LE NOVITA’ NEL REGOLAMENTO UE PRIVACY Avv. Simona Custer Avv. Marta Colonna Avv. Valerio Natale

GDPR (General Data Protection Regulation) REGOLAMENTO (UE) n. 2016/679 GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati 24 MAGGIO 2016 -25 MAGGIO 2018

LE FONTI Pareri del Garante e Linee Guida «Gruppo Art. 29» GDPR 173 considerando 99 articoli Linee Guida, raccomandazioni e prassi Comitato Europeo per la protezione dei dati Pareri del Garante e Linee Guida «Gruppo Art. 29» D. Lgs. n. 101 del 10/08/2018 recante disposizioni per l’adeguamento della normativa nazionale al GDPR (pubblicato in G.U. il 04/09/2018 e in vigore dal 19/09/2018) Codice Privacy (Dlgs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018) LE FONTI

AMMINISTRATIVE PECUNIARIE ... SANZIONI AMMINISTRATIVE PECUNIARIE PENALI SANZIONI GDPR dal 2% al 4% del fatturato mondiale annuo CODICE PRIVACY (come modificato dal D.Lgs. n. 101/2018) artt. 166-168 e 170-172

DATO PERSONALE ARTICOLO 4 «qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). […] un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»

APPARTENENZA SINDACALE DATI PARTICOLARI ORIGINE RAZZIALE o ETNICA OPINIONI POLITICHE CONVINZIONI RELIGIOSE o FILOSOFICHE APPARTENENZA SINDACALE DATI GENETICI DATI BIOMETRICI DATI relativi alla SALUTE DATI relativi alla VITA SESSUALE DATI relativi all’ORIENTAMENTO SESSUALE ARTICOLO 9

TRATTAMENTO ARTICOLO 4 «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione»

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

… DATA PROTECTION OFFICER (DPO)  LINEE GUIDA “GRUPPO ART. 29” OBBLIGATORIETA’ NOMINA del DPO STRUTTURA SANITARIA SINGOLO MEDICO NO ATTIVITA’ PRINCIPALE del TITOLARE consiste nel TRATTAMENTO su LARGA SCALA di DATI PARTICOLARI SI

QUALI COMPETENZE / CONOSCENZE? in materia di PRIVACY sulla STRUTTURA ORGANIZZATIVA del titolare e sul SETTORE di ATTIVITA’ familiarità con SISTEMI INFORMATIVI e MISURE di SICUREZZA INTEGRITA’ e STANDARD DEONTOLOGICI

QUALI I COMPITI? SORVEGLIARE l’osservanza del REGOLAMENTO UE ASSISTERE il TITOLARE nella DPIA COOPERARE con l’AUTORITA’ di CONTROLLO CONSIDERARE i RISCHI connessi al TRATTAMENTO TENERE il REGISTRO delle ATTIVITA’ di TRATTAMENTO

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

I NUOVI ELEMENTI DELL’INFORMATIVA BASE GIURIDICA intenzione a TRASFERIRE i dati in un PAESE TERZO o presso un’ORGANIZZAZIONE INTERNAZIONALE PERIODO di CONSERVAZIONE DIRITTO di REVOCARE il CONSENSO DIRITTO di PROPORRE RECLAMO

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO: > 250 DIPENDENTI TRATTAMENTO che presenta RISCHI per i DIRITTI e le LIBERTA’ dell’interessato TRATTAMENTO NON OCCASIONALE TRATTAMENTO che include DATI PARTICOLARI o PERSONALI relativi a CONDANNE PENALI

contenuto e tempistiche PRINCIPALI NOVITA’ SOGGETTI INFORMATIVE CONSENSO REGISTRO delle ATTIVITA’ di TRATTAMENTO DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati contenuto e tempistiche accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità effettivo e inequivocabile

DIRITTO ALLA PORTABILITA’ dei DATI DATI trattati sulla base del CONSENSO o di un CONTRATTO DATI trattati con STRUMENTI AUTOMATIZZATI DATI PERSONALI e forniti CONSAPEVOLMENTE ricevere i dati trattati da un titolare e conservarli su un supporto personale / trasmettere i dati direttamente da un titolare all’altro

… ACCOUNTABILITY  … adozione di COMPORTAMENTI PROATTIVI da parte del TITOLARE e del RESPONSABILE del TRATTAMENTO… ARTICOLO 32 « … il TITOLARE del TRATTAMENTO e il RESPONSABILE del TRATTAMENTO mettono in atto MISURE TECNICHE e ORGANIZZATIVE ADEGUATE per garantire un livello di sicurezza ADEGUATO AL RISCHIO … »

… ACCOUNTABILITY RISCHIO MISURE di SICUREZZA MONITORAGGIO AGGIORNAMENTO  

REVISIONE / AGGIORNAMENTO MODULISTICA … ADEMPIMENTI 1 MAPPATURA dei DATI TRATTATI e dei TRATTAMENTI effettuati 2 INDIVIDUAZIONE dei SOGGETTI titolare, interessato, responsabile, DPO e designato 3 REVISIONE / AGGIORNAMENTO MODULISTICA informative, contratti e lettere di nomina 4 VALUTAZIONE dei RISCHI se rischio elevato VALUTAZIONE di IMPATTO  

DATA BREACH NOTIFICATION … ADEMPIMENTI 5 INDIVIDUAZIONE delle MISURE TECNICHE e ORGANIZZATIVE ADEGUATE 6 PREDISPOSIZIONE della DOCUMENTAZIONE registro delle attività di trattamento, procedure e policy, modello organizzativo 7 INFORMAZIONE e FORMAZIONE 8 DATA BREACH NOTIFICATION registro delle violazioni  

Il GDPR e le associazioni senza scopo di lucro Innanzitutto, si applica il GDPR? Sì! Considerando 5 e Articolo 4 confermano che per «titolare del trattamento» devono intendersi certamente anche le associazioni (incluse, dunque, le onlus ed i partiti politici) Inoltre… Art. 4: «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

Il GDPR e le associazioni senza scopo di lucro Una disciplina ad hoc per i dati particolari

APPARTENENZA SINDACALE DATI PARTICOLARI ORIGINE RAZZIALE o ETNICA OPINIONI POLITICHE CONVINZIONI RELIGIOSE o FILOSOFICHE APPARTENENZA SINDACALE DATI GENETICI DATI BIOMETRICI DATI relativi alla SALUTE DATI relativi alla VITA SESSUALE DATI relativi all’ORIENTAMENTO SESSUALE Rivediamo quali sono…

Il GDPR e le associazioni senza scopo di lucro LE DEROGHE AL DIVIETO GENERALE DI TRATTAMENTO DEI DATI PARTICOLARI quando c’è il consenso; quando il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; quando il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato; il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

Il GDPR e le associazioni senza scopo di lucro MA ATTENZIONE AI DATI GIUDIZIARI! Prima: sulla base dell'autorizzazione generale al trattamento dei dati giudiziari rilasciata dal Garante per la protezione dei dati personali (Autorizzazione Generale n. 7/2016) per il trattamento di dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza per finalità assistenziali e/o di volontariato. Oggi: Il GDPR prevede che il trattamento di dati personali relativi a condanne penali, reati o misure di sicurezza sia soggetto all’autorizzazione degli Stati Membri. Cosa ha fatto l’Italia?

Il GDPR e le associazioni senza scopo di lucro Decreto Legislativo n. 101/2018 - Art. 2-octies «[…] solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le liberta' degli interessati. 2. In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché' le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante. 3. Fermo quanto previsto dai commi 1 e 2, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza e' consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: […]»

Il GDPR e le associazioni senza scopo di lucro «MARKETING» SOCIALE: SERVE IL CONSENSO? Considerando 47 «[…] Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.» Domande: E’ marketing? Possiamo fondarlo davvero sul legittimo interesse? Quale è l’approccio del Garante in Italia? Ciò detto, come metterlo in pratica?

Il GDPR e le associazioni senza scopo di lucro «MARKETING» SOCIALE: SERVE IL CONSENSO? Come metterlo in pratica?   «Ricevi questa comunicazione in quanto sostenitore, donatore o associato che ha precedentemente stabilito un contatto con la sede centrale dell’Ente o con le realtà territoriali riconducibili ad esso. Se non vuoi più ricevere inviti a eventi organizzati o promossi dall’Ente e/o altri contenuti e messaggi sul tema dell'asilo connessi alle attività dell’Ente, puoi opporti a tale trattamento scrivendo a mail@ente.org oppure cliccando qui.»

Il GDPR e le associazioni senza scopo di lucro ASSOCIAZIONE DI ASSISTENZA A RICHIEDENTI ASILO Data Processing Agreement Informativa Privacy per gli assistiti Footer e-mail (con diritto di opt-out) Istruzioni agli incaricati Modulo per il consenso

Il GDPR e le associazioni senza scopo di lucro ASSOCIAZIONE CHE COMPIE AZIONI DI SENSIBILIZZAZIONE SU TEMI LEGATI ALL’IMMIGRAZIONE Consenso? Come gestire le questioni legate alla messa a disposizione dell’informativa? Se sì, come ottenere il consenso e tenerne traccia? Va garantito il diritto alla cancellazione? Accordi con terze parti e questioni legate alla proprietà intellettuale Come gestire i rapporti con i minori?

Il GDPR e le associazioni senza scopo di lucro Finalmente… Q&A session!

GRAZIE PER L’ATTENZIONE! Avv. Simona Custer Avv. Marta Colonna Avv. Valerio Natale