SlideShare uma empresa Scribd logo

#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per la Protezione dei dati personali

EuroPrivacy
EuroPrivacy

Le Slide dell'intervento di Cosimo Comella alla giornata #Ready4EUdataP organizzata da Europrivacy

Direito
1 de 25
Baixar para ler offline
Il nuovo Regolamento generale europeo sulla protezione dei dati personali: quadro generale e prime riflessioni sull’impatto COSIMO COMELLA <c.comella@gpdp.it> Milano, 29 gennaio 2016 #READY4EUDATAP
#READY4EUDATAP Il contesto della protezione dati EU Non solo direttive e regolamenti • Sentenze CGUE o Google Spain (diritto all’oblio come de-indicizzazione) o Conservazione dati traffico (data retention radicalmente contraria ai principi comunitari) o Weltimmo (mancato stabilimento nel Paese ma offerta di servizi in lingua locale rende competente la DPA locale) o Bara/Romania (trasferimento dati tra soggetti pubblici richiede informativa agli interessati, limitazioni con legge) o Facebook/Schrems (competenza della DPA locale e invalidazione accordo Safe Harbor) • Sentenze CEDU (libertà espressione/privacy) • WP29 : pareri, raccomandazioni, contributi • Consiglio d’Europa (revisione Convenzione 108/81)
#READY4EUDATAP Il data protection package EU: introduzione Il cosiddetto “pacchetto protezione dati” è stato presentato dalla Commissione il 25 gennaio 2012 con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia. Si compone di due diversi strumenti: • proposta di Regolamento, volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, destinata a sostituire la Direttiva 95/46; • proposta di Direttiva volta alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali, che sostituirà (e integrerà) la decisione quadro 977/2008, peraltro non ancora attuata dall’Italia.
#READY4EUDATAP Il data protection package EU: introduzione Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) 25 gennaio 2012 Proposta di DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati 25 gennaio 2012
#READY4EUDATAP Il data protection package EU: introduzione • Le proposte sono basate sull’art. 16 del Trattato, che sancisce il diritto di chiunque alla protezione dei propri dati personali e chiede l’intervento del legislatore europeo per introdurre le necessarie e conseguenti norme di tutela da applicarsi sia da parte delle istituzioni, agenzie ed uffici della UE sia da parte degli Stati membri, sotto la supervisione e controllo di autorità indipendenti. • Parlamento europeo e Consiglio UE partecipano su un piano paritario alla procedura di co-legislazione in base al Trattato, ed hanno quindi presentato numerosi emendamenti al testo proposto dalla Commissione.
#READY4EUDATAP Il data protection package EU: introduzione • Il Parlamento europeo, per parte sua, ha votato la propria posizione in prima lettura il 12 marzo 2014 su entrambi i testi (proposta di Regolamento e proposta di Direttiva). • Il Consiglio UE ha conclusa la fase di I lettura del testo della proposta di Regolamento con l’adozione di un approccio generale da parte del Consiglio GAI (Giustizia e affari interni) del 15 giugno 2015. • Ha invece concluso la I lettura del testo della proposta di Direttiva con l’adozione del testo relativo da parte del Consiglio GAI di ottobre 2015.
#READY4EUDATAP Il data protection package EU: stato del negoziato • Nei mesi da giugno (da ottobre per la Direttiva) a dicembre 2015 si sono tenuti numerosi triloghi interistituzionali (Parlamento – Consiglio - Commissione) nei quali la Presidenza di turno e i relatori del Parlamento europeo, assistiti dalla Commissione, hanno esaminato i punti di divergenza e individuato possibili testi di compromesso per i due strumenti legislativi. • I testi sono stati infine approvati, per il Consiglio, dal COREPER (Comitato rappresentanti permanenti) del 16 dicembre e, per il Parlamento, dal voto della competente commissione LIBE (Libertà civili, giustizia e affari interni) del 17 dicembre, che ha accettato il testo votato dal COREPER il giorno precedente, cosicché il Consiglio ha ratificato l’accordo politico con il voto definitivo del COREPER del 18 dicembre 2015. • Si è quindi in presenza della conclusione del negoziato a seguito dell’accordo politico fra i co-legislatori.
#READY4EUDATAP Il data protection package EU: stato del negoziato Le prossime fasi procedurali • I due testi saranno oggetto di revisione da parte dei giuristi - linguisti, come è prassi, per le varie versioni linguistiche • Verranno adottati formalmente nei primissimi mesi del 2016 con un voto da parte del Parlamento (in sessione plenaria) e, probabilmente, un passaggio formale al Consiglio GAI (Giustizia e affari interni) di marzo 2016 • Seguirà la loro pubblicazione sulla GUUE.
#READY4EUDATAP La proposta di regolamento generale Caratteristiche generali • Previsione di diversi obblighi nei confronti di titolari e responsabili stabiliti in UE • Maggiore coerenza di norme valide in tutta Europa rispetto al regime determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli Stati membri • “One single law applicable throughout Europe” • Possibilità o necessità di specifiche regolamentazioni a livello nazionale in alcune aree lasciate alla competenza delle leggi nazionali
#READY4EUDATAP La proposta di regolamento generale Il testo si articola su 11 Capi, con oltre 90 articoli e circa 140 «considerando». I principali elementi di novità rispetto all’attuale quadro normativo (direttiva 95/46 e legislazione di recepimento) sono così riassumibili: Diritti degli interessati • potenziamento contenuti obbligatori informativa (con possibilità di ricorrere ad icone o forme grafiche di informativa) • Introduzione del diritto alla portabilità dei dati • introduzione del diritto ad una cancellazione estesa («oblio») ma non incondizionata • possibilità di chiedere la “limitazione” del trattamento (anziché la cancellazione, ad esempio in attesa di definire l’esattezza o obsolescenza di un dato o per continuare ad utilizzare il dato per specifiche finalità, in particolare giudiziarie) • definizione di condizioni per la prestazione del consenso da parte di minori in rapporto all’offerta di “servizi della società dell’informazione” (con definizione di una soglia di età fra i 13 ed i 16 anni, rimessa al legislatore nazionale).
#READY4EUDATAP La proposta di regolamento generale Obblighi dei titolari Approccio basato sulla gestione del rischio e sull’“accountability” • Privacy by design • Privacy by default • Nomina Data Protection Officer (obbligatoria per i soggetti pubblici e in alcuni casi particolarmente a rischio anche per i soggetti privati, facoltativa negli altri casi) • Valutazione di impatto obbligatoria per tutti i titolari o responsabili seguita da possibile consultazione dell’Autorità di controllo • Disciplina della contitolarità e dei rapporti contrattuali fra titolare e responsabile • Eliminazione dell’obbligo di notificazione dei trattamenti (sostituita da obbligo di tenuta di documentazione) • Potenziamento ricorso a codici deontologici e certificazione (utilizzabili anche ai fini di trasferimenti di dati in Paesi terzi) • Obbligo di notificazione delle violazioni di dati personali (data breach), all’Autorità ed agli interessati, da parte di tutti i titolari/responsabili di trattamento (secondo un criterio di rischio per i diritti dell’interessato).
#READY4EUDATAP La proposta di regolamento generale Governance • Definizioni dettagliate di ruolo e poteri delle Autorità nazionali di controllo (discendenti direttamente dal Regolamento) • Obblighi di cooperazione fra Autorità nazionali e possibilità di ispezioni/indagini congiunte • Introduzione del meccanismo dello “sportello unico” – One Stop Shop • Salva la competenza esclusiva dell’Autorità nazionale per trattamenti svolti da soggetti pubblici nazionali • Introduzione del «meccanismo di coerenza» in contesti di trattamento di natura transnazionale • introduzione della figura della lead authority o «autorità capofila», sostanzialmente quella dello stabilimento principale • Competenza condivisa con l’autorità capofila anche ai fini di ricorsi e contenziosi • Riserva di competenza dell’Autorità nazionale su «complaints» a carattere esclusivamente nazionale, salva opposizione dell’autorità capofila
#READY4EUDATAP La proposta di regolamento generale Governance • Definizione di funzione, poteri e ruolo del «Comitato europeo della protezione dei dati» quale garante di coerenza e armonizzazione: soggetto dotato di personalità giuridica incaricato di redigere e diffondere linee-guida, direttive, pareri su molteplici aspetti sostanziali e procedurali del Regolamento, avente il ruolo di decisore ultimo vincolante in caso di controversie fra Autorità nella trattazione di casi gestiti secondo il meccanismo di coerenza e/o attraverso il meccanismo dello “sportello unico” (codecisione uniforme). • Struttura del Board con Presidente, due Vice-Presidente e un Segretariato permanente, • Definizione di un sistema unificato di sanzioni amministrative che le Autorità di controllo hanno il potere di comminare, distribuite secondo tre livelli di gravità delle violazioni (con importi fissati in termini di minimo e massimo edittale) e con indicazione di criteri per la definizione della gravità della violazione (valutazione di attenuanti/aggravanti)
#READY4EUDATAP La proposta di regolamento generale Campo di applicazione territoriale e materiale • viene meno il criterio di collegamento basato sullo “stabilimento” ai fini dell’applicazione delle disposizioni del Regolamento (Art. 4(1)c direttiva 95/46, Art. 5(2) Codice italiano) • si introduce il criterio del «targeting» (offerta di prodotti o servizi destinati a soggetti presenti nell’UE) ai fini dell’applicazione delle disposizioni contenute nel Regolamento.
#READY4EUDATAP La proposta di regolamento generale Criterio del targeting La proposta di regolamento prevede che rientrino nella portata della disciplina comunitaria sulla protezione dei dati quei trattamenti che comportino: • L’offerta di beni e servizi a interessati nell’Unione europea • Il controllo dei comportamenti di interessati residenti nell’Unione europea • Le attività di controllo includono la profilazione su Internet volta a consentire scelte rispetto agli individui o per analizzare o predire gusti personali, comportamenti e attitudini (recital 21)
#READY4EUDATAP La proposta di regolamento generale Flessibilità Previsione di un margine di flessibilità lasciato agli Stati membri per alcune tipologie di trattamento ( Art. 6(1)c, Art. 6(1)e ): • per finalità di pubblico interesse • in adempimento di un obbligo legale • per i trattamenti di cui al Capo IX (giornalismo, lavoro, ricerca scientifica, statistica, storica, archivi). Per tali ambiti, gli Stati Membri sono autorizzati a introdurre o mantenere disposizioni di diritto nazionale che consentano di «adattare» quelle contenute nel Regolamento. Tale rinvio espresso al legislatore nazionale è accompagnato da un elenco dei requisiti sostanziali che le misure legislative nazionali adottate o mantenute in questi settori devono presentare (Articolo 6(3) ).
#READY4EUDATAP La proposta di regolamento generale Flessibilità Il Regolamento fa rinvio al legislatore nazionale anche con riguardo a: • ulteriori tipologie di trattamento (in particolare in ambito sanitario, ma anche rispetto ai trattamenti di dati genetici o biometrici (“condizioni o limitazioni ulteriori”) • criteri di nomina di un DPO • possibilità di richiedere autorizzazioni da parte dell’Autorità di controllo per taluni trattamenti • norme che devono disciplinare istituzione e componenti delle Autorità di controllo • possibile previsione di sanzioni, anche penali, ulteriori rispetto a quelle contenute nel Regolamento, ecc.).
#READY4EUDATAP La proposta di regolamento generale Flessibilità Vi si accompagna la previsione (Art. 21, già contenuta nell’attuale direttiva 95/46) della possibilità di introdurre con legge nazionale deroghe ai diritti degli interessati per specifiche finalità, qualora necessarie e proporzionate e rispettose della «essenza» del diritto alla protezione dei dati: • interesse pubblico • sicurezza pubblica • sicurezza dello Stato • salute pubblica • ecc. Tale possibilità è prevista anche con riguardo ai trattamenti per finalità scientifiche, statistiche, storiche, archivistiche nel pubblico interesse, salve le garanzie che il diritto nazionale deve prevedere ai sensi dell’Art. 83 (in particolare, misure atte a favorire l’applicazione del principio di «data minimization»).
#READY4EUDATAP La proposta di regolamento generale Trasferimenti di dati verso Paesi terzi • Rimane invariato il meccanismo della direttiva 95/46 (divieto generale, salva esistenza di decisione adeguatezza da parte della Commissione / strumenti contrattuali / presupposti in deroga). • Vengono irrigiditi i requisiti di adeguatezza (con obbligo di effettuare una valutazione complessiva, quindi anche con riguardo ai settori polizia e giustizia e sulla tutela dei diritti fondamentali in genere) • Vengono introdotte disposizioni specifiche per quanto riguarda clausole contrattuali modello, BCR ed altre autorizzazioni ad hoc da parte delle singole Autorità nazionali (necessariamente con intervento del “meccanismo di coerenza”).
#READY4EUDATAP La proposta di regolamento generale Trasferimenti di dati verso Paesi terzi • Vi è inoltre una disposizione (Art. 43-bis), fortemente voluta dal Parlamento europeo, con cui si vietano i trasferimenti richiesti da autorità giudiziarie o amministrative di Paesi terzi che non trovino fondamento in accordi internazionali di mutua assistenza giudiziaria o analoghi strumenti (in vigore con l’Ue o con il singolo Stato membro)
#READY4EUDATAP La proposta di regolamento generale Il principio dell’accountability • Passaggio da approccio burocratico, con notificazione formale dei trattamenti, a un regime in cui il titolare debba assicurare e dimostrare che soddisfi tutti i requisiti posti dal regolamento • Mutamento significativo dell’approccio europeo alla compliance • I titolari stabiliti nell’UE dovranno mantenere documentazione relativa ai trattamenti, eseguire valutazioni di impatto dei trattamenti a rischio, assicurare adeguata protezione dei dati trasferiti all’esterno dell’UE. • I cloud service providers stabiliti in UE saranno sottoposti a questo tipo di misure, che dovrebbero accrescere il livello di protezione dei trattamenti svolti nel territorio dell’Unione.
#READY4EUDATAP La proposta di regolamento generale Il main establishment • Il Regolamento introduce la nozione di main establishment nell’UE al fine di individuare la DPA competente su titolari e responsabili che abbiano diverse sedi nel territorio dell’Unione (Articolo 4(13)) • Il Regolamento risolve il problema degli eventuali effetti della legge nazionale, che viene eliminata, disseminando il risultato nei vari Paesi diversi da quello del main establishment • Complessità derivante nell’offerta di servizi in rete dalla possibilità che titolari e responsabili siano sottoposti a giurisdizioni sovrapposte (UE ed extra-UE, non all’interno dell’Unione)
#READY4EUDATAP La proposta di regolamento generale Le violazioni dei dati personali • Notificazione dei data breach • Sono tenuti tutti i titolari o responsabili • Criteri di soglia per la notificazione (Autorità/interessato) • Tempistica: 72 h per notificazione ad Autorità
#READY4EUDATAP La proposta di regolamento generale La certificazione dei trattamenti • certificazione diretta da parte della DPA • certificatori terzi • accreditamento da DPA o da soggetto accreditante ex Regolamento 2008/765 • criteri definiti da DPA o da Board • enforcement e poteri DPA (ruolo certificatori terzi) • certificazione di titolari in Paesi terzi (per trasferimenti dati)
#READY4EUDATAP La proposta di regolamento generale Obblighi dei titolari e dei responsabili • Approccio basato sul rischio del trattamento • Misure di sicurezza • Privacy impact assessment e sue conseguenze (consultazione Autorità) • Criteri di rischio specifici + intervento Board o DPA + definizione lista di trattamenti non a rischio • Data Protection Officer: criteri di nomina, requisiti soggettivi, compiti

Recomendados

Marco Tullio Giordano, La responsabilità dell'internet Service Provider
Marco Tullio Giordano, La responsabilità dell'internet Service Provider Marco Tullio Giordano, La responsabilità dell'internet Service Provider
Marco Tullio Giordano, La responsabilità dell'internet Service Provider
Andrea Rossetti
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017
Domenico Vozza
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Andrea Maggipinto [+1k]
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Digital Law Communication
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
Roberta Rapicavoli
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
SMAU
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Mauro Alovisio
 
Smau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSmau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - Sanità
SMAU
 

Recomendados

Marco Tullio Giordano, La responsabilità dell'internet Service Provider
Marco Tullio Giordano, La responsabilità dell'internet Service Provider Marco Tullio Giordano, La responsabilità dell'internet Service Provider
Marco Tullio Giordano, La responsabilità dell'internet Service Provider
Andrea Rossetti
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017
Domenico Vozza
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Andrea Maggipinto [+1k]
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Digital Law Communication
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
Roberta Rapicavoli
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
SMAU
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Mauro Alovisio
 
Smau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSmau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - Sanità
SMAU
 
GDPR
GDPRGDPR
GDPR
Pasquale Tarallo
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
Giacomo Giovanelli
 
Open data: aspetti giuridici
Open data: aspetti giuridiciOpen data: aspetti giuridici
Open data: aspetti giuridici
datitrentinoit
 
Trattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legaleTrattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legale
Pietro Calorio
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Pietro Calorio
 
Privacy e videosorveglianza.
Privacy e videosorveglianza. Privacy e videosorveglianza.
Privacy e videosorveglianza.
Roberta Rapicavoli
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
Flussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big DataFlussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big Data
Adriano Bertolino
 
Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017
Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017
Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017
Andrea Negroni
 
Ricerca dI SCS Consulting sul welfare aziendale
Ricerca dI SCS Consulting sul welfare aziendaleRicerca dI SCS Consulting sul welfare aziendale
Ricerca dI SCS Consulting sul welfare aziendale
SCS Azioninnova S.p.A.
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Il piano di marketing del consulente
Il piano di marketing del consulenteIl piano di marketing del consulente
Il piano di marketing del consulente
Roberta Longoni
 
GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza
Massimo Carnevali
 
GDPR Tutorial - 11 Impatto sulle aziende
GDPR Tutorial - 11 Impatto sulle aziendeGDPR Tutorial - 11 Impatto sulle aziende
GDPR Tutorial - 11 Impatto sulle aziende
Massimo Carnevali
 
GDPR Tutorial - 2 Considerazioni generali - seconda parte
GDPR Tutorial - 2 Considerazioni generali - seconda parteGDPR Tutorial - 2 Considerazioni generali - seconda parte
GDPR Tutorial - 2 Considerazioni generali - seconda parte
Massimo Carnevali
 
GDPR Tutorial - 1 Considerazioni generali - prima parte
GDPR Tutorial - 1 Considerazioni generali - prima parteGDPR Tutorial - 1 Considerazioni generali - prima parte
GDPR Tutorial - 1 Considerazioni generali - prima parte
Massimo Carnevali
 
GDPR Tutorial - 3 Titolari, responsabili e soggetti
GDPR Tutorial - 3 Titolari, responsabili e soggettiGDPR Tutorial - 3 Titolari, responsabili e soggetti
GDPR Tutorial - 3 Titolari, responsabili e soggetti
Massimo Carnevali
 
Welfare aziendale
Welfare aziendaleWelfare aziendale
Welfare aziendale
ISTUD Business School
 
Tarallo privacy
Tarallo privacyTarallo privacy
Tarallo privacy
Carlo Favaretti
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection Officer
SMAU
 

Mais conteúdo relacionado

Mais procurados

Mais procurados (7)

GDPR
GDPRGDPR
GDPR
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
Open data: aspetti giuridici
Open data: aspetti giuridiciOpen data: aspetti giuridici
Open data: aspetti giuridici
 
Trattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legaleTrattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legale
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
 
Privacy e videosorveglianza.
Privacy e videosorveglianza. Privacy e videosorveglianza.
Privacy e videosorveglianza.
 

Destaque

Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
Ricerca dI SCS Consulting sul welfare aziendale
Ricerca dI SCS Consulting sul welfare aziendaleRicerca dI SCS Consulting sul welfare aziendale
Ricerca dI SCS Consulting sul welfare aziendale
SCS Azioninnova S.p.A.
 
Il piano di marketing del consulente
Il piano di marketing del consulenteIl piano di marketing del consulente
Il piano di marketing del consulente
Roberta Longoni
 
Welfare aziendale
Welfare aziendaleWelfare aziendale
Welfare aziendale
ISTUD Business School
 

Destaque (13)

Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Flussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big DataFlussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big Data
 
Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017
Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017
Convegno WELFARE AZIENDALE - Padova, 8 febbraio 2017
 
Ricerca dI SCS Consulting sul welfare aziendale
Ricerca dI SCS Consulting sul welfare aziendaleRicerca dI SCS Consulting sul welfare aziendale
Ricerca dI SCS Consulting sul welfare aziendale
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Il piano di marketing del consulente
Il piano di marketing del consulenteIl piano di marketing del consulente
Il piano di marketing del consulente
 
GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza
 
GDPR Tutorial - 11 Impatto sulle aziende
GDPR Tutorial - 11 Impatto sulle aziendeGDPR Tutorial - 11 Impatto sulle aziende
GDPR Tutorial - 11 Impatto sulle aziende
 
GDPR Tutorial - 2 Considerazioni generali - seconda parte
GDPR Tutorial - 2 Considerazioni generali - seconda parteGDPR Tutorial - 2 Considerazioni generali - seconda parte
GDPR Tutorial - 2 Considerazioni generali - seconda parte
 
GDPR Tutorial - 1 Considerazioni generali - prima parte
GDPR Tutorial - 1 Considerazioni generali - prima parteGDPR Tutorial - 1 Considerazioni generali - prima parte
GDPR Tutorial - 1 Considerazioni generali - prima parte
 
GDPR Tutorial - 3 Titolari, responsabili e soggetti
GDPR Tutorial - 3 Titolari, responsabili e soggettiGDPR Tutorial - 3 Titolari, responsabili e soggetti
GDPR Tutorial - 3 Titolari, responsabili e soggetti
 
Welfare aziendale
Welfare aziendaleWelfare aziendale
Welfare aziendale
 

Semelhante a #Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per la Protezione dei dati personali

Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
Mauro Alovisio
 
OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...
OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...
OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...
OpenGeoDataItalia
 

Semelhante a #Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per la Protezione dei dati personali (20)

Tarallo privacy
Tarallo privacyTarallo privacy
Tarallo privacy
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection Officer
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
 
USER-CAMP: speech "I am the content industry" di Elvira Berlingieri
USER-CAMP: speech "I am the content industry" di Elvira BerlingieriUSER-CAMP: speech "I am the content industry" di Elvira Berlingieri
USER-CAMP: speech "I am the content industry" di Elvira Berlingieri
 
Gli Open data e il ruolo dell'informatico - Normativa vigente a confronto
Gli Open data e il ruolo dell'informatico - Normativa vigente a confrontoGli Open data e il ruolo dell'informatico - Normativa vigente a confronto
Gli Open data e il ruolo dell'informatico - Normativa vigente a confronto
 
Lara merla 6 dicembre 2016 impatto sugli studi legali del nuovo regolamento...
Lara merla 6 dicembre 2016 impatto sugli studi legali del nuovo regolamento...Lara merla 6 dicembre 2016 impatto sugli studi legali del nuovo regolamento...
Lara merla 6 dicembre 2016 impatto sugli studi legali del nuovo regolamento...
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
 
Corso 2012/13 - 5. Legislazione
Corso 2012/13 - 5. LegislazioneCorso 2012/13 - 5. Legislazione
Corso 2012/13 - 5. Legislazione
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
Nota gruppo europa nl n.8
Nota gruppo europa nl n.8Nota gruppo europa nl n.8
Nota gruppo europa nl n.8
 
OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...
OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...
OpenGeoData Italia 2014 - Monica Palmirani "Gli aspetti legali del riuso del ...
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
La Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppLa Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsApp
 
Privacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppPrivacy in Facebook e WhatsApp
Privacy in Facebook e WhatsApp
 

Mais de EuroPrivacy

Mais de EuroPrivacy (10)

5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan
 
Meeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusMeeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - status
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
 
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 

#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella, Autorità Garante per la Protezione dei dati personali

  • 1. Il nuovo Regolamento generale europeo sulla protezione dei dati personali: quadro generale e prime riflessioni sull’impatto COSIMO COMELLA <c.comella@gpdp.it> Milano, 29 gennaio 2016 #READY4EUDATAP
  • 2. #READY4EUDATAP Il contesto della protezione dati EU Non solo direttive e regolamenti • Sentenze CGUE o Google Spain (diritto all’oblio come de-indicizzazione) o Conservazione dati traffico (data retention radicalmente contraria ai principi comunitari) o Weltimmo (mancato stabilimento nel Paese ma offerta di servizi in lingua locale rende competente la DPA locale) o Bara/Romania (trasferimento dati tra soggetti pubblici richiede informativa agli interessati, limitazioni con legge) o Facebook/Schrems (competenza della DPA locale e invalidazione accordo Safe Harbor) • Sentenze CEDU (libertà espressione/privacy) • WP29 : pareri, raccomandazioni, contributi • Consiglio d’Europa (revisione Convenzione 108/81)
  • 3. #READY4EUDATAP Il data protection package EU: introduzione Il cosiddetto “pacchetto protezione dati” è stato presentato dalla Commissione il 25 gennaio 2012 con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia. Si compone di due diversi strumenti: • proposta di Regolamento, volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, destinata a sostituire la Direttiva 95/46; • proposta di Direttiva volta alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali, che sostituirà (e integrerà) la decisione quadro 977/2008, peraltro non ancora attuata dall’Italia.
  • 4. #READY4EUDATAP Il data protection package EU: introduzione Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) 25 gennaio 2012 Proposta di DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati 25 gennaio 2012
  • 5. #READY4EUDATAP Il data protection package EU: introduzione • Le proposte sono basate sull’art. 16 del Trattato, che sancisce il diritto di chiunque alla protezione dei propri dati personali e chiede l’intervento del legislatore europeo per introdurre le necessarie e conseguenti norme di tutela da applicarsi sia da parte delle istituzioni, agenzie ed uffici della UE sia da parte degli Stati membri, sotto la supervisione e controllo di autorità indipendenti. • Parlamento europeo e Consiglio UE partecipano su un piano paritario alla procedura di co-legislazione in base al Trattato, ed hanno quindi presentato numerosi emendamenti al testo proposto dalla Commissione.
  • 6. #READY4EUDATAP Il data protection package EU: introduzione • Il Parlamento europeo, per parte sua, ha votato la propria posizione in prima lettura il 12 marzo 2014 su entrambi i testi (proposta di Regolamento e proposta di Direttiva). • Il Consiglio UE ha conclusa la fase di I lettura del testo della proposta di Regolamento con l’adozione di un approccio generale da parte del Consiglio GAI (Giustizia e affari interni) del 15 giugno 2015. • Ha invece concluso la I lettura del testo della proposta di Direttiva con l’adozione del testo relativo da parte del Consiglio GAI di ottobre 2015.
  • 7. #READY4EUDATAP Il data protection package EU: stato del negoziato • Nei mesi da giugno (da ottobre per la Direttiva) a dicembre 2015 si sono tenuti numerosi triloghi interistituzionali (Parlamento – Consiglio - Commissione) nei quali la Presidenza di turno e i relatori del Parlamento europeo, assistiti dalla Commissione, hanno esaminato i punti di divergenza e individuato possibili testi di compromesso per i due strumenti legislativi. • I testi sono stati infine approvati, per il Consiglio, dal COREPER (Comitato rappresentanti permanenti) del 16 dicembre e, per il Parlamento, dal voto della competente commissione LIBE (Libertà civili, giustizia e affari interni) del 17 dicembre, che ha accettato il testo votato dal COREPER il giorno precedente, cosicché il Consiglio ha ratificato l’accordo politico con il voto definitivo del COREPER del 18 dicembre 2015. • Si è quindi in presenza della conclusione del negoziato a seguito dell’accordo politico fra i co-legislatori.
  • 8. #READY4EUDATAP Il data protection package EU: stato del negoziato Le prossime fasi procedurali • I due testi saranno oggetto di revisione da parte dei giuristi - linguisti, come è prassi, per le varie versioni linguistiche • Verranno adottati formalmente nei primissimi mesi del 2016 con un voto da parte del Parlamento (in sessione plenaria) e, probabilmente, un passaggio formale al Consiglio GAI (Giustizia e affari interni) di marzo 2016 • Seguirà la loro pubblicazione sulla GUUE.
  • 9. #READY4EUDATAP La proposta di regolamento generale Caratteristiche generali • Previsione di diversi obblighi nei confronti di titolari e responsabili stabiliti in UE • Maggiore coerenza di norme valide in tutta Europa rispetto al regime determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli Stati membri • “One single law applicable throughout Europe” • Possibilità o necessità di specifiche regolamentazioni a livello nazionale in alcune aree lasciate alla competenza delle leggi nazionali
  • 10. #READY4EUDATAP La proposta di regolamento generale Il testo si articola su 11 Capi, con oltre 90 articoli e circa 140 «considerando». I principali elementi di novità rispetto all’attuale quadro normativo (direttiva 95/46 e legislazione di recepimento) sono così riassumibili: Diritti degli interessati • potenziamento contenuti obbligatori informativa (con possibilità di ricorrere ad icone o forme grafiche di informativa) • Introduzione del diritto alla portabilità dei dati • introduzione del diritto ad una cancellazione estesa («oblio») ma non incondizionata • possibilità di chiedere la “limitazione” del trattamento (anziché la cancellazione, ad esempio in attesa di definire l’esattezza o obsolescenza di un dato o per continuare ad utilizzare il dato per specifiche finalità, in particolare giudiziarie) • definizione di condizioni per la prestazione del consenso da parte di minori in rapporto all’offerta di “servizi della società dell’informazione” (con definizione di una soglia di età fra i 13 ed i 16 anni, rimessa al legislatore nazionale).
  • 11. #READY4EUDATAP La proposta di regolamento generale Obblighi dei titolari Approccio basato sulla gestione del rischio e sull’“accountability” • Privacy by design • Privacy by default • Nomina Data Protection Officer (obbligatoria per i soggetti pubblici e in alcuni casi particolarmente a rischio anche per i soggetti privati, facoltativa negli altri casi) • Valutazione di impatto obbligatoria per tutti i titolari o responsabili seguita da possibile consultazione dell’Autorità di controllo • Disciplina della contitolarità e dei rapporti contrattuali fra titolare e responsabile • Eliminazione dell’obbligo di notificazione dei trattamenti (sostituita da obbligo di tenuta di documentazione) • Potenziamento ricorso a codici deontologici e certificazione (utilizzabili anche ai fini di trasferimenti di dati in Paesi terzi) • Obbligo di notificazione delle violazioni di dati personali (data breach), all’Autorità ed agli interessati, da parte di tutti i titolari/responsabili di trattamento (secondo un criterio di rischio per i diritti dell’interessato).
  • 12. #READY4EUDATAP La proposta di regolamento generale Governance • Definizioni dettagliate di ruolo e poteri delle Autorità nazionali di controllo (discendenti direttamente dal Regolamento) • Obblighi di cooperazione fra Autorità nazionali e possibilità di ispezioni/indagini congiunte • Introduzione del meccanismo dello “sportello unico” – One Stop Shop • Salva la competenza esclusiva dell’Autorità nazionale per trattamenti svolti da soggetti pubblici nazionali • Introduzione del «meccanismo di coerenza» in contesti di trattamento di natura transnazionale • introduzione della figura della lead authority o «autorità capofila», sostanzialmente quella dello stabilimento principale • Competenza condivisa con l’autorità capofila anche ai fini di ricorsi e contenziosi • Riserva di competenza dell’Autorità nazionale su «complaints» a carattere esclusivamente nazionale, salva opposizione dell’autorità capofila
  • 13. #READY4EUDATAP La proposta di regolamento generale Governance • Definizione di funzione, poteri e ruolo del «Comitato europeo della protezione dei dati» quale garante di coerenza e armonizzazione: soggetto dotato di personalità giuridica incaricato di redigere e diffondere linee-guida, direttive, pareri su molteplici aspetti sostanziali e procedurali del Regolamento, avente il ruolo di decisore ultimo vincolante in caso di controversie fra Autorità nella trattazione di casi gestiti secondo il meccanismo di coerenza e/o attraverso il meccanismo dello “sportello unico” (codecisione uniforme). • Struttura del Board con Presidente, due Vice-Presidente e un Segretariato permanente, • Definizione di un sistema unificato di sanzioni amministrative che le Autorità di controllo hanno il potere di comminare, distribuite secondo tre livelli di gravità delle violazioni (con importi fissati in termini di minimo e massimo edittale) e con indicazione di criteri per la definizione della gravità della violazione (valutazione di attenuanti/aggravanti)
  • 14. #READY4EUDATAP La proposta di regolamento generale Campo di applicazione territoriale e materiale • viene meno il criterio di collegamento basato sullo “stabilimento” ai fini dell’applicazione delle disposizioni del Regolamento (Art. 4(1)c direttiva 95/46, Art. 5(2) Codice italiano) • si introduce il criterio del «targeting» (offerta di prodotti o servizi destinati a soggetti presenti nell’UE) ai fini dell’applicazione delle disposizioni contenute nel Regolamento.
  • 15. #READY4EUDATAP La proposta di regolamento generale Criterio del targeting La proposta di regolamento prevede che rientrino nella portata della disciplina comunitaria sulla protezione dei dati quei trattamenti che comportino: • L’offerta di beni e servizi a interessati nell’Unione europea • Il controllo dei comportamenti di interessati residenti nell’Unione europea • Le attività di controllo includono la profilazione su Internet volta a consentire scelte rispetto agli individui o per analizzare o predire gusti personali, comportamenti e attitudini (recital 21)
  • 16. #READY4EUDATAP La proposta di regolamento generale Flessibilità Previsione di un margine di flessibilità lasciato agli Stati membri per alcune tipologie di trattamento ( Art. 6(1)c, Art. 6(1)e ): • per finalità di pubblico interesse • in adempimento di un obbligo legale • per i trattamenti di cui al Capo IX (giornalismo, lavoro, ricerca scientifica, statistica, storica, archivi). Per tali ambiti, gli Stati Membri sono autorizzati a introdurre o mantenere disposizioni di diritto nazionale che consentano di «adattare» quelle contenute nel Regolamento. Tale rinvio espresso al legislatore nazionale è accompagnato da un elenco dei requisiti sostanziali che le misure legislative nazionali adottate o mantenute in questi settori devono presentare (Articolo 6(3) ).
  • 17. #READY4EUDATAP La proposta di regolamento generale Flessibilità Il Regolamento fa rinvio al legislatore nazionale anche con riguardo a: • ulteriori tipologie di trattamento (in particolare in ambito sanitario, ma anche rispetto ai trattamenti di dati genetici o biometrici (“condizioni o limitazioni ulteriori”) • criteri di nomina di un DPO • possibilità di richiedere autorizzazioni da parte dell’Autorità di controllo per taluni trattamenti • norme che devono disciplinare istituzione e componenti delle Autorità di controllo • possibile previsione di sanzioni, anche penali, ulteriori rispetto a quelle contenute nel Regolamento, ecc.).
  • 18. #READY4EUDATAP La proposta di regolamento generale Flessibilità Vi si accompagna la previsione (Art. 21, già contenuta nell’attuale direttiva 95/46) della possibilità di introdurre con legge nazionale deroghe ai diritti degli interessati per specifiche finalità, qualora necessarie e proporzionate e rispettose della «essenza» del diritto alla protezione dei dati: • interesse pubblico • sicurezza pubblica • sicurezza dello Stato • salute pubblica • ecc. Tale possibilità è prevista anche con riguardo ai trattamenti per finalità scientifiche, statistiche, storiche, archivistiche nel pubblico interesse, salve le garanzie che il diritto nazionale deve prevedere ai sensi dell’Art. 83 (in particolare, misure atte a favorire l’applicazione del principio di «data minimization»).
  • 19. #READY4EUDATAP La proposta di regolamento generale Trasferimenti di dati verso Paesi terzi • Rimane invariato il meccanismo della direttiva 95/46 (divieto generale, salva esistenza di decisione adeguatezza da parte della Commissione / strumenti contrattuali / presupposti in deroga). • Vengono irrigiditi i requisiti di adeguatezza (con obbligo di effettuare una valutazione complessiva, quindi anche con riguardo ai settori polizia e giustizia e sulla tutela dei diritti fondamentali in genere) • Vengono introdotte disposizioni specifiche per quanto riguarda clausole contrattuali modello, BCR ed altre autorizzazioni ad hoc da parte delle singole Autorità nazionali (necessariamente con intervento del “meccanismo di coerenza”).
  • 20. #READY4EUDATAP La proposta di regolamento generale Trasferimenti di dati verso Paesi terzi • Vi è inoltre una disposizione (Art. 43-bis), fortemente voluta dal Parlamento europeo, con cui si vietano i trasferimenti richiesti da autorità giudiziarie o amministrative di Paesi terzi che non trovino fondamento in accordi internazionali di mutua assistenza giudiziaria o analoghi strumenti (in vigore con l’Ue o con il singolo Stato membro)
  • 21. #READY4EUDATAP La proposta di regolamento generale Il principio dell’accountability • Passaggio da approccio burocratico, con notificazione formale dei trattamenti, a un regime in cui il titolare debba assicurare e dimostrare che soddisfi tutti i requisiti posti dal regolamento • Mutamento significativo dell’approccio europeo alla compliance • I titolari stabiliti nell’UE dovranno mantenere documentazione relativa ai trattamenti, eseguire valutazioni di impatto dei trattamenti a rischio, assicurare adeguata protezione dei dati trasferiti all’esterno dell’UE. • I cloud service providers stabiliti in UE saranno sottoposti a questo tipo di misure, che dovrebbero accrescere il livello di protezione dei trattamenti svolti nel territorio dell’Unione.
  • 22. #READY4EUDATAP La proposta di regolamento generale Il main establishment • Il Regolamento introduce la nozione di main establishment nell’UE al fine di individuare la DPA competente su titolari e responsabili che abbiano diverse sedi nel territorio dell’Unione (Articolo 4(13)) • Il Regolamento risolve il problema degli eventuali effetti della legge nazionale, che viene eliminata, disseminando il risultato nei vari Paesi diversi da quello del main establishment • Complessità derivante nell’offerta di servizi in rete dalla possibilità che titolari e responsabili siano sottoposti a giurisdizioni sovrapposte (UE ed extra-UE, non all’interno dell’Unione)
  • 23. #READY4EUDATAP La proposta di regolamento generale Le violazioni dei dati personali • Notificazione dei data breach • Sono tenuti tutti i titolari o responsabili • Criteri di soglia per la notificazione (Autorità/interessato) • Tempistica: 72 h per notificazione ad Autorità
  • 24. #READY4EUDATAP La proposta di regolamento generale La certificazione dei trattamenti • certificazione diretta da parte della DPA • certificatori terzi • accreditamento da DPA o da soggetto accreditante ex Regolamento 2008/765 • criteri definiti da DPA o da Board • enforcement e poteri DPA (ruolo certificatori terzi) • certificazione di titolari in Paesi terzi (per trasferimenti dati)
  • 25. #READY4EUDATAP La proposta di regolamento generale Obblighi dei titolari e dei responsabili • Approccio basato sul rischio del trattamento • Misure di sicurezza • Privacy impact assessment e sue conseguenze (consultazione Autorità) • Criteri di rischio specifici + intervento Board o DPA + definizione lista di trattamenti non a rischio • Data Protection Officer: criteri di nomina, requisiti soggettivi, compiti