POWER POINT ILLUSTRATIVO SULLE NUOVE NORME EUROPEE SULLA PRIVACY

Slides:



Advertisements
Presentazioni simili
La nuova Classificazione dei rifiuti Seminario DPT Politiche Ambientali 30 luglio 2015.
Advertisements

Unità d’apprendimento
Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
PRIVACY Il principio di accountability e la gestione dei processi per la compliance al RegolamentoUE ROMA – PRIVACY DAY OTTOBRE 2016 ANDREA CHIOZZI.
Il contratto di lavoro part-time
La Direttiva Bolkestein
Il contratto di lavoro intermittente
Sciopero nei servizi pubblici essenziali
(servizi di interesse economico generale)
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Internazionalizzazione – Ricerca – Innovazione - Sviluppo
Assemblea dei Presidenti
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
IL DISTACCO EUROPA e ITALIA
Profili giuridici delle nuove tecnologie didattiche:
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
COMUNICAZIONE ISTITUZIONALE l’Ufficio Relazioni con il Pubblico
TRACCIABILITA’ E SANZIONI
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (6)
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
IL SISTEMA DI VALUTAZIONE DELLA PERFORMANCE della PROVINCIA DI PAVIA
SEZIONE: diritto amministrativo. Seminari
Responsabile Funzione Impianti
La legge n. 287 del 1990 l’art. 1: Il richiamo all’art. 41 della Costituzione I rapporti con il diritto comunitario: l’ambito oggettivo di applicazione.
GIORNATA DELLA TRASPARENZA 2016
DIRITTO DELL’UNIONE EUROPEA
DIRETTIVA mifid II NOVEMBRE 2017.
Regio decreto legge  , n. 375 (16 marzo 1936, n. 63)
L’analisi del profilo di rischio antiriciclaggio
Consulenza legale, fiscale e strategica alle imprese
TRANSFER PRICING: NUOVI ONERI DI DOCUMENTAZIONE
Introduzione al nuovo Regolamento Generale sulla protezione dei dati
IL LAVORO AGILE Aggiornato alla L. n. 81 del 22 maggio 2017 e alla Direttiva del Presidente del Consiglio dei Ministri 1 giugno 2017, n. 3 Per informazioni.
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Il nuovo Regolamento Generale UE 2016/679
GDPR – I “nuovi” diritti dell’interessato
competenza esclusiva statale competenza residuale regionale
A cura del Dr. Roberto FALCO Ha collaborato Giorgio PAOLUCCI
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
IL COMMERCIO ELETTRONICO (E-COMMERCE)
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
I Profili Fiscali della Gestione del Patrimonio dell’Incapace
CREDITO DI IMPOSTA PER LE SPESE DI FORMAZIONE industria 4.0.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
Cartella Clinica Parmenide ver e successive
Bullismo e cyberbullismo Obblighi ed iniziative previsti dalla legge per la prevenzione ed il contrasto del fenomeno da parte delle Scuole.
Leggi, teoria e pratica.
BROCHURE COMPLIANCE.
Audizione di AGENS presso la Camera dei Deputati
LA CULTURA DELLA GESTIONE E PROTEZIONE DEI DATI PERSONALI Servizio RPD
IL DIRITTO ALLA PRIVACY
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
Il Piano Didattico Personalizzato
IMPRENDITORE.
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a
Aspetti normativi del D.Lvo n. 196 del 2003
Le strutture organizzative del
Le informazioni privilegiate e il ritardo nella loro comunicazione
L’immagine ed il contratto
Regolamento ue 2016/679 trattamento dei dati personali
DIRETTIVA 2016/ LUGLIO 2016.
FORMAZIONE SUL NUOVO REGOLAMENTO GDPR REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI (UE 679/2016)
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
diritto della comunicazione pubblica
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

POWER POINT ILLUSTRATIVO SULLE NUOVE NORME EUROPEE SULLA PRIVACY SIA SICUREZZA INFORMATICA AVANZATA Affidati a NOI per la sicurezza della tua azienda POWER POINT ILLUSTRATIVO SULLE NUOVE NORME EUROPEE SULLA PRIVACY Via Pizzoferrato, 1 Tel. 085 422 5225 Email: 3siasrl@gmail.com PETD010008 Partita IVA:00000002708

NUOVE DIRETTIVE EUROPEE SULLA PRIVACY

La “privacy europea”, il Regolamento UE 2016/679 A distanza di diciannove anni dall'entrata in vigore della prima legge italiana in materia di privacy(8 maggio 1997), lo scorso 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, il quale entrerà in vigore il prossimo 25 maggio. Gli Stati membri hanno due anni per adeguare le proprie normative interne nonché, le aziende, per essere sensibilizzate alle novità introdotte. Dal punto di vista delle persone fisiche la nuova normativa si applicherà a tutti i soggetti presenti nell'UE anche quando, sebbene l'azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi l'offerta di beni o la prestazione di servizi ai soggetti interessati o il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all'interno dell'UE.  Per concludere, il Regolamento: Riconosce il diritto all’oblio”, ovvero la possibilità per l'interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti. Stabilisce il diritto alla “portabilità dei dati”, in virtù del quale l’interessato ha il diritto di ricevere in un formato strutturato. sancisce il principio di "accountability", per cui il titolare dovrà dimostrare l'adozione di politiche privacy e misure adeguate in conformità al Regolamento. Introduce il principio della "privacy by design” nonché quello della "privacy by default".   Infine, per quanto concerne il "sistema sanzionatorio", il Regolamento ha aumentato l'ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

IL DOCUMENTO UFFICIALE 88 PAGINE!

GDPR, tutto ciò che c’è da sapere per essere in regola A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679 , noto come GDPR (General Data Protection Regulation) –relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.  A preoccupare sono, però, le disposizioni di ratio sostanzialmente opposte che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel GDPR. In qualche modo potrebbero sorgere contrasti tra il Regolamento e le leggi nazionali adottate per allinearsi alle nuove indicazioni.  Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa In estrema sintesi col GDPR: Si introducono regole più chiare su informativa e consenso; Vengono definiti i limiti al trattamento automatizzato dei dati personali; Poste le basi per l’esercizio di nuovi diritti; Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue; Fissate norme rigorose per i casi di vuolazionedei dati (data breach). Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue.

One stop shop Portabilità dei dati Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Le priorità operative sono tre: La designazione in tempi stretti del Responsabile della protezione dei dati; L’istituzione del Registro delle attività di trattamento; La notifica dei data breach. PORTABILITÀ Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di responsabilizzazione Data breach È, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale. Data breach Il titolare del trattamento dovrà comunicare eventuali violazioni  dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. Il primo adempimento da porre in essere per le imprese italiane è l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone: Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni; Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

La figura del DPO Responsabile della protezione dati Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Il Responsabile della protezione dei dati Riferisce direttamente al vertice E’indipendente non riceve istruzioni per quanto riguarda l’esecuzione dei compiti; Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission. In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.

I motivi del GDPR Privacy e trasparenza del GDPR Tra le molte novità, il GDPR potrà aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse.  Perché il GDPR è un investimento necessario per il futuro di aziende Le imprese devono considerare l’attuazione del GDPR non come un costo ma come un investimento, Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale.

REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI

CONSENSO COSA CAMBIA Cosa NON cambia Per i dati “sensibili” (si veda art. 9 regolamento) il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. Cosa NON cambia Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del regolamento).

INFORMATIVA Contenuti Tempi I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: Se il trattamento comporta processi decisionali automatizzati ,l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato. Tempi Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati. Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici

Diritti degli interessati COSA CAMBIA Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. •Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso • La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro. Cosa NON cambia ll titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (art. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni (si veda il paragrafo “Cosa cambia”). Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee • Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/”oblio”, art. 83 - trattamenti di natura giornalistica e art. 89 - trattamenti per finalità di ricerca scientifica o storica o di statistica). In questo senso, in via generale, possono continuare a essere applicate tutte le deroghe previste dall’art. 8, comma 2, del Codice in quanto compatibili con le disposizioni citate

Diritto di accesso Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. Diritto di Cancellazione (art.17) Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2). Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1).

Diritto di limitazione del trattamento (art.18) Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Diritto alla portabilità dei dati (art.20) Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico). • Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare (si veda il considerando 68 per maggiori dettagli). Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile

Titolare, Responsabile , incaricato del trattamento COSA CAMBIA disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente; fissa più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto –fornendo “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento; consente la nomina di sub-responsabili del trattamento da parte di un responsabile , per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile”

Titolare, Responsabile , incaricato del trattamento Cosa NON cambia prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO, nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell’Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27, paragrafo 3, del regolamento – diversamente da quanto prevede oggi l’art. 5, comma 2, del Codice. Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice italiano. Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”

Misure di accountability di titolari e responsabile Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili –). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design , ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

•Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative che il titolare ritiene di dover adottare per mitigare tali rischi. All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento. Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia. Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici:

Registro dei trattamenti Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Misure di Sicurezza Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell’Allegato “B” al Codice, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1, lettere c) ed e) del regolamento) potranno restare in vigore (in base all’art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti

Notifica delle violazioni di dati personali A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento. Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) è chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il Gruppo “Articolo 29”. Si ricorda, inoltre, che l’Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di trattamento secondo quanto prevede il regolamento. 

Responsabile della protezione dei dati Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento (si veda art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/ responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35. La sua designazione è obbligatoria in alcuni casi (si veda art. 37), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano art. 38 e 39) in termini che Gruppo “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ

Trasferimenti dei dati verso Paesi terzi e organismi internazionali In primo luogo, viene meno il requisito dell’autorizzazione nazionale (si vedano art. 45, paragrafo 1, e art. 46, paragrafo 2). Ciò significa che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura di cui all’art. 47 del regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante - a differenza di quanto attualmente previsto dall’art. 44 del Codice. Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento. • Il regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le “garanzie adeguate” previste dall’art. 46. Ciò significa che i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. Tuttavia (si vedano art. 40, paragrafo 3, e art. 42, paragrafo 2), tali titolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati. • Il regolamento vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (si veda art. 48). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all’art. 49. A tale riguardo, si deve ricordare che il regolamento chiarisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue (si veda art. 49, paragrafo 4) – e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.

Il regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme. L’elenco indicato al riguardo nel paragrafo 2 dell’art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori. Ad ogni modo, l’approvazione delle norme vincolanti d’impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento – ossia, è previsto in ogni caso l’intervento del Comitato europeo per la protezione dei dati (si veda art. 65, paragrafo 1, lettera d) ). Il regolamento (si veda Capo V) ha confermato l’approccio attualmente vigente in base alla direttiva 95/46 e al Codice italiano per quanto riguarda i flussi di dati al di fuori dell’Unione europea e dello spazio economico europeo, prevedendo che tali flussi sono vietati, in linea di principio, a meno che intervengano specifiche garanzie che il regolamento elenca in ordine gerarchico: In assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa - BCR, e clausole contrattuali modello) (si veda art. 44, comma 1, lettera a) del Codice); In assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (corrispondenti in parte alle disposizioni dell’art. 43, comma 1, del Codice). Le decisioni di adeguatezza sinora adottate dalla Commissione (livello di protezione dati in Paesi terzi, a partire dal Privacy Shield, e clausole contrattuali tipo per titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica (si vedano art. 45, paragrafo 9, e art. 96). Restano valide, conseguentemente, le autorizzazioni nazionali sinora emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione.

Attuare il GDPR è necessario per l’innovazione di aziende e PA PROTEZIONE DATI Attuare il GDPR è necessario per l’innovazione di aziende e PA Le imprese e le PA devono considerare l’attuazione del GDPR non come un coso ma come un investimento. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale colpisce l’atteggiamento che pare prevalere sia nella Pubblica Amministrazione che, soprattutto, nelle imprese verso la scadenza del 25 maggio per il GDPR. Ancora una volta sembra che la protezione dei dati personali e gli obblighi che ne derivano siano visti essenzialmente come adempimenti burocratici, fonte di ulteriori costi per garantire la tutela di un diritto, quello alla privacy, che molti considerano ormai sempre più difficile da tutelare di fronte a uno sviluppo tecnologico che considera i dati delle persone sempre più come una merce scambiabile sul mercato e utilizzabile per diverse finalità. Insomma, sembra prevalere l’idea che di fronte al nuovo GDPR l’obiettivo essenziale sia quello di contenere il più possibile i costi, limitando i rischi dei trattamenti solo al fine di evitare le sanzioni elevate che il GDPR prevede e che costituiscono per gli operatori economici la preoccupazione maggiore.

Il GDPR è anche un investimento La PA e le imprese devono considerare l’attuazione del GDPR non come un costo ma come un investimento essenziale per la tutela stessa della loro attività istituzionale e, per le aziende, della loro capacità di reggere alle sfide del mercato, anche ben oltre il rispetto del diritto. La nostra società vive sempre più grazie ai dati e ogni giorno di più non vi sarà ramo dell’attività produttiva e dei servizi che non sia coinvolto nelle attività di Big Data, di Data Analysis, di machine learning e, infine nell’uso molteplice e poliforme dell’intelligenza artificiale e dell’Internet delle cose. Da una parte atteggiamenti di chiusura pregiudiziale verso la protezione dei dati personali, considerata un costo burocratico che è bene cercare di contenere il più possibile. Dall’altra parte grandi promesse di sviluppo delle nostre società e delle nostre attività economiche, grazie a usi sempre più sofisticati e complessi dei dati accumulati nelle grandi banche Big Data, analizzati a costi sempre più contenuti, grazie a tecnologie che sviluppano capacità di calcolo sempre più elevate; e non solo, ovunque e in qualunque settore, dai servizi alla persona alla produzione di beni collettivi, ogni giorno sogniamo a occhi aperti le magnifiche sorti e progressive di una umanità che grazie alla IA e all’internt delle cose potrà avere un’aspettativa di vita sempre più lunga e servizi sempre più tarati sulle esigenze di ciascuno.

Intelligenza artificiale e internet delle cose Una situazione analoga si verifica quando si parla di robot, di Intelligenza artificiale, di algoritmi e di macchine intelligenti, capaci di raccogliere esse stesse dati dalla realtà in cui operano per metterli a confronto con quelli ricevuti in dotazione al fine di perseguire le finalità che i loro algoritmi prevedono. Sembra che molti non comprendano che tutto questo può funzionare solo a condizione che la qualità dei dati forniti alle macchine per analizzare la realtà in cui devono operare sia considerata fondamentale per garantire il buon funzionamento delle macchine stesse e fare delle nuove tecnologie una risorsa e non un pericolo per gli esseri umani. Dovrebbe essere invece chiaro a tutti che se una attività produttiva utilizza dati di cattiva qualità, sbagliati, non aggiornati, e, soprattutto, non adatti alle finalità per le quali si vogliono usare, tutta l’attività svolta è a rischio e i servizi forniti possono dimostrarsi scadenti, con tutte le conseguenze economiche che possono derivarne. Riguardo l’intelligenza artificiale e l’Internet delle cose dovrebbe essere chiaro a tutti che se gli algoritmi forniscono alle macchine “intelligenti” informazioni sbagliate, basate su dati inadeguati o non aggiornati, anche l’attività di analisi delle macchine rispetto alla realtà che le circonda può produrre effetti inadeguati o dannosi, con tutte le conseguenze economiche che possono derivarne per le persone e le imprese.

Una società sempre più basata sui dati È dunque assolutamente fondamentale garantire la qualità dei dati, il loro aggiornamento, la loro adeguatezza rispetto alle finalità da perseguire. Organizzare trattamenti e procedure basate sui dati per fornire, negare o organizzare servizi, richiede infatti una attenzione massima sia alla esattezza dei dati, che alla logica usata nel trattarli e ai rischi che i trattamenti possono comportare. Da quanto detto si può capire quanto sia importante già oggi, e sempre più lo sarà in futuro, proteggere i dati, assicurarsi della loro qualità rispetto alle finalità che si vogliono perseguire, analizzare i rischi che i loro trattamenti possono comportare, adottare le misure preventive necessarie per diminuire tali rischi. Per questo non si ripeterà mai abbastanza che rispettare il GDPR, e anzi applicarlo in modo proattivo, guardando anche oltre la stretta applicazione delle norme, è oggi per le imprese, e anche per la PA, l’investimento più importante da fare. La qualità dei dati deve sempre essere definita sulla base delle finalità per le quali essi sono trattati. Allo stesso tempo le finalità sono alla base delle modalità con le quali i dati sono usati e quindi dei loro trattamenti. Per questo attuare in modo proattivo il GDPR non è un costo ma un investimento, così come è evidente che lesinare sulla scelta degli esperti di protezione dei trattamenti dei dati di cui avvalersi è la scelta peggiore che possa fare oggi un imprenditore avveduto, un manager pubblico capace, un decisore che, a qualunque livello, debba assumersi la responsabilità di garantire il benessere dei suoi concittadini.

Affidati a NOI per la sicurezza della tua azienda Via Pizzoferrato, 1 Tel. 085 422 5225 Email: 3siasrl@gmail.com PETD010008 Partita IVA:00000002708