Nuovo Regolamento europeo in materia di protezione dei dati personali, considerazioni e risvolti pratici per chi opera nel settore digitale.
- Fare chiarezza sulle novità introdotte dal Regolamento
- Valutare l’Impatto del GDPR sui dati digitali
- Risolvere le principali criticità per chi opera nel settore digitale
Avv. Guido Melluso - www.studiomelluso.it
1. AVV. GUIDO MELLUSO
Via Vittorio Emanuele II, 60
WWW.STUDIOMELLUSO.IT
Brescia
GDPR
NEL SETTORE DIGITALE
Lunedì 16 luglio 2018
TALENT GARDEN - BRESCIA
3. PRINCIPALI NOVITA’ DEL GDPR
• responsabilizzazione del titolare del trattamento
• diritti degli interessati
• Privacy by design – privacy by default
• registro dei trattamenti
• informativa
• DPO
• Valutazione d’impatto e valutazione del rischio
4. DATO PERSONALE
Definizione (Art. 4)
qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi
all'ubicazione, un identificativo online o a uno o più elementi caratteristici della
sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
campo di applicazione GDPR
Se so che tipo di dato trattato … so cosa devo fare
ESEMPI
mail – cookies – dati di contatto – indirizzi IP – account – nickname ….
5. IL TRATTAMENTO
Definizione (Art. 4)
qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali,
come la raccolta, la registrazione, l'organizzazione, la strutturazione, la
conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa
a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la
distruzione;
il trattamento deve essere lecito
rispettoso della legge
fondato su una base giuridica
6. BASE GIURIDICA DEL
TRATTAMENTO
IL CONSENSO
specifico: per una finalità specifica …. e non per altre – pertinenza!
informato: … informativa
libero: no costrizioni es: se l’esecuzione del contratto è condizionata al
consenso al trattamento per fini diversi – es. geolocalizzazione APP
fotoritocco
inequivocabile: ok implicito MA no caselle già spuntate
dimostrabile: non deve essere scritto MA …
revocabile: la revoca deve essere di facile attuazione
CASI IN CUI E’ OBBLIGATORIO IL CONSENSO ESPLICITO: base giuridica
necessaria per dati sensibili o processi decisionali automatizzati (es.
profilazione)
COSA SERVE? Informativa e portabilità dei dati
7.
8. L’ADEMPIMENTO DI UN OBBLIGO
CONTRATTUALE
Quando il trattamento è necessario per dare
esecuzione a un contratto
Esempio: e-commerce il trattamento dei dati è necessario per concludere
una procedura di acquisto di beni o servizi
COSA SERVE? Informativa e portabilità dei dati
BASE GIURIDICA DEL
TRATTAMENTO
9. OBBLIGO PREVISTO DALLA LEGGE
Quando il trattamento dei dati personali è
specificamente previsto da una disposizione
normativa
Esempio: attività giornalistica
Cosa serve? Si Informativa
No consenso
No portabilità
BASE GIURIDICA DEL
TRATTAMENTO
10. INTERESSI VITALI DELL’INTERESSATO
O DI UN TERZO
Trattamento lecito se eseguito per tutelare interessi
vitali dell’interessato o di un terzo
Applicazione residuale_ok solo se nessun’altra base
giuridica è applicabile
Esempio: quando l’interessato è fisicamente incapace di prestare il
consenso
BASE GIURIDICA DEL
TRATTAMENTO
11. LEGITTIMO INTERESSE DEL TITOLARE DEL
TRATTAMENTO O DI TERZI
Il trattamento è lecito purchè non prevalgano i diritti
dell’interessato, tenuto conto delle sue aspettative nei rapporti
con il titolare del trattamento
Requisiti: necessità di elaborare il dato
bilanciamento di interessi
trattamento nel rispetto del GDPR
Esempi: marketing diretto, protezione dalle frodi, misure di sicurezza, operazioni di
trasferimento dati intraaziendali, procedura per verifica età, geolocalizzazione
dipendenti, personalizzazione e analisi siti web
BASE GIURIDICA DEL
TRATTAMENTO
Legge di Bilancio 2018
Comuncazione
preventiva al Garante
12. INTERESSE PUBBLICO
Il trattamento è lecito se connesso all’esercizio
di pubblici poteri
No consenso
Si informativa – la finalità del trattamento è
contenuta nella legge
Esempio: previsioni normative
BASE GIURIDICA DEL
TRATTAMENTO
14. IL TITOLARE DEL TRATTAMENTO
(data controller)
I PROTAGONISTI DEL
TRATTAMENTO
Misure tecniche di
adeguamento al
GDPR
Privacy by
design Privacy by
default
Politiche per
garantire la
sicurezza del
trattamento
Valutazione d’impatto e del
rischio
Registro dei trattamenti
Rapporti con il responsabile
Nomina del DPO
etc
Corte Europea di Giustizia:
contitolarità tra Facebook e
amministratore pagina
facebook
15. IL RESPONSABILE DEL TRATTAMENTO
(data processor)
Chi è?soggetto che elabora i dati per conto del titolare
Cosa fa?
OBBLIGHI: idonee misure di sicurezza – conoscenza specialistica .
organizzazione – registro trattamenti – data breaches - DPO
Esempi: fornitori, operatori di backhend, software house, cloud saas,
web hosting
I PROTAGONISTI DEL
TRATTAMENTO
16. I RAPPORTI TRA DATA CONTROLLER E
DATA PROCESSOR
TITOLARE RESPONSABILE
Contratto
ISTRUZIONI
ATTENZIONE
IL CONTRATTO DEVE PREVEDERE UNA REGOLAMENTAZIONE PRECISA DEI RAPPORTI
SE SORGONO PROBLEMI
RESPONSABILITA’ SOLIDALE
17. IL DPO
CHI E’? Soggetto nominato da titolare o responsabile, esterno alla loro
organizzazione - no conflitto di interessi
COSA FA? consulente – ponte di contatto con interessati e
Garante – verifica applicazione del GDPR
QUANDO SERVE? Trattamento
effettuato da
autorità pubbliche
Trattamento su larga
scala di particolari
categorie di dati
Attività basate sul
monitoraggio
sistematico degli
interessati
Geolocalizzazione
clienti a fini statistici
Banche, assicurazioni, motori di ricerca,
call center, fornitura di servizi informatici
18. L’INFORMATIVA
QUANDO? Ogni volta che si tratta un dato personale MA prima di trattarlo
E’ uno dei presupposti per un valido consenso
NON SERVE SE dati anonimi
dati relativi a persone giuridiche
dati trattati per scopi personali o domestici
dati trattati in base ad un obbligo normativo
dati trattati per indagini difensive
SE DATI RACCOLTI INDIRETTAMENTE informativa entro 1 mese
al momento della comunicazione dei dati a terzi
MA
Casi in cui l’interessato non deve essere informato
Interessato già informato ottenimento dei dati ex lege
Impossibilità o sforzo sproporzionato
riservatezza dei dati segreto professionale
19. CONTENUTO (artt.13 e 14)
Dati identificativi del titolare del trattamento e del DPO
Categorie di dati trattati
Finalità del trattamento
Tempo del trattamento
Trasferimento dati all’estero - adeguatezza
Base giuridica del trattamento
Obbligatorietà o meno del trattamento e conseguenze del
rifiuto
Specificare se il titolare vuole utilizzare dati per finalità diverse
da quella per cui sono stati raccolti
Soggetti a cui possono esser comunicati i dati
Diritti dell’interessato
Se c’è profilazione specificare la logica del processo decisionale
automatizzato
Indicazione dei cookies – tipologia – disabilitazione – link alla
privacy policy dei servizi di terze parti
Se cookie policy in documento separato LINK
L’INFORMATIVA
20. FORMA concisa – chiara – facile
comprensione – accessibile – intellegibile anche
con utilizzo di icone standard – per iscritto
Esempio: sito web
L’INFORMATIVA
Se non raccoglie dati personali
NO INFORMATIVA
SE RACCOGLIE DATI PERSONALI
informativa
SE REGISTRAZIONE PER MAILING
LIST
Informativa – No consenso
SE RACCOGLIE DATI
ANCHE PER PROPOSTE
COMMERCIALI
Informativa + consenso
21.
22. IL REGISTRO DEI TRATTAMENTI
- INDICE DI CORRETTA GESTIONE DEL TRATTAMENTO
- OBBLIGO SE PIU DI 250 DIPENDENTI – TRATTAMENTO RISCHIOSO –
TRATTAMENTO DI CATEGORIE DI DATI PARTICOLARI
- OBBLIGATI TITOLARE E RESPONSABILE
CONTENUTO:
DATI DI CONTATTO TITOLARE - DPO
FINALITA’
DESCRIZIONE CATEGORIE DI INTERESSATI E DI DATI
CATEGORIE DI SOGGETTI DESTINATARI DEI DATI ANCHE EXTRA UE
TERMINI PER LA CANCELLAZIONE DEI DATI
DESCRIZIONE DELLE MISURE TECNICHE E ORGANIZZATIVE DI SICUREZZA
23. CESSIONE DI DATI A TERZI
TRASFERIMENTO DI DATABASE
OBBLIGHI PER IL CEDENTE: informativa e consenso specifico
OBBLIGHI PER IL CESSIONARIO: informativa agli interessati
che contenga origine dei dati
MA
se l’informativa del cedente prevede l’indicazione specifica del
cessionario quest’ultimo non è tenuto a rilasciare l’informativa
(L’INFORMATIVA DI TUMBLR)
Negli altri casi il cessionario deve fornire l’informativa e ottenere
il consenso al trattamento
Esempio: cessione, incorporazione, fusione, fallimento etc.
24. IL TRASFERIMENTO DEI DATI
ALL’ESTERO
DEFINIZIONE: trasferimento diretto a destinatari
extra UE
PRINCIPIO: adeguatezza – decisioni UE
Se non c’è adeguatezza: clausole contrattuali standard
previste dalla Commissione Europea
Gruppo di imprese anche extra UE – BCR
DEROGHE: consenso – necessità del trasferimento –
adempimento obbligo contrattuale – investigazioni
difensive – tutela in sede giudiziaria – richiesta di
accesso atti amministrativi – usi scientifici e statistici
25. VALUTAZIONE DI IMPATTO E
VALUTAZIONE DEL RISCHIO
DEFINIZIONE: valutazione delle modalità del
trattamento e dell’impatto che può avere sui diritti e le
libertà degli interessati
CHI LO DEVE FARE? Il titolare del trattamento di concerto con il
responsabile
A COSA SERVE? Definizione del livello di rischio
BASSO – MEDIO – ALTO
ADOZIONE DELLE MISURE TECNICO-ORGANIZZATIVE IDONEE A
MITIGARE O ELIMINARE IL RISCHIO
26. LE SANZIONI
2 TIPOLOGIE A SECONDA DELLE VIOLAZIONI
Obblighi del titolare e del responsabile
consenso dei minori
Privacy by default
Registro del trattamento
Nomina DPO
DPIA
Principi base del trattamento,
compreso il consenso
Diritti degli
interessati
Obblighi sanciti
dalle norme
interne
SANZIONE MASSIMA
10milioni € - 2% fatturato
annuo se superiore
SANZIONE MASSIMA
20milioni € - 4% fatturato
annuo se superiore
Prima di irrogare la sanzione il garante deve fare una valutazione caso per
caso valutando una serie di parametri: natura, gravità, durata della
violazione, dolo o colpa, misure di sicurezza adottate dal titolare e dal
responsabile, recidiva, adesione a codici di condotta
27. LE SANZIONI
CHI IRROGA LE SANZIONI?
GARANTE PRIVACY
ATTENZIONE
La violazione delle norme GDPR e nazionali comporta
anche sanzioni penali e l’esposizione a domande
risarcitorie da parte degli interessati che possono agire
sia in sede amministrativa, sia in sede giudiziaria
NB
Il garante della privacy può limitare, sospendere, interrompere il
trattamento dei dati, causando l’interruzione dei servizi connessi al
trattamento
28. GDPR E IoT
OGGETTI CONNESSI e trattamento dei dati
IL CASO dei televisori «VIZIO»
VENDITA TRADIZIONALE vs VENDITA ON LINE
Problemi applicativi del GDPR nell’IoT
IoT e Blockchain…?
29. GDPR E BLOCKCHAIN
WEF il 10% del PIL mondiale nel 2025 sarà prodotto
da servizi erogati tramite blockchain!
IMPATTO GDPR
LA BLOCKCHAIN è GDPR
COMPLIANT?
Ok
Privacy by design
Pseudonimizzazione
Minimizzazione
Sicurezza
Controllo dei dati da
parte dell’interessato
NON COMPLIANT
Diritto all’oblio
Controllo dei dati non centralizzato
Responsabile del trattamento
DPO
Giurisdizione in caso di controversie
CONFERIMENTO DEI DATI
MODALITA’ PUSH
MODALITA’ PULL