Le slide del webinar del 29 marzo 2023 organizzato dall'Ordine degli Psicologi del Veneto.
Si è parlato della definizione di "dato", degli aspetti oggettivi e soggettivi del trattamento dati e della documentazione essenziale per una gestione "compliant" dello studio professionale.
Previdenza e Assistenza Forense - Facciamo il punto
GDPR per psicologi, l'importanza della gestione dei dati
1. GDPR PER PSICOLOGI,
GDPR PER PSICOLOGI,
L'IMPORTANZA DELLA GESTIONE DEI DATI
L'IMPORTANZA DELLA GESTIONE DEI DATI
INCONTRO DI FORMAZIONE
INCONTRO DI FORMAZIONE
29 MARZO 2023
29 MARZO 2023
ORE 15.00-17.00
ORE 15.00-17.00
Avvocato
EDOARDO FERRARO
AVVOCATO DEL FORO DI PADOVA
2. I DATI COME OGGETTO DI TUTELA ED
I DATI COME OGGETTO DI TUTELA ED
I PRÌNCIPI APPLICABILI AL TRATTAMENTO
I PRÌNCIPI APPLICABILI AL TRATTAMENTO
INCONTRO DI FORMAZIONE
INCONTRO DI FORMAZIONE
29 MARZO 2023
29 MARZO 2023
ORE 15.00-17.00
ORE 15.00-17.00
Avvocato
EDOARDO FERRARO
AVVOCATO DEL FORO DI PADOVA
3. I dati sono diventati, soprattutto
negli ultimi anni, un bene
meritevole di tutela.
Proprio per questo si sono
sviluppate legislazioni e
normative al fine di
garantirne la sicurezza.
I DATI COME OGGETTO DI TUTELA
I DATI COME OGGETTO DI TUTELA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
4. I DATI COME OGGETTO DI TUTELA
I DATI COME OGGETTO DI TUTELA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
5. I DATI COME OGGETTO DI TUTELA
I DATI COME OGGETTO DI TUTELA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
6. Il regolamento comunitario n. 679 del 2016, entrato in vigore il 25 maggio
2016 ma con termine per l’adeguamento fino al 25 maggio 2018, coinvolge
aziende e professionisti.
Il regolamento, comunemente abbreviato con l’acronimo GDPR (General Data
Protection Regulation) si occupa della protezione dei dati personali e di tutelare
la libera circolazione dei dati e prevede significative novità rispetto al Codice c.d.
Privacy portato dal D. Lgs. 196/2003, passando da una tutela spesso rimasta
solo formale, a una tutela sostanziale del dato
tutela sostanziale del dato.
I DATI COME OGGETTO DI TUTELA
I DATI COME OGGETTO DI TUTELA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
7. Nell'ambito delle consulenze tecniche d'ufficio (come CTU o come CTP):
- acquisizione dei dati, anche in modalità audio o video
- custodia della documentazione
- attività da remoto nelle loro declinazioni
- condivisione della documentazione
- consegna della documentazione, in originale via telematica
- modulistica “GDPR compliant”
ATTENZIONE: queste sono questioni che non sono da pensare singolarmente
ATTENZIONE: queste sono questioni che non sono da pensare singolarmente
COSA SPECIFICAMENTE CI INTERESSA?
COSA SPECIFICAMENTE CI INTERESSA?
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
8. Il Legislatore europeo responsabilizza i Titolari (e i Responsabili del Trattamento)
e affida loro il compito di adottare «misure adeguate»
«misure adeguate» di protezione dati, con
ciò sganciandosi dalle check-list e dalle misure minime di sicurezza del D. Lgs.
196/2003 (peraltro abrogate ora post D. Lgs. 101/2018).
Fondamentali per capire come interpretare ed applicare il GDPR, ma anche la
normativa italiana del D. Lgs. 101/2018, è comprendere i due princìpi
fondamentali che permeano il regolamento:
Accountability
Accountability = Responsabilizzazione
= Responsabilizzazione
Compliance
Compliance = Adeguamento spontaneo
= Adeguamento spontaneo
I PRINCÌPI APPLICABILI AL
I PRINCÌPI APPLICABILI AL
TRATTAMENTO DEI DATI PERSONALI
TRATTAMENTO DEI DATI PERSONALI
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
9. Il GDPR non impone prescrizioni di dettaglio, ma chiede nella sostanza che il
dato venga tutelato al meglio delle possibilità consentite dallo “stato dell’arte”, e
che il titolare possa dimostrare di aver attuato azioni positive per la tutela.
Ad oggi la realtà delle aziende vede convivere ditte individuali, società di
persone, piccole o medie imprese e grandi realtà imprenditoriali.
Analogo discorso vale per i liberi professionisti e gli studi professionali.
L’attuale assetto delle imprese e la necessità di una tutela sostanziale dei dati
(che dipende dalla struttura e dall’organizzazione delle aziende oltreché dalle
soluzioni tecniche adottate) rende difficile individuare soluzioni omogenee o
difficile individuare soluzioni omogenee o
standard
standard.
I PRINCÌPI APPLICABILI AL
I PRINCÌPI APPLICABILI AL
TRATTAMENTO DEI DATI PERSONALI
TRATTAMENTO DEI DATI PERSONALI
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
10. Accountability
Accountability si può interpretare come responsabilità, e superamento di un
controllo, su di una impostazione relativa a:
1) Procedure interne predisposte per i trattamenti prevedendo “a monte”
misure adeguate di protezione dei dati (privacy by design e by default)
2) Policy introdotte in materia di protezione dati, e loro applicazione (formare il
personale!)
3) Mappatura dei trattamenti dati effettuati ed elaborazione di un inventario
(registro dei trattamenti) degli stessi
4) Consegna di “istruzioni” scritte per i «soggetti designati» interni
5) Incarico ad un DPO (in alcuni casi obbligatorio, in altri altamente consigliato)
e comunicazione del nominativo all’Autorità Garante
ACCOUNTABILITY
ACCOUNTABILITY
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
11. 6) Creazione di procedure di gestione dei diritti degli Interessati (stabilendo
regole per l’accesso, la gestione del contenzioso, il riscontro tempestivo etc.)
7) Introduzione di procedure per la rilevazione e comunicazione (se del caso)
dei data breach
8) Predisposizione, ove necessario, delle DPIA (valutazioni di impatto - art 35)
9) Valutazione dei rischi relativi ad ogni singolo trattamento (ivi inclusa la
valutazione dell’adeguatezza delle misure tecnologiche/fisiche adottate a
protezione dei dati trattati)
10) Costante aggiornamento e verifica del sistema «privacy/data protection»
introdotto
ACCOUNTABILITY
ACCOUNTABILITY
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
12. Legato alla natura “sfaccettata” e molteplice dei titolari, è il secondo principio
che informa il GDPR, ovvero il principio di compliance
compliance, in relazione al quale le
attività del titolare devono basarsi e adattarsi alla realtà di ogni singolo
trattamento.
Volendo esemplificare, molti studi professionali hanno un sito internet
“vetrina”, ma alcuni prevedono anche interazioni dirette con gli utenti tramite
applicazioni o l’invio di comunicazioni, newletters, etc etc.
È chiaro che, quando si parla di tutela del dato, ad ogni realtà corrisponde un
diverso grado di rischio e, conseguentemente, saranno diverse le attività da
svolgere.
COMPLIANCE
COMPLIANCE
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
13. GDPR: PROFILI OGGETTIVI
GDPR: PROFILI OGGETTIVI
E PROFILI SOGGETTIVI
E PROFILI SOGGETTIVI
INCONTRO DI FORMAZIONE
INCONTRO DI FORMAZIONE
29 MARZO 2023
29 MARZO 2023
ORE 15.00-17.00
ORE 15.00-17.00
Avvocato
EDOARDO FERRARO
AVVOCATO DEL FORO DI PADOVA
14. Dati personali:
Dati personali: “qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»); si considera identificabile la persona
fisica che può essere identificata, direttamente o indirettamente, con
particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più
elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica,
economica, culturale o sociale”.
Trattamento:
Trattamento: “qualsiasi operazione o insieme di operazioni [...] e applicate a
dati personali o insiemi di dati personali”.
I PROFILI OGGETTIVI
I PROFILI OGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
15. Dati “particolari”(già detti “sensibili”):
Dati “particolari”(già detti “sensibili”): “dati personali che rivelino l'origine
razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o
l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati relativi alla salute o alla
vita sessuale o all'orientamento sessuale della persona”.
Il divieto di trattamento di tali dati non opera quando “il trattamento è
“il trattamento è
necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o
necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o
ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni
ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni
giurisdizionali”
giurisdizionali”.
I PROFILI OGGETTIVI
I PROFILI OGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
16. Natura dei dati raccolti:
Natura dei dati raccolti:
● Finalizzati: raccolti e trattati per uno scopo preciso, da indicare.
● Accurati: verificati e esatti, con eventuale correzione e adeguamento.
● Limitati: raccolti nei limiti di quanto serve allo scopo.
● Riservati: custoditi con sistemi di sicurezza.
● A tempo: trattati e conservati per il tempo strettamente necessario allo
scopo.
I PROFILI OGGETTIVI
I PROFILI OGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
17. Titolare del Trattamento:
Titolare del Trattamento: persona fisica o giuridica che
persona fisica o giuridica che determina finalità e
determina finalità e
mezzi di trattamento
mezzi di trattamento dei dati personali.
dei dati personali.
Nel caso in cui il trattamento dei dati venga effettuato nell'ambito di una
persona giuridica, di una Pubblica Amministrazione o di un altro organismo, il
titolare deve essere identificato nell'ente nel suo complesso (ad esempio, la
società, il ministero, l'ente pubblico, l'associazione, ecc.) anziché in taluna delle
persone fisiche che operano nella relativa struttura e che concorrono, in
concreto, ad esprimerne la volontà o che sono legittimati a manifestarla
all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore
generale, il presidente, il legale rappresentante, ecc.).
I PROFILI SOGGETTIVI
I PROFILI SOGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
18. Co-titolari del Trattamento:
Co-titolari del Trattamento: due (o più) titolari che determinano
due (o più) titolari che determinano
congiuntamente le finalità e i mezzi del trattamento
congiuntamente le finalità e i mezzi del trattamento
Definiscono mediante un accordo interno, le rispettive responsabilità in merito
all’osservanza degli obblighi derivanti dal presente regolamento, con particolare
riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di
comunicazione delle informazioni: l’accordo riflette i rispettivi ruoli e i rapporti
dei co-titolari con gli interessati. Il contenuto essenziale dell’accordo è messo a
disposizione dell’interessato.
La responsabilità è “solidale”: l’interessato può esercitare i propri diritti ai sensi
del GDPR nei confronti di, e contro, ciascun titolare del trattamento.
I PROFILI SOGGETTIVI
I PROFILI SOGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
19. Responsabile del Trattamento:
Responsabile del Trattamento: persona fisica o giuridica che tratta dati
persona fisica o giuridica che tratta dati
personali per conto del titolare (
personali per conto del titolare (nomina con contratto o altro atto giuridico
nomina con contratto o altro atto giuridico).
.
Si tratta di soggetti terzi rispetto al titolare a cui vengono affidati a mezzo
contratto o incarico dati personali (es. commercialista, consulenti di parte,
interpreti, consulente del lavoro, amministratore di sistema, gestore cloud etc.)
su cui il titolare mantiene obbligo di vigilanza e responsabilità a titolo di culpa
in eligendo.
Soggetti designati
Soggetti designati (def. da D.Lgs. 101/2018)
(def. da D.Lgs. 101/2018) al Trattamento:
al Trattamento: soggetto interno
all’organizzazione su cui il titolare mantiene obbligo di vigilanza e
responsabilità a titolo di culpa in eligendo. Va indicato nell'organigramma
dell'organizzazione.
I PROFILI SOGGETTIVI
I PROFILI SOGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
20. DPO - Responsabile Protezione Dati Personali:
DPO - Responsabile Protezione Dati Personali: soggetto designato dal titolare
o dal responsabile del trattamento per assolvere a funzioni di supporto e
controllo, consultive, formative e informative relativamente all'applicazione del
Regolamento medesimo.
Il suo nominativo va comunicato al Garante.
La sua nomina non è obbligatoria in relazione a trattamenti effettuati da liberi
professionisti operanti in forma individuale.
Resta comunque consigliata, laddove si tratti di trattamento di dati sensibili e
particolari.
I PROFILI SOGGETTIVI
I PROFILI SOGGETTIVI
NEL GDPR
NEL GDPR
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
21. Come per ogni questione relativa alla privacy, nella vigenza del GDPR, la risposta
da dare è “dipende”
“dipende”.
Da cosa dipende?
Dipende dalla funzione che il professionista assume, come ad esempio:
● sarà TITOLARE laddove tratti i dati di un paziente proprio o tramite incarico
diretto in una CTU, come consulente di parte.
● sarà RESPONSABILE laddove l'incarico arrivi da altro professionista
(avvocato) in caso di una CTU, come consulente di parte.
● sarà SOGGETTO AUTORIZZATO laddove incaricato dal Tribunale come CTU.
E NELLA PRATICA?
E NELLA PRATICA?
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
22. LE BASI GIURIDICHE DEL TRATTAMENTO
LE BASI GIURIDICHE DEL TRATTAMENTO
E I DOCUMENTI RELATIVI
E I DOCUMENTI RELATIVI
INCONTRO DI FORMAZIONE
INCONTRO DI FORMAZIONE
29 MARZO 2023
29 MARZO 2023
ORE 15.00-17.00
ORE 15.00-17.00
Avvocato
EDOARDO FERRARO
AVVOCATO DEL FORO DI PADOVA
23. I dati vanno trattati in virtù di una base giuridica (art. 6) affinché il trattamento
possa considerarsi lecito. Non è necessario ottenere sempre il consenso della
persona di cui si trattano i dati. Va effettuata una valutazione in ragione della
finalità del trattamento e della tipologia del dato che viene trattato.
Tipologie di Basi giuridiche del trattamento:
- Autorizzazioni generali del Garante (verificare i rinnovi)
- Consenso del soggetto interessato
- Necessità di esecuzione di un contratto
- Adempimento di un obbligo legale
- Salvaguardia di interessi vitali
- Esecuzione di un compito o un interesse pubblico
LA BASE GIURIDICA
LA BASE GIURIDICA
DEL TRATTAMENTO DEI DATI
DEL TRATTAMENTO DEI DATI
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
24. Ove necessario il consenso per il trattamento dei dati personali, questo dovrà
essere preceduto dalle necessarie informazioni relativamente alla finalità ed alle
modalità del trattamento dei dati.
Il consenso dovrà riferirsi ad un specifico trattamento e ad una specifica
finalità:
- non può essere generico
- non può essere estendibile a vari possibili trattamenti
- va esclusa ogni forma di consenso tacito o mediante opzioni preselezionate.
IL CONSENSO
IL CONSENSO
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
25. L'informativa (artt. 13 e 14), di norma usata per la raccolta del consenso, non
deve essere necessariamente scritta: potrà essere anche orale.
In ogni caso, si raccomanda di utilizzare la forma scritta in quanto il GDPR
impone al titolare di dover eventualmente “dimostrare che l’interessato ha
prestato il proprio consenso al trattamento dei propri dati personali”.
Sarà quindi utile far anche sottoscrivere una dichiarazione in tal senso che si
accompagni all'informativa stessa.
L'informativa va raccolta in occasione del primo incontro, al momento in cui si
formalizza il rapporto e quando si acquisiscono i dati personali.
Qualora non sia stata ottenuta presso l’interessato, va fornita entro un termine
ragionevole e comunque entro 30 giorni.
L'INFORMATIVA
L'INFORMATIVA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
26. I contenuti che l'informativa deve avere sono i seguenti:
- l'identità e i dati di contatto del titolare
- i dati di contatto del responsabile della protezione dei dati
- le finalità del trattamento (e la base giuridica)
- gli eventuali destinatari dei dati personali
- il periodo di conservazione dei dati personali
- l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento
l'accesso ai dati personali, la rettifica o la cancellazione e la portabilità dei dati
- l'esistenza del diritto di revocare il consenso
- il diritto di proporre reclamo al Garante o al Giudice
- se la comunicazione di dati personali è un obbligo legale o contrattuale,
nonché le possibili conseguenze della mancata comunicazione di tali dati
L'INFORMATIVA
L'INFORMATIVA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
27. E pure qui la risposta è “dipende”
“dipende”.
Da cosa dipende?
Dipende anche in questo caso da come viene assunto l'incarico, come ad
esempio:
● Per il TITOLARE (paziente proprio) in ragione di contratto o consenso.
● Per il RESPONSABILE (incarico da altro professionista) si gestirà il dato in
base all'accordo col titolare, e la base del trattamento è da individuarsi nel
rapporto tra titolare stesso e soggetto interessato.
● Per il SOGGETTO AUTORIZZATO (CTU) si versa nella situazione dell'interesse
pubblico.
QUALE BASE PER IL TRATTAMENTO?
QUALE BASE PER IL TRATTAMENTO?
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
28. Non vi sono misure organizzative valide per ogni situazione: la valutazione e la
scelta delle misure da implementare dipende dalla modalità di gestione dello
studio professionale e del proprio lavoro.
Il GDPR statuisce che si debba tener conto “dello stato dell'arte e dei costi di
attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche, il titolare del trattamento e il responsabile del
trattamento mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio”.
MISURE COMUNI?
MISURE COMUNI?
NO: VALUTARE CASO PER CASO
NO: VALUTARE CASO PER CASO
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
29. - definire procedure interne prima dei nuovi trattamenti
- introdurre policy vincolanti per i nuovi trattamenti
- mappare i processi (registro attività di trattamento)
- designare un DPO se necessario, o funzioni similari
- attuare programmi di formazione del personale
- creare meccanismi interni per la gestione dei reclami
- definire procedure interne per la notifica delle violazioni della sicurezza (data
breach)
- effettuare la valutazione d’impatto per i trattamenti di dati che comportano
rischi specifici
- effettuare procedure di verifica per assicurare che tutte le misure siano
applicate ed efficaci
MISURE COMUNI?
MISURE COMUNI?
SOLO COME ESEMPLIFICAZIONI
SOLO COME ESEMPLIFICAZIONI
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
30. Come esempi di misure tecniche adeguate possono essere riprese le “misure di
sicurezza minime” previste dall’allegato B del Codice della Privacy:
- Autenticazione informatica e gestione delle credenziali di autenticazione
(password, id personale, ecc.)
- Aggiornamento periodico dell’ambito di trattamento
- Protezione degli strumenti elettronici: lo studio deve censire i sistemi
hardware e software e valutare la funzionalità (antivirus, sistemi operativi
aggiornati, wi-fi)
- Custodia di copie di sicurezza e verifica periodica della corrispondenza e della
funzionalità delle copie di backup al fine di verificare l'integrità dei dati
- Tecniche di cifratura per i dati “sensibili” (salute, sesso)
- Conservazione documentale informatica
MISURE TECNICHE?
MISURE TECNICHE?
UN RICHIAMO AL “VECCHIO CODICE”
UN RICHIAMO AL “VECCHIO CODICE”
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
31. 1) Documenti fondamentali:
1) Documenti fondamentali:
- Registro delle attività di trattamento dei dati
- Definizione organigramma aziendale
- Policy utilizzo strumenti informatici e logistica dell'azienda
- Informativa sul trattamento dei dati
- Linee guida Data Breach (moduli notifica, registro violazioni)
2) Documenti che comunque è sempre meglio produrre:
2) Documenti che comunque è sempre meglio produrre:
- Contratto di co-titolarità
- Contratto di nomina a responsabile esterno
- Kit formazione nuovi dipendenti/collaboratori
- Documento per l'esercizio dei diritti dell'interessato
- Documento verifica gestione del rischio (DPIA)
LA PROVA DEL RISPETTO DEL GDPR
LA PROVA DEL RISPETTO DEL GDPR
(ACCOUNTABILITY)
(ACCOUNTABILITY)
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
32. Il titolare del trattamento dovrà valutare l'attività dello studio e come la stessa
Il titolare del trattamento dovrà valutare l'attività dello studio e come la stessa
comporti il trattamento dei dati.
comporti il trattamento dei dati.
Ciò consentirà anche di impostare il registro dei trattamenti.
STEP 1
STEP 1
Individuare i soggetti interessati al trattamento
- dipendenti
- pazienti
STEP 2
STEP 2
Individuare le tipologie e le finalità in ragione degli interessati
- dipendenti: gestione anagrafica, dati retributivi e previdenziali, salute
- pazienti: gestione anagrafica, dati per l'incarico ricevuto, salute
LA VERIFICA DEL TRATTAMENTO E
LA VERIFICA DEL TRATTAMENTO E
L'IMPOSTAZIONE DEL REGISTRO
L'IMPOSTAZIONE DEL REGISTRO
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
33. STEP 3
STEP 3
Individuare le categorie di dati
- dipendenti: dati comuni e particolari (salute)
- pazienti: dati comuni e particolari (salute)
STEP 4
STEP 4
Individuare la base giuridica del trattamento
- dipendenti: contratto
- pazienti: incarico / adempimento di legge / consenso / contratto
STEP 5
STEP 5
Individuare gli altri soggetti che trattano i dati in concreto
- dipendenti: commercialista / consulente del lavoro (responsabili)
- pazienti: collaboratore / dipendenti / altri soggetti (incaricati o responsabili)
LA VERIFICA DEL TRATTAMENTO E
LA VERIFICA DEL TRATTAMENTO E
L'IMPOSTAZIONE DEL REGISTRO
L'IMPOSTAZIONE DEL REGISTRO
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
34. STEP 6
STEP 6
Individuare i soggetti cui si comunicano i dati
- dipendenti: PA / soggetti privati per date attività
- pazienti: PA / altri enti
STEP 7
STEP 7
Individuare modalità e tempi di trattamento dei dati
- dipendenti: 10 anni da cessazione rapporto di lavoro
- pazienti: tempistiche previste dalle normative di legge (di norma 10 anni)
Questi dati potranno essere utilizzati per redigere il registro dei trattamenti.
Altre categorie di soggetti interessati potrebbero essere stagisti, incaricati,
responsabili.
LA VERIFICA DEL TRATTAMENTO E
LA VERIFICA DEL TRATTAMENTO E
L'IMPOSTAZIONE DEL REGISTRO
L'IMPOSTAZIONE DEL REGISTRO
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
35. All'interno di una struttura organizzata può succedere che più professionisti
seguano medesime problematiche o gli stessi pazienti (il caso può essere quello
di più professionisti in tema di disturbi alimentari, dove gli aspetti psicologici si
uniscono a quelli metabolici, nutrizionali, endocrinologici, ecc.).
Tale situazione comporta il dover determinare modalità e finalità del
trattamento attraverso un accordo che disciplini le rispettive responsabilità.
Il GDPR richiede nel contratto che andrà firmato dai co-titolari, alcuni elementi
- Definizione dei ruoli dei contitolari per quanto riguarda il trattamento dei dati
- Regolamentazione sulla comunicazione delle informative
- Definizione responsabilità in merito all’esercizio dei diritti
- Individuazione di un punto di contatto tra gli interessati
ACCORDO INTERNO DI
ACCORDO INTERNO DI
CO-TITOLARITÀ
CO-TITOLARITÀ
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
36. Vi sono soggetti “esterni” che sono sicuramente coinvolti nel trattamento dati.
Tra questi i principali sono:
- Commercialisti
- Responsabili IT
- Consulenti esterni (laddove non siano Con-titolari)
Tali soggetti devono impegnarsi a rispettare quanto stabilito dal Titolare del
trattamento quanto mezzi e finalità per le quali i dati sono conferiti, nonché
garantire l’adozione di misure adeguate per la sicurezza del trattamento.
Il GDPR prevede che i trattamenti da parte dei Responsabili del trattamento
siano disciplinati da un contratto od altro atto giuridico a norma del diritto
comunitario o degli stati membri.
IL CONTRATTO CON IL
IL CONTRATTO CON IL
RESPONSABILE “ESTERNO”
RESPONSABILE “ESTERNO”
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
37. DATA BREACH E
DATA BREACH E
ANALISI DEI RISCHI
ANALISI DEI RISCHI
INCONTRO DI FORMAZIONE
INCONTRO DI FORMAZIONE
29 MARZO 2023
29 MARZO 2023
ORE 15.00-17.00
ORE 15.00-17.00
Avvocato
EDOARDO FERRARO
AVVOCATO DEL FORO DI PADOVA
38. In caso di Data
Data Breach
Breach (“violazione di sicurezza che comporta accidentalmente
o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non
autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque
trattati”), il titolare del trattamento notifica all'autorità di controllo
competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal
momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la
violazione dei dati personali presenti un rischio per i diritti e le libertà delle
persone fisiche.
Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è
corredata dei motivi del ritardo.
Sarà onere del titolare giudicare se sia necessario effettuare la segnalazione
onere del titolare giudicare se sia necessario effettuare la segnalazione.
DATA BREACH E
DATA BREACH E
OBBLIGO DI SEGNALAZIONE
OBBLIGO DI SEGNALAZIONE
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
39. La notifica al Garante deve:
● descrivere la natura della violazione dei dati personali compresi, ove
possibile, le categorie e il numero approssimativo di interessati in
questione, nonché le categorie e il numero approssimativo di registrazioni
dei dati;
● comunicare il nome e i dati di contatto del responsabile della protezione
dei dati o di altro punto di contatto presso cui ottenere più informazioni;
● descrivere le probabili conseguenze della violazione;
● descrivere le misure adottate o di cui si propone l'adozione da parte del
titolare del trattamento per porre rimedio alla violazione dei dati personali
e anche, se del caso, per attenuarne i possibili effetti negativi.
DATA BREACH E
DATA BREACH E
MODALITÀ DI SEGNALAZIONE
MODALITÀ DI SEGNALAZIONE
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
40. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove
tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del
trattamento, può presentare un rischio elevato per i diritti e le libertà delle
persone fisiche, il titolare del trattamento effettua, prima di procedere al
trattamento, una valutazione dell’impatto dei trattamenti previsti sulla
protezione dei dati personali.
Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla
protezione dei dati, si consulta con il responsabile della protezione dei dati,
qualora ne sia designato uno.
DPIA (VALUTAZIONE DI IMPATTO):
DPIA (VALUTAZIONE DI IMPATTO):
COME E QUANDO?
COME E QUANDO?
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
41. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è
richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone
fisiche, basata su un trattamento automatizzato, compresa la profilazione, e
sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo
analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui
all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui
all’articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
DPIA (VALUTAZIONE DI IMPATTO):
DPIA (VALUTAZIONE DI IMPATTO):
COME E QUANDO?
COME E QUANDO?
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
42. Nel 2013 l’E.N.I.S.A. (European Union Agency for Network and Information
Security) ha pubblicato uno studio che include delle linee guida in materia di
data breach che mirano a sensibilizzare su come prepararsi adeguatamente ad
un’eventuale violazione dei dati; come rilevare e valutare un data breach; come
notificare l’avvenuta violazione al soggetto interessato e all’autorità
competente.
Per la gravità della violazione vanno utilizzati alcuni criteri quantitativi, quali:
● Data Processing Context (DPC) che valuta la criticità dei dati coinvolti;
● Ease of Identification (EI) che determina il grado di individualizzazione;
● Circumstances of breach (CB) che quantifica tre tipologie di data breach
ovvero perdita di riservatezza, integrità e disponibilità.
LE LINEE GUIDA DELL'E.N.I.S.A.
LE LINEE GUIDA DELL'E.N.I.S.A.
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
43. E.N.I.S.A. in collaborazione con l’Autorità Garante per la protezione dei dati
personali tedesca ha sviluppato un tool per notificare ogni eventuale violazione
di dati personali all’Autorità competente. Tramite questo strumento i titolari del
trattamento, possono completare e trasmettere ogni eventuale notifica di data
breach all’autorità garante, mostrando al contempo una valutazione specifica
sulla gravità della violazione.
Il tool può essere utilizzato per ogni tipologia di dati oggetto di violazione, oltre
che in ogni settore, sia pubblico che privato. Questo oltre la possibilità di
allegare la prova digitale del breach acquisita secondo i dettami dell’informatica
forense, e la relazione del DPO/titolare sulla natura della violazione, le categorie
di interessati, le conseguenze e i rimedi.
IL
IL TOOL
TOOL DELL'ENISA
DELL'ENISA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
44. ASPETTI PRATICI:
ASPETTI PRATICI:
PRIVACY E STRUMENTI INFORMATICI
PRIVACY E STRUMENTI INFORMATICI
INCONTRO DI FORMAZIONE
INCONTRO DI FORMAZIONE
29 MARZO 2023
29 MARZO 2023
ORE 15.00-17.00
ORE 15.00-17.00
Avvocato
EDOARDO FERRARO
AVVOCATO DEL FORO DI PADOVA
45. È di tutta evidenza, anche per mera intuizione, che l'uso degli strumenti
informatici è questione di primaria rilevanza in tema di privacy e di trattamento
dati.
Si potrebbe anche dire che, se non vi fosse stata uno sviluppo esponenziale di
tutti i sistemi che ruotano intorno all'informatica, non vi sarebbe forse stata
necessità di un corpus normativo in tema di privacy così stringente.
L'USO DEGLI STRUMENTI INFORMATICI
L'USO DEGLI STRUMENTI INFORMATICI
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
46. Il primo concetto da far passare (in modo chiaro, preciso e puntuale) è che tutti
gli strumenti informatici utilizzati nel corso dell'attività lavorativa sono da
considerarsi “strumenti dedicati”. Ogni utilizzo non inerente all’attività
lavorativa può contribuire ad innescare disservizi, costi di manutenzione e,
soprattutto, minacce alla sicurezza.
Occorre che chi li usa (e soprattutto il soggetto cui vengono affidati) sia ben
consapevole che tali strumenti sono afferenti alla professione e devono essere
utilizzati esclusivamente (o quantomeno “tendenzialmente”) per svolgere la
prestazione lavorativa.
STRUMENTI DI LAVORO
STRUMENTI DI LAVORO
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
47. Le regole che seguono sono valide per studi o strutture con più professionisti ,
ma sono una valida guida anche per singoli professionisti.
1. Non è mai consentito installare autonomamente programmi provenienti
dall’esterno salvo previa autorizzazione esplicita dell’amministratore di sistema,
in quanto sussiste il pericolo di portare virus e rischi per la sicurezza informatica.
2. Non è consentito l’uso di programmi diversi da quelli distribuiti ed installati
ufficialmente dal responsabile dei sistemi informatici. L’inosservanza di questa
disposizione, infatti, oltre al rischio di danneggiamenti del sistema per
incompatibilità con il software esistente, può esporre l’azienda a gravi
responsabilità civili ed anche penali in caso di violazione della normativa a
tutela dei diritti d’autore sul software.
REGOLE IN STRUTTURE ORGANIZZATE
REGOLE IN STRUTTURE ORGANIZZATE
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
48. 3. Non è consentito all’utente modificare le caratteristiche impostate sul
proprio PC, salvo previa autorizzazione esplicita dell’amministratore di sistema.
Il personal computer, inoltre, deve essere spento ogni sera prima di lasciare gli
uffici o in caso di assenze prolungate dall’ufficio.
4. Non è consentita l’installazione sul proprio PC di nessun dispositivo di
memorizzazione, comunicazione o altro (come ad esempio masterizzatori,
modem, ecc…), se non con l’autorizzazione espressa dell’amministratore di
sistema. A tal proposito sarebbe altamente consigliato per l’azienda impedire la
possibilità per i dipendenti /incaricati di poter salvare i dati e portarli all’esterno
bloccando, per esempio, gli accessi alle usb o adottando procedure analoghe.
REGOLE IN STRUTTURE ORGANIZZATE
REGOLE IN STRUTTURE ORGANIZZATE
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
49. 5. l’accesso agli strumenti è protetto da password; per l’accesso devono essere
utilizzati Username e password assegnate dall’Amministratore di Sistema. A tal
proposito si rammenta che essi sono strettamente personali e l’utente è tenuto
a conservarli nella massima segretezza. Certamente non con post-it attaccati al
PC. A tal proposito è bene responsabilizzare i dipendenti sulle conseguenze di
detto comportamento “apparentemente innocuo” e sulle responsabilità che ne
derivano.
REGOLE IN STRUTTURE ORGANIZZATE
REGOLE IN STRUTTURE ORGANIZZATE
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
50. Occorre precisare che la casella di posta utilizzata dal professionista in proprio
(o assegnata dallo studio/struttura al collaboratore) è uno strumento di lavoro.
Chi la utilizza è responsabile del corretto uso della stessa.
L’utilizzo dell’e-mail deve essere limitato esclusivamente per scopi lavorativi, ed
è assolutamente vietato ogni utilizzo di tipo privato.
Nel caso di e-mail assegnate da una struttura, è bene precisare che la
“personalizzazione” dell’indirizzo non comporta un carattere “privato”, in
quanto trattasi di strumenti di e proprietà del titolare, messi a disposizione di
chi collabora al solo fine dello svolgimento delle proprie mansioni lavorative.
POSTA ELETTRONICA
POSTA ELETTRONICA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
51. È obbligatorio controllare i file allegati di posta elettronica prima del loro
utilizzo. In particolare, si deve evitare l’apertura di messaggi di posta elettronica
in arrivo provenienti da mittenti di cui non si conosce con certezza l’identità o
che contengano allegati del tipo .exe, .com, .vbs, .htm, .scr, .bat, .js, .pif.
È vietato inviare catene telematiche (di Sant’Antonio). Se si ricevono messaggi
di tale tipo, meglio cancellare in caso di studio singolo, mentre occorre
comunicarlo tempestivamente all’amministratore di sistema in caso di struttura
organizzata. Non si devono in alcun caso attivare gli allegati di tali messaggi.
L’iscrizione a mailing-list o newsletter esterne con l’indirizzo ricevuto è
concessa esclusivamente per motivi professionali. Prima di iscriversi occorre
verificare anticipatamente l’affidabilità del sito che offre il servizio.
POSTA ELETTRONICA
POSTA ELETTRONICA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
52. ELEMENTI FONDAMENTALI:
ELEMENTI FONDAMENTALI:
1. PRUDENZA
1. PRUDENZA
2. FORMAZIONE
2. FORMAZIONE
3. INFORMAZIONE
3. INFORMAZIONE
PC E POSTA ELETTRONICA
PC E POSTA ELETTRONICA
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
53. Ponderare prioritariamente rischi e benefici dei servizi offerti
Ponderare prioritariamente rischi e benefici dei servizi offerti
Prima di optare per l'adozione di servizi cloud, è opportuno che l'utente verifichi
la quantità e la tipologia di dati che intende esternalizzare (maggiore è la
riservatezza o la sensibilità, più accurata deve essere la valutazione).
È necessario innanzitutto valutare gli eventuali rischi e le possibili conseguenze
derivanti da tale scelta sotto il profilo della riservatezza e della loro rilevanza nel
normale svolgimento della propria attività. Tale analisi valutativa dovrà
evidenziare l’opportunità o meno di ricorrere a servizi cloud (limitandone l’uso
ad esempio a determinati tipi di dati), nonché l'impatto sull'utente in termini
economici e organizzativi, l’indisponibilità, pur se parziale o per periodi limitati,
dei dati esternalizzati o, peggio, la loro perdita o cancellazione.
CLOUD E PRIVACY
CLOUD E PRIVACY
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
54. ● Effettuare una verifica in ordine all’affidabilità del fornitore.
● Privilegiare i servizi che favoriscono la portabilità dei dati, per facilitare la
transizione da un fornitore all'altro.
● Mantenere una copia di quei dati (anche se non personali) dalla cui perdita
o indisponibilità potrebbero conseguire danni economici.
● Valutare se dati particolari (quali i dati sanitari, genetici, reddituali,
biometrici o coperti da segreto industriale) debbano rimanere in house.
● Valutare il tipo di servizio offerto anche verificando se i dati rimarranno
nella disponibilità fisica dell'operatore o se sia SaaS.
● Sapere in quale Stato risiedono fisicamente i server (e se applica il GDPR).
● Verificare le clausole contrattuali e le garanzie, le procedure di cifratura del
sistema nonché le procedure e i tempi di conservazione.
CLOUD E PRIVACY: VERIFICHE UTILI
CLOUD E PRIVACY: VERIFICHE UTILI
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
Studio
Legale
Ferraro
Studio
Legale
Ferraro
55. DISCLAIMER
DISCLAIMER
Avv.
Edoardo
Ferraro
Avv.
Edoardo
Ferraro
La presente presentazione è aggiornata al momento della sua pubblicazione.
Ciò nonostante, la natura stessa degli argomenti trattati esclude la possibilità
di controllare tutte le fonti esistenti e gli autori non possono fornire alcuna
garanzia in merito all'affidabilità ed all'esattezza delle notizie riportate e
declinano pertanto ogni responsabilità per qualsiasi danno, diretto, indiretto,
incidentale e consequenziale legato all'uso, proprio o improprio delle
informazioni contenute in questo vademecum, ivi inclusi, senza alcuna
limitazione, la perdita di profitto, l'interruzione di attività aziendale o
professionale, la perdita di programmi o altro tipo di dati ubicati sul sistema
informatico dell'utente o altro sistema, e ciò anche qualora gli autori fossero
stati espressamente messi al corrente della possibilità del verificarsi di tali
danni.
Studio
Legale
Ferraro
Studio
Legale
Ferraro
56. GRAZIE PER L'ATTENZIONE
GRAZIE PER L'ATTENZIONE
avv.edoardo.ferraro@gmail.com
avv.edoardo.ferraro@gmail.com
edoardo.ferraro@ordineavvocatipadova.it
edoardo.ferraro@ordineavvocatipadova.it