Sei sulla pagina 1di 86

General

Data
Protection
Regulation
Regolamento
UE 2016/679

Quest'opera è
distribuita con
licenza
CREATIVE
COMMON
ATTRIBUTION-
SHAREALIKE 4.0
INTERNATIONAL
(CC BY-SA 4.0)
Centro Studi «Opificium» è un'associazione
con scopi di ricerca scientifica, consulenza e
servizi, nel campo della cultura e della
formazione; la volontà degli associati è di
costituire una sorta di “consorzio” tra cittadini,
interessati alle problematiche socio-culturali
della nostra cosiddetta Società
dell’Informazione e al superamento del Digital
Divide.
Scopo di «Opificium» è quello di costruire uno
spazio “concettuale” nel quale poter riflettere
sul fenomeno dell'elevato dinamismo che
caratterizza la nostra società e che ha fatto
assumere centralità ai sistemi informativi e ai
“dati”, attribuendo loro il ruolo di risorsa
strategica che condiziona l'efficienza dei sistemi,
divenendo fattore di sviluppo economico, di
crescita e di ricchezza culturale.
Il relatore
Angelantonio Cafagno
Libero professionista dal giugno 1996, come consulente
informatico e tecnologico per lo sviluppo e l’organizzazione
dei sistemi aziendali.
Da oltre 10 anni svolgo di consulenza informatica e
giuridica e di formazione, rivolta alle strutture dirigenziali
della PA, per la riorganizzazione dei sistemi informativi e
finalizzata a una attività di change management, tesa al
completo ridisegno dei processi amministrativi per
l’attuazione delle misure previste dal decreto legislativo 7
marzo 2005, n. 82
Il relatore
Angelantonio Cafagno
ICT Consultant & Business Development
per la rappresentanza e lo sviluppo di affari nel territorio
della Regione Puglia per conto di

gruppo industriale leader internazionale nel software


clinico sanitario, inserita dalla prestigiosa società di ranking
internazionale KLAS al terzo posto mondiale della classifica
per i nuovi progetti clinici: risultato e riconoscimento
straordinariamente importanti, raramente assegnato a
società non USA.
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
• Il regolamento pone con forza l’accento sulla
“accountability” di titolari e responsabili,
ovvero sull’ adozione di comportamenti
proattivi e tali da dimostrare la concreta
COSA adozione di misure finalizzate ad assicurare
CAMBIA
l’applicazione del regolamento.
• E’ una grande novità per la protezione dei
dati: viene affidato ai titolari il compito di
decidere autonomamente le modalità, le
garanzie e i limiti del trattamento dei dati
personali.
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
criteri specifici in base ai
quali decidere
COSA
autonomamente
CAMBIA modalità, garanzie e
limiti del trattamento dei
dati personali

data protection by default and by design


concerne la necessità di configurare il trattamento
prevedendo fin dall’inizio le garanzie indispensabili “al
fine di soddisfare i requisiti” del regolamento e tutelare i
diritti degli interessati.
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
criteri specifici in base ai
quali decidere
COSA
autonomamente
CAMBIA modalità, garanzie e
limiti del trattamento dei
dati personali

impatto negativo sulle libertà e i diritti


dovranno essere analizzati i rischio relativi a impatti
negativi sulle libertà e i diritti attraverso un apposito
processo di valutazione, che tenga conto delle misure
tecniche, organizzative e di sicurezza adottate.
Approccio basato sul rischio e misure di
accountability di titolari e responsabili

Registro dei trattamenti


Tutti i titolari e i responsabili di trattamento,
devono tenere un registro delle operazioni di
COSA
CAMBIA trattamento i cui contenuti sono indicati all’art.
30. Il registro deve avere forma scritta, anche
elettronica, e deve essere esibito su richiesta al
Garante.
Sono esonerati gli
organismi con meno
di 250 dipendenti
che non effettuano
trattamenti a rischio
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
Misure di sicurezza
•Le misure di sicurezza, l’elenco non esaustivo è
riportata al paragrafo 1 dell’art. 32, devono
“garantire un livello di sicurezza adeguato al
COSA
CAMBIA rischio” del trattamento.
• La valutazione inerente alle misure da
adottare sarà rimessa al titolare e al
responsabile in rapporto ai rischi specificamente
individuati.
non potranno sussistere
obblighi generalizzati di
adozione di misure “minime”
(ex art. 33 Codice Privacy)
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
Notifica delle violazioni
di dati personali
• I titolari dovranno notificare all’Autorità di
controllo, entro 72 ore, le violazioni di dati
COSA
CAMBIA personali di cui vengano a conoscenza
qualora ritengano probabile che da quella
violazione possano derivare rischi per i diritti
e le libertà degli interessati.
considerando 85
fanno eccezione le
circostanze indicate al
paragrafo 3 dell’art. 34
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
Notifica delle violazioni
di dati personali
 la notifica dell’avvenuta violazione
COSA all’Autorità non è obbligatoria;
CAMBIA
 è subordinata alla valutazione del rischio
per gli interessati effettuata dal titolare;
 se la probabilità di tale rischio è elevata,
si dovranno informare della violazione,
senza ritardo, anche gli interessati.
i contenuti della notifica e della
comunicazione agli interessati
sono indicati agli art. 33 e 34
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
Data Protection Officer
• La designazione di un DPO (responsabile
della protezione dati) è finalizzata a
COSA
CAMBIA
facilitare l’attuazione del regolamento e
riflette l’approccio di responsabilizzazione
proprio del regolamento (art. 39).

caratteristiche di questa figura


sono indipendenza,
autorevolezza, competenze
manageriali: art. 38 e art. 39
Approccio basato sul rischio e misure di
accountability di titolari e responsabili
Data Protection Officer
• La designazione è obbligatoria nei
COSA
casi descritti all’art. 37
CAMBIA Tra i compiti del RPD/DPO rientrano
 la sensibilizzazione e la formazione
del personale
 la sorveglianza sullo svolgimento
della valutazione di impatto di cui
all’art. 35
Fondamenti di liceità del
trattamento
Il regolamento statuisce che ogni
trattamento deve trovare fondamento in
un’idonea base giuridica.

I fondamenti di liceità del trattamento sono


indicati all’art. 6 del regolamento e
coincidono, sostanzialmente, con quelli
previsti dal vigente Codice - D.lgs. 196/2003.
Fondamenti di liceità del
trattamento

fondamenti di liceità del trattamento


consenso
adempimento obblighi contrattuali
interessi vitali della persona interessata o di terzi
obblighi di legge cui è soggetto il titolare
interesse pubblico o esercizio di pubblici poteri
interesse legittimo prevalente del titolare o di
terzi cui i dati vengono comunicati
Fondamenti di liceità del
trattamento
Consenso
COSA • Per i dati “sensibili” (art. 9) il consenso
CAMBIA
deve essere “esplicito”.

• Allo stesso modo deve essere esplicito il


consenso relativo a decisioni concernenti
trattamenti automatizzati , compresa la
attività di profilazione (art. 22).
Fondamenti di liceità del
trattamento
Consenso
• Non deve essere necessariamente
COSA
CAMBIA “documentato per iscritto”, né è richiesta la
“forma scritta”, anche se questa è modalità
idonea a configurare l’inequivocabilità del
consenso e il suo essere “esplicito” (per i dati
sensibili).
• Il titolare (art. 7.1) deve essere in grado di
dimostrare che l’interessato ha prestato il
consenso a uno specifico trattamento.
Fondamenti di liceità del
trattamento
Consenso
COSA
CAMBIA
• Il consenso dei minori è valido a partire
dal 16° anno di età.

• Prima di tale età occorre raccogliere il


consenso dei genitori o di chi ne fa le
veci.
Fondamenti di liceità del
trattamento
Consenso
• Deve essere, in tutti i casi, libero, specifico,
COSA
NON
informato e inequivocabile e non è ammesso il
CAMBIA consenso tacito o presunto (per esempio non si
possono utilizzare caselle pre-spuntate su un
modulo).
• Deve essere manifestato attraverso
“dichiarazione o azione positiva
inequivocabile” (considerando 39 e 42).
Fondamenti di liceità del
trattamento

Interesse vitale di un terzo


COSA
CAMBIA
• E’ possibile invocare la base giuridica
inerente all’interesse vitale di un terzo,
solo se nessuna delle altre condizioni di
liceità può trovare applicazione
(considerando 46).
Fondamenti di liceità del
trattamento
Interesse legittimo prevalente
di un titolare o di un terzo
• Il bilanciamento fra legittimo interesse del
COSA
CAMBIA titolare o del terzo e diritti e libertà
dell’interessato non spetta all’Autorità ma è
compito del titolare; si tratta di una delle
principali espressioni del principio di
“responsabilizzazione” introdotto
dal nuovo regolamento.
Fondamenti di liceità del
trattamento
Interesse legittimo prevalente
di un titolare o di un terzo
COSA
• L’interesse legittimo del titolare. o
NON
CAMBIA
del terzo, è tale se prevalere sui
diritti e le libertà fondamentali
dell’interessato per costituire un
valido fondamento di liceità del
trattamento.
Fondamenti di liceità del
trattamento
Interesse legittimo prevalente
di un titolare o di un terzo
COSA • Il regolamento chiarisce
NON
CAMBIA espressamente che l’interesse legittimo
del titolare non costituisce idonea base
giuridica per i trattamenti svolti dalle
autorità pubbliche in esecuzione dei
rispettivi compiti.
Informativa
Contenuti dell’informativa
• I contenuti dell’informativa sono
elencati in modo tassativo negli articoli
COSA 13, paragrafo 1, e 14, paragrafo 1, del
CAMBIA
regolamento e in parte sono più ampi
rispetto al Codice.
• Il titolare deve sempre specificare i
dati di contatto del
Data Protection Office.
Informativa
Contenuti dell’informativa
• Il titolare deve sempre specificare la base
giuridica del trattamento, qual è il suo
COSA interesse legittimo se quest’ultimo
CAMBIA costituisce la base giuridica del
trattamento, nonché se trasferisce i dati
personali in Paesi terzi e, in caso
affermativo, attraverso quali strumenti.
Informativa
Contenuti dell’informativa
• Il regolamento prevede ulteriori
informazioni “necessarie per garantire un
COSA trattamento corretto e trasparente”: in
CAMBIA particolare, il titolare deve specificare il
periodo di conservazione dei dati, o i criteri
seguiti per stabilire tale periodo di
conservazione, ed esplicitare il diritto
dell’interessato di presentare un reclamo
all’autorità di controllo.
Informativa
Contenuti dell’informativa

•Se il trattamento comporta processi


COSA decisionali automatizzati (anche la
CAMBIA
profilazione), l’informativa deve
specificarlo e deve indicare anche la
logica di tali processi decisionali e le
conseguenze previste per l’interessato.
Informativa
Tempi dell’informativa
• Nel caso di dati personali non raccolti
direttamente presso l’interessato (art. 14),
COSA l’informativa deve essere fornita entro un
CAMBIA termine ragionevole che non può superare 1
mese dalla raccolta, oppure al momento della
comunicazione (non della registrazione) dei
dati (a terzi o allo stesso interessato).
Informativa
Modalità dell’informativa
• Il regolamento specifica in dettaglio le
caratteristiche dell’informativa, che deve
COSA avere forma concisa, trasparente,
CAMBIA intelligibile per l’interessato e facilmente
accessibile.

• Occorre utilizzare un linguaggio chiaro e


semplice, e per i minori occorre prevedere
informative idonee (considerando 58).
Informativa
Modalità dell’informativa
• L’informativa è data, in linea di principio,
per iscritto e in formato elettronico
COSA (soprattutto nel contesto di servizi online:
CAMBIA
art. 12, paragrafo 1, e considerando 58),
anche se sono ammessi “altri mezzi”,
pertanto, nel rispetto delle dette
caratteristiche, può essere fornita anche
oralmente (art. 12, paragrafo 1).
Informativa
Modalità dell’informativa
• Il regolamento ammette l’utilizzo di icone
per presentare i contenuti dell’informativa in
COSA forma sintetica, ma solo “in combinazione”
CAMBIA
con l’informativa estesa (art. 12, paragrafo 7);
queste icone dovranno essere identiche in
tutta l’UE e saranno definite dalla
Commissione europea.
Informativa
Modalità dell’informativa
• Il regolamento fissa i requisiti per
l’esonero dall’informativa:
COSA
CAMBIA • art. 13, paragrafo 4
• art. 14, paragrafo 5
• art. 23, paragrafo 1
Informativa
Modalità dell’informativa
• In caso di dati personali raccolti da fonti
diverse dall’interessato, il titolare deve
COSA valutare se sia necessario la prestazione
CAMBIA
dell’informativa agli interessati ovvero se la
prestazione dell’informativa comporti uno
sforzo “sproporzionato”
(art. 14, paragrafo 5, lettera b)
Informativa
Modalità dell’informativa
• L’informativa (artt. 13 e 14) deve essere
fornita all’interessato prima di effettuare la
raccolta dei dati (se raccolti direttamente
COSA
NON presso l’interessato – art. 13 del regolamento).
CAMBIA

• Se i dati non sono raccolti direttamente


presso l’interessato (art. 14 del regolamento),
l’informativa deve comprendere anche le
categorie dei dati personali oggetto di
trattamento.
Informativa
Modalità dell’informativa
• Il titolare deve specificare la propria identità
e quella dell’eventuale rappresentante nel
COSA territorio italiano, le finalità del trattamento, i
NON diritti degli interessati (compreso il diritto alla
CAMBIA
portabilità dei dati), se esiste un responsabile
del trattamento e la sua identità, e quali sono
i destinatari dei dati.

NOTA: il regolamento impone di informare l’interessato, prima di procedere a un


trattamento ulteriore, ogni volta che le finalità del trattamento cambiano.
Diritti degli interessati

Modalità per l’esercizo dei diritti


• Le modalità per l’esercizio di tutti i diritti da
parte degli interessati sono stabilite, in via
COSA
generale, negli artt. 11 e 12 del regolamento.
CAMBIA
•Il termine per la risposta all’interessato, per
tutti i diritti (compreso il diritto di accesso), è di
1 mese, estendibile fino a 3 mesi in casi di
particolare complessità; il titolare deve dare un
riscontro all’interessato entro 1 mese dalla
richiesta, anche in caso di diniego.
Diritti degli interessati

Modalità per l’esercizo dei diritti


•Spetta al titolare valutare la
complessità del riscontro all’interessato e
COSA stabilire l’ammontare dell’eventuale
CAMBIA
contributo da chiedere all’interessato,
ma soltanto se si tratta di richieste
manifestamente infondate o eccessive,
anche ripetitive.
art.12, paragrafo 5
Diritti degli interessati

Modalità per l’esercizo dei diritti

• Nel caso della richiesta di più “copie”


COSA dei dati personali, nella fattispecie del
CAMBIA
diritto di accesso, il titolare deve tenere
conto dei costi amministrativi sostenuti.
art. 15, paragrafo 3
Diritti degli interessati

Modalità per l’esercizo dei diritti


• Il riscontro all’interessato, di regola,
COSA
deve avvenire in forma scritta anche
CAMBIA attraverso strumenti elettronici che ne
favoriscano l’accessibilità; può essere
dato oralmente solo se così richiede
l’interessato stesso.
art. 12, paragrafo 1; art. 15, paragrafo 3
Diritti degli interessati

Modalità per l’esercizo dei diritti


• La risposta fornita all’interessato non
COSA
deve essere solo “intelligibile”, ma
CAMBIA anche concisa, trasparente e
facilmente accessibile, oltre a utilizzare
un linguaggio semplice e chiaro.
Diritti degli interessati

Modalità per l’esercizo dei diritti


• ll titolare del trattamento deve agevolare
l’esercizio dei diritti da parte dell’interessato,
adottando ogni misura sia tecnica, sia
COSA
NON organizzativa.
CAMBIA
• Il responsabile è tenuto a collaborare con il
titolare ai fini dell’esercizio dei diritti da parte degli
interessati (art. 28, paragrafo 3, lettera e)
• Solo il titolare è chiamato a dare riscontro
all’interessato in caso questi si avvalga
dell’esercizio dei diritti (art. 15-22).
Diritti degli interessati

Modalità per l’esercizo dei diritti


• L’esercizio dei diritti da parte
dell’interessato è gratuito, in linea di
COSA principio, a parte alcune eccezioni.
NON
CAMBIA • Il titolare ha il diritto di chiedere
informazioni necessarie a identificare
l’interessato, e quest’ultimo ha il dovere di
fornirle, secondo modalità idonee.
ART. 11, PARAGRAFO 2 E ART. 12, PARAGRAFO 6
Diritti degli interessati

Modalità per l’esercizo dei diritti

• Sono ammesse deroghe ai diritti


COSA
NON
riconosciuti dal regolamento, ma solo
CAMBIA sul fondamento di disposizioni
normative nazionali, ai sensi
dell’articolo 23.
Diritti degli interessati

Modalità per l’esercizo dei diritti


• In via generale, possono continuare a
essere applicate tutte le deroghe previste
COSA dall’art. 8, comma 2, del Codice in quanto
NON
CAMBIA compatibili con le disposizioni citate.
• Il Garante sta valutando la piena
rispondenza delle suddette disposizioni con i
requisiti fissati per la legislazione nazionale
dall’articolo 23, paragrafo 2, del
regolamento.
Diritti degli interessati

Diritto di accesso – art. 15


• Il diritto di accesso prevede caso il diritto di
ricevere una copia dei dati personali oggetto
COSA
di trattamento.
CAMBIA

• L’indicazione circa le “modalità” con cui è


effettuato il trattamento non rientra tra le
informazioni che il titolare deve fornire.
Diritti degli interessati

Diritto di accesso – art. 15


• E’ necessario indicare il periodo di
conservazione previsto dei dati, ovvero i
COSA criteri utilizzati per definire detto periodo,
CAMBIA
qualora non fosse possibile indicare tale
periodo di conservazione.
• Devono essere indicate le garanzie
applicate in caso di trasferimento dei dati
verso Paesi terzi.
Diritti degli interessati

Diritto di cancellazione – art. 17


• Il cosiddetto diritto “all’oblio” si configura
come un diritto alla cancellazione dei
COSA
propri dati personali in forma rafforzata.
CAMBIA
I titolari che avessero “reso pubblici” i dati personali
dell’interessato, per esempio, pubblicandoli su un sito
web, hanno l’obbligo di informare della richiesta di
cancellazione anche altri titolari che trattano i dati
personali cancellati, compresi quell relativi a
“qualsiasi link, copia o riproduzione”.
Diritti degli interessati
Diritto di limitazione
del trattamento – art. 18
• Un diritto diverso e più esteso rispetto al
“blocco” del trattamento, esercitabile in caso
COSA di violazione dei presupposti di liceità del
CAMBIA
trattamento, alternativa alla cancellazione
dei dati stessi.
Si può esercitare qualora l’interessato chieda la
rettifica dei dati (e in attesa di tale rettifica da parte
del titolare) oppure si oppone al loro trattamento ai
sensi dell’art. 21 del regolamento (in attesa della
valutazione da parte del titolare).
Diritti degli interessati
Diritto di limitazione
del trattamento – art. 18
• Nel caso di richiesta di limitazione del
trattamento è vietato ogni altro trattamento
COSA del dato, con l’esclusione della conservazione
CAMBIA
del dato medesimo e del caso in cui ricorrano
determinate circostanze (consenso
dell’interessato, accertamento diritti in sede
giudiziaria, tutela diritti di altra persona fisica
o giuridica, interesse pubblico rilevante).
Diritti degli interessati
Diritto alla portabilità
dei dati – art. 20
•Si tratta di uno dei nuovi diritti previsti
dal regolamento, assimilabile alla
COSA
CAMBIA portabilità del numero telefonico.
• Il titolare non può opporsi i nessun modo
e, qualora tecnicamente possibile, deve
essere in grado di trasferire direttamente i
“dati portabili” a un altro titolare
indicato dall’interessato.
Diritti degli interessati
Diritto alla portabilità
dei dati – art. 20
• Non si applica ai trattamenti non
automatizzati (archivi o registri
COSA
CAMBIA cartacei) e sono previste specifiche
condizioni per il suo esercizio.
• Sono portabili solo i dati trattati con il
consenso dell’interessato o sulla base di
un contratto stipulato con l’interessato.
Diritti degli interessati
Diritto alla portabilità
dei dati – art. 20
• Il diritto alla portabilità non si applica
ai dati il cui trattamento si fonda
COSA
CAMBIA sull’interesse pubblico o sull’interesse
legittimo del titolare e vale solo per i
dati che siano stati “forniti”
dall’interessato al titolare
(considerando 68).
Titolare, responsabile,
incaricato del trattamento

• Il regolamento, all’art. 26,


disciplina la contitolarità del
trattamento e impone ai titolari di
COSA definire specificamente, con un atto
CAMBIA
giuridicamente valido ai sensi del diritto
nazionale, il rispettivo ambito di
responsabilità e i compiti con particolare
riguardo all’esercizio dei diritti degli
interessati.
Titolare, responsabile,
incaricato del trattamento

• Il regolamento, all’art. 26,


disciplina la contitolarità del
trattamento statuendo che gli interessati
COSA hanno la facoltà di rivolgersi, per l’esercizio
CAMBIA
dei loro diritti, indifferentemente a uno
qualsiasi dei titolari operanti
congiuntamente.
Titolare, responsabile,
incaricato del trattamento
• Il nuovo regolamento fissa in dettaglio le
caratteristiche dell’atto con cui il titolare
designa un responsabile del trattamento
attribuendogli specifici compiti.
COSA
CAMBIA
• La forma della designazione è quella del
contratto (o di altro atto giuridico conforme
al diritto nazionale) e deve disciplinare
tassativamente almeno le materie riportate
al paragrafo 3 dell’art. 28 per potere
dimostrare che il responsabile sia in grado di
fornire “garanzie sufficienti” circa …
Titolare, responsabile,
incaricato del trattamento

 natura, durata e finalità del trattamento o


dei trattamenti assegnati;
COSA
CAMBIA
 le categorie di dati oggetto di trattamento;

le misure tecniche e organizzative adeguate


a consentire il rispetto delle istruzioni
impartite dal titolare e, in via generale, delle
disposizioni contenute nel regolamento.
Titolare, responsabile,
incaricato del trattamento
 E’ consentita la nomina di sub-responsabili del
trattamento da parte di un responsabile (art. 28,
paragrafo 4), per specifiche attività di trattamento,
nel rispetto degli stessi obblighi contrattuali che
COSA legano titolare e responsabile primario.
CAMBIA
 Il responsabile primario risponde al titolare
dell’eventuale inadempimento da parte del sub-
responsabile, anche ai fini del risarcimento di
eventuali danni causati dal trattamento, salvo
dimostri che l’evento dannoso “non gli è in alcun
modo imputabile” (art. 82, paragrafi 1 e 3).
Titolare, responsabile,
incaricato del trattamento
 In capo ai responsabili del trattamento, in quanto
distinti da quelli pertinenti ai rispettivi titolari, sono
previsti obblighi specifici relativamente a:
 la tenuta del registro dei trattamenti svolti
COSA (art. 30, paragrafo 2);
CAMBIA  l’adozione di idonee misure tecniche e
organizzative per garantire la sicurezza dei
trattamenti (art. 32 regolamento);
 la designazione di un DPO, Data Protection
Office, nei casi previsti dal regolamento o dal
diritto nazionale (art. 37).
Titolare, responsabile,
incaricato del trattamento

 Anche il responsabile che non fosse


stabilito nell’UE dovrà designare un
COSA rappresentante in uno stato
CAMBIA
dell’Unione, qualora ricorrono le
condizioni di cui all’art. 27, par. 3.

* diversamente da quanto prevede


l’art. 5, comma 2, del Codice
Titolare, responsabile,
incaricato del trattamento

• Il regolamento definisce
caratteristiche soggettive e
COSA
NON responsabilità in relazione al titolare e
CAMBIA
al responsabile del trattamento, nei
medesimi termini di cui alla direttiva
95/46/CE e, quindi, al vigente Codice
della Privacy.
Titolare, responsabile,
incaricato del trattamento

• Il regolamento non prevede


espressamente la figura dell’incaricato
COSA
del trattamento (art. 30 Codice),
NON
CAMBIA
tuttavia non la esclude, prevedendo il
riferimento a “persone autorizzate al
trattamento dei dati personali sotto
l’autorità diretta del titolare o del
responsabile” (art. 4, n. 10).
Titolare, responsabile,
incaricato del trattamento

• Le disposizioni del Codice in materia di


incaricati del trattamento sono pienamente
compatibili con la struttura e la filosofia del
COSA
NON
regolamento, in particolare alla luce del
CAMBIA principio di “responsabilizzazione” di titolari
e responsabili del trattamento che prevede
l’adozione di misure atte a garantire
proattivamente l’osservanza del
regolamento nella sua interezza.
Titolare, responsabile,
incaricato del trattamento
• In termini di immediata applicazione della
norma, e con riferimento agli artt. 28,
paragrafo 3, lettera b, art. 29, e art. 32,
paragrafo 4, è opportuno che titolari e
COSA
NON responsabili del trattamento mantengano in
CAMBIA
essere la struttura organizzativa e le
modalità di designazione degli incaricati di
trattamento così come delineatesi nel
tempo, anche in riferimento agli interventi
del Garante in tema di misure tecniche e
organizzative di sicurezza.
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
 Viene meno il requisito dell’autorizzazione
nazionale
art. 45, paragrafo 1 - art. 46, paragrafo 2
COSA
 Il trasferimento verso un Paese terzo, sia
CAMBIA “adeguato” ai sensi della decisione della Commissione,
sia sulla base di clausole contrattuali, debitamente
adottate, o di norme vincolanti, approvate
attraverso la specifica procedura di cui all’art. 47 del
regolamento, potrà avere inizio senza attendere
l’autorizzazione nazionale del Garante.
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
• Il regolamento consente di ricorrere a codici
di condotta o a schemi di certificazione per
dimostrare le “garanzie adeguate” previste
COSA dall’art. 46.
CAMBIA
• I titolari o i responsabili del trattamento,
stabiliti in un Paese terzo, potranno far valere
gli impegni sottoscritti attraverso l’adesione a
un codice di condotta o a uno schema di
certificazione che disciplini i trasferimenti di
dati verso Paesi terzi.
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
 Il regolamento vieta trasferimenti di
dati verso titolari o responsabili in un
Paese terzo sulla base di decisioni
COSA giudiziarie o ordinanze amministrative
CAMBIA
emesse da autorità di tale Paese terzo,
a meno dell’esistenza di accordi
internazionali in particolare di mutua
assistenza giudiziaria o analoghi
accordi fra gli Stati (art. 48).
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
• Il regolamento fissa, nel paragrafo 2
dell’art. 47, un elenco non esaustivo di
requisiti per l’approvazione delle
COSA norme vincolanti d’impresa e i
CAMBIA
contenuti obbligatori di tali norme.
• L’approvazione delle norme vincolanti
d’impresa dovrà avvenire per azione
del Comitato europeo per la
protezione dei dati.
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
 E’ stato confermato l’approccio vigente per
quanto riguarda i flussi di dati al di fuori
dell’Unione e dello spazio economico europeo.
 Tali flussi sono, in linea di principio, vietati, a
COSA
NON
meno che intervengano specifiche garanzie
CAMBIA elencate, in ordine gerarchico:
i. adeguatezza del Paese terzo
riconosciuta tramite decisione
della Commissione europea
art. 44, comma 1, lettera b
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
 E’ stato confermato l’approccio vigente per
quanto riguarda i flussi di dati al di fuori
dell’Unione e dello spazio economico europeo.
 Tali flussi sono, in linea di principio, vietati, a
COSA
NON
meno che intervengano specifiche garanzie
CAMBIA elencate, in ordine gerarchico:
ii. fornitura da parte dei titolari
coinvolti di adeguate garanzie di
natura contrattuale
Trasferimenti di dati verso Paesi
terzi e organismi internazionali
 E’ stato confermato l’approccio vigente per
quanto riguarda i flussi di dati al di fuori
dell’Unione e dello spazio economico europeo.
 Tali flussi sono, in linea di principio, vietati, a
COSA
NON
meno che intervengano specifiche garanzie
CAMBIA elencate, in ordine gerarchico:
iii. utilizzo di specifiche deroghe al
divieto di trasferimento
applicabili in peculiari situazioni
Trasferimenti di dati verso Paesi
terzi e organismi internazionali

 Le decisioni di adeguatezza sinora


adottate dalla Commissione e gli
COSA accordi internazionali in materia di
NON
CAMBIA trasferimento dati stipulati prima del
24 maggio 2016 dagli Stati membri
restano in vigore fino a loro eventuale
revisione o modifica.
Data masking?

- Minimizzazione
- Pseudonimizzazione
- Cifratura
- Anonimizzazione
24 maggio 2016 > 24 maggio 2018 25 maggio 2018

Regolamento
IN VIGORE, NON APPLICABILE (?)
2016/679

Direttiva
IN VIGORE, DECADE il 24 maggio 2018
1995/46

Direttiva NON DECADE ma dovrà essere


2002/58 riesaminata

Provvedimenti NON DECADONO fino a quando non verranno


Autorità Garante modificati, sostituiti, abrogati

Accordi
NON DECADONO fino a quando non verranno
internazionali su
modificati, sostituiti, abrogati
trasferimento dati

Decisioni NON DECADONO fino a quando non verranno


Commissione UE modificate, sostituite, abrogate

2
“tecniche” per la protezione dei dati

Minimizzazione
È un principio del trattamento dei dati personali

Pseudonimizzazione
È una misura di sicurezza dei dati personali

Cifratura
È una misura di sicurezza dei dati personali

Anonimizzazione
È una tecnica per far perdere ai dati la qualifica di
dato personale
Riferimento normativo
Art. 5 del Regolamento 2016/679 (RGPD)

Minimizzazione
I dati personali devono essere :
a) trattati in modo lecito, corretto e trasparente nei
confronti dell'interessato («liceità, correttezza e
trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime,
e successivamente trattati in modo che non sia
incompatibile con tali finalità;
c) adeguati, pertinenti e limitati a quanto
necessario rispetto alle finalità per le quali
sono trattati («minimizzazione dei dati»);
Riferimento normativo
Art. 5 del Regolamento 2016/679 (RGPD)

Minimizzazione
I dati personali sono:
d) esatti e, se necessario, aggiornati; devono essere adottate
tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali
sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione
degli interessati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati …
(«limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei
dati personali, compresa la protezione, mediante misure
tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal
danno accidentali («integrità e riservatezza»).
Riferimento normativo
Art. 4 del RGPD

Pseudonimizzazione
il trattamento dei dati personali è effettuato in
modo tale che gli stessi dati personali
non possano più essere attribuiti a un
interessato specifico senza l'utilizzo di
informazioni aggiuntive,

a condizione che tali informazioni aggiuntive


siano conservate separatamente e soggette a
misure tecniche e organizzative intese a garantire
che tali dati personali non siano attribuiti a una
persona fisica identificata o identificabile.
4
Riferimento normativo
Considerando 26 del RGPD

Pseudonimizzazione
I dati personali sottoposti a pseudonimizzazione,
sono da considerare informazioni su una
persona fisica identificabile.

Per stabilire l'identificabilità di una persona è


opportuno considerare tutti i mezzi, quali, per
esempio, l'individuazione, di cui il titolare del
trattamento o un terzo può ragionevolmente
avvalersi per identificare detta persona fisica
direttamente o indirettamente.

5
Riferimento normativo
Considerando 28 del RGPD

Pseudonimizzazione
L'applicazione della pseudonimizzazione ai dati
personali può ridurre i rischi per gli interessati e
aiutare i titolari del trattamento e i responsabili
del trattamento a rispettare i loro obblighi di
protezione dei dati.

L'uso della «pseudonimizzazione» non è


finalizzato a precludere altre misure di
protezione dei dati.

6
Riferimento normativo
Art. 32 del RGPD

Pseudonimizzazione
Titolare e responsabile mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio, tenuto conto dello stato dell'arte e dei
costi di attuazione, della natura, del campo di
applicazione, del contesto e delle finalità del trattamento,
del rischio di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche.

Tali misure comprendono:


1) Pseudonimizzazione e cifratura dei dati personali
2) …
Riferimento normativo
Considerando 83 del RGPD

Cifratura
Per mantenere la sicurezza e prevenire
trattamenti illeciti,

titolare o responsabile del trattamento

valutano i rischi inerenti al trattamento e


attuano le misure per limitare tali rischi,
quali la cifratura.
Riferimento normativo
Art. 34 del RGPD

Cifratura
In caso di violazione dei dati, la comunicazione
all'interessato non è richiesta se il titolare ha
messo in atto le misure tecniche e organizzative
adeguate di protezione e tali misure erano state
applicate ai dati personali oggetto della
violazione,

in particolare quelle destinate a rendere i


dati personali incomprensibili a chiunque
non sia autorizzato ad accedervi, quali la
cifratura.
Riferimento normativo
Considerando 26 del RGPD

Anonimizzazione
Le norme sulla protezione dei dati non si
applicano a informazioni anonime, vale a dire:

informazioni che non si riferiscono a una


persona fisica identificata o identificabile

dati personali resi sufficientemente


anonimi da impedire o da non consentire
più l'identificazione dell'interessato.

10
Riferimento normativo
Parere 5/2014 Gruppo ex art. 29

Anonimizzazione
L'anonimizzazione potrebbe costituire una
strategia valida per preservare i vantaggi e
attenuare i rischi.

Una volta che un insieme di dati viene reso


effettivamente anonimo e le persone non
sono più identificabili, le norme in materia
di protezione dei dati non sono più
applicabili.

11
Riferimento normativo
Parere 5/2014 Gruppo ex art. 29

Anonimizzazione
Non esiste una tecnica di anonimizzazione
completamente priva di rischi, ma è possibile
fornire sufficienti garanzie di protezione se la
loro applicazione viene progettata in maniera
adeguata.

La soluzione ottimale dovrebbe essere decisa


caso per caso, tenendo presente che un
insieme di dati anonimi possono ancora
produrre rischi alle persone interessate.

12