privacy 2018 il regolamento ue 2016/679 - dataservices.it · dottore commercialista e revisore...

Dott.ssa Nadia ArnaboldiDottore Commercialista e Revisore Contabile – CTU Tribunale di Pavia ‐ Coordinatrice della Commissione «Privacy, 231 e antiriciclaggio» ODCEC Pavia

Fellow of Information Privacy (FIP) – Thought Leader in Privacy Data Guidance ‐ Auditor/Lead Auditor ISO/IEC 27001:2013Certified Information Privacy Professional Europe and United States (CIPP/E, CIPP/US) ‐ Certified Information Privacy Manager (CIPM) ‐ European Privacy Auditor ISDP©

10003/2016 e Auditor Database & Privacy Management SGCMF©10002:2013 PRD UNI ISO/IEC 17065:2012

2018©Studio Arnaboldi – Vietata la copia e la riproduzione con qualsiasi mezzo

Privacy 2018 ‐ Il Regolamento UE 2016/679

Mogliano Veneto, 21 marzo 2018


Il Regolamento Europeo 2016/679 (“GDPR”): entrata in vigore e applicazione

L’armonizzazione della legislazione italiana e le Linee Guida del WP29

Le novità del GDPR ‐ L’impatto sulle attività delle imprese e dei commercialisti

I compiti ed il ruolo del responsabile della protezione dei dati (Data Protection Officer)

L’obbligo di notifica delle violazioni di dati personali: c.d. Data Breach

Il registro delle attività di trattamento

Il nuovo regime sanzionatorio

Come gestire le nuove tematiche e le opportunità per i commercialisti


25/01/2012 21/10/2013 12/03/2014 2015 2016 04/05/2016 24/05/2016 25/05/2018

Proposta della Commissione

Europea

Approvazione del LIBE

Committee

Approvazione in plenaria del Parlamento

Europeo

Esame del Consiglio

dell’Unione Europea

Approvazione del

Regolamento

Entrata in vigore

negoziazione

ITER: REGOLAMENTO EU 2016/679

Pubblicazione

GUUE

Applicazione


Il Regolamento EU 2016/679 del 27 aprile 2016 è entrato in vigore il 24 maggio 2016 e sarà applicabile dal 25 maggio 2018

Introduce modifiche sostanziali nell’approccio alla normativa in materia di protezione dei dati personali che dovrà essere proattivo e non reattivo

Introduce un’elevata responsabilizzazione dei titolari del trattamento (principio di accountability) che dovranno essere in grado di dimostrare la conformità dei trattamenti al Regolamento

Obbliga i titolari del trattamento a rivedere ed aggiornare le proprie proceduree ad adottare un approccio orientato ad una concreta tutela degli interessati

La protezione dei dati personali assume un ruolo centrale in tutte le decisioni dei titolari e dei responsabili del trattamento


Il Regolamento EU 2016/679

Si compone di 99 Articoli e 173 Considerando

Dispone in alcuni casi la possibilità per gli Stati membri di introdurre disposizioni più specifiche o limitazioni (es. relativamente alla liceità del trattamento, all’età dei minori, dati genetici, biometrici, dati relativi alla salute etc.)

Dispone per alcuni casi l’adozione di atti delegati (es. icone standardizzate per fornire le informazioni agli interessati) da parte della Commissione Europea così come l’adozione di atti di esecuzione

Dispone che le autorità di controllo cooperino tra loro e, se del caso con la Commissione Europea per la coerente applicazione del Regolamento


Il 25 ottobre 2017 è stata approvata la Legge Delega n. 163 in vigore dal 21/11/2017 «Delega al Governo per il recepimento delle direttive Europee ed altri atti dell’Unione Europea – Legge di delegazione europea 2016‐2017» il cui articolo 13 delega il Governo ad adottare entro 6 mesi dalla data di entrata in vigore della legge uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento

La Legge 20 novembre 2017 n. 167 ha apportato alcune modifiche al Codice Privacy

Il Gruppo ex art. 29 ha adottato delle Linee Guida per aiutare i titolari ed i responsabili nell’adeguamento al Regolamento EU 2016/679, alcune tuttora in consultazione

La Legge 27 dicembre 2017 n. 205 (Legge di Bilancio 2018) ha apportato alcune ulteriori modifiche al Codice Privacy

Un Gruppo di lavoro composto prevalentemente da accademici è stato incaricato dal Ministero della Giustizia di provvedere alla predisposizione dei decreti legislativi attuativi della Legge Delega per armonizzare il D.Lgs. 196/2003 al GDPR


LE LINEE GUIDA DEFINITIVE DEL WP 29

«Responsabile della protezione dei dati RPD/DPO»

«Diritto alla portabilità»

«Individuazione dell’autorità di controllo capofila»

«Valutazione di impatto sulla protezione dei dati (DPIA)»

«Applicazione e definizione delle sanzioni amministrative»

Adottateil 5 aprile 2017

Adottateil 4 ottobre 2017

«Notifica delle violazioni di dati personali (c.d. data breach)»

«Processi decisionali automatizzati e profilazione» Adottate

il 6 febbraio 2018


LE LINEE GUIDA DEL WP 29 GIA’ ADOTTATE IN BOZZA DA APPROVARE

«Trasparenza»

«Art. 49 del GDPR» in merito alle deroghe in specifiche situazioni in caso di trasferimento dei dati verso paesi terzi

LE LINEE GUIDA DEL WP 29 ADOTTATE IN BOZZA E IN CONSULTAZIONE PUBBLICA

«Accreditamento degli enti di certificazione»

«Consenso»Sottoposte a consultazione pubblica terminata e da adottare formalmente

da parte del WP29

La consultazionetermina il30/03/2018

La consultazionetermina il26/03/2018


ALTRI DOCUMENTI ADOTTATI NELLA PLENARIA DEL WP 29 DEL 6‐7 FEBBRAIO 2018

«Working document on Binding Corporate Rules for data controller» «Working document on Binding Corporate Rules for processors»

«Working paper sulle decisioni di adeguatezza» ex art. 45 GDPR

Nella Plenaria del 6‐7 Febbraio 2018 il WP 29 ha inoltre informato, fra l’altro, che: Sta lavorando su un parere relativo al proposto Regolamento EU

sull’interoperabilità Sta continuando a lavorare per adottare una posizione sull’articolo 3 del GDPR Fornirà una guida sull’obbligo di tenuta del registro delle attività di

trattamento per le PMI Aggiornerà le guidelines esistenti sul diritto all’oblio


Estensione dell’ambito di applicazione territoriale del GDPR anche a titolari stabiliti fuori dall’UE se trattano dati di interessati che si trovano in paesi UE nei casi previsti dall’art. 3

Trasparenza: obbligo del titolare di informare gli interessati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori, per consentire l’espressione di consensi validi e l’esercizio dei diritti: artt. 13 e 14

Responsabilizzazione (c.d. accountability): obbligo del titolare mettere in atto misure tecniche e organizzative adeguate che devono essere costantemente monitorate ed aggiornate, se necessario, per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento


Obbligo di effettuare una preventiva valutazione dell’impatto del trattamento sulla protezione dei dati personali (DPIA), quando un tipo di trattamento presenta rischi elevati per i diritti e le libertà degli interessati, in particolare se sono utilizzate nuove tecnologie e tenuto conto della natura, dell’oggetto, del contesto e delle finalità di trattamento

Tutelare i dati personali fin dalla progettazione (Privacy by design), mediante l’adozione di misure tecniche ed organizzative adeguate per attuare i principi di protezione dei dati ed integrare nel trattamento le garanzie necessarie di conformità al Regolamento

Garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità di trattamento (Privacy by default) mediante misure tecniche ed organizzative adeguate


Obbligo di tenuta di un registro delle attività di trattamento sia per il titolareche per il responsabile in forma scritta, anche in formato elettronico, in caso di imprese o organizzazioni con 250 o più dipendenti, a meno che:

Il contenuto del registro è dettagliato nell’art. 30 del Regolamento

il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato

il trattamento non sia occasionale o includa categorie particolari di dati personali o dati personali relativi a condanne penali e reati


In caso di designazione di responsabili del trattamento, tale designazione deve essere formalizzata mediante un apposito contratto o altro atto giuridico che disciplini i trattamenti di dati effettuati dal responsabile per conto del titolare (cfr. art. 28 Reg. EU 2016/679).

Obbligo di nomina del Responsabile della Protezione dei dati (RPD) o Data Protection Officer (DPO) al ricorrere di determinati presupposti. La nomina dovrà essere conforme alle prescrizioni del Reg. EU 2016/679 ed alle indicazioni contenute nelle Linee Guida del Gruppo di Lavoro ex art. 29

Obbligo dei contitolari di regolamentare con un accordo interno, il cui contenuto essenziale è messo a disposizione dell’interessato, le rispettive responsabilità.


Obbligo di notifica della violazione dei dati personali (Data Breach) entro termini temporali stringenti (72 ore)

Modifica dei termini di riscontro all’interessato

Severo regime sanzionatorio

Possibile adesione a Codici di condotta o meccanismi di certificazione

Nuovi diritti degli interessati: diritto alla portabilità, diritto all’oblio, diritto di limitazione del trattamento.


PbD

Accountability

Data Breach

Sanzioni

Trasparenza

DPIA

Ambito territoriale

Diritti degli interessati e dati di minori

Governance e ruoli privacyApproccio basato

sul rischio

Registro dei trattamenti

DPO

Misure di sicurezza

Cross‐borderdata flows

GDPR


Aggiornare le informative e valutare quando richiedere il consenso

Implementare un sistema di governance della «Data Protection» in particolare per la gestione del riscontro agli interessati, data breach, DPIA, misure adeguate, ruolo dei collaboratori dello studio etc.

In caso di trattamenti quali responsabili esterno del trattamento: le imprese devono adeguare la contrattualistica, il commercialista deve adeguare il mandato professionale e l’atto di designazione

Verificare della conformità della contrattualistica con i fornitori con attenzione agli applicativi in cloud

Mappare i dati personali trattati per identificare il «to do»


Possibile adesione a Codici di condotta o meccanismi di certificazione

Adottare il registro del trattamento sia quale titolare che responsabile

Adottare misure adeguate per la gestione dei nuovi diritti degli interessati

Verificare le misure tecniche ed organizzative e la relativa adeguatezza

Verificare l’ambito del trattamento ed il profilo di autorizzazione degli incaricati e l’atto di designazione se conforme all’art. 29 (Persone autorizzate)

Innovare le nomine degli incaricati/autorizzati


Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è una figura disciplinata dagli art. 37‐39 del GDPR e dalle Linee Guida del Gruppo ex art. 29 che costituisce «il fulcro del processo di attuazione del principio di responsabilizzazione» (Garante) ed è «elemento chiave all’interno del nuovo sistema di governance dei dati» (Art. 29 WP).

Non si tratta di una figura completamente nuova nell’ordinamento europeo. L’art. 24 del Regolamento (CE)UE n. 45/2001 relativo al trattamento dei dati da parte delle istituzioni ed organismi comunitari aveva già previsto l’obbligo da parte di questi ultimi di nominare un Responsabile della protezione dei dati la cui figura presenta molte analogie con il Responsabile del trattamento dei dati previsto dal GDPR.


Obbligo di nomina del Responsabile della Protezione dei dati (RPD) o Data Protection Officer (DPO) al ricorrere dei seguenti presupposti (cfr. Linee Guida WP29):

se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali o reati

se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, salvo le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali


Le Linee Guida del Gruppo ex art. 29 forniscono utili indicazioni sui seguenticoncetti contenuti nei tre casi di nomina del DPO obbligatoria:

«Attività principali»

«Larga scala»

«Monitoraggio regolare e sistematico» che ricomprende tutte le forme di tracciamento e di profilazione, non solo online.

Sussiste, inoltre, la facoltà di designare un DPO su base volontaria: in tal casotrovano applicazione tutte le disposizioni del GDPR come nel caso di nominaobbligatoria.


Il Gruppo ex art. 29 raccomanda nelle proprie Linee Guida, approvate nellaversione finale il 5 aprile 2017, che tutti i titolari e responsabili documentino levalutazioni compiute per stabilire se sussiste o meno l’obbligo di nomina delDPO al fine di poter dimostrare l’analisi compiuta in base al principio diresponsabilizzazione («accountability»). Tale documentazione può essererichiesta dall’Autorità di Controllo e deve essere aggiornata.

In caso di autorità pubbliche od organismi pubblici è possibile nominare ununico responsabile della protezione dei dati per più autorità od organismi,tenuto conto della loro struttura organizzativa. Idem nel caso di Gruppi disocietà.

Il RPD può essere un soggetto interno, ovvero esterno alla struttura del Titolare o del Responsabile che assolve i suoi compiti in base ad un contratto di servizi.


La figura di Responsabile della protezione dei dati può essere affidata:

ad una funzione interna all’organizzazione;

ad un soggetto esterno sulla base di un contratto di servizi con una persona fisica o giuridica, ripartendo i compiti all’interno del team RPD e prevedendo un solo soggetto quale contatto principale del cliente.

La scelta dipende dalla dimensione, dalla tipologia di dati trattati, dai rischi e soprattutto dall’organizzazione del titolare/responsabile.


Ai sensi dell’art. 39, GDPR, il Responsabile della protezione dei dati, tenuto conto dei rischi inerenti al trattamento, deve svolgere almeno i seguenti compiti: fornire consulenza al titolare, al responsabile ed ai dipendenti che

eseguono il trattamento dei dati sorvegliare l’osservanza del regolamento, delle politiche (policy) del

titolare e del responsabile, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale e le connesse attività di controllo

fornire un parere sulla valutazione d’impatto sulla protezione dei dati

cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento (es. consultazione preventiva) nella lingua utilizzata dall’autorità


L’art. 37, comma 5, del GDPR dispone che il DPO è designato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39».

L’elenco dei compiti indicati nell’art. 39 GDPR non è esaustivo. Pertanto, Il Titolare e il Responsabile possono affidare al RPD/DPO anche il compito della tenuta del registro delle attività del trattamento.

Le Linee Guida del WP29 precisano che relativamente alle qualità professionalidevono essere tenuti in considerazione una serie di elementi.


I dati di contatto dell’RPD/DPO devono essere:

I dati di contatto dovrebbero comprendere informazioni che consentano agli interessati e alle Autorità di Controllo di raggiungerli facilmente, quali:

Pubblicati Comunicati alle Autorità di controllo

Recapito postale Numero telefonico dedicato e/o indirizzo di posta elettronica Altri canali (hotline dedicata, modulo specifico sul sito)

Non è necessario pubblicare anche il nominativo dell’RPD/DPO, ma è obbligatorio comunicarlo alle Autorità di Controllo.


Elementi da tenere in considerazione per la selezione del RPD/DPO:

Conoscenza della normativa e delle prassi nazionali ed europee

Approfondita conoscenza del Regolamento

Conoscenza approfondita delle norme e procedure amministrative (se PA).

Conoscenza dello specifico settore di attività e della struttura organizzativa

Familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati

Il livello di conoscenza specialistica deve essere «proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento» (Linee Guida WP29).


Il Garante (Newsletter 15/09/2017) ha ulteriormente precisato che:

la scelta del DPO dovrà essere effettuata «con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali».

Il DPO dovrà avere «un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto)».


Garante: «la normativa attuale non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali». «Tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del RPD. La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati».


Titolare e il Responsabile devono:

coinvolgere il RPD/DPO, tempestivamente ed adeguatamente, in qualsiasi questione che riguardi il trattamento dei dati personali, soprattutto relativamente alla DPIA;

sostenere il RPD/DPO nell’esecuzione dei suoi compiti e dotarlo delle risorse necessarie per assolvere i propri compiti e mantenere una conoscenza specialistica;

assicurare che non riceva alcuna istruzioni per l’esecuzione dei suoi compiti, né rimuoverlo o penalizzarlo per l’adempimento dei suoi compiti;

non rimuoverlo o penalizzarlo per l’adempimento dei suoi compiti;

garantire che possa svolgere i suoi compiti in maniera indipendente e che tali compiti non diano adito a conflitto di interessi.


Definizione – Art. 4 (12) Reg. EU 2016/679

"violazione dei dati personali": la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati

«DATA BREACH» =

VIOLAZIONI DEI DATI


OBBLIGO DI NOTIFICA

DI «DATA BREACH»

AL GARANTE E AGLI

INTERESSATI

4 tipologie di notifica di «data breach» in Italia

Fornitori di servizi di comunicazione elettronica accessibili al pubblico ai sensi degli artt. 4, comma 3, lett. g‐bis) e 32‐bis del Codice, Provvedimento Garante n. 161 del 04/04/2013 “Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach)”, Regolamento EU no. 611 del 24 giugno 2013

Titolari di trattamenti biometrici ai sensi del Provvedimento n. 513 del 12/11/2014 “Provvedimento generale prescrittivo in tema di biometria”

Titolari di trattamenti effettuati mediante il dossier sanitario ai sensi del Provvedimento n. 331 del 04/06/2015 e allegate “Linee Guida in materia di dossier sanitario”

Pubbliche Amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ai sensi del Provvedimento n. 393 del 02/07/2015 “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”


Data Breach

Garante(art. 33)

Interessati(art. 34)

Senza ingiustificato ritardo e, ove possibile, entro 72hdall'avvenuta conoscenza, salvo qualora siano improbabilirischi. Se oltre 72h obbligo di indicare i motivi del ritardo

Obbligo del responsabile di informare il titolare senzaingiustificato ritardo

Contenuto minimo della notifica di data breach (cfr. art. 33,co. 3)

Possibilità di fornire alcune informazioni in fasi successive(sempre senza ingiustificato ritardo)

Obbligo di documentare qualsiasi violazione

Quando presenta un rischio elevato per i diritti e le libertàdelle persone fisiche

Contenuto minimo della notifica di data breach (cfr. art. 34,co. 2)

Possibilità di non effettuare la notifica di data breachall’interessato in caso di:

o Esistenza di misure tecniche ed organizzativeadeguate, eventualmente anche successive

o Sforzo sproporzionato. In tal caso comunicazionepubblica

Possibile comunque una richiesta di notifica di data breachda parte dell’Autorità (artt. 34, co. 4, e 58, co. 2, lett. e)


Obbligo di tenuta di un registro delle attività di trattamento sia per il titolareche per il responsabile in forma scritta, anche in formato elettronico, in caso di imprese o organizzazioni con 250 o più dipendenti, a meno che:

Il contenuto del registro è dettagliato nell’art. 30 del Regolamento. La tenuta del registro potrà essere affidata al RPD/DPO (cfr. Linee Guida WP29 sulla figura del DPO)

il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato

il trattamento non sia occasionale o includa categorie particolari di dati personali o dati personali relativi a condanne penali e reati


Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare,

del rappresentante del titolare e del responsabile della protezione dei dati;

le finalità del trattamento;

una descrizione delle categorie di interessati e delle categorie di dati personali;

le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i

destinatari di paesi terzi od organizzazioni internazionali;

ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione

internazionale, compresa l'identificazione del paese terzo o dell'organizzazione

internazionale e la documentazione delle garanzie adeguate;

ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.


il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni

titolare del trattamento per conto del quale agisce il responsabile del trattamento, del

rappresentante del titolare del trattamento o del responsabile del trattamento e, ove

applicabile, del responsabile della protezione dei dati;

le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione

internazionale, compresa l'identificazione del paese terzo o dell'organizzazione

internazionale e la documentazione delle garanzie adeguate;

ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.


I campi informativi del registro: il registro, tenuto come titolare, deve contenere almeno gli elementi minimi richiesti dal Regolamento, ma è CONSIGLIATO integrarlo con tutti gli altri elementi necessari ad attestare l’accountability

I razionali per il censimento dei trattamenti: i dati inerenti l’identificazione dei trattamenti che possono, ad esempio basarsi su fonti informative documentali facilmente reperibili (e.g. DPS, classificazione dei processi di trattamento, asset inventory l’elenco dei DB…) coinvolgendo sempre nel merito le Business Unit/Aree funzionali impattate

La determinazione delle finalità e dei tempi e modi di conservazione: le finalità indicate nel registro NON possono NON essere coerenti con le informative rilasciate. I termini per la cancellazione devono essere indicati per ogni categoria di dati ed essere procedurizzati, così come le modalità di conservazione.

I processi di aggiornamento e modifica del registro: il registro deve ESSERE aggiornato ogni volta che vi sia una variazione di un processo di trattamento o qualora sia avviata una nuova attività di trattamento.

Il VALORE PROBATORIO del registro e la sua opponibilità a terzi.


Il 28 aprile u.s. il Garante ha pubblicato sul sito allink:http://www.garanteprivacy.it/guida‐all‐applicazione‐del‐regolamento‐europeo‐in‐materia‐di‐protezione‐dei‐dati‐personali, la prima guida applicativa inerenteil regolamento europeo 2016/679 in materia diprotezione dei dati personali.


Nella sezione dedicata al registro dei trattamenti il Garante sottolinea i seguenti concetti relativi al registro: strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del

Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico;

indispensabile per ogni valutazione e analisi del rischio.

Inoltre La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte

integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, “si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle

dimensioni dell'organizzazione, a compiere i passi necessari per dotarsi di tale registro”. Nello specifico, si richiama l'attenzione sulla sostanziale coincidenza fra i contenuti della

notifica dei trattamenti di cui all'art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento.

SANZIONI EX REG.

CIVILI AMMINISTRATIVE PENALI

Possibili da parte di ogni singolo Stato Membro (cfr. Considerando 149 e art. 84 e

DDL 2384)

Risarcimento del dannomateriale e immateriale

Responsabilità solidaletitolari e responsabili (art. 82)

Fino a EUR 10 milioni o 2% del fatturato mondialetotale annuo dell’esercizio precedente in caso diviolazione dell’obbligo di notifica di data breach (art.83, co. 4)

Fino a EUR 20 milioni o 4% del fatturato mondialetotale annuo dell’anno precedente per violazioniprincipi base ed altre violazioni (art. 83, comma 5)



SANZIONI EX REG.

EFFETTIVE PROPORZIONATE DISSUASIVE

IN FUNZIONE DELLE CIRCOSTANZE DI OGNI SINGOLO CASO


Informare la clientela e supportarla nella gestione delle nuove tematiche introdotte dal GDPR

Individuare nuove aree di business: ad esempio, la valutazione della necessità o meno di designare un DPO

Valutare l’opportunità di creazione di «desk» di professionisti dedicati Assumere, se in possesso dei requisiti, il ruolo di DPO esterno

La tenuta del registro dei trattamenti La redazione delle clausole contrattuali con gli outsourcers ex art. 28 GDPR

La redazione del documento di valutazione sulla necessità o meno di designare un DPO e della lettera di assunzione

Lo svolgimento della valutazione di impatto (DPIA)

privacy 2018 il regolamento ue 2016/679 - dataservices.it · dottore commercialista e revisore...

Documents