Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
Il trattamento di particolari categorie di dati
da parte delle Agenzie di Viaggi:
dati sensibili e giudiziari nel nuovo
Regolamento Privacy 679/2016
www.studiolegalelucarelli.it
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
2
* REGOLAMENTO GENERALE
SULLA PROTEZIONE DEI DATI – GDPR
*REGOLAMETO UE 2016/679 DEL PARLAMENTO
EUROPEO E DEL CONSIGLIO DEL 27 APRILE 2016
ENTRATA IN VIGORE IL 25 MAGGIO 2018 (il Governo ha predisposto decreti legislativi di «armonizzazione»
con l’ordinamento italiano)
FILOSOFIA GENERALE
- PRINCIPIO DI ACCOUNTABILITY: si sposta sul titolare del trattamento
l’onere di effettuare scelte e valutazioni, in precedenza demandate
al Garante per la protezione dei dati personali (valutazioni preventive
di trattamenti a rischio - a seguito di notifica - e rilascio di
autorizzazioni)
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
3
3 PRINCIPALI NOVITA’
Certificazioni
e
Codici di condotta
Responsabile
per la
protezione dei
dati – RPD o
DPO (data
protection officer)
Registro dei trattamenti
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
4
Certificazioni e Codici di condotta
- L’art. 32 del Regolamento impone
l’adozione di misure di sicurezza «adeguate
al livello di rischio»;
- L’impresa è tenuta a fare una valutazione
preventiva e ad adottare procedure tali da
evitare rischi inerenti il trattamento dei dati
- Strumenti utili (non obbligatori) sono i
«Codici di condotta» o le «Certificazioni dei
trattamenti»
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
5
Chi è il l’RPD o DPO?
- È previsto dall’art. 37 del Regolamento;
- È un soggetto interno od esterno
all’Azienda designato dal Titolare o dal
Responsabile del Trattamento;
- Assolve a funzioni di supporto, controllo,
consuntive, formative ed informative
relativamente all’applicazione del
Regolamento medesimo;
- Coopera con l’autorità e quindi il suo
nominativo va comunicato al Garante.
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
6
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
7
… è obbligatoria la nomina dell’RPD
o DPO
per le imprese che trattano i dati su ‘larga scala’ o
effettuano «monitoraggio regolare e sistematico» (es.
Istituti di credito, imprese assicurative, sistemi di
informazione creditizia, società finanziarie, società di
informazioni commerciali, società di revisione
contabile, società di telecomunicazioni, società
operanti nell’ambito sanitario
quindi per le Agenzie di Viaggi che non rientrino nel
trattamento dati su vasta scala o di natura sistematica,
la nomina del DPO sarà facoltativa secondo il principio
dell’ACCOUNTABILITY
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
8
Registro dei trattamenti
- obbligatorio per le imprese con più di 250 dipendenti oppure se si effettuano
trattamenti a rischio come il trattamento di dati sensibili e giudiziari;
- deve avere forma scritta anche elettronica e deve essere esibito su richiesta
del Garante;
- deve contenere i seguenti dati (art. 30 del Regolamento):
- nomi e dati del Responsabile del trattamento e del RPD;
- finalità del trattamento;
- descrizione delle categorie di interessati e delle categorie di dati
personali;
- destinatari a cui i dati personali sono stati comunicati;
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
9
FOCUS SULL’ATTIVITA’ DI
AGENZIA DI VIAGGI
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
10
IN VIGENZA DEL CODICE PRIVACY
(D.Lgs 30.6.2003, n. 196)
I DATI SENSIBILI E I DATI
GIUDIZIARI SONO STATI
INDIVIDUATI COME
CATEGORIE «PARTICOLARI»
DI DATI PERSONALI
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
11
b) "dato personale", qualunque
informazione relativa a persona fisica,
identificata o identificabile, anche
indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi
compreso un numero di
identificazione personale;
d) "dati sensibili", i dati personali
idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose,
filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti,
sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale,
nonché i dati personali idonei a
rivelare lo stato di salute e la vita
sessuale;
Art. 4 – DEFINIZIONI
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
12
e) "dati giudiziari", i dati personali
idonei a rivelare provvedimenti di
cui all'articolo 3, comma 1, lettere
da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia
di casellario giudiziale, di anagrafe
delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di
imputato o di indagato ai sensi
degli articoli 60 e 61 del codice di
procedura penale;
…
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
13
nell’ARTICOLO 4 del nuovo REGOLAMENTO si amplia e
specifica la definizione di
«DATI PERSONALI»
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
14
SPARISCONO LE DEFINIZIONI DELLE CATEGORIE
DI DATI SENSIBILI E GIUDIZIARI
fatta eccezione per i soli «dati relativi alla salute», «dati genetici» e «dati biometrici»
APPARTENENTI alla categoria dei DATI SENSIBILI
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
15
E la individuazione è contenuta
delle norme regolatrici del loro
trattamento
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
16
Articolo 9 Trattamento di categorie particolari di dati personali
PRINCIPIO GENERALE
1. È vietato trattare dati personali che rivelino l'origine
razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, o l'appartenenza sindacale,
nonché trattare dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati
relativi alla salute o alla vita sessuale o
all'orientamento sessuale della persona. .
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
Quando l’interessato
ha prestato il proprio
consenso esplicito al
trattamento di tali
dati personali per
una o più finalità
specifiche
17
IL DIVIETO NON SI APPLICA in alcune ipotesi
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
18
Consenso esplicito rilasciato ad una Agenzia di viaggi per il
trattamento dei dati personali
«SENSIBILI» (cittadinanza; religione;
dati sulla salute) in occasione della conclusione di un contratto di
acquisto pacchetto turistico
Trattamento lecito (art. 6)
CONSENSO
ESECUZIONE CONTRATTO
OBBLIGHI DI LEGGE
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
19
per le Agenzie di Viaggio
Non è più necessaria
l’autorizzazione al
trattamento da parte del
Garante (art. 26 Codice
Privacy)
…..salvo che l’Italia non la reintroduca in virtù del 4 comma
dell’art. 9 del Regolamento:
«4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute»
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
20
Autorizzazioni generali rilasciate
anche per le Agenzie di viaggi
• Autorizzazione n. 5/2013 - Autorizzazione al trattamento dei dati
sensibili da parte di diverse categorie di titolari (Gazzetta
Ufficiale n. 302 del 27 dicembre 2013);
• Autorizzazione n. 5/2014 - Autorizzazione al trattamento dei dati
sensibili da parte di diverse categorie di titolari - 11 dicembre 2014(Gazzetta Ufficiale n. 301 del 30 dicembre 2014)
NO comma 4 SI comma 4
Saranno utilizzate il trattamento dovrà
come indirizzi seguire le nuove
interpretativi autorizzazioni
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
21
senza il ripristino regime di autorizzazione generale
Garante
Maggiore
RESPONSABILIZZAZIONE
dell’Agente di Viaggi
TITOLARE DEL TRATTAMENTO
DECIDE DA SOLO (con il DPO) LE MODALITA’ DEL TRATTAMENTO
SALVO IL CONTROLLO SUCCESSIVO
DEL GARANTE IN CASO DI
SEGNALAZIONE DELL’
«INTERESSATO»
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
22
Articolo 10
Trattamento dei dati personali
relativi a condanne penali e reati
Il trattamento dei dati personali relativi alle condanne penali e ai
reati o a connesse misure di sicurezza sulla base dell'articolo 6,
paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità
pubblica o se il trattamento è autorizzato dal diritto dell'Unione o
degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle
condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
23
Potrebbe non essere più prevista, anche per i
dati giudiziari, l’autorizzazione al trattamento
con provvedimento del Garante
…salvo che la normativa italiana non mantenga il
vigente regime autorizzatorio da parte del Garante
(art. 27 Codice Privacy) ritenendolo compliance
all’art. 10 del Regolamento
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
24
art. 27 Codice Privacy
«Il trattamento di dati giudiziari da parte di
privati o di enti pubblici economici è
consentito soltanto se autorizzato da
espressa disposizione di legge o
provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del
trattamento, i tipi di dati trattati e di
operazioni eseguibili»
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
25
Le Agenzie di viaggi dovranno gestire i
dati giudiziari (es. pratiche per rilascio visti
turistici)
NO al regime
autorizzatorio
solo nell’ambito di procedure autorizzate
dalla normativa UE o sottoposte al
controllo dell’Autorità
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
26
SI al mantenimento regime
art. 27 Codice Privacy
…secondo le autorizzazioni del Garante
che specificheranno finalità di interesse
pubblico del trattamento, i tipi di dati
trattati e di operazioni eseguibili
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
27
RIASSUMENDO…
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
28
IMPATTO SULLE ADV
Certificazioni
e
Codici di
condotta: NON OBBLIGATORIE,
MA CONSIGLIATE
Nomina RPD o
DPO: solo per
ADV che
trattano dati su
larga scala
(concetto che
dovrebbe
essere
specificato nei
D.lgs. di prossima
emanazione)
Registro dei
trattamenti:
OBBLIGATORIO
perché le ADV
trattano dati
sensibili
(sanitari,
religiosi, etc.) o
giudiziari
(pratiche Visti) e quindi a
rischio
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
29
DATA BREACH
Art. 34 Regolamento
obbligo di tutti i titolari di dati personali di notificare al Garante entro 72 ore dalla
conoscenza e comunque senza ingiustificato ritardo le violazioni dei dati personali
che si ritiene possano portare rischi di abusi sugli stessi
Altre novità…
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
30
INFORMATIVA PRIVACY (art. 13 e 14 Regolamento)
…
CONTENUTO TASSATIVO: - dati di contatto dell’RPD-DPO;
- destinatari del trattamento dei dati - base giuridica del trattamento (obbligo di legge,
contratto, etc.); - indicazione se i dati personali sono trasferiti in
Paesi terzi e attraverso quali strumenti; - periodo di conservazione dei dati e diritto di
presentare un reclamo
MODALITA’ - in linea di principio per iscritto; - concisa
- trasparente - intellegibile
TEMPO Prima della raccolta. Nel caso di dati non raccolti direttamente presso
l’interessato l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta.
Avv. Federico Lucarelli
Dir
itti
ris
ervat
i – v
ieta
ta l
a ri
pro
duzi
one
grazie
www.studiolegalelucarelli.it