Schema degli obblighi/adempimenti del titolare del trattamento in base al GDPR - Regolamento UE 2016/679¶
Suggerimento
- Guida all’applicazione del Regolamento UE 2016 679.pdf - Garante Privacy. Panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti per la piena applicazione del regolamento, prevista il 25/05/2018.
- http://www.garanteprivacy.it/regolamentoue sito Garante Privacy.
- L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali - Istruzioni tecniche, linee guida, note e modulistica Quaderni ANCI (febbraio 2018).
- Presentazioni sul GDPR a cura dell’esperto Simone Chiarelli.
- Modulistica aggiornata al GDPR (Staff Omniavis)
Indice
- Schema degli obblighi/adempimenti del titolare del trattamento in base al GDPR - Regolamento UE 2016/679
- I principi applicabili al trattamento dei dati personali
- Acquisizione del consenso da parte dell’interessato e casistica di esonero dal relativo obbligo
- Il consenso dei minori a fronte di servizi ICT
- Trattamento di particolari categorie di dati
- Trattamento di dati relativi a condanne penali e reati
- Trasparenza nella gestione dei trattamenti
- Informativa all’interessato
- Il rispetto dei diritti dell’interessato
- Il particolare caso dei processi decisionali automatizzati
- Misure di sicurezza adeguate
- Privacy by design (fin dalla progettazione)
- Privacy by default (per impostazione predefinita)
- Contitolarità del trattamento
- Nomina del Rappresentante del titolare
- Nomina del Responsabile del trattamento
- Obbligo di istruzione da parte del Titolare
- Adozione del Registro delle attività di trattamento
- Obbligo di cooperazione con l’autorità di controllo
- Notificazione di una violazione dei dati
- Comunicazione di una violazione dei dati all’interessato
- Redazione della Valutazione d’impatto sulla protezione dati e consultazione dell’autorità di controllo
- Nomina di un Responsabile della Protezione dei Dati (Data Protection Officer - DPO)
- Adesione a codici di condotta/sistemi di certificazione
- Cautele per il trasferimento dei dati in Paesi terzi
- Obbligo di risarcimento del danno
- MODULISTICA aggiornata al GDPR (scaricabile gratuitamente) a cura di Omnia Vis
- GDPR: 3 regole fondamentali per la conformità di un sito web
- Altri articoli sull’applicazione del GDPR
Importante
Articolo di Altalex del 12 aprile 2018: GDPR, la tabella degli adempimenti del titolare. Tabella a cura di Paolo Marini
Con questa tabella si offre a disposizione dell’utenza uno schema sintetico degli obblighi/adempimenti/cautele di spettanza del titolare del trattamento in base alle norme del GDPR - Regolamento UE 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali).
Per una esigenza di articolazione e maggiore significatività della tabella, gli obblighi / adempimenti / cautele sono classificati come di seguito:
|
|
|
|
A fianco di ciascun argomento/voce la tabella riporta il riferimento (capo, articolo/i) nel testo del Regolamento.
REGOLAMENTO UE 2016/679: TABELLA RAGIONATA degli OBBLIGHI / ADEMPIMENTI / CAUTELE DEL TITOLARE
I principi applicabili al trattamento dei dati personali¶
Adempimento | Capo, articolo |
|---|---|
I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. Le finalità devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un'adeguata sicurezza. | II, 5 |
Acquisizione del consenso da parte dell’interessato e casistica di esonero dal relativo obbligo¶
Adempimento | Capo, articolo |
|---|---|
Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell'interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato. | II, 6-7 |
Il consenso dei minori a fronte di servizi ICT¶
Adempimento | Capo, articolo |
|---|---|
Nei casi in cui è richiesto il consenso, il trattamento di dati relativo all'offerta diretta di servizi della società dell'informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni. In caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza. | II, 8 |
Trattamento di particolari categorie di dati¶
Adempimento | Capo, articolo |
|---|---|
E' formalizzato il divieto generale del trattamento dei dati corrispondenti a quelli attualmente definiti 'sensibili', oltre che dei dati genetici e biometrici. Dopodiché sono disposte specifiche eccezioni al divieto, come quelle relative alle ipotesi in cui: l'interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per le connesse esigenze di sicurezza/protezione sociale; i dati sono trattati a fini di tutela di un interesse vitale dell'interessato; i dati personali sono stati resi pubblici dall'interessato, ecc. | II, 9 |
Trattamento di dati relativi a condanne penali e reati¶
Adempimento | Capo, articolo |
|---|---|
Il trattamento dei dati personali sostanzialmente corrispondenti a quelli oggi definiti 'giudiziari' deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell'Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati. | II, 10 |
Trasparenza nella gestione dei trattamenti¶
Adempimento | Capo, articolo |
|---|---|
Il titolare è tenuto ad adottare misure appropriate per fornire all'interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l'esercizio dei diritti da parte dell'interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste). | III, 12 |
Informativa all’interessato¶
Adempimento | Capo, articolo |
|---|---|
Adempimento basilare per qualsiasi titolare, si giova necessariamente di una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L'informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell'informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l'interessato ovvero presso un soggetto diverso. | III, 13-14 |
Il rispetto dei diritti dell’interessato¶
Adempimento | Capo, articolo |
|---|---|
Il Regolamento formalizza un ampio catalogo di diritti che spettano all'interessato. Si tratta del diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (più noto come diritto all'oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento, con gli eventuali connessi obblighi di notifica/comunicazione gravanti sul titolare. |
Il particolare caso dei processi decisionali automatizzati¶
Adempimento | Capo, articolo |
|---|---|
E' riconosciuto il diritto dell'interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall'art. 4.1, n. 4). Il correlativo divieto non si applica ove la decisione si basi sul consenso esplicito dell'interessato, sia necessaria per l'esecuzione di un contratto con l'interessato, ovvero sia autorizzata dal diritto dell'Unione o del singolo Stato membro. | III, 22 |
Misure di sicurezza adeguate¶
Adempimento | Capo, articolo |
|---|---|
Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate. |
Privacy by design (fin dalla progettazione)¶
Adempimento | Capo, articolo |
|---|---|
Tenendo conto delle specifiche caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, all'atto del trattamento ovvero di determinare i mezzi del medesimo il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati. | IV, 25.1 |
Privacy by default (per impostazione predefinita)¶
Adempimento | Capo, articolo |
|---|---|
Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità ai dati stessi. | IV, 25.2 |
Contitolarità del trattamento¶
Adempimento | Capo, articolo |
|---|---|
Nel caso in cui due o più titolari operano come contitolari del trattamento (determinando congiuntamente finalità e mezzi del medesimo), concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all'esercizio dei diritti degli interessati e ai connessi obblighi informativi. Il contenuto essenziale dell'accordo deve essere messo a disposizione degli interessati. | IV, 26 |
Nomina del Rappresentante del titolare¶
Adempimento | Capo, articolo |
|---|---|
Laddove si applichi l'art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell'Unione da parte di titolare/responsabile non stabilito nell'UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell'Unione. Il rappresentante è l'indefettibile interlocutore della competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento. | IV, 27 |
Nomina del Responsabile del trattamento¶
Adempimento | Capo, articolo |
|---|---|
Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate. Il Regolamento stabilisce un numero cospicuo di requisiti minimi di contenuto del contratto tra titolare e responsabile del trattamento. | IV, 28 |
Obbligo di istruzione da parte del Titolare¶
Adempimento | Capo, articolo |
|---|---|
Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento. | IV, 29 |
Adozione del Registro delle attività di trattamento¶
Adempimento | Capo, articolo |
|---|---|
E' adempimento obbligatorio per il titolare del trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari. Cuore del documento è una mappa dettagliata di tutti i trattamenti effettuati dall'organizzazione del titolare. | IV, 30 |
Obbligo di cooperazione con l’autorità di controllo¶
Adempimento | Capo, articolo |
|---|---|
Il titolare è tenuto a cooperare con l'autorità di controllo, quando quella gliene faccia richiesta. | IV, 31 |
Notificazione di una violazione dei dati¶
Adempimento | Capo, articolo |
|---|---|
Rientra tra gli obblighi del titolare anche la notifica all'autorità di controllo (Garante) senza ingiustificato ritardo - e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche. | IV, 33 |
Comunicazione di una violazione dei dati all’interessato¶
Adempimento | Capo, articolo |
|---|---|
Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all'interessato senza ingiustificato ritardo. La norma fissa i requisiti di contenuto della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro. Altresì la norma individua i casi in cui la detta comunicazione non è richiesta (per semplicità, quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati). | IV, 34 |
Redazione della Valutazione d’impatto sulla protezione dati e consultazione dell’autorità di controllo¶
Adempimento | Capo, articolo |
|---|---|
Si tratta di un ulteriore adempimento che grava sul titolare che debba iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Ciò si può verificare, in particolare, quando sia implicato l'uso di nuove tecnologie, ovvero in considerazione di altre caratteristiche (natura, oggetto, contesto, finalità) del trattamento. Quando la valutazione di impatto indichi che il trattamento presenta un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l'autorità di controllo. | IV, 35-36 |
Nomina di un Responsabile della Protezione dei Dati (Data Protection Officer - DPO)¶
Adempimento | Capo, articolo |
|---|---|
La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento: a) è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell'adempimento della disciplina 'privacy'. E' anche l'interlocutore dell'autorità di controllo. | IV, 37-39 |
Adesione a codici di condotta/sistemi di certificazione¶
Adempimento | Capo, articolo |
|---|---|
Si tratta di adempimenti volontari del titolare mediante i quali può implementare importanti misure di sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento. | IV, 40-42 |
Cautele per il trasferimento dei dati in Paesi terzi¶
Adempimento | Capo, articolo |
|---|---|
Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento. |
MODULISTICA aggiornata al GDPR (scaricabile gratuitamente) a cura di Omnia Vis¶
Link modulistica in formato aperto
GDPR: 3 regole fondamentali per la conformità di un sito web¶
Importante
Fonte: post su Blog html di Claudio Davide Ferrara. 16 Aprile 2018
Esistono tre regole chiave da rispettare per rendere il proprio sito web conforme alle norme previste dal GDPR ovvero:
- Il consenso dell’utente.
- L’accesso ai dati personali dell’utente.
- La criptazione dei dati.
Il consenso dell’utente¶
Il consenso è uno dei pilastri della nuova legislazione ed è vitale per poter salvare ed utilizzare i dati personali degli utenti. Dunque è necessario ottenere uno specifico permesso da parte dell’utente per poter trattare i suoi dati, per qualsiasi motivo.
I visitatori del sito web dovranno essere informati in modo preciso di come i loro dati verranno raccolti e trattati, sarà inoltre necessario informarli delle motivazioni di questa raccolta dati e sarà quindi molto importante che accettino di loro spontanea volontà selezionando un apposito form di conferma.
Prendiamo ad esempio le agenzia di collocamento, se un candidato approva il trattamento dei suoi dati personali ed invia il suo curriculum online per una determinata posizione, a meno che il campo di conferma da lui spuntato non reciti altro, l’agenzia non potrà sfruttare quel curriculum per proporre altre candidature né potrà cederlo ad altre aziende eventualmente interessante.
Dunque è bene che un sito web sia sempre aggiornato dal punto di vista delle informative e riceva dall’utente permessi espliciti ogni volta che dovessero essere previste nuove tipologie di trattamento dei dati personali.
Altra novità arrivata con la GDPR riguarda il linguaggio delle note sulla privacy dell’utente. Esse devono essere semplici da leggere e da comprendere per l’utente, dunque devono adottare un linguaggio comune e di facile interpretazione. Lo stesso dicasi per le comunicazioni sull’utilizzo dei cookie.
L’accesso ai dati¶
Il secondo componente chiave del GDPR è l’accesso ai dati. Bisogna rendere noto e avvertire l’utente su chi può accedere ai propri dati personali e come essi vengono registrati e conservati dal sito web, anche tramite CMS o CRM.
La via più semplice per farlo è in classico form dove si chiede all’utente di poter trattare, nei modi che si necessitano, i vari tipi di dati personali.
Se la risposta è negativa deve essere anche implementata una procedura per evitare che i dati vengano registrati e conservati, inoltre deve essere sempre consentito all’utente di revocare tali permessi in futuro e di cancellare i propri dati quando lo desidera. I titolari delle aziende dovrebbero inoltre verificare e controllare che le eventuali agenzie di terze parti che hanno accesso ai dati degli utenti abbiamo procedure conformi ai nuovi regolamenti.
La crittografia¶
Terze elemento cardine del GDPR è la crittografia. Ogni dato dell’utente inviato e conservato su di un sito web dovrà essere criptato, questo per impedire sottrazioni di informazioni sensibili tramite attacchi informatici.
Dunque ogni progetto che voglia essere conforme alla GDPR dovrà implementare un sistema che preveda l’utilizzo di certificati di sicurezza SSL/TLS durante le comunicazioni dei dati sensibili. Inoltre ai i vari database interni dovranno essere protetti da chiavi crittografiche «robuste» (qualsiasi sia il significato che si voglia attribuire a questo termine).
Altri articoli sull’applicazione del GDPR¶
Come adeguare la PA al GDPR: tutto ciò che bisogna fare¶
Importante
di Ernesto Belisario - link agendadigitale.eu
nominare un DPO – Data Protection Officer (in italiano, RPD o responsabile della protezione dei dati personali).
Si tratta di una figura che deve possedere dei requisiti specifici (ad esempio in termini di esperienza e competenza, così come chiarito nelle Faq del Garante Privacy) e deve occuparsi prevalentemente di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione della formazione del personale.
È importante quindi notare che – così come previsto dalle Linee guida del gruppo Art. 29 – i DPO non rispondono personalmente in caso di inosservanza del GDPR.
Nomina del DPO….il Data Protection Officer può essere interno o esterno. Nel primo caso, anche per salvaguardare la sua autonomia, non potrà coincidere con chi – all’interno dell’ente – definisce, anche in parte, le politiche di protezione dei dati personali (come il responsabile per la transizione digitale).
Trasparenza del trattamento. che si sostanzia nell’obbligo per il titolare di rendere l’informativa, cioè di dare evidenza – senza alcuna specifica richiesta – delle principali informazioni che riguardano il trattamento.
Registro dei trattamenti e misure di sicurezza. adozione entro il 25 maggio 2018 (e dell’aggiornamento continuo) di un registro delle attività di trattamento in cui descrivere:
- il nome e i dati di contatto del titolare del trattamento e del DPO;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione;
GDPR, tutto ciò che c’è da sapere per essere in regola¶
Importante
di Raffaella Natale - link agendadigitale.eu
introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Data Breach. Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue.
GDPR e diritto all’oblio¶
Importante
di Franco Pizzetti - link agendadigitale.eu
La vera novità del diritto all’oblio. La parte veramente nuova, che consente di parlare anche di diritto l’oblio, pur poco avendo a che fare con l’informazione e la libertà di pensiero, riguarda il dovere specifico posto a carico del titolare che riceva una richiesta di cancellazione quando i dati che ne sono oggetto siano stati “resi pubblici” dal titolare stesso.
In questa ipotesi l’art. 17 paragrafo 2 impone al titolare non solo di cancellare i dati (sempre ovviamente che ritenga la richiesta legittima per quanto lo riguarda).
Formazione privacy obbligatoria, col Gdpr: che c’è da sapere¶
Importante
di Mauro Alovisio avvocato, docente corso di formazione del data protection officer - Università degli Studi di Torino, Costanza Mottino avvocato, esperto data protection. link agendadigitale.eu
La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.
La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
Gli Enti pubblici le imprese, pertanto, devono:
– pianificare quanto prima un percorso ed un piano di formazione;
– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti;
– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;
– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;
(Le prove finali consentono di dimostrare il grado di conoscenza della normativa, delle istruzioni privacy all’interno dell’organizzazione.)
Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione del Data protection Officer e dei componenti del team.