LA CULTURA DELLA GESTIONE E PROTEZIONE DEI DATI PERSONALI Servizio RPD

Slides:



Advertisements
Presentazioni simili
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Advertisements

Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
La privacy e il diritto di accesso alla documentazione amministrativa La trasparenza e la pubblicità sono principi generali dell’attività amministrativa.
"Il Data Breach, adempimenti per le aziende Centro Ingressi Frentani
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
RISARCIMENTO e DATA PROTECTION:
Assemblea dei Presidenti
Il Regolamento Europeo n. 679/2016: evoluzione
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
LIBERA CIRCOLAZIONE DEI DATI E PUBBLICO INTERESSE
Riordino della legislazione sulla trasparenza
Il principio di trasparenza ha incontrato un crescente interesse nei suoi confronti da parte della normativa, particolarmente accentuato negli ultimi anni.
Profili giuridici delle nuove tecnologie didattiche:
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
GIORNATA DELLA TRASPARENZA 2016
Diritto d’accesso.
Normativa sulla privacy
Introduzione al nuovo Regolamento Generale sulla protezione dei dati
E CESSAZIONE DEL RAPPORTO DI LAVORO
G.D.P.R. – Sintesi e proposizione
IL NUOVO SPAZIO WEB DELLA PROVINCIA CON DATI E INFORMAZIONI SULL’ORGANIZZAZIONE E IL PERSONALE DELLA PROVINCIA I dati sul personale sono stati estratti.
Il Regolamento Generale sulla Protezione dei Dati personali
Avv. Umberto Fantigrossi
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
La cittadinanza europea
Corso di aggiornamento privacy alla luce del nuovo regolamento europeo
IL NUOVO REGOLAMENTO EUROPEO PRIVACY NELLA PUBBLICA AMMINISTRAZIONE
IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N
GDPR – I “nuovi” diritti dell’interessato
A cura del Dr. Roberto FALCO Ha collaborato Giorgio PAOLUCCI
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
avv. Laura Marengo Unione Industriale Torino
Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
FORMAZIONE LAVORATORI CON HANDICAP INTELLETTIVO E PSICHICO
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CITTADINANZA DIGITALE
IL DIRITTO ALLA PRIVACY
ISCRIZIONE ABC … Leggere insieme n.3 per una buona lettura
Prevenzione e contrasto del fenomeno del cyberbullismo
Il principio di trasparenza ha incontrato un crescente interesse nei suoi confronti da parte della normativa, particolarmente accentuato negli ultimi anni.
Giugno 2018 Relatore: dott. POTITO L. IASCONE
BROCHURE COMPLIANCE.
IL DIRITTO ALLA PRIVACY
La nuova normativa europea sulla Protezione dei Dati Personali
NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,
LA TUTELA DELLA PRIVACY
LE NOVITA’ NEL REGOLAMENTO UE PRIVACY
Diritto d’accesso.
Aspetti normativi del D.Lvo n. 196 del 2003
Il nuovo Regolamento europeo e la Trasparenza totale
«Law Enforcement Directive» e D.lgs. 51/18
Regolamento ue 2016/679 trattamento dei dati personali
dati personali per la PA: procedure e risposte ai quesiti
DIRETTIVA 2016/ LUGLIO 2016.
Software : i diritti “patrimoniali ” d’autore
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
diritto della comunicazione pubblica
La tutela della Privacy al triage Dott.ssa Assunta De Luca
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

LA CULTURA DELLA GESTIONE E PROTEZIONE DEI DATI PERSONALI Servizio RPD Relatore dott. Gianni Festi

Profilazione e Data analitics Che ci serve la cultura della privacy? Big Data Nel 2017 si sono generati nel mondo tanti dati quanti in tutta la storia fino al 2016 Ogni giorno il colosso americano dei supermercati Walmart raccoglie un numero di dati pari a quello necessario per codificare l’intera libreria del congresso degli USA Profilazione e Data analitics Cosa voglio o vorrei? “Lo studio dei dati su internet sarà la professione più sexy” “L’accesso al credito valuterà anche i dati acquisiti dal frigorifero”

26 miliardi di oggetti connessi a livello globale Che ci serve la cultura della privacy? Cloud computing Dove sono i miei dati? Internet delle cose Servizi e controllo Nel 2020 ci saranno 26 miliardi di oggetti connessi a livello globale

Il tema della riservatezza Che ci serve la cultura della privacy? Il tema della riservatezza Chi sviluppa le app per Gmail può leggere la posta elettronica degli utenti Facebook vittima di violazioni: on line messaggi privati di oltre 80.000 utenti (notizia del 3 novembre 2018)

Banche dati “preziose” Che ci serve la cultura della privacy nella PA? Banche dati “preziose” Consapevolezza dei rischi da comportamento e da abitudine

Quadro normativo

Privacy componente dei processi amministrativi Il nuovo Regolamento europeo Un nuovo modello organizzativo Privacy componente dei processi amministrativi

Il nuovo Regolamento europeo Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati Regolamento europeo 2016/679 approvato dal Parlamento europeo il 14 aprile 2016 in vigore dal 24 maggio 2016 direttamente applicabile dal 25 maggio 2018

dal decreto legislativo n. 101 del 10 agosto 2018 Il “nuovo” Codice privacy italiano Decreto legislativo n. 196 del 30 giugno 2003 come modificato dal decreto legislativo n. 101 del 10 agosto 2018

il Regolamento europeo 2016/679 Provvedimenti del Garante I provvedimenti del Garante continuano ad applicarsi in quanto compatibili con il Regolamento europeo 2016/679

Il nuovo Regolamento europeo – elementi essenziali La protezione dei dati personali è un diritto fondamentale (art. 8 par. 1 Carta dei diritti fondamentali dell’Unione Europea) Il diritto alla protezione dei dati non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e contemperato con altri diritti fondamentali (Considerando 4)

Il nuovo Regolamento europeo – elementi essenziali Al fine di assicurare un livello coerente e elevato di protezione delle persone e rimuovere gli ostacoli alla circolazione dei dati personali, il livello di protezione dei diritti e delle libertà delle persone riguardo al trattamento dei dati personali deve essere equivalente in tutti gli Stati membri (Considerando 10)

Il nuovo Regolamento europeo coordinamento normativo Ove il regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone integrare elementi del regolamento nel proprio diritto nazionale (Considerando 8)

Il nuovo Regolamento europeo coordinamento normativo Per quanto riguarda il trattamento dei dati personali … per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del regolamento (Considerando 10)

Valutazione di conformità Il nuovo Regolamento europeo coordinamento normativo Il Regolamento detta la DISCIPLINA GENERALE Normative nazionali per disciplina speciale e di settore Valutazione di conformità

Il nuovo Regolamento europeo – Capi Disposizioni generali Principi Diritti dell’interessato Titolare del trattamento e responsabile del trattamento

Il nuovo Regolamento europeo – Capi Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali Autorità di controllo indipendenti Cooperazione e coerenza Mezzi di ricorso, responsabilità e sanzioni

Il nuovo Regolamento europeo – Capi Disposizioni relative a specifiche situazioni di trattamento Atti delegati e atti di esecuzione Disposizioni finali

Si applica solo al trattamento di dati personali di persone fisiche Il nuovo Regolamento europeo coordinamento normativo Si applica solo al trattamento di dati personali di persone fisiche Riguarda trattamenti interamente o parzialmente automatizzati o non automatizzati se i dati personali sono contenuti in un archivio o sono destinati a confluirvi

NON SI APPLICA ai trattamenti: Il nuovo Regolamento europeo coordinamento normativo NON SI APPLICA ai trattamenti: effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico di informazioni anonime o dati personali anonimizzati

NON SI APPLICA ai trattamenti: Il nuovo Regolamento europeo coordinamento normativo NON SI APPLICA ai trattamenti: per attività che non rientrano nel diritto dell’Unione (es. sicurezza nazionale) per attività di speciale rilevanza pubblica (es. politica estera e di difesa comune) effettuati da autorità ai fini di prevenzione, accertamento e repressione reati e ai fini di sicurezza pubblica

Il nuovo Regolamento europeo ambito di applicazione territoriale SI APPLICA ai trattamenti: effettuati da un Titolare o Responsabile stabilito nell’UE, anche se il trattamento è effettuato fuori dall’UE effettuati da un Titolare o Responsabile non stabilito nell’UE se il trattamento ha ad oggetto dati personali di interessati che si trovano nell’UE effettuati da un Titolare stabilito in uno Stato extra UE soggetto al diritto di uno Stato UE in virtù del diritto internazionale

Novità del regolamento europeo DATO PERSONALE: qualsiasi informazione riguardante una persona fisica identificata o identificabile Concetto di identificabilità si considerano i mezzi necessari per identificare la persona fisica e i costi e i tempi necessari per l’identificazione

Categorie particolari di dati personali Novità del regolamento europeo Categorie particolari di dati personali Dati sensibili Dati relativi alla salute = dati sanitari (Considerando 35) Dati genetici Dati biometrici

Novità del regolamento europeo Che cos’è TRATTAMENTO?

Novità del regolamento europeo PROFILAZIONE: qualsiasi forma di trattamento automatizzato consistente nell’utilizzo di dati personali per valutare aspetti personali quali il rendimento professionale, la situazione economica, le preferenze personali, l’ubicazione e gli spostamenti

Novità del regolamento europeo PSEUDONIMIZZAZIONE: il trattamento di dati personali in modo che non possano più essere attribuiti ad un interessato senza l’utilizzo di informazioni aggiuntive, conservate separatamente e soggette a misure tecniche e organizzative specifiche

I principi del trattamento Liceità Correttezza Novità del regolamento europeo I principi del trattamento Liceità Correttezza Trasparenza – sensibilizzazione dei cittadini Finalità determinate esplicite legittime

Pertinenza e non eccedenza Novità del regolamento europeo I principi del trattamento Minimizzazione Pertinenza e non eccedenza (Privacy by design – privacy by default)

Pertinenza e non eccedenza Novità del regolamento europeo Pertinenza e non eccedenza Formazione provvedimenti

I principi del trattamento Novità del regolamento europeo I principi del trattamento Esattezza Limitazione delle conservazione Integrità e sicurezza

Responsabilizzazione Novità del regolamento europeo I principi del trattamento Responsabilizzazione Neutralità degli strumenti

Liceità del trattamento Ogni trattamento deve trovare fondamento in un'idonea base giuridica (art. 6 Regolamento) obblighi di legge cui è soggetto il titolare interesse pubblico o esercizio di pubblici poteri interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati

Ogni trattamento deve trovare fondamento in un'idonea base giuridica Liceità del trattamento Ogni trattamento deve trovare fondamento in un'idonea base giuridica (art. 6 Regolamento) consenso adempimento obblighi contrattuali interessi vitali della persona interessata o di terzi

è necessario per l'esecuzione di Liceità del trattamento Il trattamento è lecito se è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento art. 6 lett. e) par. 1 Regolamento Considerando 45

Liceità del trattamento La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a)  dal diritto dell'Unione; o b)  dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento art. 6 lett. e) par. 3 Regolamento Considerando 45

nei casi previsti dalla legge di regolamento Art. 2 ter decreto legislativo 196/2003 La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita esclusivamente da una norma di legge o nei casi previsti dalla legge di regolamento

Art. 2 ter decreto legislativo 196/2003 La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all’articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all’articolo 10 del Regolamento, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista da una norma di legge o di regolamento o comunque per lo svolgimento di funzioni istituzionali

a soggetti che intendono trattarli per altre finalità Art. 2 ter decreto legislativo 196/2003 La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste da una norma di legge o nei casi previsti dalla legge di regolamento

Liceità del trattamento (considerando 43, art. 9 regolamento) Pubbliche Amministrazioni non devono chiedere il consenso per il trattamento dei dati personali (considerando 43, art. 9 regolamento)

Liceità del trattamento Soggetti privati che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri non devono chiedere il consenso per il trattamento dei dati personali (considerando 45)

Liceità del trattamento Consenso - Per i dati "sensibili” e per la profilazione deve essere "esplicito" - Non è necessariamente "documentato per iscritto” né è richiesta la "forma scritta” ma il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento - Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci

Liceità del trattamento Consenso - deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo) deve essere manifestato attraverso "dichiarazione o azione positiva inequivocabile” (considerando 39 e 42)

Liceità del trattamento Trattamento di categorie particolari di dati personali Principio E’ vietato trattare dati personali “sensibili e ultrasensibili” (art. 9 regolamento)

Liceità del trattamento Trattamento di categorie particolari di dati personali Il divieto non si applica nei seguenti casi - Consenso esplicito Obblighi e diritti in materia di lavoro Altro… (art. 9 regolamento)

Liceità del trattamento Trattamento di categorie particolari di dati personali Il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stato membri che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9 e 10 regolamento)

Titolare del trattamento I soggetti privacy Titolare del trattamento Contitolarità I titolari sono tenuti di definire specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati 47

I soggetti privacy Responsabile del trattamento La designazione del responsabile del trattamento deve essere formalizzata in un contratto o altro atto giuridico 48

I soggetti privacy Designati del trattamento Persona a cui il titolare o il responsabile attribuisce specifici compiti e funzioni 49

Personale autorizzato al trattamento I soggetti privacy Incaricato del trattamento Personale autorizzato al trattamento sotto l’autorità diretta del titolare Obbligo di istruzione e formazione 50

Amministratore di sistema I soggetti privacy Amministratore di sistema 51

della protezione dei dati Data protection officer I soggetti privacy Responsabile della protezione dei dati Data protection officer 52

Informativa (art. 13 e 14 Regolamento) Tipologie di informativa Informativa diretta: in occasione della raccolta diretta dei dati presso l’interessato Informativa ulteriore: in occasione di un mutamento della finalità rispetto ai dati già raccolti (trattamento per finalità diverse o ulteriori)

Informativa (art. 13 e 14 Regolamento) Tipologie di informativa Informativa successiva: in occasione della raccolta da altro titolare NB: non è dovuta se: l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro comunicare le informazioni risulta impossibile o implica uno sforzo sproporzionato

Informativa (art. 13 e 14 Regolamento) I contenuti dell'informativa sono più ampi Deve specificare: i dati di contatto del RPD-DPO la base giuridica del trattamento se trasferisce i dati personali in Paesi terzi e nel caso attraverso quali strumenti il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione

Informativa (art. 13 e 14 Regolamento) Quando? Nel caso di dati personali non raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all'interessato)

Informativa (art. 13 e 14 Regolamento) Come? forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile linguaggio chiaro e semplice e per i minori occorre prevedere informative idonee data, in linea di principio, per iscritto e preferibilmente in formato elettronico può essere fornita anche oralmente

Diritti degli interessati Diritto all’autodeterminazione Modalità per l’esercizio dei diritti Diritti di accesso Diritto di cancellazione (diritto all’oblio) Diritto di limitazione del trattamento Diritto alla portabilità dei dati

Diritti degli interessati Il termine per la risposta all'interessato è 1 mese, estendibile fino a 3 mesi Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive ovvero se richieste più copie il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità

Diritto di accesso Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi

Diritto di cancellazione Diritto all’oblio Il diritto cosiddetto "all'oblio" si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. I titolari (se hanno "reso pubblici" i dati personali dell'interessato: ad esempio, pubblicandoli su un sito web) hanno l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione

il titolare del trattamento Diritto di cancellazione diritto all’oblio Non si applica se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento

Non si applica alle Pubbliche Amministrazioni Diritti degli interessati Diritto di limitazione del trattamento Nuovo diritto alla portabilità dei dati Non si applica alle Pubbliche Amministrazioni

alla gestione della privacy Responsabilizzazione Un nuovo approccio alla gestione della privacy Accountability Responsabilizzazione

Titolare e responsabile del trattamento Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire e esser in grado di dimostrare che il trattamento è effettuato conformemente al regolamento (art. 24 regolamento)

sin dalla progettazione Approccio basato sul rischio e misure di accountability Privacy by design La garanzia e il rispetto del diritto alla riservatezza e alla protezione dei dati deve essere considerato, valutato e attestato sin dalla progettazione di ogni processo e progetto e dei relativi supporti informatici tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche

Approccio basato sul rischio e misure di accountability Privacy by default Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento

Approccio basato sul rischio e misure di accountability Valutazione d’impatto sulla protezione dei dati Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali 68

Approccio basato sul rischio e misure di accountability Registro delle attività di trattamento Ogni titolare e responsabile (esterno) del trattamento tengono un registro delle attività di trattamento svolte sotto la propria responsabilità 69

Approccio basato sul rischio e misure di accountability Sicurezza del trattamento Misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche

Abrogato il riferimento alle misure minime di sicurezza Approccio basato sul rischio e misure di accountability Sicurezza del trattamento Abrogato il riferimento alle misure minime di sicurezza

Sicurezza del trattamento Approccio basato sul rischio e misure di accountability Sicurezza del trattamento Misure adeguate Pseudonimizzazione e cifratura Capacità di assicurare riservatezza – integrità – disponibilità – resilienza dei sistemi e dei servizi Capacità di ripristino della disponibilità e dell’accesso ai dati

Approccio basato sul rischio e misure di accountability Cybercrime attacchi gravi in crescita del 31% nel 2018 rispetto al 2017 Attacco hacker al Pentagono violati i dati di 30 mila dipendenti Attacco hacker al comune di Fiumicino cancellati i data base del servizio sociale 73

Approccio basato sul rischio e misure di accountability Gestione documenti cartacei Chiavette usb Dati trasmessi ai colleghi Dati comunicati a soggetti terzi 74

Sicurezza - Data breach (artt. 33 - 34 Regolamento) Che cos’é? violazione di riservatezza: divulgazione o accesso a dati personali non autorizzato o accidentale violazione di integrità: alterazione di dati personali non autorizzata o accidentale violazione di disponibilità: perdita, inaccessibilità o distruzione non autorizzata o accidentale di dati personali

Sicurezza - Data breach (artt. 33 - 34 Regolamento) Azioni Individuazione procedura - protocollo e referenti Individuazione procedura - protocollo con responsabile esterno Valutazione evento e eventuali motivi di esonero da notifica e/o comunicazione Esecuzione misure e controllo Notifica al Garante entro 72 ore e comunque senza ritardo Comunicazione agli interessati Documenti Fascicolo dell’evento e delle azioni Registro delle violazioni di dati

Diritto al ricorso giurisdizionale Mezzi di ricorso, responsabilità e sanzioni Diritto al reclamo Diritto al ricorso giurisdizionale

Diritto al risarcimento del danno Mezzi di ricorso, responsabilità e sanzioni Diritto al risarcimento del danno

Diritto al risarcimento del danno Mezzi di ricorso, responsabilità e sanzioni Diritto al risarcimento del danno Chiunque subisca un danno materiale o immateriale causato da una violazione della privacy ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento

Diritto al risarcimento del danno Mezzi di ricorso, responsabilità e sanzioni Diritto al risarcimento del danno Il titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il regolamento Il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile

Sanzioni amministrative più gravi Mezzi di ricorso, responsabilità e sanzioni Sanzioni amministrative più gravi Fino a 10 milioni di euro o fino a 20 milioni di euro a seconda della violazione

trasparenza amministrativa Privacy e trasparenza amministrativa

dal Decreto legislativo 14 marzo 2013 n. 33 come modificato dal Decreto legislativo 25 maggio 2016 n. 97

dalla Legge regionale 15 dicembre 2016 n. 16 29 ottobre 2014 n. 10 come modificata dalla Legge regionale 15 dicembre 2016 n. 16 (in vigore dal 16 dicembre 2016)

pubblicazione Accesso civico Obblighi di pubblicazione Accesso civico 85 85 85 85 85 85 85

diritto di accesso civico Privacy e diritto di accesso civico

della tutela di interessi pubblici e privati giuridicamente rilevanti nei limiti della tutela di interessi pubblici e privati giuridicamente rilevanti Accesso civico generalizzato 87 87 87 87 87 87 87

Accesso civico – ambito oggettivo “l'accesso civico disciplinato dall'articolo 5, comma 2 del decreto ha ad oggetto i documenti detenuti dall'amministrazione, ulteriori rispetto a quelli oggetto di pubblicazione” Art. 1 comma 1 lettera 0a) LR 16/2016 “… chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis.” Art. 5 comma 2 D.lgs. 33/2013 88 88 88 88 88 88 88

Esclusioni e limiti all’accesso civico Delibera ANAC n. 1309 del 28 dicembre 2016 “Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 comma 2 del d.lgs. n. 33 del 2013 dell’Autorità Nazionale Anticorruzione” 89 89 89 89 89 89 89

VALUTAZIONE se il diniego è necessario per evitare Limiti VALUTAZIONE se il diniego è necessario per evitare un pregiudizio concreto alla tutela di uno degli interessi pubblici o privati previsti dal comma 1 e 2 dell’art. 5 bis D.Lgs. 33/2013 90 90 90 90 90 90 90

Interessi privati: Limiti a) la protezione dei dati personali, in conformità con la disciplina legislativa in materia b) la libertà e la segretezza della corrispondenza c) gli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali previsti dal comma 2 dell’art. 5 bis D.Lgs. 33/2013 91 91 91 91 91 91 91

diritto di accesso documentale Privacy e diritto di accesso documentale

Soggetto privato che ha un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento di cui è chiesto l’accesso (art. 32 comma 1 L.P. 23/1992) 93

anche per ciò che concerne i dati sensibili e giudiziari I presupposti, le modalità e i limiti per l’esercizio del diritto di accesso restano disciplinati dalla L.241/1990 (L.p. 23/1992) anche per ciò che concerne i dati sensibili e giudiziari (art. 59 D.Lgs. 196/2003) 94

L’accesso a documenti contenenti dati idonei a rivelare lo stato di salute o la vita sessuale è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso è di rango almeno pari ai diritti dell’interessato 95

Risposte ai quesiti