Corso di aggiornamento privacy alla luce del nuovo regolamento europeo

Slides:



Advertisements
Presentazioni simili
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Advertisements

Principali Direttive di prodotto applicabili alle macchine maggio 2016
Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
La privacy e il diritto di accesso alla documentazione amministrativa La trasparenza e la pubblicità sono principi generali dell’attività amministrativa.
PRIVACY Il principio di accountability e la gestione dei processi per la compliance al RegolamentoUE ROMA – PRIVACY DAY OTTOBRE 2016 ANDREA CHIOZZI.
La Direttiva Bolkestein
(servizi di interesse economico generale)
"Il Data Breach, adempimenti per le aziende Centro Ingressi Frentani
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
ESAMI DI STATO 2015/16 Esami dei candidati con disabilità
RISARCIMENTO e DATA PROTECTION:
Il Regolamento Europeo n. 679/2016: evoluzione
Il procedimento amministrativo è
L’Articolo VII della Convenzione di Lisbona sui riconoscimenti: raccomandazioni per la sua attuazione in Europa UNiSTUD Como, Maggio 2017 Gunnar.
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
Riordino della legislazione sulla trasparenza
SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE
Profili giuridici delle nuove tecnologie didattiche:
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
COMUNICAZIONE ISTITUZIONALE l’Ufficio Relazioni con il Pubblico
TRACCIABILITA’ E SANZIONI
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (6)
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
Idoneità alla registrazione
SEZIONE: diritto amministrativo. Seminari
DIRITTO DELL’UNIONE EUROPEA I diritti fondamentali
DIRITTO DELL’UNIONE EUROPEA
Normativa sulla privacy
Introduzione al nuovo Regolamento Generale sulla protezione dei dati
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Il Regolamento Generale sulla Protezione dei Dati personali
Avv. Umberto Fantigrossi
Il nuovo Regolamento Generale UE 2016/679
La cittadinanza europea
IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N
GDPR – I “nuovi” diritti dell’interessato
A cura del Dr. Roberto FALCO Ha collaborato Giorgio PAOLUCCI
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
avv. Laura Marengo Unione Industriale Torino
Legge 29 maggio 2017 n. 71 "Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo"
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
La Privacy e la sicurezza negli studi legali Monza, 24 aprile 2018
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
IL DIRITTO ALLA PRIVACY
Leggi, teoria e pratica.
LA CULTURA DELLA GESTIONE E PROTEZIONE DEI DATI PERSONALI Servizio RPD
IL DIRITTO ALLA PRIVACY
La nuova normativa europea sulla Protezione dei Dati Personali
NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,
LA TUTELA DELLA PRIVACY
Corso di Diritto dell’Unione
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a
Aspetti normativi del D.Lvo n. 196 del 2003
Le strutture organizzative del
Il nuovo Regolamento europeo e la Trasparenza totale
«Law Enforcement Directive» e D.lgs. 51/18
Il protocollo informatico e il Manuale di Gestione
Regolamento ue 2016/679 trattamento dei dati personali
dati personali per la PA: procedure e risposte ai quesiti
DIRETTIVA 2016/ LUGLIO 2016.
“Aiuti di Stato e Leader”
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
La tutela della Privacy al triage Dott.ssa Assunta De Luca
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Corso di aggiornamento privacy alla luce del nuovo regolamento europeo Materiale prodotto in base all’incontro « Il Garante incontra le Università» del 6 aprile 2018 – Sala convegni CNR - Roma

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE Regolamento generale sulla protezione dei dati

Diritti degli interessati, principi e modalità per l’esercizio Obiettivo del RGPD Il RGPD specifica (Considerando 11) che «un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni degli Stati membri» Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Come conseguirlo - Accento su responsabilizzazione (no approccio burocratico) Effettività diritti Privacy by design / by default (art. 24, art. 25) RPD/ DPO diviene chiave di volta: anche per esercizio diritti interessati (interfaccia) - Diritti interessati («nuovi»: «oblio», limitazione, portabilità; «vecchi» ma rivisitati: accesso, rettifica, opposizione) ↔ Obblighi titolari Ruolo dell’Autorità di controllo: cooperazione e coerenza, «sportello unico» (soggetti privati) Europeizzazione di standard e prassi (valutazione di impatto, codici deontologici, certificazione…) Estensione ambito applicazione della nuova disciplina (Art. 3.2.: titolari e responsabili extra-Ue) Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio I principi generali del trattamento Art. 5(1): continuità (lettere a-e), ma con in termini di differenze (ancora accountability) una volta, In particolare: 5(1), lettera f): «integrità e riservatezza»: l’adozione di del adeguate misure di sicurezza è parte integrante trattamento di ogni dato personale  v. Art. 32 RGPD:  Come: Misure tecniche e organizzative adeguate / Obiettivi: riservatezza, integrità, disponibilità, resilienza  NO MISURE MINIME DI SICUREZZA + processo di revisione continua Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Modalità per l’esercizio dei diritti: sotto il segno della accountability e della maggiore efficacia Le modalità per l’esercizio dei diritti da parte degli interessati sono agli artt. 11 e 12 del RGPD. Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando idonee misure (tecniche e organizzative). Il titolare deve fornire riscontro (artt. 15-22), e il responsabile è tenuto a collaborare con il titolare (art. 28, paragrafo 3, lettera e) L’esercizio dei diritti è gratuito per l’interessato, ma vi sono eccezioni. Il titolare ha il diritto di chiedere informazioni per identificare l’interessato, secondo modalità idonee (art. 11, paragrafo 2 e art. 12, paragrafo 6). Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Novità Il termine per la risposta all’interessato è di un mese, anche in caso di diniego, estendibili fino a tre mesi in caso di particolare complessità. Una risposta deve essere fornita in ogni caso (anche se negativa o interlocutoria): artt. 12.3 + 12.4 In caso di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5) il titolare può stabilire se, e quanto, chiedere come contributo, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15.3), tenendo conto dei costi amministrativi sostenuti. In ogni caso il contributo spese deve essere «ragionevole» (art. 12.5) Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Novità Il riscontro all’interessato deve essere in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se richiesto dall’interessato (art. 12, paragrafo 1; e art. 15, paragrafo 3). La risposta fornita all’interessato deve essere “intelligibile”, concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.  Particolare attenzione ai minori / Le «icone standardizzate» della Commissione europea Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Sono ammesse deroghe ai diritti se previste da disposizioni del diritto nazionale v. art. 23 RGPD: tutela interessi economici, monetari, lotta alle frodi, difesa, sicurezza, ecc.; v. Capo IX RGPD: art. 85 - trattamenti di natura giornalistica; art. 89 - trattamenti per finalità di ricerca scientifica o storica o di statistica, per finalità di archiviazione nel pubblico interesse. Condizioni: eventuali deroghe devono essere necessarie e proporzionate e, in particolare, rispettare l’“essenza” del diritto alla protezione dei dati (V. considerando 73: «conformi alla Carta e alla CEDU»)  Intervento del legislatore nazionale deve essere in linea con tali condizioni Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Diritto di accesso (art. 15) - Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Tra le informazioni da fornire: il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo  Obbligo di definire una data retention policy (ove già non definita) nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi (Attenzione a eventuali provider in outsourcing stabiliti in Paesi extra-Ue!) I titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali (considerando 68). Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Diritto di rettifica (art. 16) Cosa: Rettifica di dati inesatti + Integrazione dati incompleti (tenendo conto della finalità del trattamento) Come e quando: anche attraverso «dichiarazione integrativa» (= in linea con decisioni e provvedimenti Garante) + Notifica a titolari destinatari dei dati (Art. 19 RGPD) (= Art. 7, comma 3, lettera c) Codice 196/2003) Interessato può chiedere anche la limitazione del trattamento (art. 18) in attesa di rettifica Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Diritto di cancellazione (diritto all’oblio) (art. 17) Il diritto all’oblio si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Non si applica: Trattamenti necessari per adempimento obblighi di legge / interesse pubblico / ambito sanitario / ricerca (v. Art. 17, paragrafo 3) Perché «oblio»?  Nel caso in cui i titolari abbiano “reso pubblici” i dati personali dell’interessato, ad es. pubblicandoli sul web, devono informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (art. 17, paragrafo 2). Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Diritto di limitazione del trattamento (art. 18) È un diritto diverso e più esteso rispetto al “blocco” del trattamento ex art. 7, comma 3, lettera a) del Codice (disposto dal Garante). È esercitabile: in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi)  tutela giudiziaria, OPPURE se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Diritto di limitazione del trattamento (art. 18) NB: Ogni trattamento del dato di cui si chiede la limitazione, eccetto la cancellazione, è vietato, a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).  Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori  i titolari devono prevedere nei propri sistemi informativi (elettronici o meno) misure idonee. Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Diritto alla portabilità dei dati (art. 20) È un nuovo diritto che non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) In particolare, sono portabili solo i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato (quindi non si applica ai dati il cui trattamento si fonda sull'interesse pubblico o sull’adempimento di obblighi di legge del titolare, né ai trattamenti per scopi di archiviazione nel pubblico interesse per esempio), e solo i dati che siano stati "forniti" dall'interessato al titolare (v. Considerando 68). - Il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall'interessato, se tecnicamente possibile (interoperabilità dei formati). Diritti degli interessati, principi e modalità per l’esercizio

Diritti degli interessati, principi e modalità per l’esercizio Tutela amministrativa/giudiziaria Art. 77 Regolamento (diritto di proporre «reclamo» alla autorità di controllo competente  Cioè al Garante per quanto riguarda i trattamenti svolti da «soggetti pubblici» o «Autorità pubbliche»: vedi art. 55(2) RGPD) Vedi artt. seguenti, in particolare diritto al risarcimento per danno materiale o immateriale (art. 79, art. 82), responsabilità solidale di titolare e responsabile Diritti degli interessati, principi e modalità per l’esercizio

La sicurezza dei trattamenti nel nuovo Regolamento europeo Diverse accezioni di «sicurezza» Nelle premesse: Sicurezza pubblica/nazionale/sanitaria/sociale/sul lavoro Sicurezza delle reti e dell’informazione Sicurezza dei servizi Servizi di sicurezza Sicurezza informatica Sicurezza dei dati personali Sicurezza del trattamento Misure di sicurezza Violazione di sicurezza

La sicurezza dei trattamenti nel nuovo Regolamento europeo Considerando 39 I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento. Considerando 49 Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi […].

La sicurezza dei trattamenti nel nuovo Regolamento europeo Considerando 78 (relativo alla «data protection by design» e «data protection by default») […] Tali misure potrebbero consistere, tra l'altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all'interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. […] Considerando 81 (sul responsabile del trattamento) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. […]

La sicurezza dei trattamenti nel nuovo Regolamento europeo Considerando 83 (relativo alla valutazione del rischio del trattamento) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

La sicurezza dei trattamenti nel nuovo Regolamento europeo Articolo 5 (Principi applicabili al trattamento di dati personali) 1. I dati personali sono: […] f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

La documentazione dei trattamenti come elemento della sicurezza Importanza della documentazione (tecnica) dei trattamenti con strumenti elettronici La documentazione dei sistemi informativi Viste e diagrammi (UML) Deployment view Attori interni ed esterni L’esperienza del Garante e l’efficacia dell’attività ispettiva Prescrizioni in determinati settori Telecomunicazioni Servizi Internet

La documentazione dei trattamenti Articolo 30 (Registri delle attività di trattamento) Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

La documentazione dei trattamenti Articolo 30 (Registri delle attività di trattamento) Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente: il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

La documentazione dei trattamenti Articolo 30 (Registri delle attività di trattamento) I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.

La sicurezza nel nuovo Regolamento Articolo 32 (Sicurezza del trattamento) Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La sicurezza nel nuovo Regolamento Articolo 32 (Sicurezza del trattamento) Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Le misure di sicurezza Elencate nell’art. 32 con valore esemplificativo e non esclusivo: Pseudonimizzazione «Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» (Art. 4 del GDPR) Cifratura Tecnica di protezione crittografica dei dati rilevante per minimizzare i rischi incombenti soprattutto in caso di accessi abusivi o perdita di dati. Working Party Art. 29 Parere 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014

Esempio pratico di pseudonimizzazione e privacy by default https://youtu.be/dG8KCEdVa9k?t=2690 Convegno "Il Garante incontra i Responsabili della protezione dati - 24 maggio 2018 , Bologna"

Le misure di sicurezza Valori da tutelare con misure di sicurezza (tecniche e organizzative) adeguate Riservatezza (applicazione del principio del «need to know») Sistemi di autenticazione Sistemi di autorizzazione Integrità e disponibilità Procedure di data/disaster recovery Ridondanza dei dati Resilienza dei sistemi e dei servizi di trattamento Tecniche di gestione della «fault tolerance»

Le misure minime di sicurezza (Art. 33-34 e Allegato B del Codice italiano) Mancato aggiornamento Obsolescenza tecnologica Criminalizzazione del problema della sicurezza dei dati Misure minime di sicurezza ICT per le PP.AA. Linee-guida emanate da AgID Nel nuovo regolamento europeo vengono meno i riferimenti alle c.d. misure minime di sicurezza Possibilità che il Garante reintroduca con propri provvedimenti o linee-guida focalizzate su determinati settori o tipi di trattamento alcuni obblighi aggiuntivi relativi a misure di sicurezza minime ma aggiornate.

I codici di condotta e le certificazioni della protezione dei dati L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità dei trattamenti al Regolamento anche con specifico riferimento agli aspetti di sicurezza. Codici di condotta o certificazioni come strumenti a disposizione dei titolari (e dei responsabili) del trattamento per attestare la conformità ai requisiti del Regolamento.

La minimizzazione dei rischi Sicurezza come percorso, metodo e non come obiettivo tecnico assoluto Adeguatezza delle misure di sicurezza rispetto ai rischi incombenti sui dati Richiamo alla ragionevolezza delle misure anche sulla base di considerazioni di carattere tecnico ed economico (v. art. 32, comma 1) «Tenendo conto dello stato dell'arte e dei costi di attuazione…» Gestione del rischio residuo Mitigazione Assicurazione del rischio Misure di remediation Minimizzazione dei dati Principio enunciato all’Art. 5 del regolamento: «I dati personali sono… adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» («minimizzazione dei dati») Meno dati = meno rischi per sé e per gli interessati

La analisi dei rischi È propedeutica alla valutazione delle misure da intraprendere Non è una misura nuova, essendo stata prevista per anni quale obbligo e addirittura come «misura minima di sicurezza», nell’ambito del Documento programmatico sulla sicurezza (DPS). Deve essere svolta nell’ambito della valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment) prevista dall’art. 35 del nuovo Regolamento UE: La valutazione contiene almeno: una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

La gestione dei data breach COSA È IL DATA BREACH Violazione dei dati personali «Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati» (Art. 4, definizione 12) La violazione può essere determinata da accesso abusivo ai sistemi informatici, ovvero da sottrazione o perdita di dati e supporti di memorizzazione.

Obblighi del titolare a seguito di violazioni dei dati personali In generale, notificare entro 72 ore al Garante l’avvenuto data breach Non notificare qualora «sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche» La notifica di cui al paragrafo deve almeno descrivere la natura della violazione dei dati personali le categorie e il numero approssimativo di interessati dal breach le categorie e il numero approssimativo di registrazioni dei dati personali oggetto di violazione il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto le probabili conseguenze della violazione dei dati personali le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Gli attori e i ruoli

Chi è il titolare… la persona fisica o giuridica , il l'autorità pubblica, altro organismo servizio o che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, § 7);

…e il contitolare Allorché due o più titolari del trattamento le finalità e i determinano congiuntamente mezzi del trattamento, essi sono contitolari del trattamento (art 26);

La disciplina della contitolarità del trattamento impone ai titolari di definire specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari che operano congiuntamente I contitolari determinano con accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi, all'esercizio dei diritti dell'interessato e all’informativa L’accordo interno (nel contenuto essenziale) è messo a disposizione degli interessati

SUGGERIMENTO CHI DETERMINA LE FINALITA’ E I MEZZI IN UNA PUBBLICA AMMINISTRAZIONE ?

La necessaria identificazione della «persona giuridica, autorità pubblica, servizio o di altro organismo» quale titolare o contitolare del trattamento non preclude l'applicazione dei principi generali in materia di formazione della volontà dell'ente e di delega di funzioni, nel senso che la volontà del effett i "titolare/contitolari" sarà formata, anche agli della disciplina sulla protezione dei dati, conto delle ordinarie attribuzioni degli tenendo organi previsti dall'atto costitutivo e dallo statuto.

RESPONSABILIZZAZIONE

LA «RESPONSABILIZZAZIONE» DEL TITOLARE Abbiamo visto che la principale novità introdotta dal regolamento è il principio di "responsabilizzazione" (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

I PRINCIPI POSTI ALLA BASE DELLA RESPONSABILIZZAZIONE I dati devono essere: trattati secondo “liceità, correttezza e trasparenza”; raccolti per “finalità determinate, esplicite e legittime”; adeguati, pertinenti e limitati rispetto alle finalità; esatti limitati nella conservazione; trattati garantendo sicurezza e integrità.

Il responsabile la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (artt. 4, § 8 - 28); «non è solo il rettore pro-tempore, ma l’università nella sua interezza di statuti e regolamenti»

Il responsabile può designare un altro responsabile?

Il responsabile può nominare sub-responsabili per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e «responsabile primario». ATTENZIONE Il «responsabile primario» risponde dinanzi al titolare dell'inadempimento del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento.

UN RESPONSABILE CON TANTE «RESPONSABILITA’» ESCLUSIVAMENTE CON UN CONTRATTO (o altro atto giuridico) E’ DISCIPLINATA: materia e durata del trattamento; natura e finalità del trattamento; tipo di dati personali e categorie di interessati; obblighi e diritti del titolare del trattamento. IN BASE AL CONTRATTO IL RESPONSABILE SI IMPEGNA A: trattare dati soltanto su istruzione documentata del titolare; consentire i trattamenti solo a persone autorizzate con impegno alla riservatezza o che abbiano un adeguato obbligo legale di riservatezza; adottare tutte le misure di sicurezza (es. cifratura; pseudonimizzazione; recupero da backup); rispettare le condizioni per ricorrere a un sub- responsabile del trattamento; assistere il titolare per dare seguito alle richieste per l'esercizio dei diritti dell'interessato; cancellare o restituire tutti i dati e cancellare le copie esistenti; mettere a disposizione del titolare le informazioni per dimostrare il rispetto dei suddetti obblighi e consentire le ispezioni.

Esiste la figura dell’incaricato?

Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (si veda, in particolare, art. 4, n. 10, del regolamento).

Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento (art. 29) Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Necessità di un approccio sistemico

Dalla forma alla sostanza

L’importanza di un metodo Privacy by design/defau lt Certificazione Contitolarità Codici di condott a Responsabili ACCOUNTABILITY RPD Istruzio ni Incarica ti V.i.p. Registri delle attività Data breach Sicurezza

La trama dell’accountability 42 Consenso 69 Legitt imo intere sse del titola re 85 Dat a bre ach 84 Vip 74 Responsabi l izzazione Considerando 77 Sicurezza del trattament o 82 Registro 81 Responsabil e del trattamento 78 Privacy by design

L’accountability e l’approccio basato sul rischio Considerando 74 (art L’accountability e l’approccio basato sul rischio Considerando 74 (art. 5, par. 2 e art. 24) Tenuto conto dell'ambito di applicazion e dell’ambito di applicazion e del contesto delle finalità del trattamento delle finalità del trattamento dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche della natura della natura del contesto il titolare del trattamento mette in atto misure tecniche organizzative adeguate per ed essere in grado di dimostrare garantire che il trattamento è effettuato conformemente al regolamento

Sicurezza del trattamento - considerando 77 (art. 32) Gli orientamenti per la messa in atto di opportune misure e per DIMOSTRARE la conformità da parte del titolare o del responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti mediante: LINEE GUIDA DEL COMITAT O CODICI DI CONDOTT A INDICAZION I DEL RPD CERTIFICAZIONI

Articolo 40 Codici di condotta Le associazioni i le categorie di titolari o responsabili del trattamento possono g) l'informazione fornita e la protezione h) le misure e le procedure di cui agli elaborare i codici di condotta, del minore e le modalità con cui è articoli 24 e 25 e le misure volte a modificarli o prorogarli, allo scopo di ottenuto il consenso dei titolari della garantire la sicurezza del trattamento precisare l'applicazione del responsabilità genitoriale sul minore di cui all'articolo 32 regolamento relativamente a: i) la notifica di una violazione dei dati a) il trat tamento corretto e trasparente dei dati personali alle autorità di controllo e la f) l'eserc izio dei diritti degli interessati comunicazione di tali violazioni dei dati personali all'interessato b) i legittimi interessi perseguiti dal j) il tra sferimento di dati personali pa e) l'infor mazione fornita al pubblico e responsabile del trattamento in verso esi terzi o organizzazioni agli interessati contesti specifici internazionali k) le procedure stragiudiziali e di altro d) la pseudonimizzazione dei dati personali tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento c) la raccolta dei dati personali

Certificazione (art. 42)

Privacy by design e by default - Considerando 78 (art. 25) La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter DIMOSTRARE la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l'altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all'interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell'ambito degli appalti pubblici.

CONOSCENZA SPECIALISTICA AFFIDABILITÀ Responsabile del trattamento - Considerando 81 (art. 28) Quando il titolare del trattamento affida delle attività di trattamento a un responsabile dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti in termini di CONOSCENZA SPECIALISTICA AFFIDABILITÀ RISORSE L'applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per DIMOSTRARE il rispetto degli obblighi da parte del titolare del trattamento. per mettere in atto MISURE TECNICHE E che soddisfino i requisiti del regolamento, anche per la sicurezza del trattamento. ORGANIZZATIVE

Diritto al risarcimento e responsabilità (art. 82) Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento Un titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il regolamento Qualora più titolari o responsabili del trattamento siano coinvolti nello stesso trattamento e siano responsabili dell'eventuale danno causato dal trattamento, ogni titolare o responsabile è responsabile in solido per l'intero ammontare del danno con diritto di rivalsa Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile

Per le violazioni amministrative previste dal Regolamento … … risponde sia il titolare che il responsabile del trattamento!

Registro delle attività di trattamento - Considerando 82 (art. 30) Per DIMOSTRARE che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.

Valutazione d’impatto sulla protezione dei dati personali. Rischio elevato? V.i.p. Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. Considerando 78 (art. 25) Valutazione d’impatto sulla protezione dei dati personali. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per DIMOSTRARE che il trattamento dei dati personali rispetta il presente regolamento.

Connessione tra l’elaborazione giuridica del concetto di privacy e il progresso tecnologico a tutela

… della protezione delle persone fisiche! Connessione tra l’elaborazione giuridica del concetto di privacy e il progresso tecnologico