La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,

Presentazioni simili


Presentazione sul tema: "NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,"— Transcript della presentazione:

1 NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018
ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy, Fondazione Nazionale Commercialisti- Roma

2 LA NORMATIVA DI RIFERIMENTO
D.LGS. 196/2003, come modificato dal d.lgs. 101/2018 Codice in materia di protezione di dati personali REGOLAMENTO UE 2016/679 General Data Protection Regulation GDPR

3 ADEMPIMENTO CODICE PRIVACY GDPR NOTIFICA DEL TRATTAMENTO SI (art. 37)
INFORMATIVA SI (art. 13) CONSENSO SI (art. 23) SI (art. 6) MISURE DI SICUREZZA MINIME SI (allegato B) MISURE IDONEE / ADEGUATE SI (art. 31) SI (art. 32) NOMINA DPO VALUTAZIONE D’IMPATTO SI (art. 35) CONSULTAZIONE PREVENTIVA SI (art. 36) ma non sempre PRIVACY BY DESIGN / DEFAULT SI (art. 25) REGISTRO TRATTAMENTI SI (art. 30) CERTIFICAZIONE SI (artt. 25 e 42) ma non obbligatoria VIOLAZIONE DATI SI (artt. 33 e 34)

4 DATO PERSONALE Qualsiasi informazione riguardante una persona fisica, identificata o identificabile direttamente o indirettamente (art. 4 GDPR) Informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

5 TIPOLOGIE DI DATI PERSONALI
Dati identificativi: nome, cognome, codice fiscale, immagine, dati genetici, dati biometrici ecc. Categorie particolari di dati – art.9 GDPR: quelli che rivelano l’origine etnica, le convinzioni religiose, le opinioni politiche, l’appartenenza sindacale, lo stato di salute, la vita sessuale ecc. (+ dati genetici o biometrici) Dati giudiziari - art.10 GDPR: qualità di imputato o indagato, dati riguardanti il casellario giudiziale (provvedimenti di condanna definitivi, misure alternative alla detenzione ecc.)

6 Qualunque operazione che abbia ad oggetto un dato personale
TRATTAMENTO DEI DATI Qualunque operazione che abbia ad oggetto un dato personale (Es: raccolta, registrazione, conservazione, consultazione, modificazione, comunicazione, diffusione, cancellazione ecc.) art. 4 GDPR

7 TITOLARE DEL TRATTAMENTO
Chi decide in ordine a: -Finalità del trattamento; -Mezzi del trattamento e strumenti da utilizzare (compreso il profilo della sicurezza) . Art. 4 GDPR Può trattarsi di: Persona fisica, Persona giuridica, Pubblica amministrazione, Enti, Associazioni, Organismi

8 LA CONTITOLARITA’ Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito: all’osservanza degli obblighi derivanti dal regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, alle rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14. L’interessato può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.

9 RESPONSABILE DEL TRATTAMENTO
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento - Art. 4 GDPR

10 ATTO GIURIDICO TITOLARE-RESPONSABILE- CONTENUTO
ART. 28 PAR. 3 GDPR L'esecuzione dei trattamenti su commissione è disciplinata da un contratto o da altro atto giuridico che vincoli il Responsabile del trattamento al Titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

11 ATTO GIURIDICO TITOLARE-RESPONSABILE- CONTENUTO
La mancata contrattualizzazione o la mancanza di chiarezza nella contrattualizzazione (anche in materia di adozione di specifiche misure di sicurezza), possono implicare una responsabilità solidale (art. 82, paragrafo 4 e 5).

12 PERSONE AUTORIZZATE AL TRATTAMENTO
Trattamento sotto l'autorità del titolare del trattamento e del responsabile del trattamento (art. 29 GDPR) Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

13 La persona fisica cui si riferiscono i dati
INTERESSATO La persona fisica cui si riferiscono i dati

14 I PRINCIPI IN MATERIA DI TRATTAMENTO DEI DATI: PRINCIPIO DI LICEITA’
I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato Art. 5 GDPR

15 I PRINCIPI IN MATERIA DI TRATTAMENTO DEI DATI: PRINCIPIO DI FINALITÀ
I dati personali sono raccolti per finalità determinate, esplicite e legittime Art. 5 GDPR

16 I PRINCIPI IN MATERIA DI TRATTAMENTO DEI DATI: PRINCIPIO DI MINIMIZZAZIONE
I dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati Art. 5 GDPR

17 Dimostrazione in concreto!
I PRINCIPI IN MATERIA DI TRATTAMENTO DEI DATI: PRINCIPIO DI ACCOUNTABILITY Accountability Privacy by default Dimostrazione in concreto! Privacy by design

18 PRINCIPIO DI LICEITA’ – ART. 5 GDPR
Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

19 PRINCIPIO DI LICEITA’ – ART. 5 GDPR
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un'altra persona fisica; il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento [NO consenso per gli Enti pubblici]; il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato (in particolare se l'interessato è un minore).

20 Deve essere fornita all’interessato prima della raccolta dei dati
L’INFORMATIVA Adempimento generale, cui sono tenuti tutti i Titolari, siano essi soggetti pubblici o privati Deve essere fornita all’interessato prima della raccolta dei dati Ha lo scopo di far esprimere all’interessato un consenso informato (ove il consenso sia necessario)

21 L’INFORMATIVA – CONTENUTO MINIMO
Estremi identificativi del Titolare e, ove applicabile, del suo rappresentante Dati di contatto del Responsabile della Protezione dei dati, ove applicabile Finalità e base giuridica del trattamento Legittimi interessi del Titolare o di terzi Destinatari dei dati personali Diritti dell’interessato ART. 13 GDPR

22 L’INFORMATIVA SEMPLIFICATA NELLA VIDEOSORVEGLIANZA
Il cartello deve essere chiaramente visibile in ogni situazione di illuminazione ambientale e collocato prima del raggio d’azione della telecamera. Il cartello deve essere compilato, indicando il Titolare del trattamento e la finalità

23 CONSENSO DELL’INTERESSATO
E’ valido solo se Espresso liberamente; Riferito ad un trattamento chiaramente individuato; Documentato: il Titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso.

24 CATEGORIE PARTICOLARI DI DATI – ART. 9 GDPR
1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

25 CATEGORIE PARTICOLARI DI DATI – ART. 9 GDPR
2. A meno che…: a) l'interessato ha prestato il proprio consenso esplicito b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;

26 CATEGORIE PARTICOLARI DI DATI – ART. 9 GDPR
e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato; h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari

27 CATEGORIE PARTICOLARI DI DATI – ART. 9 GDPR
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici; j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

28 I DIRITTI DELL’INTERESSATO (ARTT. 15 segg. GDPR)
Ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: - delle finalità del trattamento; - dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati; - il diritto di proporre Reclamo a un’autorità di controllo; - qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

29 I DIRITTI DELL’INTERESSATO (ARTT. 15 segg. GDPR)
Ottenere: -l'aggiornamento, la rettifica ovvero, quando vi ha interesse, l'integrazione dei dati; -la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; Opporsi: -per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano; -al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di marketing diretto

30 DIRITTO ALL’OBLIO – ART. 17 GDPR
CASI PREVISTI DALLA NORMATIVA: I dati personali non sono più necessari rispetto alle finalità L’interessato revoca il consenso L’interessato si oppone al trattamento I dati personali sono trattati illecitamente I dati devono essere cancellati per adempiere ad un obbligo legale

31 DIRITTO DI PROPORRE RECLAMO
L’interessato che ritenga che il trattamento che lo riguarda viola la normativa sulla protezione dei dati, ha il diritto di proporre reclamo all’Autorità di controllo Art. 77 GDPR

32 LA TUTELA DELL’INTERESSATO: IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
E’ un’ Autorità amministrativa indipendente E’ un Organo collegiale È formato da 4 Componenti esperti in materia di diritto e informatica (2 eletti dalla Camera e 2 eletti dal Senato) Antonello Soro, Presidente in carica

33 COMPITI DEL GARANTE PER LA PROTEZIONE DEI DATI
controllare che i trattamenti siano conformi a leggi e regolamenti e, eventualmente, prescrivere ai titolari e ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento; esaminare reclami e segnalazioni nonché decidere i ricorsi; vietare in tutto od in parte, ovvero disporre il blocco del trattamento di dati personali che per la loro natura, per le modalità o per gli effetti del loro trattamento possano rappresentare un rilevante pregiudizio per l’interessato; adottare i provvedimenti previsti dalla normativa in materia di dati personali

34 DIRITTO AL RISARCIMENTO DEL DANNO
Chiunque subisca un danno materiale o immateriale causato da una violazione della normativa sulla protezione dei dati ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento Art. 82 GDPR

35 IL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI/DATA PROTECTION OFFICER
DESIGNAZIONE OBBLIGATORIA: il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (=profilazione); le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10 (=dati sensibili e/o giudiziari).

36 COMPITI DEL RPD-1 a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento - nonché i dipendenti che eseguono il trattamento- in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo (audit);

37 COMPITI DEL RPD-2 c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 33; d) cooperare con l’autorità di controllo; f) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati personali, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni su qualunque altra questione.

38 DESIGNAZIONE PER PIÙ TITOLARI
COMUNE A COMUNE B UNICO RPD TENUTO CONTO DELLE DIMENSIONI E DELLA STRUTTURA ORGANIZZATIVA

39 IPOTESI DI CONFLITTO DI INTERESSE RPD
amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione risorse umane, responsabile IT.

40 REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO (art. 30 e cons
REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO (art. 30 e cons. 171 GDPR) – TITOLARE DEL TRATTAMENTO il nome e le coordinate di contatto del titolare del trattamento e di ogni contitolare del trattamento, del rappresentante del titolare del trattamento e dell'eventuale responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi; trasferimenti di dati verso un paese terzo o un’organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate; i termini ultimi previsti per la cancellazione delle diverse categorie di dati; una descrizione generale delle misure di sicurezza tecniche e organizzative.

41 Registro del Responsabile
REGISTRI TITOLARI Registro del Titolare RESPONSABILI Registro del Responsabile

42 ESEMPIO DI REGISTRO DEL TITOLARE

43 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)
natura oggetto contesto finalità DPIA Rischio elevato per i diritti e le libertà delle persone fisiche

44 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI- QUANDO È OBBLIGATORIA?
VALUTAZIONE SISTEMATICA E GLOBALE DI ASPETTI PERSONALI RELATIVI A PERSONE FISICHE, BASATA SU UN TRATTAMENTO AUTOMATIZZATO, SULLA QUALE SI FONDANO DECISIONI CHE HANNO EFFETTI GIURIDICI O INCIDONO SU DETTE PERSONE FISICHE (art. 35, par. 3 lett.a) =PROFILAZIONE

45 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI- QUANDO È OBBLIGATORIA?
TRATTAMENTO SU LARGA SCALA DI CATEGORIE PARTICOLARI DI DATI PERSONALI O DATI RELATIVI A CONDANNE PENALI E REATI (art. 35, par. 3 lett.b)

46 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI- QUANDO È OBBLIGATORIA?
SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA ACCESSIBILE AL PUBBLICO (art. 35, par. 3 lett.c)

47 CONSULTAZIONE PREVENTIVA AL GARANTE
PRIMA DI PROCEDERE AL TRATTAMENTO, QUALORA LA DPIA INDICHI CHE IL TRATTAMENTO PRESENTEREBBE UN RISCHIO ELEVATO IN ASSENZA DI MISURE ADOTTATE DAL TITOLARE DEL TRATTAMENTO PER ATTENUARE IL RISCHIO (art. 36 GDPR)

48 DATA BREACH ART. 4 GDPR DEFINIZIONE 12:
LA VIOLAZIONE DI SICUREZZA CHE COMPORTA ACCIDENTALMENTE O IN MODO ILLECITO LA DISTRUZIONE, LA PERDITA, LA MODIFICA, LA DIVULGAZIONE NON AUTORIZZATA O L’ACCESSO AI DATI PERSONALI TRASMESSI, CONSERVATI O COMUNQUE TRATTATI

49 DATA BREACH IN CASO DI VIOLAZIONE DI DATI PERSONALI, IL TITOLARE DEL TRATTAMENTO NOTIFICA LA VIOLAZIONE ALL’AUTORITÀ ENTRO 72 ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA (ART. 33 GDPR)

50 DATA BREACH QUANDO LA VIOLAZIONE E’ SUSCETTIBILE DI PRESENTARE UN RISCHIO ELEVATO PER I DIRITTI E LE LIBERTA’ DELLE PERSONE FISICHE, IL TITOLARE DEL TRATTAMENTO COMUNICA LA VIOLAZIONE ALL’INTERESSATO SENZA INGIUSTIFICATO RITARDO (ART. 34 GDPR)

51 Obbligazioni di compliance interna:
il principio di accountability analisi dei rischi e valutazioni d’impatto registro delle attività di trattamento e altre documentazioni obbligatorie misure di sicurezza Privacy by Design e by Default Piani di formazione del personale Obbligazioni di compliance esterna: notificazione data breach casi di verifica preventiva innanzi al Garante Accordi e contratti tra contitolari o con responsabili/sub-responsabili esterni

52 GRAZIE PER L’ATTENZIONE
Vignetta tratta da


Scaricare ppt "NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,"

Presentazioni simili


Annunci Google