Embed Size (px)
Citation preview
Comandante delle Unità Speciali
della Guardia di Finanza
Gen.D. Gennaro Vecchione
Convegno «Il nuovo Regolamento U.E.
sulla protezione dei dati personali»
Firenze - Auditorium «Cosimo Ridolfi», 16 marzo 2017
CENNI STORICI 1950
art. 8, Convenzione europea
dei Diritti dell’Uomo
1890
1981Convenzione di Strasburgo
protezione persone rispetto al trattamento
automatizzato dati
legge 31 dicembre 1996, n. 675
1973sentenza della
Corte Costituzionale d. riservatezza
1948art. 12, Dichiarazione Universale dei Diritti
dell’Uomo
1956sentenza C. C.
«Tenore Caruso»
“right to be let alone”
2003
1975sentenza C.C.
«Soraya»
1984Progetto
«Mirabelli»
PROTEZIONE DATI PERSONALI - U.E.
1995
Direttiva 95/46/CE Protezione dei Dati
Personali
2016
Pubblicazione Reg. G.U. della U.E.
25 maggio 20182009
T.F.U.E.
REGOLAMENTO PRINCIPALI NOVITÀ - 1
• un regolamento UE assicura uniformità in ambito UE
• principi fondamentali immutati
• più attenzione a nuove tecnologie
• riduzione oneri PMI
• si applica a chi offre servizi/prodotti nell’UE
• diritto all’oblio
• Data Protection Officer (obbligatorio talora)
REGOLAMENTO PRINCIPALI NOVITÀ - 2
• meno oneri (no a notifica dei trattamenti) ma più
responsabilizzazione per i titolari di trattamento (privacy
by design, valutazione di impatto privacy)
• sportello unico (“one stop shop”) per multinazionali
• board europeo (erede dell’attuale gruppo ex art. 29) con
poteri di indirizzo delle Autorità garanti
• sistema europeo di sanzioni (uniformi)
OGGETTO E FINALITÀ - Art. 1
• protezione delle persone fisiche con riguardo al trattamento
dei dati personali e alla libera circolazione di tali dati
• protezione dei diritti e delle libertà fondamentali delle persone
fisiche, in particolare i dati personali
AREE TEMATICHE - Art. 2
• trattamento automatizzato e non di dati personali
NON si applica ai trattamenti effettuati:
• dagli Stati Membri UE in riferimento all’area di Spaziodi Libertà, Sicurezza e Giustizia
• per finalità personale o domestica
• dalle Autorità per prevenzione, indagine ed esecuzionepenale
AREA TERRITORIALE - Art. 3
trattamento dei dati personali effettuato nell’ambitodell’Unione, ovvero che riguardi interessati che sitrovano nell’Unione
DEFINIZIONI ESSENZIALI - Art. 4
• dato personale• trattamento• profilazione• titolare del trattamento• responsabile del trattamento• rappresentante• autorità di controllo
Dato personale
Dati sensibili
Trattamento
Interessato
Comunicazione
Diffusione
Banca dati
Art. 4 Codice della Privacy
Definizioni
PRINCÌPI DEL NUOVO REGOLAMENTO - Artt. 5 e 9
finalità determinate, esplicite e legittime
no razza, opinioni politiche, religione, sindacato, genetici, biometrici, salute, vita sessuale, salvo consenso o casi specifici
dati minimi, esatti , aggiornati e garantiti nella loro integrità e riservatezza
limitazione temporale connessa alla finalità
liceità, correttezza e trasparenza
CONDIZIONI CONSENSO INTERESSATO - Artt. 7 e 8
Se necessario consenso, il titolare deve dimostrare chel’interessato lo ha prestato, con possibilità di revoca
Se minore anni 16 il trattamento della societàdell’informazione è lecito solo con consenso genitori
DIRITTI DELL’INTERESSATO – Capo III
• cancellazione (o oblio) – Art. 17, fatto salvo il diritto alla libertà di espressione e di informazione, ovvero obbligo legale
• limitazione del trattamento
• accesso ed informazione
• portabilità dei dati
• rettifica e integrazione
DIRITTO ALLA PORTABILITA’ DEI DATI - Art. 20
• diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti ad un titolare del trattamento;
• diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento che li ha forniti.
Ciò nei casi in cui il trattamento si basi su un consenso o un contratto, ovvero venga effettuato con mezzi automatizzati
TITOLARE DEL TRATTAMENTO -Artt. 24, 25, 28, 30, 32 e 35
• responsabilità
• misure tecniche e organizzative adeguate
• privacy by design (approccio preventivo - art. 25)
• registro delle attività (art. 30)
• garanzia livello di sicurezza (art. 32)
• privacy impact assessment (PIA - art. 35, in casi specifici)
RESPONSABILE PROTEZIONE DATI (DPO) - Art. 37
• trattamento effettuato da autorità pubblica• trattamenti con il monitoraggio degli interessati su larga
scala
Inosservanza criteri designazione e prescrizioni del WP29 fa venir meno «DPO»
Dipendente o in outsourcing, i cui dettagli devono essere pubblicati e comunicati all’Autorità di controllo
ESEMPI DI TRATTAMENTO SU «LARGA SCALA»
• struttura sanitaria
• utilizzo mezzi di trasporto pubblici (tessere di viaggio)
• compagnie assicurative e banche
• motori di ricerca a fini pubblicitari
• sistemi di geo-localizzazione
di motori di ricerca e cellulari
COMPITI DEL DPO – Art. 39
informare e fornire consulenza al titolare o al responsabile del trattamento in merito agli obblighi derivanti da tale Regolamento
sorvegliare l’osservanza del Regolamento e fornire un parere in merito al Privacy Impact Assessment
cooperare con l’Autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento
AUTORITÀ DI CONTROLLO INDIPENDENTI - Capo VI
Ogni Stato dispone che autorità pubbliche siano incaricate disorvegliare applicazione Regolamento per tutelare diritti e libertàfondamentali delle persone fisiche con riguardo al trattamento eagevolare libera circolazione dei dati personali in UE
Ogni autorità agisce in piena INDIPENDENZA e
TRASPARENZA
COMPITI POTERI
Artt. 57 e 58
richiesta informazioni
rettifica, cancellazione e limitazione trattamento
sospensione trasferimento dati
notifica violazione
avvertimenti, ammonimenti
sanzioni amministrative
consulenza al titolare
accesso a tutti i dati
accesso a tutti i locali
indagine
sorveglianza applicazione regolamento
compliance
consulenza Istituzioni
reclami
sorveglianza sviluppo
tecnologie
indagini
stimola certificazione
collaborazione altre Autorità
di controllo
RECLAMO ALL’AUTORITÀ DI CONTROLLO E RICORSO GIURISDIZIONALE - Artt. 77 e 78
RISARCIMENTO E RESPONSABILITÀ - Art. 82
Chiunque subisca un danno materiale o immaterialecausato da una violazione del Regolamento ha ildiritto di ottenere il risarcimento del danno daltitolare o dal responsabile del trattamento
Sanzioni civili
Art. 15, Codice della Privacy
1° commaChiunque cagiona danno ad altri per
effetto del trattamento di dati personali è tenuto al risarcimento ai sensi
dell'art. 2050 del c.c.
2° comma
Il danno non patrimoniale è risarcibile anche in caso di violazione dell'art. 11
Art. 11
Art. 11
Modalità del trattamento e requisiti dei dati
SANZIONI - Artt. 83 e 84
Adozione altre sanzioni da notificare alla Commissione UE
Criteri per le sanzioni amministrative
• effettive, proporzionate e dissuasive• natura, gravità e durata della violazione• carattere doloso o colposo della violazione• misure adottate dal titolare/responsabile del
trattamento• precedenti violazioni e cooperazione con Autorità• adesione ai codici di condotta• eventuali fattori aggravanti
26
Guardia di Finanza
COMANDO GENERALE
COMANDOREPARTI SPECIALI
COMPONENTE TERRITORIALE
COMPONENTE AERONAVALE
REPARTI D’ISTRUZIONE
Guardia di Finanza
COMANDO
REPARTI SPECIALI
COMANDOUNITA’ SPECIALI
COMANDO
TUTELA ECONOMIA E FINANZA
REPARTO TECNICO
LOGISTICO AMMINISTRATIVO
Reparti Speciali della Guardia di Finanza
N.S. AnticorruzioneN.S. Commissioni Parlamentari d’InchiestaN.S. PrivacyN.S. Frodi TecnologicheN.S. per l’Energia e il Sistema IdricoN.S. Tutela Proprietà IntellettualeN.S. AntitrustN.S. per la Radiodiffusione e l’Editoria
N.S. EntrateN.S. Spesa Pubblica e Repressione Frodi Comunitarie N.S. Polizia ValutariaServizio Centrale Investigazione Criminalità Organizzata - SCICO
Il Garante determina semestralmentela programmazione ispettiva indicando ambiti di intervento e obiettivi numerici del controllo
La programmazione tiene conto anche delle attività che possono essere delegate alla Guardia di finanza
Segnalazioni: richieste informali di controllo a fronte delle quali può essere avviata un’istruttoria preliminare
Reclami: richiesta circostanziata di intervento del Garante in relazione a una violazione della normativa. Comporta l’apertura di un’istruttoria preliminare
Ricorsi: attraverso i quali si fanno valere i diritti di cui all’art. 7; 60 giorni per la decisione
Di iniziativa: diretta conoscenza, notizie stampa, internet, programmi, ecc.
Legge istitutiva
Legge 31 dicembre 1996, n. 675
Controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile
Esaminare i reclami e le segnalazioni e provvedere sui ricorsi
Prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti
Vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco
Promuovere la sottoscrizione di codici deontologici
Segnalare al Parlamento e al Governo l'opportunità di interventi normativi
Presidente
Vice-presidente
Componente Componente
Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri con un mandato
di sette anni non rinnovabile. Il protocollo prevede che la G. di F. collabori con il Garante attraverso:
il reperimento di dati ed informazioni sui soggetti da controllare
l’assistenza nei rapporti con l’Autorità Giudiziaria
la partecipazione di proprio personale agli accessi alle banche dati, ispezioni e verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento
lo sviluppo di attività delegate per l’accertamento delle violazioni di natura penale o amministrativa
la contestazione diretta delle sanzioni amministrative rilevate nell’ambito delle attività delegate
L'Ufficio del Garante, al quale sovrintende il Segretario generale, coadiuvato da due vice-segretari generali, è
attualmente articolato in:
dipartimenti, servizi e unità temporanee.
Autorità garante per la protezione dei dati personali
L’ufficio
Programmazione dell’attività
ispettiva
Collaborazione con la GdiF
Il Garante
compiti
Input dell’attività
ispettiva
violazioni penali
violazioni amministrative
Attività della G di F
D.Lgs. N. 68/2001 Protocollo d’intesa
Ruolo e attività del Nucleo Speciale Privacy
Esecuzione attività ispettive
Analisi info/operativa
Direzione operativa e
supporto delle conoscenze
