Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali
Regolamento europeo (UE) 2016/679
Avv. Cristina Anelli
Loano 26/10/2018
Quadro legislativo
comune ed omogeneo in
materia di protezione
dei dati personali e di
libera circolazione dei
dati
Attualmente vi sono 27
differenti normative in
materia di protezione
dei dati personali
=> quadro normativo
estremamente
disomogeneo e
frammentato
1
Il nuovo regolamento europeo
“Regolamento del parlamento europeo e del consiglio
concernente la tutela delle persone fisiche con riguardo
al trattamento dei dati personali e la libera
circolazione dei dati (regolamento generale sulla
protezione dei dati)”
Due anni di “gestazione”
Emendamenti, contrasti
Comporterà l’abrogazione della direttiva 95/46/CE
Trattandosi di regolamento, non è soggetto a
recepimento e quindi entrerà in vigore
contemporaneamente all’interno dei 27 paesi
membri dell’UE 2
Direttiva
95/46/CEL.675/96
D. Lgs.
196/2003Regolamento
Regolamento UE 2016/79
Art. 5 lett. a): I dati
personali devono essere
trattati in modo lecito,
equo e trasparente nei
confronti dell’interessato
Art. 5 lett. b): devono
essere raccolti per finalità
determinate, esplicite e
legittime, e
successivamente trattati
in modo non
incompatibile con tali
finalità
3
4
Geolocalizzazione
Progetti Smart CityWi-Fi Videosorveglianza
Smartphone
Spam e mail
Marketing selvaggio
BluetoothBiometria
Fascicolo Sanitario
Elettronico
Dossier Sanitario
Tecnologie sempre più invasive e pervasive o «pericolose»
Susanna Fiorini, 49 anni, cambiava i
risultati degli esami e li spediva,
sbagliati, ai clienti
Tra le ipotesi sul movente, la rappresaglia
contro la Asl o per non dover richiamare i
pazienti
Manometteva i referti oncologici
Ai domiciliari infermiera di Livorno
LIVORNO -Manometteva i referti del Corat di Livorno, il
centro di raccolta degli esami oncologici della Asl, e poi li
spediva ai pazienti. E' l'accusa per la quale un'infermiera è
stata arrestata, in esecuzione di ordinanza di custodia
cautelare ai domiciliari. I referti manomessi sarebbero stati
più di 400, 33 pap test e 368 al colon retto, e questo avrebbe
provocato ritardi nella diagnosi di 18 casi di tumore al colon.
5
CAPO I – DISPOSIZIONI GENERALI
Art. 1 –Oggetto e finalità
Art. 2 –Campo di applicazione materiale
Art. 3 –Campo di applicazione territoriale
CAPO II – PRINCIPI
Art. 4 –Definizioni
Art. 5 –Principi applicabili al trattamento di dati personali
Art. 6 –Liceità del trattamento
Art. 7 –Condizioni per il consenso
Art. 8 –Trattamento dei dati personali dei minori
Art. 9 –Trattamento di categorie particolari di dati personali
Art. 10 –Trattamento che non consente identificazione
CAPO III – DIRITTI DELL’INTERESSATO
SEZIONE 1 –TRASPARENZA E MODALITA’
Art. 11 –Informazioni e comunicazioni trasparenti
Art. 12 –Procedure e meccanismi per l’esercizio dei diritti dell’interessato
Art. 13 –Diritti relativi ai destinatari
6
La struttura del regolamento
SEZIONE 2 –INFORMAZIONI E ACCESSO AI DATI
Art. 14 –Informazioni all’interessato
Art. 15 –Diritto do accesso dell’interessato
SEZIONE 3 –RETTIFICA E CANCELLAZIONE
Art. 16 –Diritto di rettifica
Art. 17 –Diritto all’oblio e alla cancellazione
Art. 18 –Diritto alla portabilità dei dati
SEZIONE 4 –DIRITTO DIOPPOSIZIONE E PROFILAZIONE
Art. 19 –Diritto di opposizione
Art. 20 –Misure basate sulla profilazione
SEZIONE 5 –LIMITAZIONI
Art. 21 –Limitazioni
CAPO IV – RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL
TRATTAMENTO
SEZIONE 1 –OBBLIGHI GENERALI
Art. 22 –Responsabilità del Responsabile del trattamento
Art. 23 –Protezione fin dalla progettazione e protezione di default
Art. 24 –Corresponsabili del trattamento
7
La struttura del regolamento
Art. 25 –Rappresentanti di responsabili del trattamento non stabiliti
nell’unione
Art. 26 –Incaricato del trattamento
Art. 27 –Trattamento sotto l’autorità del responsabile del trattamento e
dell’incaricato del trattamento
Art. 28 –Documentazione
Art. 29 –Cooperazione con l’autorità di controllo
SEZIONE 2 –SICUREZZA DEI DATI
Art. 30 –Sicurezza del trattamento
Art. 31 –Notificazione di una violazione dei dati personali all’autorità di
controllo
Art. 32 –Comunicazione di una violazione dei dati personali all’interessato
SEZIONE 3 –VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI
DATI E AUTORIZZAZIONE PREVENTIVA
Art. 33 –Valutazione d’impatto sulla protezione dei dati
Art. 34 –Autorizzazione preventiva e consultazione preventiva
SEZIONE 4 –RESPONSABILE DELLA PROTEZIONE DEI DATI
Art. 35 –Designazione del responsabile della protezione dei dati
8
La struttura del regolamento
Art. 36 –Posizione del responsabile del trattamento dei dati
Art. 26 –Compiti del responsabile della protezione dei dati
Art. 27 –SEZIONE 5 –CODICI DI CONDOTTA E CERTIFICAZIONE
Art. 38 –Codici di condotta
Art. 39 –Certificazione
CAPO V – TRASFERIMENTO DI DATI PERSONALI VERSO PAESI
TERZI O ORGANIZZAZIONI INTERNAZIONALI
Art. 40 –Principio generale per il trasferimento
Art. 41 –Trasferimento previa decisione di adeguatezza
Art. 42 –Trasferimento in presenza di garanzie adeguate
Art. 43 –Trasferimento in presenza di norme vincolanti d’impresa
Art. 44 –Deroghe
Art. 45 –Cooperazione internazionale per la protezione dei dati personali
CAPO VI – AUTORITA’ DI CONTROLLO INDIPENDENTI
SEZIONE 1 –INDIPENDENZA
Art. 47-Indipendenza
Art. 48 –Condizioni generali per i membri dell’autorità di controllo
Art. 49 –Norme sull’istituzione dell’autorità di controllo
9
La struttura del regolamento
Art. 50 –Segreto professionale
SEZIONE 2 –FUNZIONI E POTERI
Art. 52 –Funzioni
Art. 53 –Poteri
Art. 54 –Relazione di attività
CAPO VII – COOPERAZIONE E COERENZA
SEZIONE 1 –COOPERAZIONE
Art. 55 –Assistenza reciproca
Art. 56 –Operazioni congiunte delle autorità di controllo
SEZIONE 2 –COERENZA
Art. 57 –Meccanismo di coerenza
Art. 58 –Parere del Comitato Europeo per la protezione dei dati
Art. 59 –Parere della commissione
Art. 60 –Sospensione di un progetto di misura
Procedura d’urgenza
Art. 62 –Atti di esecuzione
Art. 63 –Esecuzione
SEZIONE 3 –COMITATO EUROPEO PER LA PROTEZIONE DEI DATI
10
La struttura del regolamento
Art. 64 –Comitato europeo per la protezione dei dati
Art. 65 –Indipendenza
Art. 66 –Compiti del Comitato europeo per la protezione dei dati
Art. 67 –Relazioni
Art. 68 –Procedura
Art. 69 –Presidenza
Art. 70 –Compiti del Presidente
Art. 71 –Segreteria
Art. 72 –Riservatezza
CAPO VII – RICORSI, RESPONSABILITA’ –SANZIONI
Art. 73 –Diritto di proporre reclamo all’autorità di controllo
Art. 74 –Diritto a un ricorso giurisdizionale contro l’autorità di controllo
Art. 75 –Diritto a un ricorso giurisdizionale contro il responsabile del
trattamento o l’incaricato del trattamento
Art. 76 –Norme comuni per i procedimenti giurisdizionali
Art. 77 –Diritto al risarcimento e responsabilità
Art. 78 –Sanzioni
Art. 79 –Sanzioni Amministrative
11
La struttura del regolamento
CAPO IX – DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI
TRATTAMENTO DEI DATI
Art. 80 –Trattamento di dati personali e libertà di espressione
Art. 81 –Trattamento dei dati personali relativi alla salute
Art. 82 –Trattamento dei dati nei rapporti di lavoro
Art. 83 –Trattamento per finalità storiche, statistiche e di ricerca
scientifica
Art. 84 –Obblighi si segretezza
Art. 85 –Norme di protezione dei dati vigenti presso chiese e associazioni
religiose
CAPO X – ATTI DELEGATI E ATTI DI ESECUZIONE
Art. 86 –Esercizio della delega
Art. 87 –Procedura di comitato
CAPO XI – DISPOSIZIONI FINALI
Art. 88 –Abrogazione della direttiva 95/46/CE
Art. 89 –Rapporto con la direttiva 95/46/CE e sue modifiche
Art. 90 –Valutazione
Art. 91 –Entrata in vigore e applicazione
12
La struttura del regolamento
DEFINIZIONIMolte meno definizioni rispetto al D.Lgs. 196/2003
(conteneva 37 definizioni, mentre il regolamento ne
contiene solo 19)
“Dati personali”: qualsiasi informazione concernente
l’interessato
“Consenso dell’interessato”: qualsiasi manifestazione
di volontà libera, specifica, informata ed esplicita con la
quale l’interessato accetta, mediante dichiarazione o
azione positiva inequivocabile, che i dati personali che lo
riguardano siano oggetto di trattamento
“Dati genetici”: tutti i dati, di qualsiasi natura,
riguardanti le caratteristiche di una persona fisica che
siano ereditarie o acquisite in uno stadio precoce di
sviluppo prenatale
“Dati biometrici”: i dati relativi alle caratteristiche
fisiche, fisiologiche o comportamentali di una persona che
ne consentono l’identificazione univoca, quali l’immagine
facciale o i rilievi dattiloscopici
13
DEFINIZIONI
“Dati relativi alla salute”: qualsiasi informazione attinente
alla salute fisica o mentale di una persona o alla prestazione di
servizi sanitari a detta persona
“Responsabile del trattamento”: la persona fisica o giuridica,
l’autorità pubblica, il servizio o qualsiasi altro organismo che,
singolarmente o insieme ad altri, determina le finalità, le
condizioni e i mezzi del trattamento di dati personali; quando le
finalità, le condizioni e i mezzi del trattamento sono
determinati dal diritto dell’unione o dal diritto di uno stato
membro, il responsabile del trattamento o i criteri specifici
applicabili alla sua nomina possono essere designati dal diritto
dell’unione o dal diritto dello stato membro
“Incaricato del trattamento”: la persona fisica o giuridica,
l’autorità pubblica, il servizio o qualsiasi altro organismo che
elabora dati personali per conto del responsabile del
trattamento14
15
NON VIENE DEFINITO IL CONCETTO DI
SICUREZZA
DEFINIZIONI
16
RISERVATEZZA: accessibile solo a chi è
autorizzato, non accessibile a chi non è autorizzato
INTEGRITA’: la risorsa deve essere corretta,
aggiornata, non corrotta o falsificata
DISPONIBILITA’:la risorsa deve essere sempre agevolmente disponibile a chi vi può lecitamente accedere
SICUREZZA
Definizione di «sicurezza»
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
17
Le dimensioni di intervento del Regolamento
COMPETENZA TERRITORIALE
Saranno soggetti al regolamento non solo i soggetti
stabiliti all’interno dell’UE, ma anche i soggetti stabiliti
fuori dall’UE, che offrono prodotti e servizi all’interno
dell’UE
Caso reale: servizi forniti da Google
Sarà possibile rivolgersi all’autorità di controllo di
qualsiasi stato UE
18
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
19
Le dimensioni di intervento del Regolamento
Informativa rappresenta le “regole del gioco”
del trattamento dei dati
Deve sempre essere fornita
Deve essere fornita “previamente”
all’interessato
Un’informativa corretta e completa è
presupposto fondamentale per la validità del
consenso
Posso avere un’informativa senza consenso
Posso avere informativa e consenso
NON posso avere un consenso che non sia
preceduto da idonea informativa 20
Attenzione a non confondere informativa con consenso
L’onere di dimostrare che l’interessato ha espresso il
consenso al trattamento dei suoi dati personali per
scopi specifici incombe sul titolare del trattamento
Se il consenso dell’interessato deve essere fornito nel
contesto di una dichiarazione scritta che riguarda
anche altre materie, l’obbligo di prestare il consenso
deve essere presentato in forma distinguibile dalle altre
materie
Non sono valide formule del tipo “aderendo alla
presente iniziativa Lei fornisce implicitamente il
consenso al trattamento dei dati”
Il consenso può essere revocato in qualsiasi momento
(senza dover fornire una motivazione). La revoca del
consenso non pregiudica la liceità del trattamento
basata sul consenso prima della revoca.
21
La nuova disciplina del consenso
Esplicitare nelle informative i tempi di conservazione
dei dati personali
Obbligo di comunicare i tempi di conservazione su
richiesta dell’interessato
I tempi di conservazione potranno essere utilizzati per
far valere la richiesta di cancellazione (diritto all’oblio)
Esplicitare nelle informative il diritto di proporre
reclamo all’autorità di controllo e le coordinate di
controllo di detta autorità
Esplicitare nelle informative il Responsabile della
protezione dei dati
Obbligo di notificare una violazione dei dati all’Autorità
Garante
Obbligo di comunicare una violazione dei dati agli
interessati
Obbligo di comunicare il Responsabile della protezione
dei dati all’Autorità Garante22
Trasparenza
Perdita di dati
Furto di dati (non necessariamente in formato
elettronico: possono essere anche in formato
cartaceo)
Alterazione di cartelle cliniche
Alterazione di cartelle esattoriali
Alterazione di verbali relativi al Codice della
Strada
Invio di dati all’esterno
Intercettazione di dati
Accesso abusivo al sistema 23
Esempi di violazioni
In caso di violazione dei dati
personali, il titolare notifica la
violazione all’autorità di controllo
senza ritardo, ove possibile entro le
24 ore dal momento in cui ne è
venuto a conoscenza
24
Notificazione di violazione all’autorità di controllo
La notificazione deve come minimo:
•Descrivere la natura della violazione dei dati personali,
compresi le categorie e il numero di interessati in
questione e le categorie e il numero di registrazioni dei
dati in questione
•Indicare l’identità e le coordinate di contatto del Privacy
Officer o di altro punto di contatto
•Elencare le misure raccomandate per attenuare i
possibili effetti pregiudizievoli delle violazioni dei dati
personali
•Descrivere le conseguenze della violazione dei dati
personali
•Descrivere le misure proposte o adottate dal titolare del
trattamento per porre rimedio alla violazione dei dati
personali
25
Contenuto minimo della notificazione
Quando la violazione di dati personali rischia di
pregiudicare i dati personali dell’interessato, il titolare
del trattamento, dopo aver provveduto alla
notificazione di cui al punto precedente, comunica la
violazione all’interessato senza ingiustificato ritardo.
La comunicazione all’interessato descrive la natura
della violazione dei dati e contiene almeno le coordinate
di contatto del responsabile della protezione dei dati e
le misure raccomandate per attenuare i possibili effetti
pregiudizievoli della violazione dei dati personali
26
Comunicazione di una violazione di dati personali
all’interessato
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti
dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni27
Le dimensioni di intervento del Regolamento
PUNTI DI ATTENZIONE
Per esercitare i diritti di accesso previsti
dall’art. 7 del D.Lgs.196/2003 (e dal futuro art.
15 del Regolamento), l’interessato non deve
specificare una motivazione
Spesso l’accesso di cui sopra viene confuso con
l’accesso agli atti e ai documenti
amministrativi, per il quale deve essere fornita
una motivazione …
… e l’interessato deve dimostrare di avere un
interesse diretto, concreto e attuale 28
Facilitazione dell’esercizio dei diritti dell’interessato
Il titolare del trattamento
stabilisce le procedure secondo le
quali fornire l’informativa e le
procedure per gestire le richieste
di esercizio dei diritti
dell’interessato
Qualora i dati siano trattati con
modalità automatizzate, il
responsabile del trattamento
predispone altresì i mezzi per
inoltrare le richieste per via
elettronica
Se l’interessato presenta la
richiesta in forma elettronica, le
informazioni sono fornite in
formato elettronico, salvo diversa
indicazione dell’interessato
Il titolare deve dare riscontro
alla richiesta al massimo entro
un mese 29
Facilitazione dell’esercizio dei diritti dell’interessato
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 500.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
30
Le dimensioni di intervento del Regolamento
31
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
32
Le dimensioni di intervento del Regolamento
“Ingresso e uscita dai social network” … ma non solo
L’interessato ha il diritto, ove i dati personali siano
trattati con mezzi elettronici e in formato strutturato e
di uso comune, di ottenere dal responsabile del
trattamento copia dei dati trattati in un formato
elettronico e strutturato che sia di uso comune e gli
consenta di farne ulteriore uso 33
Portabilità dei dati
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
34
Le dimensioni di intervento del Regolamento
Art. 5 lett f): I dati personali devono essere trattati sotto
la responsabilità del titolare del trattamento, che
assicura e comprova, per ciascuna operazione, la
conformità al Regolamento
Art. 22 c. 1: Il titolare del trattamento adotta politiche e
attua misure adeguate per garantire di essere in grado
di dimostrare che il trattamento dei dati personali è
conforme al presente regolamento
Art. 22 c. 3: Il titolare del trattamento mette in atto
meccanismi per assicurare la verifica dell’efficacia delle
misure di sicurezza di cui all’art. 30. Qualora ciò sia
proporzionato, la verifica è effettuata da revisori interni
o esterni indipendenti
35
Principio di responsabilità
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
36
Le dimensioni di intervento del Regolamento
Gestione della documentazione
Art. 28: Ogni titolare del
trattamento conserva la
documentazione di tutti i
trattamenti effettuati sotto la
propria responsabilità
37
Obbligo della documentazione
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
38
Le dimensioni di intervento del Regolamento
Art. 23: Al momento di determinare i
mezzi del trattamento e all’atto del
trattamento stesso, il titolare mette
in atto adeguate misure e procedure
tecniche e organizzative tali da
assicurare la conformità al presente
regolamento e assicuri la tutela dei
diritti dell’interessato
39
Privacy by design
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
40
Le dimensioni di intervento del Regolamento
Art. 23: Il titolare del trattamento mette in
atto meccanismi per garantire che siano
trattati, di default, solo i dati personali
necessari per ciascuna finalità specifica del
trattamento e che, in particolare, la quantità
di dati e la durata della loro conservazione
non vadano oltre il minimo necessario per le
finalità perseguite. In particolare, detti
meccanismi garantiscono che, di default,
non siano resi accessibili dati personali a un
numero indefinito di persone
41
Privacy («Protection») by default
Quando il trattamento, per la sua
natura, il suo oggetto, o le sue finalità,
presenta rischi specifici per i diritti e le
libertà degli interessati, il titolare del
trattamento effettua una valutazione
d’impatto del trattamento previsto sulla
protezione dei dati personali
Presentano rischi specifici ai sensi del
punto precedente i seguenti
trattamenti:42
Art.33 - Privacy impact assessment
La valutazione sistematica e globale di aspetti
della personalità dell’interessato o volta ad
analizzarne o prevederne in particolare la
situazione economica, l’ubicazione, lo stato di
salute, le preferenze personali, l’affidabilità o
il comportamento, basata su un trattamento
automatizzato e da cui discendo misure che
hanno effetti giuridici o significativamente
incidono sull’interessato
Il trattamento di informazioni concernenti la
vita sessuale, lo stato di salute, la razza e
l’origine etnica oppure destinato alla
prestazione di servizi sanitari o a ricerche
epidemiologiche o indagini su malattie mentali
o infettive
43
Art.33 - Privacy impact assessment
La sorveglianza di zone accessibili al pubblico, in
particolare se effettuata mediante dispositivi
ottico-elettronici (videosorveglianza) su larga
scala;
Il trattamento di informazioni concernenti la vita
sessuale, lo stato di salute, la razza e l’origine
etnica oppure destinato alla prestazione di servizi
sanitari o a ricerche epidemiologiche o indagini su
malattie mentali o infettive
Il trattamento di dati personali in archivi su larga
scala riguardanti minori, dati genetici o dati
biometrici
Qualunque altro trattamento che richiede la
consultazione dell’autorità di controllo ai sensi
dell’art. 34
44
Art.33 - Privacy impact assessment
E’ un soggetto che deve possedere adeguata
esperienza, conoscenze della problematica e
capacità di effettuare audit approfonditi
E’ un soggetto che agisce in totale
indipendenza ed autonomia, che si interfaccia
direttamente con i vertici aziendali, per un
periodo minimo di 4 anni, con mandato
rinnovabile
E’ per certi versi l’equivalente dell’Organismo
di vigilanza previsto dal D.Lgs.231/2001
Può essere un soggetto interno alla struttura,
oppure un soggetto esterno assunto in base ad
un contratto di servizi 45
Il Responsabile della protezione dei dati («Privacy Officer»)
COMPITI
Informare e consigliare il titolare o il responsabile
in merito agli obblighi del Regolamento e
conservare la documentazione relativa a tale
attività ed alle risposte ricevute
Sorvegliare e supervisionare l’attuazione e
l’applicazione delle policy (atti di nomina,
mansionari, regolamenti) . Condurre verifiche e
audit periodici
Controllare l’attuazione del regolamento con
particolare riguardo alla privacy by design, alla
protezione di default, alla sicurezza dei dati,
l’informativa all’interessato e le richieste degli
interessati : Effettuare audit e verifiche periodiche
e rilevare e gestire le non conformità
46
Il Responsabile della protezione dei dati («Privacy Officer»)
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
47
Le dimensioni di intervento del Regolamento
La sanzione deve essere efficace, proporzionata e
dissuasiva
L’ammontare è determinato tenuto conto:
- della natura
- della gravità
- della durata della violazione
- del carattere doloso o colposo dell’illecito
- del grado di responsabilità della persona fisica o giuridica
- delle precedenti violazioni commesse
- delle misure e procedure tecniche ed organizzative messe in
atto dell’art. 23 (Privacy by design e Privacy by default)
- del grado di cooperazione con l’autorità di controllo
48
Sanzioni (Art.79)
Sanzione amministrativa pecuniaria fino a
250.000 Euro o, per le imprese, fino allo
0,5% del fatturato annuo
Sanzione amministrativa pecuniaria fino a
500.000 Euro o, per le imprese, fino allo 1%
del fatturato annuo
Sanzione amministrativa pecuniaria fino a
1.000.000 Euro o, per le imprese, fino al 2%
del fatturato annuo
49
Sanzioni (Art.79)
50
INFORMATIVA
ex art. 13 del Regolamento (UE) 2016/679 (in seguito “GDPR”)
Gentile Signore/a,
ai sensi dell’articolo 13 del GDPR, La informiamo che il ___________________, in qualità di Titolare del trattamento,
con sede in Roma, Corso un grosso rischio 15, tratterà – per le finalità e le modalità di seguito riportate i dati personali da
Lei forniti.
In particolare _______, tratterà i seguenti dati personali:
a) dati anagrafici e identificativi (nome e cognome, data di nascita, sesso, indirizzo email, codice fiscale e residenza);
b) dati curriculari;
c) dati fiscali e bancari
1. Base giuridica e finalità del trattamento.
1.1. Il trattamento anzidetto per le finalità a), b) e c) è effettuato per la gestione amministrativo contabile del contratto di
collaborazione tecnico sportiva sottoscritto con il ______________.
2. Modalità del trattamento
Il trattamento dei Suoi dati personali è realizzato, anche con l’ausilio di mezzi elettronici, per mezzo delle operazioni
indicate all’art. 4 Codice e all’art. 4 n. 2) GDPR e precisamente: il trattamento dei dati personali potrà consistere nella
raccolta, registrazione, organizzazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto,
utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
3. Obbligatorietà del conferimento
Il conferimento dei dati è obbligatorio per il raggiungimento delle finalità sopra elencate
Un eventuale rifiuto di fornire i dati di cui sopra non consentirà l’invio della citata newsletter.
4. Ambito di comunicazione dei dati
I dati personali da Lei forniti ed indicati ai pinti a), b) e c) potranno essere comunicati a _______________________
quali Responsabili del Trattamento nonché ai soggetti a cui la comunicazione è prevista per adempiere ad un obbligo di
legge.
51
5. Trasferimento dei dati all’estero.
5.1. I dati personali sono conservati su server ubicati all’interno della Comunità Europea. Resta in ogni caso inteso che il
Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE. In tal caso, il Titolare assicura sin
d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili ed in particolare
quelle di cui al Titolo V del GDPR.
5.2. Al di fuori delle ipotesi di cui al punto 5.1., i Suoi dati non saranno trasferiti extra–UE.
6. Periodo di conservazione dei dati
I dati personali forniti ai punti a) e c) saranno conservati per il periodo previsto dalle leggi di settore e, comunque, per un
tempo non superiore a 10 anni.
I dati personali di cui al punto b) saranno conservati per un periodo non superiore a 5 anni.
7. Titolare del trattamento
Comitato ___________________
Corso un grosso rischio, 15
007 Roma
8. Responsabile della protezione dei dati
9. Diritti dell’interessato
In qualunque momento potrà conoscere i dati che La riguardano, sapere come sono stati acquisiti, verificare se sono
esatti, completi, aggiornati e ben custoditi, di ricevere i dati in un formato strutturato, di uso comune e leggibile da
dispositivo automatico, di revocare il consenso eventualmente prestato relativamente al trattamento dei Suoi dati in
qualsiasi momento ed opporsi in tutto od in parte, all’utilizzo degli stessi e di proporre reclamo al Garante per la
protezione dei dati personali.
Tali diritti possono essere esercitati attraverso specifica istanza da indirizzare tramite raccomandata – o pec - al Titolare
del trattamento.
“Buona legge”, che fornirà strumenti molto
efficaci all’interessato per conoscere,
controllare e intervenire sul destino dei propri
dati
Ristabilirà un clima di fiducia verso aziende e
istituzioni, facilitando gli scambi, gli
investimenti e l’economia digitale
Modificherà profondamente l’attuale modo di
operare, obbligando a passare da un approccio
“compilativo” ad un approccio basato sulla
responsabilità e sulla verifica dell’efficacia 52
Conclusioni, impressioni, prime riflessioni, consigli
Fondamentale l’introduzione del Risk
Assessment, del Privacy Impact Assessment e
della Protection by design
Importante l’introduzione di meccanismi di
trasparenza, come l’obbligo di notifica della
violazione o la comunicazione agli interessati
Fondamentale l’introduzione del Responsabile
della protezione dei dati come:
- soggetto dotato di adeguate competenze e
conoscenze
- punto/meccanismo di controllo/verifica periodica
competente ed indipendente53
54
GRAZIE
PER
L’ATTENZIONE