Please enable JavaScript.
Coggle requires JavaScript to display documents.
6.GDPR (regolamento Europeo Privacy) Reg UE 679/2016 (NUOVE REGOLE DEL…
6.GDPR (regolamento Europeo Privacy) Reg UE 679/2016
È un Regolamento (direttamente applicabile dagli Stati membri UE)
entrato in vigore nel 2016, si applica da 25 maggio 2018, per dare tempo sufficiente agli interessati di mettersi in regola
con il d.lgs. 101/2018 viene adeguato il codice in materia di protezione dei dati personali (d lgs. 196/2003) per conformarlo al Regolamento
CONTENUTI
Conferme
Principio generale della TRASPARENZA
tramite l'INFORMATIVA Privacy
Principio generale della LICEITÀ (art. 6)
il trattamento è lecito se:
l'interessato ha espresso il
consenso
al trattamento
PRIMA di trattare i dati
non necessariamente in forma scritta, ma in modo chiaramente distinguibile dalle altre materie
il trattamento è necessario all'esecuzione del contratto di cui l'interessato è parte
il trattamento è necessario per adempiere ad un obbligo legale
Principio generale della PROPORZIONALITÀ
Novità assolute
ACCOUNTABILITY
il titolare del trattamento deve mettere in atto le misure tecniche ed organizzative necessarie
e di darne dimostrazione
, tenendo conto di:
ambiti di applicazione
rischi
finalità del trattamento
DATA PROTECTION OFFICER
OBBLIGATORIO per
Autorità pubbliche
soggetti che trattino dati personali su larga scala come attività principale
soggetto con competenze specifiche in materia, che assiste il titolare con funzioni di consulenza e controllo
contratto scritto
indipendente
deve avere conoscenza specialistica della norma
10000 euro di sanzione o fino al 2% del fatturato
REGISTRO DEI TRATTAMENTI
obbligatorio per i titolari che abbiano più di 250 dipendenti
un registro delle operazioni di trattamento scritto ed elettronico
fortemente consigliato dal Garante, ache se non obbligatorio per tutti
VALUTAZIONE D'IMPATTO
obbligatoria se il trattamento presenta un rischio elevato per i diritti le libertà delle persone fisiche
trattamenti valutativi o di scoring
profilazioni e attività predittive
videosorveglianza su vasta scala di zone aperte al pubblico
documento formale contenente:
descrizione del trattamento
valutazione dei rischi
attivita che dimostrano la conformità al regolamento
PRIVACY BY DEFAULT & BY DESIGN
il trattamento dei dati va configurato
fin dalla progettazione
in modo da adottare le misure indispensabili per tutelare i diritti degli interessati
Incentivata l'istituzione di
Certificazioni
che attestino l'osservanza del Regolamento
volontaria
non restringe le responsabilità del titolare o del responsabile
durata di tre anni, rinnovabile e revocabile
DATA BREACHES (notifica delle violazioni di dati personali)
notifica al Garante entro 72 ore
comunque senza ingiustificato ritardo
in caso di particolare gravità va avvisato anche l'interessato
SANZIONI
amministrative
effettive
proporzionate
dissuasive
fino a 20 mln o 4% del fatturato mondiale (a discrezione delle singole autorità di Controllo)
penali
rinvio alla legge italiana
risarcimento danni
esonero solo se l'evento non è imputabile al soggetto
modifiche della normativa precedente
INFORMATIVA PRIVACY (art 13)
una nota in cui il titolare del trattamento fornisce all'interessato le
indicazioni su come verrà svolto il trattamento
dei dati
è sempre OBBLIGATORIO
Prima di registrare i dati se il trattamento è diretto
nel caso di raccolta di dati presso terzi (acquisto dati) entro 30 giorni dalla raccolta
specificare se i dati verranno utilizzati anche per finalità diverse da quelle per cui sono stati raccolti
UNA TANTUM, forma scritta o mezzi elettronici (onere della prova)
deve contenere le caratteristiche essenziali del trattamento effettuato
periodo di conservazione dei dati
l'intenzione di trasferirli all'estero
contenuto già indicato dalla normativa precedente
identità e contatti del titolare
finalità
esistenza del
diritto di accesso
ai dati
diritto di revocare il consenso
conseguenze per la mancata comunicazione dei dati (obbligatorio o no)
CONSENSO
dati particolari ora
legittimamente trattabili
in presenza di un consenso esplicito
se il trattamento è necessario ad assolvere obblighi o esercitare diritti in materia di diritto del lavoro o sicurezza sociale
se è necessario per tutelare un interesse vitale dell'interessato o per accertare, difendere un diritto in sede giudiziaria
da un ente od associazione senza scopo di lucro (purchè nell'ambito delle sue legittime attività e con adeguate garanzie)
sempre prima del trattamento dei dati
non necessariamente scritto, ma in modo chiaramente distinguibile dalle altre materie
DIRITTO DI ACCESSO AI DATI PERSONALI
L'interessato ha diritto di ottenere la
conferma di esistenza
di dati personali che lo riguardano, anche se non ancora registrati
origine
finalità
estremi identificativi di titolare, responsabile, autorizzati
soggetti ai quali possono essere trasmessi i dati
aggiornamento
cancellazione
attestazione
opposizione
COOKIE E PRIVACY
PRINCIPI GENERALI
Oggetto e finalità
protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali
tutela l'uso e la circolazione dei propri dati personali, cioè a
qualunque dato riferibile a persone fisiche identificabili o identificate
dati personali
numeri di identificazione personale (p. IVA, tessera sanitaria)
dati contabili, contratti, beni immobiliari, prestiti
numeri di telefono
dati particolari
genetici
biometrici
dati ricavati tramite procedimenti tecnici relativi a caratteristiche fisiologiche della persona che ne consentono l'iidentificazione univoca (immagine facciale, impronte digitali, scansione dell'iride)
ex-sensibili
relativi a etnia, orientamento politico, religione, appartenenza a sindacati, vita sessuale, stato di salute
È il diritto del soggetto ad esercitare il controllo sui propri dati:
a chi darli
per quanto tempo
per che finalità
cosa si intende per
trattamento
qualsiasi operazione o insieme di operazioni compiuti senza o con l'ausilio di mezzi automatizzati applicate a dati personali o insieme di dati personali come:
raccolta
registrazione
organizzazione
strutturazione
conservazione
uso
estrazione
interconnessione
raffronto
chi deve applicarlo
chiunque sia stabilito sul territorio UE
anche se il trattamento avviene fuori UE
e che svolge il trattamento per finalità professionali (non per uso personale o domestico)
la persona fisica che si trova in UE è tutelata dal Regolamento
Soggetti
Titolare
persona fisica o giuridica (o P.A.)
chi determina i modi e le finalità del trattamento
su di lui ricadono le sanzzioni
Autorizzato
le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile
Interessato
la persona fisica a cui si riferiscono i dati personali
Responsabile
persona fisica, giuridica, P.A., altro ente od organismo
che tratta i dati per conto del titolare
contratto scritto
NUOVE REGOLE DEL MARKETING TELEFONICO
Registro pubblico delle Opposizioni (2010)
il numero chiamante deve essere visibile
gli operatori devono indicare agli interessati l'origine dei loro dati personali ed eventualmente le indicazioni utili ad iscriversi al Registro
informativa può essere resa con modalità semplificate
sanzioni da 10 a 120 mila euro