Your SlideShare is downloading. ×
Smau milano 2013 pierluigi perri
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Smau milano 2013 pierluigi perri

170

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
170
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Il   Privacy   Officer:   questo   sconosciuto.   Avv. Prof. Aggr. Pierluigi Perri Titolo  della  presentazione  
  • 2. About  me   •  •  •  •  •  •  Avvocato;   Ricercatore  universitario  presso  l’Università  degli  Studi  di  Milano;   Professore  aggregato  di  Informa=ca  Giuridica  Avanzata;   DoAore  di  ricerca  in  Informa=ca  Giuridica  e  DiriAo  dell’informa=ca;   Membro  del  comitato  scien=fico  di  IISFA  e  AIPSI;   Ecc.  ecc.  ecc.  (per  maggiori  informazioni  cercatemi  su  LinkedIn)   Titolo  della  presentazione  
  • 3. Agenda   •  Privacy  Officer:  definizione     •  L’esperienza  del  Privacy  Officer  all’estero   •  La  discussione  in  aAo  in  sede  europea     •  Gli  ul=mi  sviluppi   •  Raffronto  con  la  norma=va  nazionale  in  materia  di  privacy   Titolo  della  presentazione  
  • 4. Privacy  Officer:  definizione   •  Il   Privacy   Officer   è   quel   professionista,   interno   o   esterno   a   una   determinata   struAura,   che   ha   il   compito   di   sovrintendere   a   tuT   i   processi   che  riguardano  il  traAamento  dei  da=  personali  compiu=  all’interno  della   stessa,   intervenendo   in   piena   indipendenza   e   autonomia   qualora   individui   problemi   che   potrebbero   comportare   un   traAamento   dei   da=   che   presen=   rischi   di   distruzione   o   perdita,   anche   accidentale,   dei   da=   stessi,   di   accesso   non   autorizzato   o   di   traAamento   non   consen=to   o   non   conforme  alle  finalità  della  raccolta.   Titolo  della  presentazione  
  • 5. Pun@  rilevan@   •  Professionista   -­‐>   perché   si   possa   parlare   di   Privacy   Officer   bisogna   far   riferimento  a  figure  professionali,  al  pari  dell’amministratore  di  sistema.   •  Interno  o  esterno  -­‐>  il  Privacy  Officer  può  essere  sia  un  soggeAo  interno  sia  un   soggeAo  esterno  alla  struAura.   •  Sovrintendere   -­‐>   il   Privacy   Officer   deve   possedere   competenze   trasversali   ai   vari   campi   del   sapere   interessa=   dalle   norme   sulla   privacy,   prime   fra   tuAe   il   diriAo  e  l’informa=ca.   •  Intervenendo  in  piena  indipendenza  e  autonomia  -­‐>  il  Privacy  Officer  non  può   essere   solo   un   “parafulmine”   ma   deve   avere   sia   autonomia   di   azione   sia,   in   certa  misura,  patrimoniale.     Titolo  della  presentazione  
  • 6. Differen@  acronimi  per  indicare  il  Privacy  Officer   •  A  seconda  del  contesto  di  riferimento  potremo  dis=nguere:   –  DPO  (Data  Protec=on  Officer)   –  CPO  (Chief  Privacy  Officer)   –  PO  (Privacy  Officer)   –  [ITA]  Responsabile  della  protezione  dei  da=   Titolo  della  presentazione  
  • 7. Applicazioni  già  esisten@  del  Privacy  Officer:  USA   •  Negli  USA,  alcuni  tes=  di  legge  prevedono  espressamente  l’indicazione  di   un  Privacy  Officer.   •  Il  testo  cardine  in  tal  senso  è  l’HIPAA  (Health  Insurance  Portability  and   Accountability  Act).   •  Il  ruolo  del  Privacy  Officer  ex  HIPAA,  quindi,  è  streAamente  legato  al   traAamento  delle  PHI  (Protected  Health  Informa=on).   Titolo  della  presentazione  
  • 8. Applicazioni  già  esisten@  del  Privacy  Officer:  Germania   •  Primo  Paese  europeo  nel  quale  si  is=tuisce  la  figura  del  Privacy  Officer.   •  Il   BDSG   richiede   la   cos=tuzione   di   un   Privacy   Officer   in   caso   la   struAura   presen=  dieci  o  più  dipenden=  che  si  occupano  di  traAamento  automa=zzato   di  da=  personali.   •  In  caso  di  traAamento  non  automa=zzato,  la  struAura  dovrà  presentare  ven=   o  più  dipenden=  dedi=  al  traAamento  di  da=  personali.   •  In  caso  non  venga  nominata  tale  figura,  la  sanzione  può  essere  fino  a  50.000   euro  per  ogni  singolo  manager  che  abbia  omesso  di  nominarlo.   •  Deve  svolgere  i  propri  compi=  con  indipendenza  e  autonomia.   •  Deve  potersi  aggiornare  a  spese  del  datore  di  lavoro.   Titolo  della  presentazione  
  • 9. Uno  speIro  si  aggira  per  l’Europa?   •  Il   25   gennaio   2012   è   stata   depositata,   da   parte   della   Commissione   Europea,   la   bozza   del   nuovo   Regolamento   per   il   traAamento   dei   da=   personali  che  avrà  immediata  efficacia  all’interno  dei  Paesi  UE.   •  Questo  Regolamento  è  aAualmente  in  discussione.   •  Andrà  a  sos=tuire  la  DireTva  95/46/CE.   Titolo  della  presentazione  
  • 10. Regolamento  vs.  DireNva   •  Regolamento  -­‐>    è  un  aAo  legisla=vo  vincolante.  Deve  essere  applicato  in   tuT  i  suoi  elemen=  nell'intera  Unione  europea  (es.  il  DOP).   •  DireNva   -­‐>   è   un   aAo   legisla=vo   che   stabilisce   un   obieTvo   che   tuT   i   paesi   dell'UE   devono   realizzare.   Ciascuno   Stato   membro   può   però   decidere   come  procedere.   Titolo  della  presentazione  
  • 11. Il  Data  Protec@on  Officer  (DPO)  nella  bozza  di  Regolamento   •  L’ar=colo   35   della   bozza   di   Regolamento   introduce   la   figura   obbligatoria   del   responsabile   della   protezione   dei   da=   per   il   seAore   pubblico   e,   nel   seAore   privato,   per   le   grandi   imprese   o   allorquando   le   aTvità   principali   del   responsabile   del   traAamento   e   dell’incaricato   del   traAamento   consistono  in  traAamen=  che  richiedono  il  controllo  regolare  e  sistema=co   degli  interessa=.   •  L’ar=colo  36  precisa  la  posizione  del  responsabile  della  protezione  dei  da=.   •  L’ar=colo   37   stabilisce   i   principali   compi=   del   responsabile   della   protezione  dei  da=.   Titolo  della  presentazione  
  • 12. Quando  designarlo?   •  Il   responsabile   del   tra/amento   e   l’incaricato   del   tra/amento   designano   sistema4camente  un  responsabile  della  protezione  dei  da4  quando:   –  a)   il   tra/amento   è   effe/uato   da   un’autorità   pubblica   o   da   un   organismo   pubblico,  oppure   –  b)  il  tra/amento  è  effe/uato  da  un’impresa  con  250  o  più  dipenden4,  oppure   –  c)   le   aBvità   principali   del   responsabile   del   tra/amento   o   dell’incaricato   del   tra/amento   consistono   in   tra/amen4   che,   per   la   loro   natura,   il   loro   ogge/o   o   le  loro  finalità,  richiedono  il  controllo  regolare  e  sistema4co  degli  interessa4.   Titolo  della  presentazione  
  • 13. Definizioni   •  (5)  “responsabile  del  tra/amento”:  la  persona  fisica  o  giuridica,  l’autorità   pubblica,   il   servizio   o   qualsiasi   altro   organismo   che,   singolarmente   o   insieme   ad   altri,   determina   le   finalità,   le   condizioni   e   i   mezzi   del   tra/amento   di   da4   personali;   quando   le   finalità,   le   condizioni   e   i   mezzi   del   tra/amento   sono   determina4   dal   diri/o   dell’Unione   o   dal   diri/o   di   uno   Stato  membro,  il  responsabile  del  tra/amento  o  i  criteri  specifici  applicabili   alla   sua   nomina   possono   essere   designa4   dal   diri/o   dell’Unione   o   dal   diri/o  dello  Stato  membro;   •  (6)   “incaricato   del   tra/amento”:   la   persona   fisica   o   giuridica,   l’autorità   pubblica,  il  servizio  o  qualsiasi  altro  organismo  che  elabora  da4  personali   per  conto  del  responsabile  del  tra/amento;   Titolo  della  presentazione  
  • 14. Definizioni  ex  D.Lgs.  196/03   •  f)   "4tolare",   la   persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo   cui   competono,  anche  unitamente  ad  altro  4tolare,  le  decisioni  in  ordine  alle   finalità,   alle   modalità   del   tra/amento   di   da4   personali   e   agli   strumen4   u4lizza4,  ivi  compreso  il  profilo  della  sicurezza;   •  g)   "responsabile",   la   persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione  e  qualsiasi  altro  ente,  associazione  od  organismo  prepos4   dal  4tolare  al  tra/amento  di  da4  personali;   •  h)   "incarica4",   le   persone   fisiche   autorizzate   a   compiere   operazioni   di   tra/amento  dal  4tolare  o  dal  responsabile;   Titolo  della  presentazione  
  • 15. Per  quanto  tempo?   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   designa   un   responsabile  della  protezione  dei  da4  per  un  periodo  di  almeno  due  anni.  Il   mandato  del  responsabile  della  protezione  dei  da4  è  rinnovabile.  Durante   il   mandato   può   essere   des4tuito   solo   se   non   soddisfa   più   le   condizioni   richieste  per  l’esercizio  delle  sue  funzioni.   Titolo  della  presentazione  
  • 16. Breaking  news!   •  La  parte  rela=va  ai  criteri  quan=ta=vi  è  stata  oggeAo  di  modifiche  il  21  oAobre   u.s.  ad  opera  del  Civil  Liber=es,  Jus=ce  and  Home  Affairs  CommiAee.   •  In  par=colare,  si  è  modificata  la  parte  rela=va  alla  designazione  del  DPO,  che   adesso  dovrà  essere  designato  se  l’azienda  o  la  PA  traAano  da=  rela=vi  a  5000   interessa=   o   più   all’anno   o   se   la   loro   aTvità   principale   consiste   nel   traAamento   di   da=   sensibili   o   nella   monitorizzazione   sistema=ca   (?)   delle   persone.   •  Il  DPO  potrà  svolgere  i  propri  compi=  per  la  durata  di  quaAro  anni  se  interno   alla  struAura  o  di  due  anni  se  esterno  ad  essa.   •  Il  DPO  deve  rives=re  una  posizione  che  gli  consenta  di  svolgere  i  propri  compi=   con  la  necessaria  indipendenza  e  di  avere  una  protezione  speciale  (?)  contro  il   licenziamento.   Titolo  della  presentazione  
  • 17. Gruppi  di  imprese  ed  en@  pubblici   •  Si   può   designare   un   unico   Responsabile   della   protezione   dei   da=   sia   per   le   imprese  facen=  capo  ad  un  unico  gruppo  sia  per  più  en=  pubblici  tenuto   conto  della  stru/ura  organizza4va  dell’autorità  pubblica  o  dell’organismo   pubblico.   Titolo  della  presentazione  
  • 18. CaraIeris@che  del  Responsabile  della  protezione  dei  da@   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   designa   il   responsabile   della   protezione   dei   da4   in   funzione   delle   qualità   professionali,  in  par4colare  della  conoscenza  specialis4ca  della  norma4va   e   delle   pra4che   in   materia   di   protezione   dei   da4,   e   della   capacità   di   adempiere   ai   compi4   di   cui   all’ar4colo   37.   Il   livello   necessario   di   conoscenza   specialis4ca   è   determinato   in   par4colare   in   base   al   tra/amento   di   da4   effe/uato   e   alla   protezione   richiesta   per   i   da4   personali   tra/a4   dal   responsabile   del   tra/amento   o   dall’incaricato   del   tra/amento.   Titolo  della  presentazione  
  • 19. Chi  ci  ricorda?   •  •  Art.  29  D.Lgs.  196/03   2.  Se  designato,  il  responsabile  è  individuato  tra  soggeB  che  per  esperienza,  capacità  ed   affidabilità   forniscano   idonea   garanzia   del   pieno   rispe/o   delle   vigen4   disposizioni   in   materia  di  tra/amento,  ivi  compreso  il  profilo  rela4vo  alla  sicurezza.   •  •  4.1  Valutazione  delle  caraAeris=che  soggeTve  dell’Amministratore  di  Sistema   L'a/ribuzione   delle   funzioni   di   amministratore   di   sistema   deve   avvenire   previa   valutazione   dell'esperienza,   della   capacità   e   dell'affidabilità   del   sogge/o   designato,   il   quale   deve   fornire   idonea   garanzia   del   pieno   rispe/o   delle   vigen4   disposizioni   in   materia  di  tra/amento  ivi  compreso  il  profilo  rela4vo  alla  sicurezza.   Anche  quando  le  funzioni  di  amministratore  di  sistema  o  assimilate  sono  a/ribuite  solo   nel   quadro   di   una   designazione   quale   incaricato   del   tra/amento   ai   sensi   dell'art.   30   del   Codice,   il   4tolare   e   il   responsabile   devono   a/enersi   comunque   a   criteri   di   valutazione   equipollen4  a  quelli  richies4  per  la  designazione  dei  responsabili  ai  sensi  dell'art.  29.   •  Titolo  della  presentazione  
  • 20. Pun@  sui  quali  il  DPO  dovrà  prestare  idonea  garanzia   •  Provvedimen=  del  Garante   •  Norma=ve  di  seAore   •  Regolamen=  di  seAore   •  Adempimen=  documentali   •  TraAamen=  di  da=  sensibili   •  Marke=ng   •  TraAamen=  di  da=  dei  lavoratori   •  Best  prac=ce  in  materia  di  privacy   •  Cer=ficazioni  aziendali  (ISO  9001  ad  es.)   •  Altre  norma=ve  che  investono  l’aTvità  aziendale  nella  sua  interezza  (D.Lgs.  231/01  ad  es.)   Titolo  della  presentazione  
  • 21. Incompa@bilità   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che  ogni  altra  funzione  professionale  del  responsabile  della  protezione  dei   da4   sia   compa4bile   con   i   compi4   e   le   funzioni   dello   stesso   in   qualità   di   responsabile   della   protezione   dei   da4   e   non   dia   adito   a   confli/o   di   interessi.   •  Ergo,  non  è  compa=bile  ad  esempio  con  una  figura  apicale  che  svolga  già   altre  mansioni  ineren=  il  traAamento  dei  da=.   Titolo  della  presentazione  
  • 22. Esterno  o  interno?   •  Il   responsabile   della   protezione   dei   da4   può   essere   assunto   dal   responsabile   del   tra/amento   o   dall’incaricato   del   tra/amento   oppure   adempiere  ai  suoi  compi4  in  base  a  un  contra/o  di  servizi.   Titolo  della  presentazione  
  • 23. Pubblicità  e  riscontro  agli  interessa@   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   comunica   il   nome   e   le   coordinate   di   conta/o   del   responsabile   della   protezione   dei   da4   all’autorità  di  controllo  (aka  il  Garante)  e  al  pubblico.   •  Gli  interessa4  hanno  il  diri/o  di  conta/are  il  responsabile  della  protezione   dei  da4  per  tu/e  le  ques4oni  rela4ve  al  tra/amento  dei  loro  da4  personali   e   presentare   richieste   per   esercitare   i   diriB   riconosciu4   dal   presente   regolamento.   Titolo  della  presentazione  
  • 24. Coinvolgimento   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che   il   responsabile   della   protezione   dei   da4   sia   prontamente   e   adeguatamente  coinvolto  in  tu/e  le  ques4oni  riguardan4  la  protezione  dei   da4  personali.   Titolo  della  presentazione  
  • 25. Indipendenza  e  autonomia   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che   il   responsabile   della   protezione   dei   da4   adempia   alle   funzioni   e   ai   compi4   in   piena   indipendenza   e   non   riceva   alcuna   istruzione   per   quanto   riguarda  il  loro  esercizio.  Il  responsabile  della  protezione  dei  da4  riferisce   dire/amente   ai   superiori   gerarchici   del   responsabile   del   tra/amento   o   dell’incaricato  del  tra/amento.   •  Problemi:   –  non  riceve  alcuna  istruzione?   –  esistono  superiori  gerarchici  al  =tolare  del  traAamento?   Titolo  della  presentazione  
  • 26. Risorse   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   sos4ene   il   responsabile  della  protezione  dei  da4  nell’esecuzione  dei  suoi  compi4  e  gli   fornisce   personale,   locali,   a/rezzature   e   ogni   altra   risorsa   necessaria   per   adempiere  alle  funzioni  e  ai  compi4  di  cui  all’ar4colo  37.   •  Problemi:   –  difficoltà  applica=ve  nella  P.A.?   –  ulteriori  cos=  per  le  imprese?   Titolo  della  presentazione  
  • 27. Compi@  “minimi”  del  Responsabile  della  protezione  dei  da@   •  Il  Responsabile  della  protezione  dei  da=  deve  almeno:   –  informare   e   consigliare   il   responsabile   del   traAamento   o   l’incaricato   del   traAamento  in  merito  agli  obblighi  derivan=  dal  […]  regolamento  e  conservare   la  documentazione  rela=va  a  tale  aTvità  e  alle  risposte  ricevute;   –  sorvegliare   l’aAuazione   e   l’applicazione   delle   poli=che   del   responsabile   del   traAamento   o   dell’incaricato   del   traAamento   in   materia   di   protezione   dei   da=   personali,   compresi   l’aAribuzione   delle   responsabilità,   la   formazione   del   personale  che  partecipa  ai  traAamen=  e  gli  audit  connessi;   –  sorvegliare   l’aAuazione   e   l’applicazione   del   […]   regolamento,   con   par=colare   riguardo   ai   requisi=   concernen=   la   protezione   fin   dalla   progeAazione,   la   protezione  di  default,  la  sicurezza  dei  da=,  l’informazione  dell’interessato  e  le   richieste  degli  interessa=  di  esercitare  i  diriT  riconosciu=  dal  […]  regolamento;   Titolo  della  presentazione  
  • 28. Compi@  “minimi”  del  Responsabile  della  protezione  dei   da@  /2   –  garan=re  la  conservazione  della  documentazione  di  cui  all’ar=colo  28;   –  controllare   che   le   violazioni   dei   da=   personali   siano   documentate,   no=ficate   e   comunicate  ai  sensi  degli  ar=coli  31  e  32;   –  controllare   che   il   responsabile   del   traAamento   o   l’incaricato   del   traAamento   effeAui  la  valutazione  d’impaAo  sulla  protezione  dei  da=  e  richieda  l’autorizzazione   preven=va  o  la  consultazione  preven=va  nei  casi  previs=  dagli  ar=coli  33  e  34;   –  controllare   che   sia   dato   seguito   alle   richieste   dell’autorità   di   controllo   e,   nell’ambito  delle  sue  competenze,  cooperare  con  l’autorità  di  controllo  di  propria   inizia=va  o  su  sua  richiesta;   –  fungere  da  punto  di  contaAo  per  l’autorità  di  controllo  per  ques=oni  connesse  al   traAamento  e,  se  del  caso,  consultare  l’autorità  di  controllo  di  propria  inizia=va.   Titolo  della  presentazione  
  • 29. Documentazione  di  cui  all’art.  28?   •  •  Ogni   responsabile   del   tra/amento,   incaricato   del   tra/amento   ed   eventuale   rappresentante  del  responsabile  del  tra/amento  conserva  la  documentazione  di  tuB  i   tra/amen4  effe/ua4  so/o  la  propria  responsabilità.   2.  La  documentazione  con4ene  almeno  le  seguen4  informazioni:   –  a)  nome  e  coordinate  di  conta/o  del  responsabile  del  tra/amento,  o  di  ogni  corresponsabile   del  tra/amento  o  incaricato  del  tra/amento,  e  dell’eventuale  rappresentante  del  responsabile   del  tra/amento;   –  b)  nome  e  coordinate  di  conta/o  dell’eventuale  responsabile  della  protezione  dei  da4;   –  c)   finalità   del   tra/amento,   compresi   i   legiBmi   interessi   persegui4   dal   responsabile   del   tra/amento  qualora  il  tra/amento  si  basi  sull’ar4colo  6,  paragrafo  1,  le/era  f);   –  d)  descrizione  delle  categorie  di  interessa4  e  delle  per4nen4  categorie  di  da4  personali;   –  e)   indicazione   dei   des4natari   o   delle   categorie   di   des4natari   dei   da4   personali,   compresi   i   responsabili  del  tra/amento  cui  sono  comunica4  i  da4  personali  ai  fini  del  perseguimento  dei   loro  legiBmi  interessi;   –  f)   se   del   caso,   indicazione   dei   trasferimen4   di   da4   verso   un   paese   terzo   o   un’organizzazione   internazionale,  compresa  l’iden4ficazione  del  paese  terzo  o  dell’organizzazione  internazionale   e,   per   i   trasferimen4   di   cui   all’ar4colo   44,   paragrafo   1,   le/era   h),   la   documentazione   delle   garanzie  adeguate;   –  g)  indicazione  generale  dei  termini  ul4mi  per  cancellare  le  diverse  categorie  di  da4;   –  h)   descrizione   dei   meccanismi   di   cui   all’ar4colo   22,   paragrafo   3   [verifica   dell’efficacia   delle   misure  adoAate  a  tutela  dei  da=  personali]  .   Titolo  della  presentazione  
  • 30. In  principio  fu  il  DPS   •  •  •  •  •  •  •  •  19.1.  l'elenco  dei  traAamen=  di  da=  personali;   19.2.   la   distribuzione   dei   compi=   e   delle   responsabilità   nell'ambito   delle   struAure   preposte   al   traAamento   dei  da=;   19.3.  l'analisi  dei  rischi  che  incombono  sui  da=;   19.4.  le  misure  da  adoAare  per  garan=re  l'integrità  e  la  disponibilità  dei  da=,  nonchè  la  protezione  delle   aree  e  dei  locali,  rilevan=  ai  fini  della  loro  custodia  e  accessibilità;   19.5.   la   descrizione   dei   criteri   e   delle   modalità   per   il   ripris=no   della   disponibilità   dei   da=   in   seguito   a   distruzione  o  danneggiamento  di  cui  al  successivo  punto  23;   19.6.  la  previsione  di  interven=  forma=vi  degli  incarica=  del  traAamento,  per  renderli  edoT  dei  rischi  che   incombono  sui  da=,  delle  misure  disponibili  per  prevenire  even=  dannosi,  dei  profili  della  disciplina  sulla   protezione   dei   da=   personali   più   rilevan=   in   rapporto   alle   rela=ve   aTvità,   delle   responsabilità   che   ne   derivano   e   delle   modalità   per   aggiornarsi   sulle   misure   minime   adoAate   dal   =tolare.   La   formazione   è   programmata   già   al   momento   dell'ingresso   in   servizio,   nonchè   in   occasione   di   cambiamen=   di   mansioni,   o   di  introduzione  di  nuovi  significa=vi  strumen=,  rilevan=  rispeAo  al  traAamento  di  da=  personali;   19.7.  la  descrizione  dei  criteri  da  adoAare  per  garan=re  l'adozione  delle  misure  minime  di  sicurezza  in  caso   di  traAamen=  di  da=  personali  affida=,  in  conformità  al  codice,  all'esterno  della  struAura  del  =tolare;   19.8.   per   i   da=   personali   idonei   a   rivelare   lo   stato   di   salute   e   la   vita   sessuale   di   cui   al   punto   24,   l'individuazione   dei   criteri   da   adoAare   per   la   cifratura   o   per   la   separazione   di   tali   da=   dagli   altri   da=   personali  dell'interessato.   Titolo  della  presentazione  
  • 31. Quindi…   •  Prima   facie,   il   Regolamento   imporrebbe   nuovamente   un   obbligo   documentale  che  comprenderebbe  e  amplierebbe  quello  che  era  il  DPS.   Titolo  della  presentazione  
  • 32. Sanzioni   •  La  bozza  di  Regolamento  prevede  una  sanzione,  da  irrogarsi  da  parte  del   Garante,  fino  a  1  000  000  EUR  o,  per  le  imprese,  fino  al  2%  del  fa/urato   mondiale   annuo,   a   chiunque,   con   dolo   o   colpa   […]   non   designa   un   responsabile   della   protezione   dei   da4   o   non   garan4sce   le   condizioni   per   l’adempimento   dei   compi4   del   responsabile   della   protezione   dei   da4,   in   violazione  degli  ar4coli  35,  36  e  37.   Titolo  della  presentazione  
  • 33. Grazie  per  l’aIenzione!     Avv.  Prof.  Aggr.  Pierluigi  Perri   e-­‐mail(s):  pierluigi.perri_at_unimi.it                                            pierluigi.perri_at_mpslaw.it     Titolo  della  presentazione  

×