Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

GDPR introduzione al nuovo Regolamento per la Protezione Dati

319 vues

Publié le

Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati

Publié dans : Droit
  • Soyez le premier à commenter

GDPR introduzione al nuovo Regolamento per la Protezione Dati

  1. 1. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. RGPDil nuovo Regolamento Generale per la Protezione dei Dati
  2. 2. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Principi e normativa ● Concetti già presenti nella CARTA DEI DIRITTI FONDAMENTALI DELL'UNIONE EUROPEA (2000-2012) ● Articolo 7 - Rispetto della vita privata e della vita familiare ● Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. ● Articolo 8 - Protezione dei dati di carattere personale ● 1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. ● 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. ● Il nuovo Regolamento (679/2016) è entrato in vigore il 24 maggio 2016 abrogando la precedente Direttiva 95/46/CE
  3. 3. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il GDPR non si applica (art. 2) ● ai trattamenti effettuati da persone fisiche per attività personali o domestiche ● ai trattamenti effettuati dalle autorità competenti ai fini di prevenzione o accertamento di reati
  4. 4. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il GDPR si applica (art. 3-4) ● al trattamento di dati personali, intesi come “qualsiasi informazione riguardante una persona fisica identificata e identificabile (interessato)”, di residenti nell’UE ● al trattamento dei dati personali effettuato da parte di un titolare (persona fisica o giuridica) con sede nell’UE, indipendentemente dal fatto che il trattamento sia effettuato nell’UE
  5. 5. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Terminologia e concetti di base (art. 4) ● L’art.4 contiene tutta la terminologia utilizzata nel resto del Regolamento ● Interessante è il termine “pseudonimizzazione”, intesa come “il trattamento dei dati personali in modo tale che i dati personali non l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente...” ● Altro termine è “profilazione”, ovvero le forme di valutazione degli interessati effettuati in forma automatica
  6. 6. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Le figure coinvolte (art.4) ● Interessato al trattamento: utente, cliente, dipendente, è il proprietario del dato – p.fisica ● Titolare del trattamento (data-controller) ● Responsabile del trattamento (data-processor) ● RPD - Responsabile Protezione Dati (DPO, Data Protection Officer) ● Destinatari: chi riceve comunicazione di dati personali (es. PA) ● Soggetti terzi: tutti i soggetti (p.fisiche o giuridiche) [diversi dall’interessato/titolare/responsabile] con cui vengono condivisi i dati ● Persone autorizzate: i soggetti autorizzati dal Responsabile (incaricati)
  7. 7. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Principi di liceità, correttezza e trasparenza (art. 5) ● L’articolo contiene una serie di restrizioni e obblighi generali: i dati personali devono essere: – raccolti per finalità esplicite e legittime; – limitati allo stretto necessario; – aggiornabili o cancellabili; – conservati per lo stretto necessario e non oltre; – deve esserne garantita la sicurezza e la protezione da perdite, furti, distruzione accidentale;
  8. 8. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Liceità del trattamento (art. 6) ● Si può effettuare il trattamento solo se sussiste almeno una delle seguenti condizioni: 1) L’interessato ha fornito il consenso; 2) Il trattamento è necessario al contratto; 3) Il trattamento è necessario per obbligo legale del Titolare; 4) E’ necessario per salvaguardare gli interessi vitali; 5) Compito di interesse pubblico; 6) E’ necessario per il perseguimento del legittimo interesse del Titolare, a meno che non prevalgano interessi o diritti dell’interessato… specie nel caso di minori;
  9. 9. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Consenso e consenso dei minori (art. 7-8) ● Nel caso il trattamento sia basato sul consenso, questo deve essere dimostrabile. ● La richiesta di consenso deve essere chiaramente distinguibile. ● Il trattamento dei dati dei minori è lecito solo per >=16 anni. Gli Stati membri possono decidere per >=13.
  10. 10. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Dati personali vs dati sensibili e penali (art. 9-10) ● Dati PERSONALI il trattamento è consentito SOLO SE… ● Dati SENSIBILI [ovvero: dati riconducibili a razza, politica, religione, sindacati, genetica, dati biometrici, salute, vita sessuale, non si parla invece di dati sul reddito] il trattamento è VIETATO, a meno che si verifichi uno dei casi previsti dall’art.9 ● esplicito consenso; diritto del lavoro; tutela di interessi vitali; dati resi pubblici dall’interessato; interesse pubblico, sedi giudiziarie; ● e comunque sempre in presenza di misure appropriate...
  11. 11. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. I nuovi diritti dell’interessato (art.12-22) ● Il Regolamento stabilisce nuovi e innovativi diritti dell’interessato, non assoluti ma regolamentati uno ad uno: 1) - DIRITTO AD ESSERE INFORMATO; 2) - DIRITTO DI ACCESSO AI DATI; 3) - DIRITTO DI RETTIFICA; 4) - DIRITTO ALLA CANCELLAZIONE (ALL’OBLIO); 5) - DIRITTO ALLA LIMITAZIONE DEL TRATTAMENTO; 6) - DIRITTO ALLA PORTABILITA’ DEL DATO; 7) - DIRITTO DI OPPOSIZIONE AL TRATTAMENTO; 8) - DIRITTO DI OPPOSIZIONE A PROCESSI DECISIONALI AUTOMATIZZATI.
  12. 12. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. 1 – Diritto ad essere informato ● Il Titolare ha una serie di obblighi di trasparenza. Deve sempre garantire: – dati di contatto delle figure coinvolte, finalità e basi giuridiche del trattamento, i legittimi interessi perseguiti, eventuali destinatari dei dati (diversi dal Titolare), volontà di trasferimento all’estero; – Deve informare sul periodo di conservazione; – Deve informare sui nuovi diritti; di accesso, di revoca del consenso, di possibilità di reclamo. – Dell’esistenza di obblighi legali e di processi automatizzati di decisione.
  13. 13. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. 2 – Diritto all’accesso ● Il Titolare fornisce una copia dei dati personali oggetto del trattamento 3 – Diritto di rettifica ● In tempi ragionevoli, ovvero senza ingiustificato ritardo ● tutto gratuito, a meno che l’interessato faccia richieste infondate o eccessive
  14. 14. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. 4 – Diritto all’oblio ● Si può ottenere la cancellazione solo se i dati non sono più necessari, se viene revocato il consenso, se l’interessato si oppone, se c’è stato trattamento illecito ● Tale diritto NON SI APPLICA: per salvaguardare la libertà dell’informazione, per adempimento di obblighi legali, per interessi pubblici o scientifici nel settore sanitario, storico, statistico
  15. 15. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. 5 – Diritto di limitazione del trattamento ● E’ l’interruzione del trattamento qualora l’interessato abbia contestato o esercitato altri diritti sui propri dati. 6 – Diritto alla portabilità dei dati ● Solo se il trattamento è basato sul consenso e se il trattamento è basato sull’automazione; ● I dati esportati devono essere in un formato strutturato, di uso comune, leggibili da altro dispositivo automatico.
  16. 16. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. 7 – Diritto di opposizione ● In determinate condizioni, quando ad esempio i dati vengono trattati non per motivi legali, o per interessi pubblici, ci si può opporre al trattamento; ● L’articolo 21 cita espressamente i casi in cui i dati sono trattati per “marketing diretto” ● In tal caso, di fronte all’opposizione, si deve interrompere immediatamente il trattamento.
  17. 17. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Opposizione alla profilazione automatica ● E’ un caso particolare, che regolamenta quei servizi che vengono forniti in base alla profilazione operata da meccanismi automatici; ● L’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici ● Questo diritto è applicabile ad esempio alla navigazione personalizzata offerta da taluni siti web o di e-commerce.
  18. 18. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Limitazioni dei diritti (art. 23) ● I diritti degli interessati possono essere limitati dai singoli Stati dell’UE per ragioni di: – difesa, sicurezza nazionale; – indagini e prevenzione di reati, sanzioni penali; – rilevanti interessi pubblici, economico-finanziari di uno Stato; – salvaguardia dell’indipendenza della magistratura; – indagini sulle violazioni della deontologia delle professioni;
  19. 19. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Prime indicazioni pratiche ● Tutto molto bello, ma io, in azienda, cosa devo fare ???
  20. 20. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Stabilire le responsabilità: ● Il titolare del trattamento [data controller]: – p.fisica o giuridica o autorità pubblica che determina la finalità e i mezzi del trattamento dei dati personali; – mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato secondo il GDPR; – le misure includono l’attuazione di politiche adeguate in materia di protezione dei dati; – tratta solo i dati necessari;
  21. 21. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Privacy by Design (art.25) ● ovvero la protezione dei dati fin dalla progettazione e protezione, per impostazione predefinita ● Approccio volto a prevenire i rischi ● Privacy come “default” e inserita nella progettazione dei trattamenti e dei sistemi informativi ● Privacy deve essere integrata con la sicurezza ● Trattare sempre solo i dati necessari (minimizzazione) ● “Per impostazione predefinita non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica”
  22. 22. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il responsabile del trattamento ● Il Titolare può delegare uno o più responsabili, con contratto scritto che stabilisca: durata, natura, finalità, tipo di dati personali, categorie di interessati, obblighi e diritti del Titolare. ● Il Responsabile tratta i dati solo su “istruzione documentata” del titolare. ● deve essere autorizzato dal titolare per qualsiasi modifica ● viola il GDPR se determina autonomamente finalità e mezzi del trattamento; in tal caso è considerato un Titolare
  23. 23. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il Responsabile Protezione Dati (art. 37-39) ● RPD o DPO [data protection officer] è una figura di rilievo del nuovo Regolamento ● la nomina è obbligatoria se: – autorità e organismi pubblici, oppure; – attività principale consiste nel trattamento che richiede il monitoraggio regolare e sistematico degli interessati su larga scala, oppure; – attività principale consiste nel trattamento, su larga scala di dati sensibili (art.9) o penali (art.10)
  24. 24. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Compiti e poteri del DPO ● Requisiti: qualità professionali, conoscenza specialistica della normativa, prassi in materia di protezione dei dati, capacità di assolvere i compiti stabiliti ● Informa e fornisce consulenza; ● sorveglia; ● fornisce pareri sulla valutazione d’impatto; ● coopera con l’attività di controllo; ● funge da punto di contatto con autorità e interessati.
  25. 25. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Strumenti operativi ● Bene, ho stabilito CHI, adesso resta il COME...
  26. 26. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Gli strumenti previsti dal GPDR Adozione di codici di condotta o certificazioni Registri dei trattamenti Valutazione d’impatto Sicurezza dei trattamenti
  27. 27. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il registro dei trattamenti (art. 30) 1/2 ● Quando è obbligatoria la tenuta del registro ? – per aziende o enti con più di 250 dipendenti; – oppure, quando i trattamenti effettuati possano presentare un rischio per i diritti o le libertà dell’interessato; – oppure, quando il trattamento non sia occasionale; – oppure quando il trattamento includa dati sensibili o penali, di cui agli articoli 9/10 ● Il registro va tenuto in forma scritta, anche in formato elettronico.
  28. 28. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il registro dei trattamenti (art. 30) 2/2 ● Che informazioni vanno conservate nei registri ? – nomi e dati di contatto delle figure coinvolte; – finalità del trattamento; – descrizione delle categorie di interessati; – descrizione delle categorie di dati personali; – eventuali destinatari ai quali verranno comunicati i dati e se i dati verranno comunicati fuori UE; – ove possibile, i termini di scadenza/cancellazione; – ove possibile, le misure di sicurezza (tecniche e organizzative) adottate
  29. 29. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il nostro software GDPR Facile
  30. 30. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Sicurezza dei dati personali ● Le misure previste dall’art.32 prevedono la CIFRATURA, la PSEUDONIMIZZAZIONE ● la capacità di assicurare su base permanente la riservatezza dei dati; ● la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati; ● una procedura per testare l’efficacia delle misure tecniche ● in generale, misure atte a prevenire rischi di distruzione, perdita, modifica, divulgazione non autorizzata, accesso in modo accidentale o illegale
  31. 31. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Valutazione d’impatto (DPIA) ● Si effettua prima di procedere a trattamenti che prevedano l’uso di nuove tecnologie e in presenza di rischi elevati per le libertà degli interessati; ● è richiesta in caso di trattamenti su larga scala di dati penali, videosorveglianza, profilazione di grandi quantità di persone fisiche; ● e’ prevista la prossima emissione di casistiche obbligatorie;
  32. 32. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Il corretto percorso da intraprendere... INFORMARE START MODULO di CONTATTO CONSENSO SICUREZZA ANALISI SISTEMI INF. REGISTRO TRATT. ANALISI IMPATTO NOTIFICA DATA BREACH ACCORDI SCRITTI CON ALTRI RESPONSABILI GDPR
  33. 33. GDPR Awareness – Corso introduttivo al nuovo Regolamento Generale di Protezione dei Dati – Mag 2018 (c)2018MarcoMarcellini–Next2.0S.r.l. Verifica finale ● Un rapido quiz per verificare le conoscenze acquisite:

×