Ed. 05/2014
Le novitĂ del Regolamento Europeo 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchĂŠ alla libera circolazione di tali dati Dott.ssa Ilaria Andrisani
1
Evoluzione normativa
Ed. 05/2014
27 aprile 2016 Approvazione da parte del Parlamento Europeo e del Consiglio 4 maggio 2016 Pubblicato sulla Gazzetta Ufficiale UE 24 maggio 2018
Termine ultimo per l’adeguamento (dal 25 maggio il GDPR sarà immediatamente efficace per gli Stati membri) Il Regolamento abrogherà la Direttiva 95/46/CE Ad oggi però il D.Lgs 196/2003 è ancora in vigore 2
Le novità del GDPR
Ed. 05/2014
IL PRINCIPIO DI ACCOUNTABILITY Pilastro su cui si fonda l’impianto normativo del GDPR Il Titolare del trattamento è competente per il rispetto dei principi enunciati nell’art. 5 del GDPR (liceità, correttezza, trasparenza; Limitazione delle finalità, minimizzazione dei dati; Esattezza; Limitazione della conservazione; Integrità e riservatezza) ed in grado di comprovarlo (Art. 5) il Titolare del trattamento deve mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. (Art. 24)
3
Le novità del GDPR
Ed. 05/2014
IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità (Art 30)
Quando è obbligatorio: -l’organizzazione ha più di 250 dipendenti -il trattamento può presentare un rischio per i diritti e le libertà dell’interessato -il trattamento non è occasionale o include il trattamento di dati sensibili (Art. 9 par.1, Art. 10)
4
Le novitĂ del GDPR
Ed. 05/2014
Cosa contiene il Registro del Titolare del trattamento?
-Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare, del rappresentante del titolare e del DPO; -Le finalitĂ del trattamento; -La descrizione delle categorie di interessati e delle categorie di dati personali; -Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi; -Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione; -I termini ultimi previsti per la cancellazione delle diverse categorie di dati; -Una descrizione generale delle misure di sicurezza tecniche e organizzative.
5
Le novitĂ del GDPR Anche il Responsabile del trattamento (e, ove applicabile il suo rappresentante) tiene il Registro dei trattamenti
-il nome e i dati di contatto del responsabile o dei responsabili del trattamento; -il nome e i dati di contatto di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; -le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; -se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione; -una descrizione generale delle misure di sicurezza tecniche e organizzative.
Ed. 05/2014
Le novitĂ del GDPR
Ed. 05/2014
LA VALUTAZIONE DEI RISCHI Il titolare e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (Art. 32, par. 1) Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare da distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (Art 32, par. 2) Serve quindi un'analisi preventiva sul rischio inerente al trattamento, tenendo conto delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi
7
Le novità del GDPR
Ed. 05/2014
LA VALUTAZIONE DELL’IMPATTO (DPIA) Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il titolare svolge una valutazione di impatto prima di darvi inizio.
In particolare: valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato
trattamento, su larga scala, di dati sensibili (Art. 9, par.1 , Art 10) sorveglianza sistematica su larga scala di una zona accessibile al pubblico
8
Le novità del GDPR
Ed. 05/2014
La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
9
Le novitĂ del GDPR
Ed. 05/2014
I SUB RESPONSABILI Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando cosĂŹ al titolare del trattamento l'opportunitĂ di opporsi a tali modifiche
10
Le novità del GDPR
Ed. 05/2014
IL DATA PROTECTION OFFICER Il Responsabile della protezione dei dati (DPO) viene designato sistematicamente dal Titolare del trattamento e dal Responsabile del trattamento in casi specifici:
se il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (escluse le autorità giurisdizionali)
se i trattamenti svolti dal titolare o del responsabile del trattamento richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
se i trattamenti svolti dal titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di dati sensibili (Art. 9, par.1, Art 10)
11
Le novitĂ del GDPR
Ed. 05/2014
Le caratteristiche del DPO Deve essere designato per la sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati Deve rimanere indipendente rispetto all’organizzazione da cui ha ricevuto la nomina Può svolgere altri compiti e funzioni interne all'organizzazione che lo nomina, ma solo se tali compiti e funzioni non generino conflitto di interessi E’ il punto di riferimento degli interessati: possono contattarlo per tutte le questioni relative al trattamento dei loro dati e all'esercizio dei loro diritti
12
Le novitĂ del GDPR
Ed. 05/2014
I compiti del DPO
a) informare e fornire consulenza in merito agli obblighi in materia di protezione dei dati personali; b) sorvegliare l'osservanza delle disposizioni in materia di protezione dei dati, nonchĂŠ delle politiche del titolare o del responsabile del trattamento; c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento; d) cooperare con l'autoritĂ di controllo e fungere da punto di contatto per la stessa
13
Le novità del GDPR
Ed. 05/2014
LA NOTIFICA DI UNA VIOLAZIONE DEI DATI PERSONALI ALL’AUTORITÀ DI CONTROLLO (data breach) In caso di violazione di dati personali, il titolare del trattamento deve notificarla all'autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza
• • • • •
Contenuti della notifica descrizione della natura della violazione descrizione delle categorie e il numero approssimativo di interessati; comunicazione del contatto del DPO (o di altro punto di contatto); descrizione delle probabili conseguenze della violazione; descrizione delle misure che il titolare abbia adottato o che si propone di adottare per rimediare alla violazione occorsa e per attenuarne i possibili effetti negativi.
14
Le novità del GDPR LE SANZIONI
Sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo
Viene lasciato a discrezione di ciascun Stato membro definire le sanzioni specifiche
Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie siano in ogni singolo caso effettive, proporzionate e dissuasive
Ed. 05/2014