«Law Enforcement Directive» e D.lgs. 51/18

Slides:



Advertisements
Presentazioni simili
Disposizioni Sanzionatorie Antiriciclaggio disposizioni 3 direttiva.
Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Un Sikh si presenta ai controlli di sicurezza dell’aeroporto indossando il turbante. Non si sottrae ovviamente al passaggio sotto il metal detector, ma.
Fonti del diritto amministrativo
Riforma Professioni Società
Il contratto di lavoro part-time
Internal Market Information
LE ATTIVITA’ DI CONTROLLO ALL’INTERNO DELL’ENTE LOCALE
La Direttiva Bolkestein
Il contratto di lavoro intermittente
La cittadinanza europea: problemi e prospettive
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Assemblea dei Presidenti
Il Regolamento Europeo n. 679/2016: evoluzione
Il procedimento amministrativo è
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
Riconoscimento delle qualifiche professionali PROFESSIONE DOCENTE
Profili giuridici delle nuove tecnologie didattiche:
FONTI DEL DIRITTO.
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
TRACCIABILITA’ E SANZIONI
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (6)
1 Il ricorso straordinario al Presidente della Repubblica è un rimedio: A-Alternativo al ricorso giurisdizionale. B-Pregiudiziale al ricorso giurisdizionale.
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
La fiscalità internazionale nel D. L
Dichiarazione dei diritti dell’uomo e del cittadino 1789 Art. 1 – Gli uomini nascono e rimangono liberi e uguali nei diritti. Le distinzioni sociali.
Diritti della Personalità
GIORNATA DELLA TRASPARENZA 2016
FONTI DEL DIRITTO.
Il sistema europeo per la protezione dei diritti fondamentali
DIRITTO DELL’UNIONE EUROPEA I diritti fondamentali
DIRITTO DELL’UNIONE EUROPEA
DIRITTO DELL’UNIONE EUROPEA Il ricorso per annullamento
Il ricorso di annullamento artt TFUE
© All rights reserved – Sara De Vido. 2017
Introduzione al nuovo Regolamento Generale sulla protezione dei dati
Aggiornato al D. Lgs. n. 185 del 2016
Struttura della Costituzione
Il Regolamento Generale sulla Protezione dei Dati personali
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
GDPR – I “nuovi” diritti dell’interessato
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
FORMAZIONE LAVORATORI CON HANDICAP INTELLETTIVO E PSICHICO
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
 PROTOCOLLO DI INTESA tra Il Ministro per la pubblica amministrazione e l’innovazione e il Ministro della Giustizia per l’ innovazione digitale.
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
IL DIRITTO ALLA PRIVACY
Unlocking Children’s Rights
Giugno 2018 Relatore: dott. POTITO L. IASCONE
IL DIRITTO ALLA PRIVACY
NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,
LA TUTELA DELLA PRIVACY
ETICA E DEONTOLOGIA SEGRETO PROFESSIONALE E RISERVATEZZA
Fonti Legge 30 novembre 2017, n. 179 (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza.
I PNR e il dilemma tra privacy e sicurezza: il
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a
Aspetti normativi del D.Lvo n. 196 del 2003
FONTI DEL DIRITTO.
Sentenza «Taricco» (C-105/14)
L’irretroattività delle norme parasostanziali
Regolamento ue 2016/679 trattamento dei dati personali
DIRETTIVA 2016/ LUGLIO 2016.
“Aiuti di Stato e Leader”
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

«Law Enforcement Directive» e D.lgs. 51/18 Avv. Giuseppe Vaciago Torino – E-Privacy 6 giugno 2019

I principi del D.lvo 51/18 Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali Il modello di tutela nel settore pubblico: (i) la vita privata dell’individuo deve svolgersi al riparo da intromissioni esterne; (ii) tali intromissioni possono essere giustificate solo in presenza di un pubblico interesse individuato da una legge; (iii) le misure in cui si concretizza questa intromissione devono essere necessarie (non possono essere sostituite da altre misure meno intrusive) e specifiche (devono essere controllabili) rispetto al perseguimento del pubblico interesse. Art. 12 della Dichiarazione universale dei diritti dell’uomo approvata dall’Assemblea generale dell’ONU il 10 dicembre 1948: «Nessun individuo potrà essere sottoposto a interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione. Ogni individuo ha diritto a essere tutelato dalla legge contro tali interferenze o lesioni» L’art. 8 della Convenzione europea sui diritti dell’uomo, approvata a Roma il 4 novembre 1950, afferma: «Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui»

Il dubbio applicativo del D.lvo 51/18 All’art. 1 comma 3, si dice che il presente decreto non si applica ai trattamenti di dati personali: effettuati nello svolgimento di attività concernenti la sicurezza nazionale o rientranti nell'ambito di applicazione del titolo V, capo 2 (Disposizioni specifiche sulla politica estera e di sicurezza comune), del trattato sull'Unione europea e per tutte le attività che non rientrano nell'ambito di applicazione del diritto dell'Unione europea; effettuati da istituzioni, organi, uffici e agenzie dell'Unione europea Ma al comma 2 si dice che: Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Art. 42, comma 4 - Sanzione amministrativa da 50.000 a 150.000 euro Le sanzioni amministrative ai sensi del D.lvo 51/18 Art. 42, comma 1 - Sanzione amministrativa da 50.000 a 150.000 euro per la violazione degli: • obblighi del titolare del trattamento e del responsabile in merito: Art. 3, co. 1, lett. a),b),d),e), f), (principi generali) Art. 4, co. 2 e 3 (conservazione e qualità dei dati) Art. 6, co.3 e 4 (Condizioni specifiche di trattamento) Art. 7 (Categorie particolari di dati) Art. 8 (Processo decisionale automatizzato relativo alle persone fisiche) Trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34 Art. 42, comma 4 - Sanzione amministrativa da 50.000 a 150.000 euro per la violazione: • obblighi del titolare del trattamento e del responsabile in merito: • Art. 14, co. 2 (limitazione diritti interessato) • Art. 17, co. 2 (contitolarità) • Art. 18, co. 1,2,3 e 4 e 19 (responsabile trattamento) • Art. 20 (registri delle attività di trattamento) • Art. 21 (conservazione e richiamo al decreto) • Art. 22 (cooperazione con il Garante) • Art. 23 (valutazione d'impatto sulla protezione dei dati) • Art. 24, commi 1 e 4 (consultazione preventiva del Garante) • Art. 26 (notifica al Garante di un data breach) • Art. 27 (comunicazione del data breach all’interessato) • Art. 28, commi 1 e 4 (designazione DPO) • Art. 29, comma 2 (posizione del DPO)

Le categorie di dati Art. 4 Conservazione e verifica della qualità dei dati, distinzione tra categorie di interessati e di dati Il titolare del trattamento, tenuto conto della finalità del trattamento e per quanto possibile, distingue i dati personali in relazione alle diverse categorie di interessati previste dalla legge e i dati fondati su fatti da quelli fondati su valutazioni. La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti; testimoni. Le autorità competenti adottano misure adeguate a garantire che i dati personali inesatti, incompleti o non aggiornati non siano trasmessi o resi disponibili. Quando risulta che i dati personali sono stati trasmessi illecitamente o sono inesatti, il destinatario ne è tempestivamente informato. In tal caso, i dati personali devono essere rettificati o cancellati o il trattamento deve essere limitato a norma dell'articolo 12.

Processo decisionale automatico Art. 8 (Processo decisionale automatizzato relativo alle persone fisiche) Sono vietate le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producono effetti negativi nei confronti dell'interessato, salvo che siano autorizzate dal diritto dell'Unione europea o da specifiche disposizioni di legge. Le disposizioni di legge devono prevedere garanzie adeguate per i diritti e le libertà dell'interessato. In ogni caso è garantito il diritto di ottenere l'intervento umano da parte del titolare del trattamento. Le decisioni di cui al comma 1 non possono basarsi sulle categorie particolari di dati personali di cui all’articolo 9 del regolamento UE, salvo che siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e dei legittimi interessi dell'interessato. Fermo il divieto di cui all'articolo 21 della Carta dei diritti fondamentali dell'Unione europea, e' vietata la profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 9 del regolamento UE.

Il Framework internazionale Carta etica europea sull'uso dell'intelligenza artificiale (IA) nei sistemi giudiziari e in ambiti connessi (CEPEJ Council of Europe European Commission for the efficiency of justice) L'uso di strumenti e servizi di AI nei sistemi giudiziari: 1. E' volto a migliorare l'efficienza e la qualità della giustizia e merita di essere incoraggiato 2. Deve avvenire in modo responsabile, nel rispetto dei diritti fondamentali (Cedu) e Convenzione n. 108 3. Deve certificare la provenienza dei dati trattati 4. Deve garantire trasparenza delle metodologie e delle tecniche utilizzate nel trattamento delle decisioni giudiziarie 5. Deve garantire l'intervento umano (rectius giudice) Dichiarazione del Comitato dei MInistri del Consiglio d'Euroa sulle capacità manipolatorie del processo algoritmico (adottata il 13 febbraio 2019) a) andare oltre la protezione del dato, ma più verso la tutela dei diritti fondamentali in senso più ampio b) garantire che le decisioni non vengano inflenzate da inaccettabili manipolazioni del dato c) promuovere le "critical digital literacy skills" e la conoscenza pubblica sulla manipolazione del dato

La realtà nazionale

Le sanzioni amministrative ai sensi del D.lvo 51/18 nel dettaglio Art. 21 (conservazione e richiamo al decreto) 1. Le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati, sono registrate in appositi file di log, da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2. 2. Le registrazioni delle operazioni di cui al comma 1 debbono consentire di conoscere i motivi, la data e l'ora di tali operazioni e, se possibile, di identificare la persona che ha eseguito le operazioni e i destinatari. 3. Le registrazioni sono usate ai soli fini della verifica della liceità del trattamento, per finalità di controllo interno, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito di procedimenti penali. 4. Su richiesta e fatto salvo quanto previsto dall'articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento mettono le registrazioni a disposizione del Garante. Art. 5 comma 2 (liceità del trattamento) Con decreto del Presidente della Repubblica, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, sono individuati, per i trattamenti o le categorie di trattamenti non occasionali di cui al comma 1: (I) i termini, ove non già stabiliti da disposizioni di legge o di regolamento; (ii) le modalità di conservazione dei dati, (iii) i soggetti legittimati ad accedervi, (iv) le condizioni di accesso, (v) le modalità di consultazione, nonché (vi) le modalità e le condizioni per l'esercizio dei diritti di cui agli articoli 9, 10, 11 e 13. I termini di conservazione sono determinati in conformità ai criteri indicati all'articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalità perseguite.

La DPIA….? Artt. 23 (valutazione d'impatto sulla protezione dei dati) e 24 (consultazione preventiva del Garante) 1. Se il trattamento, per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali. 2. La valutazione di cui al comma 1 contiene una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e il rispetto delle norme del presente decreto.

La DPIA….? Artt. 23 (valutazione d'impatto sulla protezione dei dati) e 24 (consultazione preventiva del Garante)

La DPIA….? Artt. 23 (valutazione d'impatto sulla protezione dei dati) e 24 (consultazione preventiva del Garante)

Misure di sicurezza Artt. 23 (valutazione d'impatto sulla protezione dei dati) e 24 (consultazione preventiva del Garante)

Il Data Breach Artt. 26 (notifica al Garante di un data breach) 1. Salvo quanto previsto dall'articolo 37, comma 6, in caso di violazione di dati personali, il titolare del trattamento notifica la violazione al Garante con le modalità di cui all'articolo 33 del regolamento UE. 2. Se la violazione dei dati personali riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, le informazioni previste dal citato articolo 33 del regolamento UE sono comunicate, senza ingiustificato ritardo, al titolare del trattamento di tale Stato membro. Art. 27 (comunicazione del data breach all’interessato) 1. Quando la violazione di dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, si osservano le disposizioni in tema di comunicazioni di cui all'articolo 34 del regolamento UE. 2. La comunicazione all'interessato di cui al comma 1 può essere ritardata, limitata od omessa alle condizioni e per i motivi di cui all'articolo 14, comma 2.

Registro del trattamento Art. 20 (Registri delle attività di trattamento) 1. I titolari del trattamento tengono un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità. Tale registro contiene le seguenti informazioni: il nome e i dati di contatto del titolare del trattamento e, se previsti, di ogni contitolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi o presso organizzazioni internazionali; una descrizione delle categorie di interessati e delle categorie di dati personali; se previsto, il ricorso alla profilazione; se previste, le categorie di trasferimenti di dati personali verso un Paese terzo o verso organizzazioni internazionali; un'indicazione del titolo giuridico del trattamento cui sono destinati i dati personali, anche in caso di trasferimento; ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati personali; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 25, comma 1.

Le sanzioni penali ai sensi del D.lvo 51/18 Art. 43, comma 1, Trattamento illecito di dati 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 5, comma 1 (liceità del trattamento), è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi o, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni. Da 6 mesi a 1 anno e 6 mesi e da 6 mesi a 2 anni (in caso di diffusione) Art. 43 comma 2, Trattamento illecito di dati Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 7 (trattamento di categorie particolari di dati) o dall'articolo 8, comma 4 (profilazione finalizzata alla discriminazione di persone fisiche), è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Da 1 a 3 anni Art. 44, Falsità in atti e dichiarazioni al Garante Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all'articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. Da 6 mesi a 3 anni Art. 45, Inosservanza di provvedimenti del Garante Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all'articolo 1, comma 2, è punito con la reclusione da tre mesi a due anni. Da 3 mesi a 2 anni

GRAZIE! giuseppe.vaciago@replegal.it