Introduzione al nuovo Regolamento Generale sulla protezione dei dati Il GDPR e le principali novità per le aziende SIMONE BONAVITA Perani Pozzi Associati http://www.2pt.eu

Una introduzione al nuovo testo IL GDPR Una introduzione al nuovo testo

Efficacia Il Regolamento avrà effetto a decorrere dal 25 maggio 2018, data in cui sostituirà l’attuale Direttiva UE sulla protezione dei dati (95/46/CE), conferendo nuovi diritti alle persone fisiche, estendendo la portata delle responsabilità del titolare e del responsabile del trattamento dei dati e potenziando il regime di applicazione con l’introduzione del rischio di sanzioni pari a un massimo del 4% del fatturato globale annuo del soggetto che commette la violazione.

Efficacia Il Regolamento ha effetti diretti in tutti gli Stati Membri. A differenza della Direttiva, non deve essere recepito a livello nazionale.

Le conseguenze Le attuali norme sulla protezione dei dati personali saranno [in tutto o in parte]sostituite dal un nuovo Regolamento. Il Regolamento generale sulla protezione dei dati sarà applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.

I cambiamenti La portata dei cambiamenti previsti è sostanziale, tanto da richiedere un’azione tempestiva ai fini di garantire la conformità. Le organizzazioni dovranno adottare un approccio sistematico e coordinato per garantire la conformità di tutte le operazioni di trattamento. Le persone fisiche vedranno i propri diritti alla privacy considerevolmente rafforzati, con la possibilità di farli valere direttamente contro titolari e responsabili.

Applicabilità L’applicazione territoriale del Regolamento è di portata maggiore rispetto alla Direttiva, in quanto riguarda non solo le organizzazioni costituite nell’Unione europea, ma anche: le persone giuridiche che hanno sede nell’Unione europea con riferimento alla propria attività, indipendentemente dal fatto che i dati siano trattati all’interno o all’esterno dell’Unione europea; le organizzazioni che hanno sede al di fuori dell’Unione europea, che effettuano l’offerta di beni (e servizi) agli interessati che si trovano nell’Unione europea o che pongono in essere il monitoraggio dei loro comportamenti, nella misura in cui tali comportamenti hanno luogo all’interno dell’Unione europea.

Regolamenti settoriali Il Regolamento consente agli Stati Membri dell’Unione europea di adottare ulteriori norme in alcune specifiche tematiche (ad esempio nell’ambito del diritto del lavoro). Tali norme nazionali possono costituire un ulteriore ambito di tutela rispetto ai principi di cui al Regolamento generale sulla protezione dei dati.

Principio di priorità Il Regolamento prevale su eventuali norme in conflitto dei vari Stati Membri (compresi i regolamenti settoriali).

Nozioni di base sul trattamento dei dati

I dati Personale Particolare Relativo a condanne e reati Biometrico Genetico Salute Altro [dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona.] Relativo a condanne e reati

I dati   «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

I dati «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

I dati   «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

I dati Trattamento di categorie particolari di dati personali: È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. [Art.9]

I dati Trattamento dei dati personali relativi a condanne penali e reati: Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri deve prevedere garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.

Fondamento di liceità del trattamento CONSENSO Per i dati “particolari” (si veda art. 9 regolamento) il consenso DEVE essere esplicito; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati particolari); inoltre, il titolare DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Fondamento di liceità del trattamento Informativa: il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente": in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali Tempistiche Nel caso di dati personali non raccolti direttamente presso l'interessato (art. 14 del regolamento), l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all'interessato) (diversamente da quanto prevede attualmente l'art. 13, comma 4, del Codice). Caratteristiche dell'informativa Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico. Il regolamento ammette, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa; queste icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.

Chi tratta i dati? Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; Incaricato[istruito?]: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”

Chi tratta i dati? Destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento; Terzo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’Autorità.

Chi tratta i dati? Contitolari: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.[…]” [art. 26 GDPR]

Data Protection Officer In quali casi è previsto Dovranno designare obbligatoriamente un DPO: amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici

Data Protection Officer Requisiti: dovrà essere nominato dal titolare o dal responsabile Dovrà possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati Dovrà adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse dovrà operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno)

Data Protection Officer Compiti del DPO sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento

Breve rassegna sui alcuni dei nuovi adempimenti richiesti dal GDPR

Accountability “Responsabilizzazione del titolare del trattamento e dei suoi responsabili”

Le nuove misure Valutazione d’impatto (PIA) Registro dei trattamenti Privacy by default Privacy by design Misure di sicurezza Pseudonimizzazione Nomina di DPO Data portability Data breach Meccanismi One Stop Shop Certificazioni Nuove sanzioni

Adempimenti Sanzioni amministrative pecuniarie fino a 10 000 000 EUR o 2% del fatturato   Violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma dei seguenti articoli: Art. 8: Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione; Art. 11: Trattamento che non richiede l'identificazione; da 25 a 39: Rif. Capo IV “Titolare del trattamento e responsabile del trattamento”. O per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Sanzioni amministrative pecuniarie fino a 20 000 000 EUR o 4% del fatturato   Violazione dei seguenti disposizioni: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. O per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Quali sono i passi ora da compiere all’interno della mia società? COSA FARE ORA? Quali sono i passi ora da compiere all’interno della mia società?

Natura del GDPR “Il GDPR è processo”

Analisi del GAP In particolare: Rivedere l’organigramma Modificare lettere nomina incaricato e responsabile Modificare i contratti prevendendo obblighi specifici di sicurezza e di controllo dei dati personali ….ma soprattutto.. - Rivedere i processi

Esaustività? “Appare impossibile determinare l’intero complesso delle operazioni di adeguamento che una società dovrà porre in essere, perché queste variano sensibilmente in relazione alla natura della società e al trattamento effettuato”

Registro dei trattamenti & mappatura Bisognerà creare dei registri del trattamento (art 30 GDPR) contenente il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; [Si consiglia di integrare nei registri anche informazioni che saranno utili in fase di PIA] ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate; ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del GDPR

Valutazione d’impatto sulla protezione dei dati Quando un tipo di trattamento, allorchè prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Valutazione d’impatto sulla protezione dei dati La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati ; d) le misure previste per affrontare i rischi, siano esse organizzative, software o harrdware, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione e) altro;

Consultazione preventiva Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio

Data protection by default and by design data protection by default and by design: necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso", secondo quanto afferma l'art. 25 del regolamento) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Ruolo del DPO Il DPO dovrebbe essere introdotto, tra l’altro, al fine di assicurare privacy by design, in tutte le fasi del processo di: Organizzazione di trattamenti di dati; Creazione di software; Creazione di sistemi di profilazione; Progettazione di dispositivi connessi ad internet.

Misure di sicurezza Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva ("tra le altre, se del caso"). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento.

Il Responsabile del trattamento  Ex art. 29, I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento (…)

Liability del responsabile Diritto al risarcimento del danno (art. 82 GDPR) Sanzioni amministrative (art. 83 GDPR)

Notifica delle violazioni di dati personali Sono introdotti, in specifici casi obblighi di notifica all’Autorità e/o all’interessato di brecce nella sicurezza. In ragione di ciò bisogna definire procedure relative: Al processo da seguire al fine di notificare una breccia all’interessato; Al processo da seguire in caso di notifica all’autorità.

Altri adempimenti? Vi sono tanti altri adempimenti, variabili sulla base della natura della società e del trattamento effettuato Temi caldi Profilazione “Children by design” Portabilità dei dati Limitazione del trattamento Diritto all’oblio