In occasione dell'incontro con l'Unione Industriale, insieme alla Dottoressa Ambra Nipote Bellan e all'avvocato Savino Figurati abbiamo snocciolato i capisaldi del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Cosa cambierà a partire dal 25 maggio 2018, quando il regolamento sarà direttamente applicabile in tutti gli Stati membri dell'Unione Europea?
1. D O T T. S S A A M B R A N I P O T E B E L L A N
U F F I C I O L E G A L E U N I O N E I N D U S T R I A L E
T O R I N O
2 M A G G I O 2 0 1 8
2. ACCOUNTABILITY - RESPONSABILIZZAZIONE
• Ottica anglosassone, bottom-up, pro-innovazione
• Il Titolare del trattamento (società nella persona del
suo legale rappresentante) deve inquadrare il proprio
livello di rischio e adottare tutte le misure ad esso
adeguate
• Privacy by design e by default
• Diversi livelli di rischio a seconda delle realtà
aziendali (attività, trattamenti, organizzazione)
• Sistema privacy organizzato, documentato,
costantemente aggiornato
• NO formalismi e standard imposti ex lege
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
3. PERCORSO DI ADEGUAMENTO
• Mappare i propri dati
• Intervistare i dipendenti che trattano dati personali
• Individuare le proprie banche dati cartacee e
informatiche (trattamenti, finalità, base giuridica,
tipologia di dato…)
• Evidenziare i flussi di dati all’esterno per impostare
la filiera privacy (responsabili esterni del trattamento,
clausole di outsourcing, titolari autonomi, gruppo)
• Attenzione alle comunicazioni extra UE
• Analisi dei rischi ex art. 32, poi eventuale DPIA ex art.
35
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
4.
5. CONSENSO
• «qualsiasi manifestazione di volontà libera, specifica, informata e
inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati
personali che lo riguardano siano oggetto di trattamento»
• Ergo: possibilità di diniego, trattamenti ben individuati con finalità puntuali
(no consenso a base generale) e deve essere acquisito in base ad
un’informativa adeguata (qualità dell’informazione, accessibilità e visibilità).
Inequivocabile e liberamente revocabile.
• Attenzione all’acquisto di liste di marketing: sincerarsi che i consensi alla
base siano validi e informare i clienti del subentro con un’informativa che
indichi l’origine dei dati
• Se già clienti no consenso per comunicazioni elettroniche su servizi analoghi
a condizione che non sia intervenuto rifiuto ma ragionevolezza temporale e
interpretazione restrittiva
• Consenso dei minori valido a partire dai 16 anni
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
6. CONTENUTI INFORMATIVA
• Identità e dati di contatto del titolare e del responsabile
• I dati di contatti del DPO (se presente)
• Finalitàle base giuridica del trattamento (se del caso specificare quale
legittimo interesse)
• Eventuali destinatari
• Se trasferisce i dati personali in Paesi terzi
• Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo
• Il diritto di presentare un reclamo all’autorità di controllo
• Se il trattamento comporta processi decisionali automatizzati
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
7. ORGANIGRAMMA PRIVACY
• Titolare nel caso di CDA delega privacy
• Referente privacy con o senza procura
• Dipendenti autorizzati e istruiti al trattamento
• Incaricati «particolari» come amministratore di sistema
(provv. Del Garante del 27/11/2008), rspp, addetto
videosorveglianza
• DPO per privati ex art. 37 quando il titolare (o il
responsabile del trattamento) svolgono come principali
attività trattamenti che richiedono il monitoraggio regolare
e sistematico degli interessati su larga scala O trattamenti
su larga scala di categorie particolari di dati personali o di
dati giudiziari.
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
8. DATA PROTECTION OFFICER (DPO) O RESPONSABILE
DELLA PROTEZIONE DEI DATI PERSONALI (RPD) ART. 37
• LG WP29 cita come es. di trattamenti su «larga scala»: app che
tracciano la posizione, dispositivi connessi come automobili
intelligenti, assistenti domotici, app che monitorano il benessere
psicofisico ecc...
• Tra gli esempi di soggetti tenuti alla sua nomina il Garante cita le
«società che forniscono servizi informatici», ma successivamente
esclude le piccole e medie imprese «con riferimento ai trattamenti dei
dati personali connessi alla gestione corrente dei rapporti con
fornitori e dipendenti» sembrano escluse le start-up società
informatiche del b2b, ma quelle del b2c?
• Nei casi dubbi nominarlo
• Figura consulenziale esterna nelle piccole realtà
• Adeguata formazione e no conflitti di interesse
• Solo eventuale responsabilità professionale, ma culpa in eligendo per
il titolare
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
9. DOCUMENTAZIONE
• Rivedere le informative, attenzione al consenso
• Policy interne ad es. sull’utilizzo degli strumenti
informatici
• Registro delle attività di trattamento sempre consigliabile
anche se non obbligatorio
• Rivedere contratti con i terzi cui comunico dati personali
• Se contitolari (es. portale con marketing condiviso)
accordo interno che disciplina le rispettive responsabilità
circa gli obblighi del GDPR. Il contenuto dell’accordo
deve essere a disposizione degli interessati, diritti
esercitabili contro tutti i contitolari.
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
10. NOMINA RESPONSABILI ESTERNI
• Es: call center, società di elaborazione paghe, società che
gestisce in outsourcing la contabilità, società che gestisce
totalmente il sistema informatico con server presso di sé,
agenti di commercio, attività di service infragruppo…
• Art. 28 c. 1: «Qualora un trattamento debba essere effettuato
per conto del titolare del trattamento, quest'ultimo ricorre
unicamente a responsabili del trattamento che presentino
garanzie sufficienti per mettere in atto misure tecniche e
organizzative adeguate in modo tale che il trattamento soddisfi
i requisiti del presente regolamento e garantisca la tutela dei
diritti dell'interessato.»
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
11. CONTRATTO DEVE PREVEDERE CHE IL RESPONSABILE:
• Tratti i dati soltanto su istruzione documentata del Titolare
• Garantisca che le persone autorizzate al trattamento si siano impegnate alla
riservatezza o abbiano un adeguato obbligo legale alla riservatezza
• Adotti tutte le misure di sicurezza adeguate
• Rispetti le condizioni previste per ricorrere ad un sub-responsabile
• Assista il Titolare al fine di soddisfare l’obbligo del Titolare di dar seguito alle
richieste per l’esercizio dei diritti dell’interessato
• Assista il Titolare nel garantire il rispetto degli obblighi di cui agli art. da 32 a
36 (sicurezza dei dati personali), tenendo conto della natura del trattamento e
delle informazioni a disposizione del Responsabile
• Su scelta del Titolare, cancelli o gli restituisca tutti i dati personali dopo che è
terminata la prestazione dei servizi relativi al trattamento e cancelli le copie
esistenti, salvo che la legge preveda la conservazione dei dati
• Metta a disposizione del Titolare tutte le informazioni necessarie per
dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e
contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal
Titolare
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
12. MISURE DI SICUREZZA ADEGUATE
• Informatiche ma anche organizzative
• No elenco tassativo come vecchio allegato B ma Linee guida ENISA cfr ISO
27001
• Art. 32 c. 1: «Tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità
di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e
la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare
tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico; d) una procedura per testare, verificare e valutare
regolarmente l'efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento»
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
13. COSA FARE
• Minimizzazione: trattare solo i dati personali necessari alla
propria attività
• Determinare la durata della conservazione per ciascuna
categoria di dati (es. spesso obbligo di legge 10 anni per dati
ufficiali)
• Organizzare e mettere in sicurezza fisica, logica e soprattutto
informatica i dati personali
• Sicurezza informatica: integrità e riservatezza, analisi dei rischi
• Responsabilizzazione, quindi rendicontazione
• Eventuali adempimenti che dovessero rivelarsi necessari, es
DPIA o comunicazione DATA BREACH al Garante (e anche agli
interessati se il rischio per gli stessi è elevato oltre che
probabile)
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
14. DATA BREACH ART. 33
«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione
all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove
possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle
persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è
corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo
dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le
categorie e il numero approssimativo di interessati in questione nonché le categorie e il
numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di
altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del
trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per
attenuarne i possibili effetti negativi.
4.Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le
informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le
circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente
articolo.»
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
15. DIRITTI DEGLI INTERESSATI
• Obbligo di dare riscontro all’interessato entro 1 mese (o 3 in casi di
particolare difficoltà) rispetto a una serie di diritti.
• Diritto di accesso (art. 15) comprende il diritto di ricevere una copia dei dati
personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire
non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo
di conservazione previsto o, se non è possibile, i criteri utilizzati per definire
tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati
verso Paesi terzi.
• Diritto alla cancellazione dei propri dati personali (art. 17). Obbligo per i
titolari (se hanno “reso pubblici” i dati personali, ad esempio, pubblicandoli
su un sito web) di informare della richiesta di cancellazione altri titolari che
trattano quei dati personali, compresi “qualsiasi link, copia o riproduzione”.
Ha un campo di applicazione più esteso di quello dell’attuale Codice, poiché
l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per
esempio, anche dopo revoca del consenso al trattamento.
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
16. • Diritto di limitazione del trattamento (art. 18) è esercitabile anche se
l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte
del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del
regolamento (in attesa della valutazione da parte del titolare). Esclusa la
conservazione, ogni altro trattamento del dato di cui si chiede la
limitazione è vietato a meno che ricorrano determinate circostanze
(consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela
diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
• Diritto alla portabilità dei dati (art. 20) Applicabile solo se trattamenti
automatizzati e dati trattati con il consenso dell’interessato o sulla base di
un contratto, e comunque solo relativamente ai dati che siano stati
“forniti” dall’interessato al titolare. Inoltre, il titolare deve essere in grado
di trasferire direttamente i dati portabili a un altro titolare indicato
dall’interessato, se tecnicamente possibile.
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
17. TRASFERIMENTO DATI EXTRA UE
• Ogni trasferimento dati da un titolare o da un responsabile può
avvenire solo sulla base di:
a) una decisione di adeguatezza della Commissione UE cfr quel
Paese
b) cd. garanzie adeguate (come le clausole tipo di protezione
approvate dalla Commissione; i codici di condotta; certificazioni;
clausole contrattuali autorizzate dal Garante)
c) cd. Binding corporate rules approvate dal Garante a condizione
che Siano giuridicamente vincolanti e conferiscano
espressamente agli interessati diritti azionabili
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
18. DEROGHE EX ART. 49
• Consenso esplicito dell’interessato allo specifico trasferimento
• Trasferimento necessario ad esecuzione di un contratto, per
importanti motivi di interesse pubblico, per accertare un diritto
davanti al giudice, per interessi vitali dell’interessato o di altre
persone (se il medesimo interessato è incapace).
• Trasferimento sia effettuato a partire da un registro
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
19. SISTEMA PRIVACY ORGANIZZATO
• Opportunità per migliorare la gestione della
propria organizzazione
• Ottimo biglietto da visita per l’impresa,
probabilmente sarà presto previsto anche nei
bandi pubblici
• Sanzioni amministrative fino a 20.000.000€ o al
4% del fatturato mondiale
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
20. PIANO ISPETTIVO DEL GARANTE PER IL 1° SEMESTRE
2018 (NEWSLETTER N. 438 FEBBRAIO 2018)
• «L’attività ispettiva, svolta anche in collaborazione con il
Nucleo speciale privacy della Guardia di finanza …
riguarderà innanzitutto i trattamenti di dati effettuati dalle
ASL e poi trasferiti a terzi per il loro utilizzo a fini di ricerca,
il rilascio dell’identità digitale ai cittadini italiani (Spid),
l’attività delle società che si occupano di valutare il rischio e
la solvibilità delle imprese, il telemarketing, il Sistema
integrato di Microdati dell’Istat
• I controlli si concentreranno anche sull’adozione delle
misure di sicurezza da parte di pubbliche amministrazioni e
di imprese che trattano dati sensibili, il rispetto delle norme
sull’informativa e il consenso, la durata della conservazione
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
21. OLTRE ALLE ISPEZIONI
• Il Garante monitora i mass media
continuativamente
• Segnalazione dei singoli che può aprire un
procedimento del Garante
• Sempre possibile che l’interessato agisca in
giudizio per il risarcimento del danno o con
un’azione inibitoria
• Danno di immagine per l’azienda
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
22. RESPONSABILITÀ SOLIDALE
• Chiunque subisca un danno materiale o immateriale causato da una violazione
del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal
Responsabile
• Il Titolare risponde per il danno cagionato dal suo trattamento che violi il
GDPR.
• Il Responsabile risponde per il danno causato dal trattamento solo se non ha
adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha
agito in modo difforme e contrario rispetto alle istruzioni del Titolare
• Il Titolare o il Responsabile è esonerato dalla responsabilità se dimostra che
l’evento dannoso non gli è in alcun modo imputabile
• Qualora più Titolari o Responsabili oppure entrambi il Titolare e il responsabile
siano coinvolti nello stesso trattamento e siano responsabili dell’evento
dannoso causato dal trattamento, ogni Titolare o Responsabile è responsabile
in solido per l’intero ammontare del danno, al fine di garantire il risarcimento
effettivo dell’interessato
• Diritto di rivalsa
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O
23. GRAZIE PER L’ATTENZIONE!
Dott.ssa Ambra Nipote Bellan
Ufficio Legale Unione Industriale
a.nipote@ui.torino.it
A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E
T O R I N O