Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


circolare privacy gdpr, Guide, Progetti e Ricerche di Informatica Giuridica

una buona guida per la privacy

Tipologia: Guide, Progetti e Ricerche

2020/2021

Caricato il 07/04/2021

italorf99f
italorf99f 🇮🇹

5

(2)

1 documento

1 / 28

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Guida per le imprese
PRIVACY
GDPR - General Data Protection Regulation
REGOLAMENTO UE N. 2016/679
Direzione Relazioni Industriali
MARZO 2018
a cura di Bianca Maria Baron e Valeria Andretta, Relazioni Industriali ANCE
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c

Anteprima parziale del testo

Scarica circolare privacy gdpr e più Guide, Progetti e Ricerche in PDF di Informatica Giuridica solo su Docsity!

Guida per le imprese

PRIVACY

GDPR - General Data Protection Regulation

REGOLAMENTO UE N. 2016/

Direzione Relazioni Industriali
MARZO 2018

a cura di Bianca Maria Baron e Valeria Andretta, Relazioni Industriali ANCE

EDILSTAMPA srl via G.A. Guattani 20 - 00161 Roma tel. 0684567403 - fax 0684567590 [email protected] - www.edilstampa.it

PRIVACY. GUIDA PER LE IMPRESE^3

SOMMARIO

1. Introduzione 5 - Applicabilità del GDPR 2. I principi generali 6 - Nuovo quadro giuridico - La responsabilizzazione - Accountability - Privacy by design - Privacy by default 3. Il trattamento dei dati 6 - Tipologie di trattamento - Principi generali del trattamento 4. I dati 7 - Dati personali 5. I soggetti 8 - Titolare - Responsabile del trattamento - Incaricati - Responsabile protezione dati (DPO) - Interessati 6. I diritti degli interessati 9 - Diritto di informazione - Diritto di accesso - Diritto di rettifica - Diritto alla cancellazione (c.d. all’oblio) - Diritto di limitazione del trattamento - Diritto alla portabilità dei dati - Diritto di opposizione 7. I fondamenti di liceità del trattamento 9 - Esecuzione di un contratto - Adempimenti ad obblighi di Legge - Salvaguardia degli interessi vitali dell’interessato - Esecuzione di un compito di interesse pubblico - Legittimo interesse - Consenso 8. Il consenso 10 - Condizioni del consenso - Pluralità dei consensi - Diritto di revoca

PRIVACY. GUIDA PER LE IMPRESE^5

Applicabilità del GDPR

1. INTRODUZIONE

Il 25 maggio 2018 diventerà applicabile, in tutti gli Stati membri, il Nuovo Regolamento Europeo ( GDPR - General Data Protection Regulation ) re- lativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati , (in vigore dal 24 maggio 2016). Il Nuovo Regolamento promuove la tutela dei dati personali basata sulla re- sponsabilizzazione dei titolari del trattamento dati (c.d. accountability). La logica propria del Regolamento è, infatti, quella di procedere ad una mes- sa a punto di processi interni delle imprese (o degli Enti o di tutti coloro che trattano dati personali) che, partendo da una valutazione dei rischi sull’uti- lizzo dei dati stessi, possa mettere in atto sistemi di tutela ad hoc. Alcuni dei principi della precedente normativa rimarranno validi anche con l’attuazione del nuovo Regolamento (l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili). Altri, invece, rappresentano delle novità o parzialmente tali (la denominazione degli attori

  • il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’ac- countability). Per alcune realtà sarà necessario dotarsi anche di un Responsabile della protezione dei dati (RPD)/Data Protection Officer (DPO), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni. Scompariranno alcuni oneri amministrativi, quali ad esempio quelli di notifi- cazione anticipata di particolari trattamenti al Garante; in tal senso, si parla di una maggiore responsabilizzazione a fronte di una semplificazione. Si passa da un sistema prescrittivo per i titolari ad un sistema che, attuando un cambio di mentalità, vuole che il titolare parta da una valutazione di ogni singola realtà ove si attua un trattamento dei dati per capire quali sono i rischi di ogni singolo trattamento e attuare i sistemi di sicurezza adeguati alla tutela di tali dati, garantendone la confidenzialità , l’ integrità e la disponibilità. Nelle realtà imprenditoriali, pertanto, il titolare dovrà effettuare le valutazioni del caso per ridurre al minimo il trattamento dei dati dei propri dipendenti e, in particolare, per utilizzare i dati necessari di ciascun dipendente unica- mente per le specifiche finalità previste dal trattamento oggetto di informa- tiva e consenso. Stante la carenza di precisi riferimenti per molti degli istituti descritti nel Re- golamento e l’indeterminatezza di alcune regole e della loro attuazione, le di- sposizione regolamentari dovranno essere oggetto di specifici interventi da parte delle c.d. Autorità di controllo dei singoli Stati membri (in Italia l’Autorità Garante), o singolarmente o attraverso iniziative congiunte, al livello europeo, da recepire poi nei singoli Stati membri (ad esempio linee guida ad hoc). La guida intende fornire un primo supporto per le imprese che approcciano con il nuovo Regolamento e che troveranno sempre gli uffici Ance a loro di- sposizione per i chiarimenti del caso.

Nuovo quadro giuridico

La responsabiliz- zazione Accountability

Privacy by design - Privacy by default

Tipologie di trattamento

I principi generali del trattamento

2. I PRINCIPI GENERALI (ARTT. 24-25)

Il legislatore comunitario ha adottato un Regolamento per rendere più omo- genea l’applicazione delle norme sulla Privacy su tutto il territorio comuni- tario. Il Regolamento, infatti, è direttamente applicabile in tutti gli Stati membri. La conformità ( compliance ) al Regolamento deve essere interpretata quale necessità per le imprese per la corretta tutela dei dati trattati. Il Nuovo Regolamento è incentrato sul concetto di responsabilizzazione ( cd accountability ) del titolare, nel senso di attuare tutte le misure necessarie per una corretta compliance al Regolamento. Rientra nel concetto di responsabilizzazione del titolare, a titolo esemplifi- cativo, il compito di effettuare, anche tramite il DPO (ove nominato) o attra- verso un responsabile interno, la valutazione dei rischi del trattamento dei dati, l’attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, la redazione del registro dei dati. Per tale ragione si parla di Privacy by design, nel senso di definire il tratta- mento dati in ottemperanza al Regolamento dimostrando di aver fatto tutto il possibile per evitare il rischio, e di Privacy by default, nel senso di aver adottato tutti gli strumenti tecnologici per proteggere il dato.

3. IL TRATTAMENTO DEI DATI (ART. 4.2)

Il trattamento dei dati consiste in qualsiasi operazione compiuta anche senza l’ausilio dei processi automatizzati, concernente la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estra- zione, consultazione, uso, comunicazione, messa a disposizione, raffronto, interconnessione, limitazione, cancellazione, diffusione, distruzione dei dati. Il trattamento dei dati deve essere orientato al rispetto dei seguenti principi:

  • liceità, correttezza e trasparenza;
  • minimizzazione/pertinenza/proporzionalità (trattamento adeguato e pro- porzionato alle finalità che devono essere determinate, esplicite e legitti- me);
  • limitazione alla conservazione;
  • sicurezza e integrità (mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e della perdita, dalla distrazione o dal danno accidentali).
6 ANCE - DIREZIONE RELAZIONI INDUSTRIALI
8 ANCE - DIREZIONE RELAZIONI INDUSTRIALI

Titolare

Responsabile del trattamento

Incaricati

Responsabile protezione dati (DPO) (Art. 37)

Interessati

5. I SOGGETTI (ART. 4)

La persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (impresa). La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

  • responsabile interno impresa;
  • qualsiasi outsourcers a cui sono trasferiti i dati (es. società esterna incari- cata per l’elaborazione delle buste paga).

Tutti coloro che hanno accesso ai dati (es. impiegati ufficio del personale).

Il DPO (Data Protection Officer) è colui che, in una posizione di indipendenza dal titolare e dal responsabile, sorveglia il rispetto del Regolamento, della cui inosservanza rimangono unici responsabili il titolare e il responsabile del trattamento. Non sempre è obbligatoria la nomina del DPO, che riguarda solo i casi di trattamento di dati che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o comunque il caso di trattamenti su larga scala di dati particolari (ex dati sensibili). Sembrerebbe quindi che per le imprese edili del comparto tale obbligo non sussista. Ciò non toglie che un’impresa possa determinarsi comunque di nominare un DPO mediante un contratto di designazione nel quale vengono indicate tutte le funzioni ad esso attribuite. Potrebbe essere nominato unico DPO an- che in un gruppo di imprese. La nomina del DPO deve essere comunicata all’Autorità di controllo (Ga- rante). Il DPO deve possedere un’idonea professionalità data dalla conoscenza del- la normativa (GDPR), del settore di attività e della specifica struttura dell’im- presa (formazione adeguata e continua).

Il DPO svolge:

  • attività di sorveglianza del corretto adempimento del GDPR;
  • valutazione dei rischi di ogni trattamento effettuato;
  • assistenza al titolare e al responsabile anche nella redazione del Registro dei dati;
  • collaborazione per l’eventuale conduzione di una valutazione di impatto (DPIA) laddove si profilino rischi gravi (si ritiene che non è il caso delle im- prese edili);
  • dialogo con gli interessati con il garante e con tutti coloro che hanno a che fare con il trattamento dati.

Coloro i cui dati vengono trattati dal titolare e dai responsabili.

PRIVACY. GUIDA PER LE IMPRESE^9

Diritto di informazione

Diritto di accesso

Diritto di rettifica

Diritto alla cancellazione (c.d. all’oblio)

Diritto di limitazione

Diritto alla portabilità dei dati

Diritto di opposizione

6. I DIRITTI DEGLI INTERESSATI (ARTT. 13-21)

Diritto di ricevere tutte le informazioni relative al trattamento in forma concisa, trasparente, intellegibile e facilmente accessibile (informativa).

Diritto di accedere ai propri dati e ai relativi trattamenti.

Diritto di rettificare i propri dati con relativo obbligo del titolare di comunicare tali modifiche.

Diritto di richiedere la cancellazione dei propri dati quando è esaurita la fi- nalità del trattamento, è stato revocato il consenso, è stata fatta opposizione al trattamento, i dati sono stati trattati in violazione di legge.

Diritto di limitare il trattamento dei propri dati in caso di inesattezze, di con- testazione o come misura alternativa alla cancellazione.

Diritto di trasferire i dati da un titolare a un altro.

Diritto di opporsi in qualsiasi momento al trattamento dei propri dati perso- nali.

7. I FONDAMENTI DI LICEITÀ DEL TRATTAMENTO (ART. 6)

Il trattamento dei dati è lecito solo in presenza di una delle 6 condizioni pre- viste dal Regolamento:

  • esecuzione di un contratto;
  • adempimenti ad obblighi di legge;
  • salvaguardia degli interessi vitali dell’interessato;
  • esecuzione di un compito di interesse pubblico;
  • perseguimento di un legittimo interesse del titolare (salvo che non preval- gano i diritti fondamentali dell’interessato);

oppure

  • consenso dell’interessato.

Senza il consenso o un’altra condizione di liceità, il trattamento è illecito/san- zionabile.

PRIVACY. GUIDA PER LE IMPRESE^11

10. IL REGISTRO DEI TRATTAMENTI (ART. 30)

Il registro dei trattamenti è un “quadro di censimento e di sintesi”, che de- vono predisporre, in forma scritta, il titolare e il responsabile del trattamento, e contiene le seguenti informazioni:

  • nome del titolare (o del responsabile del trattamento o del titolare per cui si agisce);
  • descrizione delle attività effettuate dal titolare (o per conto del titolare);
  • finalità del trattamento;
  • base giuridica del trattamento;
  • categorie di dati;
  • destinatari dei dati;
  • misure di sicurezza adottate;
  • termini per la cancellazione dei dati;
  • destinatati UE e Extra UE

È obbligatorio per le imprese con più di 250 dipendenti o in tutti quei casi in cui il trattamento non sia occasionale e includa dati particolari (stato di sa- lute, trattenute sindacali, etc...) o che potrebbero provocare rischi per i diritti e le libertà degli interessati. Si reputa, pertanto, sempre consigliata la sua redazione (accountabi- lity).

11. VALUTAZIONE DEL RISCHIO (ART. 32) E VALUTAZIONE D’IMPATTO (DPIA) (ARTT. 35-36)

Ogni qual volta il trattamento dei dati presenta rischi elevati per la libertà e i diritti delle persone fisiche il titolare deve effettuare, prima di procedere al trattamento, la valutazione sul rischio dell’eventuale impatto negativo che il trattamento dei dati può avere sulla libertà e sul diritto degli interessati. All’esito della valutazione di impatto, il titolare potrà decidere in autonomia se iniziare il trattamento ovvero consultare l’Autorità di controllo competente per ottenere indicazioni su come gestire il rischio. Anche laddove non si ravvisino rischi elevati sussiste comunque l’obbligo generale del titolare di mettere in atto tutte le misure per gestire in modo idoneo i rischi esistenti, valutati dopo una ordinaria valutazione del rischio (art. 32 nonché ex DPS), che comunque è sempre consigliabile effettuare.

12 ANCE - DIREZIONE RELAZIONI INDUSTRIALI

Notifica al garante

Comunicazione all’interessato

Caratteristiche

Responsabilità

Risarcimento del danno

12. IL DATA BREACH - VIOLAZIONE DEI DATI (ARTT. 33-34)

Quando un evento comporta la violazione di dati personali (perdita, distru- zione o diffusione indebita), il titolare del trattamento deve, entro 72 ore dal momento in cui ne è venuto a conoscenza (a seguito dell’informazione da parte del responsabile del trattamento), notificare al Garante l’eventuale vio- lazione, comunicando:

  • il tipo di violazione;
  • il numero degli interessati;
  • i dati e i contatti dell’eventuale DPO;
  • le possibili conseguenze;
  • le misure di contrasto adottate.

L’Autorità di controllo collaborerà con il titolare per mettere in atto tutte le misure necessarie per contenere il danno. Se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (es. frode, furto d’identità, danno all’immagi- ne, etc...), il titolare del trattamento comunica la violazione anche all’inte- ressato.

13. LA CERTIFICAZIONE (ART. 42)

Vi è la possibilità di richiedere l’ausilio di meccanismi di certificazione, sigilli e marchi di protezione dei dati per consentire ai titolari e ai responsabili del trattamento di dimostrare la conformità al Regolamento. La certificazione è volontaria, accessibile tramite procedura trasparente e non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento. Può essere rilasciata dal Garante o da altri Enti certificatori accreditati ( non ancora individuati ) ed ha una validità di 3 anni. È rinnovabile e revocabile per perdita dei requisiti.

14. IL REGIME SANZIONATORIO (ARTT. 82-84)

Il titolare è responsabile per il danno causato dal suo trattamento, mentre il responsabile del trattamento risponde solo se non ha adempiuto agli obbli- ghi previsti dal Regolamento o ha agito in modo difforme rispetto a quanto indicato dal titolare (nel contratto). Il titolare o il responsabile del trattamento sono tenuti al risarcimento del danno nei confronti di chiunque subisce un danno materiale o immateriale derivante dalla violazione del trattamento dei dati personali.

Per l’istallazione degli impianti di videosorveglianza o di controllo, dovranno emergere in modo chiaro, in ogni richiesta di autorizzazione, le ragioni or- ganizzative e produttive , nonché quelle legate alla sicurezza del lavoro e alla tutela del patrimonio aziendale. In particolare, in merito all’ utilizzo di telecamere , è stato chiarito che:

  • l’eventuale ripresa dei lavoratori deve avvenire in via accidentale e occa- sionale;
  • in presenza di ragioni giustificatrici di controllo, è possibile inquadrare di- rettamente l’operatore senza necessità di oscurarne il volto;
  • non è necessario specificare il posizionamento predeterminato e l’esatto numero delle telecamere da installare (fermo restando la coerenza con le ragioni legittimanti il controllo inserite nell’istanza).

Per l’utilizzo di sistemi di videosorveglianza che si basano su tecnologie digitali volte all’elaborazione su PC e alla trasmissione su rete dei dati (es. rete IP, cablata o wireless) e che consentono il passaggio di video e audio da un computer all’altro, è stato chiarito che, ove sussistano ragioni giusti- ficatrici del provvedimento, è autorizzabile la visione da postazione remota delle immagini sia in tempo reale che registrate. La visione in tempo reale delle immagini deve essere autorizzata solo in casi eccezionali. L’accesso, invece, alle immagini registrate deve essere tracciato, tramite si- stemi che consentano la conservazione dei “log di accesso”, per un periodo non inferiore a 6 mesi. Con riferimento all’utilizzo di dispositivi e tecnologie per la raccolta e il trat- tamento dei dati biometrici (impronta digitale, topografia della mano) è stato chiarito che, essendo tali sistemi utilizzati per assicurare elevati livelli di sicurezza o per consentire l’utilizzo di macchinari pericolosi, si può con- siderare l’utilizzo di tali sistemi come “funzionale a rendere la prestazione lavorativa” e, pertanto, non necessitano di accordo sindacale né di proce- dimento autorizzativo.

14 ANCE - DIREZIONE RELAZIONI INDUSTRIALI
INL

Circolare n. 5/

PRIVACY. GUIDA PER LE IMPRESE^15

Nomina dei soggetti privacy

(cfr. punto 5)

16. GLI ADEMPIMENTI PER LE IMPRESE

IL TITOLARE DEL TRATTAMENTO DATI È L’IMPRESA (LEGALE RAPPRESENTANTE)

IL TITOLARE DEVE NOMINARE UN RESPONSABILE
DEL TRATTAMENTO ESTERNO

- in caso di outsourcing (es. servizi esterni di buste paga, gestione esterna del sistema informatico, gestione fatturazioni clienti da parte del commer- cialista) il responsabile esterno coincide con l’outsourcer e la nomina deve risultare dal contratto di servizi che ne individua i ruoli e le responsabilità - il responsabile svolge la valutazione del rischio sui dati connessi al con- tratto di servizi - il responsabile garantisce l’adozione di misure tecniche organizzative per garantire la sicurezza dei dati oggetto del contratto - il responsabile si occupa della tenuta del Registro dei trattamenti dei dati oggetto del contratto - il responsabile assiste il titolare nel rispetto degli obblighi del GDPR

IL TITOLARE PUÒ NOMINARE UN RESPONSABILE
DEL TRATTAMENTO INTERNO

- la nomina avviene con lettera di incarico che individua i ruoli e le respon- sabilità - il responsabile interno è un dipendente dell’impresa - svolge la valutazione del rischio - garantisce l’adozione di misure tecniche organizzative per garantire la si- curezza dei dati - si occupa della tenuta del Registro dei trattamenti - assiste il titolare nel rispetto degli obblighi del GDPR

IL TITOLARE PUÒ NOMINARE UN RESPONSABILE
PER LA PROTEZIONE DEI DATI (DPO)

- la nomina avviene con atto di designazione che individua i ruoli e le re- sponsabilità del DPO - della nomina va data comunicazione all’Autorità di controllo (Garante)

PRIVACY. GUIDA PER LE IMPRESE^17

REGISTRO DELLE ATTIVITÀ

DEL TRATTAMENTO DEI DATI PERSONALI

1

ai sensi dell’art. 30 del Nuovo regolamento UE 2016/679 relativo alla protezione

delle persone fisiche con riguardo al trattamento dei dati personali

Data ultimo aggiornamento: …..

(^1) Le indicazioni contenute nel presente documento hanno carattere esemplificativo e sono state elaborate sulla base delle indicazioni finora fornite dal GDPR e dal Garante e sulla base di quanto emerso in occasione del Gruppo di lavoro presso la Confindustria. Potranno, pertanto, essere suscettibili di modifiche e/o integrazioni a seguito degli eventuali aggiornamenti.

FAC SIMILE
18 ANCE - DIREZIONE RELAZIONI INDUSTRIALI

I SOGGETTI

Titolare del trattamento Denominazione o ragione sociale Indirizzo Telefono Indirizzo email

Contitolare del trattamento Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento accordo interno

Rappresentante del titolare del trattamento (quando il titolare non è stabilito nell’UE) Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento atto di designazione

Responsabile del trattamento (da replicare laddove sia interno e/o esterno) Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento lettera di incarico/contratto di servizi

Responsabile della protezione dati _DPO Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento eventuale contratto di servizi

Incaricati dal Titolare o dal Responsabile del trattamento (da replicare per ogni finalità del trattamento) Nome e cognome Indirizzo Telefono Indirizzo email Riferimento eventuale contratto di servizi

FAC SIMILE