FORMAZIONE SUL NUOVO REGOLAMENTO GDPR REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI (UE 679/2016)
Comitato HR - Renault Confidential C AGENDA GDPR IL NUOVO REGOLAMENTO GDPR E RRG Comitato HR - Renault Confidential C
GDPR E IL NUOVO REGOLAMENTO
DALLA DIRETTIVA DEL 1995 AL NUOVO REGOLAMENTO EUROPEO (GDPR) 01 GDPR IL NUOVO REGOLAMENTO PROTEZIONE DATI PERSONALI: EVOLUZIONE QUADRO NORMATIVO DALLA DIRETTIVA DEL 1995 AL NUOVO REGOLAMENTO EUROPEO (GDPR) Maggiore responsabilità delle società (Accountability) Sanzioni più pesanti Aumento diritti persone interessate Incremento adempimenti Protezione dati personali Codificazione pratiche contrattuali
PERCHÉ UN REGOLAMENTO EUROPEO? 01 GDPR IL NUOVO REGOLAMENTO PROTEZIONE DATI PERSONALI: EVOLUZIONE QUADRO NORMATIVO PERCHÉ UN REGOLAMENTO EUROPEO? RAFFORZARE i diritti degli individui, in particolare creando nuovi diritti (come ad esempio il diritto alla portabilità del dato) e specificando protezioni particolari per i minori RESPONSABILIZZARE gli attori che operano sui dati (responsabili e subappaltatori) RENDERE PIÙ CREDIBILE il regolamento attraverso una cooperazione rafforzata tra tutte le Autorità per la Protezione dei Dati, in particolare in modo che possano adottare decisioni congiunte quando il trattamento dei dati è transnazionale o attuare maggiori sanzioni Avere un QUADRO GIURIDICO UNIFICATO per l'intera Unione europea
PROTEZIONE DATI PERSONALI: NOZIONI 01 GDPR IL NUOVO REGOLAMENTO PROTEZIONE DATI PERSONALI: NOZIONI COS’È UN DATO PERSONALE? Qualsiasi informazione che consenta di identificare una persona fisica (persona interessata) direttamente o indirettamente PERSONA INTERESSATA Cliente, prospect, dipendente, utente del veicolo, proprietario del veicolo, persone fisiche con Partita Iva e ditte individuali Identità, Nome, Cognome, IPN, telaio, e-mail Informazioni Finanziarie Reddito, situazione fiscale Dati di connessione Indirizzo IP, cookies, logs Vita Privata Famiglia, abitudini di vita Dati sensibili Orientamenti politici e religiosi, appartenenza ad organizzazioni sindacali, dati genetici e su stato di salute e vita sessuale Vita Professionale CV, certificazioni, professione Dati di localizzazione Dati GPS Mosaique Anonymisation VS pseudonimisation
CHI SONO I SOGGETTI INTERESSATI? 01 GDPR IL NUOVO REGOLAMENTO PROTEZIONE DATI PERSONALI: NOZIONI CHI SONO I SOGGETTI INTERESSATI? Dipendente Rappresentante commerciale Utente Cliente Visitatore Prospect Conducente
PROTEZIONE DATI PERSONALI: NOZIONI 01 GDPR IL NUOVO REGOLAMENTO PROTEZIONE DATI PERSONALI: NOZIONI CHE COS’È UN TRATTAMENTO? Qualsiasi operazione eseguita sui dati personali, incluse quelle da remoto, effettuata sia con mezzi manuali che automatici Raccolta Registrazione Blocco Conservazione Modifica Hosting Uso Comunicazione Diffusione Deletion Organizzazione Consultazione Altro
PROTEZIONE DATI PERSONALI: NOZIONI 01 GDPR IL NUOVO REGOLAMENTO PROTEZIONE DATI PERSONALI: NOZIONI TITOLARE DEI DATI / RESPONSABILE DEI DATI QUAL È LA DIFFERENZA? TITOLARE DATI PERSONALI la persona fisica o giuridica che, da sola o in collaborazione con altri, determina le finalità e i mezzi del trattamento di dati personali RESPONSABILE DATI PERSONALI la persona fisica o giuridica che tratta dati personali per conto del Titolare dei dati CONTITOLARE DATI PERSONALI quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento
ADEMPIMENTI: REGISTRO DEI TRATTAMENTI 01 GDPR IL NUOVO REGOLAMENTO ADEMPIMENTI: REGISTRO DEI TRATTAMENTI Tutti i Titolari e i Responsabili di trattamento - tranne le società con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (es. dati sensibili o giudiziari) - devono tenere un registro delle operazioni di trattamento con le informazioni indicate nell’Art. 30 del GDPR. Il registro può essere in forma cartacea o elettronica e deve essere esibito al Garante, su richiesta di quest’ultimo. Il Garante sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli Titolari potranno integrare nei modi opportuni.
ADEMPIMENTI: NOTIFICA DI VIOLAZIONE DI DATI PERSONALI 01 GDPR IL NUOVO REGOLAMENTO ADEMPIMENTI: NOTIFICA DI VIOLAZIONE DI DATI PERSONALI Il Titolare del trattamento dovrà notificare all‘Autorità Garante le violazioni di dati personali di cui venga a conoscenza entro 72 ore, e comunque "senza ingiustificato ritardo". La notifica non è obbligatoria e va fatta solo se il Titolare ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo«, fatta eccezione per i casi in cui GDPR esclude tale obbligo di informazione.
ADEMPIMENTI: DPO DATA PRIVACY OFFICER 01 GDPR IL NUOVO REGOLAMENTO ADEMPIMENTI: DPO DATA PRIVACY OFFICER La designazione del RESPONSABILE DELLA PROTEZIONE DEI DATI è obbligatoria solo nei casi determinati dal GDPR. Fra i compiti del DPO rientrano la sensibilizzazione e la formazione del personale e il controllo del rispetto del GDPR. Sono disponibili sul sito dell’Autorità Garante (http://www.garanteprivacy.it/rpd) alcune linee-guida unitamente alle relative FAQ (Domande e Risposte frequenti).
DIRITTI PERSONE INTERESSATE: QUALI SONO? 01 GDPR IL NUOVO REGOLAMENTO DIRITTI PERSONE INTERESSATE: QUALI SONO? Opporsi al trattamento (es. finalità mktg) Ricevere informativa con indicazione finalità trattamento Chiedere cancellazione dati personali Aggiornare, modificare, correggere i dati personali Non essere sottoposto a decisione basata solo sul trattamento automatizzato dei dati compresa la profilazione Ottenere conferma che sia o meno in corso un trattamento dati personali NUOVI DIRITTI Diritto di ricevere copia dati forniti e chiedere che tali dati siano trasmessi ad altro titolare (portabilità) Diritto più articolato ed esteso in tema di limitazione utilizzo dati personali Message: droits des personnes doivent être effectifs techniquement. Gli interessati hanno il diritto di esercitare un controllo totale sui propri dati personali
01 GDPR IL NUOVO REGOLAMENTO SANZIONI Sanzioni fino a EUR 10 000 000 o fino al 2 % del fatturato totale mondiale esercizio precedente Sanzioni fino a EUR 20 000 000 o fino al 4 % del fatturato totale mondiale annuo esercizio precedente Inosservanza dell'obbligo di disporre di Responsabili che forniscano sufficienti garanzie per proteggere i dati personali; Violazioni della sicurezza; Mancata nomina del cd. «Data Privacy Officer» ove obbligatorio per legge; Mancata previsione di una valutazione d'impatto preliminare nei casi previsti Inosservanza dei principi applicabili ai dati sensibili; Violazione dei diritti dell'interessato (diritto di accesso, diritto di rettifica ecc.) Mancato rispetto delle condizioni applicabili ai trasferimenti di dati al di fuori dell'UE.
RRG E GDPR
COME CI STIAMO PREPARANDO? 02 RRG E GDPR COME CI STIAMO PREPARANDO? DA GENNAIO ABBIAMO INIZIATO A MAPPARE TUTTI I PROCESSI AZIENDALI CON IMPATTI SUL TRATTAMENTO DEI DATI PERSONALI, COORDINATI DA UNO STUDIO DI CONSULENZA CENTRALE (DELOITTE) E UN UFFICIO LEGALE ITALIANO (CMS), AL FINE DI: verificare il GAP tra i trattamenti Italiani e quelli del resto dei paesi del gruppo RRG verificare il livello di compliance (conformità) di questi trattamenti rispetto al cambio di normativa identificare le azioni necessarie al raggiungimento della compliance degli stessi con la normativa
COME CI STIAMO PREPARANDO? 02 RRG E GDPR COME CI STIAMO PREPARANDO? COME STA AVVENENDO LA MAPPATURA DI TUTTI I TRATTAMENTI DEI DATI PERSONALI (INFORMATICI E CARTACEI)? interviste fatte da IT+Studio Legale (CMS) ai soggetti interessati (Business) interviste/richieste di informazioni alle società esterne che hanno accesso ai dati (es: Terranova) verifica delle misure di sicurezza adottate verifica di ogni ulteriore elemento rilevante ai fini «privacy» (es. tempi di conservazione, richieste di consenso, rispetto dei diritti degli interessati…)
DAL RISULTATO DELL’ANALISI DELLA MAPPATURA PASSEREMO A: 02 RRG E GDPR COME cI STIAMO PREPARANDO? DAL RISULTATO DELL’ANALISI DELLA MAPPATURA PASSEREMO A: Individuazione di eventuali non conformità rispetto al GDPR e conseguente rivisitazione del processo di trattamento dati in questione; Rivisitazione della documentazione legale (es. aggiornamento di tutte le informative al trattamento dei dati personali per clienti, dipendenti ed altri soggetti interessati, delle relative richieste di consenso, ridefinizione di tutti gli accordi con i fornitori che trattano dati personali onde assicurare il rispetto da parte di questi ultimi di tutte le norme applicabili previste dal GDPR, ecc.); Rivisitazione delle misure di sicurezza, ove necessario. Redazione del Registro dei trattamenti (che conterrà tutti i processi in essere e che andrà aggiornato negli anni a seguire con tutti i futuri trattamenti ecco perché il tema della privacy diventerà una costante e non è circoscritto soltanto a questo momento storico)
Modus operandi per il futuro Modus operandi per il futuro 02 RRG E GDPR IMPATTO SULLA VITA LAVORATIVA: QUALI CAMBIAMENTI? Modus operandi per il futuro Modus operandi per il futuro Il progetto / l’applicazione comporta il trattamento di dati personali? SI Richiedere e Compilare un’apposita scheda, con il supporto del Servizio Legale ed IT, indicando: Basi legali Finalità Tipo di informazione Accessi Luogo di archiviazione Tempi di conservazione dei dati Applicare nella nostra organizzazione i principi del GDPR: implementare nuove procedure interne con l’obiettivo di agevolare la corretta applicazione dei principi del GDPR Informare IT e Servizio legale in caso di dubbi e/o domande