Descrizione

COME APPLICARE IL NUOVO REGOLAMENTO EUROPEO 2016/679

ADEMPIMENTI - SCADENZE - RESPONSABILITÀ - SANZIONI

AGGIORNAMENTI ON LINE PER TUTTO IL 2017

› Il testo del Regolamento › I nuovi obblighi in materia di protezione dei dati personali › L'ambito di applicazione › Il Registro delle attività di trattamento › I diritti dell'interessato › Le misure di sicurezza › Il trasferimento dei dati all'estero › La notifica della violazione dei dati personali (c.d. data breach) › I codici di condotta e la certificazione › Le Autorità di controllo › Le forme di tutela › Le sanzioni › La principale documentazione nazionale e comunitaria

Dopo oltre quattro anni di negoziati, si è giunti alla pubblicazione del Regolamento europeo 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Il Regolamento – entrato in vigore il 24 maggio 2016 e definitivamente applicabile in via diretta in tutti i paesi UE a decorrere dal 25 maggio 2018 – diventa determinante per l’adozione di qualsiasi decisione che implichi un trattamento di dati personali da parte delle Amministrazioni Pubbliche, che avranno poco meno di 2 anni di tempo per poter adottare le misure organizzative e tecniche previste, anche al fine di evitare pesanti sanzioni economiche: è importante sottolineare, infatti, che la veste giuridica del “regolamento” è stata scelta dall’UE proprio per impedire ai singoli paesi la possibilità di prevedere proroghe alla data ultima prevista per l’adeguamento ai nuovi principi. 

Allo scopo di comprendere l’applicazione concreta delle nuove disposizioni, si propone nella presente opera:
- il quadro normativo del Regolamento;
- una guida pratica che illustra nel dettaglio adempimenti, obblighi, principi e sanzioni della nuova disciplina;
- una sezione di documentazione prodotta dalla Commissione, dal Gruppo di Lavoro ex art. 29 e dalle Autorità di controllo nazionali.

N.B.: non è oggetto della presente monografia l’esame della Direttiva (UE) 2016/680, dedicata al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

 REQUISITI MINIMI HARDWARE E SOFTWARE
- Sistema operativo Windows XP o successivi
- Browser Internet
- Programma in grado di editare documenti in formato RTF (es. Microsoft Word)
- Il Cd-Rom fornisce Acrobat Reader, per la visualizzazione dei documenti PDF.

Nadia Arnaboldi Dottore Commercialista, Revisore Contabile, coordinatrice dalla Commissione “Privacy ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. È professionista certificata ANSI/ISO standard 17024:2012 in materia di normativa privacy Europea (Certified Information Privacy Professional Europe - CIPP/E) e degli Stati Uniti (Certified Information Privacy Professional United States - CIPP/US), per lo sviluppo di Privacy Program (Certified Information Privacy Manager - CIPM), nonché Auditor/Lead Auditor ISO/IEC 27001:2013. Qualificata Fellow of Information Privacy (FIP) dall’International Association Privacy Professionals (IAPP). Componente del Panel of Expert “Health & Pharma” di DataGuidance, componente dei gruppi di lavoro internazionali “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice delle Advisory Notes su tematiche di diritto farmaceutico (“Clinical Trials”), contributor delle riviste eHealth Law & Policy e Data Protection Law & Policy edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatore del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).

INDICE

1. Premessa

2. Le novità del Regolamento

3. L’ambito di applicazione del Regolamento

3.1 L’ambito di applicazione materiale

3.2 L’ambito di applicazione territoriale e l’estensione anche a titolari o responsabili non stabiliti nell’u­nione Europea

4. Il dato personale

4.1 Le categorie particolari di dati personali

4.1.1 Il trattamento delle categorie particolari

di dati personali

4.2 Il dato relativo a condanne penali o reati

4.3 Il dato pseudoanonimizzato

4.4 Il dato profilato e la profilazione

4.5 I dati dei minori

4.6 I dati personali che non richiedono l’identificazione

4.7 I dati personali di persone decedute

5. I principi per il trattamento dei dati personali

5.1 Il principio di liceità

5.2 Il principio di trasparenza

5.3 Il principio di responsabilizzazione (“accountability”)

6. Le figure soggettive

6.1 L’interessato

6.2 Il Titolare

6.3 Il Contitolare

6.4 Il Responsabile

6.4.1 La designazione del responsabile

6.4.2 Il ricorso del responsabile ad altro responsabile

6.5 Il Rappresentante del titolare o del responsabile non stabiliti nell’Unione Europea

6.6 La persona autorizzata al trattamento dei dati per­sonali sotto l’autorità diretta del titolare o del re­sponsabile

6.7 Il Responsabile della protezione dei dati (c.d. Data Protection Officer)

6.7.1 La nomina

6.7.2 I compiti

6.7.3 Gli obblighi del titolare e del responsabile del trattamento nei confronti del responsa- bile della protezione dei dati

7. Il Registro delle attività di trattamento

7.1 Contenuto del registro tenuto dal titolare

7.2 Contenuto del registro tenuto dal responsabile

8. L’informativa all’interessato

8.1 Il contenuto dell’informativa in caso di dati raccol­ti presso l’interessato

8.2 Il contenuto dell’informativa in caso di dati non raccolti presso l’interessato

9. Il consenso dell’interessato

10. I diritti dell’interessato

10.1 Diritto di accesso

10.2 Diritto di rettifica

10.3 Diritto alla cancellazione (“diritto all’oblio”)

10.4 Diritto di limitazione di trattamento

10.5 Diritto alla portabilità dei dati

10.6 Diritto di opposizione anche con riferimento ad un processo decisionale automatizzato

10.7 L’esercizio dei diritti

10.8 Limitazioni

11. La protezione dei dati fin dalla progettazione (Privacy by Design) e la protezione per impostazione predefinita (Privacy by Default)

12. Le misure di sicurezza

13. Il trasferimento dei dati all’estero

13.1 Il trasferimento sulla base di decisioni di adegua­tezza della Commissione Europea

13.2 Il trasferimento sulla base di garanzie adeguate e le clausole contrattuali-tipo

13.3 Il trasferimento nei Gruppi sulla base di norme vincolanti d’impresa

13.3.1 Il contenuto delle norme vincolanti d’impresa

13.4 Il trasferimento in specifiche situazioni

14. La notifica della violazione dei dati personali (c.d. data breach)

14.1 La notifica della violazione all’autorità di controllo

14.1.1 Il contenuto della notifica all’autorità

14.2 La comunicazione della violazione all’interessato

14.2.1 Il contenuto della comunicazione all’interessato

15. La valutazione di impatto sulla protezione dei dati e la consultazione preventiva

15.1 La valutazione di impatto

15.1.1 Quando effettuare la valutazione di impatto

15.1.2 Il contenuto della valutazione di impatto

15.2 La consultazione preventiva

15.2.1 Le informazioni da comunicare all’autorità

di controllo

16. I codici di condotta e i meccanismi di certificazione

16.1 I codici di condotta

16.1.1 La procedura di approvazione dei codici di

condotta

16.1.2 Il monitoraggio dei codici di condotta approvati

16.2 I meccanismi di certificazione

17. Disposizioni relative a specifiche situazioni di trattamento

18. Le Istituzioni

18.1 Le autorità di controllo indipendenti

18.1.1 I compiti delle autorità di controllo nazionali

18.1.2 I poteri delle autorità di controllo nazionali

18.2 L’autorità di controllo capofila

18.3 La cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo

18.3.1 Cooperazione

18.3.2 Assistenza reciproca

18.3.3 Operazioni congiunte

18.4 Il Comitato Europeo per la protezione dei dati per­sonali

18.4.1 I compiti del Comitato

18.5 Il meccanismo di coerenza

18.5.1 La richiesta di parere al Comitato Europeo

per la protezione dei dati

18.5.2 La composizione delle controversie da parte del Comitato

18.5.3 La procedura d’urgenza e la richiesta di parere urgente al Comitato Europeo per la protezione dei dati

19. Le forme di tutela

19.1 Il reclamo all’autorità di controllo

19.2 Il ricorso giurisdizionale effettivo

19.2.1 Il ricorso nei confronti dell’autorità di controllo

19.2.2 Il ricorso nei confronti del Titolare o del Responsabile del trattamento

19.2.3 La sospensione delle azioni

19.3 Il risarcimento del danno

20. Le sanzioni

ALLEGATI

Legislazione

• Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla prote­zione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Documentazione

Commissione Europea

• Decisione di esecuzione (UE) 2016/1250 della Com­missione del 12 luglio 2016 a norma della diretti­va 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime del­lo scudo UE-USA per la privacy

• Guida sullo Scudo EU-USA per la privacy (Privacy Shield) pubblicata dalla Commissione in data 1 agosto 2016

• Infografica su EU-US Privacy Shield

Autorità Garante italiana

• Guida al nuovo Regolamento Europeo

• Scheda informativa sul Responsabile della protezione dei dati

• Infografica del Garante sugli adempimenti previsti per le violazioni di dati personali (data breach) in base al d.lgs. 196/2003

• Infografica del Garante su EU-US Privacy Shield (tra­duzione in italiano dell’infografica della Commissione Europea)

Garante Europeo (EDPS)

• La strategia 2015-2019 “Dare l’esempio”

• Opinion 8/2016 – “EDPS Opinion on coherent enforce­ment of fundamental rights in the age of big data”, 23 settembre 2016

• “The accountability principle in the new GDPR” – Speech at the European Court of Justice, Luxembourg, 30 September 2016

Documenti del Gruppo di Lavoro ex art. 29

• Fablab “GDPR/from concepts to operational toolbox, DIY” – 30 settembre 2016

• Article 29 Working Party Statement on the decision of the European Commission on the EU-U.S. Privacy Shield – 26 luglio 2016

• Opinion 02/2016 on the publication of Personal Data for Transparency purposes in the Public Sector

• Statement on the 2016 action plan for the implementa­tion of the General Data Protection Regulation (GDPR) – 2 febbraio 2016

• Statement on the role of a risk-based approach in data protection legal frameworks – 30 maggio 2014

• Parere 05/2014 sulle tecniche di anonimizzazione – 10 aprile 2014

• Parere 15/2011 sulla definizione di consenso – 13 lu­glio 2011

• Parere 3/2010 sul principio di responsabilità – 13 lu­glio 2010

• Parere 4/2007 sul concetto di dati personali – 20 giu­gno 2007

AgiD

• Misure minime di sicurezza ICT per le pubbliche ammi­nistrazioni – 26 aprile 2016 (documento pubblicato sul sito web di AgID il 26 settembre 2016)

Altri documenti

• Infografica del Consiglio dell’Unione Europea sul Rego­lamento

• ICO Code of practice – Anonymisation: managing data protection risks – Novembre 2012

• ICO Code of practice – Conducting Privacy Impact As­sessments – Febbraio 2014