Formazione per incaricati della privacy
Corso di 2 ore per incaricati privacy
Corso di 2 ore per incaricati privacy
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Formazione</strong> <strong>per</strong> <strong>incaricati</strong><br />
al trattamento dati<br />
D.Lgs 196/03 | Reg. CE 2016/679<br />
© Copyright 2018 Gruppo Torinoprogetti ® srl. C.F. / P.IVA 09285080017
CONTENUTI DEL CORSO<br />
•Regolamento Europeo e Codice Privacy, le normative<br />
in vigore<br />
•Novità e modifiche introdotte dal Reg. CE 2016/679;<br />
•Definizioni<br />
•Le Figure Aziendali Coinvolte nella Gestione Privacy<br />
e loro doveri, nomine e Lettere di Incarico<br />
•L'Informativa e il Consenso<br />
•Diritti dell’interessato<br />
•Le Sanzioni Amministrative e Penali<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Il concetto di “Privacy” ha radici che<br />
affondano nel secolo scorso.<br />
In un saggio del 1890 pubblicato sulla<br />
Harward Law Review dal titolo “The right to<br />
<strong>privacy</strong>” (il diritto alla <strong>privacy</strong>) ad o<strong>per</strong>a di due<br />
giovani avvocati, Samuel Warren e Louis<br />
Brandeis viene introdotto <strong>per</strong> la prima volta il<br />
concetto di “right to be let alone”, ovvero il<br />
diritto ad esser lasciati in pace, che il nostro<br />
impianto legale ha interiorizzato con lo “jus<br />
solitudinis”.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Dal 1890 in poi l’evoluzione tecnologica ha reso sempre più difficile la<br />
protezione <strong>della</strong> propria sfera privata, rendendo la tutela <strong>della</strong> <strong>privacy</strong> un<br />
argomento ogni giorno più presente nelle nostre vite.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
L’utilizzo di sistemi di ripresa e cattura delle immagini, anche<br />
automatizzati, la gestioni di dati in rete, la creazione di enormi<br />
database e il loro trattamento (Big Data), geolocalizzazione, IoT<br />
(internet of Things), profilazione, trattamento di dati biometrici<br />
sono ad oggi la nuova frontiera nella protezione dei dati.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
A raccogliere dati non sono solo i privati (singoli o<br />
aziende), ma anche le pubbliche amministrazioni (si<br />
pensi al settore sanitario).<br />
Alle volte è possibile che i dati che vengono trattati,<br />
sia da soggetti pubblici che privati, possano essere<br />
raccolti dagli stessi o comunicati da terzi, sulla base<br />
delle necessità del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Per mettere dei paletti in questa giungla di<br />
informazioni, ma soprattutto <strong>per</strong> tutelare gli interessati i<br />
vari Stati hanno cercato di porre delle regole.<br />
Stati come la Svezia e la Germania (<strong>per</strong> citarne alcuni)<br />
hanno emesso le loro prime norme nei primi anni ’70.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
In Italia la Costituzione prevede intrinsicamente il concetto di Privacy, lo si può<br />
vedere ad esempio negli artt. 14 e 15.<br />
Art. 14: Inviolabilità del domicilio<br />
Art. 15: Segretezza <strong>della</strong> corrispondenza<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Articolo 14 – Costituzione Italiana – Inviolabilità del domicilio<br />
Il domicilio è inviolabile.<br />
Non vi si possono eseguire ispezioni o <strong>per</strong>quisizioni o sequestri, se non nei casi<br />
e modi stabiliti dalla legge secondo le garanzie prescritte <strong>per</strong> la tutela <strong>della</strong><br />
libertà <strong>per</strong>sonale.<br />
Gli accertamenti e le ispezioni <strong>per</strong> motivi di sanità e di incolumità pubblica o a<br />
fini economici e fiscali sono regolati da leggi speciali.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Articolo 15 – Costituzione Italiana – Segretezza <strong>della</strong> corrispondenza<br />
La libertà e la segretezza <strong>della</strong> corrispondenza e di ogni altra forma di<br />
comunicazione sono inviolabili.<br />
La loro limitazione può avvenire soltanto <strong>per</strong> atto motivato dell'autorità giudiziaria<br />
con le garanzie stabilite dalla legge.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
L’Europa si è espressa <strong>per</strong> la<br />
prima volta in materia di <strong>privacy</strong><br />
nel 1985, dove con l’entrata in<br />
vigore del trattato di Schengen<br />
si rendeva possibile la libera<br />
circolazione tra i paesi firmatari<br />
di <strong>per</strong>sone e informazioni, se e<br />
solo se gli Stati firmatari<br />
potevano garantire un adeguato<br />
livello di protezione <strong>per</strong> gli stessi.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Nel 1995 è stata emanata la Direttiva Europea 95/46/CE del parlamento<br />
europeo e del consiglio datata 24 ottobre 1995, relativa alla tutela delle<br />
<strong>per</strong>sone fisiche con riguardo al trattamento dei dati <strong>per</strong>sonali, nonché alla<br />
libera circolazione di tali dati.<br />
La direttiva in quanto tale non era automaticamente attuabile, ma necessitava<br />
di recepimento e trasformazione in legge da parte degli Stati membri entro un<br />
<strong>per</strong>iodo massimo di 3 anni.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
In Italia la Direttiva 95/46/CE è stata recepita l’anno successivo mediante il<br />
testo di legge 679/96 "Tutela delle <strong>per</strong>sone e di altri soggetti rispetto al<br />
trattamento dei dati <strong>per</strong>sonali”.<br />
Si tratta <strong>della</strong> prima vera legge Nazionale a trattare la materia Privacy e<br />
sicurezza dei dati.<br />
Il comma 1 dell’art 1 citava:<br />
“La presente legge garantisce che il trattamento dei dati <strong>per</strong>sonali si svolga nel<br />
rispetto dei diritti, delle libertà fondamentali, nonché <strong>della</strong> dignità delle <strong>per</strong>sone<br />
fisiche, con particolare riferimento alla riservatezza e all'identità <strong>per</strong>sonale;<br />
garantisce altresì i diritti delle <strong>per</strong>sone giuridiche e di ogni altro ente o<br />
associazione.”<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Le normative in vigore<br />
Nel 2003 la legge 675/96 viene abrogata dal Decreto Legislativo 196/03<br />
Codice in materia di protezione dei dati <strong>per</strong>sonali, più conosciuto come “Codice<br />
<strong>della</strong> Privacy”.<br />
Il codice prevedeva una serie di adempimenti che dovevano essere assolti da<br />
qualunque realtà o<strong>per</strong>assi con dati <strong>per</strong>sonali, sensibili o giudiziari<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
Il 4 maggio 2016 è stato approvato un nuovo pacchetto <strong>per</strong> la protezione dei<br />
dati, mediante il Regolamento Europeo 2016/679.<br />
Lo scopo del Regolamento è quello di definire un quadro comune sulla tutela<br />
dei dati all’interno <strong>della</strong> Comunità Europea.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
Un regolamento differisce da una direttiva <strong>per</strong> una serie di motivi, ma<br />
soprattutto <strong>per</strong> la sua applicabilità.<br />
Una direttiva vincola lo Stato membro cui è rivolta <strong>per</strong> quanto riguarda il<br />
risultato da raggiungere, salva restando la competenza degli organi nazionali in<br />
merito alla forma e ai mezzi.<br />
Un regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi<br />
e direttamente applicabile in ciascuno degli Stati membri.<br />
Regolamento<br />
Direttiva<br />
VS<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
Il Regolamento Europeo <strong>per</strong> la protezione dei dati è quindi automaticamente<br />
applicabile, viene dato un termine di un anno (25 maggio 2018) dalla sua<br />
emanazione prima dell’entrata in vigore.<br />
Il Regolamento CE 2016/679 abolisce la direttiva 95/46/CE, ma si integra<br />
(<strong>per</strong> quanto concerne la normativa Nazionale) con il D.lgs. 196/03.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
Il Reg CE 2016/679 si applica esclusivamente al trattamento di dati:<br />
• Personali di <strong>per</strong>sone fisiche<br />
• Automatizzati<br />
• Non Automatizzati<br />
• Destinati a diventar parte di un archivio<br />
• Contenuti all’interno di un archivio<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
• Al trattamento di dati <strong>per</strong>sonali effettuato da un Titolare o<br />
Responsabile stabilito nella UE, indipendentemente dal fatto<br />
che il trattamento sia effettuato o meno all’interno dei confini<br />
dell’Unione Europea.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
• Al trattamento di dati <strong>per</strong>sonali effettuato da Titolari o<br />
Responsabili non stabiliti nell’UE, indipendentemente dal<br />
fatto che il trattamento sia effettuato o meno nell'Unione.<br />
Qualora il trattamento avesse ad oggetto dati <strong>per</strong>sonali di<br />
interessati che si trovano nella UE e riguardasse l’offerta di<br />
beni o servizi (anche non a pagamento) ai suddetti interessati<br />
oppure il monitoraggio del loro comportamento nel territorio<br />
<strong>della</strong> UE. Come ad esempio Call Center e attività<br />
promozionali.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
• Al trattamento effettuato da un Titolare stabilito in uno Stato<br />
extra UE, ma soggetto al diritto di uno Stato UE in virtù del<br />
diritto internazionale pubblico.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Regolamento CE 2016/679<br />
Il Reg CE 2016/679 non trova applicazione in caso di di trattamenti<br />
<strong>per</strong>sonali effettuati da:<br />
• Persone fisiche <strong>per</strong> l’esercizio di attività di carattere esclusivamente<br />
<strong>per</strong>sonale o domestico<br />
• Da autorità di pubblica sicurezza<br />
• Per tutte le attività che non rientrano nell’ambito di applicazione del<br />
diritto dell’Unione Europea<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
Il nuovo Regolamento Europeo <strong>per</strong> la protezione dei dati <strong>per</strong>sonali<br />
ha provveduto a modificare alcuni aspetti introdotti con il D.lgs<br />
196/03, in particolare:<br />
• Alcune definizioni<br />
• Nuove specificazione dei ruoli <strong>per</strong> Titolari e Responsabili del<br />
trattamento<br />
• Informativa all’interessato<br />
• Consenso dell’interessato<br />
• Specificazione dei diritti<br />
• Inasprimento delle sanzioni<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
Sono state introdotte anche diverse novità, quali:<br />
• Estensione dell’ambito territoriale<br />
• Introduzione di nuove definizioni<br />
• Figura del Data Protection Officer<br />
• Registro dei Trattamenti<br />
• Valutazione preventiva d’impatto<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
… ed anche:<br />
• La notifica delle falle di sicurezza (data breach)<br />
• Privacy by design<br />
• Privacy by default<br />
• Diritto all’oblio<br />
• Portabilità dei dati<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Regolamento Europeo e Codice Privacy<br />
Novità e modifiche introdotte dal Reg. CE 2016/679<br />
… e ancora:<br />
• Valutazione d’impatto e adozione di misure tecnico-organizzative<br />
adeguate<br />
• Certificazione dei trattamenti<br />
• Responsabilità solidale di Titolare e Responsabile<br />
• Accountability<br />
• Sanzioni<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Con l’entrata in vigore del Reg.CE 2016/679 le definizioni che verranno<br />
utilizzate nel prosieguo del corso saranno le seguenti:<br />
•<br />
•<br />
•<br />
•<br />
•<br />
•<br />
Dati <strong>per</strong>sonali<br />
Dati inerenti la salute<br />
Dati genetici<br />
Dati biometrici<br />
Consenso<br />
Pseudonomizzazione<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Dato <strong>per</strong>sonale<br />
È un dato <strong>per</strong>sonale qualsiasi informazione riguardante una <strong>per</strong>sona fisica<br />
identificata o identificabile.<br />
Si considera identificabile la <strong>per</strong>sona fisica che può essere identificata,<br />
direttamente o indirettamente, con particolare riferimento a un identificativo<br />
come il nome, un numero di identificazione, dati relativi all'ubicazione, un<br />
identificativo online o a uno o più elementi caratteristici <strong>della</strong> sua identità fisica,<br />
fisiologica, genetica, psichica, economica, culturale o sociale.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Dato sensibile [vecchia definizione]<br />
La vecchia definizione indicava come dato sensibile qualunque dato che può<br />
rivelare:<br />
• origine razziale<br />
• appartenenza etnica<br />
• convinzioni religiose o di altra natura<br />
• opinioni politiche<br />
• appartenenza a partiti o sindacati<br />
• stato di salute e la vita sessuale.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Dato sensibile [nuova definizione]<br />
Ad oggi si preferisce parlare categorie particolari di dati <strong>per</strong>sonali, ovvero dati<br />
<strong>per</strong>sonali che rivelino:<br />
• origine razziale o etnica<br />
• opinioni politiche<br />
• convinzioni religiose o filosofiche<br />
• appartenenza sindacale<br />
• dati genetici<br />
• dati biometrici intesi a identificare in modo univoco una <strong>per</strong>sona fisica<br />
• dati relativi alla salute o alla vita sessuale o all'orientamento sessuale <strong>della</strong><br />
<strong>per</strong>sona<br />
I dati Biometrici e Genetici rappresentano una novità rispetto al “Codice Privacy”<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Dati inerenti alla salute<br />
Sono i dati <strong>per</strong>sonali relativi alla salute (sia essa fisica o mentale) di un<br />
interessato, tra questi dati rientrano anche la prestazione di servizi di assistenza<br />
o sanitari, che possono rivelare, anche indirettamente, informazioni circa lo stato<br />
di salute dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Dati genetici<br />
Sono i dati <strong>per</strong>sonali inerenti le caratteristiche genetiche (siano esse ereditarie o<br />
acquisite) di un interessato.<br />
Questi dati possono fornire informazioni univoche sulla fisiologia o sulla salute<br />
del soggetto. La loro raccolta può avvenire dall’analisi di un campione biologico<br />
dell’interessato. I dati genetici si riferiscono esclusivamente alle <strong>per</strong>sone fisiche.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Dati biometrici<br />
Sono i dati <strong>per</strong>sonali ottenuti<br />
tramite trattamento tecnico relativi<br />
alle caratteristiche fisiche,<br />
fisiologiche o comportamentali di<br />
un interessato che ne consentono o<br />
confermano l’identificazione<br />
univoca, quali l’immagine facciale o<br />
i dati dattiloscopici (impronte<br />
digitali).<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Trattamento dei dati <strong>per</strong>sonali<br />
È considerato “trattamento” qualsiasi o<strong>per</strong>azione o insieme di o<strong>per</strong>azioni,<br />
compiute con o senza l'ausilio di processi automatizzati e applicate a dati<br />
<strong>per</strong>sonali o insiemi di dati <strong>per</strong>sonali, come la raccolta, la registrazione,<br />
l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica,<br />
l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione,<br />
diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o<br />
l'interconnessione, la limitazione, la cancellazione o la distruzione.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Trattamento dei dati particolari<br />
Il trattamento dei dati particolari è solitamente vietato, salvo alcune eccezioni<br />
quali:<br />
• Consenso manifesto da parte dell’interessato;<br />
• Trattamento necessario <strong>per</strong> assolvere obblighi o <strong>per</strong> esercitare diritti in<br />
materia di lavoro;<br />
• Per scopi di pubblica sicurezza o esercizio di un diritto in sede giudiziaria;<br />
• Nel caso in cui i dati siano stati manifestamente resi pubblici dall’interessato<br />
stesso.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Titolare del trattamento<br />
Viene definita titolare del trattamento la <strong>per</strong>sona fisica o<br />
giuridica, l'autorità pubblica, il servizio o altro organismo<br />
che, singolarmente o insieme ad altri, determina le finalità<br />
e i mezzi del trattamento di dati <strong>per</strong>sonali.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Responsabile del trattamento<br />
Responsabile del trattamento dei dati<br />
<strong>per</strong>sonali è la <strong>per</strong>sona fisica o giuridica,<br />
l'autorità pubblica, il servizio o altro<br />
organismo che tratta dati <strong>per</strong>sonali <strong>per</strong><br />
conto del titolare del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Incaricato del trattamento<br />
È la <strong>per</strong>sona fisica autorizzata a<br />
compiere le o<strong>per</strong>azioni di trattamento dal<br />
titolare o dal responsabile<br />
Le o<strong>per</strong>azioni di trattamento possono<br />
essere compiute solo da soggetti<br />
nominati <strong>incaricati</strong>.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Interessato<br />
La <strong>per</strong>sona fisica, la <strong>per</strong>sona giuridica, l’ente o l’associazione cui si riferiscono i<br />
dati. È il soggetto passivo del trattamento, ma che può, in determinati casi,<br />
modificarne completamente l’esito sulla base dei propri diritti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Terzo<br />
Si tratta di una definizione modificata dal nuovo<br />
regolamento. Viene considerato “terzo” la <strong>per</strong>sona fisica<br />
o giuridica, l'autorità pubblica, il servizio o altro<br />
organismo che non sia:<br />
•<br />
•<br />
•<br />
•<br />
l’interessato<br />
il titolare del trattamento<br />
il responsabile del trattamento<br />
una delle <strong>per</strong>sone autorizzate al trattamento<br />
dei dati <strong>per</strong>sonali sotto l’autorità diretta del<br />
titolare o del responsabile.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Informativa<br />
Un documento o una comunicazione verbale contenente le informazioni che il<br />
titolare del trattamento deve fornire all’interessato <strong>per</strong> chiarire, in particolare, se<br />
quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le<br />
modalità del trattamento, come circolano i dati e in che modo esercitare i<br />
diritti riconosciuti dalla legge.<br />
Il nuovo Regolamento Europeo stabilisce<br />
delle linee guida su come debba essere<br />
redatta l’informativa in caso di dati raccolti<br />
presso l’interessato o presso un soggetto<br />
terzo.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Consenso<br />
È la manifestazione di volontà libera, specifica,<br />
informata e inequivocabile dell'interessato, con<br />
la quale manifesta il proprio assenso, mediante<br />
dichiarazione o azione positiva inequivocabile,<br />
che i dati <strong>per</strong>sonali che lo riguardano siano<br />
oggetto di trattamento.<br />
Può essere scritta o “digitale”,<br />
mediante il proseguimento <strong>della</strong><br />
navigazione su di un sito web.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Pseudonimizzazione<br />
È il trattamento di dati <strong>per</strong>sonali in modo tale che gli stessi non possano più<br />
essere attribuiti a un interessato specifico senza l’utilizzo di informazioni<br />
aggiuntive, a condizione che tali informazioni aggiuntive siano conservate<br />
separatamente e soggette a misure tecniche e organizzative intese a garantire<br />
che tali dati <strong>per</strong>sonali non siano attribuiti a una <strong>per</strong>sona fisica identificata o<br />
identificabile.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Garante <strong>della</strong> <strong>privacy</strong><br />
Il Garante <strong>della</strong> <strong>privacy</strong> è l’autorità indipendente composta<br />
da quattro membri eletti dal Parlamento.<br />
È stata istituita <strong>per</strong> la tutela dei diritti, delle libertà<br />
fondamentali e <strong>della</strong> dignità delle <strong>per</strong>sone rispetto al<br />
trattamento dei dati <strong>per</strong>sonali.<br />
Controlla se il trattamento di dati <strong>per</strong>sonali da parte di privati<br />
e pubbliche amministrazioni è lecito e corretto.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Garante <strong>della</strong> <strong>privacy</strong><br />
• Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su<br />
richiesta del cittadino, esegue ispezioni e verifiche.<br />
• Prescrive modifiche necessarie od opportune <strong>per</strong> far adeguare i trattamenti<br />
alla disciplina vigente.<br />
• Segnala al Parlamento e al Governo l’opportunità di interventi normativi <strong>per</strong><br />
tutelare gli interessati.<br />
• Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni<br />
pubbliche.<br />
• Presenta al Parlamento e al Governo una relazione annuale sullo stato di<br />
attuazione <strong>della</strong> normativa che regola la materia.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
DPO - Data Protection Officer<br />
Figura nuova introdotta dal Regolamento<br />
2016/679.<br />
Si tratta di un professionista con es<strong>per</strong>ienza<br />
nel campo <strong>della</strong> protezione dei dati<br />
<strong>per</strong>sonali che presta la propria o<strong>per</strong>a<br />
affiancando il titolare del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Privacy by Default<br />
Si intende con “<strong>privacy</strong> by default” l’adozione di una<br />
politica aziendale o amministrativa interna che tuteli la<br />
diffusione dei dati raccolti in occasione di registrazioni a<br />
servizi telematici o <strong>della</strong> stipula di contratti etc.<br />
X<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Privacy by Design<br />
Con questo principio si intende l’incorporazione<br />
<strong>della</strong> <strong>privacy</strong> a partire dalla progettazione di un<br />
processo aziendale (comprese le applicazioni<br />
informatiche di supporto).<br />
La Privacy by design implica la messa in atto di<br />
determinati meccanismi atti a garantire il<br />
trattamento esclusivo di dati <strong>per</strong>sonali necessari <strong>per</strong><br />
quella specifica progettazione.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
Accountability<br />
Responsabilità incondizionata, formale o non, in capo a uno<br />
o più soggetti (accountors), del risultato conseguito da<br />
un’organizzazione , sulla base delle proprie capacità, abilità ed<br />
etica.<br />
Il titolare del trattamento deve essere in grado di<br />
dimostrare di avere adottato un processo<br />
complessivo di misure giuridiche, organizzative,<br />
tecniche, <strong>per</strong> la protezione dei dati <strong>per</strong>sonali, anche<br />
attraverso l’elaborazione di specifici modelli<br />
organizzativi: deve dimostrare in modo positivo e<br />
proattivo che i trattamenti di dati effettuati sono<br />
adeguati e conformi al regolamento europeo in<br />
materia di <strong>privacy</strong>.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Definizioni<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
La gestione dei dati all’interno di un’azienda è un processo che vede diversi<br />
attori:<br />
• Titolare del trattamento dati<br />
• Contitolare del trattamento<br />
• Responsabile interno del trattamento<br />
• Responsabile esterno del trattamento<br />
• Incaricato al trattamento<br />
• Data Protection Officer<br />
• Interessato<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Titolare del trattamento dati<br />
Definito come la <strong>per</strong>sona fisica o giuridica, l’autorità pubblica, il servizio o altro<br />
organismo che, singolarmente o insieme ad altri, determina le finalità e i<br />
mezzi del trattamento di dati <strong>per</strong>sonali.<br />
Nel caso i cui si tratti di un’impresa individuale il titolare del trattamento<br />
coinciderà con la <strong>per</strong>sona fisica titolare dell’azienda.<br />
Se l’azienda è una <strong>per</strong>sona giuridica il titolare è l’azienda nel suo complesso e<br />
non una <strong>per</strong>sona fisica al suo interno.<br />
In caso di s.r.l. o altra forma di azienda come <strong>per</strong>sona giuridica, o<strong>per</strong>erà<br />
attraverso un sistema di deleghe e, in caso di necessità, sarà rappresentato dal<br />
rappresentante legale.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Titolare del trattamento dati<br />
Riassumendo, il titolare<br />
• Può essere una <strong>per</strong>sona fisica o giuridica<br />
• Non necessità di nomine in quanto automaticamente identificato<br />
• Ha su di se tutti gli obblighi di adeguamento imposti dalla legge<br />
• Cadono su di lui eventuali colpe derivate da un trattamento non corretto<br />
• Deve dare prova di su<strong>per</strong>visione degli aspetti <strong>privacy</strong> <strong>della</strong> propria azienda,<br />
anche mediante la conduzione di verifiche <strong>per</strong>iodiche (audit), in assenza di<br />
essi ricadrebbe nel caso di “culpa in vigilando”<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Contitolare del trattamento dati<br />
Nel caso in cui due o più titolari<br />
determinano congiuntamente le finalità e<br />
i mezzi del trattamento vengono<br />
considerati contitolari del trattamento.<br />
Devono determinare in modo trasparente,<br />
anche mediante un accordo interno, le<br />
rispettive responsabilità soprattutto in<br />
merito all'esercizio dei diritti<br />
dell'interessato e le rispettive funzioni di<br />
comunicazione delle informazioni.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Contitolare del trattamento dati<br />
L’accordo può designare un punto di contatto <strong>per</strong> gli interessati e riflette<br />
adeguatamente i rispettivi ruoli e rapporti dei contitolari con gli interessati.<br />
Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.<br />
Indipendentemente dalle disposizioni dell’accordo, l’interessato può esercitare i<br />
propri diritti nei confronti di e contro ciascun titolare del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile del trattamento<br />
Il Regolamento CE 2016/679 prevede una doppia figura <strong>per</strong> quanto riguarda il<br />
responsabile del trattamento:<br />
• Responsabile interno del trattamento<br />
• Responsabile esterno del trattamento<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile interno del trattamento<br />
è il soggetto designato dal Titolare che, <strong>per</strong> es<strong>per</strong>ienza,<br />
capacità ed affidabilità, fornisce idonea garanzia del pieno<br />
rispetto delle vigenti disposizioni in materia di trattamento<br />
di dati <strong>per</strong>sonali, compreso il profilo relativo alla sicurezza.<br />
La designazione del Responsabile avviene tramite<br />
nomina scritta ed accettazione da parte dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
È definito “Responsabile esterno del trattamento” la<br />
<strong>per</strong>sona fisica, giuridica, la pubblica amministrazione e<br />
qualsiasi altro ente, associazione od organismo, esterno<br />
all’azienda del Titolare, che, previa designazione formale del<br />
Responsabile “interno” del trattamento, assume (su delega<br />
di quest’ultimo) poteri decisionali su un determinato<br />
trattamento e deve attenersi, nelle o<strong>per</strong>azioni svolte, alle<br />
istruzioni ricevute.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
L’outsourcer deve poter dimostrare di avere le<br />
caratteristiche (morali e tecniche) necessarie al corretto<br />
adempimento del proprio compito.<br />
Qualora ne fosse sprovvisto il titolare potrebbe venire<br />
accusato di “culpa in eligendo”, ovvero di aver scelto una<br />
<strong>per</strong>sona non adeguata allo svolgimento del compito.<br />
L’outsourcer deve essere nominato mediante un contratto<br />
scritto (lettera di nomina) sottoscritto <strong>per</strong> accettazione.<br />
Il contratto dovrà prevedere una serie di vincoli prestabiliti,<br />
elencati nell’art.28 del nuovo Regolamento Europeo.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
Punti trattati nell’incarico del RTD esterno:<br />
• Materia disciplinata<br />
• Durata del trattamento<br />
• Natura e finalità del trattamento<br />
• Tipo di dati <strong>per</strong>sonali<br />
• Categorie di interessati<br />
• Obblighi e diritti del responsabile del trattamento<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
Il contratto tra titolare e responsabile deve prevedere<br />
che il responsabile:<br />
• tratti i dati <strong>per</strong>sonali soltanto su istruzione documentata<br />
del titolare del trattamento<br />
• garantisca che le <strong>per</strong>sone autorizzate al trattamento dei<br />
dati <strong>per</strong>sonali si siano impegnate alla riservatezza o<br />
abbiano un adeguato obbligo statutario di riservatezza<br />
• adotti tutte le misure (di sicurezza) richieste ai sensi<br />
dell'articolo 32<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
Il contratto tra titolare e responsabile deve prevedere<br />
che il responsabile:<br />
• rispetti le condizioni <strong>per</strong> ricorrere a un altro responsabile<br />
del trattamento<br />
• assista il titolare del trattamento con misure tecniche ed<br />
organizzative adeguate al fine di soddisfare l'obbligo del<br />
titolare del trattamento di dare seguito alle richieste <strong>per</strong><br />
l'esercizio dei diritti dell’interessato<br />
• assista il titolare del trattamento nel garantire il rispetto<br />
degli obblighi di cui agli articoli da 32 a 36 (sicurezza;<br />
data breaches; DPIA; prior checking), tenendo conto<br />
<strong>della</strong> natura del trattamento e delle informazioni a<br />
disposizione del responsabile del trattamento<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
Il contratto tra titolare e responsabile deve prevedere<br />
che il responsabile:<br />
• su scelta del titolare del trattamento, cancelli o gli<br />
restituisca tutti i dati <strong>per</strong>sonali dopo che è terminata la<br />
prestazione dei servizi di trattamento di dati e cancelli le<br />
copie esistenti<br />
• metta a disposizione del titolare del trattamento tutte le<br />
informazioni necessarie <strong>per</strong> dimostrare il rispetto degli<br />
obblighi di cui al presente articolo e consenta e<br />
contribuisca agli audit, comprese le ispezioni, realizzati<br />
dal titolare del trattamento o da un altro soggetto da<br />
questi incaricato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Responsabile esterno del trattamento (outsourcer)<br />
Sono considerati “responsabili esterni al trattamento” (in via di esempio non<br />
esaustivo)<br />
• Consulente del lavoro<br />
• Società di marketing<br />
• Gestione esterna del sistema informativo<br />
• Etc.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Incaricato del trattamento<br />
L’art.4 del Reg 2016/679 (definizioni) non prevede<br />
formalmente la figura dell’incaricato al trattamento,<br />
ma è possibile desumere la sua esistenza dall’art.<br />
29 del regolamento stesso e viene definito come<br />
“la <strong>per</strong>sona fisica che ha accesso ai dati <strong>per</strong>sonali<br />
e agisce sotto l’autorità del Titolare o del<br />
Responsabile del trattamento”.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
Incaricato del trattamento<br />
Riepilogando l’incaricato al trattamento<br />
• Può essere solo una <strong>per</strong>sona fisica<br />
• Deve essere individuato mediante lettera<br />
d’incarico o assegnazione ad una mansione<br />
che prevede il trattamento di dati <strong>per</strong>sonali<br />
• Ha accesso ai soli dati necessari allo<br />
svolgimento <strong>della</strong> propria mansione<br />
• Non ha compiti aggiuntivi a quelli di lavoratore<br />
ordinario<br />
• Deve essere formato (obbligatoriamente)<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
DPO (Data Protection Officer)<br />
Si tratta di una figura non obbligatoria<br />
indistintamente in tutte le realtà aziendali, ma<br />
solo in specifiche tipologie di aziende.<br />
Il Data Protection Officer sarà una figura<br />
professionale con particolari competenze in<br />
campo informatico, giuridico, di valutazione<br />
del rischio e di analisi dei processi.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
DPO (Data Protection Officer)<br />
Il compito principale del DPO è<br />
l’osservazione, la valutazione e la gestione<br />
del trattamento dei dati <strong>per</strong>sonali allo scopo<br />
di far rispettare le normative europee e<br />
nazionali in materia di <strong>privacy</strong>.<br />
L’articolo 37 del Regolamento non specifica<br />
quali debbano essere le qualità professionali<br />
necessarie a rivestire la figura del DPO. Si<br />
evince <strong>per</strong>ò che il soggetto prescelto debba<br />
possedere comprovata es<strong>per</strong>ienza sulla<br />
legislazione relativa alla protezione dei dati<br />
<strong>per</strong>sonali sia nazionale che europea, sulle<br />
prassi oltre che una approfondita<br />
conoscenza del Regolamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
DPO (Data Protection Officer)<br />
Nel caso, poi, di un ente pubblico o di un<br />
organismo pubblico, il DPO dovrebbe anche<br />
avere una buona conoscenza delle regole e<br />
delle procedure dell’organizzazione<br />
amministrativa.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
DPO (Data Protection Officer)<br />
La figura del DPO è obbligatoria nei seguenti<br />
casi:<br />
• Pubbliche amministrazioni<br />
• Enti pubblici<br />
• Soggetti la cui attività principale consiste<br />
nel controllo regolare e sistematico degli<br />
interessati<br />
• Soggetti la cui attività principale consiste<br />
nel trattamento su larga scala di dati<br />
sanitari, di salute, biometrici o genetici<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
DPO (Data Protection Officer)<br />
Il DPO può essere nominato anche in realtà<br />
nelle quali non è obbligatorio <strong>per</strong> legge, in tal<br />
caso può assumere il ruolo di Responsabile<br />
del trattamento.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Figure aziendali coinvolte nella gestione <strong>privacy</strong><br />
DPO (Data Protection Officer)<br />
Riassumendo il DPO<br />
• Può essere una figura interna o esterna;<br />
• È possibile nominarne uno “di gruppo” tra<br />
più aziende o<strong>per</strong>anti nello stesso settore<br />
• Deve possedere competenza e<br />
professionalità<br />
• Deve essere dotato di risorse umane e<br />
finanziarie adeguate<br />
• Esegue i compiti previsti dalla legge in<br />
merito a verifiche, consulenza e<br />
formazione<br />
• Funge da interfaccia <strong>per</strong> interessati e<br />
autorità di controllo<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Il Titolare deve garantire all’interessato i seguenti diritti minimi:<br />
• Diritto all’informativa<br />
• Diritto di consenso<br />
• Diritto di controllo dei dati<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
L’informativa, basata sul principio di trasparenza, è una dichiarazione che il<br />
Titolare rilascia all’Interessato con lo scopo di:<br />
• Far conoscere le intenzioni dei Titolare prima di fornire i propri dati<br />
• Permettere di valutare le eventuali conseguenze <strong>della</strong> raccolta dati<br />
• Decidere se accettare o rifiutare il trattamento<br />
• Conoscere i propri diritti ed essere informato su come potrà controllare in<br />
seguito i propri dati<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Il Titolare è tenuto (obbligato) a fornire un’informativa in ogni caso, anche<br />
quando, <strong>per</strong> varie ragioni, non è richiesto il consenso dell’interessato <strong>per</strong> poter<br />
effettuare il trattamento dei dati.<br />
L’informativa può non essere consegnata in 3 casi:<br />
• Caso in cui l’interessato è già a conoscenza delle informazioni riportatevi<br />
• Se informare l’interessato sia impossibile<br />
• Se informare l’interessato richiederebbe uno sforzo abnorme<br />
Nell’ultimo caso il Titolare potrà ricorrere ad altri metodi, come ad esempio la<br />
pubblicazione su di un quotidiano.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
L’informativa va consegnata all’interessato in un momento antecedente la<br />
raccolta stessa, o tutt’al più in concomitanza <strong>della</strong> stessa qualora la raccolta dei<br />
dati avvenga presso l’interessato stesso.<br />
Se i dati verranno raccolti presso terzi il Titolare dovrà fornire l’informativa<br />
all’interessato entro un tempo massimo di 1 mese.<br />
Non è necessario procedere alla consegna di una nuova informativa ad ogni<br />
raccolta, se non sono variate le tecniche di raccolta e gestione dei dati, le<br />
finalità e le figure <strong>della</strong> <strong>privacy</strong> allora l’informativa potrà esser consegna una<br />
tantum.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Una novità introdotta dal Regolamento 2016/679 è data dall’obbligo di fornire<br />
un’informatica che sia:<br />
• Chiara<br />
• Concisa<br />
• Volendo anche con rappresentazioni grafiche ad icone onde su<strong>per</strong>are le<br />
barriere linguistiche, anche attraverso l’uso di icone<br />
L’informativa può essere fornita in forma:<br />
• scritta su supporto cartaceo;<br />
• scritta in formato digitale (come durante le navigazioni su di un sito web);<br />
• orale, ma solo se si dimostra di poter comprovare con altri mezzi l’identità<br />
dell’interessato. Al titolare spetta l’onere <strong>della</strong> prova di aver fornito le<br />
informazioni nei tempi e modi previsti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Non potrà essere considerata valida un’informativa troppo generica.<br />
Il contenuto dovrà essere conforme a quanto previsto dal regolamento<br />
2016/679, che all’art.13 specifica le informazione da fornire quando i dati sono<br />
raccolti presso l’interessato e all’art.14 quando i dati sono raccolti presso terzi.<br />
In caso di raccolta di dati presso l’interessato il Titolare dovrà fornire:<br />
• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />
suo rappresentante;<br />
• i dati di contatto del responsabile <strong>della</strong> protezione dei dati, ove applicabile;<br />
• le finalità del trattamento cui sono destinati i dati <strong>per</strong>sonali nonché la base<br />
giuridica del trattamento;<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
• qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f i legittimi<br />
interessi <strong>per</strong>seguiti dal titolare del trattamento o da terzi<br />
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati<br />
<strong>per</strong>sonali<br />
• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati<br />
<strong>per</strong>sonali a un paese terzo o a un'organizzazione internazionale e l'esistenza<br />
o l'assenza di una decisione di adeguatezza <strong>della</strong> Commissione o, nel caso<br />
dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il<br />
riferimento alle garanzie appropriate o opportune e i mezzi <strong>per</strong> ottenere una<br />
copia di tali dati o il luogo dove sono stati resi disponibili.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
In aggiunta alle informazioni appena analizzate, nel momento in cui i dati<br />
<strong>per</strong>sonali sono ottenuti, il titolare del trattamento deve fornire all'interessato<br />
le seguenti ulteriori informazioni necessarie <strong>per</strong> garantire un trattamento<br />
corretto e trasparente:<br />
• il <strong>per</strong>iodo di conservazione dei dati <strong>per</strong>sonali oppure, se non è possibile, i<br />
criteri utilizzati <strong>per</strong> determinare tale <strong>per</strong>iodo<br />
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento<br />
l'accesso ai dati <strong>per</strong>sonali e la rettifica o la cancellazione degli stessi o la<br />
limitazione del trattamento che lo riguardano o di opporsi al loro trattamento,<br />
oltre al diritto alla portabilità dei dati<br />
• qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure<br />
sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il<br />
consenso in qualsiasi momento senza pregiudicare la liceità del trattamento<br />
basata sul consenso prestato prima <strong>della</strong> revoca<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
• il diritto di proporre reclamo a un'autorità di controllo;<br />
• se la comunicazione di dati <strong>per</strong>sonali è un obbligo legale o contrattuale<br />
oppure un requisito necessario <strong>per</strong> la conclusione di un contratto, e se<br />
l'interessato ha l'obbligo di fornire i dati <strong>per</strong>sonali nonché le possibili<br />
conseguenze <strong>della</strong> mancata comunicazione di tali dati;<br />
• l'esistenza di un processo decisionale automatizzato, compresa la<br />
profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi,<br />
informazioni significative sulla logica utilizzata, nonché l'importanza e le<br />
conseguenze previste di tale trattamento <strong>per</strong> l'interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Dati da fornire in caso di raccolta dati effettuata presso un terzo (art. 14<br />
2016/679):<br />
• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />
suo rappresentante<br />
• i dati di contatto del responsabile <strong>della</strong> protezione dei dati, ove applicabile<br />
• le finalità del trattamento cui sono destinati i dati <strong>per</strong>sonali nonché la base<br />
giuridica del trattamento<br />
• le categorie di dati <strong>per</strong>sonali in questione<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Dati da fornire in caso di raccolta dati effettuata presso un terzo (art. 14<br />
2016/679):<br />
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati <strong>per</strong>sonali<br />
• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati<br />
<strong>per</strong>sonali a un destinatario in un paese terzo o a un'organizzazione<br />
internazionale e l'esistenza o l'assenza di una decisione di adeguatezza <strong>della</strong><br />
Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o<br />
all'articolo 49, secondo comma, il riferimento alle garanzie adeguate o<br />
opportune e i mezzi <strong>per</strong> ottenere una copia di tali dati o il luogo dove sono<br />
stati resi disponibili<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce<br />
all'interessato le seguenti informazioni necessarie <strong>per</strong> garantire un trattamento<br />
corretto e trasparente nei confronti dell'interessato:<br />
• <strong>per</strong>iodo di conservazione dei dati <strong>per</strong>sonali oppure, se non è possibile, i criteri<br />
utilizzati <strong>per</strong> determinare tale <strong>per</strong>iodo<br />
• qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi<br />
interessi <strong>per</strong>seguiti dal titolare del trattamento o da terzi<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce<br />
all'interessato le seguenti informazioni necessarie <strong>per</strong> garantire un trattamento<br />
corretto e trasparente nei confronti dell'interessato:<br />
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento<br />
l'accesso ai dati <strong>per</strong>sonali e la rettifica o la cancellazione degli stessi o la<br />
limitazione del trattamento dei dati <strong>per</strong>sonali che lo riguardano e di opporsi al<br />
loro trattamento, oltre al diritto alla portabilità dei dati<br />
• qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure<br />
sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il<br />
consenso in qualsiasi momento senza pregiudicare la liceità del trattamento<br />
basata sul consenso prima <strong>della</strong> revoca<br />
• il diritto di proporre reclamo a un'autorità di controllo<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Informativa<br />
Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce<br />
all'interessato le seguenti informazioni necessarie <strong>per</strong> garantire un trattamento<br />
corretto e trasparente nei confronti dell'interessato:<br />
• la fonte da cui hanno origine i dati <strong>per</strong>sonali e, se del caso, l'eventualità che i<br />
dati provengano da fonti accessibili al pubblico<br />
• l'esistenza di un processo decisionale automatizzato, compresa la<br />
profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi,<br />
informazioni significative sulla logica utilizzata, nonché l'importanza e le<br />
conseguenze previste di tale trattamento <strong>per</strong> l'interessato<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Condizioni di liceità<br />
Il titolare, <strong>per</strong> poter trattare senza ulteriori problemi i dati raccolti deve, dopo<br />
aver consegnato l’informativa all’interessato, valutare che sussista almeno una<br />
delle condizioni di liceità del trattamento.<br />
Si intende <strong>per</strong> “condizione di liceità” quella condizione che rende legittimo il<br />
trattamento dei dati. È possibile avere un elenco analizzando l’articolo 6 del<br />
regolamento europeo.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Condizioni di liceità<br />
Sono considerate condizioni valide:<br />
• l'interessato ha espresso il consenso al trattamento dei propri dati <strong>per</strong>sonali<br />
<strong>per</strong> una o più specifiche finalità<br />
• il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è<br />
parte o all'esecuzione di misure precontrattuali adottate su richiesta dello<br />
stesso<br />
• il trattamento è necessario <strong>per</strong> adempiere un obbligo legale al quale è<br />
soggetto il titolare del trattamento<br />
• il trattamento è necessario <strong>per</strong> la salvaguardia degli interessi vitali<br />
dell'interessato o di un'altra <strong>per</strong>sona fisica<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Condizioni di liceità<br />
Sono considerate condizioni valide:<br />
• il trattamento è necessario <strong>per</strong> l'esecuzione di un compito di interesse<br />
pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare<br />
del trattamento<br />
• il trattamento è necessario <strong>per</strong> il <strong>per</strong>seguimento del legittimo interesse del<br />
titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi<br />
o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione<br />
dei dati <strong>per</strong>sonali, in particolare se l'interessato è un minore<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Consenso<br />
Se non è possibile applicare una<br />
delle condizioni di liceità viste in<br />
precedenza il titolare deve<br />
necessariamente ottenere il<br />
consenso al trattamento dei dati<br />
da parte dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Consenso<br />
Per essere valido il consenso deve essere:<br />
• Informato<br />
• Specifico<br />
• Libero<br />
• Consapevole<br />
• Non equivocabile<br />
In caso di differenti trattamenti evidenziati nell’informativa è necessario dare<br />
all’interessato la possibilità di manifestare un consenso separato <strong>per</strong> ciascun<br />
trattamento. Qualora il consenso sia rilasciato verbalmente è necessario che sia<br />
certificato su di un documento redatto dall’incaricato che lo ha raccolto.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Consenso <strong>per</strong> fini commerciali<br />
Qualora il titolare volesse utilizzare i dati raccolti<br />
dall’interessato <strong>per</strong> fini commerciali, ovvero <strong>per</strong> l’invio<br />
di materiale pubblicitario, <strong>per</strong> contattarlo<br />
telefonicamente, via sms, e mail o altri canali<br />
ritenuti idonei, dovrà ottenere un consenso<br />
specifico.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
I diritti dell’interessato<br />
L’interessato ha il diritto di poter agire, anche in seguito a rilascio del consenso,<br />
sui dati forniti ad un Titolare.<br />
Le o<strong>per</strong>azioni di modifica, cancellazione, oppure la richiesta di esistenza dei dati<br />
stessi non devono comportare un costo <strong>per</strong> l’interessato, ma il titolare deve<br />
identificare l’interessato prima di procedere.<br />
Il Regolamento CE 2016/679 riporta quali sono i diritti dell’interessato negli<br />
articoli da 15 a 22.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
I diritti dell’interessato<br />
Il titolare ha l’obbligo di procedere secondo le richieste dell’interessato entro un<br />
<strong>per</strong>iodo massimo di 30 giorni, prorogabili di altri 60 nel caso in cui si trattasse<br />
di o<strong>per</strong>azioni complesse.<br />
Entro 30 giorni sarà comunque necessario informare l’interessato che la<br />
richiesta è stata presa in carico e spiegare i motivi che stanno causando il<br />
ritardo.<br />
Oltre i 90 giorni l’interessato può procedere con un ricorso al Garante <strong>della</strong><br />
Privacy o ad altra autorità giudiziaria.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
I diritti dell’interessato<br />
I diritti ad oggi validi sono i seguenti<br />
• Diritto di accesso<br />
• Diritto di rettifica<br />
• Diritto alla limitazione del trattamento<br />
• Diritto alla portabilità dei dati<br />
• Diritto all’oblio<br />
Gli ultimi due sono novità introdotte con il Regolamento Europeo<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di accesso<br />
Permette all’interessato di controllare se i dati siano in possesso del Titolare e<br />
vengano utilizzati in maniera corretta ed in conformità con quanto dichiarato<br />
dal titolare stesso nell’informativa fornita.<br />
È anche possibile chiedere ad un Titolare se questi detiene dati che riguardino<br />
l’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di accesso<br />
un interessato può chiedere ad un titolare se:<br />
• È in possesso di dati che lo riguardano<br />
• L’origine dei dati<br />
• La finalità <strong>per</strong> la quale sono stati raccolti<br />
• Le categorie di dati che sono stati raccolti<br />
• I destinatari ai quali i dati sono inviati (sia intra che extra UE)<br />
• L’esistenza o meno di un processo automatizzato di gestione dei dati<br />
• L’esistenza o meno di un processo di profilazione<br />
• Il <strong>per</strong>iodo di conservazione dei dati<br />
L’interessato può chiedere al Titolare la modifica dei dati in suo possesso,<br />
qualora questi risultassero incompleti od inesatti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto all’oblio<br />
Già all’interno del codice <strong>privacy</strong> si parlava di “diritto all’oblio”,<br />
anche se in maniera indiretta, il nuovo Regolamento Europeo<br />
rafforza il concetto, stabilendo che un interessato può<br />
chiedere che vengano cancellati/distrutti o resi anonimi i<br />
suoi dati se ci si trova in una serie di casi.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto all’oblio<br />
È possibile ricorrere al diritto all’oblio nelle seguenti<br />
situazioni:<br />
• Termine <strong>della</strong> finalità del trattamento<br />
• Revoca del consenso<br />
• Opposizione al trattamento dei dati<br />
• Dati trattati in violazione alle norme di legge<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto all’oblio<br />
Un aspetto particolarmente importante riguarda il<br />
mondo online.<br />
In caso di esercizio del diritto all’oblio il Titolare<br />
dovrà informare gli altri titolari con i quali ha avuto<br />
rapporti di eliminare i metacollegamenti (link) che<br />
portano ai dati dell’interessato.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di limitazione del trattamento<br />
In alternativa alla cancellazione dei dati l’interessato può chiedere al titolare che<br />
i dati in suo possesso vengano limitati, ovvero resi non più utilizzabili <strong>per</strong> i vari<br />
trattamenti.<br />
Si tratta di una misura temporanea e reversibile.<br />
È possibile ricorrere alla limitazione del trattamento nei seguenti casi:<br />
• Riscontro di inesattezze nei dati, in attesa <strong>della</strong> rettifica<br />
• In caso di contestazione, fino ad un chiarimento<br />
• Come alternativa alla cancellazione<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto di limitazione del trattamento<br />
Un Titolare che trovi di fronte una richiesta di limitazione potrà agire in diversi<br />
modi:<br />
• Trasferendo i dati su di un altro sistema di memorizzazione<br />
• Rendendo i dati non accessibili (ad esempio mediante password o<br />
criptazione)<br />
• Rimuovendo temporaneamente i dati dal sistema<br />
• Congelando i dati se presenti su di un database<br />
• Anonimizzando i dati presenti sui suoi sistemi<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto alla portabilità dei dati<br />
Si tratta di una novità introdotta con il<br />
Regolamento Europeo, nata con lo scopo<br />
di semplificare lo spostamento tra diversi<br />
fornitori, specialmente di servizi (es. acqua,<br />
gas, telefonia).<br />
L’interessato può esercitare il diritto alla<br />
portabilità nel caso in cui il trattamento sia<br />
necessario <strong>per</strong> l’esecuzione di un contratto<br />
e abbia fornito il consenso al trattamento<br />
dei dati.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Diritti degli interessati e obblighi delle varie figure<br />
Diritto alla portabilità dei dati<br />
Qualora il trattamento fosse di tipo<br />
automatizzato l’interessato può richiedere<br />
che i dati gli vengano inviati in un formato<br />
chiaro e leggibile da un computer non<br />
dotato di software aziendali proprietari.<br />
Se tecnicamente fattibile l’interessato può<br />
chiedere che i dati che lo riguardano<br />
vengano automaticamente trasmessi al<br />
nuovo interessato (procedura comune nel<br />
caso di variazione di o<strong>per</strong>atore telefonico)<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Le sanzioni amministrative e penali<br />
Sanzioni amministrative<br />
Una condotta non corretta può portare a:<br />
• Sanzioni amministrative<br />
• Risarcimento danni<br />
• Sanzioni penali<br />
• Danni d’immagine (in caso di data breach)<br />
Vengono inflitte dal garante <strong>della</strong><br />
Privacy in seguito ad indagini condotte<br />
a campione o in seguito ad un reclamo<br />
da parte di un interessato o di una<br />
categoria di interessati (class action).<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Le sanzioni amministrative e penali<br />
Sanzioni amministrative<br />
Il Garante potrà agire a diversi livelli<br />
• Avvertimento<br />
• Ammonimento<br />
• Ingiunzione<br />
• Inibizione del trattamento dei dati (con conseguente blocco dell’attività di<br />
un’azienda)<br />
• Sanzione pecuniaria<br />
Nel caso in cui il Titolare non concordi<br />
con quanto deciso dal Garante può<br />
presentare una formale opposizione<br />
all’Autorità Giudiziaria.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Le sanzioni amministrative e penali<br />
Sanzioni pecuniarie<br />
In caso di attività sanzionatoria il Regolamento Europeo stabilisce che esse<br />
debbano essere sufficientemente incidenti da scoraggiare un’eventuale<br />
ripetizione dell’illecito. Possono quindi arrivare in alternativa fino a<br />
• 20 milioni di euro<br />
• 4% del fatturato mondiale dell’anno precedente<br />
X<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Le sanzioni amministrative e penali<br />
Sanzioni pecuniarie<br />
Al fine di poter stabilire con correttezza il peso di una sanzione il Garante<br />
procederà a valutare diversi aspetti quali:<br />
• La gravità dell’azione<br />
• La durata del trattamento<br />
• La colposità o dolosità<br />
• La recidività<br />
• Etc.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Le sanzioni amministrative e penali<br />
Risarcimento<br />
È possibile ottenere risarcimento ad o<strong>per</strong>a del titolare o responsabile da<br />
chiunque (interessato o terzo fisico o giuridico) abbia subito un danno.<br />
Il danno può essere sia patrimoniale (economico) o non patrimoniale.<br />
Per ottenere un risarcimento non bisogna rivolgersi al Garante, bensì<br />
direttamente all’autorità Giudiziaria.<br />
Il titolare o interessato ha come una via d’uscita la possibilità di dimostrare che<br />
il danno non è a lui imputabile, come nel caso di un crash di un sistema<br />
informatico in outsourcing.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Le sanzioni amministrative e penali<br />
Sanzioni penali<br />
Non sono previste direttamente dal Regolamento Europeo, ma si rimanda ai<br />
vari Stati Membri i quali possono proporre l’incarceramento o la sottrazione dei<br />
profitti illecitamente ottenuti.<br />
FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI
Hai completato lo studio del modulo!<br />
Grazie <strong>per</strong> l’attenzione<br />
D.Lgs 196/03 | Reg. CE 2016/679<br />
© Copyright 2018 Gruppo Torinoprogetti ® srl. C.F. / P.IVA 09285080017