Presentazione sui Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei Dati racconti dalle aziende - di Carlo Fiorente, Studio Legale FGR - utilizzata durante l'evento sull'approccio data driven KnowData16, svoltosi a Treviso il 10/6/2016
Conversioni e micro-conversioni - SMXL, Milano, Novembre 2016
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Connessi - KnowData16, Treviso, 10/6/2016
1. COME RACCOGLIERE E CONSERVARE I DATI
RACCOLTI: PROFILI GIURIDICI E RISCHI
CONNESSI
GLI ATTUALI OBBLIGHI PRIVACY: IL CONSENSO AL TRATTAMENTO DEI DATI
SENSIBILI, LA RACCOLTA E LA CONSERVAZIONE DEGLI STESSI, GLI EVENTUALI
OBBLIGHI DI COMUNICAZIONE AL GARANTE DELLA PRIVACY, LE POSSIBILI
SANZIONI
IL NUOVO REGOLAMENTO DELL’UNIONE EUROPEA PER LA PROTEZIONE DEI DATI
PERSONALI: BREVI CENNI E PROSPETTIVE FUTURE
3. DATI PERSONALI:
• Email
• Codice fiscale
• Partita iva
• Numero di telefono
• Indirizzo
DATI IDENTIFICATIVI:
• Nome e cognome
DATI SENSIBILI:
• Il contenuto di un certificato medico
• Marco Ziero è di etnia Tutsi
• Alberto Rossi appartiene ai testimoni di Geova
• La tessera di appartenenza ad un partito o ad un
sindacato
4. QUALI SONO LE FIGURE COINVOLTE
NEL TRATTAMENTO DATI?
• IL TITOLARE DEL TRATTAMENTO
• IL RESPONSABILE DEL TRATTAMENTO
• L’ INCARICATO DEL TRATTAMENTO
5. QUALI INFORMAZIONI E’
NECESSARIO FORNIRE
ALL’INTERESSATO?
• LE FINALITÀ E LE MODALITÀ DEL TRATTAMENTO
• LE CONSEGUENZE DI UN EVENTUALE RIFIUTO A RISPONDERE
• I SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O POSSONO
COMUNQUE VENIRNE A CONOSCENZA
• GLI ESTREMI IDENTIFICATIVI DEL TITOLARE DEL TRATTAMENTO E, SE PRESENTE, DEL
RESPONSABILE
• I DIRITTI DELL’INTERESSATO IN ORDINE AI SUOI DATI RACCOLTI
6. DATA L’INFORMATIVA, DEV’ESSERE RACCOLTO IL CONSENSO
• DOCUMENTATO
• SPECIFICO
PREVENTIVA NOTIFICA AL GARANTE DEL TRATTAMENTO DATI
DATI SENSIBILI - SEMPRE
DATI PERSONALI – IN SPECIFICI CASI (ES. PROFILAZIONE)
8. QUALI SONO LE PRINCIPALI
NOVITA’ ?
• MANSIONI, CARATTERISTICHE E NATURA DELLE FIGURE INTERESSATE,
NONCHE’ NUOVE FIGURE
• PRINCIPIO DI ACCOUNTABILITY
• VALUTAZIONE D’IMPATTO
• DATA BREACH
• CONSULTAZIONE PREVENTIVA
• CERTIFICAZIONE
• SANZIONI
9. TITOLARE DEL TRATTAMENTO
• DEVE PORRE IN ESSERE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE IN
GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO È EFFETTUATO IN CONFORMITÀ AL REGOLAMENTO.
RESPONSABILE DEL TRATTAMENTO
• CONNOTAZIONE PROFESSIONALE
• DEVE ESSERE OBBLIGATORIAMENTE NOMINATO
• NON SI POTRÀ PIÙ VEROSIMILMENTE NOMINARE QUALE RESPONSABILE IL SOGGETTO AVENTE LA
RAPPRESENTANZA GIURIDICA DELL’ENTE, A MENO CHE QUELLO STESSO SOGGETTO NON SIA GRADO DI
DIMOSTRARE LA COMPROVATA CONOSCENZA DELLA MATERIA
10. DATA PROTECTION OFFICER
richiesta una conoscenza specialistica della normativa e delle prassi in materia di protezione dati
SARA’ NECESSARIO SE :
• il titolare è una pubblica amministrazione
• l’attività principale del titolare o del responsabile consistono in trattamenti di dati che per loro natura o per
finalità richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala
• le attività principali del titolare o del responsabile consistano nel trattamento, in larga scala, di dati sensibili
COMPITI IN CAPO AL DATA PROTECTION OFFICER
• occuparsi della formazione interna all’azienda
• sorvegliare l'osservanza delle procedure adottate dal titolare
• fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento
• fungere da punto di contatto tra l’azienda e l'autorità di controllo
11. PRINCIPIO DI ACCOUNTABILITY
• ADOZIONE DI MISURE ADEGUATE PER GARANTIRE CHE IL TRATTAMENTO DEI DATI VENGA EFFETTUATO IN CONFORMITÀ
ALLA DISCIPLINA SULLA PRIVACY
• CAPACITÀ DI DIMOSTRARLO
ELABORAZIONE, QUINDI, DI SPECIFICI MODELLI ORGANIZZATIVI (ES. D.LGS. 231/2001 O SICUREZZA)
Protocolli finalizzati a :
• MINIMIZZARE IL TRATTAMENTO DEI DATI
• CONSENTIRE PER QUANTO POSSIBILE L’ANONIMATO DEI DATI
• DETERMINARE A PRIORI LA DURATA DEL TRATTAMENTO ED IL PERIODO DI CONSERVAZIONE DEI DATI
• IDENTIFICARE PRECISAMENTE CHI AVRÀ ACCESSO AI DATI
A tal fine dovranno presentare misure atte a garantire :
• PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI
• CAPACITÀ DI ASSICURARE LA RISERVATEZZA, L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI
• PROCEDURA DI VERIFICA E DI VALUTAZIONE SULL’EFFICACIA DI DETTE MISURE
• PREVEDERE L’ADESIONE AD UN CODICE DI CONDOTTA O UN MECCANISMO DI CERTIFICAZIONE
12. TENUTA DEI REGISTRI
2 REGISTRI: titolare + responsabile
SOGGETTI OBBLIGATI:
- IMPRESE CON PIÙ DI 250 DIPENDENTI
- TRATTAMENTO NON OCCASIONALE
- TRATTAMENTO CHE COMPORTA RISCHI PER I DIRITTI E LE LIBERTÀ DELL’INTERESSATO
CONTENUTO DEL REGISTRO:
• descrizione delle categorie di interessati delle categorie di dati personali
• le finalità del trattamento
• le categorie di destinatari a cui i dati sono stati o saranno comunicati
• i termini per la cancellazione dei dati
• descrizione generale delle misure di sicurezza tecnico-organizzative
• dati del titolare e del responsabile
• “categoria dei trattamenti effettuati” (solo per il registro del responsabile)
13. VALUTAZIONE D’IMPATTO
RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE
In particolare se :
• SI TRATTA DI UN TRATTAMENTO AUTOMATIZZATO, COMPRESA LA PROFILAZIONE
• IL TRATTAMENTO, SU LARGA SCALA, RIGUARDA I DATI PERSONALI SENSIBILI O DATI
RELATIVI A CONDANNE PENALI E A REATI
• QUANDO SI TRATTI DI SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA
ACCESSIBILE AL PUBBLICO
E’ l’analisi preventiva, effettuata dal responsabile e dal titolare, volta a verificare se le misure organizzative poste
in essere sono idonee ad evitare la lesione dei diritti e delle libertà individuali
SE LA RISPOSTA E’ :
SI = posso procedere al trattamento
NO = consultazione preventiva
14. DATA BREACH
IN CASO DI VIOLAZIONE DEI DATI PERSONALI IL TITOLARE DEL TRATTAMENTO DEVE :
• NOTIFICARE LA VIOLAZIONE ALL'AUTORITÀ DI CONTROLLO COMPETENTE ENTRO 72
ORE DAL MOMENTO IN CUI NE È VENUTO A CONOSCENZA
• COMUNICARE ALL’INTERESSATO LA VIOLAZIONE DEI SUOI DATI PERSONALI
15. SANZIONI
VIOLAZIONE OBBLIGHI DEL TITOLARE E DEL RESPONSABILE (ES. TENUTA DEI REGISTRI)
SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 10.000.000 EURO, O PER LE IMPRESE,
SINO AL 2% DEL FATTURATO MONDIALE TOTALE DELL’ESERCIZIO PRECEDENTE, SE
SUPERIORE.
VIOLAZIONE DISPOSIZIONI SU CONSENSO E DIRITTI DEGLI INTERESSATI (DATI SENSIBILI
TRATTATI SENZA IL CONSENSO)
SANZIONE AMMINISTRATIVA PECUNIARIA SINO A 20.000.000 EURO, O PER LE IMPRESE,
FINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO PRECEDENTE, SE
SUPERIORE.
Esempi
Nell’attuale disciplina l’importo massivo previsto per una sanzione pecuniaria è di 150.000 Euro, in merito alla
sicurezza, alla conservazione e alla distruzione dei dati nei confronti dei fornitori di servizi di comunicazione
elettronica accessibili al pubblico (art. 162 ter, Codice Privacy)
16. STUDIO LEGALE FGR
Avv. Carlo Fiorente
Via Montello, n. 83, Int. 9
31100 – Treviso
Via Olivi, n. 37
30174 Mestre (VE)
TEL 0422 - 1783688
FAX 0422 – 1780627
fiorente@studiolegalefgr.com