D G R S S t u d i o L e g a l e V i a C h i o s s e t t o , 3 – 2 0 1 2 2 M i l a n o ( I t a l i a )T e l : T : + 3 9 0 2 . 8 3 . 5 5 . 5 2 . 4 6 F a x : + 3 9 0 2 . 8 7 . 1 8 . 2 4 . 5 0 w w w . d g r s . i t
Dopo sei mesi a
che punto
siamo?
GDPR
M i l a n o , 1 3 / 1 1 / 2 0 1 8
D i p a r t i m e n t o I C T & I P
L a p o C u r i n i G a l l e t t i
G i u l i a S a l a
Uomo, avvocato, residente a Milano,
lavora nell’ambito privacy, presente al
Workshop sul GDPR dello IAB
Forum 2018
93.149.22.19
Nome: Mario
Cognome: Rossi
100 persone a Milano hanno comprato
una cabriolet nera
QUALI SONO I DATI
PERSONALI?
“qualunque informazione relativa a
persona fisica, identificata o
identificabile, anche indirettamente,
mediante riferimento a qualsiasi altra
informazione, ivi compreso un
numero di identificazione personale”
COSA
S’INTENDE
PER DATI
PERSONALI?
NB: PSEUDONIMIZZAZIONE ≠ ANONIMIZZAZIONE
TUTTO!
D a t i B a n c a r iI n d i r i z z o I P A n a l i s i C l i n i c h e
S t a t o d i G r a v i d a n z a O p i n i o n i P o l i t i c h e T i t o l o d i S t u d i o
QUALI SONO LE CATEGORIE
PARTICOLARI DI DATI PERSONALI?
(CD. DATI SENSIBILI)
Dati personali che rivelano l’origine razziale o etnica,
le opinioni politiche, le convinzioni religiose o
filosofiche, l’appartenenza sindacale, dati genetici, dati
biometrici intesi a identificare in modo univoco una
persona fisica, dati relativi alla salute o alla vita sessuale
o all’orientamento sessuale della persona
COSA SI INTENDE PER
CATEGORIE PARTICOLARI DI
DATI PERSONALI
(O CD. DATI SENSIBILI)?
PER COMINCIARE: ALCUNI IMPORTANTI RIFERIMENTI
Regolamento UE
2016/679, cd.
GDPRDirettamente applicabile in
Europa dal 25 maggio
Normativa
generale
Codice
della Privacy
Modificato dal
D. Lgs. 101/2018,
in vigore dal 19 settembre
Normativa
«speciale»
…e per i cookies?
Direttiva 2002/58 CE → Titolo X del Codice Privacy novellato
→ Provvedimento del Garante Privacy sui cookies
Ambito di applicazione territoriale
GDPR: NOVITÀ PRINCIPALI
Trattamento nell'ambito delle attività di uno
stabilimento situato nell’UE
Offerta di beni/prestazione di servizi a
interessati che si trovano nell’UE
Monitoraggio del comportamento di interessati
nella misura in cui ha luogo nell'UE
Accountability
Ricorso ad adeguate misure tecniche e
organizzative
Essere in grado di dimostrare
conformità al GDPR
Sanzioni
Calcolate anche in misura percentuale
(dal 2% al 4%) sul fatturato globale
annuo mondiale
Precisa il GDPR,
dove questo lo
richiede
CODICE PRIVACY:
COSA REGOLA?
Es.: consenso dei minori.
In Italia, è valido a
partire dai 14 anni (prima
serve il consenso dei
genitori)
Definisce le modalità di tutela dell'interessato
e le sanzioni
Es.: gli interessati, qualora ritenessero violati i loro diritti, potranno
proporre reclamo al Garante o ricorso dinanzi all’Autorità
Giudiziaria
Discipline speciali
Ambito giudiziario – Trattamenti in ambito sanitario – Difesa e sicurezza
dello Stato – Trattamenti nell’ambito del rapporto di lavoro – Istruzione
– Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca
scientifica o storica o a fini statistici – Altri trattamenti in ambito
pubblico o di interesse pubblico – Giornalismo, libertà di informazione
e di espressione –
Comunicazioni elettroniche *
* Non è possibile fare comunicazioni commerciali per finalità
di marketing basandosi sul legittimo interesse!
* E’ ancora possibile invece il cd. “SOFT-SPAM”
Autorizzazioni Generali
del Garante
CODICE PRIVACY: DECRETO DI ARMONIZZAZIONE
CASI SPECIFICI (trattamenti per
finalità di interesse pubblico; dei dati
sanitari nell’ambito dei rapporti di
lavoro; dei dati biometrici, ecc.):
valutazione compatibilità tramite un
provvedimento generale
ALTRI CASI: cessano di esistere
Altre disposizioni
transitorie e finali
Dal 25/05/2018, i provvedimenti del
Garante continuano ad applicarsi, in
quanto compatibili
Per i primi 8 mesi dal 19 settembre, il
Garante tiene conto, ai fini
dell’applicazione delle sanzioni e nei
limiti in cui risulti compatibile con le
disposizioni del GDPR, della fase di
prima applicazione delle disposizioni
sanzionatorie
Garantire, ed essere in grado di dimostrare, che le operazioni di trattamento vengano effettuate in conformità
alla normativa del Garante
IL PRINCIPIO DI ACCOUNTABILITY:
COME ADEGUARSI?
Privacy by Default
Privacy by Design
Registro dei trattamenti
Misure di Sicurezza
DPIA
DPO
ACCOUNTABILITY
PRIVACY BY
DEFAULT E BY
DESIGN
Privacy by default
Misure tecniche e organizzative (ad esempio,
pseudonimizzazione) funzionali a garantire che, fin dalla
raccolta, vengano trattati solamente i dati personali
• necessari alle finalità perseguite
• secondo i principi di necessità, pertinenza, adeguatezza e
non eccedenza rispetto alle finalità
Privacy by design
Prodotti, applicazioni e servizi che tengano conto, sin dalla
progettazione, delle regole e dei principi di protezione dei
dati:
• minimizzazione a priori non solo della raccolta dei dati, ma
anche dei trattamenti successivi effettuati
• integrazione dei principi esistenti in materia di protezione
dei dati personali nei prodotti e servizi
MISURE DI
SICUREZZAAllegato B del Codice della Privacy abrogato:
→ Non esistono più le misure minime
Elencazione presente nell’art. 32 del GDPR:
→ Meramente esemplificativa
Le misure di sicurezza devono tenere conto dello stato
dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del
trattamento, come anche dei rischi (probabilità e gravità)
DPONomina obbligatoria -tra l’altro- se l’attività principale è un
trattamento che richiede monitoraggio regolare e sistematico
degli interessati su larga scala
Da nominare in funzione delle sue qualità professionali e
conoscenze specialistiche
Deve essere tempestivamente e adeguatamente coinvolto in
tutte le questioni di data protection
Può essere un soggetto interno oppure esterno alla società…
ma deve sempre essere indipendente e non devono sorgere
conflitti di interesse!
Attenzione: deve essere effettuata la comunicazione al
Garante!
DPIADa effettuare prima dell’inizio del trattamento in caso di
rischio elevato (in particolare, uso nuove tecnologie)
Obbligatoria se (i) c’è valutazione sistematica di aspetti
personali delle persone; (ii) c’è trattamento di categorie
particolari di dati su larga scala; (iii) c’è sorveglianza
sistematica su larga scala di zona accessibile al pubblico
Cosa prevede? (i) descrizione trattamenti e finalità; (ii)
valutazione necessità, proporzionalità e rischi dei trattamenti;
(iii) misure previste per affrontare i rischi
Attenzione: possibilità di utilizzo del software PIA elaborato
dall’Autorità garante francese CNIL
Chi è obbligato ai sensi del GDPR?
• Imprese e organizzazioni con più di 250 dipendenti
• Chi svolge trattamenti che:
• Possono presentare un rischio per i diritti e le libertà dell’interessato
• Non sono occasionali
• Includono il trattamento di categorie particolari di dati o di dati giudiziari
Chi dovrebbe tenerlo secondo il Garante? TUTTI
Attenzione: obbligo che tutti i titolari impongono ai responsabili!
REGISTRO DEI TRATTAMENTI
REGISTRO DEI TRATTAMENTI
“Una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o
comunque trattati”
DATA BREACH
1. Violazione della riservatezza (es.
divulgazione non autorizzata o accidentale
del dato)
2. Violazione dell’integrità (es. alterazione non
autorizzata o accidentale del dato)
3. Violazione della disponibilità (es. blocco
dell’accesso o distruzione non autorizzata o
accidentale del dato)
“TO-DO-LIST” per il Titolare, quando ricorrono
condizioni specifiche (attenzione al rischio per i diritti e
le libertà degli interessati):
1. Comunicazione al Garante
2. Comunicazione agli interessati
… e il Responsabile?
Deve comunicarlo al titolare, che deve poi decidere
come procedere!
SANZIONI >>>
Fino a € 20M o
4% del fatturato
mondiale annuo
“gravi” violazioni dei diritti
fondamentali (ad esempio: diritti degli
interessati, requisiti del trattamento…)
Fino a € 10M o
2% del fatturato
mondiale annuo
violazioni “minori” di requisiti “organizzativi” (ad
esempio: registri, data protection by design e data
protection by default…)
“TWO TIERS”
POTERI CORRETTIVI
Avvertimenti Ammonimenti
Ordini Revoca di certificazioni
QUESTI I PRINCIPALI OBBLIGHI
IMPOSTI DALLA NORMATIVA…
A CHE PUNTO SI TROVA LA TUA
AZIENDA?
DA DOVE BISOGNA PARTIRE?
LE (PRINCIPALI) DOMANDE DA PORSI…
Dati personali trattati: è stata fatta una
mappatura dei dati personali trattati (in
relazione a tipologia dei dati, provenienza,
soggetti terzi con cui i dati sono condivisi…)?
Sono state implementate misure tecniche ed
organizzative adeguate per integrare i principi
esistenti in materia di protezione dei dati
personali nei propri prodotti e servizi?
In caso di consenso dell’interessato, vi è un sistema per
registrare e gestire su base continuativa il consenso?
È chiara la base giuridica per il trattamento dei dati
personali (ad es. consenso, contratto, obbligo di legge…)?
Sono state fissate delle policies per il
trattamento dei dati personali? Vi è un
sistema di verifica del loro rispetto?
Sono state fornite informative privacy a tutti gli
interessati, in particolare contenenti tutti gli
elementi previsti dal GDPR (ad es. dati di
contatto del DPO, base giuridica ecc.)?
LE (PRINCIPALI) DOMANDE DA PORSI…
Sono impartite istruzioni vincolanti agli
incaricati che trattano dati personali?
Siete in grado di identificare, gestire e risolvere
eventuali data breach?
Gli incaricati sono stati formati sulla disciplina in materia
di privacy?
È stato implementato un sistema per la gestione e
l’evasione delle richieste di esercizio dei diritti degli
interessati?
È stato verificato se si ricade o meno
nell’obbligo di effettuare una DPIA?
È stata formalizzata una nomina con tutti i
responsabili esterni del trattamento?
È stato verificato se si ricade o meno nell’obbligo
di nomina di un DPO?
Sono effettuati trattamenti al di fuori dell’UE? Se
sì, su che base e con quali misure?
P e r i n f o r m a z i o n i e c h i a r i m e n t i :
l a p o . c u r i n i g a l l e t t i @ d g r s . i tg i u l i a . s a l a @ d g r s . i td i p a r t i m e n t o . i c t @ d g r s . i t