IL REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

(1)

IL REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

Le principali novità introdotte dal Regolamento (UE) 2016/679

Avv. Marco Sorrentino, founding partner BMS

(2)

General Data Protection Regulation

Gli obiettivi di fondo della riforma del quadro normativo europeo:

– rafforzamento diritti e doveri (nuovi diritti e nuove regole organizzative per corretto trattamento) in un contesto aggiornato alle nuove sfide tecnologiche (ossia la c.d. Data Economy);

– uniformità delle tutele.

Strumenti e criteri per raggiungere questi obiettivi:

– la scelta dello strumento del Regolamento;

– proattività del titolare;

– privacy by design e by default/accountability (art. 24 e 25);

– sportello unico

(3)

Lo strumento del Regolamento Efficacia diretta

Il regolamento avrà effetto a decorrere dal 25 maggio 2018, data in cui sostituirà l’attuale direttiva UE sulla protezione dei dati (95/46/CE)

Questo Regolamento ha effetti legali diretti in tutti gli Stati Membri.

A differenza della direttiva, non deve essere recepito a livello nazionale.

(4)

Lo strumento del Regolamento Principio di priorità

Il Regolamento prevale su eventuali norme in conflitto dei vari Stati Membri (compresi i regolamenti settoriali).

Con la legge delega n.163/17 Governo avrebbe dovuto adottare entro 6 mesi (ossia entro 21 maggio 2018) decreti legislativi idonei, tra le altre cose, ad armonizzare l’attuale normativa (Dlgs. 196/03) al GDPR.

La bozza di decreto legislativo doveva ottenere i pareri delle Commissioni Parlamentarie e del Garante Privacy.

(5)

Principio di priorità

• Stato dell’arte:

La bozza di decreto legislativo (di cui peraltro non si conosce il contenuto) non è stata ancora esaminata dalla Commissione Senato (non è ancora stata costituita) né dal Garante.

Termine del 21 maggio è a rischio.

(6)

Lo strumento del Regolamento Applicabilità

L’applicazione territoriale del Regolamento è di portata maggiore rispetto alla direttiva, in quanto riguarda non solo le organizzazioni costituite nell’U.E., ma anche:

• le persone giuridiche che hanno sede nell’Unione europea con riferimento alla propria attività, indipendentemente dal fatto che i dati siano trattati all’interno o all’esterno dell’Unione europea; e

(7)

• le organizzazioni che hanno sede al di fuori dell’Unione europea, per quanto concerne l’offerta di beni (e servizi) agli interessati che si trovano nell’U.E. o il monitoraggio dei loro comportamenti, nella misura in cui tali comportamenti hanno luogo all’interno dell’U.E. .

(8)

CONTINUITA’/DISCONTINUITA’

Elementi di continuità:

• presupposti di liceità del trattamento (art. 6);

• requisiti di qualità dei dati (art. 5);

• approccio ai dati sensibili (con catalogo ampliato a dati genetici e biometrici);

• rapporto informativa/consenso/diritti

dell’interessato (catalogo ampliato, artt. 15-20 e informativa leggermente cambiata);

• Autorità di controllo.

(9)

CONTINUITA’/DISCONTINUITA’

Alcuni elementi di Discontinuità/novità:

• Accountability (Responsabilizzazione);

• Alcuni principi sono rafforzati (trasparenza) altri sono nuovi (minimizzazione);

• Privacy by design / by default;

• Registro trattamenti;

• la valutazione d’impatto effettuata dal titolare del trattamento (dal DPS al PIA);

• la figura del Data Protection Officer (DPO);

• il ruolo delle certificazioni;

• l’estensione delle disposizioni sul data breach;

(10)

Il regolamento in sintesi

• Concetti di base

• Principali figure (titolare del trattamento, responsabile del trattamento, DPO)

• Accountability

• Sanzioni

(11)

I concetti base

(12)

In sintesi: definizioni

Le definizioni di “trattamento”, “archivio”, “titolare del trattamento” e “responsabile del trattamento” coincidono in larga misura con quelle contenute nella direttiva.

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(13)

• Anche la definizione di “dati personali” è presente nella direttiva, ma è stata integrata per chiarire che rientrano in tale categoria anche i dati relativi all’ubicazione e gli identificativi online (quali ad esempio gli indirizzi IP).

• Oggi quindi ricomprende «qualsiasi informazione riguardante una persona identificata o identificabile;

identificabile direttamente o indirettamente mediante il nome, un numero di identificazione, dati relativi all’ubicazione, identificazione on line (IP), uno o più elementi caratteristici della sua identità fisica, genetica, economica, culturale o sociale»

(14)

In sintesi: definizioni

Sono state introdotte molte definizioni nuove, tra cui “profilazione”, “violazione dei dati personali”, “pseudonimizzazione”, “dati biometrici”, “dati relativi alla salute”, “gruppo

imprenditoriale”, “trattamento

transfrontaliero”.

(15)

Trattamento dei dati corretto (art. 5)

I principi fondamentali secondo cui i dati personali devono essere trattati lecitamente (ossia a seguito di informativa e consenso, ove richiesto) e in maniera corretta rimangono in gran parte invariati rispetto alla direttiva, ma vengono ampliati in alcuni aspetti chiave.

(16)

I principi applicabili al trattamento

• Correttezza

• Liceità

• Trasparenza

• Conformità di fini

• Minimizzazione dati

• Precisione dei dati (aggiornamento dei dati)

• Termine di conservazione

• Integrità

• Riservatezza

(17)

Trasparenza

Ad esempio, il principio della trasparenza risulta significativamente rafforzato, imponendo ai titolari del trattamento di fornire informazioni molto più dettagliate sulle modalità di trattamento dei dati, sulle motivazioni che ne giustificano il corretto trattamento e sui diritti che spettano alle persone fisiche per l’accesso, la cancellazione e la portabilità dei dati, nonché quello di opporsi al trattamento.

(18)

Principio di minimizzazione dei dati

È stato introdotto il nuovo principio di minimizzazione dei dati, secondo il quale il livello e la tipologia dei dati trattati in ciascun caso devono essere limitati al minimo necessario.

(19)

Speciali categorie di dati personali

Il Regolamento generale sulla protezione dei dati amplia la definizione di dato sensibile includendo nuovi campi, come i dati biometrici.

Il Regolamento introduce nuove regole riguardanti le situazioni in cui i dati vengono utilizzati per assumere delle decisioni automatizzate con impatto sugli individui (profilazione).

(20)

Dati biometrici

Dati biometrici – i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale es. sblocco Iphone X) o i dati dattiloscopici (impronte digitali).

(21)

Profilazione

Definizione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

(22)

Le decisioni automatizzate sono consentite nella misura necessaria alla conclusione o esecuzione di un contratto con l’individuo, ovvero nelle ipotesi previste dalla legge o sulla base del consenso esplicito dell’individuo.

Negli altri casi sono necessari ulteriori controlli incrociati ai fini di tutelare i diritti degli individui.

(23)

Le principali figure del GDPR

- Titolare del trattamento dei dati

- Responsabile del trattamento dei dati

- Responsabile della protezione dei dati (DPO)

(24)

I titolari e i responsabili

Il Regolamento generale sulla protezione dei dati aumenta sensibilmente gli obblighi di conformità sia per il titolare del trattamento che per le le organizzazioni che trattano dati per conto dei titolari del trattamento (i cosiddetti

“responsabili del trattamento”).

(25)

Il Titolare del trattamento (artt. 24-27)

• Definizione (art. 4): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

(26)

Il Titolare del trattamento

Compiti e obblighi

• Tenuta e compilazione dei registri (scritti o elettronici) dei trattamenti (art. 30), che indicano:

- Nome e dati di contatto del titolare trattamento, del contitolare, del rappresentante e del DPO;

- Finalità trattamento;

- Indicazione categorie di interessati e di dati personali;

- Destinatari a cui verranno trasmessi i dati;

- Termini per cancellazione dati;

- breve descrizione delle misure di sicurezza tecniche ed organizzative

• Cooperazione con autorità di controllo (art. 31).

Titolare e Responsabile del trattamento cooperano con l’autorità di controllo nell’esecuzione dei compiti di quest’ultimo.

(27)

Il Titolare del trattamento

• Sicurezza del trattamento (art. 32).

Adozione di misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui:

- Pseudonimizzazione e cifratura dati personali;

- Riservatezza integrità, disponibilità, e resilienza dei sistemi;

- Ripristinare tempestivamente disponibilità ed accesso ai dati personali in caso di incidente;

(28)

Il Titolare del trattamento

• Notifica violazione dati all’autorità di controllo (art. 33) e all’interessato (art. 34).

In caso di violazione di dati personali:

– notifica della violazione all’autorità di controllo entro 72 ore dalla conoscenza della violazione, indicando:

• Natura della violazione dei dati personali e cosa ha colpito;

• Nome e dati di contatto del DPO;

• Le conseguenze della violazione dei dati personali;

• Le misure adottate o da adottare per porre rimedio alla violazione e per attenuarne gli effetti.

– comunicazione della violazione ad interessati senza ingiustificato ritardo.

(29)

Il Titolare del trattamento

• Effettuare PIA o Valutazione di impatto su protezione dati (art. 35).

Se vi è trattamento che, per natura, oggetto, contesto e finalità presenta rischio elevato per i diritti e le libertà delle persone fisiche, titolare trattamento deve effettuare PIA, prima di procedere al trattamento.

Cosa contiene PIA:

• Descrizione sintetica dei trattamenti e delle finalità;

• Valutazione necessità e proporzionalità trattamenti in relazione alla finalità;

• Valutazione dei rischi per diritti e libertà interessati;

• Misure previste per affrontare i rischi.

(30)

Il Titolare del trattamento

• Consultazione preventiva (art. 36).

Titolare trattamento consulta:

– autorità di controllo PRIMA del TRATTAMENTO se vi è rischio elevato e non vi sono misure adottate da titolare per attenuare rischio.

– DPO (art. 39) su obblighi derivanti da GDPR.

(31)

Il Responsabile del trattamento (art. 28)

Definizione (art. 4): «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Compiti:

• Trattare i dati secondo istruzioni Titolare;

• adottare le misure di sicurezza appropriate;

• comunicare eventuali violazioni dei dati al titolare del trattamento;

• mantenere un registro relativo alle attività di trattamento dei dati.

(32)

Il Responsabile del trattamento

• Caratteristiche (art. 28): deve fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

• Sub-responsabile: Responsabile può ricorrere ad un altro responsabile, previa autorizzazione del Titolare.

Responsabile risponde dinanzi a titolare dell’inadempimento del sub- responsabile (anche fini del risarcimento di danni derivanti dal trattamento) salvo che l’evento non gli sia imputabile in alcun modo (art. 82 par. 1 e 3).

(33)

Il Responsabile del trattamento

• Modalità designazione del responsabile (art.

28): con un contratto o con altro atto giuridico, che vincoli il responsabile del trattamento al titolare del trattamento e che disciplini i rapporti tra le parti specificando, il tipo di trattamento, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

(34)

DPO o Responsabile della protezione dei dati (art. 37 – 39)

• DPO fungono da interfaccia fra i soggetti coinvolti:

autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.

• DPO non rispondono personalmente in caso di inosservanza del GDPR.

• Chi deve fare nomina:

– Titolare del trattamento;

– Responsabile del trattamento.

(35)

Il Data Protection Officer

• Quando la nomina del DPO è obbligatoria:

– l’organizzazione si occupa del trattamento dei dati personali in veste di ente pubblico;

– le attività primarie dell’organizzazione richiedono il regolare e sistematico monitoraggio degli interessati su larga scala;

– le attività primarie dell’organizzazione consistono nel trattamento su larga scala di dati sensibili o di dati relativi a condanne penali e a reati.

(36)

Il Data Protection Officer

• Quali requisiti deve avere DPO:

– qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti dal Regolamento.

– Indicazioni Garante Privacy e WP29: deve avere approfondita conoscenza effettiva della normativa e delle prassi in materia di privacy, delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. No attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali.

(37)

Il Data Protection Officer

• Compiti minimi (art. 39):

– informare e fornire consulenza a titolare o al responsabile e agli incaricati sugli obblighi derivanti dal presente regolamento;

– sorvegliare l’osservanza del presente regolamento, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

– fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

– cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo e per gli interessati.

(38)

• DPO di gruppo: Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

• DPO può essere interno, ad es. un dipendente (necessaria totale autonomia finanziaria, organizzativa e gerarchica), o esterno, ad es. un consulente in base ad un contratto di servizi (no conflitto di interessi)

(39)

La «accountability» o responsabilizzazione e l’approccio basato sul rischio

(40)

La responsabilizzazione in azienda

Il Regolamento generale sulla protezione dei dati stabilisce un nuovo principio di responsabilizzazione, per cui il titolare del trattamento è tenuto non solo a garantire ma anche a dimostrare alle autorità di controllo la conformità con gli obblighi legali a proprio carico.

(41)

La procedura

Adozione del principio della privacy by design (art. 25), per fare in modo che i principi di protezione dei dati siano presi in considerazione sin dalle fasi iniziali dell’ideazione di nuove tecnologie, prodotti e sistemi;

Definizione: Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

(42)

Adozione del principio della privacy by default (art. 25), per fare in modo che la protezione della privacy sia adottata di default;

Definizione: Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

(43)

I titolari e i responsabili del trattamento sono congiuntamente obbligati ad assicurare che le misure di sicurezza dei dati (anche dal punto di vista tecnico) siano sempre idonee tenendo presenti la natura, la portata, il contesto e le finalità del trattamento e i relativi rischi.

(44)

Notifica

Abolizione dell’obbligo di notifica

Il Regolamento generale sulla protezione dei dati abolisce l’obbligo di registrare le attività di trattamento presso le autorità di controllo locali.

(45)

Registro interno

• Tale obbligo è sostituito (con talune eccezioni) dall’obbligo di conservare un registro interno su cui vanno annotate tutte le attività di trattamento dati.

• Previa richiesta il registro deve essere messo a disposizione dell’autorità di controllo per eventuali ispezioni.

(46)

Data breach

Il Regolamento generale sulla protezione dei dati richiede al titolare del trattamento di comunicare all’autorità di controllo competente eventuali violazioni dei dati personali.

Tale notifica deve:

• descrivere la natura della violazione;

• indicare il numero degli interessati colpiti dalla violazione;

• descrivere le possibili conseguenze della violazione;

(47)

Meccanismo di One-Stop-Shop

Il concetto di One-Stop-Shop è una riforma fondamentale introdotta dal Regolamento generale sulla protezione dei dati, e stabilisce il principio per cui l’organismo di controllo del luogo di stabilimento principale del titolare del trattamento (o del responsabile del trattamento) potrà agire come autorità di controllo capofila per i trattamenti transfrontalieri eseguiti dal titolare (o dal responsabile) in questione.

(48)

One-Stop-Shop

Il meccanismo di One-Stop-Shop:

– è volto a facilitare a titolari e responsabili del trattamento lo svolgimento della propria attività nei territori dell’Unione europea;

– richiede la collaborazione fra organismi di controllo transfrontalieri per questioni che vedono coinvolti due o più paesi;

– sarà oggetto di ulteriori chiarimenti o verranno esposte le modalità di funzionamento nella pratica.

(49)

Sportello unico

Lo “sportello unico” dovrebbe portare a un’azione congiunta più incisiva da parte delle varie autorità nazionali, anche nei casi in cui il titolare del trattamento ha sede in diversi stati o le operazioni di trattamento hanno effetto su organizzazioni di diversi stati.

(50)

Le sanzioni

(51)

Sanzioni

Il regolamento impone sanzioni effettive, proporzionate e dissuasive.

Sanzioni fino a 20 milioni o al 4% del fatturato mondiale totale annuo dell’esercizio precedente per responsabilità di grave inadempimento

(52)

Importo

L’importo delle sanzioni per ogni caso dipenderà da vari fattori, quali la natura della violazione, il grado di colpa, violazioni precedenti.

Fino a 10 milioni o al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le altre responsabilità di conformità.

(53)

Violazioni più gravi

I principi base che disciplinano il trattamento dei dati, compresi i requisiti per l’ottenimento del

consenso (Art. 5-7 e Art. 9)

• I diritti degli interessati (Art. 12-22)

• Il trasferimento dei dati personali verso paesi terzi (Art. 44-49)

(54)

Violazioni più gravi

Gli obblighi previsti dalla normativa nazionale adottati in virtù del capo IX del regolamento.

L’inosservanza di un ordine definitivo o provvisorio di limitazione o sospensione del trattamento o flusso di dati emesso da un’autorità di controllo ai sensi dell’Art. 58 par. 2 o negato accesso in violazione dell’ Art. 58 par.

1.

(55)

Violazioni “meno” gravi

Gli obblighi del titolare e del responsabile del trattamento a norma degli Art. 8, Art. 11, Art.

25-39, Art. 42-43.

Gli obblighi dell’organismo di certificazione a norma degli Art. 42-43.

Gli obblighi dell’organismo di controllo a norma dell’Art. 41 par. 4.

(56)

Risarcimento danni

Oltre all’esposizione a sanzioni imposte dagli organismi di controllo:

• gli interessati potrebbero richiedere il risarcimento al titolare o al responsabile del trattamento per i danni subiti; e gli Stati Membri dovrebbero promulgare leggi nazionali con l’introduzione di sanzioni penali per una violazione del regolamento generale sulla protezione dei dati.