dal regolamento (UE);
prevedere la possibilità di affidare al Garante l’adozione di specifici
provvedimenti attuativi e integrativi previsti dal Regolamento;
adeguare, nell’ambito delle modifiche al Codice della privacy, il
sistema sanzionatorio penale e amministrativo vigente alle
disposizioni del regolamento (UE) con previsione di sanzioni penali e
amministrative efficaci, dissuasive e proporzionate alla gravità della
violazione delle disposizioni stesse.
18Gianluca Di Ascenzo
La riforma della e-privacy
Nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di
tutela della riservatezza delle comunicazioni elettroniche, presentando una proposta di regolamento
COM(2017)10 con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy) con una
normativa direttamente applicabile e che garantisca i medesimi livelli di protezione per tutti i cittadini
UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in
tale settore.
Gli elementi di maggiore novità della proposta di regolamento sono:
l'estensione della tutela della privacy con riferimento ai più recenti servizi di comunicazione
elettronica (ad esempio il Voip e i servizi over the top come Whatsup e Facebook Messenger) che
finora non erano contemplati dalla direttiva;
la riforma del regime in materia di riservatezza dei dati conservati nei dispositivi finali (con
particolare riferimento alle tecniche di tracciatura quali i cookie);
la revisione della disciplina in materia di comunicazioni elettroniche indesiderate (spamming);
la previsione di un nuovo apparato sanzionatorio per le infrazioni al regolamento, coerente con
quanto previsto dal regolamento generale in materia di protezione dei dati personali.
La Commissione europea ha chiarito che la nuova disciplina è da considerarsi lex specialis rispetto al
regime generale sulla protezione dei dati personali contenuto nel regolamento (UE) 2016/679.
La proposta – sulla quale nella scorsa legislatura la II Commissione (Giustizia) della Camera ha
approvato un documento finale, recante una valutazione positiva con osservazioni - è tuttora all’esame
del Parlamento europeo e del Consiglio dell’UE.
19Avv. Gianluca Di Ascenzo
glda@libero.it
20Puoi anche leggere
