Lug 17, 2019
Le differenze tra il Codice della Privacy (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 2016/679)
GDPR
[su_table responsive=”yes” fixed=”yes”]
| Codice della Privacy |
Regolamento UE 2016/679 |
| Normative frammentate, non uniformi fra i vari paesi membri dell’Unione Europea. |
Regole comuni per tutti i paesi così da eliminare disparità di trattamento per i soggetti interessati del trattamento. |
| La privacy era intesa come elemento finale delle attività di trattamento, in quanto gli eventuali vizi nella raccolta dei dati potevano essere “sanati” anche dopo che i trattamenti erano già stati effettuati. |
Introdotti i principi di “Privacy by Design” e “Privacy by Default”, i quali implicano che i trattamenti debbano essere concepiti sin dal momento della loro ideazione nel rispetto delle regole fissate dal legislatore. |
| Per definire la legge applicabile si considerava la sede del Titolare del trattamento. |
La legge applicabile è quella del soggetto interessato del trattamento. I Titolari (tra i quali anche social network, piattaforme web e motori di ricerca) saranno quindi soggetti alla normativa europea anche se aventi sede al di fuori dell’UE. Pertanto è prevista l’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, purché relativi a beni e servizi offerti ai cittadini UE o tali da permetterne il monitoraggio dei comportamenti. |
| Non vi erano particolari requisiti per l’informativa, che pertanto era spesso lunga, incomprensibile e con richiami normativi complessi. |
L’informativa deve essere accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto. |
| Il consenso doveva essere libero, specifico e informato, reso mediante un atto formale per l’accettazione del trattamento dei dati. |
Il consenso oltre che libero, specifico e informato, deve essere inequivocabile. E’ valido solo se la volontà è espressa in modo NON equivoco per ogni singolo trattamento. |
| Non vi erano particolari obblighi di tenuta della documentazione comprovante il regolare espletamento dei trattamenti dati. |
Introdotto il principio di “Accountability”, ovvero della responsabilità “verificabile”. E’ obbligatorio documentare tutti i trattamenti effettuati, poiché è sufficiente non avere i documenti per essere passibili delle sanzioni stabilite dal Regolamento. |
| Le figure implicate nel trattamento dei dati erano il Titolare del Trattamento, il Responsabile e l’Incaricato del trattamento. |
Introduzione della Contitolarità nel trattamento dei dati. Eliminata a livello terminologico la figura dell’Incaricato, però mantenuta a livello formale in quanto sia il Titolare che il Responsabile del trattamento possono incaricare dei soggetti per lo svolgimento di determinati compiti. |
| Inizialmente era stato previsto che il solo Titolare del trattamento si dotasse del DPS (Documento Programmatico sulla Sicurezza), relativo al controllo del trattamento dei dati e la loro sicurezza, prevenendo ogni possibile sanzione da parte dell’Autorità Garante. Poi abrogato in un’ottica di un alleggerimento normativo e documentale. |
Istituito il l Registro delle Attività di Trattamento, un documento ove non solo il Titolare ma anche il Responsabile del trattamento possaIno rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che li riguardano. La ratio è quella di dimostrare la conformità del del trattamento alle disposizioni del Regolamento |
| Era previsto che prima dell’inizio di talune attività di trattamento fosse necessario effettuare la notificazione all’Autorità Garante della Privacy. |
Con il nuovo Regolamento non si dovrà più effettuare la notificazione all’Autorità Garante, ma per il Titolare (e i suoi rappresentanti) sarà necessario tenere i registri delle attività di trattamento, che ricalcano il vecchio DPS, poiché ove possibile bisognerà fornire la descrizione delle misure di sicurezza adottate. |
| Non era stabilito alcun obbligo di notifica delle eventuali violazioni dei dati personali. |
E’ stato sancito l’obbligo, per il Titolare, di comunicare le violazioni (data breach) all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché al soggetto interessato, qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà. |
| La vecchia normativa riconosceva al soggetto interessato diversi diritti, sebbene molti fossero di origine giurisprudenziale. |
Codificati i diritti di elaborazione giurisprudenziale, affiancati dall’introduzione di nuovi diritti quali: diritto alla portabilità dei dati, diritto all’oblio. |
| Non era prevista alcuna figura di raccordo tra i soggetti del trattamento e l’Autorità Garante. |
Introduzione della figura del Data Protection Officer (DPO), figura professionale obbligatoria per alcune categorie di soggetti Titolari del trattamento, che dovrà fungere da referente con il Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto. |
[/su_table]
Lug 12, 2019
Il trattamento dei dati sulla salute (dati sanitari) è consentito in presenza di taluni requisiti specifici individuati all’art. 9 del Regolamento (cfr. considerando n. 51), il quale ha previsto, in questo ambito, la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riferimento al predetto trattamento (cfr. art. 9, par. 4).
salute – dati personali
Il decreto legislativo n. 101/2018, in vigore dal 19 settembre 2018, ha previsto, al riguardo, che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice). Considerata la delicatezza e la complessità di tali trattamenti, il legislatore ha, inoltre, previsto un periodo transitorio, affidando al Garante il compito di individuare, ed eventualmente aggiornare, le prescrizioni contenute nelle autorizzazioni generali sul trattamento dei dati sensibili che risultavano compatibili con le disposizioni del Regolamento e del decreto n. 101/2018, nonché di verificare la conformità dei codici deontologici al Regolamento (artt. 20 e 21 del citato decreto).
In attuazione della predetta disciplina transitoria, con il provvedimento del 13 dicembre 2018 (consultabile sul sito www.gpdp.it doc. web n. 9068972), sono state individuate le prescrizioni, contenute nelle autorizzazioni generali, compatibili con le disposizioni del Regolamento e del decreto n. 101/2018, deliberando contestualmente l’avvio di una procedura di consultazione pubblica, al fine di acquisire osservazioni e proposte a cura di tutti i soggetti interessati.
Analogamente, con provvedimento del 19 dicembre 2018 (doc. web n.9069637), il Garante ha provveduto alla verifica della conformità delle disposizioni contenute nei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici al Regolamento e alla loro conversione in regole deontologiche, il cui rispetto costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (art. 2-quater del Codice).
L’Autorità ha, altresì, avviato la redazione dei provvedimenti, previsti dall’art. 2-septies del Codice, che stabiliscono le misure di garanzia e si impegna ad adottarli in tempi brevi per arrivare, quanto prima, alla completa definizione del quadro regolatorio.
In questi primi mesi di applicazione del Regolamento e delle nuove disposizioni del Codice, il Garante ha ricevuto numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei dati relativi alla salute in ambito sanitario.
E’ stata sollevata, infatti, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggetti istituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito.
Sebbene il quadro regolatorio, come sopra evidenziato, non sia ancora definitivo, l’Autorità ritiene opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario.
[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/07/GarantePrivacy-9091942-1.5.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]
Giu 22, 2019
Gruppo di lavoro articolo 29
Criteri di riferimento per l’adeguatezza
Adottati il 28 novembre 2017
Versione emendata e adottata il 6 febbraio 2018
Il Gruppo di lavoro per la protezione dei dati (“Gruppo”) ha già presentato un documento di lavoro sui trasferimenti di dati personali verso paesi terzi (WP12). In seguito all’entrata in vigore del regolamento generale dell’UE sulla protezione dei dati (“regolamento”), che ha sostituito la direttiva, il Gruppo sta rivedendo il documento WP12, contenente i suoi precedenti orientamenti, per aggiornarlo alla luce della nuova legislazione e della giurisprudenza recente della Corte di giustizia dell’Unione europea (“Corte”).
Il presente documento di lavoro si prefigge di aggiornare il capitolo 1 del WP12, relativo alla questione centrale del livello adeguato di protezione dei dati in un paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo o un’organizzazione internazionale (di seguito: “paesi terzi o organizzazioni internazionali”). Nei prossimi anni il documento sarà sottoposto a continue revisioni e, se necessario, aggiornato sulla base dell’esperienza pratica maturata grazie all’applicazione del regolamento. I capitoli 2 (Applicazione dei principi ai paesi che hanno ratificato la convenzione n. 108 del Consiglio d’Europa) e 3 (Applicazione dei principi all’autodisciplina settoriale) del documento WP12 dovrebbero essere aggiornati in una fase successiva.
Il presente documento di lavoro riguarda soltanto le decisioni di adeguatezza, che sono atti di esecuzione della Commissione europea a norma dell’articolo 45 del regolamento. Altri aspetti dei trasferimenti di dati personali verso paesi terzi e organizzazioni internazionali saranno esaminati in successivi documenti di lavoro che saranno pubblicati separatamente (norme vincolanti d’impresa, deroghe).
Il presente documento mira a fornire orientamenti alla Commissione europea e al Gruppo, nel quadro del regolamento, per quanto concerne la valutazione del livello di tutela dei dati nei paesi terzi e nelle organizzazioni internazionali, stabilendo i principi fondamentali per la protezione dei dati che devono essere presenti nella legislazione di un paese terzo o in un’organizzazione internazionale per garantire un’equivalenza sostanziale con il quadro dell’UE. Inoltre, può fornire orientamenti ai paesi terzi e alle organizzazioni internazionali interessati a ottenere l’adeguatezza. Tuttavia, i principi delineati nel presente documento di lavoro non sono direttamente rivolti ai titolari del trattamento o ai responsabili del trattamento.
[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp254-rev-0.1_IT.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]
Giu 22, 2019
Linee guida sulla notifica delle “violazioni dati personali” (data breach) ai sensi del regolamento (UE) 2016/679
adottate il 3 ottobre 2017
Versione emendata e adottata in data 6 febbraio 2018
Il regolamento generale sulla protezione dei dati introduce l’obbligo di notificare una violazione dei dati personali (in appresso: “violazione”) all’autorità di controllo nazionale competente (oppure, in caso di violazione transfrontaliera, all’autorità capofila) e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali sono stati interessati dalla violazione.
Attualmente l’obbligo di notifica delle violazioni esiste già per determinate organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013)2. Inoltre, alcuni Stati membri dell’UE prevedono già un obbligo nazionale di notifica delle violazioni, che può consistere nell’obbligo di notificare violazioni che coinvolgono categorie di titolari del trattamento diversi dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio Germania e Italia) oppure nell’obbligo di segnalare tutte le violazioni riguardanti dati personali (ad esempio Paesi Bassi). Altri Stati membri dispongono di codici di buona pratica (ad esempio Irlanda). Sebbene un certo numero di autorità di protezione dei dati dell’UE incoraggi già il titolare del trattamento a segnalare le violazioni, la direttiva 95/46/CE sulla protezione dei dati, che viene sostituita dal regolamento generale sulla protezione dei dati, non contiene uno obbligo specifico di notifica delle violazioni, pertanto tale obbligo sarà nuovo per numerose organizzazioni. Il regolamento generale sulla protezione dei dati rende ora la notifica obbligatoria per tutti i titolari del trattamento a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Anche i responsabili del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al proprio titolare del trattamento.
Il Gruppo di lavoro articolo 29 (“Gruppo di lavoro”) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. All’atto della notifica all’autorità di controllo, il titolare del trattamento può ottenere consulenza sull’eventuale necessità di informare le persone fisiche interessate. In effetti l’autorità di controllo può ordinare al titolare del trattamento di informare le persone fisiche interessate dalla violazione. La comunicazione della violazione alle persone fisiche interessate consente al titolare del trattamento di fornire loro informazioni sui rischi derivanti dalla violazione e sui provvedimenti che esse possono prendere per proteggersi dalle potenziali conseguenze della violazione. Qualsiasi piano di risposta alle violazioni dovrebbe mirare a proteggere le persone fisiche e i loro dati personali. Di conseguenza, la notifica della violazione dovrebbe essere vista come uno strumento per migliorare la conformità in materia di protezione dei dati personali. Allo stesso tempo, va osservato che la mancata segnalazione di una violazione a una persona fisica o all’autorità di controllo può comportare l’imposizione di una sanzione al titolare del trattamento ai sensi dell’articolo 83.
I titolari e i responsabili del trattamento sono pertanto incoraggiati a pianificare anticipatamente e a mettere in atto processi per essere in grado di rilevare e limitare tempestivamente gli effetti di una violazione, valutare il rischio per le persone fisiche e stabilire se sia necessario notificare la violazione all’autorità di controllo competente e comunicarla alle persone fisiche interessate, ove necessario. La notifica all’autorità di controllo dovrebbe costituire parte del piano di intervento in caso di incidente.
Il regolamento contiene disposizioni che specificano quando e a chi la violazione deve essere notificata e quali informazioni devono essere fornite nel contesto della notifica. Le informazioni richieste per la notifica possono essere fornite procedendo per fasi, tuttavia il titolare del trattamento deve agire sempre in maniera tempestiva in caso di violazione.
Nel parere 03/2014 sulla notifica delle violazioni dei dati personali, il Gruppo di lavoro ha fornito orientamenti ai titolari del trattamento per aiutarli a decidere se effettuare la notifica agli interessati in caso di violazione. Il parere ha preso in considerazione l’obbligo dei fornitori di comunicazioni elettroniche ai sensi della direttiva 2002/58/CE e ha fornito esempi afferenti a più settori, nel contesto dell’allora progetto di regolamento generale sulla protezione dei dati, e ha illustrato le buone prassi per tutti i titolari del trattamento.
Le presenti linee guida spiegano gli obblighi di notifica e di comunicazione delle violazioni sanciti dal regolamento, nonché alcune misure che i titolari e i responsabili del trattamento possono intraprendere per soddisfare questi nuovi obblighi. Forniscono inoltre esempi di vari tipi di violazioni e i soggetti ai quali esse devono essere notificate nei diversi scenari.
[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp250rev01_it.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]
Giu 22, 2019
Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679
adottate il 3 ottobre 2017
Versione emendata e adottata in data 6 febbraio 2018
Il regolamento generale sulla protezione dei dati tratta in maniera specifica la profilazione e il processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
La profilazione e il processo decisionale automatizzato sono utilizzati in un numero crescente di settori, tanto privati quanto pubblici. Banche e finanza, assistenza sanitaria, fiscalità, assicurazioni, marketing e pubblicità sono soltanto alcuni esempi dei settori nei quali la profilazione viene effettuata con maggiore regolarità a sostegno del processo decisionale.
I progressi tecnologici e le capacità in materia di analisi dei megadati (big data), intelligenza artificiale e apprendimento automatico hanno reso più facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche.
La diffusa disponibilità di dati personali su Internet e di quelli ricavabili dai dispositivi di Internet delle cose, associata alla capacità di trovare correlazioni e creare collegamenti, può consentire la determinazione, l’analisi e la previsione di aspetti della personalità, del comportamento, degli interessi e delle abitudini di una persona.
La profilazione e il processo decisionale automatizzato possono essere utili per le persone fisiche e le organizzazioni, offrendo loro vantaggi quali:
• miglioramenti dell’efficienza;
• risparmi di risorse.
Presentano inoltre numerose applicazioni commerciali: ad esempio, possono essere utilizzati per segmentare meglio i mercati e personalizzare i servizi e i prodotti allineandoli alle singole esigenze. Anche la medicina, l’istruzione, l’assistenza sanitaria e i trasporti possono beneficiare di questi processi.
Tuttavia, la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le libertà delle persone fisiche, che richiedono garanzie adeguate.
Questi processi possono essere poco trasparenti. Le persone fisiche potrebbero non sapere di essere profilate o non comprenderne le conseguenze.
La profilazione può perpetuare stereotipi e la segregazione sociale. Può anche confinare una persona in una categoria specifica e limitarla alle preferenze suggerite per tale categoria. Ciò può minare la libertà delle persone di scegliere, ad esempio, determinati prodotti o servizi quali libri, musica o newsfeed. In taluni casi, la profilazione può portare a previsioni imprecise, in altri al diniego di servizi e beni e a discriminazioni ingiustificate.
Il regolamento introduce nuove disposizioni per far fronte ai rischi derivanti dalla profilazione e dal processo decisionale automatizzato, in particolare, ma non solo, in relazione alla tutela della vita privata. Le presenti linee guida mirano a chiarire tali disposizioni.
[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp251rev01_it.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]
Giu 22, 2019
Gruppo di lavoro articolo 29
Linee guida sulla trasparenza ai sensi del regolamento 2016/679
adottate il 29 novembre 2017
Versione emendata adottata l’11 aprile 2018
Le presenti linee guida riportano gli orientamenti pratici e l’assistenza interpretativa offerta dal Gruppo di lavoro articolo 29 (“Gruppo”) sul nuovo obbligo di trasparenza relativo al trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati (“regolamento”). La trasparenza è un obbligo trasversale a norma del regolamento, che si esplica in tre elementi centrali:
- la fornitura agli interessati d’informazioni relative al trattamento corretto;
- le modalità con le quali il titolare del trattamento comunica con gli interessati riguardo ai diritti di cui godono ai sensi del regolamento;
- le modalità con le quali il titolare del trattamento agevola agli interessati l’esercizio dei diritti di cui godono.
Nella misura in cui il rispetto della trasparenza è imposto con riferimento al trattamento dei dati ai sensi della direttiva (UE) 2016/6803, le presenti linee guida si applicano anche all’interpretazione di tale principio. Come tutte quelle emanate dal Gruppo, anche le presenti linee guida sono da intendersi come applicabili in generale ai titolari del trattamento, a prescindere dalle specifiche a livello settoriale o normativo tipiche per l’uno o l’altro di essi. Non possono quindi cogliere tutte le sfumature e le numerose variabili che possono presentarsi nel contesto degli obblighi di trasparenza di uno specifico settore o di un’area regolamentata. Mirano tuttavia a consentire ai titolari del trattamento di comprendere, a un livello elevato, come il Gruppo interpreti gli effetti pratici degli obblighi di trasparenza e a indicare l’approccio che, secondo il Gruppo, i titolari del trattamento dovrebbero adottare per essere trasparenti, ricomprendendo al contempo correttezza e responsabilizzazione nelle loro misure di trasparenza.
[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp260rev01_it.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]
