(REGOLAMENTO GENERALE PROTEZIONE DATI PERSONALI) KIT COMUNICAZIONE ALLA RETE SU GDPR: GENERAL DATA PROTECTION REGULATION (REGOLAMENTO GENERALE PROTEZIONE DATI PERSONALI) FOCUS SUL NUOVO REGOLAMENTO (DEADLINE 25 MAGGIO 2018) COSA HA FATTO LA RENAULT ITALIA (MODUS OPERANDI) RACCOMANDAZIONI/CONSIDERAZIONI/SUGGERIMENTI
Protezione dati personali : evoluzione del quadro NORMATIVO Dalla Direttiva del 1995 al nuovo Regolamento Europeo (GDPR) Maggiore responsabilità delle società (Accountability) Sanzioni più pesanti Aumento dei diritti delle persone Interessate Incremento degli adempimenti Protezione dei dati personali Codificazione delle pratiche contrattuali
proteZIONE DEI DATI PERSONALI: noZioni CHE COS’E’ UN DATO PERSONALE? Qualsiasi informazione che consenta di identificare una persona fisica (persona interessata) direttamente o indirettamente Persone interessate: Cliente, prospect, dipendente, utente del veicolo, proprietario del veicolo ecc. (N.B. solo persone fisiche incluse le persone fisiche con Partita Iva e ditte individuali) Identità Nome, cognome, identificativo IPN, telaio (**), e-mail ecc. Informazioni Finanziarie Reddito, situazione fiscale ecc. Vita Privata Famiglia, abitudini di vita ecc. Dati di connessione Indirizzo IP, cookies, logs ecc. Vita Professionale CV, certificazioni, professione ecc. Dati di localizzazione Dati GPS ecc. Dati sensibili Orientamenti politici e religiosi, appartenenza ad organizzazioni sindacali, dati genetici e relativi allo stato di salute (*) e alla vita sessuale ecc. (**) : il n. di telaio, se identifica indirettamente una persona interessata, é un dato personale (*): ogni dato legato ad una disabilità, malattia è un dato sensibile Mosaique Anonymisation VS pseudonimisation
CHI SONO I SOGGETTI INTERESSATI? proteZIONE DEI DATI PERSONALI: noZioni CHI SONO I SOGGETTI INTERESSATI? Dipendente Rappresentante commerciale Utente Cliente Visitatore Prospect Conducente
CHE COS’È UN TRATTAMENTO? proteZIONE DEI DATI PERSONALI: noZioni CHE COS’È UN TRATTAMENTO? Qualsiasi operazione eseguita sui dati personali, incluse quelle da remoto, effettuata sia con mezzi manuali che automatici Soprattutto: Raccolta Registrazione Blocco Conservazione Modifica Hosting Uso Comunicazione Diffusione Deletion Organizzazione Consultazione Ecc.
proteZIONE DEI DATI PERSONALI: noZioni TITOLARE DEI DATI/RESPONSABILE DEI DATI QUAL È LA DIFFERENZA? Titolare dei dati personali la persona fisica o giuridica che, da sola o in collaborazione con altri, determina le finalità e i mezzi del trattamento di dati personali Responsabile dei dati personali la persona fisica o giuridica che tratta dati personali per conto del Titolare dei dati Contitolari dei dati personali quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento
PRIVACY BY DESIGN: che Cos’ e’? APPROCCIO «PROATTIVO» ALLA PROTEZIONE DEI DATI GIA’ IN FASE DI PROGETTAZIONE Individuare la finalità per la quale viene effettuato il trattamento (es. esecuzione obblighi contrattuali, marketing ecc.) Applicare i principi relativi alla protezione dei dati (es. secondo il principio di necessità, bisogna trattare soltanto i dati strettamente necessari rispetto alla finalità individuata) Predisporre accordi con le società esterne che hanno accesso a dati personali dei soggetti interessati (es. Terranova, CDK Global, la società esterna/ il consulente esterno che elabora i cedolini stipendi dei dipendenti ecc.) Definire in tali accordi le responsabilità delle società esterne relativamente al rispetto degli obblighi previsti dal GDPR (es. obblighi di assumere adeguate misure di sicurezza) Conservare in azienda la documentazione che provi il rispetto degli obblghi previsti dal GDPR (es. archivio accordi con le società esterne, raccolta dei consensi dei soggetti interessati ecc.) Rispettare i diritti delle persone interessate (es. se un cliente chiede di esercitare il diritto di accesso, ovvero di ottenere la conferma o meno del trattamento di propri dati personali, il titolare dovrà fornire un riscontro scritto entro il termine massimo di 30 giorni dalla richiesta) MESSAGE: la conformité nécessite une méthodologie pour chacune de ces étapes avec pour chacune d’elle l’intervention d’un sachant (juriste DP ou relais métier).
GDPR: COSA BISOGNA FARE GDPR: COSA BISOGNA FARE ? APPLICARE I PRINCIPI IN MATERIA DI PROTEZIONE DEI DATI Raccogliere i dati in modo corretto, lecito e trasparente Trattare i dati nel limiti di finalità determinate, esplicite e legittime Raccogliere solo i dati necessari e pertinenti rispetto alle finalità Prevedere un tempo massimo di conservazione dei dati in funzione della finalità Implementare adeguate policy di sicurezza Dare un’adeguata informativa agli interessati e richiedere il consenso se previsto per legge
ADEMPIMENTI: QUALI SONO LE NOVITA’? VALUTAZIONE PRELIMINARE DI IMPATTO REGISTRO DEI TRATTAMENTI NOTIFICA DI UNA VIOLAZIONE DI DATI PERSONALI ALL’AUTORITA’ DI CONTROLLO CD. «DATA PROTECTION OFFICER»
ADEMPIMENTI FORMALI: QUALI SONO LE NOVITA’? VALUTAZIONE PRELIMINARE DI IMPATTO: COSA E’ ? Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (es. a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono trattati dati sensibili /giudiziari, o anche per una combinazione di questi e altri fattori), è necessario svolgere una valutazione preventiva di impatto. Le linee-guida del Gruppo delle Autorità Garanti indicano alcuni casi di valutazione di impatto obbligatoria, chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori) e se è necessario aggiornare la valutazione nel tempo. Il Titolare consulta anche l’Autorità Garante (Consultazione Preventiva), ove le misure tecniche e organizzative individuate non siano dal Titolare ritenute sufficienti per mitigare i rischi del trattamento. Il Titolare è infatti tenuto non soltanto a garantire il rispetto delle disposizioni del GDPR, ma anche a dimostrare, attraverso adeguata documentazione, COME viene garantito tale rispetto.
ADEMPIMENTI FORMALI: QUALI SONO LE NOVITA’? REGISTRO DEI TRATTAMENTI: COSA E’? Tutti i Titolari e i Responsabili di trattamento - tranne le società con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (es. dati sensibili o giudiziari) - devono tenere un registro delle operazioni di trattamento con le informazioni indicate nell’Art. 30 del GDPR. Il registro può essere in forma cartacea o elettronica e deve essere esibito dal Garante, su richiesta di quest’ultimo Il Garante sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli Titolari potranno integrare nei modi opportuni.
ADEMPIMENTI: QUALI SONO LE NOVITA’ ? NOTIFICA DI UNA VIOLAZIONE DI DATI PERSONALI: COSA E’? Il Titolare dovrà notificare all‘Autorità Garante le violazioni di dati personali di cui venga a conoscenza entro 72 ore, e comunque "senza ingiustificato ritardo". La notifica non è obbligatoria e va fatta solo se il Titolare ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo«, fatta eccezione per i casi in cui GDPR esclude tale obbligo di informazione.
ADEMPIMENTI FORMALI: QUALI SONO LE NOVITA’ ? RESPONSABILE DELLA PROTEZIONE DEI DATI (cd. «DPO» Data Privacy Officer): CHI E’ ? La sua designazione è obbligatoria solo nei casi determinati dal GDPR. Fra i compiti del DPO rientrano la sensibilizzazione e la formazione del personale e il controllo del rispetto del GDPR Sono disponibili sul sito dell’Autorità Garante (http://www.garanteprivacy.it/rpd) alcune linee-guida unitamente alle relative FAQ (Domande e Risposte frequenti)
DIRITTI DELLE PERSONE INTERESSATE: QUALI SONO? Diritto di ricevere copia dei dati forniti e chiedere che tali dati siano trasmessi ad un altro titolare del trattamento (cd. portabilità) Diritto di opporsi al trattamento (es. per finalità marketing) Diritto di ricevere un’informativa con l’indicazione delle finalità del trattamento Diritto di chiedere la cancellazione dei dati personali ove sussitano i motivi previsti dal GDPR Diritto di aggiornare, modificare e/o correggere i propri dati personali Diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano Diritto più articolato ed esteso in tema di limitazione dell’utilizzo dei dati personali Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato dei dati, compresa la profilazione Gli interessati hanno il diritto di esercitare un controllo totale sui propri dati personali Message: droits des personnes doivent être effectifs techniquement. N.B.: in rosso i nuovi diritti
RISCHIO REPUTAZIONALE TRATTAMENTO DEI DATI NON CONFORME A GDPR GDPR: I RISCHI RISCHIO REPUTAZIONALE La sanzione dell’Autorità Garante alla privacy può essere resa pubblica TRATTAMENTO DEI DATI NON CONFORME A GDPR RISCHIO FINANZIARIO GDPR: sanzioni fino al 4% del fatturato mondiale totale annuo dell’esercizo precedente Les sanctions de la CNIL peuvent être rendues publiques. Les violations de données personnelles doivent être notifiées à la CNIL et aux personnes concernées Loi I&L: max. de 150 000 euros Loi Lemaire: max. de 3 millions d’euros GDPR: max. de 4% du CA mondial annuel
Sanzioni previste da GDPR, in dettaglio: Sanzioni fino a EUR 10 000 000 o fino al 2 % del fatturato totale mondiale dell’esercizio precedente Sanzioni fino a EUR 20 000 000 o fino al 4 % del fatturato totale mondiale annuo dell’esercizio precedente ad esempio per: Inosservanza dell'obbligo di disporre di Responsabili che forniscano sufficienti garanzie per proteggere i dati personali; Violazioni della sicurezza; Mancata nomina del cd. «Data Privacy Officer» ove obbligatorio per legge; Mancata previsione di una valutazione d'impatto preliminare nei casi previsti ad esempio per: Inosservanza dei principi applicabili ai dati sensibili; Violazione dei diritti dell'interessato (diritto di accesso, diritto di rettifica ecc.) Mancato rispetto delle condizioni applicabili ai trasferimenti di dati al di fuori dell'UE.
esempio RENAULT ITALIA: come stiamo procedendo Mappatura di tutti i trattamenti dei dati personali (informatici e cartacei) con la descrizione, per ogni trattamento: - del processo aziendale alla base del trattamento - della tipologia dei dati trattati e delle relative finalità - dei soggetti interessati - delle società esterne che hanno accesso ai dati - delle misure di sicurezza adottate - di ogni ulteriore elemento rilevante ai fini «privacy» (es. tempi di conservazione, richieste di consenso, rispetto dei diritti degli interessati ecc.) La mappatura è stata realizzata nominando un team di esperti legali ed informatici i quali, confrontandosi con le figure chiave del business, hanno realizzato dei questionari da sottoporre a ciascun settore aziendale e, ove il caso, hanno condotto delle interviste ai relativi interlocutori
esempio RENAULT ITALIA: come stiamo procedendo In base ai risultati della mappatura si è proceduto: - alla individuazione di eventuali non conformità rispetto al GDPR ed alla conseguente rivisitazione del processo dei trattamenti in azienda - alla rivisitazione della documentazione legale (es. aggiornamento di tutte le informative al trattamento dei dati personali per clienti, dipendenti ed altri soggetti interessati, delle relative richieste di consenso, ridefinizione di tutti gli accordi con i fornitori che trattano dati personali onde assicurare il rispetto da parte di questi ultimi di tutte le norme applicabili previste dal GDPR, ecc.) - alla rivisitazione delle misure di sicurezza, ove necessario
esempio RENAULT ITALIA: come stiamo procedendo Tale modus operandi riguarda anche: - tutti quei dati personali provenienti dalla Rete, ma utilizzati anche da RENAULT ITALIA (es. dati raccolti al momento dell’Ordine d’acquisto e dell’Ordine di riparazione), - tutti quei dati personali messi a disposizione della Rete da parte della RENAULT ITALIA (es. leads) - tutti quei sistemi informatici messi a disposizione o comunque raccomandati dalla RENAULT ITA alla Rete con esclusivo riferimento allo scambio/condivisione dei dati di cui sopra NOTA BENE: per tali trattamenti/sistemi ciascun membro della Rete avrà comunque un ruolo specifico da assolvere che comporta delle responsabilità anche nei confronti della RENAULT ITALIA. Per questa ragione, anche in accordo con il GCRE (Groupement des Concessionnaires Renault Européen), verranno riviste alcune clausole/appendici contrattuali nei contratti di Rete
RACCOMANDAZIONI/CONSIDERAZIONI/SUGGERIMENTI Con riferimento all’utilizzo dei dati personali per finalità proprie del membro della Rete (es. dati personali dei propri dipendenti, dati di clienti o prospect utilizzati per autonome campagne di marketing ecc.) ciascun membro della Rete sarà direttamente ed autonomamente responsabile del corretto rispetto del GDPR. Per tali trattamenti, si suggerisce a ciascun membro della Rete di effettuare un percorso simile a quello sopra descritto della RENAULT ITALIA e quindi: effettuare una mappatura dei trattamenti dei dati personali aggiornare/correggere i processi aziendali coinvolti, le misure di sicurezza e la documentazione legale (es. revisione degli accordi con i fornitori esterni - ivi inclusi quelli suggeriti da RENAULT ITALIA (es. Terranova, DMS partners, Direct Access etc.) che operano per i trattamenti propri del Membro Rete - che trattano dati personali, riesame di tutte le informative per i trattamenti di dati personali fatta eccezione per le informativa OR* e VN*) svolgere le attività di mappatura, aggiornamento e correzione di cui sopra con il supporto di propri consulenti legali ed informatici Per approfondimenti, link al sito del garante http://www.garanteprivacy.it/regolamentoue *(per le informative VN e OR, RENAULT ITALIA provvederà a mettere a disposizione della rete entro il 26 maggio 2018 le informative conformi al GDPR)
THANK YOU