Slide Nuovo Regolamento Europeo Privacy - euristica.it · dati sensibili o che possono monitorare il comportamento di molti consumatori • Sanzioni Amministrative Pecuniarie fino

Nuovo Nuovo Nuovo Nuovo Regolamento Regolamento Regolamento Regolamento Europeo PrivacyEuropeo PrivacyEuropeo PrivacyEuropeo Privacy

Gubbio, Perugia

Marzo 2016

ContenutiContenutiContenutiContenuti

• Approvazione ed ultime novità

• Principali novità introdotte

• Attenzione a…

• Conclusioni

Approvazione ed ultime novitàApprovazione ed ultime novitàApprovazione ed ultime novitàApprovazione ed ultime novità



• Il Parlamento Europeo, dopo oltre quattro anni di lavoro, con la Risoluzione Legislativa del 14 Aprile 2016, ha approvato in seduta plenaria il Regolamento Europeo Privacy relativo alla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

• Il nuovo Regolamento Europeo Privacy abroga la Direttiva 95/46/CE e mira a stabilire un’applicazione uniforme della normativa privacy in ogni Stato Membro dell’Unione Europea, garantendo in questo modo un maggior controllo da parte dei cittadini europei sui propri dati personali.

Principali novità introdottePrincipali novità introdottePrincipali novità introdottePrincipali novità introdotte

• Le Principali Novità introdotte dal Regolamento Europeo Privacy in termini di diritti fondamentali dell’interessato sono molteplici.

• Il Regolamento Europeo Privacy entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell'Unione Europea e le sue disposizioni saranno direttamente applicabili in tutti gli Stati Membri

• Ogni Titolare del Trattamento ha due anni per formare il proprio personale e revisionare il proprio sistema di gestione privacy al fine di renderlo conforme alle nuove disposizione di legge imposte dal Regolamento Privacy Europeo.

• Tuttavia le azioni da mettere in campo sono molteplici, pertanto è necessario muoversi fin da subito.

• Vediamo le più rilevanti ai fini dell’applicazione ai contesti aziendali.


• Diritto all'OblioDiritto all'OblioDiritto all'OblioDiritto all'Oblio ovvero il diritto di ciascun individuo di poter essere dimenticato e di non essere più ricordato per fatti che in passato furono oggetto di cronaca

• Diritto al Consenso AttivoDiritto al Consenso AttivoDiritto al Consenso AttivoDiritto al Consenso Attivo ovvero il diritto di poter esprimere attivamente il proprio consenso dopo aver ricevuto una chiara informativa privacy e di poterlo in ogni momento revocare

• Diritto alla Portabilità dei Dati PersonaliDiritto alla Portabilità dei Dati PersonaliDiritto alla Portabilità dei Dati PersonaliDiritto alla Portabilità dei Dati Personali ovvero il diritto di poter trasferire in maniera semplice e agevole i propri dati personali da un provider ad un altro fornitore di servizi

• Diritto alla Trasparenza InformativaDiritto alla Trasparenza InformativaDiritto alla Trasparenza InformativaDiritto alla Trasparenza Informativa ovvero il diritto di ricevere un’informativa privacy preventiva chiara, semplice e comprensibile


• Diritto alla Comunicazione delle ViolazioniDiritto alla Comunicazione delle ViolazioniDiritto alla Comunicazione delle ViolazioniDiritto alla Comunicazione delle Violazioni ovvero il diritto di essere avvisati nel più breve tempo possibile di eventuali violazioni dei propri dati personali

• Diritto alla Diritto alla Diritto alla Diritto alla ProfilazioneProfilazioneProfilazioneProfilazione ConsenzienteConsenzienteConsenzienteConsenziente ovvero il diritto che le attività di profilazione non vengano effettuate in maniera automatizzata e senza il preventivo ed espresso consenso dell’interessato

• Diritto alla Privacy by Default/DesignDiritto alla Privacy by Default/DesignDiritto alla Privacy by Default/DesignDiritto alla Privacy by Default/Design ovvero il diritto che i prodotti e i servizi immessi in commercio siano progettati nel rispetto della normativa privacy (Privacy by Design) e siano sviluppati per trattare il minor numero possibile di dati personali (Privacy by Default).

• Diritto alla Privacy dei MinoriDiritto alla Privacy dei MinoriDiritto alla Privacy dei MinoriDiritto alla Privacy dei Minori ovvero il diritto che i dati personali dei bambini siano protetti in maniera più sicura e trattati solo con il preventivo consenso dei genitori.


• Joint Joint Joint Joint controllerscontrollerscontrollerscontrollers ovvero se il responsabile del trattamento determina le finalità, le condizioni e i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinano, mediante accordi interni, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal regolamento, con particolare riguardo alle procedure e ai meccanismi per l’esercizio dei diritti dell’interessato ovvero il diritto di essere avvisati nel più breve tempo possibile di eventuali violazioni dei propri dati personali.

• Nuova definizione di dato sensibile Nuova definizione di dato sensibile Nuova definizione di dato sensibile Nuova definizione di dato sensibile ovvero sono i dati personali che rivelino la razza, l’origine etnica, le opinioni politiche, la religione o le convinzioni personali, l’appartenenza sindacale, come pure trattare dati genetici o dati relativi alla salute e alla vita sessuale o a condanne penali o a connesse misure di sicurezza. Diventa lecito trattarli se “il trattamento riguarda dati resi manifestamente pubblici dall’interessato”.


• Per assicurare la corretta applicazione del nuovo Regolamento Europeo Privacy è prevista:

• Nomina di un Privacy Nomina di un Privacy Nomina di un Privacy Nomina di un Privacy OfficerOfficerOfficerOfficer per le aziende che gestiscono notevoli quantità di dati sensibili o che possono monitorare il comportamento di molti consumatori

• Sanzioni Amministrative Pecuniarie fino al 4% del Fatturato Mondiale Totale Sanzioni Amministrative Pecuniarie fino al 4% del Fatturato Mondiale Totale Sanzioni Amministrative Pecuniarie fino al 4% del Fatturato Mondiale Totale Sanzioni Amministrative Pecuniarie fino al 4% del Fatturato Mondiale Totale AnnuoAnnuoAnnuoAnnuo

• Nuovo principio-chiave: AccountabilityAccountabilityAccountabilityAccountability

• I dati sono trattati sotto la responsabilità del responsabile (titolare nell’accezione attuale), che assicura e comprova, per ciascuna operazione, la conformità alle disposizioni del regolamento


• Il Data Data Data Data ProtectionProtectionProtectionProtection OfficerOfficerOfficerOfficer (di seguito DPODPODPODPO) è una figura introdotta dal Regolamento Europeo sulla protezione dei dati.

• Il DPO, figura già obbligatoriamente presente in alcune legislazioni europee, è un soggetto (interno o esterno alle organizzazioni) che deve avere un ruolo specifico ed indipendente, con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative.


• Il Regolamento disciplina l’istituzione della figura del Data Protection Officer(in italiano Responsabile della protezione dei dati) nei seguenti casi:

• il trattamento è effettuato da un'autorità o un ente pubblico, fatta eccezione per i tribunali che esercitano l’attività giudiziaria;

• le attività principali del responsabile (titolare nell’accezione corrente) o dell’incaricato (responsabile o incaricato nell’accezione corrente) consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala;

• le attività principali del responsabile (titolare nell’accezione corrente) o dell’incaricato (responsabile o incaricato nell’accezione corrente) consistono nel trattamento su larga scala di categorie speciali di dati ai sensi dell'Articolo 9 e di dati relativi alle condanne penali e reati di cui all'Articolo 9a.


• L'art.37 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

• informare e consigliare il responsabile (titolare nell’accezione corrente) o l’incaricato (responsabile o incaricato nell’accezione corrente) e tutti coloro che trattano dati personali circa i loro obblighi ai sensi del presente Regolamento e delle altre disposizioni dell'Unione o dello Stato membro in materia di protezione dei dati;

• controllare il rispetto del presente Regolamento, delle altre disposizioni relative alla protezione dei dati dell'Unione o dello Stato membro e delle regole del responsabile (titolare nell’accezione corrente) o l’incaricato (responsabile o incaricato nell’accezione corrente) in materia di protezione dei dati personali, inclusi l'assegnazione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;

• fornire informazioni ove richiesto per quanto riguarda la valutazione d'impatto sulla protezione dei dati e monitorare i relativi adempimenti ai sensi dell'Articolo 33;


• L'art.37 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

• cooperare con l'autorità di vigilanza;

• agire come punto di contatto per l'autorità di vigilanza sulle questioni relative al trattamento dei dati personali, inclusa la consultazione preliminare di cui all'Articolo 34, e fornire informazioni, se del caso, su qualsiasi altra questione.

• Inoltre il responsabile della protezione dei dati deve, nell'esercizio dei propri compiti, prendere in debito considerazione i rischi associati alle operazioni di trattamento, avuto riguardo alla natura, allo scopo, al contesto ed alle finalità del trattamento.

Attenzione a…Attenzione a…Attenzione a…Attenzione a…

• Principio di Principio di Principio di Principio di AccountabilityAccountabilityAccountabilityAccountability• I dati sono trattati sotto la responsabilità del responsabile (titolare nell’accezione

attuale), che assicura e comprova, per ciascuna operazione, la conformità alle

disposizioni del regolamento

• Prima regola: analisi dei rischi.Prima regola: analisi dei rischi.Prima regola: analisi dei rischi.Prima regola: analisi dei rischi.

• Seconda regola: valutazione dell’impatto sui dati.Seconda regola: valutazione dell’impatto sui dati.Seconda regola: valutazione dell’impatto sui dati.Seconda regola: valutazione dell’impatto sui dati.• Queste diventano l’attività fondamentale da svolgere per i titolati del trattamento, con

la massima cura

• Due profili di attività: obbligatorie e non obbligatorie Due profili di attività: obbligatorie e non obbligatorie Due profili di attività: obbligatorie e non obbligatorie Due profili di attività: obbligatorie e non obbligatorie • Obbligatorie: trasparenza, sistema di data protection, ruoli di data protection,

sicurezza informatica, diritti dell’interessato, flussi transfrontalieri di dati

• Non obbligatorie: codici di condotta, meccanismi di certificazione, sigilli e segni

Attenzione a…Attenzione a…Attenzione a…Attenzione a…

• DocumentazioneDocumentazioneDocumentazioneDocumentazione, ben oltre l’attuale DPS. • Ogni responsabile del trattamento, incaricato del trattamento ed eventuale

rappresentante del responsabile del trattamento conserva la documentazione di tutti i

trattamenti effettuati sotto la propria responsabilità.

• Per i dettagli, articoli 22 e 28 del Regolamento.

• Misure di sicurezzaMisure di sicurezzaMisure di sicurezzaMisure di sicurezza, cambia la prospettiva• Non c’è più distinzione tra misure minime e idonee

• Esistono solo misure adeguate da applicare, decise dal titolare del trattamento a

seguito dell’analisi dei rischi

ConclusioniConclusioniConclusioniConclusioni

• Queste elencate sono solo alcune tra le principali novità introdotte

• Torneremo sull’argomento durante questo 2016 per approfondire ulteriori novità, quali le modifiche alla definizione di interessato, di dato sensibile, di domicilio del dato, le caratteristiche della documentazione

• E’ importante che le organizzazioni aziendali si attivino subito per un rapido avvio delle azioni di conformità e per la scelta sull’eventuale adozione del DPO quale soggetto interno o esterno

• Il nostro gruppo di lavoro è a vostra disposizione per ogni informazione e iniziativa

GrazieGrazieGrazieGrazie

Documents

Slide Nuovo Regolamento Europeo Privacy - euristica.it · dati sensibili o che possono monitorare il comportamento di molti consumatori • Sanzioni Amministrative Pecuniarie fino