SAP eXperience Day Pronti per il GDPR? - 15 febbraio 2018

GDPR: gli ultimi aggiornamenti normativi per non perdersi nel labirinto dei requisiti

Luigi Neirotti, Avvocato, CIPP/E, Digital Law & Data Protection, EY Law

Orientarsi nel “labirinto” dei requisiti

3INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

• Adottato il 27 aprile 2016

• Periodo di transizione di due anni

• Efficace a partire dal 25 maggio 2018

• A differenza di una Direttiva, non richiede

alcuna forma di legislazione applicativa

da parte degli Stati Membri. Le singole leggi

nazionali vigenti rimarranno validi nelle parti

non in contrasto con il Regolamento.

• Il Gruppo dei Garanti Ue (WP 29)

ha già approvato diverse linee guida

• Novità nell’ordinamento italiano

GDPR,

General Data Protection Regulation

Regolamento UE 2016/679

4INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Motivazioni alla base del GDPR

Risponde alle sfide poste dagli sviluppi

tecnologici e dai nuovi modelli

di crescita economica, tenendo conto

delle esigenze di tutela dei dati

personali dei cittadini UE

l Internet l Marketing virale

l Smart phones l Profilazione

l Social networks l Riconoscimento biometrico

l Direct Marketing l Big data

Il nuovo Regolamento Europeo

è un sistema di norme:

• non più limitate ai singoli Stati, ma globali

• che valorizzano i diversi aspetti del dato personale

(potere di protezione e gestione)

La proposta di un nuovo quadro giuridico

per la protezione dei dati personali

nell’Unione Europea deriva da:

• frammentazione nelle legislazioni nazionali

• evoluzione tecnologica/obsolescenza normativa

• inadeguatezza delle sanzioni

5INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Nuova classificazione dei dati personali

Conferme e novità

Dato personaleQualsiasi informazione

riguardante una persona fisica

identificata o identificabile

(«interessato»).

Si considera identificabile

la persona fisica

che può essere identificata,

direttamente

o indirettamente, con particolare

riferimento a un identificativo

come il nome,

un numero di identificazione,

dati relativi all'ubicazione,

un identificativo online

o a uno o più elementi

caratteristici della sua identità

fisica, fisiologica,

genetica, psichica,

economica, culturale

o sociale.

Dati geneticiDati personali relativi alle

caratteristiche genetiche

ereditarie o acquisite di una

persona fisica che forniscono

informazioni univoche sulla

fisiologia o sulla salute di detta

persona fisica, e che risultano in

particolare dall'analisi di un

campione biologico della

persona fisica in questione.

Categorie particolari

di dati personaliDati personali che rivelino l'origine

razziale o etnica, le opinioni

politiche, le convinzioni religiose

o filosofiche, o l'appartenenza

sindacale, nonché trattare dati

genetici, dati biometrici intesi

a identificare in modo univoco

una persona fisica, dati relativi

alla salute o alla vita sessuale

o all'orientamento sessuale.

Dati relative alla salute

Dati personali attinenti

alla salute fisica o mentale

di una persona fisica, compresa

la prestazione di servizi

di assistenza sanitaria,

che rivelano informazioni relative

al suo stato di salute.

Dati biometriciDati personali ottenuti

da un trattamento tecnico

specifico relativi

alle caratteristiche fisiche,

fisiologiche o comportamentali

di una persona fisica che ne

consentono o confermano

l'identificazione univoca,

quali l'immagine facciale

o i dati dattiloscopici.

6INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Principio base del GDPR:

“ACCOUNTABILITY”(responsabilizzazione e documentazione)

7INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Principali novità e differenze

L’impostazione del GDPR pone l’accento sulla tutela dei diritti dell’interessato, introducendo molte

novità e aggiornamenti rispetto al D.Lgs. 196/03.

General

Data

Protection

Regulation

► Titolare del trattamento

► Responsabile del trattamento

► Contitolari e Rappresentanti

► Data Protection Officer

► Data Breach Notification

► Privacy Impact Assessment

► Consultazione preventiva

► Profilazione e decisioni automatiche

► Informativa e base giuridica del trattamento

► Risk-based approach

► Privacy by design e by default

► Accesso ai dati e diritto all’oblio

► Portabilità dei dati

SANZIONI

PROCESSI RUOLI E RESPONSABILITÀ

PRINCIPI

► Sanzioni più onerose: % del fatturato

SEMPLIFICAZIONI

► Razionalizzazione obbligo di notifica

► One stop shop

► Data transfer

► Meccanismi di certificazione

8INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

I soggetti rilevanti nella disciplina del GDPR

Necessità di una “governance” Privacy

DATA PROTECTION OFFICER• Riferisce al vertice gerarchico del Titolare o del Responsabile

del trattamento

• Rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi

• Coopera con l’autorità di controllo

• Ha un ruolo di indirizzo e controllo e Fornisce consulenza al Titolare e al Responsabile

• Sorveglia l’osservanza del Regolamento

• Fornisce un parere sul Privacy Impact Assessment

RESPONSABILE DEL TRATTAMENTO

• I trattamenti del Responsabile sono disciplinati da un contratto/ altro atto giuridico

• È responsabile dell’attuazione delle misure di sicurezza

• Non ricorre ad altro Responsabile senza previa autorizzazione del Titolare

• È responsabile della compliance normativa per il trasferimento dati

TITOLARE DEL TRATTAMENTO

• Determina le finalità e i mezzi del trattamento di dati personali

• Sulla base del principio di responsabilizzazione:

o esegue i Risk Assessment e le PIA

o adotta misure appropriate per fornire all'interessato

tutte le informazioni relative al trattamento in forma

concisa, trasparente, intelligibile e facilmente accessibile

• Comunica eventuali violazioni dei dati personali

(data breach) all’Autorità nazionale di protezione dei dati

CONTITOLARI E RAPPRESENTANTI

• Possono darsi Contitolari del trattamento: due o più Titolari

se determinano congiuntamente le finalità e i mezzi

• Nel caso in cui un Titolare o un Responsabile del trattamento

di dati personali di interessati che si trovano nell’Unione,

non sia stabilito nell’UE, sarà designato per iscritto

un loro Rappresentante

9INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Linee guida adottate dal Gruppo di lavoro Art. 29

Guidelines Article 29 Working Party

Il Gruppo dei Garanti Ue (WP 29) ha approvato quattro documenti con indicazioni e raccomandazioni su importanti

novità del GDPR, in vista della sua applicazione da parte degli Stati. Le Linee guida, alla cui elaborazione il Garante

italiano ha attivamente partecipato, riguardano i seguenti temi:

13 dicembre 2016

13 dicembre 2016

13 dicembre 2016

4 aprile 2017

10INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Legge di delegazione europea 2016-2017 n. 163/2017

Delega al Governo prevede (entro sei mesi di tempo)

• Abrogazione delle disposizioni Codice Privacy incompatibili

con il GDPR

• Modifica del Codice Privacy ove necessario per dare

attuazione alle disposizioni non direttamente applicabili

del GDPR

• Coordinamento delle disposizioni vigenti con le disposizioni

recate dal GDPR

• Ove opportuno, specifici provvedimenti del Garante

Privacy nell’ambito e per le finalità previste dal Regolamento

• Adeguamento delle sanzioni amministrative e penali di cui al Codice Privacy al GDPR

Modifiche normative in corso nell’ordinamento italiano

11INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Legge europea 2017 n. 167/2017

Modifica già intervenuta nel Codice Privacy

• Modificato l’art. 29 relativo al Responsabile del trattamento,

conformandolo all’art. 28 del GDPR

• la nomina del Responsabile del trattamento deve avvenire

in forma scritta che riporti le indicazioni richieste dal GDPR

• istruzioni e ambiti precisi relativi a: finalità perseguita,

la tipologia dei dati, la durata del trattamento, gli obblighi

e i diritti del responsabile del trattamento e le modalità

di trattamento

• Previsti «schemi tipo» predisposti dal Garante

Modifiche normative in corso nell’ordinamento italiano

12INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Legge n. 205/2017 - Bilancio di previsione dello Stato 2018

• Art. 1, Comma 1022 e 1023 modifica la possibilità di ricorrere

al LEGITTIMO INTERESSE DEL TITOLARE

• Impiego di nuove tecnologie o strumenti automatizzati

• Obbligo di dare tempestiva comunicazione al Garante

del trattamento che si intende effettuare

• Utilizzando il modello di informativa predisposto dal Garante,

avendo cura di specificare l’oggetto, la finalità e il contesto

del trattamento

• Istruttoria del Garante che potrà richiedere al Titolare ulteriori

informazioni e integrazioni e potrà disporre l’inibitoria all’utilizzo dei dati

• Trascorsi quindici giorni lavorativi dall’invio dell’informativa,

in assenza di risposta da parte del Garante, si potrà procedere al trattamento

Modifiche normative in corso nell’ordinamento italiano

Cosa occorre fare entro il 25 maggio?

14INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

ADEMPIMENTI INDISPENSABILI

• Registro dei trattamenti

• Verifica Informative e consensi

• Risk Assessment

• Verifica misure di sicurezza adeguate

• Definizione Governance privacy

• Titolare

• Responsabili del trattamento

• Data Protection Officer

TO DO’s

(entro il 25 maggio 2018)

15INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

ADEMPIMENTI RICHIESTI

• Definire metodologia di Privacy Impact

Assessment

• ADOZIONE PROCEDURE

• Data breach

• Portabilità

• Diritti degli interessati

• accesso, rettifica, opposizione,

imitazione, oblio

• Data Protection Impact Assessment,

DPIA

TO DO’s

(entro il 25 maggio 2018)

Luigi NeirottiAvvocato, Senior Legal Counsel, CIPP/E

EY Law Italy

luigi.neirotti@it.ey.com

+39 335 7361483

EY LAW ITALY

WINNER 2018

Data Privacy Law

Law Firm of the Year in Italy

17INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

The information in this presentation is confidential and proprietary to SAP and may not be disclosed without the permission of SAP. This presentation is not subject to your license

agreement or any other service or subscription agreement with SAP. SAP has no obligation to pursue any course of business outlined in this document or any related presentation,

or to develop or release any functionality mentioned therein. This document, or any related presentation and SAP's strategy and possible future developments, products and/or

platforms directions and functionality are all subject to change and may be changed by SAP at any time for any reason without notice. The information on this document is not a

commitment, promise or legal obligation to deliver any material, code or functionality. This document is provided without a warranty of any kind, either express or implied, including

but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or noninfringement. This document is for informational purposes and may not be

incorporated into a contract. SAP assumes no responsibility for errors or omissions in this document, and shall have no liability for damages of any kind including without limitation

direct, special, indirect, or consequential damages that may result from the use of this document. This limitation shall not apply in cases of intent or gross negligence.

All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place

undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.

NOTE: The information contained in this presentation is for general guidance only and provided on the

understanding that SAP is not herein engaged in rendering legal advice. As such, it should not be used as a

substitute for legal consultation. SAP SE accepts no liability for any actions taken as response hereto.

It is the customer’s responsibility to adopt measures that the customer deems appropriate to achieve GDPR

compliance.

Legal Disclaimer

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company.

The information contained herein may be changed without prior notice. Some software products marketed by SAP SE and its distributors contain proprietary software components

of other software vendors. National product specifications may vary.

These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP or its affiliated

companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP or SAP affiliate company products and services are those that are

set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty.

In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release

any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products,

and/or platforms, directions, and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The

information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks

and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, and

they should not be relied upon in making purchasing decisions.

SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company)

in Germany and other countries. All other product and service names mentioned are the trademarks of their respective companies.

See www.sap.com/corporate-en/legal/copyright/index.epx for additional trademark information and notices.

© 2018 SAP SE or an SAP affiliate company. All rights reserved.