Your SlideShare is downloading. ×
0
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Stefano Tagliabue - Nuovo Regolamento UE - Impatti per i data driven business

186

Published on

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
186
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Nuovo Regolamento UE: impatti per i data-driven business IAPP KnowledegeNet Milano, 29 maggio 2014 Stefano Tagliabue
  • 2. Il Regolamento ad oggi Stefano Tagliabue Gennaio 2012 La Commissione Europea presenta la proposta di Regolamento Ottobre 2013 La Commissione LIBE del Parlamento Europeo vota gli emendamenti al testo proposto dalla CE (mantenendone l’impostazione) Marzo 2014 Il Parlamento Europeo, in seduta plenaria, approva il testo di Regolamento (versione LIBE) …………..? Approvazione del Regolamento, da parte del Parlamento Europeo d’intesa con il Consiglio dell’UE (procedura di «codecisione») Due anni dalla pubblicazione Entrata in vigore del Regolamento
  • 3. Impatti per i data-driven business Stefano Tagliabue Tra le varie novità previste dal Regolamento, alcune in particolare avranno impatti diretti sulle attività incentrate sull’estrazione di valore dai dati personali. Ad esempio (e senza pretese di completezza): campo di applicazione territoriale privacy by design e by default documentazione data breach Nel seguito sono descritte più nel dettaglio, facendo riferimento alla versione LIBE della bozza di Regolamento, approvata a marzo 2014 dal PE. PIA DPO one stop shop
  • 4. Campo di applicazione territoriale Stefano Tagliabue Attività di uno stabilimento del titolare o del responsabile del trattamento nella UE, sia che il trattamento dei dati avvenga nella UE o no. Trattamento di dati di residenti nella UE, effettuato da un titolare o responsabile non stabilito nella UE, quando riguardano: − offerta di beni o servizi, anche gratuiti; − controllo del comportamento. Luoghi soggetti al diritto di uno stato membro. (Art. 3)
  • 5. Privacy by design e by default Stefano Tagliabue Attuazione di misure e procedure tecniche e organizzative, appropriate e proporzionate, per la conformità al Regolamento e la tutela dell’interessato, al momento di determinare le finalità ed i mezzi del trattamento e durante lo stesso. La privacy by design deve considerare l’intero ciclo di vita dei dati (raccolta, trattamento, cancellazione), concentrandosi sistematicamente su misure globali, anche in base ai risultati della PIA, ove prevista. Meccanismi di default per garantire che: − siano trattati solo i dati necessari in relazione a ciascuna finalità; − la raccolta e la conservazione dei dati non vadano oltre il minimo necessario; − i dati non siano resi accessibili ad un numero indefinito di persone − gli interessati possano esercitare il controllo sulla distribuzione dei propri dati. (Art. 23)
  • 6. Documentazione Stefano Tagliabue Documentazione aggiornata regolarmente di tutti i trattamenti effettuati, contenente: a) nome e coordinate di contatto del titolare e di ogni responsabile b) nome e coordinate di contatto del DPO; c) finalità del trattamento; d) categorie di interessati e pertinenti categorie di dati personali; e) destinatari dei dati personali; f) trasferimenti di dati verso l’estero; g) termini di conservazione dei dati; h) meccanismi di controllo interno. (Art. 28)
  • 7. Data breach Stefano Tagliabue Violazione di sicurezza che comporta distruzione, perdita, modifica, rivelazione o accesso ai dati personali Notificazione all’autorità di controllo: − senza indebito ritardo; − il responsabile deve informare il titolare senza indebito ritardo; − natura della violazione, categorie e numero degli interessati, categorie e numero dei dati; − conseguenze della violazione; − misure adottate dal titolare e misure raccomandate per attenuare gli effetti. Comunicazione agli interessati: − prevista se la violazione rischia di pregiudicare i dati personali o i diritti degli interesssati; − natura della violazione, contatti del titolare, misure raccomandate; − non necessaria se il titolare dimostra che ai dati violati erano state applicate opportune misure. (Art. 4, 31, 32)
  • 8. Valutazione d’impatto (PIA) Stefano Tagliabue Descrizione generale del trattamento, valutazione dei rischi, misure previste, meccanismi per dimostrare la conformità, ecc.. Consultazione degli interessati. Esempi di trattamenti che presentano rischi specifici, per i quali è prevista una PIA: a) trattamenti di dati relativi a oltre 5.000 interessati in un periodo di 12 mesi; b) valutazione sistematica e globale di aspetti della personalità (situazione economica, ubicazione, salute, preferenze, affidabilità, comportamento), in modo automatico e con effetti sull’interessato; c) dati sanitari o riguardanti la vita sessuale, su larga scala; d) videosorveglianza su larga scala; e) dati riguardanti minori su larga scala, data genetici o biometrici; f) altri trattamenti che richiedono il prior check dell’autorità. (Art. 32.a, 33)
  • 9. Responsabile della protezione di dati (DPO) Stefano Tagliabue Previsto per: a) autorità o organismi pubblici; b) imprese che trattano dati relativi ad oltre 5.000 interessati, su un periodo di 12 mesi; c) attività che richiedono il controllo regolare e sistematico degli interessati; d) dati sensibili, dati relativi a minori, dati di localizzazione, dati di dipendenti su larga scala. Qualità professionali, compatibilità con altre funzioni, interno o esterno. Mandato rinnovabile di almeno 4 anni se interno o almeno 2 se esterno, destituibile solo se non soddisfa più le condizioni richieste. Coinvolto in tutte le questioni riguardanti il trattamento dei dati personali, completa indipendenza, risorse adeguate. Compiti: a) informare e consigliare il titolare; b) sorvegliare l’attuazione delle policy del titolare, compresa la formazione; c) sorvegliare l’applicazione della legge; d) conservazione della documentazione; e) controllo su gestione data breach; f) controllo su PIA; g) evasione richieste dell’autorità h) cooperazione e contatto con l’autorità; (Art. 35, 36, 37)
  • 10. One stop shop Stefano Tagliabue L’autorità dello stato in cui si trova lo stabilimento principale (consultandosi con altre autorità interessate) ha il compito di supervisionare tutte le attività svolte da titolari o responsabili del trattamento stabiliti in più stati UE. (Art. 54.a)

×