GDPR: scenari attuali e futuribili
0 likes327 views
![Andrea Maggipinto [+1k]](https://cdn.slidesharecdn.com/profile-photo-AndreaMaggipinto-48x48.jpg?cb=1555254179)
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), 竪 quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018). Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie pi湛 efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
GDPR: scenari attuali e futuribili
- 1. GDPR: scenari attuali e futuribili Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
- 2. www.maggipinto.eu avvocato@maggipinto.eu In vigore dal: 24 maggio 2016 Piena applicazione dal: 25 maggio 2018 Sistematica: 99 articoli, XI capi, 173 considerando, importanti abrogazioni (dir.95/46/CE) GDPR in breve REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisichecon riguardo al trattamento dei dati personali, nonch辿 alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
- 3. www.maggipinto.eu avvocato@maggipinto.eu Corretta applicazione del GDPR ACCOUNTABILITY (art. 24) COSA CAMBIATO Necessit di comportamenti proattivi e capacit di dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del GDPR (in primis, rispetto dei principi di cui allart. 5). Alcune novit: Registro delle attivit di trattamenti (art. 30) Misure di sicurezza 束adeguate損 (art. 32) Gestione delle violazioni di dati personali (artt. 33-34) Valutazione di impatto (DPIA) (art. 35) Abolizione della notifica preventiva dei trattamenti allautorit di controllo e il prior checking sostituiti dalla tenuta di un registro dei trattamenti e valutazioni dimpatto
- 4. www.maggipinto.eu avvocato@maggipinto.eu Corretta applicazione del GDPR TITOLARE - RESPONSABILE - 束AUTORIZZATO損 - 束DESIGNATO損 COSA CAMBIATO Contitolarit del trattamento e accordo interno (art. 26) Designazione responsabile del trattamento (art. 28) Nomina di sub-responsabili Prevede obblighi specifici in capo ai responsabili del trattamento: registro, designazione DPO, ecc. COSA NON CAMBIATO Requisiti soggettivi e responsabilit negli stessi termini della direttiva 95/46/CE. Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento, il GDPR non ne esclude la presenza (c.d. 束autorizzati損)
- 5. www.maggipinto.eu avvocato@maggipinto.eu Corretta applicazione del GDPR INFORMATIVA COSA CAMBIATO Il titolare DEVE SEMPRE specificare i dati di contatto del DPO, la base giuridica del trattamento, qual 竪 linteresse legittimo. Il titolare deve specificare il periodo di conservazione dei dati, e il diritto di presentare un reclamo all'autorit di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare la logica e le conseguenze previste per l'interessato. COSA NON CAMBIATO Deve essere fornita all'interessato prima di effettuare la raccolta dei dati. Il titolare deve specificare la propria identit, le finalit del trattamento, i diritti degli interessati , se esiste un responsabile del trattamento e la sua identit, e quali sono i destinatari dei dati.
- 6. www.maggipinto.eu avvocato@maggipinto.eu Corretta applicazione del GDPR BASE GIURIDICA Il trattamento 竪 lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) linteressato ha espresso il consenso b) il trattamento 竪 necessario allesecuzione di un contratto c) il trattamento 竪 necessario per adempiere un obbligo legale d) Il trattamento 竪 necessario per la salvaguardia degli interessi vitali e) il trattamento 竪 necessario per lesecuzione di un compito di interesse pubblico o connesso allesercizio di pubblici poteri f) il trattamento 竪 necessario per il perseguimento del legittimo interesse Se basato sul consenso, deve essere espresso mediante un atto positivo con il quale linteressato manifesta lintenzione di autorizzare il trattamento in modo INFORMATO INEQUIVOCABILE SPECIFICO LIBERO DIMOSTRABILE.
- 8. www.maggipinto.eu avvocato@maggipinto.eu Il 束nuovo損 D.LGS. 196/03 (mod. d.lgs. 101/18) Richiamo espresso al Regolamento 2016/679, fonte primaria della disciplina a protezione dei dati personali Consenso dei minori con almeno 14 anni det (per s.s.i.) 束Misure di garanzia損 per dati genetici, biometrici e relativi alla salute (art. 2 septies) Inutilizzabilit dei dati trattati in violazione della normativa (art. 2 decies) Diritti riguardanti le persone decedute (art. 2 terdecies) Organismo nazionale di accreditamento (art. 2 septiesdecies) Non solo Reclami, ma anche Segnalazioni (art. 144). Sanzioni penali (artt. 167 e ss.) Codici di deontologia e buona condotta, autorizzazioni e provvedimenti generali (cfr. artt. 20-22 del d.lgs. 101/18)
- 10. www.maggipinto.eu avvocato@maggipinto.eu 束ePrivacy損 Proposta di Regolamento della Commissione UE concernente il "rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all卒interno dell卒Unione Europea", che andr a sostituire la Direttiva 2002/58/CE Il Regolamento andr ad estendere lambito di applicazione della disciplina sui dati personali nelle comunicazioni anche ai trattamenti legati allo scambio di e-mail e messaggi online, dunque ai nuovi servizi di comunicazione elettronica (c.d. OTT: WhatsApp, Skype, Facebook, Messenger, ecc.) COOKIES i browser devono offrire agli utenti la possibilit di bloccare il trattamento dei dati a livello tecnico davvero i gestori dei siti web potranno usufruire dei cookies solamente con il consenso dellutente?
- 11. www.maggipinto.eu avvocato@maggipinto.eu 束ePrivacy損 Metadati: non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati (cio竪 gli elementi accessori e di contorno di una informazione) godranno dello stesso livello di protezione. Protezione del dispositivo: si prevede che ogni interferenza con i terminali richieda il consenso dell卒utente. IOT: viene per la prima volta menzionata la specificit dell卒internet delle cose al fine di estendere il principio di confidenzialit delle comunicazioni anche ai trattamenti machine- to-machine. Telemarketing: la proposta prevede che per l卒effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovr obbligatoriamente essere mostrato in chiaro.
- 12. www.maggipinto.eu avvocato@maggipinto.eu ..COSA FARE? A cinque mesi dal 25 maggio..
- 13. www.maggipinto.eu avvocato@maggipinto.eu Mi pu嘆 servire una 束CERTIFICAZIONE損? Artt. 42 e 43 GDPR 束per dimostrare la conformit al presente regolamento dei trattamenti effettuati損 束non riduce la responsabilit .. riguardo alla conformit al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorit di controllo損 Il decreto legislativo (italiano) di adeguamento al GDPR riconosce Accredia come istituto nazionale per laccreditamento degli 束accreditatori損 ex GDPR.
- 14. www.maggipinto.eu avvocato@maggipinto.eu Pu嘆 aiutarmi il 束DPO損? Compito principale di garantire, in maniera autonoma e indipendente, l'applicazione delle disposizioni del GDPR Il DPO deve essere coinvolto dal Titolare in tutte le questioni riguardanti il trattamento di dati personali il punto di contatto sia con le Autorit d controllo, sia con gli interessati Il DPO 竪 un consulente: ha il compito di informare e consigliare il Titolare circa gli obblighi ai sensi del GDPR e delle altre disposizioni applicabili Fornisce consulenza ove richiesto per quanto riguarda la valutazione dimpatto sulla protezione dei dati e monitorare i relativi adempimenti
- 15. www.maggipinto.eu avvocato@maggipinto.eu Gestire 束in prima persona損 il rischio privacy Gestire il rischio significa definire piani dazione, effettuare una manutenzione periodica dei piani dazione, gestire gli incidenti che rappresentano un insegnamento per il futuro, avviare e mantenere unattivit di auditing periodica per monitorare la situazione. Individuazione della metodologia Individuazione delle minacce (quelle effettivamente applicabili al contesto e al perimetro di analisi) Individuazione del livello di rischio residuo accettabile
- 16. www.maggipinto.eu avvocato@maggipinto.eu Gestire il 束rischio tecnologico損 The Global Risks Report 2018 (13th Ed.)
- 17. www.maggipinto.eu avvocato@maggipinto.eu Articolo 32 (Sicurezza del trattamento) 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonch辿 della natura, dell'oggetto, del contesto e delle finalit del trattamento, come anche del rischio di varia probabilit e gravit per i diritti e le libert delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacit di assicurare su base permanente la riservatezza, l'integrit, la disponibilit e la resilienza dei sistemi e dei servizi di trattamento; c) la capacit di ripristinare tempestivamente la disponibilit e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.