GETSOLUTION

Il nuovo Regolamento Generale

sulla Protezione dei Dati Personali
Cosa cambia nella Privacy e cosa fare nei prossimi due anni?

A cura del Gruppo di Lavoro Assintel

Sicurezza Informatica
Paola Generali
Managing Director Get Solution
 GETSOLUTION

Profilo Paola Generali

Dopo la laurea in Scienze Bancarie Finanziarie ed Assicurative alluniversit Cattolica di Milano, inizia
a lavorare per un importante societ di consulenza del settore ICT occupandosi di compliance e
sicurezza dei sistemi informativi, svolgendo prima e gestendo poi numerosi progetti in tale ambito.
Successivamente diviene, per un altra importante societ di consulenza, responsabile della divisione
Information security gestendo progetti complessi per aziende sia italiane che internazionali.
Nel 2003 fonda GetSolution societ di consulenza specializzata nellambito della Compliance,
sicurezza dei sistemi informativi e governance.
E membro del:
Gruppo di Lavoro Sicurezza Informatica di Assintel.
Gruppo di lavoro di UNINFO Serie ISO/IEC 27000 sullInformation Security Management
System.
Gruppo di lavoro Profili professionali relativi alla Privacy della UNI/CT 526 UNINFO APNR
partecipando attivamente allEditing Commitee delle relative norme.

Da circa 15 anni svolge attivit di docenza sia presso istituiti di formazione internazionali che in master
univesitari.
 GETSOLUTION

Presentazione

GETSOLUTION una societ di consulenza specializzata nellambito della compliance, della

sicurezza dei sistemi informativi e della governance aziendale.
GETSOLUTION si occupa di Privacy Law e di Sicurezza dei Sistemi Informativi da pi di un decennio,
svolgendo progetti molto complessi presso clienti di medie e grandi dimensioni sia italiani che
internazionali.
Abbiamo una grande esperienza sia in Italia che a livello internazionale: ci occupiamo di tematiche
complesse quali i Big Data, Profilazione, Anonimizzazione, Pseudonimizzazione, Dati Aggregati,
Dati Biometrici, Dati Genetici, Trattamento di dati Particolari su larga scala (gli attuali dati
sensibili) affrontando quotidianamente problematiche estremamente sfidanti ma ovviamente molto
stimolanti.
GETSOLUTION collabora con i propri clienti per supportarli su tutti gli aspetti che riguardano la
compliance, la sicurezza dei sistemi informativi, la governance e la formazione relativa agli
adempimenti. Tutto questo viene svolto con grande attenzione alla responsabilit sociale dimpresa,
in quanto insieme vogliamo dare un valido contributo alla societ nella quale viviamo.
Per maggiori informazioni www.getsolution.it
 GETSOLUTION

Riforma in materia di protezione dei dati

Nel 2012 la Commissione Europea ha proposto una Riforma in materia di
protezione dei dati personali. La riforma comprende due proposte legislative:

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI

(General Data Protection Regulation - GDPR)
Ha lobiettivo di fortificare i diritti delle persone fisiche in merito alla protezione
dei propri dati personali e unificare la Normativa allinterno di tutta lUnione
Europea, sostituendo le diverse leggi nazionali presenti nei diversi Paesi
Membri.
Il Regolamento abrogher la Direttiva 95/46/CE, recepita dallattuale D.lgs.
196/2003 (c.d. Codice Privacy).

DIRETTIVA SULLA PROTEZIONE DEI DATI PERSONALI

Disciplina il trattamento dei dati effettuato dalla Polizia e dalle Autorit giudiziarie
penali ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o
esecuzione delle sanzioni penali.
 GETSOLUTION

Entrata in vigore e Recepimento

Regolamento Europeo sulla protezione dei dati

Entrata in vigore:
Approvazione ufficiale del Effettiva applicazione:
Parlamento: dal ventesimo giorno
a decorrere da due anni da
successivo alla pubblicazione
Marzo 2016 (ipotesi) tale data.
nella Gazzetta ufficiale

Direttiva Europea sulla protezione dei dati

Entrata in vigore: Effettiva applicazione:

Approvazione ufficiale del
Parlamento: entro due anni dalla La Direttiva deve essere
pubblicazione nella Gazzetta RECEPITA dagli Stati Membri
Marzo 2016 (ipotesi)
Ufficiale entro due anni
 GETSOLUTION

Entrata in vigore e Recepimento

Nonostante il Regolamento generale non sar da recepire con normative

nazionali, ci saranno diversi aspetti che dovranno essere disciplinati
dallAutorit Garante nazionale, cos come vedremo in alcuni casi pi avanti.
In particolar modo, il Garante si dovr esprimere per ognuno dei
Provvedimenti e Linee Guide di carattere generale emessi fino ad oggi
valutandone la conformit rispetto al Regolamento, modificandoli o
annullandoli.
 GETSOLUTION

Regolamento Generale sulla Data Protection


Privacy By Design (Art. 23)
Codice
Privacy
Limplementazione delle
misure a tutela dei dati
personali avviene quando il
Titolare avvia un
trattamento o decide di
avvalersi di un nuovo
sistema.
GETSOLUTION
Regolamento
Il Regolamento introduce il principio di
protezione dei dati personali gi in
fase di progettazione (by Design) per
qualsiasi tipo di progetto che comporti
lutilizzo di dati personali (sito internet,
software, soluzione IT, ambiente di
lavoro, etc.).
 GETSOLUTION

Privacy By Default (Art. 23)

Codice Privacy
Regolamento
Il D.lgs. 196/2003 stabilisce il
principio di necessit nel Il Regolamento impone che il Controller
trattamento dei dati, adotti opportune misure per garantire che
imponendo la configurazione dei siano trattati di default solo i dati personali
sistemi e dei programmi in modo necessari in ogni fase del trattamento:
da ridurre al minimo lutilizzo di
dati personali e identificativi, dalla raccolta alla cancellazione dei dati e non
soprattutto se le finalit soltanto durante lelaborazione.
consentono un trattamento di
dati anonimi o permettono di
identificare l'interessato solo in
caso di necessit.
 GETSOLUTION

Privacy By Design e By Default (Art. 23)

Politiche interne e misure adeguate che soddisfino i principi di protezione dei dati fin dalla
progettazione e di default:
Minimizzazione dei dati personali gi in fase di raccolta;
Pseudonimizzazione dei dati personali;

Sistemi gi predisposti alla cancellazione dei dati dopo il termine stabilito;

Accesso ai dati consentito solo per soggetti autorizzati al trattamento;

Trasparenza nei confronti dei soggetti interessati con informative chiare;

Modalit facili e veloci per consentire allutente di avere accesso ai dati personali e
controllare o modificare le condizioni del trattamento;

Il principio di privacy by design e by default dovrebbe essere rispettato anche dai

fornitori in fase di sviluppo di sistemi, prodotti o servizi.
 GETSOLUTION

Ambiti territoriali di applicazione (Art. 3)

Codice Privacy Regolamento Generale

si applica al trattamento di dati si applica al trattamento dei dati personali

personali, anche conservati effettuato nellambito delle attivit di un soggetto
all'Estero, svolto da soggetti stabiliti stabilito nellUnione.
nello Stato Italiano.
si applica al trattamento dei dati personali di
si applica al trattamento di dati cittadini europei effettuato da un soggetto che
personali effettuato da soggetti non non stabilito nellUnione, indipendentemente
stabiliti nel territorio Italiano ma che dalla forma giuridica assunta (succursale, filiale,
si avvalgono di strumenti situati nel etc.), quando riguarda:
territorio dello Stato, a meno che l'offerta di beni o la prestazione di servizi
essi siano utilizzati solo ai fini di (anche a titolo gratuito);
transito.
il controllo del comportamento dei cittadini
nell'Unione europea.

Dati Personali (Art. 4)
Definizione Codice Privacy
Dato personale: qualunque
informazione relativa a persona
fisica, identificata o identificabile,
anche indirettamente, mediante
riferimento a qualsiasi altra
informazione, ivi compreso un
numero di identificazione
personale;
Dati identificativi: i dati personali
che permettono l'identificazione
diretta dell'interessato
GETSOLUTION
Definizione Regolamento
Dati personali: qualsiasi informazione
concernente una persona fisica
identificata o identificabile
("interessato"), direttamente o
indirettamente:
il nome
un numero di identificazione
dati relativi allubicazione
un identificativo online
uno o pi elementi caratteristici
dellidentit (fisica, fisiologica,
genetica, psichica, economica, etc.).
 GETSOLUTION

Dati personali

Per stabilire se un soggetto pu essere identificato necessario

considerare i mezzi di cui pu ragionevolmente avvalersi il Data
Controller, i costi e il tempo necessario per l'identificazione,
tenendo conto sia delle tecnologie disponibili al momento del
trattamento, sia dello sviluppo tecnologico.
 GETSOLUTION

Nuove categorie di Dati Personali (Art. 4)

Atre tipologie di dati personali la cui definizione stata introdotta ufficialmente dal
Regolamento:
Dati Genetici

Tutti i dati personali riguardanti le

caratteristiche genetiche di una persona
fisica, ereditarie o acquisite, che forniscono
informazioni uniche sulla fisionomia o sulla
salute dell'individuo considerato, ottenuti in
particolare dall'analisi di un campione
biologico della persona in questione.
 GETSOLUTION

Nuove categorie di Dati Personali (Art. 4)

Atre tipologie di dati personali la cui definizione stata introdotta ufficialmente dal
Regolamento:
Dati Biometrici

I dati personali ottenuti da un

trattamento tecnico specifico, relativi alle
caratteristiche fisiche, fisiologiche o
comportamentali di una persona, che ne
consentono o confermano
lidentificazione univoca, quali limmagine
facciale o i rilievi dattiloscopici;
 GETSOLUTION

Nuove categorie di Dati Personali (Art. 4)

Dati relativi alla salute
I dati attinenti alla salute fisica o mentale di una persona, inclusa la prestazione
di servizi sanitari, che rivelano informazioni relative al suo stato di salute:

informazioni sulle richieste di prestazione di servizi sanitari;

un numero, simbolo o elemento specifico attribuito per identificare
linteressato in modo univoco a fini sanitari;
le informazioni risultanti da esami e controlli effettuati su una parte del
corpo o una sostanza organica, compresi i dati genetici e i campioni biologici;
qualsiasi informazione riguardante una malattia, linvalidit, il rischio di
malattie;
lanamnesi medica;
i trattamenti clinici;
leffettivo stato fisiologico o biomedico.

Nuove categorie di Dati Personali (Art. 4)
Definizione Codice Privacy
Non esiste una definizione di dato
pseudo-anonimo o di
pseudonimizzazione dei dati.
E presente solo lindividuazione
del "dato anonimo": il dato che in
origine, o a seguito di trattamento,
non pu essere associato ad un
interessato identificato o
identificabile.
GETSOLUTION
Definizione Regolamento
Pseudonimizzazione: il trattamento dei dati
personali in modo tale che i dati non possano
essere pi attribuiti ad un interessato specifico
senza l'utilizzo di informazioni aggiuntive,
sempre che tali informazioni aggiuntive siano
conservate separatamente e soggette a misure
tecniche e organizzative intese a garantire la
non attribuzione a una persona identificata o
identificabile.
Come per il Codice Privacy, il Regolamento non
si applica al trattamento di informazioni
anonime.
 GETSOLUTION

Pseudonimizzazione

L'applicazione della pseudonimizzazione ai dati personali una

garanzia aggiuntiva volta a ridurre i rischi connessi al
trattamento di dati personali.

Tale tecnica non deve essere considerata come unalternativa

ad altre misure di protezione dei dati.

Categorie Particolari di Dati Personali (Art. 9)
Definizione Codice Privacy
Dati Sensibili: i dati personali
idonei a rivelare l'origine razziale
ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le
opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale,
nonch i dati personali idonei a
rivelare lo stato di salute e la vita
sessuale.
GETSOLUTION
Definizione Regolamento
Il Regolamento individua delle categorie di dati
personali che rientrano nella definizione di
Particolari:
I dati personali che rivelano lorigine razziale
o etnica;
le opinioni politiche;
le convinzioni religiose o filosofiche;
lappartenenza sindacale;
i dati genetici;
i dati relativi alla salute;
i dati relativi alla vita sessuale.
 GETSOLUTION

Categorie Particolari di Dati Personali (Art. 9)

Il Regolamento vieta il trattamento di categorie particolari di dati personali, ad eccezione
dei seguenti casi, alcuni dei quali non erano previsti dal Codice Privacy:
previo consenso esplicito al trattamento;
nellambito delle legittime attivit da parte di una fondazione, associazione o altro
organismo senza scopo di lucro;
per salvaguardare un interesse vitale;
per accertare, esercitare o difendere un diritto in sede giudiziaria;
per motivi di interesse pubblico;
per finalit di archiviazione,storiche, statistiche o scientifiche nel pubblico interesse;
per dati personali resi manifestamente pubblici dallinteressato (laddove il
trattamento sia effettuato nell'interesse dell'interessato);
in materia di diritto del lavoro, sicurezza e protezione sociale;
per finalit di prevenzione diagnosi, assistenza o terapia medico-sanitaria o di
medicina del lavoro (se da parte o sotto la responsabilit di un professionista soggetto al
segreto professionale).
 GETSOLUTION

Categorie Particolari di Dati Personali (Art. 9)

Gli Stati membri possono mantenere o introdurre disposizioni

pi specifiche per quanto riguarda i dati genetici o i dati relativi
alla salute. Ci comprende la possibilit per gli Stati membri di
introdurre ulteriori condizioni per il trattamento di tali dati.
 GETSOLUTION

Data Controller (Art. 4)

Codice Privacy Regolamento Definizione

Soggetto che determina le

Titolare del
Data Controller finalit e i mezzi del trattamento di
trattamento
dati personali
 GETSOLUTION

Obblighi del Data Controller (Art. 22)

Il Data Controller tenuto a:
Implementare opportune misure di sicurezza
misure tecniche e organizzative adeguate politiche in materia di
protezione dei dati
protezione dei dati dalla progettazione e di default
Tali misure devono tener conto della natura, dell'oggetto, del contesto e delle finalit
del trattamento, nonch del rischio per i diritti e le libert delle persone fisiche.
Dimostrare la conformit delle operazioni di trattamento rispetto ai principi sanciti
dal Regolamento, ad esempio tramite:
registro delle categorie di attivit di trattamento (per taluni casi un obbligo)
adesione a un meccanismo di adesione a codici di condotta approvati
certificazione approvato
 GETSOLUTION

Responsabilit del Data Controller (Art. 77)

Codice Privacy Regolamento Generale

Nei confronti dei soggetti Il Regolamento stabilisce che il soggetto interessato pu

interessati il Titolare del richiedere al Data Controller il risarcimento dei danni
trattamento responsabile subiti da un trattamento; in tal caso il Controller tenuto
per eventuali danni cagionati a risponderne direttamente e interamente.
in base a quanto stabilisce
l'articolo 2050 del Codice
Civile.
 GETSOLUTION

Data Processor (Art. 4)

Codice Privacy Regolamento Definizione

Responsabile
del trattamento Soggetto che elabora dati personali per
Data Processor
interno o conto del Data Controller
esterno

I Processor sono scelti dal Controller anche in funzione delle garanzie che offrono per
ladozione di misure tecniche ed organizzative nel rispetto del Regolamento.

Il trattamento affidato ai Data Processor deve essere regolamentato da un contratto o da

altro atto giuridico a norma che vincoli il Processor al Controller e disciplini tutti gli
aspetti relativi alle operazioni di trattamento (finalit, durata, natura dei dati, misure di
sicurezza, etc.).
 GETSOLUTION

Obblighi del Data Processor (Art. 26)

trattare i dati personali eseguendo le istruzioni fornite dal Controller

assicurare che le persone autorizzate a trattare i dati personali si siano impegnate a
rispettare vincoli di riservatezza
implementare e mantenere tutte le misure tecniche e organizzative adeguate

rendersi disponibile a audit di verifica da parte del Data Controller

assistere il Data Controller per la gestione delle richieste di diritto daccesso e per gli altri
obblighi imposti dal Regolamento
su richiesta del Controller cancellare o restituire i dati personali al termine del
trattamento
fornire al Controller qualsiasi informazione necessaria per dimostrare il rispetto del
Regolamento
 GETSOLUTION

Responsabilit del Processor (Artt. 26 e 77)

Regolamento Generale

Il Data Processor non pu avvalersi di un altro soggetto senza ricevere espressa e

documentata autorizzazione dal Data Controller, il quale ha anche la facolt di rifiutarsi.

Nei casi in cui il Processor deleghi in tutto o in parte il trattamento ad un altro Data
Processor tenuto ad imporre tramite contratto o atto giuridico i medesimi doveri in
materia di protezione dei dati personali che il Controller gli ha prescritto.

Il Data Processor mantiene la totale responsabilit nei confronti del Controller anche nel
caso in cui linadempienza degli obblighi in materia di protezione dei dati derivi dallaltro
Processor.

Il Data Processor pu rispondere per il danno cagionato ad un Interessato se si dimostra

che non ha soddisfatto i propri obblighi previsti dal Regolamento o ha eseguito il
trattamento in contrasto a quanto stabilito dal Data Controller.
 GETSOLUTION

Responsabilit del Processor (Artt. 26 e 77)

Codice Privacy Regolamento Definizione

Soggetto che ha Soggetto che accede ai dati personali e

Incaricato del
accesso ai dati li elabora sotto lautorit del Data
trattamento
personali Controller o Processor.

Qualsiasi persona che agisce sotto l'autorit del Data Controller o Processor, che
ha accesso ai dati personali, pu trattarli solo su istruzione del Controller o se imposto
dalla legge o degli Stati Membri dell'Unione.
 GETSOLUTION

Soggetti terzi (Art. 24)

Codice Privacy Regolamento Definizione

Soggetto che determina le

Titolare
finalit e i mezzi del trattamento di dati
autonomo del Joint Controller
personali congiuntamente con un
trattamento
Controller

Il Regolamento introduce il principio di corresponsabilit quando due o pi

soggetti stabiliscono insieme le finalit e le modalit del trattamento dei dati
personali.
 GETSOLUTION

Joint controllers (Art. 24)

I Joint Controllers devono stabilire mediante un accordo interno:

le rispettive responsabilit in relazione agli obblighi in materia di protezione

dei dati;
il soggetto che sar individuato come punto di contatto unico per l'esercizio
dei diritti degli interessati;
le modalit per lespletamento delle richieste di diritto daccesso ai dati;
le modalit per fornire unadeguata informativa agli interessati;
i rispettivi ed effettivi ruoli dei Joint Controllers, soprattutto nei confronti
degli interessati.

Il contenuto essenziale dell'accordo deve essere reso disponibile agli

Interessati.
 GETSOLUTION

Data Protection Officer (Art. 35)

Casi in cui deve essere obbligatoriamente nominato un Data Protection Officer
(DPO):

Se il Data Controller unAutorit o un Ente pubblico;

Se lattivit principale del Controller o del Processor comprende il

trattamento di dati che comporta un monitoraggio regolare e sistematico
dei soggetti interessati su larga scala;
se lattivit principale del Controller o del Processor comprende il
trattamento su larga scala di dati particolari e dati relativi a condanne
penali e reati.

Il Data Controller designa il DPO sulla base delle sue qualit professionali, della
conoscenza specialistica della normativa, delle pratiche in materia di protezione dei
dati e per la capacit di adempiere ai compiti previsti dal Regolamento.
 GETSOLUTION

Data Protection Officer (Art. 35)

Il Data Protection Officer ha il dovere e il compito di:

informare e consigliare i soggetti coinvolti in merito alle attivit necessarie

volte a garantire la conformit ai requisiti normativi sulla protezione dei
dati;

esercitare unazione di controllo e vigilanza per ci che attiene l'osservanza

del Regolamento (politiche interne, attribuzione delle responsabilit,
formazione del personale che concorre ai trattamenti, etc.);

essere di supporto per la valutazione d'impatto sulla protezione dei dati e

monitorare lo svolgimento;

essere un punto di contatto per i soggetti interessati, le Autorit di

controllo esterne e le funzioni operative e di controllo interne.
 GETSOLUTION

Certificazione Professionali (Art. 39)

Il Regolamento Generale sulla Protezione dei Dati incentiva l'istituzione di
meccanismi di certificazione finalizzati a riconoscere ufficialmente le
garanzie e le conoscenze in materia di protezione dei dati dei soggetti
esperti professionisti, dei Controller e dei Processor.

Ad oggi non esiste uno schema di riferimento che definisca profili

professionali certificabili in materia di Data Protection.

In previsione dellentrata in vigore del Regolamento, si sta gi lavorando

alla concreta stesura delle norme di certificazione delle diverse figure
professionali, tra cui naturalmente anche il Data Privacy Officer ma non
solo, che poi dovranno essere approvate da UNI/UNINFO e solo in seguito
a questa approvazione diverranno gli unici profili professionali verso cui
potr essere possibile conseguire delle certificazioni valide.
 GETSOLUTION

Diritti degli Interessati (Artt. dal 15 al 19)

Diritto di ottenere la conferma del trattamento
Codice Privacy Diritto di avere accesso ai dati e alle informazioni
Regolamento inerenti il trattamento
Diritto di rettifica
Diritto alla cancellazione
Diritto di limitazione di trattamento solo per
determinate finalit o operazioni di trattamento
Diritto di opposizione ad uno o pi trattamenti
Regolamento

Diritto alloblio
Diritto alla portabilit
 GETSOLUTION

Diritti degli Interessati

Gli Stati Membri possono decidere di limitare, mediante misure

legislative, la portata dei Diritti dei soggetti Interessati, qualora
tale limitazione costituisca una misura necessaria per
salvaguardare, ad esempio, la sicurezza e la difesa nazionale, la
prevenzione, l'indagine, l'accertamento o il perseguimento di
reati, ecc.
 GETSOLUTION

Diritto alloblio (Art. 17)

Su richiesta dellinteressato, il Data Controller deve provvedere a cancellare i dati
personali e, se sono stati resi pubblici, a comunicare tale volont anche agli altri
Controller che stanno utilizzando tali dati; questi ultimi devono a loro volta
cancellare qualsiasi link, copia o riproduzione dei dati personali.

Il Controller dovrebbe preventivamente attuare possibili misure tecniche e

organizzative per tale gestione, tenendo in considerazione la tecnologia disponibile
e i costi di attuazione.

Il diritto alloblio non applicabile se in contrasto a:

l'esercizio del diritto alla libert di espressione e di informazione
l'adempimento di un obbligo legale
motivi e finalit di pubblico interesse
l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
 GETSOLUTION

Diritto alla portabilit (Art. 18)

Un nuovo diritto riconosciuto allinteressato il diritto alla portabilit dei dati,
ovvero la possibilit di:
ricevere in formato strutturato, di uso comune e leggibile digitalmente i propri
dati personali in possesso del Data Controller;

richiedere al Controller il trasferimento dei propri dati personali ad un altro

Controller, anche direttamente ove sia tecnicamente consentito.

Ci pu avvenire quando:

il trattamento si basa sul consenso;

il trattamento si basa su un contratto;
il trattamento effettuato mediante sistemi automatizzati;
 GETSOLUTION

Informativa (Art. 14)

Qui di seguito sono indicati gli elementi essenziali che il Regolamento impone per unidonea
Informativa, evidenziando le novit rispetto al Codice Privacy:

lidentit e i dati di contatto del Data Controller e, se designato, del DPO;

le finalit del trattamento;
se il trattamento si basa su legittimi interessi perseguiti dal Controller;
i destinatari dei dati o le categorie di destinatari;
se previsto un trasferimento di dati allEstero e le garanzie esistenti a tutela dei dati
trasferiti;
il periodo temporale previsto per la conservazione dei dati o il criterio per determinarlo;
i diritti riconosciuti ai soggetti interessati;
la possibilit di revocare il consenso in qualsiasi momento;
il diritto di proporre reclamo ad un'autorit di controllo;
lindicazione se la comunicazione di dati personali un obbligo legale o necessario per la
conclusione di un contratto;
se l'interessato ha l'obbligo di fornire i dati e le possibili conseguenze di un rifiuto;
se linteressato sar oggetto di attivit di profilazione.
 GETSOLUTION

Informativa (Art. 14)

Se i dati personali non sono conferiti direttamente dallinteressato, il Data
Controller deve fornire anche le seguenti informazioni aggiuntive:

le categorie di dati personali trattati;

la fonte dalla quale derivano i dati personali e se tale fonte accessibile al

pubblico.

Il Regolamento consiglia di rendere linformativa

accompagnata da icone standardizzate per renderla pi
visibile, comprensibile e chiara ai soggetti interessati.
 GETSOLUTION

Consenso (Art. 7)
Codice Privacy Regolamento Generale

Per essere considerato valido il Il consenso dellinteressato una qualsiasi

consenso deve avere le seguenti manifestazione di volont al trattamento
caratteristiche: dellinteressato e deve essere:

essere espresso inequivocabile

libero libero
specifico specifico
informato informato
documentato espresso mediante dichiarazione o chiara
manifestato in forma scritta quando azione positiva.
il trattamento riguarda dati sensibili.
Il Controller deve essere in grado di dimostrare
che il soggetto interessato ha conferito il proprio
consenso.
 GETSOLUTION

Consenso per i Minori (Art. 8)

Il Regolamento impone una maggiore protezione per i bambini, in quanto
potrebbero essere meno consapevoli dei rischi, delle conseguenze e dei loro
diritti in relazione al trattamento dei dati personali.
Se il Data Controller intende fornire servizi della societ dellinformazione ai
minori tenuto, infatti, a raccogliere il consenso del genitore o del tutore,
adoperandosi per quanto possibile per verificarne l autenticit.

Gli Stati Membri devono stabilire la soglia di et per i minori tra i 13 e i 16

anni.

GETSOLUTION
 GETSOLUTION

Data Breach (Art. 31)

Obbligo di notifica di una violazione dei dati allAutorit Garante e
Codice Privacy
ai contraenti soltanto in capo ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico.

Nel caso in cui si verifichi una violazione dei dati personali

Regolamento
che possa in qualche modo tradursi in un rischio per i diritti e le
libert degli individui, qualsiasi Data Controller ha lobbligo
normativo di notificare lavvenimento allAutorit di controllo.

La notifica deve avvenire senza ingiustificato ritardo, con un limite

massimo di 72 ore. Oltre le 72 ore, il Controller deve comunicare
allAutorit il motivo valido che giustifichi il ritardo della notifica.
 GETSOLUTION

Data Breach (Art. 32)

Il Data Controller tenuto anche ad informare gli interessati tempestivamente se la violazione
pu comportare una grave ed elevata compromissione dei loro diritti e delle libert:

Danni fisici, materiali Danno economico o Perdita del controllo Limitazione dei
o morali sociale dei dati diritti

Decifratura non
Furto o usurpazione
Discriminazione Perdite finanziarie autorizzata della
d'identit
pseudonimizzazione

Perdita di
Pregiudizio alla riservatezza dei dati
reputazione protetti da segreto
professionale
 GETSOLUTION

Data Breach (Art. 31)

Contromisure necessarie per la gestione di una violazione e per limitarne gli effetti:
misure tecniche che riconoscano all'istante la violazione e allertino
prontamente il Controller o il Processor;

sensibilizzazione dei Data Processor e dei soggetti autorizzati al

trattamento, anche tramite adeguate policy, affinch si possa agire
correttamente e tempestivamente in caso di data breach;

misure atte a rendere non intellegibili e criptati i dati oggetto di violazione

per chiunque non sia autorizzato ad accedervi;

mezzi adeguati per linvio della comunicazione ai soggetti interessati

quando dovuto, tenendo in considerazione che la violazione potrebbe
anche compromettere i dati presenti a sistema;
 GETSOLUTION

Data Breach (Art. 32)

Non necessaria la comunicazione ai soggetti interessati se il Data

Controller ha applicato le opportune misure tecnologiche e
organizzative preventive (esempio crittografia dei dati) o stato in
grado di evitare tempestivamente il verificarsi di rischi elevati.

Analisi dei Rischi
Codice Privacy
Lart. 19.3 dellAllegato B del
Codice Privacy (Disciplinare
tecnico in materia di misure
minime di sicurezza), che
prevedeva l'analisi dei rischi
che incombono sui dati,
stato soppresso dal Decreto
legge del 9 febbraio 2012.
GETSOLUTION
Regolamento Generale
Il Regolamento introduce lobbligo di effettuare
una valutazione di impatto (Data Protection
Impact Assessment) quando il trattamento pu
comportare un elevato rischio per i diritti e le
libert degli individui, soprattutto se effettuato
mediante nuove tecnologie.
 GETSOLUTION

Analisi dei Rischi (Art. 33)

Quando un tipo di trattamento, allorch prevede in particolare l'uso di nuove tecnologie,

considerati la natura, il campo di applicazione, il contesto e le finalit del trattamento,
pu presentare un rischio elevato per i diritti e le libert delle persone fisiche, il
responsabile del trattamento effettua, prima di procedere al trattamento, una
valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.

Elementi da valutare: Quando obbligatoria:

la natura dei dati e del
trattamento
il campo di applicazione
il contesto
le finalit del trattamento
Il trattamento prevede luso
di nuove tecnologie
Il trattamento presenta
rischi per i diritti e le libert
delle persone fisiche
 GETSOLUTION

Analisi dei Rischi (Art. 33)

Il Data Protection Impact Assessment finalizzato ad analizzare e ridurre i rischi che
impattano sulle libert e i diritti degli Interessati.

Il Regolamento individua, in particolare, i seguenti casi in cui sempre e indubbiamente

obbligatoria lanalisi dei rischi:
valutazione sistematica ed estesa di aspetti della personalit dei soggetti interessati
tramite processi automatizzati, tra cui la profilazione, e da cui derivano decisioni che
hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati;

il trattamento su larga scala di categorie particolari di dati personali, o di dati relativi

a condanne penali e reati;

il controllo sistematico di zone accessibili al pubblico su larga scala.

 GETSOLUTION

Analisi dei Rischi (Art. 33)

Le autorit di controllo dei singoli Stati sono tenuti a stabilire e

rendere pubblico un elenco delle tipologie di operazioni di
trattamento soggette al requisito di una valutazione d'impatto
sulla protezione dei dati e per le quali non richiesta una
valutazione d'impatto sulla protezione dei dati.
 GETSOLUTION

Analisi dei Rischi (Art. 33)

Obiettivo di un Data Protecion Impact Assessment:

determinare la tipologia, la probabilit e la gravit dei rischi,

derivanti dalle operazioni di trattamento dei dati personali.
provvedere a limitare i rischi adeguando il livello di sicurezza,
tenendo conto della tecnologia disponibile e dei costi di
attuazione.

Fattori per la determinazione dei rischi: natura dei

dati oggetto del
misure per trattamento
ridurre il
rischio
contesto
origine del
rischio finalit
Analisi dei Rischi (Art. 33)
Codice Privacy
Regolamento la perdita lalterazione
Principali rischi per la
sicurezza dei dati
personali: laccesso non lutilizzo non
autorizzato consentito

il pregiudizio e
Regolamento il furto di linvasivit nella
la
identit sfera privata
Principali rischi per i discriminazione
diritti e le libert delle
persone fisiche: la perdita di il danno fisico,
le perdite
riservatezza dei materiale o
finanziarie
dati protetti morale
 GETSOLUTION

Contromisure (Art. 30)

Codice Privacy Regolamento

Obbligo di
misure di
sicurezza Obbligo di adottare
MINIME. misure tecniche ed
organizzative
ADEGUATE al
trattamento e ai
rischi.
 GETSOLUTION

Misure tecniche e organizzative (Art. 30)

Il Regolamento introduce lobbligo di attuare misure di sicurezza ADEGUATE in
considerazione dei seguenti elementi:

lo stato dell'arte e i costi di attuazione;

la natura e il campo di applicazione del trattamento;

il contesto e le finalit del trattamento;

il rischio, la probabilit e la gravit delle conseguenze per i diritti e le libert delle

persone.
 GETSOLUTION

Misure tecniche e organizzative (Art. 30)

Il Data Controller tenuto

Per implementare le
a mettere in atto misure
RISK contromisure necessarie
tecniche e organizzative
imprescindibile aver prima
per garantire un livello di ANALYSIS individuato e analizzato i
sicurezza ADEGUATO AL
rischi al fine di poterli ridurre.
RISCHIO.
 GETSOLUTION

Misure tecniche e organizzative

La sicurezza dei dati deve basarsi sui seguenti aspetti fondamentali:

Pseudonimizzazione o crittografia dei dati;

Garanzie di riservatezza, integrit, disponibilit e recupero dei dati personali e dei
sistemi che li custodiscono e li elaborano;
Accesso tempestivo ai dati in caso di un evento dannoso fisico o tecnico;
Processi di verifica periodica dellefficacia ed effettiva applicazione delle misure di
sicurezza in atto.
 GETSOLUTION

Codici di Condotta e Certificazioni (Artt. 3839)

Il Regolamento promuove lelaborazione di nuovi standard di sicurezza, quali codici di
condotta o certificazioni in materia di protezione dei dati, approvati ufficialmente
dallAutorit di controllo, al fine di permettere ai Data Controller e ai Data Processor di:

Raggiungere gli
obiettivi di
sicurezza adeguati
per i dati trattati

Applicare Dimostrare la
correttamente conformit
le disposizione delle operazioni
del di trattamento
Regolamento effettuate
 GETSOLUTION

Codici di Condotta e Certificazioni (Artt. 3839)

Strumenti quali Codici di Condotta e Certificazioni applicati dai Data controller o Data
Processor possono essere istituiti al fine di dimostrare limpegno vincolante ad applicare
adeguate garanzie per il trattamento dei dati personali effettuato nel rispetto del
Regolamento.

Ladesione a tali strumenti volontaria e non riduce la responsabilit del Data controller
o Data Processor riguardo alla conformit al Regolamento, ma pu essere utilizzata
come elemento per comprovare il rispetto degli obblighi in caso di accertamento o nei
confronti dei soggetti interessati.
 GETSOLUTION

Risarcimento del danno (Art. 77)

Chiunque subisca un danno materiale o immateriale cagionato da una violazione del
presente regolamento ha il diritto di ottenere il risarcimento del danno dal Data controller o
dal Data processor.

Il Data Controller tenuto a risponderne direttamente e interamente. Il Data Processor pu

rispondere per il danno cagionato ad un Interessato se si dimostra che non ha soddisfatto i
propri obblighi previsti dal Regolamento o ha eseguito il trattamento in contrasto a quanto
stabilito dal Data Controller.

I soggetti sono esonerati dallobbligo di risarcimento soltanto se sono in grado di dimostrare

che levento dannoso subto dallinteressato non in alcun modo loro imputabile.

Il Data Controller che ha pagato l'intero risarcimento del danno, qualora ne sussistano le
condizioni, ha il diritto di reclamare dagli altri Data Controller o Processor coinvolti nel
trattamento la parte del risarcimento corrispondente alla loro parte di responsabilit per il
danno cagionato.
 GETSOLUTION

Sanzioni (Art. 79)

Codice Privacy Regolamento
Sanzioni amministrative che variano da un Elementi e condizioni generali per valutare
minimo di 6.000 Euro ad un massimo di lapplicazione delle sanzioni in caso di
120.000 Euro. violazione.

In casi di maggiore gravit o sono coinvolti Per alcune violazioni la sanzione pu arrivare
numerosi interessati, le sanzioni possono fino ad un massimo di 10.000.000 Euro o al
essere applicate in misura pari al doppio. 2% del fatturato mondiale totale annuo

Le sanzioni possono essere aumentate fino Per violazioni pi rilevanti, la sanzione pu

al quadruplo in ragione delle condizioni raggiungere 20.000.000 Euro o il 4% del
economiche del contravventore. fatturato mondiale totale annuo

Sono previste sanzioni penali per gravi illeciti Le sanzioni penali dovranno essere
che comportano la reclusione fino ad un eventualmente stabilite da ciascuno Stato
massimo di 3 anni. Membro sulla base della propria legislazione.
 GETSOLUTION

Sanzioni (Art. 79)

Sanzione fino ad un massimo di 10.000.000 Euro o al 2% del fatturato mondiale totale annuo,
per la violazione degli articoli che regolamentano i seguenti aspetti:

Consenso per il trattamento di minori

Trattamento di dati personali che identificano il soggetto anche quando non necessario
Protezione dei dati fin dalla progettazione e di default
Corresponsabili del trattamento
Rappresentante del Data processor nel territorio UE
Data processor
Registri delle attivit di trattamento
Cooperazione con l'autorit di controllo
Sicurezza del trattamento
Data breach
Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
Data Protection Officer
Violazione dei meccanismi di certificazione
 GETSOLUTION

Sanzioni (Art. 79)

Sanzione fino ad un massimo di 20.000.000 Euro o al 4% del fatturato mondiale totale
annuo, per la violazione degli articoli che riguardano i seguenti aspetti:

Violazione dei principi

Liceit del trattamento
Consenso al trattamento
Trattamento di categorie particolari di dati
Esercizio diritti degli interessati
Informativa
Trasferimento dati allEstero
 GETSOLUTION

PER INFORMAZIONI

Dott.ssa Paola Generali

Managing Director
paola.generali@getsolution.it
cell: +39 335 5366986

Via Ippolito Rosellini n. 12 Tel: + 39 (0)2 39661701 info@getsolution.it

20124 Milano Italy Fax: + 39 (0)2 39661800 www.getsolution.it