IL NUOVO REGOLAMENTO EUROPEO PRIVACY NELLA PUBBLICA AMMINISTRAZIONE Vicenza, 11 maggio 2018 IL NUOVO REGOLAMENTO EUROPEO PRIVACY NELLA PUBBLICA AMMINISTRAZIONE luigi alfidi
Dal Codice della Privacy (dal d. Lgs Dal Codice della Privacy (dal d. Lgs. 196/03) al Regolamento Generale sulla Protezione dei Dati (RGPD, regolamento 679/16) luigi alfidi
Le fonti normative Direttiva 95/46/CE del Parlamento europeo del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Legge 31 dicembre 1996 n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. “ Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Art. 1 della Legge 24 marzo 2001, n. 127 delega al Governo per l’emanazione di un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse. Decreto legislativo 30 giugno 2003, n. 196 luigi alfidi
Le fonti normative: il pacchetto europeo di riforme. Regolamento Ue 2016/679 del Parlamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. Direttiva del Parlamento Europeo e del Consiglio 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Direttiva del Parlamento Europeo e del Consiglio 2016/681 sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. luigi alfidi
La diretta applicabiità del Regolamento 679/2016. Il Regolamento Ue 2016/679 consta di ben 173 “Considerando” e 99 articoli, suddivisi in XI Capitoli. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri (articolo 99 regolamento). luigi alfidi
Il rapporto tra il Regolamento Ue 2016/679 e il vigente Codice (d. lgs L’art. 13 della legge n. 163 del 25 ottobre 2017 ha attribuito al Governo la delega ad adottare (entro 6 mesi) uno o più decreti legislativi finalizzati a: a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679; b) modificare il codice, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679; c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679; d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell'ambito e per le finalità previsti dal regolamento (UE) 2016/679; e) adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse. luigi alfidi
Il rapporto tra il Regolamento Ue 2016/679 e il vigente Codice (d. lgs Il Consiglio dei Ministri il 21 marzo 2018 ha approvato, in esame preliminare, un decreto legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Secondo il comunicato governativo, a far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto. Critiche per un supposto eccesso di delega. luigi alfidi
Gli altri recenti interventi del legislatore nazionale L’art. 28, comma 1, lett. a), n. 1), della L. 20 novembre 2017, n. 167 (Legge europea 2017), in attuazione del Regolamento UE, ha modificato la disciplina di privacy in tema di responsabile del trattamento (art. 28, co. 1, lett. a), prevedendo la possibilità di avvalersi di soggetti pubblici o privati (esterni) che forniscano idonee garanzie. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati (anche sensibili), la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante. luigi alfidi
Gli altri recenti interventi del legislatore nazionale Il medesimo art. 28 della Legge europea 2017 ha, altresì, modificato la disciplina in materia di riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici (art. 28, co. 1, lett. b), prevedendo che il Garante possa autorizzare il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati (art. 110 bis Codice). luigi alfidi
Gli altri recenti interventi del legislatore nazionale L’art. 24 della Legge europea 2017 ha, invece, previsto - in deroga a quanto disciplinato dall’art. 132 del Codice della privacy – che, al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta, è stabilito in settantadue mesi (prima 24 mesi traffico telefonico e 12 mesi telematico). luigi alfidi
Gli altri recenti interventi del legislatore nazionale Infine, nella legge di Bilancio del 27 dicembre 2017 (L. n. 205/2017), all’art. 1, comma 1020 ss. si trovano inserite nuove norme in materia di protezione dei dati personali. luigi alfidi
Novità ed attori coinvolti: cosa fare nell’immediato luigi alfidi
Il Regolamento Ue 2016/679 Il Regolamento afferma un principio di accountability, cioè di responsabilizzazione dei titolari e dei responsabili del trattamento, sia pubblici che privati, che dovranno dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire la conformità del trattamento dei dati alla disciplina dello stesso Regolamento. luigi alfidi
Il Regolamento Ue 2016/679 Criterio del "data protection by default and by design" (art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio. luigi alfidi
Il Regolamento Ue 2016/679 Criterio del "rischio inerente al trattamento”. Quest'ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. luigi alfidi
I soggetti: il responsabile della protezione dei dati (RPD) La nomina del Responsabile della protezione dei dati appare essere una delle prime attività di adeguamento al Regolamento europeo. Si ricorda l’obbligo di comunicare i dati di contatto del RPD all’autorità di controllo. Per approfondimenti è possibile consultare: Le linee guida sui RPD del gruppo art. 29: http://194.242.234.211/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf Le Faq sul RPD in ambito pubblico, lo Schema di atto di designazione del RPD ai sensi dell'art. 37 del Regolamento UE 2016/679 e il Modello di comunicazione al Garante dei dati dell'RPD: http://www.garanteprivacy.it/regolamentoue/rpd luigi alfidi
I soggetti: il responsabile della protezione dei dati (RPD) E’ obbligatoria la nomina (art. 37 reg. 679/16)? Sì, nell’ipotesi in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali. Il responsabile unico tra più enti: l’art. 37 del RGPD ammette la designazione di un unico RPD per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Caratteristiche della nomina (qualità del designato). Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39. luigi alfidi
I soggetti: il responsabile della protezione dei dati (RPD) Si segnala che la disciplina normativa di questa nuova figura (obbligatoria per le autorità pubbliche e gli organismi pubblici) è interamente contenuta nel Regolamento 2016/679. Lo schema di decreto legislativo licenziato in prima lettura dal Governo tace su tale figura. luigi alfidi
L’informativa All’interessato deve essere resa l’informativa il cui contenuto deve essere conforme alle prescrizioni contenute nell’art. 13 del Codice. Le informazioni da fornire all’interessato sono le seguenti: a) Le finalità e le metodologie di trattamento cui sono destinati i dati b) L ’obbligo ovvero la facoltà di rilasciare i propri dati c) Le conseguenze di un eventuale rifiuto di rispondere d) I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei dati e) I diritti spettanti all’interessato ex art. 7 f) Gli estremi di identificazione del titolare e, se designati, del responsabile e del rappresentante nel territorio dello Stato. Nel caso in cui fossero stati designati più responsabili, indicare almeno uno di essi specificando il sito della rete di comunicazione o altre modalità con cui si può venire a conoscenza dell’elenco di tutti i responsabili. Nel caso in cui fosse stato designato un responsabile per il riscontro alle richieste dell’interessato ex art. 7 occorre indicare tale responsabile luigi alfidi
L’informativa E’ consentito non rendere l’informativa quando i dati personali non sono raccolti presso l'interessato se: I dati sono trattati in base ad obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; I dati sono trattati ai fini dello svolgimento delle investigazioni difensive ex L. 397/2000 o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; Ricorrerebbe un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli a giudizio del Garante, impossibile. luigi alfidi
L’informativa Il Regolamento UE amplia le informazioni in quanto prevede in aggiunta di specificare: a) i dati di contatto del RPD, ove esistente; b) la base giuridica del trattamento; c) il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione; d) il diritto di presentare un reclamo all'autorità di controllo. e) se si trasferiscono dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato luigi alfidi
L’informativa Secondo il Regolamento n. 679-2016 l’informativa può non essere fornita : nel caso in cui i dati personali sono raccolti presso l’interessato, se l’interessato già possiede le informazioni. Ciò vale anche nel caso della c.d. informativa ulteriore, cioè quella che deve essere resa se i dati, in un periodo successivo, sono trattati per una finalità diversa (art. 13 del RGPD). qualora i dati non sono ottenuti presso l’interessato, è possibile non fornire l’informativa anche nel caso in cui ciò sia impossibile o implichi uno sforzo sproporzionato, oppure quando ciò è previsto dal diritto dell’Unione o dello Stato membro (art. 14 del RGPD). luigi alfidi
L’informativa Secondo il Regolamento n. 679-2016 l’informativa : - deve avere una forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee; - deve essere data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi "altri mezzi“; quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche generali. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato; è ammesso l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l'Ue e saranno definite dalla Commissione europea. luigi alfidi
L’informativa: un esempio. I dati personali raccolti saranno trattati anche con strumenti informatici al fine di consentire la consultabilità di documenti conservati nell’archivio storico del Comune di ............., come previsto dall’art. 122 del d. lgs. 22 gennaio 2004, n. 42. Per poter compiere il procedimento è indispensabile comunicare i dati previsti nel presente modulo; in caso di rifiuto il procedimento non potrà essere avviato. I dati personali raccolti saranno trattati dagli incaricati individuati dal responsabile del trattamento e potranno essere comunicati a terzi nei casi previsti dalla legge; essi non saranno trasferiti in paesi terzi. L’interessato ha diritto di esercitare tutti i diritti riconosciutigli dal capo III del Regolamento UE 2016/679, con l’eccezione dei diritti alla cancellazione e alla portabilità; egli ha diritto di proporre reclamo all’autorità di controllo se ritenga che il trattamento che lo riguarda violi il citato Regolamento. I dati saranno conservati per ___________ a fini di archiviazione nel pubblico interesse. Titolare del trattamento è il Comune di ............., tel. ____, e_mail _______; responsabile del trattamento è nome e cognome, tel. ____, e_mail _________; responsabile della protezione dei dati è nome e cognome o denominazione della persona giuridica tel. ____, e_mail _______. luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto Si tratta di un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. Non è obbligatorio svolgere una valutazione d'impatto sulla protezione dei dati per ciascun trattamento. Infatti, è necessario realizzare una valutazione d'impatto sulla protezione dei dati soltanto quando il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (articolo 35, paragrafo 1). luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto L'articolo 35, paragrafo 3, fornisce alcuni esempi (non esaustivi) di casi nei quali un trattamento "possa presentare rischi elevati": a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico". luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto: esempi Esempi di trattamento Possibili criteri pertinenti È probabile che sia richiesta una valutazione d'impatto sulla protezione dei dati? L'uso di un sistema di telecamere per monitorare il comportamento di guida sulle autostrade. Il titolare del trattamento prevede di utilizzare un sistema intelligente di analisi video per individuare le auto e riconoscere automaticamente le targhe. - Monitoraggio sistematico. - Uso innovativo o applicazione di soluzioni tecnologiche od organizzative. Sì Un'azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet, ecc. - Dati riguardanti soggetti interessati vulnerabili luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto Bisogna, comunque, tener presente che anche un trattamento nei casi di cui sopra può essere comunque considerato dal titolare un trattamento tale da non "presentare un rischio elevato". In tali casi il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d'impatto sulla protezione dei dati, nonché includere/ registrare i punti di vista del responsabile della protezione dei dati. luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto L’art. 35 del Regolamento, paragrafo 10, prevede la valutazione di impatto non sia necessaria qualora il trattamento, svolto per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri: trovi una base giuridica nel diritto dell'Unione o nel diritto dello Stato membro; tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nel contesto dell'adozione di tale base giuridica. Inoltre, non è necessaria una valutazione d'impatto sulla protezione dei dati per i trattamenti che sono stati verificati da un'autorità di controllo o dal responsabile della protezione dei dati, a norma dell'articolo 20 della direttiva 95/46/CE e che vengono eseguiti in maniera tale da fare sì che non si sia registrata alcuna variazione rispetto alla verifica precedente. In effetti, "[l]e decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate" (considerando 171). luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto: contenuti La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. luigi alfidi
Il Regolamento n. 679-2016: La valutazione d’impatto: un software Il Garante ha messo a disposizione, in italiano, un software creato dall’autorità francese per la protezione dei dati. luigi alfidi
Il Regolamento n. 679-2016: Registro delle attività di trattamento Il titolare deve tenere un registro contenente le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e di ogni contitolare del trattamento, del rappresentante del titolare del trattamento e dell'eventuale responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative. luigi alfidi
Il Regolamento n. 679-2016: Registro delle attività di trattamento Trattamento: gestione del personale titolare del trattamento: Comune di ............., responsabile della protezione dei dati: nome e cognome o denominazione, dati di contatto finalità del trattamento: Gestione del rapporto di lavoro del personale impiegato a vario titolo presso l'ente categorie di interessati: lavoratori dipendenti categorie di dati personali; Anagrafici: nome, cognome, codice fiscale, Patente, Matricola, indirizzo, telefono, email Appartenenza sindacale, Opinioni politiche Finanziari: coordinate bancarie Professione e istruzione: Impiego/attività professionale corrente, Impiego/attività professionale passata, Formazione scolastica e lavorativa Sanitari: dati idonei a rilevare la salute del paziente, dati idonei a rilevare la vita e l’orientamento sessuale categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi; Organizzazioni sindacali Enti assistenziali, previdenziali e assicurativi Presidenza del Consiglio dei Ministri in relazione alla rilevazione annuale dei permessi per cariche sindacali e funzioni pubbliche elettive (d.lg. n. 165/2001); uffici competenti per il collocamento mirato, relativamente ai dati anagrafici degli assunti appartenenti alle "categorie protette"; Strutture sanitarie competenti Enti di appartenenza dei lavoratori comandati Ministero economia e finanze nel caso in cui l'ente svolga funzioni di centro assistenza fiscale descrizione generale delle misure di sicurezza tecniche e organizzative. Formazione relativa alla protezione dei dati Procedure per la conservazione dei dati Livello del disaster ricovery e della continuità operativa Copie di sicurezza Sono definiti ruoli e responsabilità interne, in ambito sicurezza ICT e protezione dei dati luigi alfidi
Il Regolamento n. 679-2016: Registro delle attività di trattamento luigi alfidi
Il Regolamento n. 679-2016: Registro delle categoria di attività Il responsabile del trattamento, invece, tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1. luigi alfidi
Il Regolamento n. 679-2016: Registro delle categoria di attività luigi alfidi
Il Regolamento n. 679-2016: Schemi tipo dei registri. Il Garante nazionale non ha elaborato schemi tipo di tali registri, come avvenuto in altri paesi europei; si veda ad es. il modello non ufficiale del registro predisposto dall’autorità di controllo belga: https://onetrust.com/wp-content/uploads/2017/09/Belgian-DPA-Registry-of-Processing-Activities-Template-20170907-EN.xlsx (testo in inglese) Altri esempi di compilazione sono ad es. consultabili nel quaderno ANCI sull’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali. luigi alfidi
Il Regolamento n. 679-2016: Misure di sicurezza Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); Non potranno, quindi, sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate. luigi alfidi
Il Regolamento n. 679-2016: Notifica delle violazioni di dati personali (data breach). L’art. 4 del Regolamento 679-2016 definisce violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”. A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati luigi alfidi
Il Regolamento Ue 2016/679 Il Regolamento, all’art. 83, prevede un inasprimento delle sanzioni pecuniarie stabilendo limiti massimi di 10 o 20 mln di euro (oppure, per le imprese, del 2% o del 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore). luigi alfidi
Le definizioni del Regolamento luigi alfidi
I dati personali La definizione del Regolamento UE è sostanzialmente simile a quella del vigenti codice in quanto considera dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente. Sono, quindi, dati personali il nome, il cognome, l’indirizzo (anche e-mail), il codice fiscale, la partita IVA, il numero di conto corrente, il numero di telefono, il numero di cellulare, la targa dell’autoveicolo. luigi alfidi
Il trattamento dei dati: definizione Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione. La nozione di trattamento del Regolamento Ue è sostanzialmente simile a quella del Codice; le uniche differenze sono rappresentate dalla circostanza che il Regolamento cita le modalità dell’adattamento, della strutturazione e della limitazione, mentre il codice richiama le operazioni di elaborazione, selezione e di blocco. luigi alfidi
Il trattamento dei dati: il blocco e la limitazione. Mentre il blocco è la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento, La limitazione è il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro (l’art. 18 del Regolamento dettaglia le ipotesi nelle quali l'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento). luigi alfidi
Il titolare del trattamento Simile è la definizione del Regolamento UE. Il Regolamento, peraltro, formalizza la possibilità che vi siano più titolari del medesimo trattamento (art. 26: contitolari del trattamento). Si ricorda che, ai sensi del Regolamento UE, il titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali stabiliti dall’art. 5 del RGPD: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza. luigi alfidi
Il responsabile del trattamento Simile è la definizione del Regolamento UE. Le novità: - quanto ai doveri: si prevedono obblighi specifici: in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32); la designazione di un Responsabile per la protezione dei dati (ex art. 37). - quanto ai poteri: si prevede la possibilità di nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento. Il responsabile risponde, comunque, dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile" (si veda art. 82, paragrafo 1 e paragrafo 3). luigi alfidi
La profilazione Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica. luigi alfidi
La profilazione Peraltro, è consentito adottare decisioni sulla base della profilazione, se ciò è espressamente previsto dal diritto dell'Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell'evasione fiscale, o se è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, o se l'interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all'interessato e il diritto di ottenere l'intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. (considerando 71). luigi alfidi
La pseudoanomizzazione E’ il trattamento dei dati personali realizzato in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. Essa deve, pertanto, considerarsi come un misura di sicurezza e non come una tecnica di anonimizzazione. luigi alfidi
I dati genetici e biometrici L’art. 9 del Regolamento ricomprende tra le categorie particolari di dati personali (i c.d. dati sensibili) sia i dati genetici che quelli biometrici. «dati genetici»: sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; «dati biometrici»:i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici. luigi alfidi
I dati relativi alla salute I dati relativi alla salute sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. L’art. 9, paragrafo 4, del Regolamento prevede che gli Stati membri possano mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. luigi alfidi
Il rapporto tra GDPR, obblighi di trasparenza e accesso civico della PA luigi alfidi
Il rapporto tra GDPR, obblighi di trasparenza e accesso civico della PA Il Regolamento europeo (considerando 154) prevede che i “dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell'Unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono soggetti. Tali disposizioni legislative dovrebbero conciliare l'accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali e possono quindi prevedere la necessaria conciliazione con il diritto alla protezione dei dati personali, in conformità del presente regolamento”. luigi alfidi
Il rapporto tra GDPR, obblighi di trasparenza e accesso civico della PA Lo stesso considerando 154 ammette in generale che il Regolamento, nell'applicazione delle sue disposizioni, tenga conto del principio del pubblico accesso ai documenti ufficiali. Ritiene, infatti, che l'accesso del pubblico ai documenti ufficiali possa essere considerato di interesse pubblico. Quanto al riutilizzo dei dati, ricorda che la direttiva 2003/98/CE relativa al riutilizzo dell'informazione del settore pubblico non pregiudica in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto dell'Unione e degli Stati membri e non modifica, in particolare, gli obblighi e i diritti previsti dal presente regolamento. Nello specifico, tale direttiva non dovrebbe applicarsi ai documenti il cui accesso è escluso o limitato in virtù dei regimi di accesso per motivi di protezione dei dati personali, e a parti di documenti accessibili in virtù di tali regimi che contengono dati personali il cui riutilizzo è stato previsto per legge come incompatibile con la normativa in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali. luigi alfidi
Il rapporto tra GDPR, obblighi di trasparenza e accesso civico della PA Da quanto detto deriva che continuano ad essere vigenti, in materia di trasparenza, i principi contenuti nel Provvedimento del Garante nazionale del 15 maggio 2014. luigi alfidi
Il Provvedimento del Garante nazionale del 15 maggio 2014. Tale provvedimento distingueva gli obblighi di pubblicazione in: - obblighi di pubblicazione per finalità di trasparenza (quelli previsti dal decreto legislativo n. 33/2013); - obblighi di pubblicazione per altre finalità (contenuti in altre disposizioni di settore non riconducibili a finalità di trasparenza, quali ad es. le pubblicazioni matrimoniali, alle deliberazioni ..). luigi alfidi
Il Provvedimento del Garante nazionale del 15 maggio 2014. Tale provvedimento ribadiva la regola generale per la quale i soggetti pubblici possono diffondere dati personali solo se ciò è ammesso da una specifica disposizione di legge o di regolamento. In ogni caso non è possibile diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. luigi alfidi
Il Provvedimento del Garante nazionale del 15 maggio 2014. Non si possono, inoltre, diffondere dati ulteriori rispetto a quelli per i quali è prevista la pubblicazione obbligatoria, a meno che tali dati non vengano resi effettivamente anonimi e non vi sia più la possibilità di identificare gli interessati, nemmeno indirettamente e in un momento successivo. luigi alfidi
Il Provvedimento del Garante nazionale del 15 maggio 2014. Peraltro, anche quando vi è l'obbligo di pubblicazione dell'atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa. luigi alfidi
Il Provvedimento del Garante nazionale del 15 maggio 2014. Il provvedimento prevede anche che il principio generale del libero riutilizzo dei documenti contenenti dati pubblici va bilanciato con i principi in materia di protezione dei dati personali, primo fra tutti quello di finalità. Il Garante ha ritenuto opportuno che i soggetti pubblici inseriscano nella sezione "Amministrazione trasparente" un alert generale con cui si informi il pubblico che i dati personali pubblicati sono «riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (…), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali». Quanto all’indicizzazione, si ha l’obbligo di "indicizzare" i contenuti pubblicati tramite motori di ricerca per finalità di trasparenza, relativamente ai soli dati tassativamente individuati dalle disposizioni in materia di trasparenza, con esclusione quindi degli altri dati che si ha l'obbligo di pubblicare per altre finalità di pubblicità (es. pubblicazioni matrimoniali, pubblicazioni sull'albo pretorio degli enti locali). Sono, fra l'altro, espressamente sottratti all'indicizzazione i dati sensibili e giudiziari. luigi alfidi
Alcuni provvedimenti del Garante in materia di trasparenza. Provvedimento n. 398 del 5 ottobre 2017 Illecita pubblicazione sul sito web delle deliberazioni per un periodo superiore ai quindici giorni, non giustificabile con il fatto che il Regolamento regionale non prevedeva un termine massimo per la pubblicazione delle deliberazioni della Giunta regionale sul sito istituzionale. Sanzione di euro 100.000,00. luigi alfidi
Alcuni provvedimenti del Garante in materia di trasparenza. Provvedimento n. 492 del 24 novembre 2016 Illecita pubblicazione sul sito web istituzionale di una Provincia - nelle aree tematiche istituzionale dedicate alla formazione, lavoro e politiche sociali, energia ed impianti energetici -, nell'ambito delle procedure previste per il rilascio delle autorizzazioni all'installazione di impianti di energia elettrica, informazioni relative ai soggetti interessati alle procedure stesse, tra cui le copie fotostatiche delle carte di identità e i codici iban degli istituti di credito. Sanzione di euro 10.000,00. luigi alfidi
Alcuni provvedimenti del Garante in materia di trasparenza. Provvedimento n. 303 del 5 luglio 2017 Illecita pubblicazione sul sito web istituzionale di un Comune nello storico degli atti dell'Albo pretorio online (http://...), di un provvedimento del Settore edilizia ed attività produttive con cui si rende noto del rilascio di un permesso di costruire «per la chiusura con vetrate atermiche della tettoia posta sul lastrico solare» di un immobile – di cui sono indicati indirizzo e dati catastali – al fine di «destinarla a spazio dedicato alla riabilitazione di portatore di handicap», in applicazione di quanto previsto dalla Legge della Regione Puglia n. 39 del 10/12/2012 Divieto di ulteriore diffusione e avvio di procedimento per la sanzione pecuniaria. luigi alfidi
Alcuni provvedimenti del Garante in materia di trasparenza. Provvedimento n. 29 del 26 gennaio 2017 Illecita pubblicazione sul sito web istituzionale di un Comune: della graduatoria finale di una procedura selettiva pubblica "riservata ai soggetti disabili di cui alla legge n. 68/1999"; della graduatoria relativa alla valutazione dei titoli dei partecipanti alla medesima proceduta selettiva, contenente 542 nominativi, con la relativa data di nascita e il punteggio a ciascuno attribuito; della valutazione degli elaborati della prova scritta, in violazione dell'art. 22, comma 8 del d.lg. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito denominato Codice). Sanzione di euro 10.000,00. luigi alfidi
Alcuni provvedimenti del Garante in materia di trasparenza. Provvedimento n. 213 del 12 aprile 2018 Illecita pubblicazione sul sito web istituzionale di un Comune di una determinazione dirigenziale che ha approvato le graduatorie deisoggetti aventi diritto all'esenzione o alla riduzione della tassa sui rifiuti, perché si trovano, rispettivamente, in una condizione di disagio economico-sociale (mod. XX) o in uno stato di invalidità civile al cento per cento (mod. XX); le predette graduatorie riportano in chiaro dati e informazioni personali di n. 3447 soggetti interessati, ordinati in base alla situazione economica. Divieto di ulteriore diffusione e avvio di procedimento per la sanzione pecuniaria. luigi alfidi
Alcuni provvedimenti del Garante in materia di trasparenza. Provvedimento n. 213 del 12 aprile 2018 Illecita pubblicazione sul sito web istituzionale di un Comune di una determinazione dirigenziale che ha approvato le graduatorie deisoggetti aventi diritto all'esenzione o alla riduzione della tassa sui rifiuti, perché si trovano, rispettivamente, in una condizione di disagio economico-sociale (mod. XX) o in uno stato di invalidità civile al cento per cento (mod. XX); le predette graduatorie riportano in chiaro dati e informazioni personali di n. 3447 soggetti interessati, ordinati in base alla situazione economica. Divieto di ulteriore diffusione e avvio di procedimento per la sanzione pecuniaria. luigi alfidi
Il rapporto tra GDPR, obblighi di trasparenza e accesso civico della PA Anche per il diritto di accesso, sia documentale che generalizzato, non vi sono variazioni sostanziali. Anzi lo schema di decreto legislativo ribadisce che i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 241/90 e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del Regolamento e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. Nei medesimi termini, i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33. Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale. luigi alfidi