La protezione dei dati personali

Presentazione sul tema: "La protezione dei dati personali"— Transcript della presentazione:

1 La protezione dei dati personali
Principi attuativi del GDPR 2016/679 (Regolamento Europeo) Dott. Valerio Pollastrini

2 Oggetto della tutela Tutela la privacy dell’individuo? NO
Tutela i dati personali dell’individuo

3 Il Regolamento Europeo
Conferma principi generali previsti dal Dlgs 196/2003 Apporta modifiche alla normativa precedente Introduce nuovi istituti Efficace dal 25 maggio 2018

4 Il Regolamento Ue conferma i seguenti principi generali:
Le conferme Il Regolamento Ue conferma i seguenti principi generali: Trasparenza (art.5) Liceità (art.5) Minimizzazione/Pretinenza/Proporzionalità (art.5) Esattezza (art.5) Limitazione della conservazione (art.5) sicurezza/Integrità e Riservatezza (art.5)

5 Il Regolamento Ue apporta alcune modifiche ai seguenti istituti
Quali modifiche Il Regolamento Ue apporta alcune modifiche ai seguenti istituti Informativa (art.12 e segg.) Consenso (art.7) Diritti di accesso dell’interessato (art.15 e segg.) Responsabilità del Titolare vs Responsabile per outsourcing (art.28) Analisi dei rischi e delle misure di sicurezza (art.32) Sanzioni (art.32)

6 Le novità Le principali novità introdotte dal Regolamento Ue
Diritto all’oblio (art.17) Diritto alla portabilità dei dati (art.20) ACCOUNTABILITY (Art.24) Privacy By Design e By Default (art.25) Registro dei trattamenti (art.30) Data Breaches (art.33) Valutazione di impatto (art.35) Data Protection Officer (art.37) Certificazione/Marchi (art.42) Aumento delle sanzioni (art.83 e segg.)

7 Le nozioni di base

8 Dato personale (art.4) «Qualsiasi informazione riguardante una persona fisica identificata o identificabile del soggetto interessato» Definizione ampia nome, dati anagrafici Dati relativi all’ubicazione Numero di identificazione (Codice Fiscale, carta di cretito, Iban) Identificativo on-line Stato di salute, abitudini Immagine, voce Dati sia oggettivi che soggettivi

9 Categorie di dati personali
DATI PARTICOLARI (art.9) (Ex dati sensibili)Dati che rivelano: Origine razziale o etnica Opinioni politiche Convinzioni religiose Appartenenza sindacale Relativi alla salute Relativi alla vita sessuale o all’orientamento sessuale Dati Genetici Dati Biometrici

10 Categorie di dati personali
DATI PENALI (art.10) Dati relativi a: Condanne penali Reati Connessi a misure di sicurezza

11 Categorie di dati personali
DATI CHE PRESENTANO RISCHI SPECIFICI (art.35) (Quasi sensibili) Presentano rischi elevati per libertà/dignità della persona e sono assoggettati ad accorgimenti specifici, sulla base della «Valutazione di Impatto» (prior checking).

12 Categorie di dati personali
DATI COMUNI Tutti gli altri dati riconducibili ad una persona Es.: Anagrafici, indirizzi postali, indirizzi IP, codici identificativi, conto corrente, carta di credito, valutazioni …

13 Categorie di dati personali
DATI ANONIMI Informazioni che non possono essere associate ad un interessato identificato o identificabile A questa categoria di dati non si applica la Normativa Privacy

14 Trattamento (art.4.2) «Qualsiasi operazione concernente la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione, messa a disposizione, raffronto, interconnessione, limitazione, cancellazione e distruzione di dati» La tutela va esercitata nell’interezza del trattamento, dalla raccolta del dato fino alla sua distruzione

15 Profilazione «Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti, il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica»

16 AUTORITA’ GIUDIZIARIA
IL SISTEMA IL GARANTE Ispezioni e controlli Sanzioni amministrative AUTORITA’ GIUDIZIARIA Sanzioni penali Risarcimento del danno AZIENDA - Dovere di adeguamento alla legge Titolare del trattamento Ulteriori eventuali soggetti proposti all’adeguamento alla legge Responsabile Interno/Esterno Incaricati Dpo Interessati Clienti, Fornitori, Lavoratori, Visitatori, Cittadini…. - Hanno il diritto alla privacy

17 Il Garante (Nazionale) della Privacy (art.4.21)
Autorità pubblica indipendente Nata con la legge sulla privacy Durata del mandato: min.4 anni Compiti: Sorveglia l’applicazione del Regolamento Promuove la consapevolezza e favorisce la comprensione Esamina i reclami degli Interessati Svolge indagini sull’applicazione della normativa Rilascia autorizzazioni preliminari/approva Codici di condotta Rilascia Certificazioni Infligge sanzioni amministrative

18 Azienda persona giuridica
Il Titolare (art.4.7) E’ il soggetto (persona fisica, giuridica, ente…) che determina le finalità e i mezzi del trattamento Non richiede nomine Gli sono attribuiti tutti gli obblighi di adeguamento alla legge Deve condurre verifiche periodiche (culpa in vigilando) Azienda persona giuridica Il titolare del trattamento va inteso come l’azienda nel suo complesso Azienda individuale Il titolare del trattamento è la persona fisica del titolare dell’azienda

19 Il Responsabile (art.4.8) E’ il soggetto che tratta dati personali per conto del Titolare RESPONSABILE INTERNO ESTERNO

20 Il Responsabile Interno
Coadiuva il Titolare negli obblighi privacy Nomina opzionale Nomina «obbligata» in caso di organizzazione complessa Deve presentare adeguate garanzie di competenza Ha assegnato compiti scritti e riceve istruzioni Può designare gli incaricati La persona indicata a ricoprire il ruolo di Responsabile Interno oltre a dover disporre adeguate competenze deve inevitabilmente ricoprire in azienda mansioni di elevato profilo

21 Il Responsabile Esterno
Tratta i dati per conto del Titolare Obbligatorio in caso di esternalizzazione di attività (es. elaborazione cedolini, gestione sistema informativo, call center, agenti…) Ruolo che può essere svolto da persona fisica o giuridica Deve presentare adeguate garanzie di rispetto del Regolamento I trattamenti esternalizzati devono essere disciplinati da un contratto scritto Il contratto deve prevedere una serie di vincoli prestabiliti (art.28) Per ogni outsourcer si configura il ruolo di Responsabile Esterno

22 Gli Incaricati (art.29) Sono le persone che hanno accesso ai dati personali e agiscono sotto l’autorità del Titolare o del Responsabile Solo persone fisiche Devono essere individuati dal Titolare o dal Responsabile Devono ricevere adeguata formazione sulla privacy per svolgere correttamente la mansione Ciascuno deve poter accedere solo ai dati necessari per la mansione Chi sono gli incaricati in una azienda: Tutti i lavoratori (dipendenti, stagisti, consulenti…)

23 Il Data Protection Officer (art.37)
figura di Garanzia sul rispetto della legge in Azienda Nomina obbligatoria in determinati casi (P.A., organizzazioni complesse…) E’ nominato dal Titolare o dal Responsabile (artt.37-39) Possibile un unico DPO di «gruppo» Deve essere in possesso di competenza e professionalità Deve essere dotato di risorse umane e finanziarie Esegue compiti previsti dalla legge: verifiche, pareri, formazione Riferisce al vertice gerarchico, ma opera in autonomia Punto di contatto per Interessati e Garante privacy Chi può essere nominato DPO: dipendente di alto profilo oppure un soggetto esterno con contratto di servizio

24 Il Data Protection Officer
Quando la nomina è obbligatoria: P.A. Trattamenti che richiedono monitoraggio degli interessati su larga scala Trattamento su larga scala di categorie particolari di dati (sensibili) o relativi a condanne penali Esempi di nomina obbligatoria: Istituti di credito; imprese assicurative; Sistemi di informazione creditizia;società finanziarie; società di informazione commerciale; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; Caf e patronati; società operanti nel settore delle «utilities» (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analilsi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamentio

25 Il Data Protection Officer
Al di fuori delle ipotesi precedenti la nomina del Dpo rimane facoltativa, anche se il Garante ne consiglia comunque la nomina per il principio di «Accountability» Esempi di nomina non obbligatoria: Liberi professionisti in forma individuale Agenti, rappresentanti e mediatori operanti su larga scala Imprese individuali o familiari Piccole e medie imprese con riferimento ai trattamenti di dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti

26 Gli Interessati (art.4.1) Sono le persone fisiche a cui si riferiscono i dati personali Hanno garantito il diritto alla privacy Chi sono nei confronti dell’azienda? - Tutti coloro di cui l’azienda detiene dati personali (clienti, Fornitori, Dipendenti, Collaboratori, Candidati, Visitatori web, etc…)

27 Gli adempimenti

28 Adeguatezza delle misure adottate
«Privacy by Design» e «Privacy by Default» Predisposizione misure tecniche ed organizzative per garantire che il trattamento dei dati sia conforme al Regolamento Ue; Aggiornamento periodico delle misure tecniche ed organizzative Verifica necessità di adeguamento degli strumenti informatici attraverso i quali il trattamento viene effettuato (hardware e software)

29 Adeguatezza delle misure adottate
ACCOUNTABILITY Privacy by design Privacy by default PREVENIRE NON CORREGGERE Principio secondo cui i problemi e le soluzioni da adottare vanno valutati nella fase di progettazione Necessità della tutela dei dati personali «di default», cioè come IMPOSTAZIONE PREDEFINITA

30 L’Informativa (art.13) DI COSA SI TRATTA SCOPO QUANDO E’ NECESSARIA
- E’ una dichiarazione che il Titolare rilascia all’interessato SCOPO Mettere l’interessato in grado di conoscere le intenzioni del Titolare Consentirgli di valutare le conseguenze Poter accettare o rifiutare il Trattamento Controllare il seguito dei suoi dati QUANDO E’ NECESSARIA - Sempre, anche quando non deve essere richiesto il consenso

31 L’Informativa IN QUALE MOMENTO VA FORNITA UNA TANTUM IN CHE FORMA
Dati raccolti presso l’interessato: al momento della raccolta Dati raccolti presso terzi: alla prima comunicazione (max entro 1 mese) UNA TANTUM IN CHE FORMA Chiara, concisa, anche con icone In forma scritta/ o con mezzi elettronici Consentita in forma orale purché comprovata identità interessato Onere della prova

32 L’Informativa CONTENUTO DIFFERENTE IN FUNZIONE DELL’ORIGINE
Informativa non generica Schema dettagliato prefissato DIFFERENTE IN FUNZIONE DELL’ORIGINE Dati raccolti presso l’interessato Dati raccolti presso terzi

33 Il contenuto: Dati ottenuti c/o INTERESSATO
L’Informativa Il contenuto: Dati ottenuti c/o INTERESSATO Identità e dati di contatto del Titolare Dati di contatto del DPO (ove applicabile) Le finalità e la base giuridica – Vietate finalità non dichiarate. Finalità successive diverse richiedono una preventiva integrazione Per i trattamenti basati su legittimo interesse, i legittimi interessi perseguiti Le categorie dei destinatari L’intenzione di trasferire i dati extra UE e le garanzie adottate Il periodo di conservazione o i criteri per determinarlo Il diritto di accesso ai dati e alla portabilità dei dati Il diritto di revocare il consenso Il diritto di proporre reclamo al Garante Se il conferimento dei dati è obbligatorio o facoltativo e le conseguenze del mancato conferimento L’esistenza di un processo decisionale automatizzato o di profilazione, la logica utilizzata e le conseguenze per l’interessato ADEMPIMENTO: REVISIONE E ADEGUAMENTO DELLE INFORMATIVE PRECEDENTI

34 Il contenuto: Dati ottenuti c/o TERZI
L’Informativa Il contenuto: Dati ottenuti c/o TERZI In aggiunta al contenuto evidenziato nella slide precedente: Le categorie dei dati personali La fonte da cui hanno origine i dati e eventualmente se gli stessi provengono da fonti accessibili al pubblico ADEMPIMENTO: REVISIONE E ADEGUAMENTO DELLE INFORMATIVE PRECEDENTI

35 L’Informativa Per il rispetto della normativa sulla Privacy non è sufficiente il rilascio della informativa + E’ necessaria la presenza di una delle condizioni di liceita’ previste dal Regolamento Europeo

36 Condizione di Liceità del Trattamento (art.6)
Di cosa si tratta È la condizione che rende legittimo il trattamento dei dati da parte del Titolare Deve essere presente in aggiunta all’Informativa Quali sono le condizioni di liceità Esecuzione del contratto o di misure pre-contrattuali Esecuzione di un obbligo di legge Salvaguardia di interessi vitali Compito di interesse pubblico Perseguimento di un interesse legittimo del Titolare Oppure - Consenso dell’interessato Conseguenze - Senza consenso o altra condizione di liceità = trattamento illecito/sanzionabile

37 Il Consenso (art.7) DI COSA SI TRATTA SCOPO CONDIZIONI DI VALIDITA’
È la condizione necessaria per poter trattare i dati in modo lecito, in assenza di una delle altre condizioni previste dalla legge (es. esecuzione del contratto, obbligo di legge…) Deve essere richiesto in chiusura dell’Informativa Risposta dell’Interessato all’Informativa SCOPO Autorizzare o negare l’uso dei dati CONDIZIONI DI VALIDITA’ Informato: invalido se non preceduto da informativa Specifico: richiesto in modo chiaro e distinguibile dal resto Libero: svincolato da costrizioni. Es: l’esecuzione di un contratto non deve essere subordinata al rilascio del Consenso per l’invio di pubblicità Consapevole e inequivocabile: basato su dichiarazione o azione positiva – No caselle pre- barrate

38 Il Consenso QUANDO DEVE ESSERE DISPONIBILE IN CHE FORMA
Prima del trattamento IN CHE FORMA In forma scritta. Se orale va documentata DIMOSTRABILITA’ Il Titolare deve essere in grado di darne dimostrazione Opportuno prevedere una modulistica chiara e semplice DIRITTO DI REVOCA revocabile in qualsiasi momento Il Titolare deve informare di ciò l’Interessato

39 Dati Particolari - Le garanzie aggiuntive (art.9)
Vige il generale divieto di trattamento dei dati particolari (Origine razziale, opinioni politiche…..dati genetici, biometrici) Salvo eccezioni pre-stabilite

40 Dati Particolari ECCEZIONI AL DIVIETO: IL TRATTAMENTO E’ CONSENTITO
Se l’Interessato ha manifestato il proprio Consenso – salvo ulteriori disposizioni di legge/Autorizzazione del Garante (es.: Autor. Gen. N.1 dati sensibili nel rapporto di lavoro) È necessario per assolvere obblighi o esercitare diritti in materia di lavoro o della sicurezza sociale e protezione sociale, medicina del lavoro, capacità lavorativa del dipendente Per finalità di tutela della vita, della salute, di interesse pubblico, o esercizio di un diritto in sede giudiziaria Dati resi manifestamente pubblici dall’Interessato… (art.9)

41 LE AUTORIZZAZIONI DEL GARANTE
Dati Particolari LE AUTORIZZAZIONI DEL GARANTE NOVE AUTORIZZAZIONI GENERALI n.1 – trattamento dei dati sensibili nei rapporti di lavoro n.2 – trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale n.3 – trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni n.4 trattamento dei dati sensibili da parte dei liberi professionisti n.5 trattamento dei dati sensibili da parte di diverse categorie di titolari n.6 trattamento dei dati sensibili da parte degli investigatori privati n.7 trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici n.8 trattamento dei dati genetici n.9 trattamento dei dati personali effettuato per scopi di ricerca scientifica AUTORIZZAZIONI AD HOC - Per altre situazioni

42 Dati Penali – Le garanzie aggiuntive (art.10)
REQUISITO Autorizzato da Legge o da Garante AUTORIZZAZIONE GENERALE GARANTE n.7 – Dati giudiziari Condizioni, limiti e modalità AUTORIZZAZIONE GARANTE «ad Hoc» Casi eccezionali Es. Provvedimento negativo Garante del 15/06/2017 (respinta richiesta di trattare dati del casellario giudiziale fornito dai lavoratori per comunicarli a ditta appaltante che chiedeva gradimento sui lavoratori impiegati nello svolgimento di servizi come manovale o pulitore a bordo di treni)

43 Cautele per i dati che presentano rischi (quasi sensibili) – (art.35)
TRATTAMENTI CON RISCHI ELEVATI Per libertà/dignità degli interessati In relazione alla natura dei dati/uso di tecnologie/contesto/finalità PRINCIPIO DEL PRIOR CHECKING Valutazione di impatto Misure e accorgimenti ESEMPI - biometria, Rfid, videosorveglianza, geolocalizzazione, registrazione presenza lavoro tramite app…

44 Il diritto di controllo sui propri dati (artt.15-22)
SCOPO Dominio sui dati e verifica di correttezza COSA COMPRENDE Diritto di accesso Diritto di rettifica Diritto all’oblio Diritto di limitazione del trattamento Diritto alla portabilità dei dati

45 Diritto di controllo (art.12)
DISPOSIZIONI COMUNI RICHIESTA DELL’INTERESSATO Inoltrata senza formalità DOVERE DEL TITOLARE Obbligo di verificare l’identità dell’Interessato RISPOSTA ALL’INTERESSATO (art.12) Senza giustificato ritardo Entro 1 mese + 2 mesi di proroga se complessa Comunque informare l’interessato entro 1 mese Mancata risposta: Ricorso a Garante o Autorità Giudiziaria

46 IL REGISTRO DEI TRATTAMENTI (art.30
Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: Nome e contatti di Titolare, Rappresentante e Dpo; Finalità del trattamento; Descrizione delle categorie di interessati e delle categorie di dati personali; Categorie di destinatari a cui i dati personali saranno comunicati; Trasferimenti di dati personali presso un Paese terzo; Termini previsti per la cancellazione dei dati; Descrizione generale delle misure di sicurezza tecniche ed organizzative;

47 IL REGISTRO DEI TRATTAMENTI (Art.30)
Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relativo al trattamento svolte per conto di un titolare del trattamento, contenente: Nome e dati di contatto del responsabile/i del trattamento, di ogni Titolare per conto del quale agisce, del rappresentante del titolare o del responsabile del trattamento e del Dpo; Le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; Descrizione delle misure di sicurezza tecniche ed organizzative

48 IL REGISTRO DEI TRATTAMENTI (art.30)
Caratteristiche Forma scritta (anche formato elettronico) A disposizione dell’autorità di controllo - Non è obbligatorio per tutti: OBBLIGO DI REDAZIONE DEL REGISTRO Non si applica alle imprese con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa categorie particolari di dati o i dati personali relative a condanne penali

49 Il Registro dei Trattamenti (art.30)
In sintesi: Si tratta di una scheda dove annotare il nome del titolare, le categorie di interessati, il tipo di dato (comune o particolare), l'ambito di circolazione (Ue o extra Ue), il tempo di utilizzo e le eventuali misure di sicurezza previste. La mappatura di queste informazioni consentirà di dare un perimetro al trattamento e di individuare più facilmente gli adempimenti da porre in essere: informative, consensi, nomina di Responsabili esterni coinvolti nel trattamento, ecc. SCOPO

50 VALUTAZIONE DI IMPATTO (art.35)
Sono obbligati alla valutazione di impatto i titolari che debbano iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche, per le caratteristiche del trattamento o degli strumenti adottati Valutazione di aspetti personali delle persone basata su trattamenti automatizzati (profilazione); Trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali; Sorveglianza sistematica su larga scala di una zona accessibile al pubblico; Quando la valutazione di impatto indica che il trattamento presenta un rischio elevato, prima di procedere al trattamento, il Titolare è tenuto a consultare il Garante

51 DATA BREACH (art.35) Il Titolare ha l’obbligo di notificare all’Autorità di controllo le violazioni di dati personali - Entro 72 ore da quando ne viene a conoscenza Cosa notificare - Violazioni di sicurezza che comportano anche accidentalmente: distruzione, perdita, modifica, divulgazione non autorizzata, accessi non consentiti Il Titolare deve notificare la violazione all’Interessato Solo in presenza di rischio elevato per diritti e libertà delle persone fisiche Linguaggio semplice chiaro della comunicazione

52 ADEGUAMENTO AMBIENTE DI LAVORO
Anonimato cartelle archivio Distanze di sicurezza Armadi chiusi a chiave Divieto di accesso personale non autorizzato Policy aziendale Formazione Responsabili e Incaricati …

53 Adozione di tutte le misure necessarie per la sicurezza informatica
Cyber Security Adozione di tutte le misure necessarie per la sicurezza informatica CRITTOGRAFIA PSEUDONIMIZZAZIONE DATI BACKUP DATI SICUREZZA PASSWORD

54 CHECK LIST CYBER SECURITY
1. Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale? SI NO 2. I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc…) offerti da terze parti a cui si è registrati sono quelli strettamente necessari? 3. Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti 4. E’ stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici? 5. Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cyber-security che risultino applicabili per l’azienda? 6. Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato? 7. Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo di sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori)?

55 8. Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri? SI NO 9. L’accesso è opportunamente protetto e i vecchi account non più utilizzati sono disattivati? 10. Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza? Si 11. Il personale è adeguatamente sensibilizzato e formato sui rischi di cyber-security e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati , utilizzare solo software autorizzato…)? 12. I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le notizie basilari di sicurezza? 12. La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi?

56 ADEGUAMENTO SITO WEB AZIENDALE
Tutti i siti web che posseggono un modulo di contatto, di raccolta dati, che utilizza la tecnologia dei cookies o che posseggono un’area dedicata all’e- commerce dovranno: Adeguare le misure idonee che permettano all’utente di confermare il proprio consenso all’attività di trattamento e tracciamento dei dati personali; Fornire una chiara e dettagliata Privacy Policy; Informare l’utente a riguardo di chi sia il Responsabile del trattamento dei dati (Dpo); Informare l’utente sui tempi di conservazione dei dati, le modalità di cancellazione, la modifica degli stessi; Informare l’utente se il sito web prevede procedure tecniche volte a profilarne la navigazione e le preferenze (cookies ecc.); Predisporre il sito di un software che permetta, nel caso in cui l’utente scelga di navigare con i cookies non attivi, di bloccare preventivamente qualsiasi attività di tracciamento che non sia espressamente confermata da parte del navigatore. L’utente dovrà avere la facoltà di poter navigare sul sito decidendo quali cookies potranno rimanere attivi e quali no; Fornire espressamente all’utente le finalità per cui i dati vengono raccolti (n.b. per ogni finalità dovrà essere fornita una specifica informativa – per più finalità quindi, più informative);

57 SANZIONI Il Regolamento non fissa un importo specifico per ogni singola violazione, ma solo un massimale: Fino a 20 milioni di euro o, per le imprese, fino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore Caratteristiche della sanzione amministrativa: Effettive; Proporzionate; Dissuasive;

58 RIEPILOGO DEGLI ADEMPIMENTI Cosa fare per adeguare l’azienda al nuovo Regolamento
IN SINTESI: Secondo il nuovo Regolamento Ue ogni azienda dovrà: Effettuare un controllo interno; Verificare il proprio livello di esposizione ai rischi; Svolgere una serie di interventi per limitare i rischi; Innalzare il livello di tutela; Documentare le scelte prese secondo un processo di «accountability» che caratterizza l’intero regolamento;

59 RIEPILOGO DEGLI ADEMPIMENTI Cosa fare per adeguare l’azienda al nuovo Regolamento
IN SOSTANZA ogni azienda dovrà: - designare, nei casi previsti, il DPO; istituire, nei casi previsti, il Registro delle attività del trattamento, in cui sono descritti i trattamenti effettuati e le misure di sicurezza adottati; definire tutti gli adempimenti da adottare per ogni evento che potrebbe accadere in azienda dalla notifica delle violazioni dei dati personali, Data Breach, alla valutazione di impatto, fino alla eventuale consultazione preventiva con il Garante; Formare adeguatamente le persone attive nel processo di trattamento dei dati; Definizione delle politiche di sicurezza e valutazione dei rischi; Adeguare il proprio sito web alle richieste del nuovo Regolamento; Modificare ed aggiornare tutte le informative da definire all’interessato; Adottare tutte le misure adeguate alla cyber security;

60 La privacy nella gestione del personale

61 I provvedimenti del Garante sulle tematiche del personale
SCOPO Quadro unitario Chiarimenti e Prescrizioni Valore di legge

62 Alcuni esempi di provvedimenti del Garante
Fidelity card (24/02/2005) Tracciamento posizione geografica (09/03/2005) Rapporto di lavoro (23/11/2006) Uso e Internet sul lavoro (01/03/2007) Gestori Telefonici (15/12/2005 – 01/02/2008) Rottamazione (13/10/2008) Semplificazione delle misure di sicurezza in particolari circostanze (27/11/2008) L’Amministratore di sistema (27/11/2008) Videosorveglianza (08/04/2010) Marketing Telefonico e Registro opposizioni (19/01/2011) Attività Promozionale e contrasto allo spam (04/07/2013) Biometria (23/11/2006 e 12/11/2014) Cookies (08-23/05/2014)

63 I Principi generali applicati nei provvedimenti
Liceità Trasparenza Pertinenza Non eccedenza Necessità Conservazione proporzionalità

64 Il Trattamenti di dati personali nei rapporti di lavoro
CANDIDATI / LAVORATORI

65 Candidati – Informativa e Consenso
ANNUNCI DI LAVORO Es. organi di stampa SITO WEB Per candidature CURRICULUM SPONTANEO Non sollecitato - Inviato spontaneamente dal candidato

66 ANNUNCI DI LAVORO ORGANI DI STAMPA
Candidati ANNUNCI DI LAVORO ORGANI DI STAMPA INFORMARE FIN DALL’ANNUNCIO Pronuncia del Garante del 10 gennaio 2002 AMMESSO RINVIO A INFORMATIVE PIU’ DETTAGLIATE (D.lgs 276/2003, art.9) Su siti web Messaggi telefonici pre-registrati

67 Candidati SITO WEB INFORMATIVA DETTAGLIATA CONSENSO DATI SENSIBILI

68 Candidati CURRICULUM SPONTANEO
RACCOLTA DATI NON AVVIENE SU INIZIATIVA DEL DATORE DI LAVORO IMPOSSIBILITA’ DI FORNIRE INFORMATIVA PREVENTIVA INVALIDO IL CONSENSO SENZA INFORMATIVA

69 Candidati CURRICULUM SPONTANEO DECRETO SVILUPPO 2011 (art.13,5 bis)
Esclusione degli obblighi di Informativa e Consenso preventivi per i curricula vitae non sollecitati Rinvio degli obblighi al primo eventuale successivo contatto Invalide le dichiarazioni di Consenso nei curricula spontanei PER CURRICULA «SOLLECITATI» - L’obbligo di Informativa/Consenso Preventivo, permane

70 Candidati CURRICULUM SPONTANEO SE CV SPONTANEO NON INTERESSA
Distruggere (art.16 cdp) SE CV SPONTANEO INTERESSA Informativa ex post, rinviata all’eventuale successivo contatto (art.24 Cdp, co1, lett. i-bis) In attesa, non necessario Consenso neppure per i dati contenuti nel CV spontaneo (art.26 Cdp, co3, b-bis) Obbligo di prevedere tempo di conservazioni

71 AL MOMENTO DELL’ASSUNZIONE
Dipendenti AL MOMENTO DELL’ASSUNZIONE INFORMATIVA Completa CONSENSO Autorizzazione Garante per dati sensibili e Giudiziari-Penali DESIGNAZIONE A INCARICATI - Varie categorie

72 PROVVEDIMENTO GENERALE DEL GARANTE «GESTIONE RAPPORTO DI LAVORO»
LE MISURE DI SICUREZZA

73 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Finalità PREVENIRE RISCHI DI: distruzione/perdita anche accidentale Modifica Accesso non autorizzato Trattamento non consentito

74 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Quadro Generale Il Provvedimento non sostituisce le misure di sicurezza prescritte dalla legge Permane l’obbligo di adottare misure «adeguate» Introduce solo chiarimenti e indica misure specifice

75 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Origine Qualità delle misure Individuate dal titolare Individuate dal Garante Allegato B Codice Privacy ADEGUATE Non predefinite SPECIFICHE Ad hoc Minime Predefinite (non più previste)

76 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Copertura: tempo PRIMA DI INIZIARE IL TRATTAMENTO DURANTE TUTTE LE OPERAZIONI DI TRATTAMENTO - Raccolta, conservazione, trasmissione, elaborazione…

77 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Copertura: Strumenti e modalità ELETTRONICI: server centralizzati, cloud, informatica individuale, smartphon, tablet, etc…. CARTACEI ALTRO: fax, stampanti

78 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Gli Incaricati Obbligo di designare apposito personale autorizzato ad accedere ai dati L’Incaricato autorizzato deve avere cognizioni in materia di privacy Obbligo di fornire adeguata formazione N.B. La formazione degli Incaricati va documentata (accountability)

79 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Dati sanitari Costituiscono un sottoinsieme dei dati di natura particolare Obbligo di adottare tutte le misure prescritte per tali dati Obbligo di conservare i dati sanitari separati dagli altri dati, anche nei fascicoli personali cartacei dei dipendenti Impedire accesso a tali dati o la loro indistinta consultazione da parte di soggetti non autorizzati Obbligo di non rendere visibili le «diagnosi» contenute nei certificati medici - es: busta chiusa e oscuramento dei dati

80 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Impedire accessi non autorizzati MISURE FISICHE E ORGANIZZATIVE DA ADOTTARE Proteggere i luoghi ove si svolge il trattamento da indebite intrusioni Procedere alla comunicazione dei dati con modalità tali da escludere una indebita conoscenza da parte di terzi non designati Incaricati Impartire istruzioni agli incaricati in ordine alla osservanza del segreto d’ufficio anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni

81 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Altre misure Fisiche e Organizzative Prevenire l’acquisizione e la riproduzione dei dati trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione Prevenire l’acquisizione o la riproduzione di documenti contenenti informazioni personali da parte di soggetti non autorizzati Prevenire l’involontaria acquisizione di informazioni da parte di terzi o di altri dipendenti in particolari situazioni ambientali. Esempi: Rispetto distanze di sicurezza; Trattazioni di informazioni riservate all’interno di locali chiusi e non in spazi aperti…

82 Gestione Rapporti di Lavoro: P.G. 03/11/2006
LE MISURE DI SICUREZZA Comportamento dei dipendenti PREVENIRE ILLECITA DIVULGAZIONE A terzi, a colleghi: Principio del Need to Know Clean Desk Policy PROTEGGERE DATI VS STRUMENTI Segretezza e robustezza Psw, utilizzo PIN, Screen saver… Controllo e custodia degli strumenti PROTEGGERE DATI VS LUOGHI/ACQUISIZIONI INVOLONTARIE Distanze di cortesia/Open Space/Aree chiuse Presidio Stampanti, Copiatrici, Fax… Separazione dati sensibili da dati comuni, Armadi chiusi a chiave Distruggi documenti AZIONI PREVENTIVE. Es: Codifica voci su cedolino, Consegna diretta dei documenti/invio plichi chiusi ISTRUZIONI/CONSAPEVOLEZZA/FORMAZIONE SITO PRIVACY IN INTRANET PRIVACYZZARE I PROCESSI

83 PROVVEDIMENTO GENERALE DEL GARANTE «GESTIONE RAPPORTO DI LAVORO»
IL DIRITTO DI ACCESSO (art.15)

84 Gestione Rapporti di Lavoro: P.G. 03/11/2006
IL DIRITTO DI ACCESSO Principio di correttezza IN COSA CONSISTE? Diritto del lavoratore Conoscere i dati, l’origine, le finalità… Intervenire sui dati: aggiornarli, rettificarli, integrarli, Inibirne il trattamento per motivi legittimi: farli cancellare ACCESSI A QUALI DATI? Ai Dati Oggettivi contenuti nel fascicolo personale Ma anche ai Dati di Origine Soggettiva note di qualifica/valutazione

85 Gestione Rapporti di Lavoro: P.G. 03/11/2006
IL DIRITTO DI ACCESSO Modalità di esercizio Richiesta senza formalità Verifica identità del richiedente Comunicazione in chiaro e intellegibile Ammessa risposta orale, risposta scritta ove richiesta Consentita esibizione del fascicolo, se estrazione dei dati difficoltosa

86 Gestione Rapporti di Lavoro: P.G. 03/11/2006
IL DIRITTO DI ACCESSO Limiti alle richieste NO RETTIFICA DEI DATI VALUTATIVI PRECLUSO L’ACCESSO AI DATI «NON DEFINITIVI» LIMITATO AI DATI EFFETTIVAMENTE DETENUTI OGGETTO DI ATTUALE TRATTAMENTO - No dati cancellati per esaurimento dello scopo DATI CHE SIANO NELL’EFFETTIVA DISPONIBILITA’ DEL TITOLARE: - No dati oggetto di corrispondenza tra dipendenti

87 Gestione Rapporti di Lavoro: P.G. 03/11/2006
IL DIRITTO DI ACCESSO Risposta al dipendente (art.12) SENZA GIUSTIFICATO RITARDO ENTRO 1 MESE + 2 MESI DI PROROGA SE COMPLESSA COMUNQUE INFORMARE L’INTERESSATO ENTRO 1 MESE MANCATA RISPOSTA - Ricorso a Garante o Aut. Giudiziaria

88 PROVVEDIMENTO GENERALE DEL GARANTE «GESTIONE RAPPORTO DI LAVORO»
DATI SULLA SALUTE

89 Gestione Rapporti di Lavoro: P.G. 03/11/2006
DATI SULLA SALUTE Assenza per malattia IL CERTIFICATO DI MALATTIA E’ «DATO SENSIBILE» Anche in assenza di diagnosi IL DATORE DI LAVORO NON E’ TENUTO A CONOSCERE LA DIAGNOSI - Qualora il certificato includa sia prognosi che diagnosi il datore di lavoro deve oscurare la diagnosi

90 Gestione Rapporti di Lavoro: P.G. 03/11/2006
DATI SULLA SALUTE Quando è conoscibile lo stato di salute CONDIZIONI DI LICEITA’ Obbligo di legge o contratto Nei limiti delle sole informazioni pertinenti e non eccedenti Per il godimento di particolari benefici ESEMPI Categorie protette/programmi di riabilitazione tossicodipendenza Comunicazione a Inail (infortuni/malattie prof.) Comunicazione a Inps (indennità/visite controllo)

91 PROVVEDIMENTO GENERALE DEL GARANTE «GESTIONE RAPPORTO DI LAVORO»
MEDICO AZIENDALE Gestione Rapporti di Lavoro: P.G. 03/11/2006

92 Gestione Rapporti di Lavoro: P.G. 03/11/2006
MEDICO AZIENDALE Igiene e Sicurezza sul Lavoro (D.Lgs n.81/2008) COMPITI DEL MEDICO Sorveglianza sanitaria obbligatoria Accertamenti periodici sui lavoratori Tenuta cartella clinica Adozione misure di sicurezza per segreto professionale COMPITI DELL’AZIENDA Custodia delle cartelle in locali protetti Divieto di accedere al contenuto delle cartelle Adozione delle misure protettive del lavoratore segnalate dal medico Divieto di conoscere patologie. Solo la sintesi «idoneo» Trasmissione a ISPESL cartella originale in busta chiusa alla cessazione del rapporto di lavoro

93 PROVVEDIMENTO GENERALE DEL GARANTE «GESTIONE RAPPORTO DI LAVORO»
COMUNICAZIONE E DIFFUSIONE DEI DATI

94 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Definizioni COMUNICAZIONE (art.4,1 ICdp) Dare conoscenza dei dati a uno o più soggetti determinati diversi da Interessato Responsabile Incaricato DIFFUSIONE (art.4,1,m Cdp) - Dare conoscenza dei dati a soggetti indeterminati

95 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Quali sono le condizioni che le consentono CONSENSO DEL LAVORATORE + PER DATI SENSIBILI/GIUDIZIARI: AUTORIZZ. GARANTE OPPURE CONDIZIONI LICEITA’ ALTERNATIVE AL CONSENSO art.6 Reg. Eu (ex24cdp) DATI COMUNI: obbligo di legge/contratto di lavoro, legittimo interesse del Titolare, interesse pubblico… Art.9 Reg. Eu (ex26cdp) DATI PARTICOLARI/EX SENSIBILI: Obbligo di legge, contratto collettivo per la gestione del rapporto di lavoro, sicurezza sociale, medicina del lavoro …

96 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Esempio n.1 COMUNICAZIONE A Familiari/Parenti/Conoscenti Associazioni di categoria Terzi esterni in generale (Non Responsabili esterni) CONDIZIONI DI LICEITA’: - Consenso del lavoratore

97 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Esempio n.2 UTILIZZO INTRANET AZIENDALE Per divulgazione Foto Curriculum Informazioni anagrafiche … CONDIZIONI DI LICEITA’: - Consenso del lavoratore

98 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Esempio n.3 AFFISSIONE IN BACHECHE AZIENDALI CONDIZIONI DI LICEITA’: esecuzione contratto di lavoro nei limiti dei principi di finalità e pertinenza In tal caso non serve il Consenso OPERAZIONI CONSENTITE OPERAZIONI NON CONSENTITE Divulgazione delle mansioni Organizzazione lavoro Turni, ordini di servizio emolumenti, sanzioni disciplinari, controversie Assenze per malattia, condizioni particolari, handicap Iscrizioni ad associazioni

99 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Esempio n.4 UTILIZZO BADGES PER FINI INTERNI PER FINI ESTERNI IN ENTRATA/USCITA PER RICON. COLLEGHI RAPPORTI CON I CLIENTI CONDIZIONE DI LICEITA’ Consenso lavoratore oppure - Obbligo contrattuale se contenuto in accordi sindacali Esecuzione contratto + Principio di pertinenza/non eccedenza NO dati identificativi diretti. Es: generalità SI dati indiretti. Es: Codice, ruolo…

100 Gestione Rapporti di Lavoro: P.G. 03/11/2006
COMUNICAZIONE E DIFFUSIONE DEI DATI Esempio n.5 OUTSOURCING COMUNICAZIONE DATI A TERZI PER «ESTERNALIZZAZIONE» DI ATTIVITA’ CONDIZIONE DI LICEITA’ - Nomina a responsabile esterno

101 L’OUTSOURCING Esternalizzazione di attività (art.28)

102 Outsourcing Di cosa di tratta Esempi:
l’esternalizzazione di una attività da parte di una Organizzazione ad un «soggetto esterno» L’attività, che comporta il trattamento di dati personali, viene svolta dal soggetto esterno «per conto» di un altro soggetto Esempi: Predisposizione cedolini, archiviazione… Gestione sistema informativo Call center Agenti Gestione eventi ….

103 Outsourcing La normativa (art.28) Quesito: Risposta
Cosa prevede il Regolamento Ue in caso di outsourcing? Risposta - Chi svolge attività «per conto di…» è obbligatoriamente un Responsabile privacy «ESTERNO»

104 Da Azienda a Società esterna Da società Esterna all’Azienda
Outsourcing DUE IPOTESI Gestione di attività per conto di altri OBBLIGHI - Contratto scritto (o atto equipollente) Ruolo di Responsabile «esterno» con assegnazione compiti di cui art.28 Reg Ue (+ eventuali altri di cui a Provv. Garante ESTERNALIZZAZIONE Da Azienda a Società esterna INTERNALIZZAZIONE Da società Esterna all’Azienda L’Azienda commissiona il servizio a una Società esterna (es. elaborazione cedolini) L’Azienda è il Titolare del trattamento La Società esterna che svolge attività «per conto dell’azienda» assume il ruolo di Responsabile del trattamento Il dipendente della Società esterna che svolge l’attività per conto dell’Azienda ha il ruolo di Incaricato (dalla Società esterna – Responsabile) Una Società esterna commissiona il servizio all’Azienda La società esterna è il Titolare del trattamento L’Azienda che svolge attività «per conto della Società esterna» assume il ruolo di Responsabile del trattamento Il dipendente dell’Azienda che svolge l’attività per conto dell’Azienda che svolge l’attività per conto della Società Esterna ha il ruolo di Incaricato (dall’Azienda – Responsabile)

105 Obblighi contrattuali previsti dall’art.28 Reg. Ue.
Outsourcing Obblighi contrattuali previsti dall’art.28 Reg. Ue. Il contratto di servizio deve includere i seguenti obblighi privacy (minimi) Dovere disciplinare La materia esternalizzata, la durata, la natura e finalità del trattamento, il tipo di dati, le categorie di interessati e i diritti del Titolare Deve includere i seguenti obblighi per il Responsabile esterno Trattare i dati soltanto su istruzioni documentate del Titolare, anche in caso di trasferimento extra Ue Garantire che gli incaricati siano obbligati al rispetto della privacy Adottare misure di sicurezza adeguate Assistere il Titolare nel garantire il rispetto degli obblighi di Sicurezza, Data Breach, Valutazione preventiva di impatto, Prior checking con Garante Divieto di sub-appalto senza accordo preventivo del Titolare Cancellare i dati o restituirli al titolare alla fine del servizio Consentire attività di verifica, controllo e ispezione del Titolare Informare il Titolare dei casi di violazione della privacy

106 La Videosorveglianza sul luogo di lavoro
Provv. Generale del Garante 08/04/2010

107 PREMESSA: LE IMMAGINI SONO DATI PERSONALI
Videosorveglianza Principi da applicare PREMESSA: LE IMMAGINI SONO DATI PERSONALI PRINCIPIO DI NECESSITA’ E MINIMIZZAZIONE - Non utilizzare dati personali se finalità realizzabile con dati anonimi PRINCIPIO DI LICEITA’ - Consenso Oppure in alternativa Legittimo interesse: solo se a fini di tutela di persone e beni vs furti, vandalismi, prevenzione incendi, sicurezza del lavoro …

108 Videosorveglianza Principi da applicare PRINCIPIO DI TRASPARENZA
Informativa breve: cartellonistica Visibile anche di notte; Collocata nei dintorni, prima del raggio di azione; Informativa estesa Completa (art.13) Agevolmente disponibile

109 Videosorveglianza Principi da applicare
PROPORZIONALITA’, PERTINENZA, NON ECCEDENZA Limitare angolo visuale Solo immagini indispensabili Evitare immagini dettagliate, zoom Per immagini promozionali (es. webcam) Solo con soggetti non identificabili

110 Videosorveglianza Prescrizioni ACCORDO SINDACALE
Legge n.300/19790 – Divieto di controllo a distanza Modulo Ministero se assenza accordo con le rappresentanze sindacali CONSERVAZIONE IMMAGINI - Standard < 24h - Max 1 settimana per esigenze da documentare - Oltre 1 settimana solo se autorizzato dal Garante VERIFICA PRELIMINARE GARANTE Conservazione immagini > 1 settimana Uso di sistemi intelligenti (es: motion detection) Uso di riconoscimento dati biometrici + notifica

111 Videosorveglianza Prescrizioni MISURE DI SICUREZZA
Cancellare automaticamente i dati allo scadere del tempo di conservazione Suddividere compiti tra gli Incaricati in funzione della mansione Chi può solo visionare/registrare Individuare diversi livelli di accesso alle immagini Sorvegliare l’attività di manutenzione UTILIZZO RETE PUBBLICA - Crittografia per trasmissione dati OUTSOURCING – Esternalizzazione dell’attività Il Fornitore deve assumere il ruolo di Responsabile privacy «esterno» (art.28 Reg Ue)

112 Videosorveglianza Prescrizioni DIRITTO DI ACCESSO POLICY INTERNA
Garantire diritto di accesso dell’interessato Limitare alle «proprie» immagini POLICY INTERNA Documentazione delle scelte: principi, finalità, durata… devono essere documentate per iscritto Documento conservato e reso disponibile agli interessati e al Garante FORMAZIONE - Iniziative periodiche di formazione degli Incaricati