Upload
moca-interactive
View
135
Download
0
Embed Size (px)
Citation preview
COME RACCOGLIERE E CONSERVARE I DATI RACCOLTI: PROFILI GIURIDICI E RISCHI
CONNESSI
GLI ATTUALI OBBLIGHI PRIVACY: IL CONSENSO AL TRATTAMENTO DEI DATI SENSIBILI, LA RACCOLTA E LA CONSERVAZIONE DEGLI STESSI, GLI EVENTUALI OBBLIGHI DI COMUNICAZIONE AL GARANTE DELLA PRIVACY, LE POSSIBILI SANZIONI
IL NUOVO REGOLAMENTO DELL’UNIONE EUROPEA PER LA PROTEZIONE DEI DATI PERSONALI: BREVI CENNI E PROSPETTIVE FUTURE
DATI PERSONALI:
• Email • Codice fiscale • Partita iva • Numero di telefono • Indirizzo
DATI IDENTIFICATIVI:
• Nome e cognome
DATI SENSIBILI:
• Il contenuto di un certificato medico • Marco Ziero è di etnia Tutsi • Alberto Rossi appartiene ai testimoni di Geova • La tessera di appartenenza ad un partito o ad un
sindacato
QUALI SONO LE FIGURE COINVOLTE NEL TRATTAMENTO DATI?
• IL TITOLARE DEL TRATTAMENTO
• IL RESPONSABILE DEL TRATTAMENTO
• L’ INCARICATO DEL TRATTAMENTO
QUALI INFORMAZIONI E’ NECESSARIO FORNIRE
ALL’INTERESSATO? • LE FINALITÀ E LE MODALITÀ DEL TRATTAMENTO
• LE CONSEGUENZE DI UN EVENTUALE RIFIUTO A RISPONDERE
• I SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O POSSONO COMUNQUE VENIRNE A CONOSCENZA
• GLI ESTREMI IDENTIFICATIVI DEL TITOLARE DEL TRATTAMENTO E, SE PRESENTE, DEL RESPONSABILE
• I DIRITTI DELL’INTERESSATO IN ORDINE AI SUOI DATI RACCOLTI
DATA L’INFORMATIVA, DEV’ESSERE RACCOLTO IL CONSENSO
• DOCUMENTATO
• SPECIFICO
PREVENTIVA NOTIFICA AL GARANTE DEL TRATTAMENTO DATI
DATI SENSIBILI - SEMPRE
DATI PERSONALI – IN SPECIFICI CASI (ES. PROFILAZIONE)
QUALI SONO LE PRINCIPALI NOVITA’ ?
• MANSIONI, CARATTERISTICHE E NATURA DELLE FIGURE INTERESSATE, NONCHE’ NUOVE FIGURE
• PRINCIPIO DI ACCOUNTABILITY
• VALUTAZIONE D’IMPATTO
• DATA BREACH
• CONSULTAZIONE PREVENTIVA
• CERTIFICAZIONE
• SANZIONI
TITOLARE DEL TRATTAMENTO • DEVE PORRE IN ESSERE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE IN
GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO È EFFETTUATO IN CONFORMITÀ AL REGOLAMENTO.
RESPONSABILE DEL TRATTAMENTO
• CONNOTAZIONE PROFESSIONALE • DEVE ESSERE OBBLIGATORIAMENTE NOMINATO • NON SI POTRÀ PIÙ VEROSIMILMENTE NOMINARE QUALE RESPONSABILE IL SOGGETTO AVENTE LA
RAPPRESENTANZA GIURIDICA DELL’ENTE, A MENO CHE QUELLO STESSO SOGGETTO NON SIA GRADO DI DIMOSTRARE LA COMPROVATA CONOSCENZA DELLA MATERIA
DATA PROTECTION OFFICER richiesta una conoscenza specialistica della normativa e delle prassi in materia di protezione dati
SARA’ NECESSARIO SE :
• il titolare è una pubblica amministrazione
• l’attività principale del titolare o del responsabile consistono in trattamenti di dati che per loro natura o per finalità richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala
• le attività principali del titolare o del responsabile consistano nel trattamento, in larga scala, di dati sensibili
COMPITI IN CAPO AL DATA PROTECTION OFFICER
• occuparsi della formazione interna all’azienda
• sorvegliare l'osservanza delle procedure adottate dal titolare
• fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento
• fungere da punto di contatto tra l’azienda e l'autorità di controllo
PRINCIPIO DI ACCOUNTABILITY • ADOZIONE DI MISURE ADEGUATE PER GARANTIRE CHE IL TRATTAMENTO DEI DATI VENGA EFFETTUATO IN CONFORMITÀ
ALLA DISCIPLINA SULLA PRIVACY
• CAPACITÀ DI DIMOSTRARLO
ELABORAZIONE, QUINDI, DI SPECIFICI MODELLI ORGANIZZATIVI (ES. D.LGS. 231/2001 O SICUREZZA)
Protocolli finalizzati a :
• MINIMIZZARE IL TRATTAMENTO DEI DATI • CONSENTIRE PER QUANTO POSSIBILE L’ANONIMATO DEI DATI • DETERMINARE A PRIORI LA DURATA DEL TRATTAMENTO ED IL PERIODO DI CONSERVAZIONE DEI DATI • IDENTIFICARE PRECISAMENTE CHI AVRÀ ACCESSO AI DATI
A tal fine dovranno presentare misure atte a garantire :
• PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI • CAPACITÀ DI ASSICURARE LA RISERVATEZZA, L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI • PROCEDURA DI VERIFICA E DI VALUTAZIONE SULL’EFFICACIA DI DETTE MISURE • PREVEDERE L’ADESIONE AD UN CODICE DI CONDOTTA O UN MECCANISMO DI CERTIFICAZIONE
TENUTA DEI REGISTRI
2 REGISTRI: titolare + responsabile
SOGGETTI OBBLIGATI: - IMPRESE CON PIÙ DI 250 DIPENDENTI - TRATTAMENTO NON OCCASIONALE - TRATTAMENTO CHE COMPORTA RISCHI PER I DIRITTI E LE LIBERTÀ DELL’INTERESSATO
CONTENUTO DEL REGISTRO:
• descrizione delle categorie di interessati delle categorie di dati personali
• le finalità del trattamento
• le categorie di destinatari a cui i dati sono stati o saranno comunicati
• i termini per la cancellazione dei dati
• descrizione generale delle misure di sicurezza tecnico-organizzative
• dati del titolare e del responsabile
• “categoria dei trattamenti effettuati” (solo per il registro del responsabile)
VALUTAZIONE D’IMPATTO RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE
In particolare se :
• SI TRATTA DI UN TRATTAMENTO AUTOMATIZZATO, COMPRESA LA PROFILAZIONE • IL TRATTAMENTO, SU LARGA SCALA, RIGUARDA I DATI PERSONALI SENSIBILI O DATI
RELATIVI A CONDANNE PENALI E A REATI • QUANDO SI TRATTI DI SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA
ACCESSIBILE AL PUBBLICO
E’ l’analisi preventiva, effettuata dal responsabile e dal titolare, volta a verificare se le misure organizzative poste in essere sono idonee ad evitare la lesione dei diritti e delle libertà individuali
SE LA RISPOSTA E’ :
SI = posso procedere al trattamento
NO = consultazione preventiva
DATA BREACH
IN CASO DI VIOLAZIONE DEI DATI PERSONALI IL TITOLARE DEL TRATTAMENTO DEVE :
• NOTIFICARE LA VIOLAZIONE ALL'AUTORITÀ DI CONTROLLO COMPETENTE ENTRO 72 ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA
• COMUNICARE ALL’INTERESSATO LA VIOLAZIONE DEI SUOI DATI PERSONALI
SANZIONI
VIOLAZIONE OBBLIGHI DEL TITOLARE E DEL RESPONSABILE (ES. TENUTA DEI REGISTRI)
SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 10.000.000 EURO, O PER LE IMPRESE, SINO AL 2% DEL FATTURATO MONDIALE TOTALE DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.
VIOLAZIONE DISPOSIZIONI SU CONSENSO E DIRITTI DEGLI INTERESSATI (DATI SENSIBILI TRATTATI SENZA IL CONSENSO) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 20.000.000 EURO, O PER LE IMPRESE, FINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE.
Esempi
Nell’attuale disciplina l’importo massivo previsto per una sanzione pecuniaria è di 150.000 Euro, in merito alla sicurezza, alla conservazione e alla distruzione dei dati nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 162 ter, Codice Privacy)
STUDIO LEGALE FGR
Avv. Carlo Fiorente Via Montello, n. 83, Int. 9
31100 – Treviso
Via Olivi, n. 37
30174 Mestre (VE)
TEL 0422 - 1783688
FAX 0422 – 1780627