LE NOVITA NEL REGOLAMENTO UE PRIVACY Avv Simona

LE NOVITA’ NEL REGOLAMENTO UE PRIVACY Avv. Simona Custer Avv. Marta Colonna Avv. Valerio Natale

REGOLAMENTO (UE) n. 2016/679 GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati 24 MAGGIO 2016 -25 MAGGIO 2018

LE FONTI GDPR 173 considerando 99 articoli Linee Guida, raccomandazioni e prassi Comitato Europeo per la protezione dei dati Pareri del Garante e Linee Guida «Gruppo Art. 29» D. Lgs. n. 101 del 10/08/2018 recante disposizioni per l’adeguamento della normativa nazionale al GDPR (pubblicato in G. U. il 04/09/2018 e in vigore dal 19/09/2018) Codice Privacy (Dlgs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018) 3

. . . SANZIONI GDPR dal 2% al 4% del fatturato mondiale annuo CODICE PRIVACY (come modificato dal D. Lgs. n. 101/2018) artt. 166 -168 e 170 -172 AMMINISTRATIVE PECUNIARIE SANZIONI PENALI

DATO PERSONALE ARTICOLO 4 «qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). […] un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»

ARTICOLO 9 ORIGINE RAZZIALE o ETNICA DATI relativi all’ORIENTAMENTO SESSUALE OPINIONI POLITICHE CONVINZIONI RELIGIOSE o FILOSOFICHE DATI relativi alla VITA SESSUALE DATI PARTICOLARI DATI relativi alla SALUTE APPARTENENZA SINDACALE DATI BIOMETRICI DATI GENETICI

TRATTAMENTO ARTICOLO 4 «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione»

PRINCIPALI NOVITA’ SOGGETTI DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati INFORMATIVE accesso, cancellazioneoblio, limitazione del trattamento, opposizione e portabilità REGISTRO delle ATTIVITA’ di TRATTAMENTO contenuto e tempistiche CONSENSO effettivo e inequivocabile

… DATA PROTECTION OFFICER (DPO) LINEE GUIDA “GRUPPO ART. 29” NO SINGOLO MEDICO SI STRUTTURA SANITARIA OBBLIGATORIETA’ NOMINA del DPO ATTIVITA’ PRINCIPALE del TITOLARE consiste nel TRATTAMENTO su LARGA SCALA di DATI PARTICOLARI

QUALI COMPETENZE / CONOSCENZE? in materia di PRIVACY sulla STRUTTURA ORGANIZZATIVA del titolare e sul SETTORE di ATTIVITA’ familiarità con SISTEMI INFORMATIVI e MISURE di SICUREZZA INTEGRITA’ e STANDARD DEONTOLOGICI

QUALI I COMPITI? SORVEGLIARE l’osservanza del REGOLAMENTO UE ASSISTERE il TITOLARE nella DPIA COOPERARE con l’AUTORITA’ di CONTROLLO CONSIDERARE i RISCHI connessi al TRATTAMENTO TENERE il REGISTRO delle ATTIVITA’ di TRATTAMENTO

PRINCIPALI NOVITA’ SOGGETTI DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati INFORMATIVE accesso, cancellazioneoblio, limitazione del trattamento, opposizione e portabilità REGISTRO delle ATTIVITA’ di TRATTAMENTO CONSENSO contenuto e tempistiche effettivo e inequivocabile

I NUOVI ELEMENTI DELL’INFORMATIVA BASE GIURIDICA intenzione a TRASFERIRE i dati in un PAESE TERZO o presso un’ORGANIZZAZIONE INTERNAZIONALE PERIODO di CONSERVAZIONE DIRITTO di REVOCARE il CONSENSO DIRITTO di PROPORRE RECLAMO

PRINCIPALI NOVITA’ SOGGETTI DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati INFORMATIVE accesso, cancellazioneoblio, limitazione del trattamento, opposizione e portabilità REGISTRO delle ATTIVITA’ di TRATTAMENTO CONSENSO contenuto e tempistiche effettivo e inequivocabile

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO: > 250 DIPENDENTI TRATTAMENTO che presenta RISCHI per i DIRITTI e le LIBERTA’ dell’interessato TRATTAMENTO NON OCCASIONALE TRATTAMENTO che include DATI PARTICOLARI o PERSONALI relativi a CONDANNE PENALI 15

PRINCIPALI NOVITA’ SOGGETTI DIRITTI dell’INTERESSATO contitolare, responsabile e sub responsabile del trattamento, DPO e soggetti autorizzati/designati INFORMATIVE accesso, cancellazioneoblio, limitazione del trattamento, opposizione e portabilità REGISTRO delle ATTIVITA’ di TRATTAMENTO CONSENSO contenuto e tempistiche effettivo e inequivocabile

DIRITTO ALLA PORTABILITA’ dei DATI ricevere i dati • DATI trattati sulla base trattati da un del CONSENSO o di titolare e un CONTRATTO conservarli su un • DATI trattati con STRUMENTI supporto AUTOMATIZZATI personale / trasmettere i dati • DATI PERSONALI e forniti direttamente da CONSAPEVOLMENTE un titolare all’altro

… ACCOUNTABILITY … adozione di COMPORTAMENTI PROATTIVI da parte del TITOLARE e del RESPONSABILE del TRATTAMENTO… ARTICOLO 32 « … il TITOLARE del TRATTAMENTO e il RESPONSABILE del TRATTAMENTO mettono in atto MISURE TECNICHE e ORGANIZZATIVE ADEGUATE per garantire un livello di sicurezza ADEGUATO AL RISCHIO … »

… ACCOUNTABILITY RISCHIO MISURE di SICUREZZA MONITORAGGIORNAMENTO

… ADEMPIMENTI 1 2 • MAPPATURA dei DATI TRATTATI e dei TRATTAMENTI effettuati • INDIVIDUAZIONE dei SOGGETTI • titolare, interessato, responsabile, DPO e designato 3 • REVISIONE / AGGIORNAMENTO MODULISTICA • informative, contratti e lettere di nomina 4 • VALUTAZIONE dei RISCHI • se rischio elevato VALUTAZIONE di IMPATTO

… ADEMPIMENTI 5 6 7 8 • INDIVIDUAZIONE delle MISURE TECNICHE e ORGANIZZATIVE ADEGUATE • PREDISPOSIZIONE della DOCUMENTAZIONE • registro delle attività di trattamento, procedure e policy, modello organizzativo • INFORMAZIONE e FORMAZIONE • DATA BREACH NOTIFICATION • registro delle violazioni

Il GDPR e le associazioni senza scopo di lucro Innanzitutto, si applica il GDPR? Sì! Considerando 5 e Articolo 4 confermano che per «titolare del trattamento» devono intendersi certamente anche le associazioni (incluse, dunque, le onlus ed i partiti politici) Inoltre… Art. 4: «impresa» : la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

Il GDPR e le associazioni senza scopo di lucro Una disciplina ad hoc per i dati particolari

Rivediamo quali sono… ORIGINE RAZZIALE o ETNICA DATI relativi all’ORIENTAMENTO SESSUALE OPINIONI POLITICHE CONVINZIONI RELIGIOSE o FILOSOFICHE DATI relativi alla VITA SESSUALE DATI PARTICOLARI DATI relativi alla SALUTE APPARTENENZA SINDACALE DATI BIOMETRICI DATI GENETICI

Il GDPR e le associazioni senza scopo di lucro LE DEROGHE AL DIVIETO GENERALE DI TRATTAMENTO DEI DATI PARTICOLARI o quando c’è il consenso; o quando il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; o quando il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato; o il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

Il GDPR e le associazioni senza scopo di lucro MA ATTENZIONE AI DATI GIUDIZIARI! Prima: sulla base dell'autorizzazione generale al trattamento dei dati giudiziari rilasciata dal Garante per la protezione dei dati personali (Autorizzazione Generale n. 7/2016) per il trattamento di dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza per finalità assistenziali e/o di volontariato. Oggi: Il GDPR prevede che il trattamento di dati personali relativi a condanne penali, reati o misure di sicurezza sia soggetto all’autorizzazione degli Stati Membri. Cosa ha fatto l’Italia?

Il GDPR e le associazioni senza scopo di lucro Decreto Legislativo n. 101/2018 - Art. 2 -octies «[…] solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, regolamento che prevedano garanzie appropriate per i diritti e le liberta' degli interessati. 2. In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché' le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, giustizia da adottarsi, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante. 3. Fermo quanto previsto dai commi 1 e 2, 2 il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza e' consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: […]»

Il GDPR e le associazioni senza scopo di lucro «MARKETING» SOCIALE: SERVE IL CONSENSO? Considerando 47 «[…] Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto. » Domande: E’ marketing? Possiamo fondarlo davvero sul legittimo interesse? Quale è l’approccio del Garante in Italia? Ciò detto, come metterlo in pratica?

Il GDPR e le associazioni senza scopo di lucro «MARKETING» SOCIALE: SERVE IL CONSENSO? Come metterlo in pratica? «Ricevi questa comunicazione in quanto sostenitore, donatore o associato che ha precedentemente stabilito un contatto con la sede centrale dell’Ente o con le realtà territoriali riconducibili ad esso. Se non vuoi più ricevere inviti a eventi organizzati o promossi dall’Ente e/o altri contenuti e messaggi sul tema dell'asilo connessi alle attività dell’Ente, puoi opporti a tale trattamento scrivendo a mail@ente. org oppure cliccando qui. »

Il GDPR e le associazioni senza scopo di lucro ASSOCIAZIONE DI ASSISTENZA A RICHIEDENTI ASILO • Data Processing Agreement • Informativa Privacy per gli assistiti • Footer e-mail (con diritto di opt-out) • Istruzioni agli incaricati • Modulo per il consenso

Il GDPR e le associazioni senza scopo di lucro ASSOCIAZIONE CHE COMPIE AZIONI DI SENSIBILIZZAZIONE SU TEMI LEGATI ALL’IMMIGRAZIONE • Consenso? • Come gestire le questioni legate alla messa a disposizione dell’informativa? • Se sì, come ottenere il consenso e tenerne traccia? • Va garantito il diritto alla cancellazione? • Accordi con terze parti e questioni legate alla proprietà intellettuale • Come gestire i rapporti con i minori?

Il GDPR e le associazioni senza scopo di lucro Finalmente… Q&A session!

GRAZIE PER L’ATTENZIONE! Avv. Simona Custer Avv. Marta Colonna Avv. Valerio Natale