d g r s s t u d i o l e g a l e v i a c h i o s s e t t o ... · mappatura dei dati personali...
TRANSCRIPT
![Page 1: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/1.jpg)
D G R S S t u d i o L e g a l e V i a C h i o s s e t t o , 3 – 2 0 1 2 2 M i l a n o ( I t a l i a )T e l : T : + 3 9 0 2 . 8 3 . 5 5 . 5 2 . 4 6 F a x : + 3 9 0 2 . 8 7 . 1 8 . 2 4 . 5 0 w w w . d g r s . i t
![Page 2: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/2.jpg)
Dopo sei mesi a
che punto
siamo?
GDPR
M i l a n o , 1 3 / 1 1 / 2 0 1 8
D i p a r t i m e n t o I C T & I P
L a p o C u r i n i G a l l e t t i
G i u l i a S a l a
![Page 3: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/3.jpg)
Uomo, avvocato, residente a Milano,
lavora nell’ambito privacy, presente al
Workshop sul GDPR dello IAB
Forum 2018
93.149.22.19
Nome: Mario
Cognome: Rossi
100 persone a Milano hanno comprato
una cabriolet nera
QUALI SONO I DATI
PERSONALI?
![Page 4: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/4.jpg)
“qualunque informazione relativa a
persona fisica, identificata o
identificabile, anche indirettamente,
mediante riferimento a qualsiasi altra
informazione, ivi compreso un
numero di identificazione personale”
COSA
S’INTENDE
PER DATI
PERSONALI?
NB: PSEUDONIMIZZAZIONE ≠ ANONIMIZZAZIONE
TUTTO!
![Page 5: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/5.jpg)
D a t i B a n c a r iI n d i r i z z o I P A n a l i s i C l i n i c h e
S t a t o d i G r a v i d a n z a O p i n i o n i P o l i t i c h e T i t o l o d i S t u d i o
QUALI SONO LE CATEGORIE
PARTICOLARI DI DATI PERSONALI?
(CD. DATI SENSIBILI)
![Page 6: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/6.jpg)
Dati personali che rivelano l’origine razziale o etnica,
le opinioni politiche, le convinzioni religiose o
filosofiche, l’appartenenza sindacale, dati genetici, dati
biometrici intesi a identificare in modo univoco una
persona fisica, dati relativi alla salute o alla vita sessuale
o all’orientamento sessuale della persona
COSA SI INTENDE PER
CATEGORIE PARTICOLARI DI
DATI PERSONALI
(O CD. DATI SENSIBILI)?
![Page 7: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/7.jpg)
PER COMINCIARE: ALCUNI IMPORTANTI RIFERIMENTI
Regolamento UE
2016/679, cd.
GDPRDirettamente applicabile in
Europa dal 25 maggio
Normativa
generale
Codice
della Privacy
Modificato dal
D. Lgs. 101/2018,
in vigore dal 19 settembre
Normativa
«speciale»
…e per i cookies?
Direttiva 2002/58 CE → Titolo X del Codice Privacy novellato
→ Provvedimento del Garante Privacy sui cookies
![Page 8: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/8.jpg)
Ambito di applicazione territoriale
GDPR: NOVITÀ PRINCIPALI
Trattamento nell'ambito delle attività di uno
stabilimento situato nell’UE
Offerta di beni/prestazione di servizi a
interessati che si trovano nell’UE
Monitoraggio del comportamento di interessati
nella misura in cui ha luogo nell'UE
Accountability
Ricorso ad adeguate misure tecniche e
organizzative
Essere in grado di dimostrare
conformità al GDPR
Sanzioni
Calcolate anche in misura percentuale
(dal 2% al 4%) sul fatturato globale
annuo mondiale
![Page 9: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/9.jpg)
Precisa il GDPR,
dove questo lo
richiede
CODICE PRIVACY:
COSA REGOLA?
Es.: consenso dei minori.
In Italia, è valido a
partire dai 14 anni (prima
serve il consenso dei
genitori)
Definisce le modalità di tutela dell'interessato
e le sanzioni
Es.: gli interessati, qualora ritenessero violati i loro diritti, potranno
proporre reclamo al Garante o ricorso dinanzi all’Autorità
Giudiziaria
Discipline speciali
Ambito giudiziario – Trattamenti in ambito sanitario – Difesa e sicurezza
dello Stato – Trattamenti nell’ambito del rapporto di lavoro – Istruzione
– Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca
scientifica o storica o a fini statistici – Altri trattamenti in ambito
pubblico o di interesse pubblico – Giornalismo, libertà di informazione
e di espressione –
Comunicazioni elettroniche *
* Non è possibile fare comunicazioni commerciali per finalità
di marketing basandosi sul legittimo interesse!
* E’ ancora possibile invece il cd. “SOFT-SPAM”
![Page 10: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/10.jpg)
Autorizzazioni Generali
del Garante
CODICE PRIVACY: DECRETO DI ARMONIZZAZIONE
CASI SPECIFICI (trattamenti per
finalità di interesse pubblico; dei dati
sanitari nell’ambito dei rapporti di
lavoro; dei dati biometrici, ecc.):
valutazione compatibilità tramite un
provvedimento generale
ALTRI CASI: cessano di esistere
Altre disposizioni
transitorie e finali
Dal 25/05/2018, i provvedimenti del
Garante continuano ad applicarsi, in
quanto compatibili
Per i primi 8 mesi dal 19 settembre, il
Garante tiene conto, ai fini
dell’applicazione delle sanzioni e nei
limiti in cui risulti compatibile con le
disposizioni del GDPR, della fase di
prima applicazione delle disposizioni
sanzionatorie
![Page 11: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/11.jpg)
Garantire, ed essere in grado di dimostrare, che le operazioni di trattamento vengano effettuate in conformità
alla normativa del Garante
IL PRINCIPIO DI ACCOUNTABILITY:
COME ADEGUARSI?
Privacy by Default
Privacy by Design
Registro dei trattamenti
Misure di Sicurezza
DPIA
DPO
ACCOUNTABILITY
![Page 12: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/12.jpg)
PRIVACY BY
DEFAULT E BY
DESIGN
Privacy by default
Misure tecniche e organizzative (ad esempio,
pseudonimizzazione) funzionali a garantire che, fin dalla
raccolta, vengano trattati solamente i dati personali
• necessari alle finalità perseguite
• secondo i principi di necessità, pertinenza, adeguatezza e
non eccedenza rispetto alle finalità
Privacy by design
Prodotti, applicazioni e servizi che tengano conto, sin dalla
progettazione, delle regole e dei principi di protezione dei
dati:
• minimizzazione a priori non solo della raccolta dei dati, ma
anche dei trattamenti successivi effettuati
• integrazione dei principi esistenti in materia di protezione
dei dati personali nei prodotti e servizi
![Page 13: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/13.jpg)
MISURE DI
SICUREZZAAllegato B del Codice della Privacy abrogato:
→ Non esistono più le misure minime
Elencazione presente nell’art. 32 del GDPR:
→ Meramente esemplificativa
Le misure di sicurezza devono tenere conto dello stato
dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del
trattamento, come anche dei rischi (probabilità e gravità)
![Page 14: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/14.jpg)
DPONomina obbligatoria -tra l’altro- se l’attività principale è un
trattamento che richiede monitoraggio regolare e sistematico
degli interessati su larga scala
Da nominare in funzione delle sue qualità professionali e
conoscenze specialistiche
Deve essere tempestivamente e adeguatamente coinvolto in
tutte le questioni di data protection
Può essere un soggetto interno oppure esterno alla società…
ma deve sempre essere indipendente e non devono sorgere
conflitti di interesse!
Attenzione: deve essere effettuata la comunicazione al
Garante!
![Page 15: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/15.jpg)
DPIADa effettuare prima dell’inizio del trattamento in caso di
rischio elevato (in particolare, uso nuove tecnologie)
Obbligatoria se (i) c’è valutazione sistematica di aspetti
personali delle persone; (ii) c’è trattamento di categorie
particolari di dati su larga scala; (iii) c’è sorveglianza
sistematica su larga scala di zona accessibile al pubblico
Cosa prevede? (i) descrizione trattamenti e finalità; (ii)
valutazione necessità, proporzionalità e rischi dei trattamenti;
(iii) misure previste per affrontare i rischi
Attenzione: possibilità di utilizzo del software PIA elaborato
dall’Autorità garante francese CNIL
![Page 16: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/16.jpg)
Chi è obbligato ai sensi del GDPR?
• Imprese e organizzazioni con più di 250 dipendenti
• Chi svolge trattamenti che:
• Possono presentare un rischio per i diritti e le libertà dell’interessato
• Non sono occasionali
• Includono il trattamento di categorie particolari di dati o di dati giudiziari
Chi dovrebbe tenerlo secondo il Garante? TUTTI
Attenzione: obbligo che tutti i titolari impongono ai responsabili!
REGISTRO DEI TRATTAMENTI
![Page 17: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/17.jpg)
REGISTRO DEI TRATTAMENTI
![Page 18: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/18.jpg)
“Una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o
comunque trattati”
DATA BREACH
1. Violazione della riservatezza (es.
divulgazione non autorizzata o accidentale
del dato)
2. Violazione dell’integrità (es. alterazione non
autorizzata o accidentale del dato)
3. Violazione della disponibilità (es. blocco
dell’accesso o distruzione non autorizzata o
accidentale del dato)
“TO-DO-LIST” per il Titolare, quando ricorrono
condizioni specifiche (attenzione al rischio per i diritti e
le libertà degli interessati):
1. Comunicazione al Garante
2. Comunicazione agli interessati
… e il Responsabile?
Deve comunicarlo al titolare, che deve poi decidere
come procedere!
![Page 19: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/19.jpg)
SANZIONI >>>
Fino a € 20M o
4% del fatturato
mondiale annuo
“gravi” violazioni dei diritti
fondamentali (ad esempio: diritti degli
interessati, requisiti del trattamento…)
Fino a € 10M o
2% del fatturato
mondiale annuo
violazioni “minori” di requisiti “organizzativi” (ad
esempio: registri, data protection by design e data
protection by default…)
“TWO TIERS”
![Page 20: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/20.jpg)
POTERI CORRETTIVI
Avvertimenti Ammonimenti
Ordini Revoca di certificazioni
![Page 21: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/21.jpg)
QUESTI I PRINCIPALI OBBLIGHI
IMPOSTI DALLA NORMATIVA…
A CHE PUNTO SI TROVA LA TUA
AZIENDA?
DA DOVE BISOGNA PARTIRE?
![Page 22: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/22.jpg)
LE (PRINCIPALI) DOMANDE DA PORSI…
Dati personali trattati: è stata fatta una
mappatura dei dati personali trattati (in
relazione a tipologia dei dati, provenienza,
soggetti terzi con cui i dati sono condivisi…)?
Sono state implementate misure tecniche ed
organizzative adeguate per integrare i principi
esistenti in materia di protezione dei dati
personali nei propri prodotti e servizi?
In caso di consenso dell’interessato, vi è un sistema per
registrare e gestire su base continuativa il consenso?
È chiara la base giuridica per il trattamento dei dati
personali (ad es. consenso, contratto, obbligo di legge…)?
Sono state fissate delle policies per il
trattamento dei dati personali? Vi è un
sistema di verifica del loro rispetto?
Sono state fornite informative privacy a tutti gli
interessati, in particolare contenenti tutti gli
elementi previsti dal GDPR (ad es. dati di
contatto del DPO, base giuridica ecc.)?
![Page 23: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/23.jpg)
LE (PRINCIPALI) DOMANDE DA PORSI…
Sono impartite istruzioni vincolanti agli
incaricati che trattano dati personali?
Siete in grado di identificare, gestire e risolvere
eventuali data breach?
Gli incaricati sono stati formati sulla disciplina in materia
di privacy?
È stato implementato un sistema per la gestione e
l’evasione delle richieste di esercizio dei diritti degli
interessati?
È stato verificato se si ricade o meno
nell’obbligo di effettuare una DPIA?
È stata formalizzata una nomina con tutti i
responsabili esterni del trattamento?
È stato verificato se si ricade o meno nell’obbligo
di nomina di un DPO?
Sono effettuati trattamenti al di fuori dell’UE? Se
sì, su che base e con quali misure?
![Page 24: D G R S S t u d i o L e g a l e V i a C h i o s s e t t o ... · mappatura dei dati personali trattati (in relazione a tipologia dei dati, provenienza, soggetti terzi con cui i dati](https://reader036.vdocuments.us/reader036/viewer/2022090516/60438374b608940be756e257/html5/thumbnails/24.jpg)
P e r i n f o r m a z i o n i e c h i a r i m e n t i :
l a p o . c u r i n i g a l l e t t i @ d g r s . i tg i u l i a . s a l a @ d g r s . i td i p a r t i m e n t o . i c t @ d g r s . i t