Lezione 8: Applicazione GDPR e trattamento dati personali

Lezione 8: Applicazione GDPR

Prof. VINCENZO TOMASELLO Palermo, 13 marzo 2025

IBER LUMSA UNIVERSITÀ Datyca® LEGAL DESIGN LAB UNTA MARIA IN FIDE ITATEA QUALI ORGANIZZAZIONI (STABILITE DOVE) SI APPLICA IL GDPR

Datyca® LEGAL DESIGN LABA CHI SI APPLICA IL GDPR

„Reykjavik Islanda Finlandia Norvegia Helsinki. „Oslo Svezia Stoccolma. Tallinn Estonia Regno Unito . Dublino Lituania Vilnius Paesi Bassi Amsterdam Berlino. Varsavia Belgio Bruxelles Germania Polonia Lussemburgo "Lussemburgo Praga Cechia Slovacchia Vienna" Francia .Berna Svizzera Austria Budapest Ungheria Slovenia Lubiana . Zagabria Croazia Romania Portogallo Bosnia- Belgrado Erzegovina Serbia Sarajevo Lisbona Italia .Roma Montenegro Podgorica" Spagna .Skopje Macedonia del Nord Tirana. Albania® Grecia Atene La Valletta Malta" SICURAMENTE IL GDPR SI APPLICA A TUTTE LE ORGANIZZAZIONI STABILITE NELL'UNIONE EUROPEA

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMAN Danimarca Copenaghen Irlanda Londra Parigi Bratislava „Bucarest .Madrid Pristina · Kosovo Bulgaria Sofia Cipro ·Nicosia Lettonia Riga

Applicabilità GDPR a Imprese Extra UE

APPLICABILITÀ ANCHE A IMPRESE EXTRA UE

IL GDPR È APPLICABILE ANCHE AD AZIENDE EXTRA UE AD ES. GRANDI IMPRESE USA LEADER NEL MERCATO DIGITALE E DEI SOCIAL MEDIA SE TRATTANO DATI DI PERSONE CHE SI TROVANO NELL'UE

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMANA

Ambito di Applicazione Territoriale del GDPR

Ambito di Applicazione Territoriale del GDPR 1

AMBITO DI APPLICAZIONE TERRITORIALE DEL GDPR 1 TRATTAMENTO DEI DATI PERSONALI EFFETTUATO NELL'AMBITO DELLE ATTIVITÀ DI UNO STABILIMENTO DA PARTE DI UN TITOLARE DEL TRATTAMENTO O DI UN RESPONSABILE DEL TRATTAMENTO NELL'UNIONE EUROPEA INDIPENDENTEMENTE DAL FATTO CHE IL TRATTAMENTO SIA EFFETTUATO O MENO NELL'UNIONE EUROPEA

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ ET ET HUMANA

Ambito di Applicazione Territoriale del GDPR 2

AMBITO DI APPLICAZIONE TERRITORIALE DEL GDPR 2 TRATTAMENTO DI DATI PERSONALI DI INTERESSATI CHE SI TROVANO NELL'UNIONE ANCHE SE EFFETTUATO DA UN TITOLARE/RESPONSABILE CHE NON È STABILITO NELL'UNIONE, QUANDO LE ATTIVITÀ DI TRATTAMENTO RIGUARDANO

• OFFERTA DI BENI O SERVIZI AI SUDDETTI INTERESSATI NELL'UNIONE EUROPEA
• IL MONITORAGGIO DEL LORO COMPORTAMENTO NELLA MISURA IN CUI TALE COMPORTAMENTO HA LUOGO ALL'INTERNO DELL'UNIONE EUROPEA

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ FUT ET HUMANA

Trasferimento Dati Personali Extra UE

IL TRASFERIMENTO DEI DATI PERSONALI EXTRA UE

Datyca® LEGAL DESIGN LABTRASFERIMENTO EXTRA UE

Principi di Trasferimento Dati

TRASFERIMENTO INTRA UE VALE IL FREE FLOW PRINCIPLE (LIBERA CIRCOLAZIONE DEI DATI PERSONALI) SI APPLICA IN TOTO LA NORMATIVA EUROPEA A PROTEZIONE DEI DATI PERSONALI

1 BISOGNA ASSICURARE CHE IL LIVELLO DI PROTEZIONE DELLE PERSONE GARANTITO DELLA NORMATIVA UE A PROTEZIONE DEI DATI PERSONALI NON SIA PREGIUDICATO CONTROLLED FLOW O REGULATED FLOW PRINCIPLE

TRASFERIMENTO EXTRA UE

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ ET HUMANIA

Esempi di Trasferimento Extra UE

ALCUNI ESEMPI DI TRASFERIMENTO EXTRA UE

• MERO ACCESSO AL CRM DA PARTE DI UN FORNITORE DI SERVIZI DI ASSISTENZA IT COLLOCATO IN INDIA CHE ASSICURA LA MANUTENZIONE DEL SOFTWARE
• CON POSSIBILITÀ, ANCHE SOLO TEORICA, DEL FORNITORE DI ACCEDERE AI RECORD DEI DATI PERSONALI IVI CONTENUTI
• UTILIZZO DI UNA PIATTAFORMA IN CLOUD CHE HA I SUOI DATA CENTRE IN EUROPA
• MA ANCHE NEGLI USA E/O IN CINA E/O A SINGAPORE

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ MARIA EN ET HUMANA

Trasferimento Dati con Decisione della Commissione UE

OK SE C'È DECISIONE DELLA COMMISSIONE UE

SE LA COMMISSIONE UE HA ANALIZZATO LA LEGGE PRIVACY DEL SINGOLO PAESE EXTRA UE DESTINATARIO DEI DATI E L'HA RITENUTA ADEGUATA (ES. SVIZZERA, ISRAELE, CANADA)

OK TRASFERIMENTO EXTRA UE IL TITOLARE NON DEVE FARE NULLA

OK TRASFERIMENTO EXTRA UE IL TITOLARE NON DEVE FARE NULLA.

OK TRASFERIMENTO EXTRA UE IL TITOLARE NON DEVE FARE NULLA.

OK TRASFERIMENTO EXTRA UE IL TITOLARE NON DEVE FARE NULLA

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ ET HUMANIA

Binding Corporate Rules (BCRs)

OK SE CI SONO BINDING CORPORATE RULES (BCRS

SE UN GRUPPO MULTI- NAZIONALE HA ADOTTATO UNA POLICY CON FORTI REGOLE PRIVACY CHE VINCOLANO TUTTE LE SOCIETÀ DI QUEL GRUPPO PER I FLUSSI DI DATI INFRA- GRUPPO

OK TRASFERIMENTO EXTRA UE SE APPROVATE ALL'AUTORITÀ DI CONTROLLO PRIVACY DI UNO DEI PAESI UE (IN ITALIA, IL GARANTE PRIVACY)

N.B. L'APPROVAZIONE È L'ESITO FAVOREVOLE DI UN PROCEDIMENTO AD HOC CHE VA AVVIATO DALLA MULTINAZIONALE CHE LE ADOTTA

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMANA

TIA e Standard Contractual Clauses (SCC)

OK SE SI FA UN TIA E SE SI FIRMANO LE SCC

01 ESIGENZA DI TRASFERIRE DATI PERSONALI EXTRA UE QUANDO UN TITOLARE VUOLE TRASFERIRE DEI DATI PERSONALI IN UN PAESE EXTRA UE PER IL QUALE NON C'È UNA DECISIONE DI ADEGUATEZZA E PER CUI NON POTREBBERO ESSERCI BCR ...

02 TRANSFER IMPACT ASSESSMENT (TIA) .. QUEL TITOLARE DEVE VERIFICARE IL LIVELLO DI SICUREZZA DEL TRASFERIMENTO, TENENDO CONTO DEI RISCHI AD ESSO CONNESSI, DELLE LEGGI DEL PAESE DESTINATARIO E DELLE MISURE DI SICUREZZA

03 STANDARD CONTRACTUAL CLAUSES (SCC) .. QUEL TITOLARE DEVE CHIEDERE AL DESTINATARIO DI SOTTOSCRIVERE LE SCC (CONTRATTI STANDARD DEFINITI DALLA COMMISSIONE UE) CON IMPEGNI A CARICO DEL DESTINATARIO DEI DATI

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMANA

Cosa sono le Standard Contractual Clause (SCC)

COSA SONO LE STANDARD CONTRACTUAL CLAUSE (SCC)

TESTO CONTRATTUALE PREDETERMINATO DA INTEGRARE CON ALLEGATI DESCRITTI DELLO SPECIFICO TRATTAMENTO IN CUI IL TRASFERIMENTO SI VERIFICA INSERIBILE IN CONTRATTO PIÙ AMPIO O INTEGRABILE DALLE PARTI CONTRATTUALI CON PREVISIONI RAFFORZATIVE, MA NON CONTRADDITTORIE, DELLE SCC CONTENENTE IMPEGNO DELL'IMPORTATORE A GARANTIRE UN CERTO LIVELLO DI PROTEZIONE DEI DATI PERSONALI

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ FOT ET HUMANA

Cosa Ricordare delle SCC

COSA RICORDARE DELLE SCC

• CI SONO QUATTRO MODELLI DI SCC: DA TITOLARE A TITOLARE, DA TITOLARE A RESPONSABILE, DA RESPONSABILE AD ALTRO RESPONSABILE E DA RESPONSABILE A TITOLARE
• È FACOLTÀ DEI TITOLARI SCEGLIERE LE TIPOLOGIE DI CLAUSOLE DA ADOTTARE, MA NON È AMMESSO COMBINARE SINGOLE CLAUSOLE APPARTENENTI A DIVERSI MODELLI
• LE CLAUSOLE CONTRATTUALI NON POSSONO ESSERE MODIFICATE
• LE CLAUSOLE CONTRATTUALI POSSONO ESSERE AGGIUNTE A CONTRATTI CON CONTENUTO PIÙ ESTESO, SALVO CHE I CONTENUTI SIANO INCOMPATIBILI CON LE CLAUSOLE TIPO
• LA LORO ADOZIONE NON RICHIEDE ULTERIORI AUTORIZZAZIONI (= COSTITUISCE DI PER SÉ MISURA ADEGUATA)

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ MARIA ES ET HUMANA

Trasferimento Dati verso gli USA

IL TRASFERIMENTO VERSO GLI USA

NEL 2020, UNA SENTENZA DELLA CORTE DI GIUSTIZIA UE AVEVA RITENUTO NON ADEGUATA LA LEGISLAZIONE DEGLI USA, PERCHÉ PERMETTEVA ALL'INTELLIGENCE DI ACCEDERE SENZA LIMITI / GARANZIE PER GLI UTENTI AI DATI PER ESIGENZE DI SICUREZA NAZIONALE, SPECIALMENTE QUELLI ARCHIVIATI DALLE BIG TECH

NEL 2022, IL PRESIDENTE DEGLI USA BIDEN HA VARATO UN ORDINE ESECUTIVO CON ALCUNI CONFINI AGLI ACCESSI DELL'INTELLIGENCE E A PERMETTERE, ALLE IMPRESE CHE HANNO RELAZIONI COMMERCIALI CON FLUSSI DI DATI PERSONALI CON IMPRESE UE, DI ADEGUARSI SU BASE VOLONTARIA ALLE NORME PRIVACY UE

IL 10 LUGLIO 2023, LA COMMISSIONE UE HA DICHIARATO ADEGUATO L'ACCORDO PRESO CON GLI USA (DATA PRIVACY FRAMEWORK)

LE AZIENDE USA CHE LO DESIDERANO POSSONO LE ADERIRE AL DATA PRIVACY FRAMEWORK. SE LO FANNO, SI IMPEGNANO A RISPETTARE OBBLIGHI PRIVACY EUROPEI E SOGGIACCIONO AI POTERI DI INDAGINE E COERCITIVI DELLA FEDERAL TRADE COMMISSION (FTC)

SE UN TITOLARE O UN RESPONSABILE EUROPEI TRASFERISCONO DATI PERSONALI VERSO UN'IMPRESA USA ADERENTE AL DATA PRIVACY FRAMEWORK (ELENCO CONTINUAMENTE AGGIORNATO QUI https://www.dataprivacyframework.gov/s/) NON DEVONO FARE NIENTE DI DIVERSO DA CIÒ CHE FAREBBERO TRASFERENDO DATI A UN TITOLARE O A UN RESPONSABILE STABILITI NELLA UE

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ MARIA HEY ET HUMANA

Adempimenti del Titolare verso gli Interessati

GLI ADEMPIMENTI DEL TITOLARE VERSO GLI INTERESSATI

Datyca® LEGAL DESIGN LABL'INFORMATIVA: MODALITÀ DI RILASCIO

Modalità di Rilascio dell'Informativa

AL MOMENTO DELLA RACCOLTA DEI DATI, IL TITOLARE DEVE CHIARIRE ALL'INTERESSATO COSA INTENDE FARE DEI DATI E COME LI PROTEGGERÀ CON L'INFORMATIVA

A VOCE IN FORMA SCRITTA LETTA O SPIEGATA DA UN INCARICATO, REGISTRATA IN UNA SEGRETERIA, ECC. È LA SOLUZIONE PIÙ DIFFUSA VANTAGGIO: NE RIMANE TRACCIA SCRITTA

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ

Contenuto dell'Informativa Privacy

CONTENUTO DELL'INFORMATIVA

FINALITÀ DEL TRATTAMENTO

BASE GIURIDICA DEL TRATTAMENTO

TEMPI DI CONSERVAZIONE DEI DATI

AMBITO DI CIRCOLAZIONE DEI DATI

L'INFORMATIVA PRIVACY SERVE A CHIARIRE ALL'INTERESSATO

FACOLTATIVITÀ O MENO DEL CONFERIMENTO DEI DATI

TITOLARE DEL TRATTAMENTO

DIRITTI DELL'INTERESSATO E DATI DI RECAPITO DEL DPO

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMANA

Informativa sulla Profilazione

LA PARTE DELL'INFORMATIVA SULLA PROFILAZIONE

PROCESSO DECISIONALE AUTOMATIZZATO, COMPRESA LA PROFILAZIONE

IL TITOLARE FORNISCE INFORMAZIONI SU

LOGICA UTILIZZATA

CONSEGUENZE DEL TRATTAMENTO

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ FOT ET HUMANA

Basi Giuridiche del Trattamento

LE POSSIBILI BASI GIURIDICHE DEL TRATTAMENTO

BASE GIURIDICA TITOLO IN BASE AL QUALE UN TITOLARE PUO TRATTARE I DATI PERSONALI. IN ASSENZA IL TRATTAMENTO È ILLEGITTIMO!

LE BASI GIURIDICHE, ALTERNATIVE FRA LORO (CHE SECONDO IL GDPR PERMETTONO DI TRATTARE DATI PERSONALI) SONO

LEGGE

CONTRATTO CON L'INTERESSATO

CONSENSO

LEGITTIMO INTERESSE DEL TITOLARE

INTERESSE VITALE DELL'INTERES- SATO O DI UN TERZO

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ ES ET HUMANA

Decisioni Automatizzate

NO A DECISIONI AUTOMATIZZATE

L'INTERESSATO HA IL DIRITTO DI NON ESSERE SOTTOPOSTO A UNA DECISIONE BASATA UNICAMENTE SUL TRATTAMENTO AUTOMATIZZATO, COMPRESA LA PROFILAZIONE, CHE PRODUCA EFFETTI GIURIDICI CHE LO RIGUARDANO O CHE INCIDA SIGNIFICATIVAMENTE SULLA SUA PERSONA. AFFINCHÈ QUESTO VENGA GARANTITO L'INTERVENTO UMANO DEVE ESSERE SIGNIFICATIVO, OVVERO VANNO UTILIZZATE SOLAMENTE LE TIPOLOGIE DI AI INTEGRATIVE O DI SUPPORTO.

66 18 35 A1 TALE REGOLA NON SI APPLICA SE LA DECISIONE: È NECESSARIA PER LA CONCLUSIONE O L'ESECUZIONE DI UN CONTRATTO, È AUTORIZZATA DAL DIRITTO DELL'UNIONE OPPURE SI BASA SUL CONSENSO ESPLICITO DELL'INTERESSATO

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMANA

Il Consenso

IL CONSENSO

• LIBERO · NON INDOTTO DA NECESSITA' O CONDIZIONAMENTO
• SPECIFICO RELATIVO A UNA SPECIFICA FINALITÀ (PER DIVERSE FINALITÀ, SERVONO DIVERSI CONSENSI)
• INFORMATO · RESO DALL'INTERESSATO DOPO AVERE RICEVUTO L'INFORMATIVA
• SCRITTO O DOCUMENTATO PER ISCRITTO MESSO NERO SU BIANCO DALL'INTERESSATO O DALL'INCARICATO CHE LO HA RACCOLTO

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ EN ET HUMANA

Consenso nel Marketing

CONSENSO: BASE GIURIDICA PREVALENTE NEL MARKETING

RIGUARDA L'USO DEI DATI ANAGRAFICI E DI CONTATTO (NOME, COGNOME, NUMERO DI TELEFONO, E-MAIL)

CONSENSO PER MARKETING E RICERCHE DI MERCATO

COPRE L'ATTIVITÀ DI CONTATTO IN SE', CIOE' L'USO DI ANAGRAFICA + RECAPITO PER MANDARE UNA COMUNICAZIONE PROMOZIONALE O SOTTOPORRE UN QUESTIONARIO DI RICERCA DI MERCATO

NEL MARKETING PER TRATTARE LECITAMENTE DATI PERSONALI DI SOLITO SI USA IL CONSENSO, IN PARTICOLARE

RIGUARDA L'USO (OLTRE ALLE ANAGRAFICHE E AI DATI DI CONTATTO) DI INFORMAZIONI TIPO: TITOLO DI STUDIO, NUCLEO FAMILIARE, RISPOSTE A QUESTIONARI SUI CONSUMI, O DATI DI COMPORTAMENTI REALI DI ACQUISTO

CONSENSO PER PROFILAZIONE

COPRE L'ANALISI DELLE SCELTE DI CONSUMO E L'ATTIVITÀ PROPEDEUTICA A PUBBLICITÀ PERSONALIZZATE

Datyca LEGAL DESIGN LAB LUMSA UNIVERSITÀ MARIA FUT ET HUMANA