POWERPOINT SU GDPR

INDICE

7. ADEMPIMENTI FORMALI

1. GDPR

8. DIRITTI DEGLI INTERESSATI

2. AMBITO DI APPLICAZIONE

9. SICUREZZA

3. DATI PERSONALI

10. SPECIFICI TRATTAMENTI

4. TRATTAMENTI

11. DISPOSIZIONI TRANSITORIE

5. SOGGETTI

6. PRINCIPI GENERALI

GDPR

I Regolamento generale sulla protezione dei dati (in inglese general data protection regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali.

AMBITO DI APPLICAZIONE

Il regolamento europeo disciplina il trattamento di dati personali relativi alle persone fisiche, nei paesi UE, da parte di persone, società ed organizzazioni e li tutela dai rischi di violazione dei diritti e delle libertà fondamentali a cui potrebbero andare incontro. La norma europea si applica solo ai dati personali delle persone fisiche e non ai dati delle società o di altre persone giuridiche.

DATI PERSONALI

Il regolamento europeo disciplina il trattamento di dati personali relativi alle persone fisiche, nei paesi UE, da parte di persone, società ed organizzazioni e mira a tutelarli dai rischi di violazione dei diritti e delle libertà fondamentali a cui potrebbero andare incontro.

TRATTAMENTI

DEFINIZIONE DI TRATTAMENTO Il Regolamento, all’art. 4, precisa che si intende per trattamento la molteplicità di operazioni, applicate a dati personali, sia con strumenti parzialmente o interamente automatizzati che manuali, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione ecc. TRATTAMENTO DI DATI PARTICOLARI Il trattamento delle «categorie particolari di dati personali» è sempre vietato, ad esclusione di una delle condizioni elencate al par.Trattamento di dati particolari

Comunicazione e diffusione

Il d.lgs. 196/2003, novellato dal d.lgs. 101/2018 , all’art. 2-ter par. 4 definisce che: • «Comunicazione» è il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato o dalle persone autorizzate al trattamento o coinvolte nelle attività ditrattamento. • «Diffusione» è il dare conoscenza dei dati personali a soggetti indeterminati in qualunque forma, anche mediante la loro messa in disposizione o consultazione

SOGGETTI

Soggetti designati (Responsabile interno del trattamento)

Autorizzati al trattamento (Incaricati)

Responsabile della protezione dei dati (RPD o Data Protection Officer – DPO).

Responsabile del trattamento (data processor)

INTERESSATO(data subject)

Titolare (data controller)

Interessato

L’interessato è la persona fisica, identificata o identificabile, alla quale si riferiscono i dati personali.

Titolare

Il Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione che determina singolarmente o insieme ad altri la finalità e i mezzi del trattamento dei dati personali.

Responsabile del trattamento

Il Responsabile del trattamento è la persona fisica o giuridica, esterna alla struttura organizzativa, al quale il Titolare affida specifici e definiti compiti, volti ad effettuare, per proprio conto, il trattamento dei dati; il Responsabile deve fornire garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate affinché il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.

Responsabile della protezione dei dati

Quando il trattamento è effettuato da un Ente pubblico, il Titolare deve designare un Responsabile della protezione dati (RPD) per facilitare l’attuazione della normativa (articoli 37, 38 e 39 GDPR). Il RPD svolge vari compiti, tra i quali: il supporto informativo, la consulenza al Titolare e ai soggettidesignati che eseguono il trattamento;;

Soggetti designati

Il decreto 196/2003 all’art. 2 - quaterdecies precisa che, nell'ambito del proprio assetto organizzativo e sotto la propria responsabilità, il Titolare ha la facoltà di designare persone fisiche, che operano sotto la propria autorità, attribuendo loro specifici compiti e funzioni connesse al trattamentodi dati personali.

Autorizzati al trattamento

Il Regolamento non prevede espressamente la figura dell’incaricato, ma l’art. 29 chiarisce che i soggetti che, sotto l’autorità del Titolare o del Responsabile, effettuano materialmente operazioni di trattamento, devono essere autorizzati e devono operare sulla base di apposite istruzioni e/o con diversilivelli di delega da parte del Titolare.

PRINCIPI GENERALI

L’art. 5 del GDPR afferma che ogni trattamento di dati personali deve avvenire nel rispetto dei seguenti principi: • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato; • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati; • minimizzazione dei dati, ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento; • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultin inesatti rispetto alle finalità del trattamento; • limitazione della conservazione per la quale è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento; • integrità e riservatezza, per le quali occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

ADEMPIMENTI FORMALI

Il Titolare e il Responsabile (esterno) del trattamento sono obbligati alla tenuta di Registri delle attività di trattamento. Il Registro è un documento che deve contenere una serie di informazioni, specificate all’art.30 del GDPR, relative al Titolare e alle operazioni di trattamento da lui svolte e quindi costituisce lo strumento idoneo a fornire la rappresentazione, sempre aggiornata, dell’organizzazione e dei trattamenti svolti. Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante. La tenuta del Registro rappresenta uno dei principali elementi di accountability del Titolare, finalizzato anche all'analisi del rischio e ad una corretta pianificazione dei trattamenti.Nei casi richiesti dall’art. 35 del GDPR, qualora un trattamento presenti un rischio elevato, il Titolare, prima di procedere al trattamento stesso, deve effettuare una valutazione dell'impatto sullaprotezione dei dati personali.

Liceità del trattamento

Il Regolamento, all’art. 6, dispone che ogni trattamento deve trovare fondamento in un’idonea base giuridica, perché possa essere lecito. Il Titolare del trattamento ha l'obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere . GDPR riguardo ciascuna delle basi indicate nell’art. Il Garante può inoltre prescrivere misure a garanzia dell’interessato per i trattamenti svolti per l'esecuzione di un compito di interesse pubblico che possono presentare rischi elevati.

DIRITTI DEGLI INTERESSATI

- Diritto all’informazione (Informativa all’interessato)- Diritto di accesso - Diritto alla cancellazione (diritto all’oblio) - Diritto di rettifica di dati personali inesatti o incompleti - Diritto alla limitazione del trattamento - Diritto di opposizione

SICUREZZA

Il Titolare e il Responsabile del trattamento sono obbligati, dall’articolo 32 del GDPR, ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato alla valutazione del rischio del trattamento, con l’obiettivo di evitare distruzioni accidentali o illecite, perdite, modifiche, rivelazioni, accessi non autorizzati (data breach).

Violazione dei dati personali (data breach)

La violazione di sicurezza comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, in modo accidentale o illecito.

Alcuni possibili esempi: - l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; - il furto o la perdita di dispositivi informatici contenenti dati personali; - la deliberata alterazione di dati personali; - l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; - la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; - la divulgazione non autorizzata dei dati personali.

ILLECITI E SANZIONI

ILLECITI PENALI

Gli artt. da 167 a 172 del D.Lgs. 196/2003 prevedono diverse tipologie di reati che conseguono ad ipotesi di trattamenti di dati effettuati in violazione delle disposizioni di legge e in presenza dell’intenzione di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato. Le ipotesi di reato riguardano, tra l’altro, il traffico telefonico, le comunicazioni indesiderate, la diffusione o l’acquisizione illegittima di un archivio, l’inosservanza dei provvedimenti adottati dal Garante e comportano pene di reclusione fino a sei anni.

ILLECITI E SANZIONI

SANZIONI

Il GDPR (artt. 83 e 84) prevede sanzioni amministrative pecuniarie, fino a euro 10.000,00 o al 2% del fatturato per alcune tipologie di violazioni e fino a euro 20.000,00 o al 4% del fatturato per altre tipologie di violazioni. L’art. 166 del d.lgs. 196/2003 stabilisce le violazioni soggette alla prima tipologia di sanzioni equelle soggette alla seconda tipologia e indica, quale organo competente ad irrogare le sanzioni, il Garante della protezione dei dati personali. Il Garante definirà con un proprio regolamento le modalità del procedimento per l'adozione dei provvedimenti e delle sanzioni.

SPECIFICI TRATTAMENTI

Il nuovo Codice privacy, adeguato dal d.lgs. 101/2018, detta disposizioni in materia di trattamento dei dati personali relativi a specifici settori, fra cui:- Trattamento dei dati relativi agli studenti; - Trattamenti di dati a fini di ricerca; - Curriculum; - Accesso a documenti amministrativi e accesso civico; - Trattamento di dati riguardanti i datori di lavoro

DISPOSIZIONI TRANSITORIE

L’art. 20 del d.lgs. 101/2018 fa salvi i codici deontologici allegati al codice in materia di protezione dei dati personali, in attesa che gli stessi vengano revisionati per adeguarli al GDPR. Il comma 6 dell’art. 22 del d.lgs. 101/2018 stabilisce che, dalla data di entrata in vigore del decreto, i rinvii alle disposizioni abrogate del d.lgs. n. 196/2003, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del GDPR a quelle introdotte o modificate dal d.lgs. 101/2018, in quanto compatibili.

FINE

Realizzato da Luca Piumelli