Le principali novità del nuovo regolamento europeo in tema di privacy Chiara Giorgini
Il Regolamento Europeo n. 679/2016: evoluzione AGENDA Il Regolamento Europeo n. 679/2016: evoluzione Le principali novità introdotte dal Regolamento europeo n. 679/2016
IL REGOLAMENTO EUROPEO N. 679/2016: EVOLUZIONE La Commissione europea ha presentato il 25 Gennaio 2012 un pacchetto di riforme in materia di protezione dei dati, comprendente: una proposta di Regolamento, che ha lo scopo di rafforzare i diritti dei singoli relativi alla protezione dei dati, facilitare la libera circolazione degli stessi nel mercato unico digitale e ridurre gli oneri di carattere burocratico; una proposta di Direttiva, relativa al trattamento dei dati personali da parte delle Autorità ai fini di prevenzione, indagine, accertamento, perseguimento dei reati o esecuzioni penali.
IL REGOLAMENTO EUROPEO N. 679/2016: EVOLUZIONE Il 14 aprile 2016 il Parlamento Europeo ha approvato definitivamente il Regolamento; Il 4 maggio 2016 il Regolamento è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea; il 24 maggio 2016, ovvero il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, il Regolamento è entrato in vigore; ai sensi di quanto previsto dall’art. 99 delle disposizioni finali, esso diverrà pienamente applicabile a decorrere dal 25 maggio 2018.
IL REGOLAMENTO EUROPEO N. 679/2016: EVOLUZIONE 24 maggio 2016 > 24 maggio 2018 25 maggio 2018 Regolamento 2016/679 IN VIGORE, NON APPLICABILE (?) Direttiva 1995/46 IN VIGORE, DECADE il 24 maggio 2018 Provvedimenti Autorità Garante NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Accordi internazionali su trasferimento dati NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Decisioni Commissione UE NON DECADONO fino a quando non verranno modificate, sostituite, abrogate
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DEFINIZIONI «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, ecc. «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica;
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DEFINIZIONI «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; «categorie particolari di dati personali»: dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: AMBITO DI APPLICAZIONE TERRITORIALE Il Regolamento si applica al trattamento di dati personali: effettuato nell’ambito delle attività di uno stabilimento del titolare del trattamento o di un responsabile nell’Unione europea, indipendentemente dall’ambito territoriale (UE o extra-UE), in cui il trattamento è effettuato; di interessati presenti nell’Unione europea, effettuato da un titolare del trattamento o da un responsabile del trattamento, che non è stabilito nell’Unione, quando le attività di trattamento riguardano: l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; il monitoraggio del comportamento di tali interessati, nella misura in cui tale comportamento ha luogo all'interno dell'Unione. effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro, in virtù del diritto internazionale pubblico.
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: AMBITO DI APPLICAZIONE MATERIALE Il Regolamento non si applica al trattamento di dati personali: Le disposizioni del Regolamento non si applicano ai trattamenti di dati personali: effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione. effettuati da una persona fisica per l’esercizio di attività personali o domestiche; e quindi senza una connessione con un'attività commerciale o professionale. effettuati dalle Autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati, esecuzione di sanzioni penali, o salvaguardia contro e prevenzione di minacce alla sicurezza pubblica.
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Il Titolare del trattamento dei dati Codice Privacy - Art. 28 Titolare del trattamento Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Codice Privacy - Art. 29 – Responsabile del trattamento Il Responsabile è designato dal titolare in maniera facoltativa. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle disposizione in materia di trattamento (anche relativo all’ambito della sicurezza). Possono essere designati più responsabili del trattamento. Il Responsabile effettua il trattamento attenendosi alle istruzioni del titolare, il quale vigila, attraverso verifiche periodiche, sull’osservanza delle disposizioni in materia di trattamento. Regolamento - Art. 24 – Responsabilità del «Controller» (Titolare) Il Titolare deve mettere in atto tecniche appropriate e misure organizzative per assicurare e dimostrare che il trattamento dei dati sia compiuto in conformità al Regolamento, considerando la natura, lo scopo, il contesto e i motivi del trattamento, oltre ai rischi probabili relati ai diritti e alle libertà degli individui. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di adeguate politiche in materia di protezione dei dati da parte del responsabile del trattamento. L’approvazione di codici di condotta ex art. 38 o del meccanismo di certificazione ex art. 39 possono essere considerati elementi che dimostrano la conformità con le obbligazioni del Titolare.
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Il Titolare del trattamento dei dati Regolamento - Art. 26 – Contitolari del trattamento Se due o più Titolari determinano congiuntamente le finalità e i mezzi per il trattamento dei dati, questi devono determinare, in maniera trasparente, le rispettive responsabilità per la conformità alle disposizioni del Regolamento, in particolare all’esercizio dei diritti dell’interessato e ai doveri di informazione previsti dal Regolamento. Tali responsabilità devono derivare da un accordo interno, a meno che non siano predisposte dall’Unione europea o da leggi degli Stati membri. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente Regolamento nei confronti di e contro ciascun titolare del trattamento. L'accordo riflette adeguatamente i rispettivi ed effettivi ruoli dei corresponsabili e i loro rapporti nei confronti degli interessati e il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.
LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Il Responsabile del trattamento dei dati Regolamento - Art. 28 – «Processor» (Responsabile) Qualora il trattamento è effettuato per conto del Titolare del trattamento, questi sceglie un Responsabile del trattamento («Processor»), che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al Regolamento, assicurando la tutela dei diritti dell’interessato, con particolare riguardo alle misure di sicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, e si assicura del rispetto di tali misure. L’esecuzione dei trattamenti da parte del Responsabile deve essere disciplinata da un contratto o altro atto giuridico, che vincoli il Responsabile del trattamento al titolare del trattamento, in cui sono stipulati l’argomento e la durata del trattamento, la natura e i motivi del trattamento, il tipo di dati personali e le categorie degli interessati, i doveri e i diritti del Responsabile e definendo che il Responsabile deve: procedere al trattamento di dati personali solo su istruzione del titolare del trattamento, impiegare soltanto personale che si sia impegnato alla riservatezza o abbia l’obbligo legale di riservatezza; prendere tutte le misure di sicurezza; rispettare le condizioni per ricorrere ad un altro responsabile del trattamento; e) tenere in considerazione la natura del trattamento, supportare il titolare su appropriate misure tecniche e organizzative, necessarie all’attuazione degli obblighi del titolare per rispondere alle richieste relative all’esercizio dei diritti dell’interessato; f) supportare il titolare del trattamento, g) ultimato il trattamento, secondo la decisione del titolare, cancellare o trasmettere tutti i dati personali al titolare del trattamento e cancellare le copie esistenti, h) mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare la conformità con gli obblighi previsti da questo articolo e per consentire audits e ispezioni effettuate dal titolare o da un suo incaricato. Se il responsabile, in violazione del Regolamento, determina le finalità e i mezzi di trattamento, sarà considerato come responsabile, in merito a quel trattamento.
Regolamento - Art 30 Registri delle attività di trattamento dati LE PRINCIPALI NOVITà INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO Regolamento - Art 30 Registri delle attività di trattamento dati Ogni Titolare del trattamento nonché il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale documentazione contiene le seguenti informazioni: il nome e i dettagli del Titolare del trattamento e, se del caso, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; la finalità del trattamento; una descrizione delle categorie dell’interessato e delle categorie dei dati personali; le categorie di soggetti ai quali i dati personali sono stati o saranno comunicati, tra cui i destinatari di Paesi terzi; se applicabile, il trasferimento dei dati a Paesi terzi o ad organizzazioni internazionali, includendo l’identificazione di tali Paesi o organizzazioni; se previsti, i limiti temporali per la cancellazione di differenti categorie di dati; se possibile, una descrizione generale delle misure tecniche e organizzative per la sicurezza dei dati.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO Occorre ricordare che il co. V dell’art. 30 del Regolamento esonera dall’obbligo di tenuta del registro dei trattamenti le imprese con meno di 250 dipendenti, a meno che: Ad ogni modo, anche per le imprese con un numero di dipendenti inferiore, la tenuta del registro dei trattamenti costituisce un adempimento consigliabile, in quanto permette di mappare in maniera ordinata i trattamenti effettuati all’interno della singola organizzazione e di dimostrare la conformità ai principi contenuti nel Regolamento. Ciò in quanto il Titolare del trattamento è tenuto ad assolvere al principio di accountability su di lui gravante, principio che rimane pienamente valido anche per le PMI. il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato; il trattamento non sia occasionale; vengano trattati categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO Il registro dei trattamenti risponde ad una pluralità di finalità, in quanto: Inoltre, occorre ricordare che non esiste una regola generale che stabilisca le modalità attraverso le quali costruire il registro dei trattamenti: esso, comunque, potrebbe essere costituito da più moduli per individuare i trattamenti e gli applicativi/servizi di riferimento; inoltre, potrebbe contenere informazioni ulteriori rispetto a quelle obbligatorie sulla base di quanto previsto dal Regolamento. È volto a tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione; costituisce uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano «ciclo di gestione» dei dati personali; rappresenta un documento probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di accountability.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO Il registro potrebbe ad esempio contenere le seguenti ulteriori informazioni rispetto a quelle obbligatorie in base all’art. 30 del Regolamento: Base giuridica del trattamento Elenco dei soggetti terzi coinvolti Analisi del rischio per ogni singolo applicativo Esistenza di valutazione d’impatto e consultazione preventiva Documentazione a supporto del trattamento (es: informativa e consenso) Procedure per l’esercizio dei diritti dell’interessato Provvedimenti specifici dell’Autorità Garante (amministratori di sistema – altri specifici) Applicazioni e/o database utilizzati
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: REGOLE GENERALI PER IL TRATTAMENTO DEI DATI Principi generali Codice Privacy Art. 3 - Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Regolamento Art. 25 - Protezione fin dalla progettazione e protezione per impostazione predefinita Tenuto conto della tecnologia disponibile e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate all'attività di trattamento in corso e ai suoi obiettivi, quali la minimizzazione e la pseudonimizzazione dei dati (…); Il titolare del trattamento mette in atto opportune misure per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l'estensione del trattamento, il periodo di conservazione e la loro accessibilità. In particolare, ogni meccanismo deve garantire che, di default, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento umano.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: REGOLE GENERALI PER IL TRATTAMENTO DEI DATI Il Regolamento ribadisce il principio contenuto all’interno dell’art. 3 Codice Privacy relativo alla necessità di ridurre al minimo l’utilizzo di dati personali e identificativi dell’interessato. Inoltre, aggiunge che i titolari del trattamento, tenendo conto di tutte le circostanze del caso concreto (tecnologia disponibile, gravità del rischio per i diritti e libertà delle persone fisiche, ecc…), devono porre in essere misure di carattere tecnico e organizzativo al fine di tutelare i diritti dell’interessato nell’attività di trattamento, nel rispetto del principio di minimizzazione e garantendo di default il maggior rispetto possibile della privacy.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SICUREZZA DEL TRATTAMENTO Sicurezza dei dati Codice Privacy - Art. 31 Obblighi di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Codice Privacy - Art. 33 Misure minime I titolari del trattamento sono comunque tenuti ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali (allegato B del D.lgs. N. 196/2003). Regolamento - Art. 32 Sicurezza del trattamento Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: l’uso dello pseudonimo e della criptazione dei dati personali; la capacità di assicurare l’attuale riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare la disponibilità e l’accesso ai dati in modo tempestivo, in caso di incidente fisico o tecnico; un processo per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, per garantire la sicurezza del trattamento.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SICUREZZA DEL TRATTAMENTO Il Regolamento abbandona il concetto di “misure minime” contenuto all’interno del codice privacy, sostituendolo con quello di misure “adeguate”. L’adeguatezza delle stesse va valutata tenendo in considerazione una serie di elementi, tra cui in primis i rischi per i diritti e le libertà delle persone fisiche. Inoltre, le soluzioni da applicare sono specificate in maniera più esemplificativa e descrittiva, mediante l’indicazione di alcune misure di carattere tecnico ed organizzativo che il titolare del trattamento può adottare (tra cui la pseudonimizzazione e la cifratura). Egli, inoltre, deve prevedere una procedura mediante la quale valutare regolarmente l’efficacia delle misure applicate.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: VIOLAZIONE DEI DATI (Data breach) Violazione dei dati Codice Privacy - Art. 32-bis Adempimenti conseguenti ad una violazione dei dati personali L’obbligo di notifica delle violazioni dei dati personali al Garante incombe unicamente sui fornitori di servizi di comunicazione elettronica accessibili al pubblico. Regolamento - Art. 33 Notifica della violazione di dati personali all’Autorità di controllo In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. La notificazione all’Autorità almeno deve: descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione; indicare l’identità e i dettagli del «Data Protection Officer»; descrivere le conseguenze della violazione dei dati; descrivere le misure prese; descrivere le misure proposte o adottate dal Titolare del trattamento per porre rimedio alla violazione dei dati personali e attenuarne gli effetti. Il Titolare del trattamento deve documentare ogni violazione dei dati personali, incluse le circostanze in cui si è verificata, i suoi effetti e i provvedimenti adottati per porvi rimedio. La documentazione deve consentire all’Autorità di controllo di verificare il rispetto delle disposizioni inerenti la notifica della violazione.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: VIOLAZIONE DEI DATI (Data breach) Regolamento - Art. 34 – Comunicazione della violazione dei dati all’interessato Quando la violazione dei dati personali rischia di pregiudicare i diritti e le libertà dell’individuo, il Titolare del trattamento deve comunicare la violazione all' interessato senza ingiustificato ritardo. La comunicazione all’interessato deve descrivere, in un linguaggio semplice e chiaro, la natura della violazione dei dati e contenere le informazioni e le raccomandazioni necessarie. Non è richiesta la comunicazione di una violazione dei dati personali all’interessato se: il Titolare del trattamento dimostra all’Autorità di controllo che ha utilizzato opportune misure tecnologiche di protezione e tali misure erano state applicate ai dati personali oggetto della violazione; il titolare ha preso idonee misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; tale comunicazione richiederebbe sforzi sproporzionati. Se il Titolare del trattamento non ha provveduto a comunicare all’interessato la violazione dei dati personali, l’Autorità di controllo, considerati i rischi elevanti di pregiudizio dei diritti e libertà dell’interessato, può obbligare il Titolare del trattamento a farlo.
Responsabile della protezione dei dati (Data Protection Officer) LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: Responsabile della protezione dei dati Responsabile della protezione dei dati (Data Protection Officer) Regolamento - Art. 37 Designazione del «Data Protection Officer» Il titolare del trattamento e il responsabile del trattamento devono designare un «Data protection Officer» quando: le attività principali del Titolare o del responsabile consistono in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati; le attività principali del Titolare del trattamento o del Responsabile consistono nel trattamento di categorie particolari di dati (relativi all’origine razziale o etnica, convinzioni politiche o religiose, appartenenza a sindacati, dati genetici o biometrici che riguardino salute, vita sessuale o orientamento sessuale) o di dati relativi a condanne penali e reati; il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione dei tribunali nell’esercizio delle funzioni giurisdizionali; Un gruppo di imprese può nominare un unico «Data Protection Officer», purché sia facilmente raggiungibile da ciascuno stabilimento. Oltre ai casi d’obbligatorietà di designazione del «Data Protection Officer», il Titolare del trattamento e il Responsabile possono (o devono se previsto da disposizioni dell’UE o degli Stati membri) designare un «Data Protection Officer». Deve essere nominato sulla base delle sue qualità professionali e sull’approfondita conoscenza della normativa della protezione dei dati. Può essere un membro dello staff del Titolare o del Responsabile o svolgere i compiti sulla base di un contratto di servizi. Obbligo di comunicazione del Titolare o del Responsabile dei dettagli di contatto del «Data Protection Officer» all’Autorità di controllo.
Regolamento - Art. 38 Posizione del «Data Protection Officer» LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: Responsabile della protezione dei dati Regolamento - Art. 38 Posizione del «Data Protection Officer» Il Titolare del trattamento o il Responsabile si assicurano che il «Data Protection Officer» sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il Titolare o il Responsabile del trattamento sostengono il «Data Protection Officer» nell'esecuzione dei suoi compiti e gli forniscono tutti i mezzi per adempiere dei suoi compiti. Il Titolare o il Responsabile del trattamento si assicurano che il «Data Protection Officer» sia indipendente nell’esercizio dei suoi compiti. I «Data Protection Officer» sono tenuti alla segretezza o riservatezza per quanto riguarda l’esecuzione dei loro compiti, in conformità alla normativa europea o statale. Il «Data Protection Officer» può avere altri compiti o doveri. Il Titolare o il Responsabile del trattamento si assicurano che gli stessi non risultino in conflitto di interesse.
Regolamento - Art. 39 Compiti del «Data Protection Officer» LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: Responsabile della protezione dei dati Regolamento - Art. 39 Compiti del «Data Protection Officer» Il «Data Protection Officer» svolge tali compiti: informa e consiglia il Titolare o il Responsabile e i dipendenti che trattano i dati delle obbligazioni in materia di trattamento dei dati del Regolamento e di altre disposizione dell’Unione europea e degli Stati membri; monitora la conformità con il Regolamento e con altre disposizione dell’Unione europea e degli Stati membri e con le policies sul trattamento dei dati personali del Titolare o del Responsabile; fornisce supporto, se richiesto, sulla valutazione dell’impatto della protezione dei dati e monitorare la sua esecuzione; coopera con l’Autorità di controllo; fa da punto di contatto per l’Autorità di controllo sulle questioni relative alla protezione dei dati, incluso il meccanismo di consultazione preventiva. Il «Data Protection Officer», nello svolgimento dei suoi compiti, deve considerare i rischi legati alle operazioni di trattamento, tenendo conto della natura, scopo, contesto e motivi del trattamento dei dati.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: Responsabile della protezione dei dati Il Regolamento introduce la nuova figura del «Data Protection Officer», che all’interno delle aziende svolgerà la funzione di maggiore esperto nell’ambito del trattamento dei dati personali. Le organizzazioni che non sono tenute a nominare un D.P.O. e che non desiderano farlo possono usufruire di consulenti esterni o di soggetti interni all'azienda per tutte le questioni inerenti il trattamento dei dati personali, fermo restando che tali figure professionali non andranno in alcun modo confuse con il Data Protection Officer. Il D.P.O. deve divenire, all'interno della singola organizzazione, il punto di riferimento per tutte le questioni che abbiano ad oggetto la protezione dei dati personali. Deve dunque, ad esempio, essere informato e consultato fin dall'inizio delle operazioni di trattamento, invitato a partecipare alle riunioni dei soggetti che ricoprono funzioni apicali e, nell'ipotesi di disaccordo con l'opinione fornita, costituisce una buona prassi documentare per iscritto le ragioni del dissenso.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: Responsabile della protezione dei dati Deve essere fornito al D.P.O. un supporto adeguato in termini di risorse finanziarie ed infrastrutturali (locali, attrezzature, ecc…) e, in alcuni casi, potrebbe essere necessario istituire un team di soggetti che coadiuvi il D.P.O. nell'esercizio delle sue funzioni. Il D.P.O. non deve trovarsi in una situazione di conflitto d’interessi rispetto ad eventuali posizioni ricoperte all’interno della medesima organizzazione. Ciò comporta che il Data Protection Officer non potrà rivestire dei ruoli che gli consentano di stabilire i mezzi e le finalità di operazioni di trattamento effettuate nella stessa azienda nella quale svolge la funzione di Responsabile della Protezione dei dati. Costituisce dunque una buona prassi, ad esempio, individuare quelle posizioni che risultino incompatibili con la funzione di D.P.O.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DATA PROTECTION IMPACT ASSESSMENT (DPIA) Trattamento in presenza di rischi per i diritti dell’interessato Codice Privacy Art. 17 – Trattamento che presenta rischi specifici 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. Regolamento Art. 35 – Valutazione d’impatto sulla protezione dei dati Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (…) il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali. Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, chiede un parere al responsabile della protezione dei dati, qualora ne sia designato uno. 3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei seguenti casi: una valutazione sistematica e globale di aspetti della personalità degli interessati, basata sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati; il trattamento su larga scala di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza; la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DATA PROTECTION IMPACT ASSESSMENT (DPIA) L’effettuazione della valutazione d’impatto non risulta obbligatoria in tutte le ipotesi, bensì soltanto nel caso in cui un tipo di trattamento possa “presentare un rischio elevato per i diritti e le libertà dell’interessato”, oltre che nelle ipotesi specificamente previste dal co. III dell’art. 35 del Regolamento Di fondamentale importanza risulta dunque stabilire quando in concreto un trattamento possa considerarsi rischioso e richieda di valutare l’impatto che esso avrebbe sulla protezione dei dati personali, non essendo tale indicazione contenuta all’interno del Regolamento Al riguardo, le linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) lo scorso 4 aprile invitano a prendere in considerazione la sussistenza di una serie di aspetti, tra cui ad esempio:
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DATA PROTECTION IMPACT ASSESSMENT (DPIA) un processo di valutazione dell’interessato, compresa la profilazione, in particolare al fine di valutare aspetti riguardanti la situazione economica, la salute, le preferenze, gli interessi personali, ecc.; un monitoraggio sistematico degli interessati, che in alcuni casi potrebbero non essere consapevoli del tutto di chi sta trattando i loro dati e delle modalità con le quali il trattamento viene effettuato effettuazione, su larga scala, di operazioni di trattamento di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento; Il trattamento di dati che riguardano soggetti vulnerabili, quali potrebbero essere i minori o i lavoratori. In tal caso viene infatti a crearsi uno squilibrio di poteri tra il Titolare e l’interessato. utilizzo di soluzioni tecnologiche o organizzative di carattere innovativo.
Regolamento - Art. 15 Diritto di accesso dell’interessato LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DIRITTI DELL’INTERESSATO Diritto di accesso Codice Privacy - Art. 7 Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. Regolamento - Art. 15 Diritto di accesso dell’interessato L’interessato ha il diritto di ottenere da parte del titolare conferma in ordine al trattamento dei dati, e del luogo in cui gli stessi sono trattati. Egli, inoltre, deve essere informato in ordine a: (…) c) I destinatari o le categorie di destinatari ai quali i dati verranno inviati, d) se possibile, il periodo di conservazione dei dati previsto o, quantomeno, i criteri utilizzati per determinare tale periodo; e)l’esistenza del diritto di chiedere al titolare la rettifica, la cancellazione o la limitazione del trattamento dei dati, nonché di opporsi a quest’ultimo; f) il diritto di proporre reclamo dinnanzi all’Autorità di controllo; g) quando i dati personali non sono raccolti presso l’interessato, qualsiasi informazione disponibile sull’origine dei dati; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione (…).
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DIRITTI DELL’INTERESSATO Diritto di rettifica e cancellazione Regolamento Art. 16 – Diritto di rettifica L'interessato ha il diritto di ottenere senza indebito ritardo dal titolare del trattamento la rettifica dei propri dati personali inesatti. Tenuto conto delle finalità per le quali i dati sono stati trattati, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. Regolamento Art. 17 – Diritto alla cancellazione (“diritto all’oblio”) L’interessato ha diritto di ottenere dal titolare senza indebito ritardo la cancellazione dei dati personali che lo riguardano, qualora sussista una delle seguenti ragioni: i dati non sono più necessari in relazione agli scopi per i quali essi sono stati forniti, o altrimenti trattati; l’interessato ritira il consenso su cui si fonda il trattamento e non sussiste altro motivo legittimo per trattare i dati; l'interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento dei dati personali; i dati sono stati trattati in maniera illegittima; i dati devono essere cancellati in conformità ad una legge dell’UE o di uno Stato membro, alla quale è soggetto il titolare del trattamento.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DIRITTI DELL’INTERESSATO Diritto alla portabilità dei dati Regolamento - Art. 20 Diritto alla portabilità dei dati L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile a macchina i dati personali che lo riguardano, che siano stati forniti ad un titolare del trattamento e ha il diritto di trasmettere tali dati ad un altro titolare, senza impedimenti da parte del primo, qualora: a) il trattamento si basi sul consenso o su un contratto e b) il trattamento sia effettuato con mezzi automatizzati. In cosa consiste dunque il diritto alla portabilità dei dati e quali conseguenze determina?
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: DIRITTI DELL’INTERESSATO la portabilità dei dati non comporta l’obbligo per il Titolare del trattamento di conservare i dati personali oltre il periodo strettamente necessario o al di là di qualsiasi periodo di conservazione previsto; a seguito della richiesta dell’interessato, devono essergli trasmessi i dati che lo riguardano e che siano stati da quest’ultimo forniti al Titolare del trattamento I dati personali devono essere forniti in un «formato strutturato», «di uso comune» e «leggibile da un dispositivo automatico». Questi tre termini indicano i requisiti minimi necessari per garantire l’interoperabilità dei dati forniti; I titolari del trattamento devono garantire la “sicurezza appropriata” dei dati personali, compresa la protezione contro qualsiasi trattamento non autorizzato o illegale ed eventuali perdite accidentali. Devono essere predisposte, inoltre, delle misure tecniche o organizzative contro la distruzione ed il danneggiamento.
Codice Privacy Art. 26 – Dati sensibili LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: CATEGORIE PARTICOLARI DI DATI PERSONALI Codice Privacy Art. 26 – Dati sensibili I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante: quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro (…); quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo (…); quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto. Regolamento Art. 9 – Trattamento di categorie particolari di dati personali E’ vietato Il trattamento di dati personali, che rivelino l’origine razziale o etnica, le convinzioni politiche o religiose, l’appartenenza a sindacati, nonché quello avente ad oggetto dati genetici o biometrici che identifichino in modo esclusivo una persona, o che riguardino salute, vita sessuale o orientamento sessuale. La disposizione non trova applicazione quando: l’ interessato ha fornito il proprio consenso al trattamento dei dati per una o più specifiche finalità (…); Il trattamento è necessario per dare esecuzione agli obblighi ed esercitare specifici diritti del titolare o dell’interessato nel campo del diritto del lavoro e della sicurezza sociale (…).
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SANZIONI AMMINISTRATIVE RIFERIMENTO INADEMPIMENTO SANZIONE Consenso dei minori (art. 8) Mancata verifica del consenso da parte del Titolare della responsabilità genitoriale sul minore Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Trattamento che non richiede l’identificazione (art. 11) Inadempimento nell’obbligo di non conservare, acquisire o trattare di informazioni per identificare l’interessato se le finalità non richiedono o non richiedono più la sua identificazione Privacy by design/default (art. 25) Assenza di conformità privacy by design/default di prodotti e servizi Contitolarità (art. 26) Assenza di accordo e ripartizione delle responsabilità con il contitolare Rappresentanti non stabiliti in UE (art. 27) Assenza di designazione di un rappresentante nell’UE Responsabile del trattamento (art. 28) Assenza di autorizzazione scritta, specifica o generale, con contratto o altro atto giuridico, da parte del Titolare
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SANZIONI AMMINISTRATIVE RIFERIMENTO INADEMPIMENTO SANZIONE Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto autorità di Titolare o Responsabile Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di controllo Sicurezza (art. 32) Assenza di adozione di misure tecniche ed organizzative adeguate Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione Comunicazione di violazione (art. 34) Mancata comunicazione agli interessati in caso di violazione (quando obbligatorio) Valutazione d’impatto (art. 35) Assenza di valutazione d’impatto (quando obbligatoria) Consultazione preventiva (art. 36) Assenza di consultazione preventiva (quando necessaria) Designazione DPO (art. 37) Assenza di designazione del DPO (quando necessario)
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SANZIONI AMMINISTRATIVE RIFERIMENTO INADEMPIMENTO SANZIONE Posizione DPO (art. 38) Assenza di tempestivo ed adeguato coinvolgimento del DPO; assenza di risorse necessarie per assolvere ai compiti del DPO; ingerenza sulla attività del DPO (istruzioni, penalizzazione e rimozione della sua attività) Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Compiti DPO (art. 39) Ingerenza sull’adempimento dei compiti del DPO Certificazione (art. 42) Assenza di cooperazione con organismi di certificazione e autorità di controllo se Titolare o Responsabile si sottopongono volontariamente alla certificazione Organismi di certificazione (art. 43)
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SANZIONI AMMINISTRATIVE RIFERIMENTO INADEMPIMENTO SANZIONE Principi applicabili al trattamento – liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5) Violazione dei principi applicabili al trattamento Fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Liceità del trattamento – consenso, finalità contrattuali, obbligo legale, salvaguardia interessi vitali dell’interessato, interessa pubblico, legittimo interesse del titolare o di terzi (art. 6) Violazione delle condizioni di liceità del trattamento Condizioni per il consenso (art. 7) Mancanza di dimostrazione del consenso dell’interessato; consenso non chiaramente distinto da altre materie in forma comprensibile e facilmente accessibile; facilità ed informazione sull’esercizio del diritto di revoca; libera prestazione del consenso Trattamento di categorie particolari di dati (art. 9) Trattamento senza il consenso esplicito (salve le eccezioni di cui all’art. 9 co. 2 lett. b) - j)) dei dati di cui all’art.9
Violazione dei diritti e dell’esercizio dei diritti dell’interessato LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SANZIONI AMMINISTRATIVE RIFERIMENTO INADEMPIMENTO SANZIONE Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti (art. 12) Violazione dei diritti e dell’esercizio dei diritti dell’interessato Fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (art. 13) Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato (art. 14) Diritto di accesso dell’interessato (art. 15) Diritto di rettifica (art. 16) Diritto alla cancellazione «diritto all’oblio» (art. 17) Diritto di limitazione di trattamento (art. 18) Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (art. 19) Diritto alla portabilità dei dati (art. 20) Diritto di opposizione (art. 21) Processo decisionale automatizzato relativo alle persona fisiche, comprese le persone fisiche (art. 22)
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: SANZIONI AMMINISTRATIVE RIFERIMENTO INADEMPIMENTO SANZIONE Trasferimenti di dati a un destinatario di un Paese terzo o una organizzazione internazionale (artt. 44-49) Inosservanza dei principi contenuti negli articoli da 44 a 49 – inosservanza dei principi generali per il trasferimento, assenza di una decisione di adeguatezza, trasferimento in assenza di garanzie adeguate, inosservanza delle norme vincolanti d’impresa, trasferimento o comunicazione non autorizzati dal diritto dell’Unione, inosservanza delle deroghe in specifiche situazioni Fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Qualsiasi obbligo adottato dalle legislazioni degli Stati membri a norma del Capo IX Inosservanza degli obblighi di cui alle legislazioni degli Stati membri a norma del Capo IX Inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei glussi di dati dell’autorità di controllo ai sensi dell’art. 58, par. 2, o il negato accesso in violazione dell’art. 58, par. 1. Inosservanza di un ordine da parte dell’autorità di controllo di cui all’art. 58, par. 2.
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016: COSA RESTA INVARIATO All’interno del nuovo Regolamento, rispetto a quanto previsto dal D. Lgs. 196/2003 (Codice Privacy), rimangono sostanzialmente invariati: Definizione di dato personale Protezione delle sole persone fisiche Principi relativi al trattamento di dati Informativa Consenso Soggetti che effettuano il trattamento (salvo introduzione del D.P.O.)
LE PRINCIPALI NOVITA’ INTRODOTTE DAL REGOLAMENTO EUROPEO N. 679/2016 Occorre ricordare che il 10 gennaio 2017 la Commissione UE ha presentato una proposta di Regolamento concernente il «rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea», c.d. «Regolamento ePrivacy»; Rispetto al Regolamento generale sulla protezione dei dati, la proposta di Regolamento si colloca quale lex specialis, in quanto è volta a tutelare i dati personali afferenti alle comunicazioni elettroniche. Ne deriva che tutte le questioni relative al trattamento dei dati personali non disciplinate dalla proposta lo sono dal GDPR. Occorre ricordare che la proposta di Regolamento abrogherà la Direttiva 2002/58, ossia la «vecchia» Direttiva ePrivacy.
Grazie per l’attenzione