comune di genova · 2019. 5. 2. · comune di genova argomenti trattati un insieme organico di...

Comune di Genova

a r g o m e n t i t r a t t a t i

Un insieme organico di norme per tutti gli Stati dell’Unione Europea

5adeguamentodefinizioni

1informativa

3figure

2novità

4

vv

Cos’è il GDPR 2016/679

Il GDPR (General Data Protection Regulation ) è il Regolamento generale in materia di

privacy, adottato dal Parlamento europeo in data 27 aprile 2016 e contenente la

disciplina sulla protezione dei dati delle persone fisiche.

Esso è applicabile in tutta l’Unione europea ed è finalizzato a responsabilizzare tutti i

soggetti pubblici e privati che trattano dati personali e quindi ad adeguarsi, rivedendo le

modalità di trattamento di detti dati.

Il GDPR in breve

Per consentire ad ogni Stato membro dell’UE di adeguare il proprio ordinamento

giuridico al nuovo assetto normativo il legislatore europeo ha concesso una finestra di

due anni per l’applicazione del GDPR. Pertanto il GDPR si applica a partire dal 25

Maggio 2018, abrogando la direttiva UE sulla privacy 1995/46/CE, che aveva ispirato la

legge 676/1996 e il codice privacy di cui al d.lgs.196/2003.

Il GDPR stabilisce rigorosi requisiti in materia di privacy, regolamentando le modalità del

trattamento dei dati personali, tenendo conto delle scelte dell’interessato rispetto al

«destino» dei propri dati.

L’impianto normativo è suddiviso in 11 Capi, contenenti 99 articoli.

vvDefinizionidati personali 4dati particolari (es. sensibili) 5dati giudiziari 6trattamento 7

Figure figure 8titolare 9responsabile del trattamento (interno esterno) 10 - 11dpo (responsabile per la protezione dei dati) 12

Informativacontenuti 13 – 14 - 15

Novità rivacy by design (progettazione), privacy by default (impostazioni predefinite) 16

anonimizzazione - minimizzazione 17obblighi fondamentali del titolare del trattamento 18 - 19

designare il dpo 20registro dei trattamenti 21data breach 22

Adeguamentola visione ispiratrice - il timeline 23applicabilità - armonizzazione - adeguamento 24visione protezione dato 25esempio 26 – 27

Si considera identificabile la persona fisica che può essere identificata,

direttamente o indirettamente, con particolare riferimento a un

identificativo come:

nome,

numero di identificazione,

dati riguardanti l'ubicazione,

identificativo on-line oppure uno o più elementi caratteristici della sua

identità fisica,

fisiologica,

genetica,

psichica,

economica,

culturale o sociale.

Dato personale è

pag - 4

l’informazione riguardante una persona fisica identificata

o identificabile, ai sensi dell’art.4 par. 1, n.1 GDPR.

dati personali

dati particolari (sensibili)dati giudiziaritrattamento

pag - 5

l'origine razziale o etnica,le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale,

questi dati sono in grado di rilevare:

genetici, biometrici,relativi alla salute,alla vita sessuale, all'orientamento sessuale della persona.

nonché quelli:

Esistono poi i dati particolari, che sono quelli che il codice privacyaveva chiamato “dati sensibili” perché suscettibili di rivelare aspettimolto “intimi” della persona.

Il loro trattamento è pertanto vietat salvo che non sia stato espresso il consenso esplicito al trattamento da parte dell’interessato o negli altri casi stabiliti dall’art. 9 paragrafo 2 GDPR.

dati personali

dati particolari (sensibili)

dati giudiziaritrattamento

dati personalidati particolari (sensibili)

dati giudiziari

trattamento

sono invece quei dati relativi a condanne penali, commissione dei reati e connesse misure di sicurezza o di

prevenzione di cui all’art. 6, paragr. 1 GDPR.

I dati giudiziari

Il trattamento dei dati riconducibile all’attività giudiziaria

deve avvenire soltanto sotto il controllo dell’autorità

pubblica o se il trattamento è autorizzato dal diritto

dell’Unione o degli Stati membri che preveda garanzie

appropriate per i diritti e le libertà degli interessati.

L’art.10 GDPR prevede per il trattamento dei dati giudiziari

la tenuta di un registro completo delle condanne penali

sotto il controllo dell’autorità pubblica.

pag - 6

«qualsiasi operazione o insieme di operazioni, compiute con o

senza l’ausilio di processi automatizzati e applicate a dati

personali o insiemi di dati personali, come la raccolta, la

registrazione, l’organizzazione, la strutturazione, la

conservazione, l’adattamento o la modifica, l’estrazione, la

consultazione, l’uso, la comunicazione mediante trasmissione,

diffusione o qualsiasi altra forma di messa a disposizione, il

raffronto o l’interconnessione, la limitazione, la cancellazione

o la distruzione».

l’operazione effettuata sia in modo cartaceo che in formato digitale, ai sensi dell’art. 4 par. 1, n. 7 GDPR

Trattamento è

pag - 7

dati personalidati particolari (sensibili)dati giudiziari

trattamento

figure

titolare del trattamentoresponsabile del trattamento(interno esterno)DPO (responsabile per la protezione dei dati)

pag - 8

TITOLARE DEL TRATTAMENTO

la persona fisica o giuridica che singolarmente o insieme ad altri determina finalità e mezzi del trattamento di dati personali.

RESPONSABILE DEL TRATTAMENTOil soggetto pubblico o privato, che tratta in autonomia dati personali per conto del titolare del trattamento.

il dipendente della struttura organizzativa del Comune, il professionista privato o impresa esterna, incaricati dal titolare o dal responsabile del trattamento.

IL DATA PROTECTION OFFICER DPO responsabile per la protezione dati

ll Titolare del trattamento (data controller) è:

"la persona fisica o giuridica, l'autorità pubblica, il servizio o altroorganismo che, singolarmente o insieme ad altri, determina le finalità e imezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR).

In sostanza il titolare è il soggetto che decide "perché" e "come" devono essere trattati i dati.

pag - 9

TITOLARE DEL TRATTAMENTO

ll titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide lefinalità e i mezzi del trattamento, ed è responsabile dell'ottemperanza degliobblighi previsti dal GDPR, come la notifica al Garante privacy nei casi didata breach (violazione di dati personali) ai sensi dell’art.33 GDPR.

figure

titolare del trattamento

responsabile del trattamento(interno esterno)DPO (responsabile per la protezione dei dati)

è una figura che presenta garanzie sufficienti per mettere in attomisure tecniche e organizzative adeguate, in modo tale che iltrattamento dei dati soddisfi i requisiti previsti dal GDPR egarantisca pertanto la tutela dei diritti dell’interessato.

Il responsabile del trattamento non ricorre a un altro responsabilesenza previa autorizzazione scritta, specifica o generale, deltitolare del trattamento. Nel caso di autorizzazione scrittagenerale, il responsabile del trattamento informa il titolare deltrattamento di eventuali modifiche previste riguardanti l’aggiuntao la sostituzione di altri responsabili del trattamento, dando così altitolare l’opportunità di opporsi a tali modifiche.

pag - 10

RESPONSABILE DEL TRATTAMENTO

figuretitolare del trattamento

responsabile del trattamento (interno esterno)

DPO (responsabile per la protezione dei dati)

Il Responsabile del trattamento dovrà quindi possedere unacompetenza qualificata, che potrà essere comprovata da appositadocumentazione.

Per quanto riguarda invece il profilo dell'affidabilità, questo requisitodovrà essere fondato su aspetti etici e deontologici. In ogni caso, sullestrategie da adottare per la sicurezza e la tutela dei dati personali,dovrà sempre osservare le istruzioni e le indicazioni fornite dal titolare(art. 28 GDPR).

Con il termine "responsabile del trattamento" il GDPR si riferisce alla"persona fisica o giuridica, l'autorità pubblica, il servizio o altroorganismo che tratta dati personali per conto del titolare deltrattamento" (art. 4, paragr. 1, n. 8).

Si tratta quindi di quel soggetto che è preposto e alquale viene affidato, da parte del titolare, il trattamentodei dati personali, per lo svolgimento di autonomicompiti.

pag - 11

RESPONSABILE DEL TRATTAMENTO

figuretitolare del trattamento

responsabile del trattamento (interno esterno)


Caratteristiche che deve avere il DPO

Un SOGGETTO INTERNO alla struttura del titolare o del responsabiledel trattamento (es. un dipendente).

Un SOGGETTO ESTERNO alla struttura del titolare o del responsabiledel trattamento che opera in base a un contratto di servizi.

pag - 12

IL DATA PROTECTION OFFICER DPO responsabile per la protezione dati

Il responsabile della protezione dei dati (DPO) è designato, ai sensi dell’art.37GDPR, in funzione delle qualità professionali, in particolare della conoscenzaspecialistica della normativa e delle prassi in materia di protezione dei dati, edella capacità di assolvere i compiti di cui all'art. 39.Egli fornisce infatti consulenza al Titolare del trattamento e alla suaorganizzazione in merito agli adempimenti da effettuare conformemente alGDPR. Fornisce, se richiesto, un parere sulle valutazioni di impatto sullaprotezione dei dati di cui all’art.35. Funge da punto di contatto per l’eserciziodei diritti degli interessati in tema di rettificazione, cancellazione e conoscenzadei trattamenti, nonché con il Garante della privacy per la dovutacooperazione.

IL DPO È

figuretitolare del trattamentoresponsabile del trattamento(interno esterno)


O

i n f o r m a t i v a

pag - 13

contenuti

L’informativa per il trattamento dei dati personali è

lo strumento attraverso il quale il titolare del trattamento informal’interessato quali sono le finalità e i mezzi del trattamento dei dati personaliconferiti.

In buona sostanza l’interessato deve conoscere preventivamente anche i limiti del trattamento che lo riguarda, affinché i propri dati non vengano utilizzati in modo improprio o esorbitante rispetto alle ragioni del conferimento, senza il suo consenso.

L’informativa diventa sempre di più uno strumento di trasparenza riguardo altrattamento dei dati personali e all’esercizio dei diritti.

Per facilitare la comprensione dei contenuti nell’informativa si potrà farericorso anche a icone, identiche in tutta l’Unione europea.

Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’Uee con quali garanzie; così come dovranno sapere che hanno il diritto direvocare il consenso a determinati trattamenti, come quelli a fini di marketingdiretto.

I contenuti dell’informativa sono elencati negli articoli 13 e 14 GDPR e inparte sono più ampi rispetto al codice privacy.

In particolare, il titolare del trattamento

D E V E S E M P R E specificare:

1. i dati propri e quelli di contatto del DPO (Responsabile della protezione dei dati) ove esistente;

2. la base giuridica del trattamento (ossia la previsione di legge o di regolamento o l’accordo contrattuale che giustifica quel trattamento dei dati personali);

3. nonché se trasferisce i dati personali in Paesi terzi.

inoltre, per garantire un trattamento corretto e trasparente il titolare deve altresì specificare:

1. il periodo di conservazione dei dati, i criteri seguiti per stabiliretale periodo;

2. i diritti degli interessati in merito al “destino” dei loro dati personali(accesso, rettifica, cancellazione, limitazione del trattamento, opposizione altrattamento, portabilità dei dati);

3. nonché della possibilità di presentare reclamo al Garante privacyper ritenute irregolarità del trattamento dei dati conferiti.

pag - 14

contenuti

L’informativa è, in buona sostanza, uno strumento obbligatorio a carico del titolare del trattamento nei confronti dell’interessato, il quale deve ricevere tutte le informazioni relative alle finalità e ai mezzidel trattamento dei dati che lo riguardano.

L’informativa rappresenta infatti un modo di attuazione del principio di accountability o responsabilizzazione di cui all’art.5 del GDPR, dal momento che con essa il titolare si impegna affinché il trattamento dei dati avvenga nel rispetto dei principi di liceità correttezza e trasparenza.

L’interessato rispetto al trattamento dei dati conferiti ha di conseguenza i seguenti diritti:

accedere ai dati che lo riguardano ottenere la rettifica dei dati, ossia la correzione di imprecisioni cancellare le informazioni [diritto all’oblio ] opporsi al trattamento [es. prevenzione del marketing diretto] limitare il trattamento dei dati, evitando la profilazioneautomatizzataottenere la portabilità dei dati presso altro titolare del trattamento

Nel suo complesso il GDPR mantiene l’impianto previsto nel codice privacy, rendendo più chiari, evidenti e pregnanti i diritti dell’interessato.

pag - 15

contenuti

P R I V A C Y B Y D E S I N G

Assicurare, già a partire dalla fase di progettazione della banca dati, la riduzione del trattamento dei dati personali, la loro sicurezza e riservatezza.

nel codice privacyerano previsti standard minimi di

sicurezza e di tutela per il trattamento dei dati personali.

P R I V A C Y B Y D E F A U LT

Trattare solamente i dati necessari peril raggiungimento delle finalità deltrattamento.

con il GDPRl’approccio è proattivo

attraverso l’auto responsabilizzazionedel trattamento dei dati personali aiprincipi di liceità, correttezza etrasparenza (art.5 GDPR).

IL PRINCIPIO DI «PRIVACY BY DESIGN» SEGNA UN NETTO CAMBIAMENTO DI APPROCCIO ALLA PROTEZIONE DEI DATI PERSONALI DEGLI INTERESSATI

pag - 16

privacy by design (progettazione) privacy by default (impostazioni predefinite)

anonimizzazioneminimizzazione

obblighi fondamentali del titolare del trattamento

designazione dporegistro dei trattamentidata breach

Chi organizza il trattamento dei dati personali è tenuto a predisporre adeguate

misure tecniche e organizzative (PRIVACY BY DEFAULT) che garantiscano, durante

l’intero ciclo, che vengano trattati esclusivamente i dati strettamente necessari

per le finalità del trattamento. In questo modo si realizza il principio di

minimizzazione del trattamento che soddisfa logiche di limitazione del

trattamento ai dati indispensabili per il fine proposto per la tutela della

riservatezza dell’interessato.

d a t o p s e u d o n i m i z z a t o

dato personale completo

dato pseudonimizzato

La pseudonimizzazione (PRIVACY BY DESIGN) dei dati, strumentale a detto

principio, richiede pertanto che essi non siano riconducibili direttamente alla

persona identificata o identificabile, senza l'utilizzo di informazioni aggiuntive.

pag - 17

p r i n c i p i o d i m i n i m i z z a z i o n e


anonimizzazione e minimizzazione



Il Titolare del trattamento, in esecuzione del GDPR, deve adempiere a 3 obblighi fondamentali

designare il Responsabile della protezione dei dati

(DPO), al fine di assolvere i compiti di cui

all’art.39 GDPR.

predisporre il Registro delle attività del

trattamento, nel quale sono descritti i

trattamenti effettuati e le procedure di sicurezza adottate dall’Ente di cui

all’art. 30 GDPR.

attivare il data breach, ossia notificare al

Garante privacy (entro 72 ore dal momento in

cui ne è venuto a conoscenza) l'avvenuta

violazione di dati personali, ai sensi dell’art.33 GDPR.



obblighi fondamentali del titolare del trattamentodesignazione dporegistro dei trattamentidata breach

pag - 18

Designare il DPO

Sulla base del principio di responsabilizzazione (accountabilityespresso dall’art.5 GDPR) il titolare del trattamento devedeterminare le finalità del trattamento e i mezzi dello stesso,mettendo in atto le misure tecniche e organizzative adeguate pergarantire, ed essere in grado di dimostrare, che il trattamento èstato effettuato conformemente al GDPR.

Il titolare del trattamento, al fine di poter dimostrare laconformità del trattamento al GDPR, deve:

Predisporre il registro aggiornatodei trattamenti

pag - 19

Attivare la procedura di databreach



obblighi fondamentali del titolare del trattamentodesignazione dporegistro dei trattamentidata breach

Il DPO, oltre ad assolvere i compiti di cui all’art.39,fornisce consulenza al Titolare del trattamento e alla suaorganizzazione in merito agli adempimenti da effettuareconformemente al GDPR.

Fornisce, se richiesto, un parere sulle valutazioni diimpatto sulla protezione dei dati di cui all’art.35.

Funge da punto di contatto per l’esercizio dei diritti degliinteressati in tema di rettificazione, cancellazione econoscenza dei trattamenti, nonché con il Garante dellaprivacy per la dovuta cooperazione(es. violazione dei dati o data breach).

DPO





pag - 20

un nuovo strumento introdotto dal GDPR per consentire alGarante privacy di monitorare le attività di trattamento deidati personali effettuate dal titolare o dal responsabile deltrattamento sotto la propria responsabilità. La sua tenuta èobbligatoria solo per le imprese od organizzazioni con più di250 dipendenti.

Il registro dei trattamenti va redatto in forma scritta, anche informato elettronico.

In applicazione dell’art.30 GDPR, il titolare o il responsabile deltrattamento deve tenere un registro delle attività ditrattamento.Tutti i soggetti coinvolti sono tenuti a cooperare con l'autoritàdi controllo (Garante privacy) e mettere, su richiesta, dettiregistri a disposizione per la verifica degli stessi.Il registro offre quindi l’occasione per avere un quadrod’insieme delle attività che comportano il trattamento dei datipersonali e delle misure tecniche ed organizzative adottate,nonché per operarne l’aggiornamento continuo dei dati.

definizione

forma

finalità

pag - 21

REGISTRO DEI TRATTAMENTI




designazione dpo

registro dei trattamenti

data breach

Il titolare del trattamento deve attivare specifiche e dettagliate procedure per la rilevazione di eventuali violazioni di dati personali di cui all’art.33 GDPR.

Il GDPR ha introdotto infatti un obbligo di notifica generalizzato al Garante privacyper tutte le violazioni di dati personali (ad esempio un furto d'identità o unaviolazione della riservatezza) a meno che sia improbabile che la violazione dei datipersonali presenti un rischio per i diritti e libertà delle persone fisiche.

Il titolare del trattamento, in tali casi,

dovrà notificare entro 72 ore (senza giustificato ritardo)

gli estremi delle avvenute violazioni, descrivendo la natura della violazione stessa, le categorie ed il numero approssimativo di interessati. Dovrà altresì, per quanto possibile, eliminare o contenere i rischi conseguenti alle presunte violazioni adottando tutte le misure tecniche e organizzative del caso.

Nei casi più gravi, quando possibile, il titolare del trattamento dei dati comunica laviolazione dei dati agli interessati ai sensi dell’art.34 GDPR.

pag - 22

PROCEDURA DI DATA BREACH




designazione dporegistro dei trattamenti

data breach

Codice Privacy

la visione ispiratrice

il timeline

applicabilita’armonizzazioneadeguamento

visione protezione dato

esempio

dal 25 maggio 2018

il GDPR è applicabile in tutta L’Unione

dal 19 settembre 2019

il Codice privacy è stato adeguato al GDPR

I L T I M E L I N E

L A V I S I O N E I S P I R AT R I C E

IL Garante tiene conto della fase di prima applicazione delle sanzioni

amministrative pecuniarie di cui all’art.166 del Codice durante i primi 8

mesi: 19 settembre – 19 maggio 2019 (art.22, co13, dl.gs.101/2018)

Con il GDPR si passa da una visione proprietaria del dato,basata sul consenso, ad una visione di protezione del dato,fondata sul principio dell’accoutability, cioè sullaresponsabilizzazione dei soggetti che trattano i dati dellepersone fisiche (gli interessati).

In tal modo i diritti dell’interessato vengono rafforzati einfatti è stato riconosciuto il diritto di poter sapere se, comee per quanto tempo i dati vengono trattati.

pag - 23

Codice Privacy

Il GDPR è entrato in vigore in tutti gli Stati dell’Unione il 24 maggio2016 ed è direttamente applicabile a partire dal 25 maggio 2018, essendo una fonte deldiritto europeo cosiddetta «self-executing», ossia una fonte che non necessita di atti formalidi recepimento.

A p p l i c a b i l i t a ’

Il GDPR ha costruito nell’ambito comunitario un sistema diprotezione dei dati, dal momento che tutti gli Stati MEMBRIapplicano le medesime norme.

A r m o n i z z a z i o n e

La legge di delegazione europea del 25 ottobre 2017, n.163 ha dato

mandato ai Governi degli Stati membri di adottare uno o più decreti

legislativi di adeguamento.

E così il Governo nazionale ha provveduto all’adeguamento delle disposizioni

dell’ordinamento nazionale (Codice privacy) a quelle del GDPR attraverso il

d.lgs. 10 agosto 2018, n.101, in vigore dal 19 settembre.

Il d.lgs.101/2018 è intervenuto nella struttura del Codice privacy nel seguente modo:

Ha abrogato e sostituito le norme incompatibili;Ha adeguato quelle compatibili;Ha introdotto nuove disposizioni negli ambiti nei quali il GDPR ha lasciato ai

singoli Stati la flessibilità d’intervento.

A d e g u a m e n t o


il timeline

applicabilita’ armonizzazione adeguamento


esempio

pag - 24

Codice Privacy

A r t . 1 - O g g e t t o

Il trattamento dei dati avviene secondo le norme del GDPR e del Codice privacy, entrambiposti a protezione della dignità umana, dei diritti e delle libertà fondamentali.

L’attuale sistema di protezione dei dati personali è formato da:

La visione di protezione del dato entra nel Codice privacy:

A r t . 2 – F i n a l i t à

Il Codice privacy è stato adeguato alle disposizioni del GDPR mediante:abrogazione e sostituzione degli articoli incompatibili adeguamento di quelli compatibiliintroduzione di nuove disposizioninegli ambiti nei quali il GDPR ha lasciato ai singoli Stati la flessibilità d’intervento.

Protezione Dati Personali

GDPR

CODICE PRIVACY+=modificato dal d.lgs. 101/2018


il timeline



esempio

pag - 25

Codice Privacy

Il Garante per la protezione dei dati personali

La base giuridica sulla quale si fonda il trattamento


il timeline



esempio

L’attuale sistema di protezione dei dati personali è formato dal GDPR e dal Codice privacy, modificato dal d.lgs. 101/2018.

alcuni esempi di adeguamento delle norme del Codice privacy compatibili con il GDPR.

L’art.2-bis

richiama l’art.51 del GDPR, che hadisciplinato la figura dell’Autoritàdi controllo, individuata nelGarante.

L’art.2-ter

richiama l’art.6 del GDPR, che hastabilito che il trattamento per losvolgimento di un compito diinteresse pubblico e per losvolgimento di funzioniistituzionali è lecito solamentequando è effettuato alla luce unanorma di legge che lo preveda onei casi previsti da leggi,regolamenti.

pag - 26

Codice Privacy

il consenso del minore in relazione ai servizi della società dell’informazione

(es. prestito bibliotecario)

il legislatore nazionale, nel dare attuazione all’art.8 delGDPR, che ha stabilito l’età minima di

anni

per accedere ai servizi della società dell’informazione, haprevisto che il consenso è validamente prestato dalminore che ha compiuto almeno

anni.


il timeline



esempio

Un esempio d’introduzione di nuovedisposizioni negli ambiti nei quali il GDPR halasciato ai singoli Stati membri la flessibilitàd’intervento.

pag - 27

comune di genova · 2019. 5. 2. · comune di genova argomenti trattati un insieme organico di...

Documents