tarallo privacy

© Pasquale Tarallo

Linee Guidain vista della piena applicazione

prevista per il 25 Maggio 2018

Regolamento Europeo per la Protezione dei Dati Personali

2016/679

© Pasquale Tarallo

2

Copyright Licenza Creative Commons CC BY-NC-SA 3.0 IT

per essere successivamente

UTILIZZATO,

MODIFICATODISTRIBUITO LIBERAMENTE

con Licenza Creative Commons CC BY-NC-SA 3.0 IT(Attribuzione – Non commerciale – Condividi allo stesso modo 3.0 Italia)

Questa presentazione è parte di un progetto editoriale più ampioIdeato, Realizzato e Distribuito GRATUITAMENTE

per tentare una Chiave di Lettura al Regolamento Europeo per la Protezione dei Dati Personali 2016/679

(in inglese General Data Protection Regulation, GDPR).

Può essere richiesto via mail in formato ppt all’Autore

Pasquale Tarallo

3

Contenuti

1 Perché si promuove la Protezione dei Dati Personali

2 La Guida dell’Autorità Garante

3 Fondamenti di Liceità

4 Informativa

5 Diritti degli interessati

6 Titolare, responsabile, incaricato del Trattamento

7 Approccio basato sul rischio e Responsabilizzazione

8 Il Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali

9 Conclusioni

4

© Pasquale Tarallo

1 Perché si promuove la Protezione dei Dati Personali

© Pasquale Tarallo

5

Il nuovo scenario digitale mostra che la Rete è pervasiva, immateriale ed immediatamente disponibile a molti utenti

La rapidità e l’intensità dell'evoluzione tecnologica

hanno condotto all’aumento di soggetti ed oggetti connessi fra loro

(per questo si parla di rete delle cose, Internet Of Things, IoT).

Si assiste al conseguente scambio e condivisione di dati fra

Individui ed Organizzazioni di diverso genere e tipo

(o scopo, quali Istituzioni, Imprese, Enti no Profit, etc.) in tutto il mondo

sia fisico che digitale.

© Pasquale Tarallo

6

L’importanza della Sicurezza delle Informazioni è discussa in maniera più approfondita in ALTRA PRESENTAZIONE

© Pasquale Tarallo

7

Considerato che qualcosa è cambiato, cosa deve essere preso in considerazione ?

Come Proteggere i Dati

Personali ?

Come Proteggere le

Informazioni ?

Cosa bisogna prendere in considerazione

© Pasquale Tarallo

8

Il fenomeno dei Big Data

L’innovazione comporta nuove sfide.

Tra le altre, la portata della condivisione e della raccolta dei BIG DATA*

• da un lato dovrebbe facilitare ancora di più la loro libera circolazione sia all'interno dell'Unione che per il loro trasferimento verso paesi terzi e organizzazioni internazionali,

• mentre dall’altro dovrebbe garantire un elevato livello di protezione da eventuali violazioni dei dati personali.

*Definizione nella slide successiva.

© Pasquale Tarallo

9

A proposito di Big Data, cosa sono e come possono essere trattati ?

Talvolta si usa l’espressione inglese BIG DATA per fare riferimento ai grandi volumi di dati, siano essi grezzi o strutturati, in una forma definita in termini di Volume, Velocità, Varietà e Veridicità che potrebbero essere trattari in formato Elettronico, per Iscritto o Visivamente.

Individui Organizzazioni

Oggetti

Profilazione

e/o

Condivisione

Il Trattamento può comprendere la Raccolta, la Registrazione, la Conservazione, il Recupero, la Trasmissione, il Blocco o la Cancellazione dei dati. Anche per Sostenere oppure Opporsi alla Profilazione e/o Condivisione dei medesimi.

© Pasquale Tarallo

10

In virtù dell’enorme quantità di Norme presenti alcuni anni fa si avviò un confronto per armonizzarle in tutta l’Unione

© Pasquale Tarallo

11

Considerate le nuove minacce e le violazioni dei dati personali si decise di accelerare la trasformazione normativa con il GDPR

Abbiamo scelto un Regolamento perché non necessita un recepimento dei Paesi Membri ed è in grado di disciplinare la

Protezione del Trattamento dei Dati Personali delle

Persone Fisiche e della loro Circolazione in tutta

l’Unione Europea

© Pasquale Tarallo

12

Il Regolamento per la Protezione dei Dati Personali

A seguito della pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del 04Giugno 2016, è entrato formalmente in vigore il 24 maggio 2016 il RegolamentoEuropeo per la Protezione dei Dati Personali 2016/679 o nella sua accezioneinglese General Data Protection Regulation (GDPR).

© Pasquale Tarallo

13

Dall’approvazione all’applicazione

Il GDPR diverrà pienamente applicabile a decorrere dal 25 maggio 2018 (secondo quanto previsto dall’art. 99 delle disposizioni finali)

Pubblicazione sulla Gazzetta Ufficiale UE:

04 Maggio 2016

Entrata in vigore (dopo 20 gg):

24 Maggio 2016

Effettiva applicazione:

25 Maggio 2018

© Pasquale Tarallo

14

Alcuni primi dettagli del GDPR

Per favorire l’applicazione del GDPR ciascuno stato membro è stato chiamato adistituire un’Autorità Sovrintendente Indipendente per

dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc.

• Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre,fornendo assistenza reciproca e organizzando operazioni congiunte sotto ilcoordinamento e la supervisione di una apposita commissione europea per laprotezione dei dati (EDPB, European Data Protection Board).

© Pasquale Tarallo

15

Il WP 29

• Inizialmente il gruppo di lavoro delle diverse autorità è stato citato anche comeWP 29 (Working Party Article 29) poiché è stato istituito dall'art. 29 della direttiva95/46, come organismo consultivo e indipendente.

• Il WP 29 è composto da un rappresentante delle autorità di protezione dei datipersonali designate da ciascuno Stato membro, dal GEPD (Garante europeo dellaprotezione dei dati), nonché da un rappresentante della Commissioneappositamente istituita in sede UE.

• Il 25 Maggio 2018, all’atto della piena applicazione del GDPR, il WP29 verràsostituito dall’EDPB (European Data Protection Board)

© Pasquale Tarallo

16

Compiti del WP 29

Fra i compiti più rilevanti del WP29 vi sono i seguenti:

• formulare pareri sul livello di tutela nella Comunità e nei paesi terzi

• fornire consulenze alla Commissione in merito ad ogni progetto di modifica delladirettiva, ogni progetto di misure addizionali o specifiche da prendere ai fini dellatutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto dimisure comunitarie che incidano su tali diritti e libertà

• formulare pareri sui codici di condotta elaborati a livello comunitario

• formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi laprotezione dei dati personali nella Comunità

• definire i criteri di adeguatezza per i paesi terzi.

© Pasquale Tarallo

17

Meccanismo di coerenza all’interno dell’UE

Il Regolamento prevede un MECCANISMO DI COERENZA, gestito dal Garante Europeo per la Protezione dei Dati (GEPD, oppure nella versione inglese EDPS, European Data Protection Supervisor) che uniforma l'interpretazione e applicazione del Regolamento in tutti i Paesi dell'Unione.

In particolare viene indicato che, qualora ci siano delle divergenze tra le legislazioni degli stati membri che possano pregiudicare l'equivalenza della tutela persone, interviene il WP29 informando la speciale commissione dell’UE, formulando pareri e raccomandazioni.

La Commissione è tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni.

© Pasquale Tarallo

18

Il riconoscimento di una Leading Authority favorisce la disponibilità di un punto di contatto unico

• Qualora un’impresa abbia più stabilimenti nell'UE, avrà un'unica Autoritàsovrintendente come propria «Autorità principale« a cui fare riferimento, sullabase dell'ubicazione del proprio "stabilimento principale" (ossia il luogo dove sirealizzano le principali attività di gestione).

• L’Autorità principale agirà quale "sportello unico (noto anche come meccanismodell’One Stop Shop, ovvero unico negozio dove trovo tutto)" per supervisionaretutte le attività di gestione dati di quell’impresa nell’UE.

L’Autorità principale fungerà anche da capofila (Leading Authority) nei confronti delle altre Autorità nazionali cooperando ed avendo la competenza di emettere decisioni vincolanti per la altre autorità.

© Pasquale Tarallo

19

Nonostante l’approssimarsi del 25 Maggio permangono i Dubbi su modalità, costi, opportunità e necessità di essere conformi

Considerando le principali novità introdotte dal nuovo Regolamentosi deve riflettere sui possibili approcci da utilizzare

per confermare l’ìmportanza della protezione dei dati personalie giungere alla scadenza del 25 maggio 2018

con le idee più CHIARE non solo ai fini della conformità.

© Pasquale Tarallo

20

In sintesi si chiede di comprendere COSA FARE

Seguendo l’Autorità Garante per la Protezione dei Dati Personali si distinguono

LE AZIONI CHE POSSONO ESSERE INTRAPRESE IMMEDIATAMENTE in quanto basate su

disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale,

rispetto alle altre norme del Regolamento,

come quelle che disciplinano i trattamenti per finalità di interesse pubblico

ovvero in ottemperanza a obblighi di legge.

21

© Pasquale Tarallo

2 Il GDPR nella sua Formulazione Originale

© Pasquale Tarallo

22

Il Regolamento Generale per la Protezione dei Dati Personali si compone di 11 Capi suddivisi in 99 Articoli e 173 Considerando

1 2 3 4 5 6 7 8 9 10 11

12 13 14 15 16 17 18 19 20 21 22

23 24 25 26 27 28 29 30 31 32 33

34 35 36 37 38 39 40 41 42 43 44

45 46 47 48 49 50 51 52 43 54 55

56 57 58 59 60 61 62 63 64 65 66

67 68 69 70 71 72 73 74 75 76 77

78 79 80 81 82 83 84 85 86 87 88

89 90 91 92 93 94 95 96 97 98 99

© Pasquale Tarallo

23

Nel Capo I si disciplinano le DISPOSIZIONI GENERALI in 4 Articoli

1. Oggetto e finalità 2. Ambito di applicazione materiale 3. Ambito di applicazione territoriale 4. Definizioni

1 2 3 4

© Pasquale Tarallo

24

Nel Capo II si disciplinano i PRINCIPI in 11 Articoli

5 6 7 8 9 10 11

5. Principi applicabili al Trattamento di dati personali 6. Liceità del Trattamento 7. Condizioni per il consenso 8. Condizioni applicabili al consenso dei minori in relazione ai servizi

della società dell'informazione 9. Trattamento di categorie particolari di dati personali 10. Trattamento dei dati personali relativi a condanne penali e reati 11. Trattamento che non richiede l'identificazione

© Pasquale Tarallo

25

Nel Capo IV si disciplinano il TITOLARE ed il RESPONSABILE del Trattamento in 3 Sezioni e 20 Articoli

Sezione 1 - Obblighi generali Sezione 2 - Sicurezza dei dati personali Sezione 3 - Valutazione d'impatto sulla protezione dei dati e consultazione

preventivaSezione 4 - Responsabile della protezione dei dati Sezione 5 - Codici di condotta e certificazione

23

12 13 14 15 16 17 18 19 20 21 22

© Pasquale Tarallo

26

Nel Capo III si disciplinano i DIRITTI DELL’INTERESSATO in 5 Sezioni e 12 Articoli

Sezione 1 - Trasparenza e modalità Sezione 2 - Informazione e accesso ai dati personaliSezione 3 - Rettifica e cancellazioneSezione 4 - Diritto di opposizione e processo decisionale automatizzato

relativo alle persone fisiche Sezione 5 - Limitazioni

24 25 26 27 28 29 30 31 32 33

34 35 36 37 38 39 40 41 42 43

© Pasquale Tarallo

27

Nel Capo V si disciplinano i Trasferimenti di dati verso paesi terzi o organizzazioni internazionali in 7 Articoli

44 45 46 47 48 49 50

44. Principio generale per il trasferimento45. Trasferimento sulla base di una decisione di adeguatezza 46. Trasferimento soggetto a garanzie adeguate 47. Norme vincolanti d'impresa48. Trasferimento o comunicazione non autorizzati dal diritto

dell'Unione 49. Deroghe in specifiche situazioni 50. Cooperazione internazionale per la protezione dei dati personali

© Pasquale Tarallo

28

Nel Capo VI si disciplinano le Autorità di controllo indipendenti in 2 Sezioni e 9 Articoli

51 52 53 54 55 56 57 58 59

Sezione 1 - IndipendenzaSezione 2 – Competenza, compiti e poteri

© Pasquale Tarallo

29

Nel Capo VI si disciplinano la Cooperazione e la Coerenza in 3 Sezioni e 26 Articoli

Sezione 1 - CooperazioneSezione 2 – CoerenzaSezione 3 – Comitato europeo per la protezione dei dati

51 52 53 54 55 56 57 58 59 60

61 62 63 64 65 66 67 68 69 70 71

72 73 74 75 76

© Pasquale Tarallo

30

Nel Capo VIII si disciplinano i Mezzi di ricorso, le responsabilità e le sanzioni in 8 Articoli

77. Diritto di proporre reclamo all'autorità di controllo 78. Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità

di controllo79. Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare

del Trattamento o del responsabile del Trattamento 80. Rappresentanza degli interessati 81. Sospensione delle azioni 82. Diritto al risarcimento e responsabilità 83. Condizioni generali per infliggere sanzioni amministrative pecuniarie 84. Sanzioni

77 78 79 80 81 82 83 84

© Pasquale Tarallo

31

Nel Capo IX si disciplinano le Disposizioni relative a specifiche situazioni di Trattamento in 7 Articoli

85 86 87 88 89 90 91

85. Trattamento e libertà d'espressione e di informazione 86. Trattamento e accesso del pubblico ai documenti ufficiali 87. Trattamento del numero di identificazione nazionale 88. Trattamento dei dati nell'ambito dei rapporti di lavoro 89. Garanzie e deroghe relative al Trattamento a fini di archiviazione

nel pubblico interesse, di ricerca scientifica o storica o a fini statistici 90. Obblighi di segretezza 91. Norme di protezione dei dati vigenti presso chiese e associazioni

religiose

© Pasquale Tarallo

32

Nel Capo X si disciplinano gli Atti delegati e gli Atti di esecuzione in 2 Articoli

92 93

92. Esercizio della delega 93. Procedura di comitato

© Pasquale Tarallo

33

Nel Capo XI si riportano le Disposizioni Finali in 6 Articoli

94. Abrogazione della direttiva 95/46/CE 95. Rapporto con la direttiva 2002/58/CE 96. Rapporto con accordi precedentemente conclusi97. Relazioni della Commissione98. Riesame di altri atti legislativi dell'Unione in materia di protezione

dei dati 99. Entrata in vigore e applicazione

9694 95 97 98 99

© Pasquale Tarallo

34

Per Esplicitare il lessico utilizzato nel GDPR si riportano per esteso il CAPO 1 ed i Relativi Articoli (A) e Considerando (C)

1 2 3 4 5 6 7 8 9 10 11

12 13 14 15 16 17 18 19 20 21 22

23 24 25 26 27 28 29 30 31 32 33

34 35 36 37 38 39 40 41 42 43 44

45 46 47 48 49 50 51 52 43 54 55

56 57 58 59 60 61 62 63 64 65 66

67 68 69 70 71 72 73 74 75 76 77

78 79 80 81 82 83 84 85 86 87 88

89 90 91 92 93 94 95 96 97 98 99

© Pasquale Tarallo

35

Come abbiamo visto nel Capo I si disciplinano le DISPOSIZIONI GENERALI in 4 Articoli

1. Oggetto e finalità 2. Ambito di applicazione materiale 3. Ambito di applicazione territoriale 4. Definizioni

1 2 3 4

© Pasquale Tarallo

36

Vediamo i Dettagli

Esaminiamo in dettaglio l’Art.1 (A1)Oggetto e Finalità (C1-14, C170, C172)

Vediamo i Dettagli

© Pasquale Tarallo

37

Disposizioni Generali (Capo I) Oggetto e Finalità (A1)

• Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

• Esso protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

• La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali.

© Pasquale Tarallo

38

Disposizioni Generali (Capo I) Oggetto e Finalità (C1)

• La protezione delle persone fisiche con riguardo al Trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

© Pasquale Tarallo

39


• È opportuno che la protezione prevista dal presente regolamento si applichi alle persone

fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei

loro dati personali.

• Il presente regolamento non disciplina il Trattamento dei dati personali relativi a persone

giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma

della persona giuridica e i suoi dati di contatto.

© Pasquale Tarallo

40


• Poiché l’obiettivo del presente regolamento, vale a dire garantire un livello equivalente di tutela

delle persone fisiche e la libera circolazione dei dati personali nell’Unione, non può essere

conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti

dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può

intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione

europea (TUE).

• Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in

ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

© Pasquale Tarallo

41


• Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28,

paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso un parere il 7 marzo 2012

© Pasquale Tarallo

42

Vediamo i Dettagli

Esaminiamo in dettaglio l’Art.2 (A2)Ambito di Applicazione Materiale (C15-21)

Vediamo i Dettagli

© Pasquale Tarallo

43

Disposizioni Generali Ambito di Applicazione Materiale (A2)

1. Il GDPR si applica alle PERSONE FISICHE, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei loro dati personali contenuti in un archivio o destinati a figurarvi.

© Pasquale Tarallo

44

Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (A2) (continua)

2. Il regolamento non si applica ai trattamenti di alcune categorie di Dati Personali

(esplicitate nelle prossime diapositive).

© Pasquale Tarallo

45

Disposizioni Generali: Ambito di applicazione materiale Esclusioni

• per attività che non rientrano nell'ambito di applicazione del diritto dell’UE

• effettuato dagli Stati membri nell'esercizio di attività relative alla POLITICA ESTERA e di SICUREZZA NAZIONALE o COMUNE DELL’UE

• effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di REATI O ESECUZIONE DI SANZIONI PENALI incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

IL GDPR non si applica per il Trattamento dei dati personali effettuato

© Pasquale Tarallo

46

Disposizioni Generali: Ambito di applicazione materiale Esclusioni (continua)

Inoltre, Il GDPR non si applica ai Trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività commerciale o professionale.

Le attività a carattere personale o domestico dovrebbero comprendere la corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività.

Tuttavia, il GDPR si applica comunque ai titolari del Trattamento o ai responsabili del Trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.

© Pasquale Tarallo

47

Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (A2) (continua)

3. Per il Trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie

dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n.

45/2001 e gli altri atti giuridici dell’Unione applicabili a tale Trattamento di dati

personali devono essere adeguati ai principi e alle norme del presente regolamento

conformemente all’articolo 98.

4. Il Regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE,

in particolare le norme relative alla responsabilità dei prestatori intermediari di

servizi di cui agli articoli da 12 a 15 della medesima direttiva.

© Pasquale Tarallo

48

Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (C15)

• Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone

fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere

dalle tecniche impiegate.

• La protezione delle persone fisiche dovrebbe applicarsi sia al Trattamento

automatizzato che al Trattamento manuale dei dati personali, se i dati personali sono

contenuti o destinati a essere contenuti in un archivio.

• Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i

fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le

rispettive copertine.

© Pasquale Tarallo

49

Disposizioni Generali (Capo I) Ambito di Applicazione Materiale (C21)

• Il presente regolamento non pregiudica l’applicazione della direttiva 2000/31/CE

del Parlamento europeo e del Consiglio, in particolare delle norme relative alla

responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della

medesima direttiva.

• Detta direttiva mira a contribuire al buon funzionamento del mercato interno

garantendo la libera circolazione dei servizi della società dell’informazione tra Stati

membri.

© Pasquale Tarallo

50

Vediamo i Dettagli

Esaminiamo in dettaglio l’Art.3 (A3)Ambito di Applicazione Territoriale (C22-25)

Vediamo i Dettagli

© Pasquale Tarallo

51

Disposizioni Generali Ambito di Applicazione Territoriale (A3)

1. Il presente regolamento si applica al Trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del Trattamento o di un responsabile del Trattamento nell’Unione, indipendentemente dal fatto che il Trattamento sia effettuato o meno nell’Unione

© Pasquale Tarallo

52

Disposizioni Generali Ambito di Applicazione Territoriale (C22)

• Qualsiasi Trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del Trattamento o responsabile del Trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il Trattamento avvenga all’interno dell’Unione.

• Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile.

• A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

© Pasquale Tarallo

53


2. Il presente regolamento si applica al Trattamento dei Dati di Interessati che si trovano nell'Unione, effettuato da un titolare o da un responsabile che non è stabilito nell'Unione, quando le attività di Trattamento riguardano:

• l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;

• oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.

© Pasquale Tarallo

54


• Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il Trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del Trattamento o da un responsabile del Trattamento non stabilito nell’Unione, quando le attività di Trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato.

© Pasquale Tarallo

55

Disposizioni Generali Ambito di Applicazione Territoriale (C23) (continua)

• Per determinare se tale titolare o responsabile del Trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del Trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione.

© Pasquale Tarallo

56

Disposizioni Generali Ambito di Applicazione Territoriale (C23) (continua)

• Mentre la semplice accessibilità del sito web del titolare del Trattamento, del responsabile del Trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del Trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del Trattamento di offrire beni o servizi agli interessati nell’Unione

© Pasquale Tarallo

57


• È opportuno che anche il Trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del Trattamento o di un responsabile del Trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

• Per stabilire se un’attività di Trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di Trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

© Pasquale Tarallo

58


3. Il presente regolamento si applica al Trattamento dei dati personali effettuato da un titolare che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. (ad esempio in una a rappresentanza diplomatica o consolare

© Pasquale Tarallo

59


• Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del Trattamento non stabilito nell’Unione.

© Pasquale Tarallo

60

Vediamo i Dettagli

Esaminiamo in dettaglio l’Art.4 (A4)Definizioni (vari Considerando)

Vediamo i Dettagli

© Pasquale Tarallo

61

Disposizioni Generali Definizioni

© Pasquale Tarallo

62

Disposizioni Generali - Definizioni Dato Personale (A4 comma 1)

Un DATO PERSONALE è

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato») con particolare riferimento a un identificativo.

Possibili identificativi

• il nome, • un numero di identificazione, • i dati relativi all'ubicazione, • un identificativo online • uno o più elementi caratteristici

della sua identità fisica, fisiologica, genetica, psichica (dati biometrici),

• uno o più elementi caratteristici della sua identità economica, culturale o sociale

© Pasquale Tarallo

63

Disposizioni Generali Il Dato Personale: alcune considerazioni dell’autore

Secondo gli estensori del GDPR è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile.

Si noti che si utilizza in modo equivalente il termine DATO ed il termine INFORMAZIONE.

I puristi potrebbero obiettare che il termine DATO è sinonimo di dato grezzo, primitivo, senza alcuna forma di Trattamento, mentre quando si parla di INFORMAZIONE si prevede già qualche forma di elaborazione, aggregazione, etc.

Tuttavia, questa distinzione non emerge nel GDPR.

© Pasquale Tarallo

64

Disposizioni Generali Dato Personale (C26)

© Pasquale Tarallo

65

Disposizioni Generali Dato Personale (C26) (continua)

© Pasquale Tarallo

66

Disposizioni Generali Dato Personale (C26) (continua)

© Pasquale Tarallo

67


© Pasquale Tarallo

68


© Pasquale Tarallo

69

Disposizioni Generali - Definizioni Trattamento (A4 comma 2)

© Pasquale Tarallo

70

Disposizioni Generali Il Trattamento: qualche esempio riportati nell’Art. 4

Esempi di Trattamento dei dati personali sono:

• la raccolta, • la registrazione, • l'organizzazione, • la strutturazione, • la conservazione, • l'adattamento o la modifica, • l'estrazione, • la consultazione,

• l'uso,• la comunicazione mediante

trasmissione, diffusione o qualsiasi altra forma di messa a disposizione,

• il raffronto o l'interconnessione, • la limitazione, • la cancellazione,• la distruzione.

© Pasquale Tarallo

71

Disposizioni Generali . Definizioni Limitazione del Trattamento (A4 comma 3)

© Pasquale Tarallo

72

Disposizioni Generali La Limitazione del Trattamento (C67)

© Pasquale Tarallo

73

Disposizioni Generali La Limitazione del Trattamento (C67) (continua)

© Pasquale Tarallo

74

Disposizioni Generali - Definizioni Profilazione (A4 comma 4)

© Pasquale Tarallo

75

Disposizioni Generali - Definizioni Profilazione (A4 comma 4) (continua)

© Pasquale Tarallo

76

Disposizioni Generali - Definizioni La Profilazione (C24)

© Pasquale Tarallo

77

Disposizioni Generali - Definizioni La Profilazione (C24) (continua)

© Pasquale Tarallo

78


© Pasquale Tarallo

79


© Pasquale Tarallo

80


© Pasquale Tarallo

81


© Pasquale Tarallo

82


© Pasquale Tarallo

83


© Pasquale Tarallo

84


© Pasquale Tarallo

85


© Pasquale Tarallo

86


© Pasquale Tarallo

87

Disposizioni Generali - Definizioni Pseudonimizzazione (A4 comma 5)

© Pasquale Tarallo

88

Disposizioni Generali - Definizioni Pseudonimizzazione (C26)

© Pasquale Tarallo

89

Disposizioni Generali - Definizioni Pseudonimizzazione (C26) (continua)

© Pasquale Tarallo

90


© Pasquale Tarallo

91


© Pasquale Tarallo

92


© Pasquale Tarallo

93


© Pasquale Tarallo

94


© Pasquale Tarallo

95

Disposizioni Generali - Definizioni Archivio (A4 comma 6)

© Pasquale Tarallo

96

Disposizioni Generali - Definizioni Archivio (C15)

© Pasquale Tarallo

97

Disposizioni Generali - Definizioni Titolare del Trattamento (A4 comma 7)

© Pasquale Tarallo

98

Disposizioni Generali - Definizioni Titolare del Trattamento (C74)

© Pasquale Tarallo

99

Disposizioni Generali - Definizioni Titolare del Trattamento (C74) (continua)

© Pasquale Tarallo

100

Disposizioni Generali - Definizioni Responsabile del Trattamento (A4 comma 8)

© Pasquale Tarallo

101

Disposizioni Generali - Definizioni Il Responsabile: alcune considerazioni – 1 di 10

© Pasquale Tarallo

102


© Pasquale Tarallo

103

Disposizioni Generali - DefinizioniIl Responsabile: alcune considerazioni – 3 di 10

© Pasquale Tarallo

104


© Pasquale Tarallo

105


© Pasquale Tarallo

106


© Pasquale Tarallo

107


© Pasquale Tarallo

108


© Pasquale Tarallo

109


© Pasquale Tarallo

110


© Pasquale Tarallo

111


© Pasquale Tarallo

112

Disposizioni Generali - DefinizioniDestinatario (A4 comma 9)

© Pasquale Tarallo

113

Disposizioni Generali - DefinizioniIl Destinatario (C31)

© Pasquale Tarallo

114

Disposizioni Generali - DefinizioniIl Destinatario (C31) (continua)

© Pasquale Tarallo

115

Disposizioni Generali - Definizioni Terzi (A4 comma 10)

© Pasquale Tarallo

116

Disposizioni Generali - DefinizioniConsenso dell’Interessato (A4 comma 11)

© Pasquale Tarallo

117

Disposizioni Generali - DefinizioniConsenso dell’Interessato (C32)

© Pasquale Tarallo

118

Disposizioni Generali - DefinizioniConsenso dell’Interessato (C32) (continua)

© Pasquale Tarallo

119

Disposizioni Generali - DefinizioniConsenso dell’Interessato (C32) (continua)

© Pasquale Tarallo

120

Disposizioni Generali - DefinizioniIl Consenso (C33)

© Pasquale Tarallo

121

Disposizioni Generali - DefinizioniViolazione dei dati personali (A4 comma 12)

© Pasquale Tarallo

122

Disposizioni Generali - DefinizioniViolazione dei dati personali (C85)

© Pasquale Tarallo

123

Disposizioni Generali - DefinizioniViolazione dei dati personali (C85) (continua)

© Pasquale Tarallo

124

Disposizioni Generali - DefinizioniDati Genetici (A4 comma 13)

© Pasquale Tarallo

125

Disposizioni Generali - DefinizioniDati Genetici (C34)

© Pasquale Tarallo

126

Disposizioni Generali - DefinizioniDati Biometrici (A4 comma 14)

© Pasquale Tarallo

127

Disposizioni Generali - DefinizioniDati Biometrici (C51)

© Pasquale Tarallo

128

Disposizioni Generali - DefinizioniDati Biometrici (C51) (continua)

© Pasquale Tarallo

129


© Pasquale Tarallo

130


© Pasquale Tarallo

131

Disposizioni Generali - DefinizioniDati relativi alla salute (A4 comma 15)

© Pasquale Tarallo

132

Disposizioni Generali - DefinizioniDati relativi alla salute (C35)

© Pasquale Tarallo

133

Disposizioni Generali - DefinizioniDati relativi alla salute (C35) (continua)

© Pasquale Tarallo

134

Disposizioni Generali - DefinizioniDati relativi alla salute (C35) (continua)

© Pasquale Tarallo

135

Disposizioni Generali - DefinizioniStabilimento Principale (A4 comma 16)

© Pasquale Tarallo

136

Disposizioni Generali - DefinizioniStabilimento Principale (A4 comma 16) (continua)

© Pasquale Tarallo

137

Disposizioni Generali - DefinizioniStabilimento Principale (C36)

© Pasquale Tarallo

138

Disposizioni Generali - DefinizioniStabilimento Principale (C36) (continua)

© Pasquale Tarallo

139


© Pasquale Tarallo

140


© Pasquale Tarallo

141


© Pasquale Tarallo

142

Disposizioni Generali - DefinizioniStabilimento Principale (C37)

© Pasquale Tarallo

143

Disposizioni Generali - Definizioni Rappresentante (A4 comma 17)

© Pasquale Tarallo

144

Disposizioni Generali - DefinizioniIl Rappresentante (C80)

© Pasquale Tarallo

145

Disposizioni Generali - DefinizioniIl Rappresentante (C80) (continua)

© Pasquale Tarallo

146


© Pasquale Tarallo

147


© Pasquale Tarallo

148

Disposizioni Generali - Definizioni Impresa (A4 comma 18)

© Pasquale Tarallo

149

Disposizioni Generali - Definizioni Gruppo Imprenditoriale (A4 comma 19)

© Pasquale Tarallo

150

Disposizioni Generali - Definizioni Gruppo Imprenditoriale (C37)

© Pasquale Tarallo

151

Disposizioni Generali - Definizioni Gruppo Imprenditoriale (C37) (continua)

© Pasquale Tarallo

152

Disposizioni Generali - DefinizioniIl Gruppo Imprenditoriale (C48)

© Pasquale Tarallo

153

Disposizioni Generali - Definizioni Norme Vincolanti di Impresa (A4 comma 20)

© Pasquale Tarallo

154

Disposizioni Generali - Definizioni Norme Vincolanti di Impresa (C37, già discusse, e C110)

© Pasquale Tarallo

155

Disposizioni Generali - Definizioni Autorità di Controllo (A4 comma 21)

© Pasquale Tarallo

156

Disposizioni Generali - Definizioni Autorità di Controllo Interessate (A4 comma 22)

© Pasquale Tarallo

157

Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124)

© Pasquale Tarallo

158

Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124) (continua)

© Pasquale Tarallo

159

Disposizioni Generali - Definizioni Autorità di Controllo Interessate (C124) (continua)

© Pasquale Tarallo

160

Disposizioni Generali - Definizioni Trattamento transfrontaliero (A4 comma 23)

© Pasquale Tarallo

161

Disposizioni Generali – DefinizioniObiezione pertinente e motivata (A4 comma 24)

© Pasquale Tarallo

162

Disposizioni Generali - Definizioni Servizio della Società dell’informazione (A4 comma 25)

© Pasquale Tarallo

163

Disposizioni Generali - Definizioni Organizzazione Internazionale (A4 comma 26)

164

© Pasquale Tarallo

2 La Guida dell’Autorità Garante per la Protezione dei Dati Personali

© Pasquale Tarallo

165

Una chiave di Lettura al GDPR è suggerita dalla nostra Autorità Garante per la Protezione dei Dati Personali con una GUIDA

La guida qui riportata

• Trae origine dal testo redatto dalla nostra Autorità Garante per la Protezione dei Dati Personali (*)

Inoltre

• Tiene conto del modo in cui il nuovo Regolamento trova applicazione nel nuovo scenario digitale

* L’autorità richiama l’attenzione sulla possibilità che in seguito si potranno apportare opportune integrazioni e modifiche alla Guida alla luce dell'evoluzione della riflessione a livello nazionale ed europeo

© Pasquale Tarallo

166

Trasferimento dei dati

Approccio basato sul rischio & Accountability

Titolare, Responsabile, e Incaricato del Trattamento

Diritti degli interessati

Informativa

Fondamenti di liceità del Trattamento

La nostra Autorità Garante ha preso in esame vari punti per spiegare i passi utili alla comprensione del GDPR

167

© Pasquale Tarallo

3 I Fondamenti di Liceità

© Pasquale Tarallo

168


© Pasquale Tarallo

169

I Fondamenti di Liceità

Il regolamento conferma che ogni Trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del Trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice, ovvero:

• il CONSENSO

• l’adempimento ad OBBLIGHI CONTRATTUALI

• gli INTERESSI VITALI della persona interessata o di terzi

• gli OBBLIGHI DI LEGGE cui è soggetto il Titolare

• l’INTERESSE PUBBLICO o l’ESERCIZIO DI PUBBLICI

POTERI

• l’INTERESSE LEGITTIMO prevalente del Titolare o di terzi

cui i dati vengono comunicati.

© Pasquale Tarallo

170

Cosa è INVARIATOCosa CAMBIA

Articoli del Codice Privacy

e Altre Disposizioni

Articoli e Considerando

del GDPR

Il Consenso Cosa Bisogna Chiedersi ?

© Pasquale Tarallo

171

Cosa CAMBIA

Il ConsensoCosa Cambia

• DEVE essere ESPLICITO per i DATI SENSIBILI (si veda art. 9 Regolamento), anche per le DECISIONI basate su TRATTAMENTI AUTOMATIZZATI (compresa la profilazione – art. 22).

• NON deve essere necessariamente DOCUMENTATO PER ISCRITTO, né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili).

• Il Titolare (art. 7.1) DEVE essere in grado di DIMOSTRAREche l'Interessato ha prestato il consenso a uno specifico Trattamento..

• Il consenso dei MINORI è valido a partire dai SEDICI ANNI:prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

© Pasquale Tarallo

172

Cosa è INVARIATO

Il Consenso Cosa è Invariato

• DEVE ESSERE, in tutti i casi, LIBERO, SPECIFICO, INFORMATO E INEQUIVOCABILE

• NON È AMMESSO IL CONSENSO TACITO O PRESUNTO(no a caselle pre-spuntate su un modulo).

• DEVE ESSERE MANIFESTATO attraverso una apposita dichiarazione o azione positiva inequivocabile (gli approfondimenti sono riportati nei considerando 39 e 42 del regolamento)

© Pasquale Tarallo

173

Ancora sul Consenso – 1 di 3

© Pasquale Tarallo

174


© Pasquale Tarallo

175


© Pasquale Tarallo

176

Cosa CAMBIA

L’Interesse Vitale di un Terzo Cosa Cambia

• Il Regolamento per la Protezione dei Dati Personali consente di invocare l’INTERESSE VITALE DI UN TERZO unicamente nel caso in cui nessuna delle altre condizioni di liceità può trovare applicazione (sul punto vale il Considerando 46)

© Pasquale Tarallo

177

Cosa è INVARIATO

L’Interesse Vitale di un Terzo Cosa è Invariato

• Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.

© Pasquale Tarallo

178

Cosa CAMBIA

L’Interesse Legittimo Prevalente di un Titolare o di un Terzo - Cosa Cambia

• Il BILANCIAMENTO fra legittimo interesse del Titolare o del terzo e diritti e libertà dell'Interessato non spetta all'Autorità ma è COMPITO DELLO STESSO TITOLARE* DEL TRATTAMENTO.

* Il Regolamento fa leva sul cosiddetto principio di RESPONSABILIZZAZIONE (ACCOUNTABILITY) introdotto per indurre il Titolare a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il Trattamento sia effettuato conformemente al Regolamento. medesimo. Sul punto di torna in seguito.

© Pasquale Tarallo

179

Cosa è INVARIATO

L’Interesse Legittimo Prevalente di un Titolare o di un Terzo - Cosa è Invariato

• L'interesse legittimo del Titolare o del terzo DEVE PREVALERE sui diritti e le libertà fondamentali dell'Interessato per costituire un valido fondamento di liceità.

• Il Regolamento sancisce espressamente che l'interesse legittimo del Titolare NON COSTITUISCE IDONEA BASE GIURIDICA per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

© Pasquale Tarallo

180

Ancora sull’Interesse Legittimo – 1 di 2

© Pasquale Tarallo

181

Ancora sull’Interesse Legittimo – 2 di 2

182

© Pasquale Tarallo

4 L’Informativa

© Pasquale Tarallo

183


Informativa

© Pasquale Tarallo

184





del GDPR

L’Informativa

© Pasquale Tarallo

185

Cosa CAMBIA

L’Informativa – Contenuti ed Obblighi del Titolare Cosa Cambia – 1 di 3

CONTENUTI DELL’INFORMATIVA

I contenuti dell'informativa sono elencati in modo tassativo dal Regolamento negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte SONO PIÙ AMPI RISPETTO AL CODICE. In questo senso il Regolamento prevede che IL TITOLARE DEVE SEMPRE specificare

• i dati di contatto del Responsabile per la Protezione dei Dati (in italiano RPD oppure in inglese DPO) se esistente

• la base giuridica del Trattamento• qual è il suo interesse legittimo se quest'ultimo costituisce la

base giuridica del Trattamento.

© Pasquale Tarallo

186

Cosa CAMBIA



Inoltre il Titolare DEVE SEMPRE specificare

• se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, come ad esempio:

si tratta di un Paese terzo giudicato adeguato dalla Commissione europea

si utilizzano Regole Vincolanti per aziende multinazionali con più sedi locali (Binding Corporate Rules – BCR) per trasferimenti infragruppo

sono state inserite specifiche clausole contrattuali modello, ecc..

© Pasquale Tarallo

187

Cosa CAMBIA



• Il Regolamento prevede anche ulteriori informazioni in quanto «necessarie per garantire un Trattamento corretto e trasparente». In particolare, il Titolare deve specificare:

il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione

il diritto di presentare un reclamo all'autorità di controllo se il Trattamento comporta processi decisionali automatizzati

(anche la profilazione), l'informativa deve specificarlo deve indicare anche la logica di tali processi decisionali e le

conseguenze previste per l'Interessato.

© Pasquale Tarallo

188

Cosa CAMBIA

L’Informativa – Tempistica Cosa Cambia

TEMPI DELL'INFORMATIVA

• Nel caso di dati personali non raccolti direttamente presso l'Interessato l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta,

• oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all'Interessato)

© Pasquale Tarallo

189

Cosa CAMBIA

L’Informativa - Modalità Cosa Cambia

MODALITÀ DELL'INFORMATIVA

Il Regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma

• concisa• trasparente• intelligibile • e facilmente accessibile per l'Interessato

occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (come riportato anche dal Considerando 58).

© Pasquale Tarallo

190

Cosa CAMBIA



• L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online) anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1).

• Il Regolamento ammette l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa. Le icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.

© Pasquale Tarallo

191

Cosa CAMBIA



• Sono inoltre parzialmente diversi i requisiti che il Regolamento fissa per l'esonero dall'informativa (come si esplicita nell’art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto nell'articolo 23, paragrafo 1, di quest'ultimo) ,

• Spetta al Titolare, in caso di dati personali raccolti da fonti diverse dall'Interessato, valutare se la prestazione dell'informativa agli interessati comporti uno sforzo sproporzionato

© Pasquale Tarallo

192

Cosa è INVARIATO

L’Informativa - ModalitàCosa è Invariato


• L'informativa deve essere fornita all'Interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l'Interessato, come si evince nell’art. 13).

• Se i dati non sono raccolti direttamente presso l'Interessato (art.14), l'informativa deve comprendere anche le categorie dei dati personali oggetto di Trattamento.

© Pasquale Tarallo

193

Cosa è INVARIATO

L’Informativa - ModalitàCosa è Invariato


• In tutti i casi, il Titolare deve specificare la propria identità e quella dell'eventuale rappresentante nel territorio italiano, le finalità del Trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un Responsabile del Trattamento e la sua identità, e quali sono i destinatari dei dati.

NOTA: ogni volta che le finalità cambiano si impone di informarne l'Interessato prima di procedere al Trattamento ulteriore.

© Pasquale Tarallo

194

Ancora sull’Informativa - 1 di 5

© Pasquale Tarallo

200

I Diritti degli Interessati

Il Regolamento disciplina

• Il diritto di ACCESSO

• Il diritto di cancellazione (DIRITTO ALL’OBLIO)

• Il diritto alla LIMITAZIONE DEL TRATTAMENTO

• Il diritto alla PORTABILITÀ DEI DATI

• le Modalità per l’ESERCIZIO DEI DIRITTI

© Pasquale Tarallo

203

Modalità per l’esercizio dei diritti Cosa è cambiato – 1 di 2

• Il termine per la risposta all'Interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità

• il Titolare deve comunque dare un riscontro all'Interessato ENTRO 1 MESE DALLA RICHIESTA, anche in caso di diniego

• SPETTA AL TITOLARE valutare la complessità del riscontro all'Interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'Interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5) , a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice=, ovvero se sono chieste più "copie" dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3.

Cosa CAMBIA

© Pasquale Tarallo

204

Modalità per l’esercizio dei diritti Cosa è cambiato – 2 di 2

• Nel caso di richieste di più copie il Titolare deve tenere conto dei costi amministrativi sostenuti.

• Il riscontro all'Interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità

• Può essere dato oralmente solo se così richiede l'Interessato (art. 12, paragrafo 1; oppure anche art. 15, paragrafo 3)

• La risposta fornita all'Interessato non deve essere solo "intelligibile", ma anche CONCISA, TRASPARENTE E FACILMENTE ACCESSIBILE, oltre a utilizzare un LINGUAGGIO SEMPLICE E CHIARO.

Cosa CAMBIA

© Pasquale Tarallo

205

Modalità per l’esercizio dei diritti Cosa è Invariato – 1 di 2

• Il Titolare del Trattamento deve agevolare l'esercizio dei diritti da parte dell'Interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea.

• Benché sia il solo Titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e),

• L'esercizio dei diritti è, in linea di principio, gratuito per l'Interessato, ma possono esservi eccezioni (riportate nelle slide precedenti, dove abbiamo visto cosa cambia).

• Il Titolare ha il diritto di chiedere informazioni necessarie a identificare l'Interessato, e quest'ultimo ha il dovere di fornirle, secondo modalità idonee (come disciplinato, in particolare, agli art. 11, paragrafo 2 e art. 12, paragrafo 6)

Cosa è INVARIATO

© Pasquale Tarallo

206

Modalità per l’esercizio dei dirittiCosa è Invariato – 2 di 2

• Sono ammesse deroghe ai diritti riconosciuti dal Regolamento, ma solo sul fondamento di disposizioni normative nazionali ai sensi dell'articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/"oblio", art. 83 trattamenti di natura giornalistica e art. 89 trattamenti per finalità di ricerca scientifica o storica o di statistica).

• In via generale, possono continuare a essere applicate tutte le deroghe previste dall'art. 8, comma 2, del Codice in quanto compatibili con le disposizioni citate.

• Al momento il Garante sta valutando la piena rispondenza delle disposizioni del Codice con altri requisiti fissati per la legislazione nazionale per renderla coerente con il Regolamento

Cosa è INVARIATO

© Pasquale Tarallo

210

Diritto di accesso Cosa Cambia

• Il diritto di accesso prevede in ogni caso il DIRITTO DI RICEVERE UNA COPIA DEI DATI personali oggetto di Trattamento.

• Fra le informazioni che il Titolare deve fornire non rientrano le "modalità" del Trattamento, mentre occorre INDICARE IL PERIODO DI CONSERVAZIONE previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Cosa CAMBIA

© Pasquale Tarallo

214

Diritto alla cancellazione/all’oblio Cosa cambia

• Il diritto cosiddetto "all'oblio" si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata.

• Si prevede, infatti, l'obbligo per i titolari (se hanno "reso pubblici" i dati personali dell'Interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione (come si evince dall’art. 17 paragrafo 2).

• Ha un campo di applicazione più esteso di quello espresso dal Codice (art.7, comma 3, lettera b), poiché l'Interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al Trattamento (come si evince dall’art. 17 paragrafo 1).

Cosa CAMBIA

© Pasquale Tarallo

215

Diritto alla cancellazione/all’oblioCosa è Invariato

Dalla Guida dell’Autorità si evince che non vi sono indicazioni del Regolamento su questo punto che lascino invariati norme o disposizioni della legislazione attualmente in vigore.

Cosa è INVARIATO

© Pasquale Tarallo

217

Diritto di Limitazione del Trattamento Cosa Cambia

• Si tratta di un diritto diverso e più esteso rispetto al "blocco" del Trattamento di cui all'art. 7, comma 3, lettera a), del Codice: in particolare, È ESERCITABILE NON SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI DI LICEITÀ DEL TRATTAMENTO (quale alternativa alla cancellazione dei dati stessi), BENSÌ ANCHE SE L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI (in attesa di tale rettifica da parte del Titolare) O SI OPPONE AL LORO TRATTAMENTO ai sensi dell'art. 21 del regolamento (in attesa della valutazione da parte del Titolare).

• Esclusa la conservazione, OGNI ALTRO TRATTAMENTO DEL DATO DI CUI SI CHIEDE LA LIMITAZIONE È VIETATO a meno che ricorrano determinate circostanze (consenso dell'Interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Cosa CAMBIA

© Pasquale Tarallo

221

Diritto alla portabilità dei dati Cosa Cambia

• Si tratta di uno dei nuovi diritti previsti dal Regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).

• Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio.

• Sono portabili solo i dati trattati con il consenso dell'Interessato o sulla base di un contratto stipulato con l'Interessato (quindi non si applica ai dati il cui Trattamento si fonda sull'interesse pubblico o sull'interesse legittimo del Titolare, per esempio), e solo i dati che siano stati "forniti" dall'Interessato al Titolare.

• Il Titolare deve essere in grado di trasferiredirettamente i dati portabili a un altro Titolare indicato dall'Interessato, se tecnicamente possibile.

Cosa CAMBIA

© Pasquale Tarallo

222

Diritto alla portabilità dei datiCosa è Invariato

• Essendo una nuova disposizione prevista dal Regolamento non vi sono norme o disposizioni nella legislazione attualmente in vigore.

Cosa è INVARIATO

© Pasquale Tarallo

227

Titolare, Responsabile, Incaricato del Trattamento


Diventa opportuno chiedersi

Diventa opportuno chiedersi

© Pasquale Tarallo

228

Titolare, Responsabile, IncaricatoCosa Cambia – 1 di 4

• All’art. 26 del Regolamento si disciplina LA CONTITOLARITÀ DEL TRATTAMENTO E SI IMPONE AI TITOLARI DI DEFINIRE SPECIFICAMENTE (con un atto giuridicamente valido ai sensi del diritto nazionale) IL RISPETTIVO AMBITO DI RESPONSABILITÀ E I COMPITI CON PARTICOLARE RIGUARDO ALL'ESERCIZIO DEI DIRITTI DEGLI INTERESSATI, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

• Si fissano più dettagliatamente (rispetto all'art. 29 del Codice) le CARATTERISTICHE DELL'ATTO con cui il Titolare designa un Responsabile del Trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale).

Cosa CAMBIA

© Pasquale Tarallo

229

Titolare, Responsabile, IncaricatoCosa Cambia – 2 di 4

• L'atto con cui il Titolare designa un Responsabile del Trattamento deve disciplinare tassativamente almeno le materie riportate dal Regolamento al fine di dimostrare che il Responsabile fornisce "garanzie sufficienti" su:

la NATURA la DURATA le FINALITÀ DEL TRATTAMENTO o dei

trattamenti assegnati le CATEGORIE DI DATI oggetto di Trattamento, le MISURE TECNICHE E ORGANIZZATIVE

adeguate a consentire il rispetto delle istruzioni impartite dal Titolare e, in via generale, delle disposizioni contenute nel Regolamento.

Cosa CAMBIA

© Pasquale Tarallo

230

Titolare, Responsabile, Incaricato Cosa Cambia – 3 di 4

• Si consente (art. 28 par. 4) la nomina di sub-responsabili del Trattamento da parte di un Responsabile, per specifiche attività di Trattamento, nel rispetto degli stessi obblighi contrattuali che legano Titolare e Responsabile primario

• il Responsabile risponde dinanzi al Titolare dell'inadempimento dell'eventuale sub-Responsabile, anche ai fini del risarcimento di eventuali dannicausati dal Trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile« (art,82 par, 1 e 3).Cosa CAMBIA

© Pasquale Tarallo

231

Titolare, Responsabile, IncaricatoCosa Cambia - 4 di 4

• Si prevedono obblighi specifici in capo ai responsabili del Trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

la tenuta del REGISTRO DEI TRATTAMENTIsvolti

L'ADOZIONE DI IDONEE MISURE TECNICHE E ORGANIZZATIVE per garantire la sicurezza dei trattamenti

la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale.

• Si ricorda, infine, che anche il Responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono particolari condizioni di cui all'art. 27, paragrafo 3, del regolamento – diversamente da quanto prevede oggi l'art. 5, comma 2, del Codice.

•

Cosa CAMBIA

© Pasquale Tarallo

232

Titolare, Responsabile, Incaricato Cosa è Cambiato

• Il Regolamento definisce caratteristiche soggettive e responsabilità di Titolare e Responsabile del Trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano).

• Pur non prevedendo espressamente la figura dell' "incaricato" del Trattamento, il Regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al Trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile (come si evince in particolare, all’art. 4, n. 10, del regolamento) .

Cosa è INVARIATO

© Pasquale Tarallo

243

Cosa CAMBIA

Approccio basato sul rischio e responsabilizzazione Cosa Cambia – 1 di 8

• Il Regolamento pone con forza l'accento sulla capacità di dare

conto con responsabilità (ACCOUNTABILITYnell'accezione inglese) dei titolari e dei responsabili – ossia, sulla rispettiva capacità di dare luogo a comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento (come si legge (si negli artt. 23-25, in particolare, e l'intero Capo IV).

• Si tratta di una GRANDE NOVITÀ PER LA PROTEZIONE DEI DATI in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del Trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

© Pasquale Tarallo

244

Cosa CAMBIA

Approccio basato sul rischio e responsabilizzazioneCosa Cambia – 2 di 8

• Uno dei primi criteri individuati per l’accountability è

sintetizzato dalle due espressioni inglesi «DATA PROTECTION BY DEFAULT» e DATA PROTECTION BY DESIGN", ossia dalla NECESSITÀ

DI CONFIGURARE IL TRATTAMENTO PREVEDENDO FIN DALL'INIZIO LE GARANZIE INDISPENSABILI "al fine di soddisfare i requisiti" del Regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il Trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

© Pasquale Tarallo

245

Cosa CAMBIA


• Quanto fin qui delineato deve avvenire a monte, prima di procedere al Trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del Trattamento sia all'atto del Trattamento stesso«, secondo quanto afferma l'art. 25 del regolamento, e richiede, pertanto, un'analisi preventiva sugli impatti relativi alla protezione dei dato (DPIA – DATA PROTECION IMPACT ASSESSMENT) e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

© Pasquale Tarallo

246

Cosa CAMBIA


• Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al Trattamento, ovvero il RISCHIO DI IMPATTI NEGATIVI sulle libertà e i diritti degli interessati (come esplicitano nei (si vedano considerando 75-77).

© Pasquale Tarallo

247

Cosa CAMBIA


• Gli impatti dovranno essere analizzati attraverso un apposito PROCESSO DI VALUTAZIONE (come disciplinato negli art, 35-36) o PIA, cioè Privacy Impact Assessment, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il Titolare ritiene di dover adottare per mitigare tali rischi.

© Pasquale Tarallo

248

Cosa CAMBIA


• All'esito di questa valutazione di impatto il Titolare potrà decidere in autonomia se iniziare il Trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.

• L'autorità non avrà il compito di "autorizzare" il Trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del Titolare e potrà (come disposto all’art. 58 del Regolamento), ove necessario, adottare tutte le misure correttive:

ammonimento del Titolare limitazione, oppure divieto di procedere al Trattamento.

© Pasquale Tarallo

249

Cosa CAMBIA


• L'intervento delle autorità di controllo sarà quindi principalmente "ex post", ossia si collocherà successivamente alle determinazioni assunte autonomamente dal Titolare.

• Questo spiega l'ABOLIZIONE a partire dal 25 maggio 2018 di alcuni istituti finora previsti, come la NOTIFICA PREVENTIVA dei trattamenti all'autorità di controllo e il cosiddetto PRIOR CHECKING (O VERIFICA PRELIMINARE), sostituiti da obblighi di tenuta di un Registro dei trattamenti da parte del Titolare/Responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.

© Pasquale Tarallo

250

Cosa CAMBIA


• Alle autorità di controllo, e in particolare al "Comitato europeo della protezione dei dati" (l'erede dell'attuale Gruppo "Articolo 29") spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di Trattamento dati.

© Pasquale Tarallo

251

Cosa CAMBIA

Approccio basato sul rischio e responsabilizzazione Registro dei trattamenti – Cosa Cambia

• Tutti i titolari e i responsabili di Trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un Registro delle operazioni di Trattamento.

• Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico –indispensabile per ogni valutazione e analisi del rischio.

• Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

© Pasquale Tarallo

255

Approccio basato sul rischio e responsabilizzazione Misure di sicurezza – Cosa Cambia – 1 di 3

• Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del Trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva ("tra le altre, se del caso").

• Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Cosa CAMBIA

© Pasquale Tarallo

256


• Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate.

• Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato "B" al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni.

Cosa CAMBIA

© Pasquale Tarallo

257


• Per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.

•Cosa CAMBIA

© Pasquale Tarallo

258

Approccio basato sul rischio e responsabilizzazione Violazione dei dati (data Breach) – Cosa Cambia

• A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi –dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85).

• La notifica all'autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.

Cosa CAMBIA

© Pasquale Tarallo

259


• Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo"; fanno eccezione le circostanze indicate al paragrafo 3 dell'art. 34, che coincidono solo in parte con quelle attualmente menzionate nell'art. 32-bis del Codice.

• I contenuti della notifica all'autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del regolamento.

• Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è stato chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il Gruppo "Articolo 29".

Cosa CAMBIA

© Pasquale Tarallo

260


• La nostra Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di Trattamento secondo quanto prevede il regolamento.

Cosa CAMBIA

© Pasquale Tarallo

262

Approccio basato sul rischio e responsabilizzazione Data Protection Officer (DPO) – Cosa Cambia – 1 di 2

• Anche la designazione di un "Responsabile della Protezione Dati" (RPD, ovvero DPO se si utilizza l'acronimo inglese: Data Protection Officer) riflette l'approccio responsabilizzante che è proprio del Regolamento, essendo finalizzata a facilitare l'attuazione del Regolamento da parte del Titolare/del Responsabile.

• Non è un caso, infatti, che fra i compiti del RPD rientrino "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto.

Cosa CAMBIA

© Pasquale Tarallo

263

Approccio basato sul rischio e responsabilizzazione Data Protection Officer (DPO) – Cosa Cambia – 2 di 2

• La designazione del DPO è obbligatoria in alcuni casi, e il Regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano I termini che il WP29 ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante con le rispettive domande ricorrenti (FAQ).

Cosa CAMBIA

© Pasquale Tarallo

267

Trasferimento dei dati verso Paesi Terzi e Organizzazioni Internazionali – 1 di 9

• Viene meno il requisito dell'autorizzazione nazionale (si vedano art. 45, paragrafo 1, e art. 46, paragrafo 2).

• Il trasferimento verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa approvate attraverso la specifica procedura di cui all'art. 47 del regolamento, potrà avere inizio senza attendere l'autorizzazione nazionale del Garante - a differenza di quanto attualmente previsto dall'art. 44 del Codice.

Cosa CAMBIA

© Pasquale Tarallo

268


• L'autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.

Cosa CAMBIA

© Pasquale Tarallo

269


• Il Regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" previste.

• Ciò significa che i titolari o i responsabili del Trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti.

• Tuttavia, (si vedano art. 40, paragrafo 3, e art. 42, paragrafo 2) tali titolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.

Cosa CAMBIA

© Pasquale Tarallo

270


• Il Regolamento vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell'esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (art. 48).

• Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche.

Cosa CAMBIA

© Pasquale Tarallo

271


• Si deve ricordare che il Regolamento sancisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato "per importanti motivi di interesse pubblico", in deroga al divieto generale.

• In questo caso deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del Titolare o dal diritto dell'Ue (si veda art. 49, paragrafo 4) e dunque non può essere fatto valere l'interesse pubblico dello Stato terzo ricevente.

Cosa CAMBIA

© Pasquale Tarallo

272


• Il Regolamento fissa i requisiti per l'approvazione delle norme vincolanti d'impresa e i contenuti obbligatori di tali norme.

• L'elenco indicato al riguardo nel paragrafo 2 dell'art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori.

• Ad ogni modo, l'approvazione delle norme vincolanti d'impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento – ossia, è previsto in ogni caso l'intervento del Comitato europeo per la protezione dei dati (coedisciplinato all’art. 65, paragrafo 1, lettera d).

Cosa CAMBIA

© Pasquale Tarallo

273


• Il Regolamento al Capo V ha confermato l'approccio attualmente vigente in base alla direttiva 95/46 e al Codice Italiano per quanto riguarda i flussi di dati al di fuori dell'Unione europea e dello spazio economico europeo, prevedendo che tali flussi sono vietati, in linea di principio a meno che intervengano specifiche garanzie.

Cosa è INVARIATO

© Pasquale Tarallo

274


• Il Regolamento ha confermato la possibilità di deroga se intervengono le seguenti specifiche garanzie:

l’adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea (art. 44, comma 1, lettera b), del Codice);

l’assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d'impresa - BCR, e clausole contrattuali modello, come descritto all’art. 44, comma 1, lettera a) del Codice);

in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni corrispondenti in parte alle disposizioni dell'art. 43, comma 1, del Codice).

Cosa è INVARIATO

© Pasquale Tarallo

275


• Le decisioni di adeguatezza sinora adottate dalla Commissione (livello di protezione dati in Paesi terzi, a partire dallo scudo per la Privacy (Privacy Shield), e clausole contrattuali tipo per titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica.

• Restano valide, conseguentemente, le autorizzazioni nazionali sinora emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione

• Restano valide, inoltre, le autorizzazioni nazionali che il Garante ha rilasciato in questi anni per specifici casi, sino a loro eventuale modifica

Cosa è INVARIATO

© Pasquale Tarallo

277

Contenuti di questa presentazione e di ulteriori contributi

Come specificato al principio della presentazione i contenuti fin qui esposti

fanno parte di un progetto editoriale più ampioIdeato, Realizzato e Distribuito GRATUITAMENTE

che può essere richiesto in formato ppt via mail inviando i propri riferimenti completi a

Pasquale Tarallo

© Pasquale Tarallo

278

Riferimenti dell’autore e dove trovare altri contributi simili

Email [email protected]. +39 02 90377918 Mobile +39 3394561469

mailto:[email protected]

tarallo privacy

Health & Medicine