LE NOVITA’ NEL REGOLAMENTO UE PRIVACY

Slides:



Advertisements
Presentazioni simili
IL DLG 231/2001: AMBITO DI APPLICAZIONE E IMPLICAZIONI ORGANIZZATIVE POTENZA, 5 GIUGNO 2008.
Advertisements

LEGGE 68/2015: AMPLIAMENTO DEI CASI DI RESPONSABILITA’ DEGLI ENTI EX D.LGS. 231 DEL 2001 PER I REATI AMBIENTALI Ambiente, Sicurezza e Responsabilità.
Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Internal Market Information
Sciopero nei servizi pubblici essenziali
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Il Regolamento Europeo n. 679/2016: evoluzione
Security & Privacy Integrità Riservatezza Disponibilità La Normativa
Il Responsabile della protezione dei dati:
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
LIBERA CIRCOLAZIONE DEI DATI E PUBBLICO INTERESSE
Il transitorio USTIF - ANSF
Utilizzo e valorizzazione della flora spontanea per i ripristini ambientali e lo sviluppo sostenibile nella regione mediterranea Cagliari, 06/11/2015 Cognome: Nome:
Profili giuridici delle nuove tecnologie didattiche:
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (6)
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
Normativa sulla privacy
Consulenza legale, fiscale e strategica alle imprese
Introduzione al nuovo Regolamento Generale sulla protezione dei dati
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Il Regolamento Generale sulla Protezione dei Dati personali
Avv. Umberto Fantigrossi
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
La cittadinanza europea
IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N
GDPR – I “nuovi” diritti dell’interessato
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
avv. Laura Marengo Unione Industriale Torino
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
FORMAZIONE LAVORATORI CON HANDICAP INTELLETTIVO E PSICHICO
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
La Privacy e la sicurezza negli studi legali Monza, 24 aprile 2018
CREDITO DI IMPOSTA PER LE SPESE DI FORMAZIONE industria 4.0.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CONVEGNO INTERNAZIONALE I PATTI PREMATRIMONIALI
IL DIRITTO ALLA PRIVACY
General Data Protection Regulation
I principali compiti del datore di lavoro
IL REGOLAMENTO EUROPEO SULLA PRIVACY G.D.P.R. 679/2016
Giugno 2018 Relatore: dott. POTITO L. IASCONE
BROCHURE COMPLIANCE.
LA CULTURA DELLA GESTIONE E PROTEZIONE DEI DATI PERSONALI Servizio RPD
IL DIRITTO ALLA PRIVACY
La nuova normativa europea sulla Protezione dei Dati Personali
NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,
LA TUTELA DELLA PRIVACY
Fonti Legge 30 novembre 2017, n. 179 (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza.
Attività di informazione alla popolazione,
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a
Aspetti normativi del D.Lvo n. 196 del 2003
Il nuovo Regolamento europeo e la Trasparenza totale
«Law Enforcement Directive» e D.lgs. 51/18
Regolamento ue 2016/679 trattamento dei dati personali
Istituto d’Istruzione Superiore “T. Fiore” di Modugno
dati personali per la PA: procedure e risposte ai quesiti
UNIVERSITA’ DELLA TERZA ETA’ DI QUARTU SANT’ELENA
FORMAZIONE SUL NUOVO REGOLAMENTO GDPR REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI (UE 679/2016)
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
La tutela della Privacy al triage Dott.ssa Assunta De Luca
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

LE NOVITA’ NEL REGOLAMENTO UE PRIVACY Avv. Simona Custer Avv. Marta Colonna Avv. Valerio Natale

GDPR (General Data Protection Regulation) REGOLAMENTO (UE) n. 2016/679 GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati 24 MAGGIO 2016 -25 MAGGIO 2018

LE FONTI Pareri del Garante e Linee Guida «Gruppo Art. 29» GDPR 173 considerando 99 articoli Linee Guida, raccomandazioni e prassi Comitato Europeo per la protezione dei dati Pareri del Garante e Linee Guida «Gruppo Art. 29» D. Lgs. n. 101 del 10/08/2018 recante disposizioni per l’adeguamento della normativa nazionale al GDPR (pubblicato in G.U. il 04/09/2018 e in vigore dal 19/09/2018) Codice Privacy (Dlgs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018) LE FONTI

AMMINISTRATIVE PECUNIARIE ... SANZIONI AMMINISTRATIVE PECUNIARIE PENALI SANZIONI GDPR dal 2% al 4% del fatturato mondiale annuo CODICE PRIVACY (come modificato dal D.Lgs. n. 101/2018) artt. 166-168 e 170-172

DATO PERSONALE ARTICOLO 4 «qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). […] un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»

APPARTENENZA SINDACALE DATI PARTICOLARI ORIGINE RAZZIALE o ETNICA OPINIONI POLITICHE CONVINZIONI RELIGIOSE o FILOSOFICHE APPARTENENZA SINDACALE DATI GENETICI DATI BIOMETRICI DATI relativi alla SALUTE DATI relativi alla VITA SESSUALE DATI relativi all’ORIENTAMENTO SESSUALE ARTICOLO 9

TRATTAMENTO ARTICOLO 4 «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione»

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

… DATA PROTECTION OFFICER (DPO)  LINEE GUIDA “GRUPPO ART. 29” OBBLIGATORIETA’ NOMINA del DPO STRUTTURA SANITARIA SINGOLO MEDICO NO ATTIVITA’ PRINCIPALE del TITOLARE consiste nel TRATTAMENTO su LARGA SCALA di DATI PARTICOLARI SI

QUALI COMPETENZE / CONOSCENZE? in materia di PRIVACY sulla STRUTTURA ORGANIZZATIVA del titolare e sul SETTORE di ATTIVITA’ familiarità con SISTEMI INFORMATIVI e MISURE di SICUREZZA INTEGRITA’ e STANDARD DEONTOLOGICI

QUALI I COMPITI? SORVEGLIARE l’osservanza del REGOLAMENTO UE ASSISTERE il TITOLARE nella DPIA COOPERARE con l’AUTORITA’ di CONTROLLO CONSIDERARE i RISCHI connessi al TRATTAMENTO TENERE il REGISTRO delle ATTIVITA’ di TRATTAMENTO

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

I NUOVI ELEMENTI DELL’INFORMATIVA BASE GIURIDICA intenzione a TRASFERIRE i dati in un PAESE TERZO o presso un’ORGANIZZAZIONE INTERNAZIONALE PERIODO di CONSERVAZIONE DIRITTO di REVOCARE il CONSENSO DIRITTO di PROPORRE RECLAMO

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO: > 250 DIPENDENTI TRATTAMENTO che presenta RISCHI per i DIRITTI e le LIBERTA’ dell’interessato TRATTAMENTO NON OCCASIONALE TRATTAMENTO che include DATI PARTICOLARI o PERSONALI relativi a CONDANNE PENALI

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

DIRITTO ALLA PORTABILITA’ dei DATI DATI trattati sulla base del CONSENSO o di un CONTRATTO DATI trattati con STRUMENTI AUTOMATIZZATI DATI PERSONALI e forniti CONSAPEVOLMENTE ricevere i dati trattati da un titolare e conservarli su un supporto personale / trasmettere i dati direttamente da un titolare all’altro

… ACCOUNTABILITY  … adozione di COMPORTAMENTI PROATTIVI da parte del TITOLARE e del RESPONSABILE del TRATTAMENTO… ARTICOLO 32 « … il TITOLARE del TRATTAMENTO e il RESPONSABILE del TRATTAMENTO mettono in atto MISURE TECNICHE e ORGANIZZATIVE ADEGUATE per garantire un livello di sicurezza ADEGUATO AL RISCHIO … »

… ACCOUNTABILITY RISCHIO MISURE di SICUREZZA MONITORAGGIO AGGIORNAMENTO  

REVISIONE / AGGIORNAMENTO MODULISTICA … ADEMPIMENTI 1 MAPPATURA dei DATI TRATTATI e dei TRATTAMENTI effettuati 2 INDIVIDUAZIONE dei SOGGETTI titolare, interessato, responsabile, DPO e designato 3 REVISIONE / AGGIORNAMENTO MODULISTICA informative, contratti e lettere di nomina 4 VALUTAZIONE dei RISCHI se rischio elevato VALUTAZIONE di IMPATTO  

DATA BREACH NOTIFICATION … ADEMPIMENTI 5 INDIVIDUAZIONE delle MISURE TECNICHE e ORGANIZZATIVE ADEGUATE 6 PREDISPOSIZIONE della DOCUMENTAZIONE registro delle attività di trattamento, procedure e policy, modello organizzativo 7 INFORMAZIONE e FORMAZIONE 8 DATA BREACH NOTIFICATION registro delle violazioni  

Il GDPR e le associazioni senza scopo di lucro Innanzitutto, si applica il GDPR? Sì! Considerando 5 e Articolo 4 confermano che per «titolare del trattamento» devono intendersi certamente anche le associazioni (incluse, dunque, le onlus ed i partiti politici) Inoltre… Art. 4: «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

Il GDPR e le associazioni senza scopo di lucro Una disciplina ad hoc per i dati particolari

APPARTENENZA SINDACALE DATI PARTICOLARI ORIGINE RAZZIALE o ETNICA OPINIONI POLITICHE CONVINZIONI RELIGIOSE o FILOSOFICHE APPARTENENZA SINDACALE DATI GENETICI DATI BIOMETRICI DATI relativi alla SALUTE DATI relativi alla VITA SESSUALE DATI relativi all’ORIENTAMENTO SESSUALE Rivediamo quali sono…

Il GDPR e le associazioni senza scopo di lucro LE DEROGHE AL DIVIETO GENERALE DI TRATTAMENTO DEI DATI PARTICOLARI quando c’è il consenso; quando il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; quando il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato; il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

Il GDPR e le associazioni senza scopo di lucro MA ATTENZIONE AI DATI GIUDIZIARI! Prima: sulla base dell'autorizzazione generale al trattamento dei dati giudiziari rilasciata dal Garante per la protezione dei dati personali (Autorizzazione Generale n. 7/2016) per il trattamento di dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza per finalità assistenziali e/o di volontariato. Oggi: Il GDPR prevede che il trattamento di dati personali relativi a condanne penali, reati o misure di sicurezza sia soggetto all’autorizzazione degli Stati Membri. Cosa ha fatto l’Italia?

Il GDPR e le associazioni senza scopo di lucro Decreto Legislativo n. 101/2018 - Art. 2-octies «[…] solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le liberta' degli interessati. 2. In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché' le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante. 3. Fermo quanto previsto dai commi 1 e 2, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza e' consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: […]»

Il GDPR e le associazioni senza scopo di lucro «MARKETING» SOCIALE: SERVE IL CONSENSO? Considerando 47 «[…] Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.» Domande: E’ marketing? Possiamo fondarlo davvero sul legittimo interesse? Quale è l’approccio del Garante in Italia? Ciò detto, come metterlo in pratica?

Il GDPR e le associazioni senza scopo di lucro «MARKETING» SOCIALE: SERVE IL CONSENSO? Come metterlo in pratica?   «Ricevi questa comunicazione in quanto sostenitore, donatore o associato che ha precedentemente stabilito un contatto con la sede centrale dell’Ente o con le realtà territoriali riconducibili ad esso. Se non vuoi più ricevere inviti a eventi organizzati o promossi dall’Ente e/o altri contenuti e messaggi sul tema dell'asilo connessi alle attività dell’Ente, puoi opporti a tale trattamento scrivendo a mail@ente.org oppure cliccando qui.»

Il GDPR e le associazioni senza scopo di lucro ASSOCIAZIONE DI ASSISTENZA A RICHIEDENTI ASILO Data Processing Agreement Informativa Privacy per gli assistiti Footer e-mail (con diritto di opt-out) Istruzioni agli incaricati Modulo per il consenso

Il GDPR e le associazioni senza scopo di lucro ASSOCIAZIONE CHE COMPIE AZIONI DI SENSIBILIZZAZIONE SU TEMI LEGATI ALL’IMMIGRAZIONE Consenso? Come gestire le questioni legate alla messa a disposizione dell’informativa? Se sì, come ottenere il consenso e tenerne traccia? Va garantito il diritto alla cancellazione? Accordi con terze parti e questioni legate alla proprietà intellettuale Come gestire i rapporti con i minori?

Il GDPR e le associazioni senza scopo di lucro Finalmente… Q&A session!

GRAZIE PER L’ATTENZIONE! Avv. Simona Custer Avv. Marta Colonna Avv. Valerio Natale