00:00:00
ge di pr ok lo so sono ormai quattro anni
che è entrata in vigore ma è un tema attuale
00:00:05
siccome non ho ancora visto un video che mi
convinca sul tema ho deciso di darmi da fare
00:00:08
non riuscirò a spiegarvi tutto ma cercherò
di riassumervi in sei punti fondamentali
00:00:13
il contenuto di questa normativa prima di
iniziare però lascia un light supporto e
00:00:17
iscriviti al canale per rimanere aggiornato su
tutti i contenuti e le novità che pubblicherò
00:00:22
il dpr che vuol dire genera data protection
regulation ormai lo sa anche il mio gatto
00:00:35
questo è il regolamento dell'unione europea
numero 679 del 2016 ed è entrato in vigore
00:00:42
il 25 maggio 2018 premessa importante il gdp r
è un regolamento comunitario questo vuol dire
00:00:49
che è una norma immediatamente applicabile su
tutto il territorio dell'unione europea quindi
00:00:54
si italia francia spagna germania eccetera tutti
applicano il gdp r e la normativa che c'era prima
00:01:00
che fine ha fatto prima del gp r chair in italia
il decreto legislativo 196 2003 meglio noto come
00:01:07
codice privacy che ne è stato di lui il codice
privacy non è stato completamente abrogato c'è
00:01:13
ancora cioè non è che arrivato il gdp r splendido
e il vecchio codice privacy lo hanno mandato in
00:01:18
pensione con un calcione che è successo questo
con un altro decreto il decreto legislativo 101
00:01:24
2018 è stato armonizzato il codice privacy con
il nuovo gt r significa che è stato fatto un bel
00:01:31
rattoppa stile arlecchino e da un lato sono
stati abrogati dal codice privacy tutta una
00:01:37
serie di articoli che non servivano più perché
riguardavano questioni disciplinate dal nuovo e
00:01:42
sfavillante di dpr dall'altro lato sono rimaste
oppure sono state introdotte nel vecchio codice
00:01:49
una serie di norme che l'unione europea aveva
lasciato alla discrezionalità dei singoli stati
00:01:54
membri ha detto fate un po come vi pare no è
chiarito il quadro normativo proviamo a vedere
00:01:59
gli elementi fondamentali di questa normativa non
farò un'analisi comparativa tra come era prima e
00:02:04
dopo l'entrata in vigore del dpr cercherò di
fare un focus su come stanno le cose ora che
00:02:10
tanto ormai il passato è passato votiamo solo
alle spalle punto primo quando un trattamento è
00:02:16
lecito il gdp rc dice che un trattamento è lecito
quando esiste una delle basi giuridiche che vuol
00:02:23
dire una delle condizioni indicate dall'articolo
6 vediamo quali sono a il trattamento è lecito
00:02:29
quando io ho tratto il dato perché l'interessato
mi ha espresso il consenso a trattarlo per una o
00:02:34
più specifiche finalità ad esempio ha fregato
sulla casella e ha detto si tratta i miei dati
00:02:40
per mandarmi la newsletter il catalogo prodotti
informativi e promozionali per fare statistiche
00:02:45
ok è importante il titolare deve dirmi quali sono
le finalità specifiche non è che può farti barrare
00:02:52
una casella autorizzo il trattamento dei miei dati
per qualsiasi cosa e ciao ok b il trattamento è
00:02:58
lesto quando io tratto il dato perché quel
trattamento è necessario all'esecuzione
00:03:03
di un contratto di cui l'interessato è parte
esempio ti do il mio diritto di casa se no non
00:03:09
mi riesce a spedire l'asciugacapelli che mi sono
appena comprato online c il trattamento è lecito
00:03:14
quando io tratto il dato perché quel trattamento
è necessario per adempiere a un obbligo di legge
00:03:21
al quale è soggetto il titolare del trattamento
ad esempio né dai tuoi dati fiscali se no io non
00:03:27
ti possa emettere fattura come sai io per legge
la fattura tela deve mettere di il trattamento
00:03:34
e l'esito quando io ho tratto il dato perché è
necessario per salvaguardare gli interessi vitali
00:03:39
dell'interessato ad esempio mi dici il tuo gruppo
sanguigno sennò l'emotrasfusione della faccia
00:03:45
e muore dissanguato e il trattamento è lecito
quando io tratto il dato perché il trattamento
00:03:50
è necessario per l'esecuzione di un compito di
interesse pubblico ho commesso l'esercizio di
00:03:57
pubblici poteri di cui il titolare è investito
esempio le scuole pubbliche trattano i dati
00:04:03
degli studenti per fornire istruzione pubblica
f il trattamento è lecito quando io ho tratto
00:04:09
il dato perché il trattamento è necessario per
il perseguimento di un legittimo interesse del
00:04:15
titolare del trattamento o anche di terzi cosa
vuol dire ad esempio sono titolare video sorvegli
00:04:21
il parcheggio del mio supermercato per tutelarmi
da atti vandalici o furti o un legittimo interesse
00:04:26
no ovviamente quella norma impone di fare un
bilanciamento tra legittimo interesse titolare su
00:04:33
una parte e quello dell'interessato che non siano
lesi i suoi diritti e le sue libertà fondamentali
00:04:39
precisazione importante per fare chiarezza su
un aspetto che genera ancora molti dubbi abbiamo
00:04:45
capito che non è che se tratto dato serve sempre
il consenso a tutti fan firmare consensi no il
00:04:51
consenso è solo una delle basi giuridiche del
trattamento ce ne sono almeno altre cinque in
00:04:55
cui dati vengono trattati senza che nessuno freghi
nulla se l'interessato era d'accordo meno ha dato
00:05:00
il consenso ok importante se la base giuridica
del trattamento è il consenso questo deve essere
00:05:07
in tutti i casi libero specifico informato e
inequivocabile e non è ammesso il consenso tacito
00:05:16
presunto quindi no le famose caselle 3 spuntate
su un modulo in cui praticamente tu dici o sì o
00:05:21
si punta due le principali figure in gioco nel
trattamento dei dati allora questo è la bici 6
00:05:28
capite queste netta del gioco è fatto interessato
è lo sfigato di cui andiamo a trattare i dati da
00:05:34
una persona fisica nel senso che a gigi pr non
gliene frega niente perché non rientra nel suo
00:05:39
campo di applicazione di quello che noi facciamo
con i dati delle persone giuridiche seconda figura
00:05:43
titolare del trattamento è l'entità quindi una
persona fisica una persona giuridica pubblica
00:05:49
privata uscita quello che volete che determina
i mezzi e le finalità del trattamento questo è
00:05:55
fondamentale in sostanza il titolare colui che
decide come trattare i dati ea quale scopo ad
00:06:00
esempio io decido che raccolgo i dati li metto
in un database on line e li uso per finalità di
00:06:05
marketing in viola newsletter io sono il titolare
un'altra figura e quella del responsabile del
00:06:11
trattamento colui che tratta i dati per conto
del titolare per esempio sono un'agenzia di
00:06:17
comunicazione che ti segue il marketing tool
titolare di cm responsabile raccoglie i dati
00:06:22
dei miei clienti e usa lì per fare la pubblicità e
vendere i miei prodotti se ti dico così non è che
00:06:28
poi tu agenzia di marketing puoi prendere con gli
stessi dati iniziare a chiedere i miei clienti se
00:06:32
vogliono comprare il tuo servizio non è che decidi
tu le finalità le decido io che sono titolare il
00:06:38
responsabile fa quello che dice il titolare perché
tratta i dati per suo conto altra figura con
00:06:44
titolare del trattamento è colui che è titolare
il trattamento congiuntamente ad un altro titolare
00:06:51
quindi sono in due che determinano che cosa
mezzi e finalità del trattamento ad esempio due
00:06:57
società operano negli stessi spazi condividono il
medesimo impianto di videosorveglianza trattandone
00:07:02
congiuntamente i dati raccolti cioè entrambi
possono utilizzare le immagini video riprese ok 5
00:07:08
incaricato del trattamento colui che agisce sotto
l'autorità del titolare del trattamento o del
00:07:15
responsabile del trattamento esempio il dipendente
dell'ufficio risorse umane che tratta tutti i
00:07:21
giorni i dati di tutti i dipendenti dell'azienda
sotto l'autorità dell'azienda in questione ok
00:07:26
un'altra figura è quello del responsabile della
protezione dei dati detto anche rdp o di più e
00:07:33
di più sono responsabili del monitoraggio della
conformità dell'organizzazione in cui operano
00:07:39
che in sostanza danno consigli e linee guida
relative agli obblighi di protezione dei dati
00:07:45
e svolgono anche un ruolo di punto di contatto con
il garante punto 3 l'informativa l'informativa è
00:07:53
una comunicazione quindi un foglio una mail una
pagina web un po papa anche una comunicazione
00:07:58
verbale rivolta all'interessato che ha lo scopo
di informare appunto l'interessato stesso sulle
00:08:05
finalità e modalità dei trattamenti che fa il
titolare con quella il titolare dice grosso modo
00:08:11
all'interessato guarda tratto questi tuoi dati con
queste finalità e questi sono i tuoi diritti ok se
00:08:19
il titolare fornisce l'informativa e soprattutto
se lo fa per iscritto riesce a provare che
00:08:24
assicura trasparenza e correttezza nei trattamenti
fin da quando ha progettato il singolo trattamento
00:08:29
l'informativa anche lo scopo di permettere che
l'interessato possa rendere un valido consenso
00:08:36
se quel consenso è richiesto come base giuridica
del trattamento in questo caso l'informativa non è
00:08:42
solo dovuta in base al principio di trasparenza
e correttezza ma è anche una condizione di
00:08:47
legittimità del trattamento senza quel trattamento
sarebbe illecito e quindi sanzionabile ok
00:08:53
cerchiamo di capire bene questa cosa perché è un
aspetto su cui vedo che c'è un sacco di confusione
00:08:58
se io tratto il dato su una base giuridica
diversa del consenso che so per esempio perché
00:09:05
ho un legittimo interesse o me lo impone una norma
ti informo preferibilmente per iscritto sennò poi
00:09:11
diventa difficile provare all'autorità che ti
ho informato quello informativa non avrà sotto
00:09:16
uno spazio in cui firmi e mi scrivi ho lasciato
il consenso perché non serve tuo consenso come
00:09:22
base giuridica se invece io tratto il dato sulla
base del tuo consenso prima ti informo e poi mi
00:09:29
contro film di informativa manifestandomi il tuo
consenso se non me lo manifesti capisci che il
00:09:34
mio trattamento sarà illegittimo quando è dovuta
l'informativa ogni qualvolta vi sia un trattamento
00:09:38
di dati l'obbligo di informare gli interessati
va adempiuto prima o al massimo al momento di
00:09:45
dare avvio alla raccolta dei dati l'informativa
non serve però in una serie di casi come nel
00:09:50
caso in cui trattamento riguardi dati anonimi
o dati di enti o persone giuridiche liquidati
00:09:56
come abbiamo già visto non sono oggetto di tutela
di questo regolamento non è necessario neanche se
00:10:01
dati vengono trattati solo a scopi personali e
domestici il contenuto minimo dell'informativa
00:10:07
l'informativa deve avere un contenuto che potete
trovare agli articoli 13 e 14 del dpr deve per
00:10:13
esempio indicare le categorie di dati trattati
la finalità del trattamento la base giuridica del
00:10:19
trattamento la natura obbligatoria o facoltativa
del conferimento dei dati e le conseguenze nel
00:10:25
caso in cui uno non ti dia i suoi dati quali sono
le modalità dell'informativa allora l'informativa
00:10:31
deve essere concisa chiara facilmente accessibile
e comprensibile per l'interessato deve usare se
00:10:37
possibili immagini icone insomma stupenda
tanto poi comunque nessuno se la leggera
00:10:41
e tutti continua fa la scritta fitta diciamoci
la verità l'informativa può essere data anche
00:10:47
oralmente però è chiaro che è meglio fornirla
in forma scritta perché sennò come fai a provare
00:10:52
l'esistenza come fai a mostrarla all'autorità di
vigilanza perché te la verifica della racconti
00:10:57
no no della racconti punto 4 diritti degli
interessati i gd prc dice quali sono i diritti
00:11:03
degli interessati in relazione i loro dati cerco
di fare una carrellata così almeno capite di cosa
00:11:08
stiamo parlando primo il famoso diritto di accesso
significa il diritto di sapere e ricevere una
00:11:14
copia dei dati personali oggetto di trattamento
secondo il diritto di rettifica significa che se
00:11:19
ai miei dati errati li devi correggere terzo
diritto di cancellazione o diritto all'oblio
00:11:24
in tutta una serie di ipotesi se te lo chiedo devi
cancellare i miei dati diritto di cancellazione ma
00:11:29
non solo se hai reso pubblici certi miei dati per
esempio nei pubblicati su internet ti devi anche
00:11:34
smazzare informare gli altri titolari che trattano
quei miei dati perché lì cancellino anche loro in
00:11:40
questo si sostanzia questo nuovo diritto all'oblio
di cui forse avrete sentito parlare quarto diritto
00:11:46
alla limitazione del trattamento consiste appunto
nel vedere ridotta l'ampiezza del trattamento dei
00:11:52
dati in certe circostanze ad esempio ti contesto
l'esattezza dei dati trattati nel tempo che ti
00:11:58
serve per correggere i miei dati con l'unico
trattamento che puoi fare è la conservazione
00:12:03
ok quindi reduci 5 diritto alla portabilità dei
dati il titolare deve garantire che può trasferire
00:12:11
direttamente i dati portabili ad un altro titolare
indicato dall interessato qualora ciò ovviamente
00:12:16
sia tecnicamente possibile focus vediamo alcune
regole fondamentali in merito all'esercizio dei
00:12:23
diritti da parte dell'interessato prima termine
per la risposta il titolare deve dare un riscontro
00:12:28
all'interessato entro un mese dalla richiesta
anche in caso di nego riscontano interessato di
00:12:34
regola deve avvenire in forma scritta di regola
la risposta fornita all'interessato deve essere
00:12:39
concisa trasparente facilmente accessibile deve
utilizzare un linguaggio semplice e chiaro ok
00:12:46
per quanto riguarda le misure per agevolare gli
esercizi diritti ricordiamo che il titolare del
00:12:51
trattamento deve agevolare l'esercizio dei
diritti da parte dell'interessato adottare
00:12:56
ogni misura tecnica e organizzativa a questo scopo
cioè in questo vuol dire che cercare ed esercitare
00:13:03
i propri diritti non deve essere come andare nel
labirinto del minotauro altro punto gratuita per
00:13:09
l'esercizio dei diritti l'esercizio dei diritti
è in linea di principio gratuito per interessato
00:13:14
anche se vi segnalo già che possono esserci delle
eccezioni 5 il principio di accountability ne
00:13:21
avrete sentito parlare questo termine inglese
significa responsabilizzazione in altri termini
00:13:26
cambia completamente la prospettiva rispetto al
vecchio codice privacy non si dice più al titolare
00:13:31
tutto ciò che deve fare per essere compliant
conforme alla normativa si fa un discorso
00:13:37
diverso e gli si dice che è lui che deve adottare
i comportamenti proattivi e tali da dimostrare la
00:13:43
completa adozione di misure finalizzate ad
assicurare l'applicazione del regolamento in
00:13:49
parole povere è il titolare che deve decidere
autonomamente le modalità le garanzie e i
00:13:56
limiti del trattamento di dati personali
nel rispetto delle disposizioni normative
00:14:00
e anche alla luce di alcuni criteri specifici
indicati nel regolamento ora ne vediamo un paio
00:14:07
di questi criteri il primo è sintetizzato dalla
espressione inglese data protection by default
00:14:13
and by design ossia il titolare deve configurare
il trattamento prevedendo fin dall'inizio le
00:14:20
garanzie indispensabili al fine di soddisfare i
requisiti del regolamento e tutelare i diritti
00:14:25
degli interessati cioè non è che imposta la sua
attività dicendo beh intanto io raccolgo tutti i
00:14:32
dati che penso mi possono servire magari anche
qualcuno in più poi non si sa mai vediamo cosa
00:14:37
tengo no lui deve tenere conto del contesto
complessivo in cui si colloca il trattamento e
00:14:44
valutare i rischi per i diritti e le libertà degli
interessati e determinarsi in base a questa sua
00:14:49
valutazione tutto questo deve avvenire a monte
cioè prima di procedere al trattamento dei dati
00:14:56
pertanto un'analisi preventiva da parte titolare
è doverosa e deve anche essere dimostrabile il
00:15:03
secondo criterio un approccio basato sul rischio
cosa vuol dire il titolare deve analizzare gli
00:15:09
impatti negativi sulla libertà ei diritti degli
interessati attraverso un apposito processo di
00:15:15
valutazione è la cosiddetta valutazione di impatto
dpa di cui all'articolo 35 che cosa vuol dire in
00:15:22
pratica vuol dire che devi valutare che impatti
avrebbe l'eventuale perdita del dato ad esempio
00:15:28
che impatto avrebbe la sua diffusione o la sua
distruzione sui diritti dell'interessato come
00:15:33
inciderebbe sul suo diritto alla riservatezza per
esempio o all'immagine e alla reputazione che che
00:15:39
impatto ha nel fare queste valutazioni devi tenere
conto che misure tecniche adottato ad esempio che
00:15:46
misure antintrusione altro sistema il backup
lo fai se si quanti il tuo dato è anonimizzato
00:15:53
il dato lo conserva il territorio comunitario o
extra ue sulla base di tutti questi elementi fai
00:16:00
la tua valutazione e agisci di conseguenza
punto 6 chiudiamo la carrellata segnalando
00:16:07
alcune novità degne di nota un'importante novità
è proprio conseguenza di questo approccio basato
00:16:13
sul rischio che abbiamo visto ed è data dal fatto
che non c'è più una lista di misure di sicurezza
00:16:19
minime per il titolare che questo deve adottare
per considerarsi a posto come accadeva nel vecchio
00:16:24
codice privacy il gdp r si limita a dare un elenco
aperto ma dice che il titolare che deve adottare
00:16:31
le misure idonee a garantire un livello di
sicurezza adeguato al rischio va da sé che
00:16:36
quindi non ci sono delle misure standard uguali
per tutti perché questa valutazione è rimessa a
00:16:41
caso per caso al titolare e al responsabile
il trattamento anche in relazione ai rischi
00:16:47
specificamente individuati per quel caso altra
importante novità a partire dal 25 maggio 2000
00:16:54
18 tutti i titolari dovranno notificare
all'autorità di controllo le relazioni dei
00:16:59
dati personali di cui vengono a conoscenza entro
72 ore o si dice comunque senza ingiustificato
00:17:05
ritardo questo quando quando ritengono probabile
che da quella dell'azione derivi nord rischi per
00:17:11
i diritti e le libertà degli interessati chi fa
questa valutazione sempre titolare peraltro se
00:17:17
dalla valutazione emerge il rischio dei diritti
e le libertà dell'interessato come il rischio
00:17:23
elevato si dovrà informare della relazione pur
l'interessato stesso e ancora di tutti questi
00:17:29
data breach e o delle eventuali segnalazioni
o della scelta di non fare le segnalazioni il
00:17:33
titolare deve pure tenere traccia in un registro
altre novità il responsabile della protezione dei
00:17:38
dati rdp o anche di più è una figura nuova cosa
fa in parole povere a un doppio ruolo consiglia
00:17:46
e sorveglia ma funge anche da tramite fra il
titolare e l'autorità di controllo questa figura
00:17:52
riflette questo approccio responsabilizzante del
regolamento dovrebbe cioè facilitarne l'attuazione
00:17:58
sarà vero ma vedremo chi vivrà vedrà la sua
designazione è obbligatoria però solo in alcuni
00:18:04
casi sono quei casi di trattamenti più delicati
e impattanti come ad esempio il trattamento dei
00:18:09
dati degli interessati in maniera sistematica
o su larga scala e gli altri casi che ci indica
00:18:14
l'articolo 37 del dpr ci sarebbe molto altro da
dire ma credo che questi sei punti sono comunque
00:18:20
utili per dare una visione completa del del
tema se vuoi scoprire di più sul metodo studiare
00:18:26
diritto facile io ti invito a scaricare l'ebook
studiare diritto è impossibile se non sai come
00:18:30
farlo lascio qui il link nei commenti se vuoi
che approfondisca qualche tematica particolare
00:18:35
sul dpr lasciami le tue richieste nei commenti
ricordati di mettere un like se ti è piaciuto
00:18:40
questo video e seguirmi per rimanere aggiornato su
tutte le novità e le pubblicazioni che farò ciao
