Privacy by Design nel Regolamento UE 2016/679 (GDPR)
1. Il Principio della «Privacy By Design»
nel REGOLAMENTO UE (2016/679)
Linux Day 2016
Palermo – 22 ottobre 2016
Teatro Gregotti - Università degli Studi di Palermo
relatore
Adriano Bertolino
2. CHI SONO?
Adriano Bertolino
it.linkedin.com/in/adrianobertolino
about.me/adrianobertolino
Data Protection Officer | Consulente della Privacy
Consulente e Formatore in materia di protezione dei dati personali
Dal 2001 mio occupo di consulenza e formazione in materia di privacy
(D.lgs. 196/03 ss.mm.ii.) per enti pubblici e privati, imprese, startup e
professionisti, in tutti i settori interessati dalle norme in materia. Durante
la mia attività di assistenza guardo sempre con particolare attenzione alla
protezione legale del cliente, utilizzando gli strumenti normativi come
criteri sia per un’efficiente organizzazione, sia per la gestione corretta dei
dati personali trattati, considerando questi ultimi quale risorsa primaria
ed essenziale per lo sviluppo dell'impresa.
a.bertolino@neostudio.it
Certificato TÜV Italia n° CDP_272
conforme ISO/IEC 17024:2012
4. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale EVOLUZIONE NORMATIVA
• Direttiva Europea n. 95/46/CE
• LEGGE n. 675/96 - La “legge sulla Privacy”
• DPR n. 318/99 - Decreto attuativo: Le misure di sicurezza
• D.LGS n. 196/2003 - Codice della Privacy
• REGOLAMENTO (UE) n. 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27/04/2016
Regolamento generale relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati. (#GDPR)
7. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale I principali temi del Regolamento UE 2016/679
Privacy by
Default
Trasferimenti
Extra
UE
Profilazione
on line
Trasparenza
Data
Breach
Threats
Portabilità
dei Dati
Social
e Minori
Privacy
Impact
Assessement
(PIA)
Dirittto
all’oblio
Threats
Privacy by
Design
Accountability
One
Stop
Shop
Data
Protection
Officer
Consenso
Esplicito
Misure di
Sicurezza
Sanzioni
Amministrative
elevate
8. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
PRINCIPALI DEFINIZIONI
L’ Articolo 4 della General Data Protection Regulation riporta le definizioni
fondamentali per comprendere l’applicazione del Regolamento UE.
Dato Personale
Trattamento
Pseudoanonimizzazione
Profilazione
Consenso dell'interessato
Titolare e Responsabile del
trattamento
Responsabile della protezione
dati (Data Protection Officer)
Violazione dei dati personali
Rappresentante
Trattamento transfrontaliero
Norme vincolanti d'impresa
9. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
DATO PERSONALE
“Qualsiasi informazione
riguardante una persona fisica
identificata o identificabile
(«interessato»); […],
direttamente o indirettamente
• Nome;
• Numeroidentificazione;(C.F./Matricola)
• Dati relativi all'ubicazione; (GPS)
• Identificativo online; (Login)
• Elementi caratteristici della sua
identità fisica, fisiologica, genetica,
psichica, economica, culturale o
sociale (Impronta, Iride, Comportamento,
Etnia, Status sociale e Economico)
11. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
TRATTAMENTO DEL DATO PERSONALE
«Qualsiasi operazione o insieme di operazioni,
compiute con o senza l'ausilio di processi automatizzati
e applicate a dati personali o insiemi di dati personali,
come la raccolta, la registrazione, l'organizzazione, la
strutturazione, la conservazione, l'adattamento o la
modifica, l'estrazione, la consultazione, l'uso, la
comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il raffronto
o l'interconnessione, la limitazione, la cancellazione o la
distruzione;»
13. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Come devono essere Trattati? Art.5
«Trattati in maniera da garantire un'adeguata sicurezza dei dati
personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentali»
Il titolare del trattamento è competente per il rispetto del trattamento
e deve essere in grado di comprovarlo («accountability»)
16. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Privacy by Design
Art. 25.1
Nel quadro di tale progettazione, tenuto conto e quindi in
proporzione
• dello stato dell’arte e dei costi di attuazione
• delle finalità del trattamento
• del grado di probabilità e gravità del rischio associato al
trattamento
il Titolare del trattamento, al momento di determinare i mezzi
del trattamento, mette in ogni caso in atto misure tecniche ed
organizzative adeguate quali la pseudoanonimizzazione o la
minimizzazione.
17. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Privacy by Design
Art. 4 - 5)
Pseudoanonimizzazione:
trattare dati personali in modo tale che tali dati non
possano più essere attribuiti a un interessato specifico
senza l'utilizzo di informazioni aggiuntive.
In ogni caso tali informazioni aggiuntive devono essere
conservate separatamente e soggette a misure tecniche e
organizzative volte a garantire che i dati personali non siano
attribuiti a una persona fisica identificata o identificabile.
20. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Privacy by Default
Art. 25.2
Il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate per garantire che siano trattati, per
impostazione predefinita, solo i dati personali necessari
per ogni specifica finalità del trattamento. Tale obbligo vale
per la quantità dei dati personali raccolti,[…] il periodo di
conservazione e l'accessibilità.[…]
21. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
In sostanza
1. Sicurezza Proattiva e non Reattiva;
2. Impostazioni di protezione dei dati di default;
3. Tutela dei dati personali inclusa nel progetto;
4. Funzionalità di protezione dei dati complete ( e non =);
5. Sicurezza durante tutto il ciclo del trattamento dalla raccolta
alla distruzione;
6. Trasparenza nelle informazioni all’interessato;
7. Centralità dell'utente nel trattamento (User Centric);
22. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Trattamento dati extra UE - 1
Articolo 44 - Principio generale per il trasferimento
• Qualunque trasferimento di dati personali oggetto di
un trattamento […] verso un paese terzo […], ha
luogo soltanto se il titolare del trattamento […]
rispettano le condizioni di cui al presente capo,[…].
Tutte le disposizioni del presente capo sono
applicate al fine di assicurare che il livello di
protezione delle persone fisiche garantito dal
presente regolamento non sia pregiudicato.
23. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale Trattamento dati extra UE - 2
Condizioni per il trasferimento dati extra UE:
• Decisione di adeguatezza presa dalla Commissione
europea.
Tuttavia la stessa Commissione almeno ogni 4 anni effettua un
riesame di tale decisione, al fine di verificare il mantenimento del
il livello di protezione adeguato già valutato.
24. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale Trattamento dati extra UE - 3
Condizioni per il trasferimento dati extra UE:
• Garanzie adeguate:
Il titolare o il responsabile del trattamento devono fornire
garanzie adeguate ovvero:
i. Siano disponibili diritti mezzi di ricorso effettivi per gli interessati;
ii. Norme vincolanti di impresa;
iii. Clausole contrattuali standard adottate dalla Commissione;
iv. Codici di condotta;
v. Certificazioni specifiche;
25. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale Trattamento dati extra UE - 4
Condizioni per il trasferimento dati extra UE:
• Norme vincolanti d'impresa (BCR–BindingCorporateRules):
a) Consente il trasferimento, anche verso paesi extra UE, tra società dello
stesso gruppo imprenditoriale;
b) Clausole contrattuali in linea con il GDPR, in particolare con art. 47 e
applicate in tutte le società del gruppo;
c) Le BCR devono essere valutate ed approvate preventivamente dalla
Commissione o dal Garante nazionale o europeo;
26. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Trattamento dati extra UE - 5
Casi deroga :
1. Consenso esplicitamente espresso dall’interessato al
trasferimento;
2. Quando è necessario per l'esecuzione di un contratto concluso tra
il titolare e l’interessato;
3. Per importanti motivi di ordine pubblico;
4. Per tutelare gli interessi vitali dell’interessato o altre persone;
5. Per accertare, esercitare o difendere un diritto in sede giudiziaria;
27. Studiodiconsulenzaperl’informaticagiuridicael’organizzazioneaziendale
Sanzioni amministrative - 1
Articolo 82 - Diritto al risarcimento e responsabilità
1.Chiunque subisca un danno materiale o immateriale
causato da una violazione del presente regolamento ha il
diritto di ottenere il risarcimento del danno dal titolare del
trattamento o dal responsabile del trattamento.
ma…
3.Il titolare del trattamento o il responsabile del
trattamento è esonerato dalla responsabilità, […] se
dimostra che l'evento dannoso non gli è in alcun modo
imputabile.