Regolamento e codice Privacy
Formazione per incaricati al trattamento dati - Durata modulo: 2 Ore
Formazione per incaricati al trattamento dati - Durata modulo: 2 Ore
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Formazione per incaricati<br />
al trattamento dati<br />
D.Lgs 196/03 | Reg. CE 2016/679<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
CONTENUTI DEL CORSO<br />
•<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong>, le normative<br />
in vigore<br />
•Novità e modifiche introdotte dal Reg. CE 2016/679;<br />
•Definizioni<br />
•Le Figure Aziendali Coinvolte nella Gestione <strong>Privacy</strong><br />
e loro doveri, nomine e Lettere di Incarico<br />
•L'Informativa e il Consenso<br />
•Diritti dell’interessato<br />
•Le Sanzioni Amministrative e Penali<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Il concetto di “<strong>Privacy</strong>” ha radici che<br />
affondano nel secolo scorso.<br />
In un saggio del 1890 pubblicato sulla<br />
Harward Law Review dal titolo “The right to<br />
privacy” (il diritto alla privacy) ad opera di due<br />
giovani avvocati, Samuel Warren e Louis<br />
Brandeis viene introdotto per la prima volta il<br />
concetto di “right to be let alone”, ovvero il<br />
diritto ad esser lasciati in pace, che il nostro<br />
impianto legale ha interiorizzato con lo “jus<br />
solitudinis”.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Dal 1890 in poi l’evoluzione tecnologica ha reso sempre più difficile la<br />
protezione della propria sfera privata, rendendo la tutela della privacy un<br />
argomento ogni giorno più presente nelle nostre vite.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
L’utilizzo di sistemi di ripresa e cattura delle immagini, anche<br />
automatizzati, la gestioni di dati in rete, la creazione di enormi<br />
database e il loro trattamento (Big Data), geolocalizzazione, IoT<br />
(internet of Things), profilazione, trattamento di dati biometrici<br />
sono ad oggi la nuova frontiera nella protezione dei dati.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
A raccogliere dati non sono solo i privati (singoli o<br />
aziende), ma anche le pubbliche amministrazioni (si<br />
pensi al settore sanitario).<br />
Alle volte è possibile che i dati che vengono trattati,<br />
sia da soggetti pubblici che privati, possano essere<br />
raccolti dagli stessi o comunicati da terzi, sulla base<br />
delle necessità del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Per mettere dei paletti in questa giungla di<br />
informazioni, ma soprattutto per tutelare gli interessati i<br />
vari Stati hanno cercato di porre delle regole.<br />
Stati come la Svezia e la Germania (per citarne alcuni)<br />
hanno emesso le loro prime norme nei primi anni ’70.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
In Italia la Costituzione prevede intrinsicamente il concetto di <strong>Privacy</strong>, lo si può<br />
vedere ad esempio negli artt. 14 e 15.<br />
Art. 14: Inviolabilità del domicilio<br />
Art. 15: Segretezza della corrispondenza<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Articolo 14 – Costituzione Italiana – Inviolabilità del domicilio<br />
Il domicilio è inviolabile.<br />
Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi<br />
e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della<br />
libertà personale.<br />
Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a<br />
fini economici e fiscali sono regolati da leggi speciali.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Articolo 15 – Costituzione Italiana – Segretezza della corrispondenza<br />
La libertà e la segretezza della corrispondenza e di ogni altra forma di<br />
comunicazione sono inviolabili.<br />
La loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria<br />
con le garanzie stabilite dalla legge.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
L’Europa si è espressa per la<br />
prima volta in materia di privacy<br />
nel 1985, dove con l’entrata in<br />
vigore del trattato di Schengen<br />
si rendeva possibile la libera<br />
circolazione tra i paesi firmatari<br />
di persone e informazioni, se e<br />
solo se gli Stati firmatari<br />
potevano garantire un adeguato<br />
livello di protezione per gli stessi.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Nel 1995 è stata emanata la Direttiva Europea 95/46/CE del parlamento<br />
europeo e del consiglio datata 24 ottobre 1995, relativa alla tutela delle<br />
persone fisiche con riguardo al trattamento dei dati personali, nonché alla<br />
libera circolazione di tali dati.<br />
La direttiva in quanto tale non era automaticamente attuabile, ma necessitava<br />
di recepimento e trasformazione in legge da parte degli Stati membri entro un<br />
periodo massimo di 3 anni.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
In Italia la Direttiva 95/46/CE è stata recepita l’anno successivo mediante il<br />
testo di legge 679/96 "Tutela delle persone e di altri soggetti rispetto al<br />
trattamento dei dati personali”.<br />
Si tratta della prima vera legge Nazionale a trattare la materia <strong>Privacy</strong> e<br />
sicurezza dei dati.<br />
Il comma 1 dell’art 1 citava:<br />
“La presente legge garantisce che il trattamento dei dati personali si svolga nel<br />
rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone<br />
fisiche, con particolare riferimento alla riservatezza e all'identità personale;<br />
garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o<br />
associazione.”<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Le normative in vigore<br />
Nel 2003 la legge 675/96 viene abrogata dal Decreto Legislativo 196/03<br />
Codice in materia di protezione dei dati personali, più conosciuto come “Codice<br />
della <strong>Privacy</strong>”.<br />
Il <strong>codice</strong> prevedeva una serie di adempimenti che dovevano essere assolti da<br />
qualunque realtà operassi con dati personali, sensibili o giudiziari<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
Il 4 maggio 2016 è stato approvato un nuovo pacchetto per la protezione dei<br />
dati, mediante il <strong>Regolamento</strong> Europeo 2016/679.<br />
Lo scopo del <strong>Regolamento</strong> è quello di definire un quadro comune sulla tutela<br />
dei dati all’interno della Comunità Europea.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
Un regolamento differisce da una direttiva per una serie di motivi, ma<br />
soprattutto per la sua applicabilità.<br />
Una direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il<br />
risultato da raggiungere, salva restando la competenza degli organi nazionali in<br />
merito alla forma e ai mezzi.<br />
Un regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi<br />
e direttamente applicabile in ciascuno degli Stati membri.<br />
<strong>Regolamento</strong><br />
Direttiva<br />
VS<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
Il <strong>Regolamento</strong> Europeo per la protezione dei dati è quindi automaticamente<br />
applicabile, viene dato un termine di un anno (25 maggio 2018) dalla sua<br />
emanazione prima dell’entrata in vigore.<br />
Il <strong>Regolamento</strong> CE 2016/679 abolisce la direttiva 95/46/CE, ma si integra<br />
(per quanto concerne la normativa Nazionale) con il D.lgs. 196/03.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
Il Reg CE 2016/679 si applica esclusivamente al trattamento di dati:<br />
• Personali di persone fisiche<br />
• Automatizzati<br />
• Non Automatizzati<br />
• Destinati a diventar parte di un archivio<br />
• Contenuti all’interno di un archivio<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
• Al trattamento di dati personali effettuato da un Titolare o<br />
Responsabile stabilito nella UE, indipendentemente dal fatto<br />
che il trattamento sia effettuato o meno all’interno dei confini<br />
dell’Unione Europea.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
• Al trattamento di dati personali effettuato da Titolari o<br />
Responsabili non stabiliti nell’UE, indipendentemente dal<br />
fatto che il trattamento sia effettuato o meno nell'Unione.<br />
Qualora il trattamento avesse ad oggetto dati personali di<br />
interessati che si trovano nella UE e riguardasse l’offerta di<br />
beni o servizi (anche non a pagamento) ai suddetti interessati<br />
oppure il monitoraggio del loro comportamento nel territorio<br />
della UE. Come ad esempio Call Center e attività<br />
promozionali.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
• Al trattamento effettuato da un Titolare stabilito in uno Stato<br />
extra UE, ma soggetto al diritto di uno Stato UE in virtù del<br />
diritto internazionale pubblico.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
<strong>Regolamento</strong> CE 2016/679<br />
Il Reg CE 2016/679 non trova applicazione in caso di di trattamenti<br />
personali effettuati da:<br />
• Persone fisiche per l’esercizio di attività di carattere esclusivamente<br />
personale o domestico<br />
• Da autorità di pubblica sicurezza<br />
• Per tutte le attività che non rientrano nell’ambito di applicazione del<br />
diritto dell’Unione Europea<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
Il nuovo <strong>Regolamento</strong> Europeo per la protezione dei dati personali<br />
ha provveduto a modificare alcuni aspetti introdotti con il D.lgs<br />
196/03, in particolare:<br />
• Alcune definizioni<br />
• Nuove specificazione dei ruoli per Titolari e Responsabili del<br />
trattamento<br />
• Informativa all’interessato<br />
• Consenso dell’interessato<br />
• Specificazione dei diritti<br />
• Inasprimento delle sanzioni<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
Sono state introdotte anche diverse novità, quali:<br />
• Estensione dell’ambito territoriale<br />
• Introduzione di nuove definizioni<br />
• Figura del Data Protection Officer<br />
• Registro dei Trattamenti<br />
• Valutazione preventiva d’impatto<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
… ed anche:<br />
• La notifica delle falle di sicurezza (data breach)<br />
• <strong>Privacy</strong> by design<br />
• <strong>Privacy</strong> by default<br />
• Diritto all’oblio<br />
• Portabilità dei dati<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
<strong>Regolamento</strong> Europeo e Codice <strong>Privacy</strong><br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
… e ancora:<br />
• Valutazione d’impatto e adozione di misure tecnico-organizzative<br />
adeguate<br />
• Certificazione dei trattamenti<br />
• Responsabilità solidale di Titolare e Responsabile<br />
• Accountability<br />
• Sanzioni<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Con l’entrata in vigore del Reg.CE 2016/679 le definizioni che verranno<br />
utilizzate nel prosieguo del corso saranno le seguenti:<br />
• Dati personali<br />
• Dati inerenti la salute<br />
• Dati genetici<br />
• Dati biometrici<br />
• Consenso<br />
• Pseudonomizzazione<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Dato personale<br />
È un dato personale qualsiasi informazione riguardante una persona fisica<br />
identificata o identificabile.<br />
Si considera identificabile la persona fisica che può essere identificata,<br />
direttamente o indirettamente, con particolare riferimento a un identificativo<br />
come il nome, un numero di identificazione, dati relativi all'ubicazione, un<br />
identificativo online o a uno o più elementi caratteristici della sua identità fisica,<br />
fisiologica, genetica, psichica, economica, culturale o sociale.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Dato sensibile [vecchia definizione]<br />
La vecchia definizione indicava come dato sensibile qualunque dato che può<br />
rivelare:<br />
• origine razziale<br />
• appartenenza etnica<br />
• convinzioni religiose o di altra natura<br />
• opinioni politiche<br />
• appartenenza a partiti o sindacati<br />
• stato di salute e la vita sessuale.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Dato sensibile [nuova definizione]<br />
Ad oggi si preferisce parlare categorie particolari di dati personali, ovvero dati<br />
personali che rivelino:<br />
• origine razziale o etnica<br />
• opinioni politiche<br />
• convinzioni religiose o filosofiche<br />
• appartenenza sindacale<br />
• dati genetici<br />
• dati biometrici intesi a identificare in modo univoco una persona fisica<br />
• dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della<br />
persona<br />
I dati Biometrici e Genetici rappresentano una novità rispetto al “Codice <strong>Privacy</strong>”<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Dati inerenti alla salute<br />
Sono i dati personali relativi alla salute (sia essa fisica o mentale) di un<br />
interessato, tra questi dati rientrano anche la prestazione di servizi di assistenza<br />
o sanitari, che possono rivelare, anche indirettamente, informazioni circa lo stato<br />
di salute dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Dati genetici<br />
Sono i dati personali inerenti le caratteristiche genetiche (siano esse ereditarie o<br />
acquisite) di un interessato.<br />
Questi dati possono fornire informazioni univoche sulla fisiologia o sulla salute<br />
del soggetto. La loro raccolta può avvenire dall’analisi di un campione biologico<br />
dell’interessato. I dati genetici si riferiscono esclusivamente alle persone fisiche.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Dati biometrici<br />
Sono i dati personali ottenuti<br />
tramite trattamento tecnico relativi<br />
alle caratteristiche fisiche,<br />
fisiologiche o comportamentali di<br />
un interessato che ne consentono o<br />
confermano l’identificazione<br />
univoca, quali l’immagine facciale o<br />
i dati dattiloscopici (impronte<br />
digitali).<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
App-rova di privacy<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Trattamento dei dati personali<br />
È considerato “trattamento” qualsiasi operazione o insieme di operazioni,<br />
compiute con o senza l'ausilio di processi automatizzati e applicate a dati<br />
personali o insiemi di dati personali, come la raccolta, la registrazione,<br />
l'organizzazione, la strutturazione, la conservazione, l'adattamento o la<br />
modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante<br />
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il<br />
raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Trattamento dei dati particolari<br />
Il trattamento dei dati particolari è solitamente vietato, salvo alcune eccezioni<br />
quali:<br />
• Consenso manifesto da parte dell’interessato;<br />
• Trattamento necessario per assolvere obblighi o per esercitare diritti in<br />
materia di lavoro;<br />
• Per scopi di pubblica sicurezza o esercizio di un diritto in sede giudiziaria;<br />
• Nel caso in cui i dati siano stati manifestamente resi pubblici dall’interessato<br />
stesso.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Titolare del trattamento<br />
Viene definita titolare del trattamento la persona fisica o<br />
giuridica, l'autorità pubblica, il servizio o altro organismo<br />
che, singolarmente o insieme ad altri, determina le finalità<br />
e i mezzi del trattamento di dati personali.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Responsabile del trattamento<br />
Responsabile del trattamento dei dati<br />
personali è la persona fisica o giuridica,<br />
l'autorità pubblica, il servizio o altro<br />
organismo che tratta dati personali per<br />
conto del titolare del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Incaricato del trattamento<br />
È la persona fisica autorizzata a<br />
compiere le operazioni di trattamento dal<br />
titolare o dal responsabile<br />
Le operazioni di trattamento possono<br />
essere compiute solo da soggetti<br />
nominati incaricati.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Interessato<br />
La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i<br />
dati. È il soggetto passivo del trattamento, ma che può, in determinati casi,<br />
modificarne completamente l’esito sulla base dei propri diritti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Terzo<br />
Si tratta di una definizione modificata dal nuovo<br />
regolamento. Viene considerato “terzo” la persona fisica<br />
o giuridica, l'autorità pubblica, il servizio o altro<br />
organismo che non sia:<br />
• l’interessato<br />
• il titolare del trattamento<br />
• il responsabile del trattamento<br />
• una delle persone autorizzate al trattamento dei dati<br />
personali sotto l’autorità diretta del titolare o del<br />
responsabile.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Informativa<br />
Un documento o una comunicazione verbale contenente le informazioni che il<br />
titolare del trattamento deve fornire all’interessato per chiarire, in particolare, se<br />
quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le<br />
modalità del trattamento, come circolano i dati e in che modo esercitare i<br />
diritti riconosciuti dalla legge.<br />
Il nuovo <strong>Regolamento</strong> Europeo stabilisce<br />
delle linee guida su come debba essere<br />
redatta l’informativa in caso di dati raccolti<br />
presso l’interessato o presso un soggetto<br />
terzo.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Consenso<br />
È la manifestazione di volontà libera, specifica,<br />
informata e inequivocabile dell'interessato, con<br />
la quale manifesta il proprio assenso, mediante<br />
dichiarazione o azione positiva inequivocabile,<br />
che i dati personali che lo riguardano siano<br />
oggetto di trattamento.<br />
Può essere scritta o “digitale”,<br />
mediante il proseguimento della<br />
navigazione su di un sito web.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Pseudonimizzazione<br />
È il trattamento di dati personali in modo tale che gli stessi non possano più<br />
essere attribuiti a un interessato specifico senza l’utilizzo di informazioni<br />
aggiuntive, a condizione che tali informazioni aggiuntive siano conservate<br />
separatamente e soggette a misure tecniche e organizzative intese a garantire<br />
che tali dati personali non siano attribuiti a una persona fisica identificata o<br />
identificabile.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Garante della privacy<br />
Il Garante della privacy è l’autorità indipendente composta<br />
da quattro membri eletti dal Parlamento.<br />
È stata istituita per la tutela dei diritti, delle libertà<br />
fondamentali e della dignità delle persone rispetto al<br />
trattamento dei dati personali.<br />
Controlla se il trattamento di dati personali da parte di privati<br />
e pubbliche amministrazioni è lecito e corretto.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Garante della privacy<br />
• Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su<br />
richiesta del cittadino, esegue ispezioni e verifiche.<br />
• Prescrive modifiche necessarie od opportune per far adeguare i trattamenti<br />
alla disciplina vigente.<br />
• Segnala al Parlamento e al Governo l’opportunità di interventi normativi per<br />
tutelare gli interessati.<br />
• Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni<br />
pubbliche.<br />
• Presenta al Parlamento e al Governo una relazione annuale sullo stato di<br />
attuazione della normativa che regola la materia.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
DPO - Data Protection Officer<br />
Figura nuova introdotta dal <strong>Regolamento</strong><br />
2016/679.<br />
Si tratta di un professionista con esperienza<br />
nel campo della protezione dei dati<br />
personali che presta la propria opera<br />
affiancando il titolare del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
<strong>Privacy</strong> by Default<br />
Si intende con “privacy by default” l’adozione di una<br />
politica aziendale o amministrativa interna che tuteli la<br />
diffusione dei dati raccolti in occasione di registrazioni a<br />
servizi telematici o della stipula di contratti etc.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
<strong>Privacy</strong> by Design<br />
Con questo principio si intende l’incorporazione<br />
della privacy a partire dalla progettazione di un<br />
processo aziendale (comprese le applicazioni<br />
informatiche di supporto).<br />
La <strong>Privacy</strong> by design implica la messa in atto di<br />
determinati meccanismi atti a garantire il<br />
trattamento esclusivo di dati personali necessari<br />
per quella specifica progettazione.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Definizioni<br />
Accountability<br />
Responsabilità incondizionata, formale o non, in capo a uno<br />
o più soggetti (accountors), del risultato conseguito da<br />
un’organizzazione , sulla base delle proprie capacità, abilità ed<br />
etica.<br />
Il titolare del trattamento deve essere in grado di<br />
dimostrare di avere adottato un processo<br />
complessivo di misure giuridiche, organizzative,<br />
tecniche, per la protezione dei dati personali, anche<br />
attraverso l’elaborazione di specifici modelli<br />
organizzativi: deve dimostrare in modo positivo e<br />
proattivo che i trattamenti di dati effettuati sono<br />
adeguati e conformi al regolamento europeo in<br />
materia di privacy.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Gestione della privacy<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
La gestione dei dati all’interno di un’azienda è un processo che vede diversi<br />
attori:<br />
• Titolare del trattamento dati<br />
• Contitolare del trattamento<br />
• Responsabile interno del trattamento<br />
• Responsabile esterno del trattamento<br />
• Incaricato al trattamento<br />
• Data Protection Officer<br />
• Interessato<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Titolare del trattamento dati<br />
Definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro<br />
organismo che, singolarmente o insieme ad altri, determina le finalità e i<br />
mezzi del trattamento di dati personali.<br />
Nel caso i cui si tratti di un’impresa individuale il titolare del trattamento<br />
coinciderà con la persona fisica titolare dell’azienda.<br />
Se l’azienda è una persona giuridica il titolare è l’azienda nel suo complesso e<br />
non una persona fisica al suo interno.<br />
In caso di s.r.l. o altra forma di azienda come persona giuridica, opererà<br />
attraverso un sistema di deleghe e, in caso di necessità, sarà rappresentato dal<br />
rappresentante legale.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Titolare del trattamento dati<br />
Riassumendo, il titolare<br />
• Può essere una persona fisica o giuridica<br />
• Non necessità di nomine in quanto automaticamente identificato<br />
• Ha su di se tutti gli obblighi di adeguamento imposti dalla legge<br />
• Cadono su di lui eventuali colpe derivate da un trattamento non corretto<br />
• Deve dare prova di supervisione degli aspetti privacy della propria azienda,<br />
anche mediante la conduzione di verifiche periodiche (audit), in assenza di<br />
essi ricadrebbe nel caso di “culpa in vigilando”<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Contitolare del trattamento dati<br />
Nel caso in cui due o più titolari<br />
determinano congiuntamente le finalità e<br />
i mezzi del trattamento vengono<br />
considerati contitolari del trattamento.<br />
Devono determinare in modo trasparente,<br />
anche mediante un accordo interno, le<br />
rispettive responsabilità soprattutto in<br />
merito all'esercizio dei diritti<br />
dell'interessato e le rispettive funzioni di<br />
comunicazione delle informazioni.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Contitolare del trattamento dati<br />
L’accordo può designare un punto di contatto per gli interessati e riflette<br />
adeguatamente i rispettivi ruoli e rapporti dei contitolari con gli interessati.<br />
Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.<br />
Indipendentemente dalle disposizioni dell’accordo, l’interessato può esercitare i<br />
propri diritti nei confronti di e contro ciascun titolare del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile del trattamento<br />
Il <strong>Regolamento</strong> CE 2016/679 prevede una doppia figura per quanto riguarda il<br />
responsabile del trattamento:<br />
• Responsabile interno del trattamento<br />
• Responsabile esterno del trattamento<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile interno del trattamento<br />
è il soggetto designato dal Titolare che, per esperienza,<br />
capacità ed affidabilità, fornisce idonea garanzia del pieno<br />
rispetto delle vigenti disposizioni in materia di trattamento<br />
di dati personali, compreso il profilo relativo alla sicurezza.<br />
La designazione del Responsabile avviene tramite<br />
nomina scritta ed accettazione da parte dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
È definito “Responsabile esterno del trattamento” la<br />
persona fisica, giuridica, la pubblica amministrazione e<br />
qualsiasi altro ente, associazione od organismo, esterno<br />
all’azienda del Titolare, che, previa designazione formale<br />
del Responsabile “interno” del trattamento, assume (su<br />
delega di quest’ultimo) poteri decisionali su un<br />
determinato trattamento e deve attenersi, nelle<br />
operazioni svolte, alle istruzioni ricevute.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
L’outsourcer deve poter dimostrare di avere le<br />
caratteristiche (morali e tecniche) necessarie al corretto<br />
adempimento del proprio compito.<br />
Qualora ne fosse sprovvisto il titolare potrebbe venire<br />
accusato di “culpa in eligendo”, ovvero di aver scelto una<br />
persona non adeguata allo svolgimento del compito.<br />
L’outsourcer deve essere nominato mediante un contratto<br />
scritto (lettera di nomina) sottoscritto per accettazione.<br />
Il contratto dovrà prevedere una serie di vincoli prestabiliti,<br />
elencati nell’art.28 del nuovo <strong>Regolamento</strong> Europeo.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
Punti trattati nell’incarico del RTD esterno:<br />
• Materia disciplinata<br />
• Durata del trattamento<br />
• Natura e finalità del trattamento<br />
• Tipo di dati personali<br />
• Categorie di interessati<br />
• Obblighi e diritti del responsabile del trattamento<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
Il contratto tra titolare e responsabile deve prevedere<br />
che il responsabile:<br />
• tratti i dati personali soltanto su istruzione documentata<br />
del titolare del trattamento<br />
• garantisca che le persone autorizzate al trattamento dei<br />
dati personali si siano impegnate alla riservatezza o<br />
abbiano un adeguato obbligo statutario di riservatezza<br />
• adotti tutte le misure (di sicurezza) richieste ai sensi<br />
dell'articolo 32<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
Il contratto tra titolare e responsabile deve prevedere<br />
che il responsabile:<br />
• rispetti le condizioni per ricorrere a un altro responsabile<br />
del trattamento<br />
• assista il titolare del trattamento con misure tecniche ed<br />
organizzative adeguate al fine di soddisfare l'obbligo del<br />
titolare del trattamento di dare seguito alle richieste per<br />
l'esercizio dei diritti dell’interessato<br />
• assista il titolare del trattamento nel garantire il rispetto<br />
degli obblighi di cui agli articoli da 32 a 36 (sicurezza;<br />
data breaches; DPIA; prior checking), tenendo conto<br />
della natura del trattamento e delle informazioni a<br />
disposizione del responsabile del trattamento<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
Il contratto tra titolare e responsabile deve prevedere<br />
che il responsabile:<br />
• su scelta del titolare del trattamento, cancelli o gli<br />
restituisca tutti i dati personali dopo che è terminata la<br />
prestazione dei servizi di trattamento di dati e cancelli le<br />
copie esistenti<br />
• metta a disposizione del titolare del trattamento tutte le<br />
informazioni necessarie per dimostrare il rispetto degli<br />
obblighi di cui al presente articolo e consenta e<br />
contribuisca agli audit, comprese le ispezioni, realizzati<br />
dal titolare del trattamento o da un altro soggetto da<br />
questi incaricato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Responsabile esterno del trattamento (outsourcer)<br />
Sono considerati “responsabili esterni al trattamento” (in via di esempio non<br />
esaustivo)<br />
• Consulente del lavoro<br />
• Società di marketing<br />
• Gestione esterna del sistema informativo<br />
• Etc.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Incaricato del trattamento<br />
L’art.4 del Reg 2016/679 (definizioni) non prevede<br />
formalmente la figura dell’incaricato al trattamento,<br />
ma è possibile desumere la sua esistenza dall’art.<br />
29 del regolamento stesso e viene definito come<br />
“la persona fisica che ha accesso ai dati personali<br />
e agisce sotto l’autorità del Titolare o del<br />
Responsabile del trattamento”.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
Incaricato del trattamento<br />
Riepilogando l’incaricato al trattamento<br />
• Può essere solo una persona fisica<br />
• Deve essere individuato mediante lettera<br />
d’incarico o assegnazione ad una mansione<br />
che prevede il trattamento di dati personali<br />
• Ha accesso ai soli dati necessari allo<br />
svolgimento della propria mansione<br />
• Non ha compiti aggiuntivi a quelli di lavoratore<br />
ordinario<br />
• Deve essere formato (obbligatoriamente)<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
DPO (Data Protection Officer)<br />
Si tratta di una figura non obbligatoria<br />
indistintamente in tutte le realtà aziendali, ma<br />
solo in specifiche tipologie di aziende.<br />
Il Data Protection Officer sarà una figura<br />
professionale con particolari competenze in<br />
campo informatico, giuridico, di valutazione<br />
del rischio e di analisi dei processi.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
DPO (Data Protection Officer)<br />
Il compito principale del DPO è<br />
l’osservazione, la valutazione e la gestione<br />
del trattamento dei dati personali allo scopo<br />
di far rispettare le normative europee e<br />
nazionali in materia di privacy.<br />
L’articolo 37 del <strong>Regolamento</strong> non specifica<br />
quali debbano essere le qualità professionali<br />
necessarie a rivestire la figura del DPO. Si<br />
evince però che il soggetto prescelto debba<br />
possedere comprovata esperienza sulla<br />
legislazione relativa alla protezione dei dati<br />
personali sia nazionale che europea, sulle<br />
prassi oltre che una approfondita<br />
conoscenza del <strong>Regolamento</strong>.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
DPO (Data Protection Officer)<br />
Nel caso, poi, di un ente pubblico o di un<br />
organismo pubblico, il DPO dovrebbe anche<br />
avere una buona conoscenza delle regole e<br />
delle procedure dell’organizzazione<br />
amministrativa.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
DPO (Data Protection Officer)<br />
La figura del DPO è obbligatoria nei seguenti<br />
casi:<br />
• Pubbliche amministrazioni<br />
• Enti pubblici<br />
• Soggetti la cui attività principale consiste<br />
nel controllo regolare e sistematico degli<br />
interessati<br />
• Soggetti la cui attività principale consiste<br />
nel trattamento su larga scala di dati<br />
sanitari, di salute, biometrici o genetici<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
DPO (Data Protection Officer)<br />
Il DPO può essere nominato anche in realtà<br />
nelle quali non è obbligatorio per legge, in tal<br />
caso può assumere il ruolo di Responsabile<br />
del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Figure aziendali coinvolte nella gestione privacy<br />
DPO (Data Protection Officer)<br />
Riassumendo il DPO<br />
• Può essere una figura interna o esterna;<br />
• È possibile nominarne uno “di gruppo” tra<br />
più aziende operanti nello stesso settore<br />
• Deve possedere competenza e<br />
professionalità<br />
• Deve essere dotato di risorse umane e<br />
finanziarie adeguate<br />
• Esegue i compiti previsti dalla legge in<br />
merito a verifiche, consulenza e<br />
formazione<br />
• Funge da interfaccia per interessati e<br />
autorità di controllo<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Il Titolare deve garantire all’interessato i seguenti diritti minimi:<br />
• Diritto all’informativa<br />
• Diritto di consenso<br />
• Diritto di controllo dei dati<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
L’informativa, basata sul principio di trasparenza, è una dichiarazione che il<br />
Titolare rilascia all’Interessato con lo scopo di:<br />
• Far conoscere le intenzioni dei Titolare prima di fornire i propri dati<br />
• Permettere di valutare le eventuali conseguenze della raccolta dati<br />
• Decidere se accettare o rifiutare il trattamento<br />
• Conoscere i propri diritti ed essere informato su come potrà controllare in<br />
seguito i propri dati<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Il Titolare è tenuto (obbligato) a fornire un’informativa in ogni caso, anche<br />
quando, per varie ragioni, non è richiesto il consenso dell’interessato per poter<br />
effettuare il trattamento dei dati.<br />
L’informativa può non essere consegnata in 3 casi:<br />
• Caso in cui l’interessato è già a conoscenza delle informazioni riportatevi<br />
• Se informare l’interessato sia impossibile<br />
• Se informare l’interessato richiederebbe uno sforzo abnorme<br />
Nell’ultimo caso il Titolare potrà ricorrere ad altri metodi, come ad esempio la<br />
pubblicazione su di un quotidiano.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
L’informativa va consegnata all’interessato in un momento antecedente la<br />
raccolta stessa, o tutt’al più in concomitanza della stessa qualora la raccolta dei<br />
dati avvenga presso l’interessato stesso.<br />
Se i dati verranno raccolti presso terzi il Titolare dovrà fornire l’informativa<br />
all’interessato entro un tempo massimo di 1 mese.<br />
Non è necessario procedere alla consegna di una nuova informativa ad ogni<br />
raccolta, se non sono variate le tecniche di raccolta e gestione dei dati, le<br />
finalità e le figure della privacy allora l’informativa potrà esser consegna una<br />
tantum.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Una novità introdotta dal <strong>Regolamento</strong> 2016/679 è data dall’obbligo di fornire<br />
un’informatica che sia:<br />
• Chiara<br />
• Concisa<br />
• Volendo anche con rappresentazioni grafiche ad icone onde superare le<br />
barriere linguistiche, anche attraverso l’uso di icone<br />
L’informativa può essere fornita in forma:<br />
• scritta su supporto cartaceo;<br />
• scritta in formato digitale (come durante le navigazioni su di un sito web);<br />
• orale, ma solo se si dimostra di poter comprovare con altri mezzi l’identità<br />
dell’interessato. Al titolare spetta l’onere della prova di aver fornito le<br />
informazioni nei tempi e modi previsti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Non potrà essere considerata valida un’informativa troppo generica.<br />
Il contenuto dovrà essere conforme a quanto previsto dal regolamento<br />
2016/679, che all’art.13 specifica le informazione da fornire quando i dati sono<br />
raccolti presso l’interessato e all’art.14 quando i dati sono raccolti presso terzi.<br />
In caso di raccolta di dati presso l’interessato il Titolare dovrà fornire:<br />
• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />
suo rappresentante;<br />
• i dati di contatto del responsabile della protezione dei dati, ove applicabile;<br />
• le finalità del trattamento cui sono destinati i dati personali nonché la base<br />
giuridica del trattamento;<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
• qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f i legittimi<br />
interessi perseguiti dal titolare del trattamento o da terzi<br />
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati<br />
personali<br />
• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati<br />
personali a un paese terzo o a un'organizzazione internazionale e l'esistenza<br />
o l'assenza di una decisione di adeguatezza della Commissione o, nel caso<br />
dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il<br />
riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una<br />
copia di tali dati o il luogo dove sono stati resi disponibili.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
In aggiunta alle informazioni appena analizzate, nel momento in cui i dati<br />
personali sono ottenuti, il titolare del trattamento deve fornire all'interessato<br />
le seguenti ulteriori informazioni necessarie per garantire un trattamento<br />
corretto e trasparente:<br />
• il periodo di conservazione dei dati personali oppure, se non è possibile, i<br />
criteri utilizzati per determinare tale periodo<br />
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento<br />
l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la<br />
limitazione del trattamento che lo riguardano o di opporsi al loro trattamento,<br />
oltre al diritto alla portabilità dei dati<br />
• qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure<br />
sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il<br />
consenso in qualsiasi momento senza pregiudicare la liceità del trattamento<br />
basata sul consenso prestato prima della revoca<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
• il diritto di proporre reclamo a un'autorità di controllo;<br />
• se la comunicazione di dati personali è un obbligo legale o contrattuale<br />
oppure un requisito necessario per la conclusione di un contratto, e se<br />
l'interessato ha l'obbligo di fornire i dati personali nonché le possibili<br />
conseguenze della mancata comunicazione di tali dati;<br />
• l'esistenza di un processo decisionale automatizzato, compresa la<br />
profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi,<br />
informazioni significative sulla logica utilizzata, nonché l'importanza e le<br />
conseguenze previste di tale trattamento per l'interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Dati da fornire in caso di raccolta dati effettuata presso un terzo (art. 14<br />
2016/679):<br />
• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />
suo rappresentante<br />
• i dati di contatto del responsabile della protezione dei dati, ove applicabile<br />
• le finalità del trattamento cui sono destinati i dati personali nonché la base<br />
giuridica del trattamento<br />
• le categorie di dati personali in questione<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Dati da fornire in caso di raccolta dati effettuata presso un terzo (art. 14<br />
2016/679):<br />
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali<br />
• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati<br />
personali a un destinatario in un paese terzo o a un'organizzazione<br />
internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della<br />
Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o<br />
all'articolo 49, secondo comma, il riferimento alle garanzie adeguate o<br />
opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono<br />
stati resi disponibili<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce<br />
all'interessato le seguenti informazioni necessarie per garantire un trattamento<br />
corretto e trasparente nei confronti dell'interessato:<br />
• periodo di conservazione dei dati personali oppure, se non è possibile, i criteri<br />
utilizzati per determinare tale periodo<br />
• qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi<br />
interessi perseguiti dal titolare del trattamento o da terzi<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce<br />
all'interessato le seguenti informazioni necessarie per garantire un trattamento<br />
corretto e trasparente nei confronti dell'interessato:<br />
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento<br />
l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la<br />
limitazione del trattamento dei dati personali che lo riguardano e di opporsi al<br />
loro trattamento, oltre al diritto alla portabilità dei dati<br />
• qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure<br />
sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il<br />
consenso in qualsiasi momento senza pregiudicare la liceità del trattamento<br />
basata sul consenso prima della revoca<br />
• il diritto di proporre reclamo a un'autorità di controllo<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce<br />
all'interessato le seguenti informazioni necessarie per garantire un trattamento<br />
corretto e trasparente nei confronti dell'interessato:<br />
• la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i<br />
dati provengano da fonti accessibili al pubblico<br />
• l'esistenza di un processo decisionale automatizzato, compresa la<br />
profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi,<br />
informazioni significative sulla logica utilizzata, nonché l'importanza e le<br />
conseguenze previste di tale trattamento per l'interessato<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Condizioni di liceità<br />
Il titolare, per poter trattare senza ulteriori problemi i dati raccolti deve, dopo<br />
aver consegnato l’informativa all’interessato, valutare che sussista almeno una<br />
delle condizioni di liceità del trattamento.<br />
Si intende per “condizione di liceità” quella condizione che rende legittimo il<br />
trattamento dei dati. È possibile avere un elenco analizzando l’articolo 6 del<br />
regolamento europeo.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Condizioni di liceità<br />
Sono considerate condizioni valide:<br />
• l'interessato ha espresso il consenso al trattamento dei propri dati personali<br />
per una o più specifiche finalità<br />
• il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è<br />
parte o all'esecuzione di misure precontrattuali adottate su richiesta dello<br />
stesso<br />
• il trattamento è necessario per adempiere un obbligo legale al quale è<br />
soggetto il titolare del trattamento<br />
• il trattamento è necessario per la salvaguardia degli interessi vitali<br />
dell'interessato o di un'altra persona fisica<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Condizioni di liceità<br />
Sono considerate condizioni valide:<br />
• il trattamento è necessario per l'esecuzione di un compito di interesse<br />
pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare<br />
del trattamento<br />
• il trattamento è necessario per il perseguimento del legittimo interesse del<br />
titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi<br />
o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione<br />
dei dati personali, in particolare se l'interessato è un minore<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Consenso<br />
Se non è possibile applicare una<br />
delle condizioni di liceità viste in<br />
precedenza il titolare deve<br />
necessariamente ottenere il<br />
consenso al trattamento dei dati<br />
da parte dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Consenso<br />
Per essere valido il consenso deve essere:<br />
• Informato<br />
• Specifico<br />
• Libero<br />
• Consapevole<br />
• Non equivocabile<br />
In caso di differenti trattamenti evidenziati nell’informativa è necessario dare<br />
all’interessato la possibilità di manifestare un consenso separato per ciascun<br />
trattamento. Qualora il consenso sia rilasciato verbalmente è necessario che sia<br />
certificato su di un documento redatto dall’incaricato che lo ha raccolto.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Consenso per fini commerciali<br />
Qualora il titolare volesse utilizzare i dati raccolti<br />
dall’interessato per fini commerciali, ovvero per<br />
l’invio di materiale pubblicitario, per contattarlo<br />
telefonicamente, via sms, e mail o altri canali<br />
ritenuti idonei, dovrà ottenere un consenso<br />
specifico.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Approfondimento: Cookie e <strong>Privacy</strong><br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
I diritti dell’interessato<br />
L’interessato ha il diritto di poter agire, anche in seguito a rilascio del consenso,<br />
sui dati forniti ad un Titolare.<br />
Le operazioni di modifica, cancellazione, oppure la richiesta di esistenza dei dati<br />
stessi non devono comportare un costo per l’interessato, ma il titolare deve<br />
identificare l’interessato prima di procedere.<br />
Il <strong>Regolamento</strong> CE 2016/679 riporta quali sono i diritti dell’interessato negli<br />
articoli da 15 a 22.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
I diritti dell’interessato<br />
Il titolare ha l’obbligo di procedere secondo le richieste dell’interessato entro un<br />
periodo massimo di 30 giorni, prorogabili di altri 60 nel caso in cui si trattasse<br />
di operazioni complesse.<br />
Entro 30 giorni sarà comunque necessario informare l’interessato che la<br />
richiesta è stata presa in carico e spiegare i motivi che stanno causando il<br />
ritardo.<br />
Oltre i 90 giorni l’interessato può procedere con un ricorso al Garante della<br />
<strong>Privacy</strong> o ad altra autorità giudiziaria.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
I diritti dell’interessato<br />
I diritti ad oggi validi sono i seguenti<br />
• Diritto di accesso<br />
• Diritto di rettifica<br />
• Diritto alla limitazione del trattamento<br />
• Diritto alla portabilità dei dati<br />
• Diritto all’oblio<br />
Gli ultimi due sono novità introdotte con il <strong>Regolamento</strong> Europeo<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di accesso<br />
Permette all’interessato di controllare se i dati siano in possesso del Titolare e<br />
vengano utilizzati in maniera corretta ed in conformità con quanto dichiarato<br />
dal titolare stesso nell’informativa fornita.<br />
È anche possibile chiedere ad un Titolare se questi detiene dati che riguardino<br />
l’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di accesso<br />
un interessato può chiedere ad un titolare se:<br />
• È in possesso di dati che lo riguardano<br />
• L’origine dei dati<br />
• La finalità per la quale sono stati raccolti<br />
• Le categorie di dati che sono stati raccolti<br />
• I destinatari ai quali i dati sono inviati (sia intra che extra UE)<br />
• L’esistenza o meno di un processo automatizzato di gestione dei dati<br />
• L’esistenza o meno di un processo di profilazione<br />
• Il periodo di conservazione dei dati<br />
L’interessato può chiedere al Titolare la modifica dei dati in suo possesso,<br />
qualora questi risultassero incompleti od inesatti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto all’oblio<br />
Già all’interno del <strong>codice</strong> privacy si parlava di “diritto all’oblio”,<br />
anche se in maniera indiretta, il nuovo <strong>Regolamento</strong> Europeo<br />
rafforza il concetto, stabilendo che un interessato può<br />
chiedere che vengano cancellati/distrutti o resi anonimi i<br />
suoi dati se ci si trova in una serie di casi.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto all’oblio<br />
È possibile ricorrere al diritto all’oblio nelle seguenti<br />
situazioni:<br />
• Termine della finalità del trattamento<br />
• Revoca del consenso<br />
• Opposizione al trattamento dei dati<br />
• Dati trattati in violazione alle norme di legge<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto all’oblio<br />
Un aspetto particolarmente importante riguarda il<br />
mondo online.<br />
In caso di esercizio del diritto all’oblio il Titolare<br />
dovrà informare gli altri titolari con i quali ha avuto<br />
rapporti di eliminare i metacollegamenti (link) che<br />
portano ai dati dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di limitazione del trattamento<br />
In alternativa alla cancellazione dei dati l’interessato può chiedere al titolare che<br />
i dati in suo possesso vengano limitati, ovvero resi non più utilizzabili per i vari<br />
trattamenti.<br />
Si tratta di una misura temporanea e reversibile.<br />
È possibile ricorrere alla limitazione del trattamento nei seguenti casi:<br />
• Riscontro di inesattezze nei dati, in attesa della rettifica<br />
• In caso di contestazione, fino ad un chiarimento<br />
• Come alternativa alla cancellazione<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di limitazione del trattamento<br />
Un Titolare che trovi di fronte una richiesta di limitazione potrà agire in diversi<br />
modi:<br />
• Trasferendo i dati su di un altro sistema di memorizzazione<br />
• Rendendo i dati non accessibili (ad esempio mediante password o<br />
criptazione)<br />
• Rimuovendo temporaneamente i dati dal sistema<br />
• Congelando i dati se presenti su di un database<br />
• Anonimizzando i dati presenti sui suoi sistemi<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto alla portabilità dei dati<br />
Si tratta di una novità introdotta con il<br />
<strong>Regolamento</strong> Europeo, nata con lo scopo<br />
di semplificare lo spostamento tra diversi<br />
fornitori, specialmente di servizi (es. acqua,<br />
gas, telefonia).<br />
L’interessato può esercitare il diritto alla<br />
portabilità nel caso in cui il trattamento sia<br />
necessario per l’esecuzione di un contratto<br />
e abbia fornito il consenso al trattamento<br />
dei dati.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Diritti degli interessati e obblighi delle varie figure<br />
Diritto alla portabilità dei dati<br />
Qualora il trattamento fosse di tipo<br />
automatizzato l’interessato può richiedere<br />
che i dati gli vengano inviati in un formato<br />
chiaro e leggibile da un computer non<br />
dotato di software aziendali proprietari.<br />
Se tecnicamente fattibile l’interessato può<br />
chiedere che i dati che lo riguardano<br />
vengano automaticamente trasmessi al<br />
nuovo interessato (procedura comune nel<br />
caso di variazione di operatore telefonico)<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Le sanzioni amministrative e penali<br />
Sanzioni amministrative<br />
Una condotta non corretta può portare a:<br />
• Sanzioni amministrative<br />
• Risarcimento danni<br />
• Sanzioni penali<br />
• Danni d’immagine (in caso di data breach)<br />
Vengono inflitte dal garante della<br />
<strong>Privacy</strong> in seguito ad indagini condotte<br />
a campione o in seguito ad un reclamo<br />
da parte di un interessato o di una<br />
categoria di interessati (class action).<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Le sanzioni amministrative e penali<br />
Sanzioni amministrative<br />
Il Garante potrà agire a diversi livelli<br />
• Avvertimento<br />
• Ammonimento<br />
• Ingiunzione<br />
• Inibizione del trattamento dei dati (con conseguente blocco dell’attività di<br />
un’azienda)<br />
• Sanzione pecuniaria<br />
Nel caso in cui il Titolare non concordi<br />
con quanto deciso dal Garante può<br />
presentare una formale opposizione<br />
all’Autorità Giudiziaria.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Le sanzioni amministrative e penali<br />
Sanzioni pecuniarie<br />
In caso di attività sanzionatoria il <strong>Regolamento</strong> Europeo stabilisce che esse<br />
debbano essere sufficientemente incidenti da scoraggiare un’eventuale<br />
ripetizione dell’illecito. Possono quindi arrivare in alternativa fino a<br />
• 20 milioni di euro<br />
• 4% del fatturato mondiale dell’anno precedente<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Le sanzioni amministrative e penali<br />
Sanzioni pecuniarie<br />
Al fine di poter stabilire con correttezza il peso di una sanzione il Garante<br />
procederà a valutare diversi aspetti quali:<br />
• La gravità dell’azione<br />
• La durata del trattamento<br />
• La colposità o dolosità<br />
• La recidività<br />
• Etc.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Le sanzioni amministrative e penali<br />
Risarcimento<br />
È possibile ottenere risarcimento ad opera del titolare o responsabile da<br />
chiunque (interessato o terzo fisico o giuridico) abbia subito un danno.<br />
Il danno può essere sia patrimoniale (economico) o non patrimoniale.<br />
Per ottenere un risarcimento non bisogna rivolgersi al Garante, bensì<br />
direttamente all’autorità Giudiziaria.<br />
Il titolare o interessato ha come una via d’uscita la possibilità di dimostrare che<br />
il danno non è a lui imputabile, come nel caso di un crash di un sistema<br />
informatico in outsourcing.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Le sanzioni amministrative e penali<br />
Sanzioni penali<br />
Non sono previste direttamente dal <strong>Regolamento</strong> Europeo, ma si rimanda ai<br />
vari Stati Membri i quali possono proporre l’incarceramento o la sottrazione dei<br />
profitti illecitamente ottenuti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI<br />
X
Formazione per incaricati<br />
al trattamento dati<br />
Hai completato lo studio del modulo!<br />
Grazie per l’attenzione<br />
D.Lgs 196/03 | Reg. CE 2016/679<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI