GDPR: gli ultimi aggiornamenti normativi per non perdersi ...SAP eXperience Day Pronti per il GDPR?...
Transcript of GDPR: gli ultimi aggiornamenti normativi per non perdersi ...SAP eXperience Day Pronti per il GDPR?...
SAP eXperience Day Pronti per il GDPR? - 15 febbraio 2018
GDPR: gli ultimi aggiornamenti normativi per non perdersi nel labirinto dei requisiti
Luigi Neirotti, Avvocato, CIPP/E, Digital Law & Data Protection, EY Law
Orientarsi nel “labirinto” dei requisiti
3INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
• Adottato il 27 aprile 2016
• Periodo di transizione di due anni
• Efficace a partire dal 25 maggio 2018
• A differenza di una Direttiva, non richiede
alcuna forma di legislazione applicativa
da parte degli Stati Membri. Le singole leggi
nazionali vigenti rimarranno validi nelle parti
non in contrasto con il Regolamento.
• Il Gruppo dei Garanti Ue (WP 29)
ha già approvato diverse linee guida
• Novità nell’ordinamento italiano
GDPR,
General Data Protection Regulation
Regolamento UE 2016/679
4INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Motivazioni alla base del GDPR
Risponde alle sfide poste dagli sviluppi
tecnologici e dai nuovi modelli
di crescita economica, tenendo conto
delle esigenze di tutela dei dati
personali dei cittadini UE
l Internet l Marketing virale
l Smart phones l Profilazione
l Social networks l Riconoscimento biometrico
l Direct Marketing l Big data
Il nuovo Regolamento Europeo
è un sistema di norme:
• non più limitate ai singoli Stati, ma globali
• che valorizzano i diversi aspetti del dato personale
(potere di protezione e gestione)
La proposta di un nuovo quadro giuridico
per la protezione dei dati personali
nell’Unione Europea deriva da:
• frammentazione nelle legislazioni nazionali
• evoluzione tecnologica/obsolescenza normativa
• inadeguatezza delle sanzioni
5INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Nuova classificazione dei dati personali
Conferme e novità
Dato personaleQualsiasi informazione
riguardante una persona fisica
identificata o identificabile
(«interessato»).
Si considera identificabile
la persona fisica
che può essere identificata,
direttamente
o indirettamente, con particolare
riferimento a un identificativo
come il nome,
un numero di identificazione,
dati relativi all'ubicazione,
un identificativo online
o a uno o più elementi
caratteristici della sua identità
fisica, fisiologica,
genetica, psichica,
economica, culturale
o sociale.
Dati geneticiDati personali relativi alle
caratteristiche genetiche
ereditarie o acquisite di una
persona fisica che forniscono
informazioni univoche sulla
fisiologia o sulla salute di detta
persona fisica, e che risultano in
particolare dall'analisi di un
campione biologico della
persona fisica in questione.
Categorie particolari
di dati personaliDati personali che rivelino l'origine
razziale o etnica, le opinioni
politiche, le convinzioni religiose
o filosofiche, o l'appartenenza
sindacale, nonché trattare dati
genetici, dati biometrici intesi
a identificare in modo univoco
una persona fisica, dati relativi
alla salute o alla vita sessuale
o all'orientamento sessuale.
Dati relative alla salute
Dati personali attinenti
alla salute fisica o mentale
di una persona fisica, compresa
la prestazione di servizi
di assistenza sanitaria,
che rivelano informazioni relative
al suo stato di salute.
Dati biometriciDati personali ottenuti
da un trattamento tecnico
specifico relativi
alle caratteristiche fisiche,
fisiologiche o comportamentali
di una persona fisica che ne
consentono o confermano
l'identificazione univoca,
quali l'immagine facciale
o i dati dattiloscopici.
6INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Principio base del GDPR:
“ACCOUNTABILITY”(responsabilizzazione e documentazione)
7INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Principali novità e differenze
L’impostazione del GDPR pone l’accento sulla tutela dei diritti dell’interessato, introducendo molte
novità e aggiornamenti rispetto al D.Lgs. 196/03.
General
Data
Protection
Regulation
► Titolare del trattamento
► Responsabile del trattamento
► Contitolari e Rappresentanti
► Data Protection Officer
► Data Breach Notification
► Privacy Impact Assessment
► Consultazione preventiva
► Profilazione e decisioni automatiche
► Informativa e base giuridica del trattamento
► Risk-based approach
► Privacy by design e by default
► Accesso ai dati e diritto all’oblio
► Portabilità dei dati
SANZIONI
PROCESSI RUOLI E RESPONSABILITÀ
PRINCIPI
► Sanzioni più onerose: % del fatturato
SEMPLIFICAZIONI
► Razionalizzazione obbligo di notifica
► One stop shop
► Data transfer
► Meccanismi di certificazione
8INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
I soggetti rilevanti nella disciplina del GDPR
Necessità di una “governance” Privacy
DATA PROTECTION OFFICER• Riferisce al vertice gerarchico del Titolare o del Responsabile
del trattamento
• Rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi
• Coopera con l’autorità di controllo
• Ha un ruolo di indirizzo e controllo e Fornisce consulenza al Titolare e al Responsabile
• Sorveglia l’osservanza del Regolamento
• Fornisce un parere sul Privacy Impact Assessment
RESPONSABILE DEL TRATTAMENTO
• I trattamenti del Responsabile sono disciplinati da un contratto/ altro atto giuridico
• È responsabile dell’attuazione delle misure di sicurezza
• Non ricorre ad altro Responsabile senza previa autorizzazione del Titolare
• È responsabile della compliance normativa per il trasferimento dati
TITOLARE DEL TRATTAMENTO
• Determina le finalità e i mezzi del trattamento di dati personali
• Sulla base del principio di responsabilizzazione:
o esegue i Risk Assessment e le PIA
o adotta misure appropriate per fornire all'interessato
tutte le informazioni relative al trattamento in forma
concisa, trasparente, intelligibile e facilmente accessibile
• Comunica eventuali violazioni dei dati personali
(data breach) all’Autorità nazionale di protezione dei dati
CONTITOLARI E RAPPRESENTANTI
• Possono darsi Contitolari del trattamento: due o più Titolari
se determinano congiuntamente le finalità e i mezzi
• Nel caso in cui un Titolare o un Responsabile del trattamento
di dati personali di interessati che si trovano nell’Unione,
non sia stabilito nell’UE, sarà designato per iscritto
un loro Rappresentante
9INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Linee guida adottate dal Gruppo di lavoro Art. 29
Guidelines Article 29 Working Party
Il Gruppo dei Garanti Ue (WP 29) ha approvato quattro documenti con indicazioni e raccomandazioni su importanti
novità del GDPR, in vista della sua applicazione da parte degli Stati. Le Linee guida, alla cui elaborazione il Garante
italiano ha attivamente partecipato, riguardano i seguenti temi:
13 dicembre 2016
13 dicembre 2016
13 dicembre 2016
4 aprile 2017
10INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Legge di delegazione europea 2016-2017 n. 163/2017
Delega al Governo prevede (entro sei mesi di tempo)
• Abrogazione delle disposizioni Codice Privacy incompatibili
con il GDPR
• Modifica del Codice Privacy ove necessario per dare
attuazione alle disposizioni non direttamente applicabili
del GDPR
• Coordinamento delle disposizioni vigenti con le disposizioni
recate dal GDPR
• Ove opportuno, specifici provvedimenti del Garante
Privacy nell’ambito e per le finalità previste dal Regolamento
• Adeguamento delle sanzioni amministrative e penali di cui al Codice Privacy al GDPR
Modifiche normative in corso nell’ordinamento italiano
11INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Legge europea 2017 n. 167/2017
Modifica già intervenuta nel Codice Privacy
• Modificato l’art. 29 relativo al Responsabile del trattamento,
conformandolo all’art. 28 del GDPR
• la nomina del Responsabile del trattamento deve avvenire
in forma scritta che riporti le indicazioni richieste dal GDPR
• istruzioni e ambiti precisi relativi a: finalità perseguita,
la tipologia dei dati, la durata del trattamento, gli obblighi
e i diritti del responsabile del trattamento e le modalità
di trattamento
• Previsti «schemi tipo» predisposti dal Garante
Modifiche normative in corso nell’ordinamento italiano
12INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Legge n. 205/2017 - Bilancio di previsione dello Stato 2018
• Art. 1, Comma 1022 e 1023 modifica la possibilità di ricorrere
al LEGITTIMO INTERESSE DEL TITOLARE
• Impiego di nuove tecnologie o strumenti automatizzati
• Obbligo di dare tempestiva comunicazione al Garante
del trattamento che si intende effettuare
• Utilizzando il modello di informativa predisposto dal Garante,
avendo cura di specificare l’oggetto, la finalità e il contesto
del trattamento
• Istruttoria del Garante che potrà richiedere al Titolare ulteriori
informazioni e integrazioni e potrà disporre l’inibitoria all’utilizzo dei dati
• Trascorsi quindici giorni lavorativi dall’invio dell’informativa,
in assenza di risposta da parte del Garante, si potrà procedere al trattamento
Modifiche normative in corso nell’ordinamento italiano
Cosa occorre fare entro il 25 maggio?
14INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
ADEMPIMENTI INDISPENSABILI
• Registro dei trattamenti
• Verifica Informative e consensi
• Risk Assessment
• Verifica misure di sicurezza adeguate
• Definizione Governance privacy
• Titolare
• Responsabili del trattamento
• Data Protection Officer
TO DO’s
(entro il 25 maggio 2018)
15INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
ADEMPIMENTI RICHIESTI
• Definire metodologia di Privacy Impact
Assessment
• ADOZIONE PROCEDURE
• Data breach
• Portabilità
• Diritti degli interessati
• accesso, rettifica, opposizione,
imitazione, oblio
• Data Protection Impact Assessment,
DPIA
TO DO’s
(entro il 25 maggio 2018)
Luigi NeirottiAvvocato, Senior Legal Counsel, CIPP/E
EY Law Italy
+39 335 7361483
EY LAW ITALY
WINNER 2018
Data Privacy Law
Law Firm of the Year in Italy
17INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
The information in this presentation is confidential and proprietary to SAP and may not be disclosed without the permission of SAP. This presentation is not subject to your license
agreement or any other service or subscription agreement with SAP. SAP has no obligation to pursue any course of business outlined in this document or any related presentation,
or to develop or release any functionality mentioned therein. This document, or any related presentation and SAP's strategy and possible future developments, products and/or
platforms directions and functionality are all subject to change and may be changed by SAP at any time for any reason without notice. The information on this document is not a
commitment, promise or legal obligation to deliver any material, code or functionality. This document is provided without a warranty of any kind, either express or implied, including
but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or noninfringement. This document is for informational purposes and may not be
incorporated into a contract. SAP assumes no responsibility for errors or omissions in this document, and shall have no liability for damages of any kind including without limitation
direct, special, indirect, or consequential damages that may result from the use of this document. This limitation shall not apply in cases of intent or gross negligence.
All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place
undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.
NOTE: The information contained in this presentation is for general guidance only and provided on the
understanding that SAP is not herein engaged in rendering legal advice. As such, it should not be used as a
substitute for legal consultation. SAP SE accepts no liability for any actions taken as response hereto.
It is the customer’s responsibility to adopt measures that the customer deems appropriate to achieve GDPR
compliance.
Legal Disclaimer
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company.
The information contained herein may be changed without prior notice. Some software products marketed by SAP SE and its distributors contain proprietary software components
of other software vendors. National product specifications may vary.
These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP or its affiliated
companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP or SAP affiliate company products and services are those that are
set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty.
In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release
any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products,
and/or platforms, directions, and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The
information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks
and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, and
they should not be relied upon in making purchasing decisions.
SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company)
in Germany and other countries. All other product and service names mentioned are the trademarks of their respective companies.
See www.sap.com/corporate-en/legal/copyright/index.epx for additional trademark information and notices.
© 2018 SAP SE or an SAP affiliate company. All rights reserved.