R EGO LAMEN TO U E 2016/679 REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
Privacy: un tassello importante nella vostra attività
Nadia Germano, consulente in materia di «Protezione dei dati personali»
Normativa Cosa cambia con il “Regolamento UE 2016/679?
Il Regolamento Europeo, approvato il 27/04/2016, pubblicato su Gazzetta Europea il 04/05/2016, va ad abrogare il 96/46/CE e pone come termine ultimo per l’adeguamento il 24 Maggio 2018. Il 25 Maggio 2018 occorre ESSERE AGGIORNATI alla nuova direttiva!!!
Ma cosa cambia?
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 2
Le principali novità! Accountability! Informativa Registro dei trattamenti Richiesta autorizzazione per Subresponsabili Data Breach (Violazioni di dati personali)
Valutazione d’impatto DPO (Data Protection Officer)
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 3
Accountability! Art. 5 e Art. 24
L’art. 5 individua nel Titolare del trattamento il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina (liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza) con una serie di adempimenti verificabili nei fatti. L’art. 24 prevede che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Il concetto di “accountability” lascia la libertà nella gestione della protezione dei dati, ma tale maggiore libertà è accompagnata dall’onere di dimostrare le motivazioni che hanno portato all’adozione di una determinata decisione, oltre che di documentare le scelte effettuate.
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 4
Informativa Art. 13
L'art. 12 definisce "informativa", quel nucleo di informazioni che il titolare del trattamento è tenuto a fornire ai soggetti di cui si appresta a trattare i dati, l'art. 13 enumera le informazioni che il titolare deve fornire all'interessato, qualora i dati personali siano raccolti presso di lui, mentre l'art. 14 elenca quelle da rendersi ove i dati invece siano raccolti presso un soggetto diverso dall'interessato. La nuova informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 5
Registro dei trattamenti Art. 25
Il Registro dei Trattamenti è un documento in cui il Titolare deve tenere traccia documentale delle operazioni di trattamento effettuate indicando una serie di informazioni di dettaglio, quali le finalità del trattamento, le categorie di interessati e dei dati personali, la base giuridica su cui si fonda, il periodo di conservazione dei dati, gli eventuali trasferimenti verso Paesi terzi e le misure di sicurezza applicate. Ma la tenuta del registro NON è obbligatoria per le imprese con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie particolari di dati (es. dati biometrici, dati sanitari, ecc,) o i dati personali relativi a condanne penali. Il Registro dei trattamenti resta fortemente consigliato.
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 6
Richiesta autorizzazione per Subresponsabili Art. 28
Una nuova figura è il Sub-Responsabile del trattamento, un soggetto che può essere nominato Responsabile del trattamento da parte di un Responsabile nominato dal titolare, al fine di svolgere specifiche attività di trattamento. Il Sub-Responsabile è tenuto a rispettare i medesimi obblighi contrattuali che legano il Titolare al primo Responsabile. Il Responsabile è tenuto ad informare previamente il Titolare del fatto che intende avvalersi di un altro soggetto nell’ambito del trattamento per cui è stato designato. A rispondere davanti al Titolare è il primo Responsabile che ha un rapporto diretto con il Titolare, e la responsabilità grava in capo al primo Responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno non dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (art. 82, paragrafi 1 e 3).
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 7
Data Breach (Violazioni di dati personali) Art. 33
Una grossa novità nello scenario della sicurezza dei dati è la necessità di notificare la violazione dei propri sistemi informatici (ossia un data breach) al Garante. Inoltre, l’art. 34 estende, in alcuni casi, tale notifica a tutti gli interessati! Scatta, quindi, un obbligo di autodenuncia: entro 72 ore da cui si viene a conoscenza di una violazione dei propri sistemi informatici è necessario seguire una procedura che notifichi la violazione all’autorità Garante della Privacy.
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 8
Valutazione d’impatto Art. 35
Lo strumento principe che consente di conoscere a fondo i processi di trattamento dei dati è la Valutazione di impatto sul trattamento dei dati. La necessità di assicurare trasparenza e protezione nelle operazioni di trattamento dei dati personali, infatti, impone in capo al Titolare del trattamento l’onere di effettuare una preliminare valutazione di impatto privacy. La valutazione deve contenere una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione dei rischi per i diritti e le libertà degli interessati e le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al nuovo Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 9
DPO Art. 37
Il DPO (Data Protection Officer), figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO è obbligatorio quando: - il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, - le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, - le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati particolari sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 10
Riassumendo Fondamenti di liceità del trattamento Informativa Diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità) Titolare, responsabile, incaricato del trattamento
Approccio basato sul rischio e misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati, DPO)
Nadia Germano, consulente in materia di «Protezione dei dati personali»
pag. 11
Privacy: un tassello importante nella vostra attivitĂ
Nadia Germano, consulente in materia di ÂŤProtezione dei dati personaliÂť
www.nadiagermano.it - tel. 320 8734749 - nadia.germano@gmail.com