i profili giuridici, e relativi rischi, circa la raccolta e conservazione dei dati raccolti dalle...
TRANSCRIPT
COME RACCOGLIERE E CONSERVARE I DATI RACCOLTI: PROFILI GIURIDICI E RISCHI
CONNESSI
GLI ATTUALI OBBLIGHI PRIVACY: IL CONSENSO AL TRATTAMENTO DEI DATI SENSIBILI, LA RACCOLTA E LA CONSERVAZIONE DEGLI STESSI, GLI EVENTUALI OBBLIGHI DI COMUNICAZIONE AL GARANTE DELLA PRIVACY, LE POSSIBILI SANZIONI IL NUOVO REGOLAMENTO DELL’UNIONE EUROPEA PER LA PROTEZIONE DEI DATI PERSONALI: BREVI CENNI E PROSPETTIVE FUTURE
MA COSA SI INTENDE PER DATI?
DATI PERSONALI: • Email • Codice fiscale • Partita iva • Numero di telefono • Indirizzo
DATI IDENTIFICATIVI: • Nome e cognome
DATI SENSIBILI: • Il contenuto di un certificato medico • Marco Ziero è di etnia Tutsi • Alberto Rossi appartiene ai testimoni di Geova • La tessera di appartenenza ad un partito o ad un
sindacato
QUALI SONO LE FIGURE COINVOLTE NEL TRATTAMENTO
DATI?
• IL TITOLARE DEL TRATTAMENTO • IL RESPONSABILE DEL TRATTAMENTO • L’ INCARICATO DEL TRATTAMENTO
QUALI INFORMAZIONI E’ NECESSARIO FORNIRE
ALL’INTERESSATO?
• LE FINALITÀ E LE MODALITÀ DEL TRATTAMENTO
• LE CONSEGUENZE DI UN EVENTUALE RIFIUTO A RISPONDERE
• I SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O POSSONO COMUNQUE VENIRNE A CONOSCENZA
• GLI ESTREMI IDENTIFICATIVI DEL TITOLARE DEL TRATTAMENTO E, SE PRESENTE, DEL RESPONSABILE
• I DIRITTI DELL’INTERESSATO IN ORDINE AI SUOI DATI RACCOLTI
DATA L’INFORMATIVA, DEV’ESSERE RACCOLTO IL CONSENSO
• DOCUMENTATO
• SPECIFICO
PREVENTIVA NOTIFICA AL GARANTE DEL TRATTAMENTO DATI
DATI SENSIBILI - SEMPRE
DATI PERSONALI – IN SPECIFICI CASI (ES. PROFILAZIONE)
IL NUOVO REGOLAMENTO
REGOLAMENTO (UE) 2016/679 del 27 aprile 2016
APPLICABILE DAL 25 MAGGIO 2018
QUALI SONO LE PRINCIPALI NOVITA’ ?
• MANSIONI, CARATTERISTICHE E NATURA DELLE FIGURE
INTERESSATE, NONCHE’ NUOVE FIGURE
• PRINCIPIO DI ACCOUNTABILITY
• VALUTAZIONE D’IMPATTO
• DATA BREACH
• CONSULTAZIONE PREVENTIVA
• CERTIFICAZIONE
• SANZIONI
TITOLARE DEL TRATTAMENTO • DEVE PORRE IN ESSERE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE
IN GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO È EFFETTUATO IN CONFORMITÀ AL REGOLAMENTO. RESPONSABILE DEL TRATTAMENTO
• CONNOTAZIONE PROFESSIONALE • DEVE ESSERE OBBLIGATORIAMENTE NOMINATO
• NON SI POTRÀ PIÙ VEROSIMILMENTE NOMINARE QUALE RESPONSABILE IL SOGGETTO AVENTE LA RAPPRESENTANZA GIURIDICA DELL’ENTE, A MENO CHE QUELLO STESSO SOGGETTO NON SIA INGRADO DI DIMOSTRARE LA COMPROVATA CONOSCENZA DELLA MATERIA
DATA PROTECTION OFFICER richiesta una conoscenza specialistica della normativa e delle prassi in materia di protezione dati
SARA’ NECESSARIO SE :
• il titolare è una pubblica amministrazione • l’attività principale del titolare o del responsabile consistono in trattamenti di dati che per loro
natura o per finalità richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala
• le attività principali del titolare o del responsabile consistano nel trattamento, in larga scala, di dati sensibili
COMPITI IN CAPO AL DATA PROTECTION OFFICER • occuparsi della formazione interna all’azienda
• sorvegliare l'osservanza delle procedure adottate dal titolare
• fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento
• fungere da punto di contatto tra l’azienda e l'autorità di controllo
PRINCIPIO DI ACCOUNTABILITY • ADOZIONE DI MISURE ADEGUATE PER GARANTIRE CHE IL TRATTAMENTO DEI DATI VENGA EFFETTUATO IN
CONFORMITÀ ALLA DISCIPLINA SULLA PRIVACY
• CAPACITÀ DI DIMOSTRARLO
ELABORAZIONE, QUINDI, DI SPECIFICI MODELLI ORGANIZZATIVI (ES. D.LGS. 231/2001 O SICUREZZA) Protocolli finalizzati a : • MINIMIZZARE IL TRATTAMENTO DEI DATI • CONSENTIRE PER QUANTO POSSIBILE L’ANONIMATO DEI DATI • DETERMINARE A PRIORI LA DURATA DEL TRATTAMENTO ED IL PERIODO DI CONSERVAZIONE DEI DATI • IDENTIFICARE PRECISAMENTE CHI AVRÀ ACCESSO AI DATI A tal fine dovranno presentare misure atte a garantire : • PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI • CAPACITÀ DI ASSICURARE LA RISERVATEZZA, L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI • PROCEDURA DI VERIFICA E DI VALUTAZIONE SULL’EFFICACIA DI DETTE MISURE • PREVEDERE L’ADESIONE AD UN CODICE DI CONDOTTA O UN MECCANISMO DI CERTIFICAZIONE
TENUTA DEI REGISTRI
2 REGISTRI: titolare + responsabile
SOGGETTI OBBLIGATI: - IMPRESE CON PIÙ DI 250 DIPENDENTI - TRATTAMENTO NON OCCASIONALE - TRATTAMENTO CHE COMPORTA RISCHI PER I DIRITTI E LE LIBERTÀ DELL’INTERESSATO
CONTENUTO DEL REGISTRO:
• descrizione delle categorie di interessati delle categorie di dati personali
• le finalità del trattamento
• le categorie di destinatari a cui i dati sono stati o saranno comunicati
• i termini per la cancellazione dei dati
• descrizione generale delle misure di sicurezza tecnico-organizzative
• dati del titolare e del responsabile
• “categoria dei trattamenti effettuati” (solo per il registro del responsabile)
VALUTAZIONE D’IMPATTO
RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE In particolare se : • SI TRATTA DI UN TRATTAMENTO AUTOMATIZZATO, COMPRESA LA
PROFILAZIONE • IL TRATTAMENTO, SU LARGA SCALA, RIGUARDA I DATI PERSONALI SENSIBILI O
DATI RELATIVI A CONDANNE PENALI E A REATI • QUANDO SI TRATTI DI SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA
ZONA ACCESSIBILE AL PUBBLICO
E’ l’analisi preventiva, effettuata dal responsabile e dal titolare, volta a verificare se le misure organizzative poste in essere sono idonee ad evitare la lesione dei diritti e delle libertà individuali
SE LA RISPOSTA E’ : SI = posso procedere al trattamento NO = consultazione preventiva
DATA BREACH
IN CASO DI VIOLAZIONE DEI DATI PERSONALI IL TITOLARE DEL TRATTAMENTO DEVE : • NOTIFICARE LA VIOLAZIONE ALL'AUTORITÀ DI CONTROLLO COMPETENTE
ENTRO 72 ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA
• COMUNICARE ALL’INTERESSATO LA VIOLAZIONE DEI SUOI DATI PERSONALI
SANZIONI
VIOLAZIONE OBBLIGHI DEL TITOLARE E DEL RESPONSABILE (ES. TENUTA DEI REGISTRI) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 10.000.000 EURO, O PER LE IMPRESE, SINO AL 2% DEL FATTURATO MONDIALE TOTALE DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE. VIOLAZIONE DISPOSIZIONI SU CONSENSO E DIRITTI DEGLI INTERESSATI (DATI SENSIBILI TRATTATI SENZA IL CONSENSO) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 20.000.000 EURO, O PER LE IMPRESE, FINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.
Esempi
Nell’attuale disciplina l’importo massivo previsto per una sanzione pecuniaria è di 150.000 Euro, in merito alla sicurezza, alla conservazione e alla distruzione dei dati nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 162 ter, Codice Privacy)
GRAZIE PER L’ATTENZIONE
STUDIO LEGALE FGR
Avv. Carlo Fiorente
Via Montello, n. 83, Int. 9
31100 – Treviso
Via Olivi, n. 37
30174 Mestre (VE)
TEL 0422 - 1783688
FAX 0422 – 1780627