Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Connessi - KnowData16, Treviso, 10/6/2016
•
0 likes•275 views
Presentazione sui Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei Dati racconti dalle aziende - di Carlo Fiorente, Studio Legale FGR - utilizzata durante l'evento sull'approccio data driven KnowData16, svoltosi a Treviso il 10/6/2016
Recommended
Recommended
More Related Content
What's hot
What's hot (16)
Viewers also liked
Viewers also liked (20)
Similar to Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Connessi - KnowData16, Treviso, 10/6/2016
Similar to Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Connessi - KnowData16, Treviso, 10/6/2016 (20)
More from MOCA Interactive
More from MOCA Interactive (20)
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Connessi - KnowData16, Treviso, 10/6/2016
- 1. COME RACCOGLIERE E CONSERVARE I DATI RACCOLTI: PROFILI GIURIDICI E RISCHI CONNESSI GLI ATTUALI OBBLIGHI PRIVACY: IL CONSENSO AL TRATTAMENTO DEI DATI SENSIBILI, LA RACCOLTA E LA CONSERVAZIONE DEGLI STESSI, GLI EVENTUALI OBBLIGHI DI COMUNICAZIONE AL GARANTE DELLA PRIVACY, LE POSSIBILI SANZIONI IL NUOVO REGOLAMENTO DELL’UNIONE EUROPEA PER LA PROTEZIONE DEI DATI PERSONALI: BREVI CENNI E PROSPETTIVE FUTURE
- 2. MA COSA SI INTENDE PER DATI?
- 3. DATI PERSONALI: • Email • Codice fiscale • Partita iva • Numero di telefono • Indirizzo DATI IDENTIFICATIVI: • Nome e cognome DATI SENSIBILI: • Il contenuto di un certificato medico • Marco Ziero è di etnia Tutsi • Alberto Rossi appartiene ai testimoni di Geova • La tessera di appartenenza ad un partito o ad un sindacato
- 4. QUALI SONO LE FIGURE COINVOLTE NEL TRATTAMENTO DATI? • IL TITOLARE DEL TRATTAMENTO • IL RESPONSABILE DEL TRATTAMENTO • L’ INCARICATO DEL TRATTAMENTO
- 5. QUALI INFORMAZIONI E’ NECESSARIO FORNIRE ALL’INTERESSATO? • LE FINALITÀ E LE MODALITÀ DEL TRATTAMENTO • LE CONSEGUENZE DI UN EVENTUALE RIFIUTO A RISPONDERE • I SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O POSSONO COMUNQUE VENIRNE A CONOSCENZA • GLI ESTREMI IDENTIFICATIVI DEL TITOLARE DEL TRATTAMENTO E, SE PRESENTE, DEL RESPONSABILE • I DIRITTI DELL’INTERESSATO IN ORDINE AI SUOI DATI RACCOLTI
- 6. DATA L’INFORMATIVA, DEV’ESSERE RACCOLTO IL CONSENSO • DOCUMENTATO • SPECIFICO PREVENTIVA NOTIFICA AL GARANTE DEL TRATTAMENTO DATI DATI SENSIBILI - SEMPRE DATI PERSONALI – IN SPECIFICI CASI (ES. PROFILAZIONE)
- 7. IL NUOVO REGOLAMENTO REGOLAMENTO (UE) 2016/679 del 27 aprile 2016 APPLICABILE DAL 25 MAGGIO 2018
- 8. QUALI SONO LE PRINCIPALI NOVITA’ ? • MANSIONI, CARATTERISTICHE E NATURA DELLE FIGURE INTERESSATE, NONCHE’ NUOVE FIGURE • PRINCIPIO DI ACCOUNTABILITY • VALUTAZIONE D’IMPATTO • DATA BREACH • CONSULTAZIONE PREVENTIVA • CERTIFICAZIONE • SANZIONI
- 9. TITOLARE DEL TRATTAMENTO • DEVE PORRE IN ESSERE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE IN GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO È EFFETTUATO IN CONFORMITÀ AL REGOLAMENTO. RESPONSABILE DEL TRATTAMENTO • CONNOTAZIONE PROFESSIONALE • DEVE ESSERE OBBLIGATORIAMENTE NOMINATO • NON SI POTRÀ PIÙ VEROSIMILMENTE NOMINARE QUALE RESPONSABILE IL SOGGETTO AVENTE LA RAPPRESENTANZA GIURIDICA DELL’ENTE, A MENO CHE QUELLO STESSO SOGGETTO NON SIA GRADO DI DIMOSTRARE LA COMPROVATA CONOSCENZA DELLA MATERIA
- 10. DATA PROTECTION OFFICER richiesta una conoscenza specialistica della normativa e delle prassi in materia di protezione dati SARA’ NECESSARIO SE : • il titolare è una pubblica amministrazione • l’attività principale del titolare o del responsabile consistono in trattamenti di dati che per loro natura o per finalità richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala • le attività principali del titolare o del responsabile consistano nel trattamento, in larga scala, di dati sensibili COMPITI IN CAPO AL DATA PROTECTION OFFICER • occuparsi della formazione interna all’azienda • sorvegliare l'osservanza delle procedure adottate dal titolare • fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento • fungere da punto di contatto tra l’azienda e l'autorità di controllo
- 11. PRINCIPIO DI ACCOUNTABILITY • ADOZIONE DI MISURE ADEGUATE PER GARANTIRE CHE IL TRATTAMENTO DEI DATI VENGA EFFETTUATO IN CONFORMITÀ ALLA DISCIPLINA SULLA PRIVACY • CAPACITÀ DI DIMOSTRARLO ELABORAZIONE, QUINDI, DI SPECIFICI MODELLI ORGANIZZATIVI (ES. D.LGS. 231/2001 O SICUREZZA) Protocolli finalizzati a : • MINIMIZZARE IL TRATTAMENTO DEI DATI • CONSENTIRE PER QUANTO POSSIBILE L’ANONIMATO DEI DATI • DETERMINARE A PRIORI LA DURATA DEL TRATTAMENTO ED IL PERIODO DI CONSERVAZIONE DEI DATI • IDENTIFICARE PRECISAMENTE CHI AVRÀ ACCESSO AI DATI A tal fine dovranno presentare misure atte a garantire : • PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI • CAPACITÀ DI ASSICURARE LA RISERVATEZZA, L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI • PROCEDURA DI VERIFICA E DI VALUTAZIONE SULL’EFFICACIA DI DETTE MISURE • PREVEDERE L’ADESIONE AD UN CODICE DI CONDOTTA O UN MECCANISMO DI CERTIFICAZIONE
- 12. TENUTA DEI REGISTRI 2 REGISTRI: titolare + responsabile SOGGETTI OBBLIGATI: - IMPRESE CON PIÙ DI 250 DIPENDENTI - TRATTAMENTO NON OCCASIONALE - TRATTAMENTO CHE COMPORTA RISCHI PER I DIRITTI E LE LIBERTÀ DELL’INTERESSATO CONTENUTO DEL REGISTRO: • descrizione delle categorie di interessati delle categorie di dati personali • le finalità del trattamento • le categorie di destinatari a cui i dati sono stati o saranno comunicati • i termini per la cancellazione dei dati • descrizione generale delle misure di sicurezza tecnico-organizzative • dati del titolare e del responsabile • “categoria dei trattamenti effettuati” (solo per il registro del responsabile)
- 13. VALUTAZIONE D’IMPATTO RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE In particolare se : • SI TRATTA DI UN TRATTAMENTO AUTOMATIZZATO, COMPRESA LA PROFILAZIONE • IL TRATTAMENTO, SU LARGA SCALA, RIGUARDA I DATI PERSONALI SENSIBILI O DATI RELATIVI A CONDANNE PENALI E A REATI • QUANDO SI TRATTI DI SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA ACCESSIBILE AL PUBBLICO E’ l’analisi preventiva, effettuata dal responsabile e dal titolare, volta a verificare se le misure organizzative poste in essere sono idonee ad evitare la lesione dei diritti e delle libertà individuali SE LA RISPOSTA E’ : SI = posso procedere al trattamento NO = consultazione preventiva
- 14. DATA BREACH IN CASO DI VIOLAZIONE DEI DATI PERSONALI IL TITOLARE DEL TRATTAMENTO DEVE : • NOTIFICARE LA VIOLAZIONE ALL'AUTORITÀ DI CONTROLLO COMPETENTE ENTRO 72 ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA • COMUNICARE ALL’INTERESSATO LA VIOLAZIONE DEI SUOI DATI PERSONALI
- 15. SANZIONI VIOLAZIONE OBBLIGHI DEL TITOLARE E DEL RESPONSABILE (ES. TENUTA DEI REGISTRI) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 10.000.000 EURO, O PER LE IMPRESE, SINO AL 2% DEL FATTURATO MONDIALE TOTALE DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE. VIOLAZIONE DISPOSIZIONI SU CONSENSO E DIRITTI DEGLI INTERESSATI (DATI SENSIBILI TRATTATI SENZA IL CONSENSO) SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 20.000.000 EURO, O PER LE IMPRESE, FINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO PRECEDENTE, SE SUPERIORE. Esempi Nell’attuale disciplina l’importo massivo previsto per una sanzione pecuniaria è di 150.000 Euro, in merito alla sicurezza, alla conservazione e alla distruzione dei dati nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 162 ter, Codice Privacy)
- 16. STUDIO LEGALE FGR Avv. Carlo Fiorente Via Montello, n. 83, Int. 9 31100 – Treviso Via Olivi, n. 37 30174 Mestre (VE) TEL 0422 - 1783688 FAX 0422 – 1780627 fiorente@studiolegalefgr.com