View
135
Download
0
Category
Preview:
Citation preview
COME RACCOGLIERE E CONSERVARE I DATI RACCOLTI: PROFILI GIURIDICI E RISCHI
CONNESSI
GLI ATTUALI OBBLIGHI PRIVACY: IL CONSENSO AL TRATTAMENTO DEI DATI SENSIBILI, LA RACCOLTA E LA CONSERVAZIONE DEGLI STESSI, GLI EVENTUALI OBBLIGHI DI COMUNICAZIONE AL GARANTE DELLA PRIVACY, LE POSSIBILI SANZIONI
IL NUOVO REGOLAMENTO DELL’UNIONE EUROPEA PER LA PROTEZIONE DEI DATI PERSONALI: BREVI CENNI E PROSPETTIVE FUTURE
DATI PERSONALI:
• Email • Codice fiscale • Partita iva • Numero di telefono • Indirizzo
DATI IDENTIFICATIVI:
• Nome e cognome
DATI SENSIBILI:
• Il contenuto di un certificato medico • Marco Ziero è di etnia Tutsi • Alberto Rossi appartiene ai testimoni di Geova • La tessera di appartenenza ad un partito o ad un
sindacato
QUALI SONO LE FIGURE COINVOLTE NEL TRATTAMENTO DATI?
• IL TITOLARE DEL TRATTAMENTO
• IL RESPONSABILE DEL TRATTAMENTO
• L’ INCARICATO DEL TRATTAMENTO
QUALI INFORMAZIONI E’ NECESSARIO FORNIRE
ALL’INTERESSATO? • LE FINALITÀ E LE MODALITÀ DEL TRATTAMENTO
• LE CONSEGUENZE DI UN EVENTUALE RIFIUTO A RISPONDERE
• I SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O POSSONO COMUNQUE VENIRNE A CONOSCENZA
• GLI ESTREMI IDENTIFICATIVI DEL TITOLARE DEL TRATTAMENTO E, SE PRESENTE, DEL RESPONSABILE
• I DIRITTI DELL’INTERESSATO IN ORDINE AI SUOI DATI RACCOLTI
DATA L’INFORMATIVA, DEV’ESSERE RACCOLTO IL CONSENSO
• DOCUMENTATO
• SPECIFICO
PREVENTIVA NOTIFICA AL GARANTE DEL TRATTAMENTO DATI
DATI SENSIBILI - SEMPRE
DATI PERSONALI – IN SPECIFICI CASI (ES. PROFILAZIONE)
QUALI SONO LE PRINCIPALI NOVITA’ ?
• MANSIONI, CARATTERISTICHE E NATURA DELLE FIGURE INTERESSATE, NONCHE’ NUOVE FIGURE
• PRINCIPIO DI ACCOUNTABILITY
• VALUTAZIONE D’IMPATTO
• DATA BREACH
• CONSULTAZIONE PREVENTIVA
• CERTIFICAZIONE
• SANZIONI
TITOLARE DEL TRATTAMENTO • DEVE PORRE IN ESSERE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE IN
GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO È EFFETTUATO IN CONFORMITÀ AL REGOLAMENTO.
RESPONSABILE DEL TRATTAMENTO
• CONNOTAZIONE PROFESSIONALE • DEVE ESSERE OBBLIGATORIAMENTE NOMINATO • NON SI POTRÀ PIÙ VEROSIMILMENTE NOMINARE QUALE RESPONSABILE IL SOGGETTO AVENTE LA
RAPPRESENTANZA GIURIDICA DELL’ENTE, A MENO CHE QUELLO STESSO SOGGETTO NON SIA GRADO DI DIMOSTRARE LA COMPROVATA CONOSCENZA DELLA MATERIA
DATA PROTECTION OFFICER richiesta una conoscenza specialistica della normativa e delle prassi in materia di protezione dati
SARA’ NECESSARIO SE :
• il titolare è una pubblica amministrazione
• l’attività principale del titolare o del responsabile consistono in trattamenti di dati che per loro natura o per finalità richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala
• le attività principali del titolare o del responsabile consistano nel trattamento, in larga scala, di dati sensibili
COMPITI IN CAPO AL DATA PROTECTION OFFICER
• occuparsi della formazione interna all’azienda
• sorvegliare l'osservanza delle procedure adottate dal titolare
• fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento
• fungere da punto di contatto tra l’azienda e l'autorità di controllo
PRINCIPIO DI ACCOUNTABILITY • ADOZIONE DI MISURE ADEGUATE PER GARANTIRE CHE IL TRATTAMENTO DEI DATI VENGA EFFETTUATO IN CONFORMITÀ
ALLA DISCIPLINA SULLA PRIVACY
• CAPACITÀ DI DIMOSTRARLO
ELABORAZIONE, QUINDI, DI SPECIFICI MODELLI ORGANIZZATIVI (ES. D.LGS. 231/2001 O SICUREZZA)
Protocolli finalizzati a :
• MINIMIZZARE IL TRATTAMENTO DEI DATI • CONSENTIRE PER QUANTO POSSIBILE L’ANONIMATO DEI DATI • DETERMINARE A PRIORI LA DURATA DEL TRATTAMENTO ED IL PERIODO DI CONSERVAZIONE DEI DATI • IDENTIFICARE PRECISAMENTE CHI AVRÀ ACCESSO AI DATI
A tal fine dovranno presentare misure atte a garantire :
• PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI • CAPACITÀ DI ASSICURARE LA RISERVATEZZA, L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI • PROCEDURA DI VERIFICA E DI VALUTAZIONE SULL’EFFICACIA DI DETTE MISURE • PREVEDERE L’ADESIONE AD UN CODICE DI CONDOTTA O UN MECCANISMO DI CERTIFICAZIONE
TENUTA DEI REGISTRI
2 REGISTRI: titolare + responsabile
SOGGETTI OBBLIGATI: - IMPRESE CON PIÙ DI 250 DIPENDENTI - TRATTAMENTO NON OCCASIONALE - TRATTAMENTO CHE COMPORTA RISCHI PER I DIRITTI E LE LIBERTÀ DELL’INTERESSATO
CONTENUTO DEL REGISTRO:
• descrizione delle categorie di interessati delle categorie di dati personali
• le finalità del trattamento
• le categorie di destinatari a cui i dati sono stati o saranno comunicati
• i termini per la cancellazione dei dati
• descrizione generale delle misure di sicurezza tecnico-organizzative
• dati del titolare e del responsabile
• “categoria dei trattamenti effettuati” (solo per il registro del responsabile)
VALUTAZIONE D’IMPATTO RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE
In particolare se :
• SI TRATTA DI UN TRATTAMENTO AUTOMATIZZATO, COMPRESA LA PROFILAZIONE • IL TRATTAMENTO, SU LARGA SCALA, RIGUARDA I DATI PERSONALI SENSIBILI O DATI
RELATIVI A CONDANNE PENALI E A REATI • QUANDO SI TRATTI DI SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA
ACCESSIBILE AL PUBBLICO
E’ l’analisi preventiva, effettuata dal responsabile e dal titolare, volta a verificare se le misure organizzative poste in essere sono idonee ad evitare la lesione dei diritti e delle libertà individuali
SE LA RISPOSTA E’ :
SI = posso procedere al trattamento
NO = consultazione preventiva
DATA BREACH
IN CASO DI VIOLAZIONE DEI DATI PERSONALI IL TITOLARE DEL TRATTAMENTO DEVE :
• NOTIFICARE LA VIOLAZIONE ALL'AUTORITÀ DI CONTROLLO COMPETENTE ENTRO 72 ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA
• COMUNICARE ALL’INTERESSATO LA VIOLAZIONE DEI SUOI DATI PERSONALI
SANZIONI
VIOLAZIONE OBBLIGHI DEL TITOLARE E DEL RESPONSABILE (ES. TENUTA DEI REGISTRI)
SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 10.000.000 EURO, O PER LE IMPRESE, SINO AL 2% DEL FATTURATO MONDIALE TOTALE DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.
VIOLAZIONE DISPOSIZIONI SU CONSENSO E DIRITTI DEGLI INTERESSATI (DATI SENSIBILI TRATTATI SENZA IL CONSENSO) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 20.000.000 EURO, O PER LE IMPRESE, FINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.
Esempi
Nell’attuale disciplina l’importo massivo previsto per una sanzione pecuniaria è di 150.000 Euro, in merito alla sicurezza, alla conservazione e alla distruzione dei dati nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 162 ter, Codice Privacy)
Recommended