Your SlideShare is downloading. ×
0
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Smau milano 2013 pierluigi perri
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Smau milano 2013 pierluigi perri

175

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
175
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Il   Privacy   Officer:   questo   sconosciuto.   Avv. Prof. Aggr. Pierluigi Perri Titolo  della  presentazione  
  • 2. About  me   •  •  •  •  •  •  Avvocato;   Ricercatore  universitario  presso  l’Università  degli  Studi  di  Milano;   Professore  aggregato  di  Informa=ca  Giuridica  Avanzata;   DoAore  di  ricerca  in  Informa=ca  Giuridica  e  DiriAo  dell’informa=ca;   Membro  del  comitato  scien=fico  di  IISFA  e  AIPSI;   Ecc.  ecc.  ecc.  (per  maggiori  informazioni  cercatemi  su  LinkedIn)   Titolo  della  presentazione  
  • 3. Agenda   •  Privacy  Officer:  definizione     •  L’esperienza  del  Privacy  Officer  all’estero   •  La  discussione  in  aAo  in  sede  europea     •  Gli  ul=mi  sviluppi   •  Raffronto  con  la  norma=va  nazionale  in  materia  di  privacy   Titolo  della  presentazione  
  • 4. Privacy  Officer:  definizione   •  Il   Privacy   Officer   è   quel   professionista,   interno   o   esterno   a   una   determinata   struAura,   che   ha   il   compito   di   sovrintendere   a   tuT   i   processi   che  riguardano  il  traAamento  dei  da=  personali  compiu=  all’interno  della   stessa,   intervenendo   in   piena   indipendenza   e   autonomia   qualora   individui   problemi   che   potrebbero   comportare   un   traAamento   dei   da=   che   presen=   rischi   di   distruzione   o   perdita,   anche   accidentale,   dei   da=   stessi,   di   accesso   non   autorizzato   o   di   traAamento   non   consen=to   o   non   conforme  alle  finalità  della  raccolta.   Titolo  della  presentazione  
  • 5. Pun@  rilevan@   •  Professionista   -­‐>   perché   si   possa   parlare   di   Privacy   Officer   bisogna   far   riferimento  a  figure  professionali,  al  pari  dell’amministratore  di  sistema.   •  Interno  o  esterno  -­‐>  il  Privacy  Officer  può  essere  sia  un  soggeAo  interno  sia  un   soggeAo  esterno  alla  struAura.   •  Sovrintendere   -­‐>   il   Privacy   Officer   deve   possedere   competenze   trasversali   ai   vari   campi   del   sapere   interessa=   dalle   norme   sulla   privacy,   prime   fra   tuAe   il   diriAo  e  l’informa=ca.   •  Intervenendo  in  piena  indipendenza  e  autonomia  -­‐>  il  Privacy  Officer  non  può   essere   solo   un   “parafulmine”   ma   deve   avere   sia   autonomia   di   azione   sia,   in   certa  misura,  patrimoniale.     Titolo  della  presentazione  
  • 6. Differen@  acronimi  per  indicare  il  Privacy  Officer   •  A  seconda  del  contesto  di  riferimento  potremo  dis=nguere:   –  DPO  (Data  Protec=on  Officer)   –  CPO  (Chief  Privacy  Officer)   –  PO  (Privacy  Officer)   –  [ITA]  Responsabile  della  protezione  dei  da=   Titolo  della  presentazione  
  • 7. Applicazioni  già  esisten@  del  Privacy  Officer:  USA   •  Negli  USA,  alcuni  tes=  di  legge  prevedono  espressamente  l’indicazione  di   un  Privacy  Officer.   •  Il  testo  cardine  in  tal  senso  è  l’HIPAA  (Health  Insurance  Portability  and   Accountability  Act).   •  Il  ruolo  del  Privacy  Officer  ex  HIPAA,  quindi,  è  streAamente  legato  al   traAamento  delle  PHI  (Protected  Health  Informa=on).   Titolo  della  presentazione  
  • 8. Applicazioni  già  esisten@  del  Privacy  Officer:  Germania   •  Primo  Paese  europeo  nel  quale  si  is=tuisce  la  figura  del  Privacy  Officer.   •  Il   BDSG   richiede   la   cos=tuzione   di   un   Privacy   Officer   in   caso   la   struAura   presen=  dieci  o  più  dipenden=  che  si  occupano  di  traAamento  automa=zzato   di  da=  personali.   •  In  caso  di  traAamento  non  automa=zzato,  la  struAura  dovrà  presentare  ven=   o  più  dipenden=  dedi=  al  traAamento  di  da=  personali.   •  In  caso  non  venga  nominata  tale  figura,  la  sanzione  può  essere  fino  a  50.000   euro  per  ogni  singolo  manager  che  abbia  omesso  di  nominarlo.   •  Deve  svolgere  i  propri  compi=  con  indipendenza  e  autonomia.   •  Deve  potersi  aggiornare  a  spese  del  datore  di  lavoro.   Titolo  della  presentazione  
  • 9. Uno  speIro  si  aggira  per  l’Europa?   •  Il   25   gennaio   2012   è   stata   depositata,   da   parte   della   Commissione   Europea,   la   bozza   del   nuovo   Regolamento   per   il   traAamento   dei   da=   personali  che  avrà  immediata  efficacia  all’interno  dei  Paesi  UE.   •  Questo  Regolamento  è  aAualmente  in  discussione.   •  Andrà  a  sos=tuire  la  DireTva  95/46/CE.   Titolo  della  presentazione  
  • 10. Regolamento  vs.  DireNva   •  Regolamento  -­‐>    è  un  aAo  legisla=vo  vincolante.  Deve  essere  applicato  in   tuT  i  suoi  elemen=  nell'intera  Unione  europea  (es.  il  DOP).   •  DireNva   -­‐>   è   un   aAo   legisla=vo   che   stabilisce   un   obieTvo   che   tuT   i   paesi   dell'UE   devono   realizzare.   Ciascuno   Stato   membro   può   però   decidere   come  procedere.   Titolo  della  presentazione  
  • 11. Il  Data  Protec@on  Officer  (DPO)  nella  bozza  di  Regolamento   •  L’ar=colo   35   della   bozza   di   Regolamento   introduce   la   figura   obbligatoria   del   responsabile   della   protezione   dei   da=   per   il   seAore   pubblico   e,   nel   seAore   privato,   per   le   grandi   imprese   o   allorquando   le   aTvità   principali   del   responsabile   del   traAamento   e   dell’incaricato   del   traAamento   consistono  in  traAamen=  che  richiedono  il  controllo  regolare  e  sistema=co   degli  interessa=.   •  L’ar=colo  36  precisa  la  posizione  del  responsabile  della  protezione  dei  da=.   •  L’ar=colo   37   stabilisce   i   principali   compi=   del   responsabile   della   protezione  dei  da=.   Titolo  della  presentazione  
  • 12. Quando  designarlo?   •  Il   responsabile   del   tra/amento   e   l’incaricato   del   tra/amento   designano   sistema4camente  un  responsabile  della  protezione  dei  da4  quando:   –  a)   il   tra/amento   è   effe/uato   da   un’autorità   pubblica   o   da   un   organismo   pubblico,  oppure   –  b)  il  tra/amento  è  effe/uato  da  un’impresa  con  250  o  più  dipenden4,  oppure   –  c)   le   aBvità   principali   del   responsabile   del   tra/amento   o   dell’incaricato   del   tra/amento   consistono   in   tra/amen4   che,   per   la   loro   natura,   il   loro   ogge/o   o   le  loro  finalità,  richiedono  il  controllo  regolare  e  sistema4co  degli  interessa4.   Titolo  della  presentazione  
  • 13. Definizioni   •  (5)  “responsabile  del  tra/amento”:  la  persona  fisica  o  giuridica,  l’autorità   pubblica,   il   servizio   o   qualsiasi   altro   organismo   che,   singolarmente   o   insieme   ad   altri,   determina   le   finalità,   le   condizioni   e   i   mezzi   del   tra/amento   di   da4   personali;   quando   le   finalità,   le   condizioni   e   i   mezzi   del   tra/amento   sono   determina4   dal   diri/o   dell’Unione   o   dal   diri/o   di   uno   Stato  membro,  il  responsabile  del  tra/amento  o  i  criteri  specifici  applicabili   alla   sua   nomina   possono   essere   designa4   dal   diri/o   dell’Unione   o   dal   diri/o  dello  Stato  membro;   •  (6)   “incaricato   del   tra/amento”:   la   persona   fisica   o   giuridica,   l’autorità   pubblica,  il  servizio  o  qualsiasi  altro  organismo  che  elabora  da4  personali   per  conto  del  responsabile  del  tra/amento;   Titolo  della  presentazione  
  • 14. Definizioni  ex  D.Lgs.  196/03   •  f)   "4tolare",   la   persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo   cui   competono,  anche  unitamente  ad  altro  4tolare,  le  decisioni  in  ordine  alle   finalità,   alle   modalità   del   tra/amento   di   da4   personali   e   agli   strumen4   u4lizza4,  ivi  compreso  il  profilo  della  sicurezza;   •  g)   "responsabile",   la   persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione  e  qualsiasi  altro  ente,  associazione  od  organismo  prepos4   dal  4tolare  al  tra/amento  di  da4  personali;   •  h)   "incarica4",   le   persone   fisiche   autorizzate   a   compiere   operazioni   di   tra/amento  dal  4tolare  o  dal  responsabile;   Titolo  della  presentazione  
  • 15. Per  quanto  tempo?   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   designa   un   responsabile  della  protezione  dei  da4  per  un  periodo  di  almeno  due  anni.  Il   mandato  del  responsabile  della  protezione  dei  da4  è  rinnovabile.  Durante   il   mandato   può   essere   des4tuito   solo   se   non   soddisfa   più   le   condizioni   richieste  per  l’esercizio  delle  sue  funzioni.   Titolo  della  presentazione  
  • 16. Breaking  news!   •  La  parte  rela=va  ai  criteri  quan=ta=vi  è  stata  oggeAo  di  modifiche  il  21  oAobre   u.s.  ad  opera  del  Civil  Liber=es,  Jus=ce  and  Home  Affairs  CommiAee.   •  In  par=colare,  si  è  modificata  la  parte  rela=va  alla  designazione  del  DPO,  che   adesso  dovrà  essere  designato  se  l’azienda  o  la  PA  traAano  da=  rela=vi  a  5000   interessa=   o   più   all’anno   o   se   la   loro   aTvità   principale   consiste   nel   traAamento   di   da=   sensibili   o   nella   monitorizzazione   sistema=ca   (?)   delle   persone.   •  Il  DPO  potrà  svolgere  i  propri  compi=  per  la  durata  di  quaAro  anni  se  interno   alla  struAura  o  di  due  anni  se  esterno  ad  essa.   •  Il  DPO  deve  rives=re  una  posizione  che  gli  consenta  di  svolgere  i  propri  compi=   con  la  necessaria  indipendenza  e  di  avere  una  protezione  speciale  (?)  contro  il   licenziamento.   Titolo  della  presentazione  
  • 17. Gruppi  di  imprese  ed  en@  pubblici   •  Si   può   designare   un   unico   Responsabile   della   protezione   dei   da=   sia   per   le   imprese  facen=  capo  ad  un  unico  gruppo  sia  per  più  en=  pubblici  tenuto   conto  della  stru/ura  organizza4va  dell’autorità  pubblica  o  dell’organismo   pubblico.   Titolo  della  presentazione  
  • 18. CaraIeris@che  del  Responsabile  della  protezione  dei  da@   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   designa   il   responsabile   della   protezione   dei   da4   in   funzione   delle   qualità   professionali,  in  par4colare  della  conoscenza  specialis4ca  della  norma4va   e   delle   pra4che   in   materia   di   protezione   dei   da4,   e   della   capacità   di   adempiere   ai   compi4   di   cui   all’ar4colo   37.   Il   livello   necessario   di   conoscenza   specialis4ca   è   determinato   in   par4colare   in   base   al   tra/amento   di   da4   effe/uato   e   alla   protezione   richiesta   per   i   da4   personali   tra/a4   dal   responsabile   del   tra/amento   o   dall’incaricato   del   tra/amento.   Titolo  della  presentazione  
  • 19. Chi  ci  ricorda?   •  •  Art.  29  D.Lgs.  196/03   2.  Se  designato,  il  responsabile  è  individuato  tra  soggeB  che  per  esperienza,  capacità  ed   affidabilità   forniscano   idonea   garanzia   del   pieno   rispe/o   delle   vigen4   disposizioni   in   materia  di  tra/amento,  ivi  compreso  il  profilo  rela4vo  alla  sicurezza.   •  •  4.1  Valutazione  delle  caraAeris=che  soggeTve  dell’Amministratore  di  Sistema   L'a/ribuzione   delle   funzioni   di   amministratore   di   sistema   deve   avvenire   previa   valutazione   dell'esperienza,   della   capacità   e   dell'affidabilità   del   sogge/o   designato,   il   quale   deve   fornire   idonea   garanzia   del   pieno   rispe/o   delle   vigen4   disposizioni   in   materia  di  tra/amento  ivi  compreso  il  profilo  rela4vo  alla  sicurezza.   Anche  quando  le  funzioni  di  amministratore  di  sistema  o  assimilate  sono  a/ribuite  solo   nel   quadro   di   una   designazione   quale   incaricato   del   tra/amento   ai   sensi   dell'art.   30   del   Codice,   il   4tolare   e   il   responsabile   devono   a/enersi   comunque   a   criteri   di   valutazione   equipollen4  a  quelli  richies4  per  la  designazione  dei  responsabili  ai  sensi  dell'art.  29.   •  Titolo  della  presentazione  
  • 20. Pun@  sui  quali  il  DPO  dovrà  prestare  idonea  garanzia   •  Provvedimen=  del  Garante   •  Norma=ve  di  seAore   •  Regolamen=  di  seAore   •  Adempimen=  documentali   •  TraAamen=  di  da=  sensibili   •  Marke=ng   •  TraAamen=  di  da=  dei  lavoratori   •  Best  prac=ce  in  materia  di  privacy   •  Cer=ficazioni  aziendali  (ISO  9001  ad  es.)   •  Altre  norma=ve  che  investono  l’aTvità  aziendale  nella  sua  interezza  (D.Lgs.  231/01  ad  es.)   Titolo  della  presentazione  
  • 21. Incompa@bilità   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che  ogni  altra  funzione  professionale  del  responsabile  della  protezione  dei   da4   sia   compa4bile   con   i   compi4   e   le   funzioni   dello   stesso   in   qualità   di   responsabile   della   protezione   dei   da4   e   non   dia   adito   a   confli/o   di   interessi.   •  Ergo,  non  è  compa=bile  ad  esempio  con  una  figura  apicale  che  svolga  già   altre  mansioni  ineren=  il  traAamento  dei  da=.   Titolo  della  presentazione  
  • 22. Esterno  o  interno?   •  Il   responsabile   della   protezione   dei   da4   può   essere   assunto   dal   responsabile   del   tra/amento   o   dall’incaricato   del   tra/amento   oppure   adempiere  ai  suoi  compi4  in  base  a  un  contra/o  di  servizi.   Titolo  della  presentazione  
  • 23. Pubblicità  e  riscontro  agli  interessa@   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   comunica   il   nome   e   le   coordinate   di   conta/o   del   responsabile   della   protezione   dei   da4   all’autorità  di  controllo  (aka  il  Garante)  e  al  pubblico.   •  Gli  interessa4  hanno  il  diri/o  di  conta/are  il  responsabile  della  protezione   dei  da4  per  tu/e  le  ques4oni  rela4ve  al  tra/amento  dei  loro  da4  personali   e   presentare   richieste   per   esercitare   i   diriB   riconosciu4   dal   presente   regolamento.   Titolo  della  presentazione  
  • 24. Coinvolgimento   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che   il   responsabile   della   protezione   dei   da4   sia   prontamente   e   adeguatamente  coinvolto  in  tu/e  le  ques4oni  riguardan4  la  protezione  dei   da4  personali.   Titolo  della  presentazione  
  • 25. Indipendenza  e  autonomia   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che   il   responsabile   della   protezione   dei   da4   adempia   alle   funzioni   e   ai   compi4   in   piena   indipendenza   e   non   riceva   alcuna   istruzione   per   quanto   riguarda  il  loro  esercizio.  Il  responsabile  della  protezione  dei  da4  riferisce   dire/amente   ai   superiori   gerarchici   del   responsabile   del   tra/amento   o   dell’incaricato  del  tra/amento.   •  Problemi:   –  non  riceve  alcuna  istruzione?   –  esistono  superiori  gerarchici  al  =tolare  del  traAamento?   Titolo  della  presentazione  
  • 26. Risorse   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   sos4ene   il   responsabile  della  protezione  dei  da4  nell’esecuzione  dei  suoi  compi4  e  gli   fornisce   personale,   locali,   a/rezzature   e   ogni   altra   risorsa   necessaria   per   adempiere  alle  funzioni  e  ai  compi4  di  cui  all’ar4colo  37.   •  Problemi:   –  difficoltà  applica=ve  nella  P.A.?   –  ulteriori  cos=  per  le  imprese?   Titolo  della  presentazione  
  • 27. Compi@  “minimi”  del  Responsabile  della  protezione  dei  da@   •  Il  Responsabile  della  protezione  dei  da=  deve  almeno:   –  informare   e   consigliare   il   responsabile   del   traAamento   o   l’incaricato   del   traAamento  in  merito  agli  obblighi  derivan=  dal  […]  regolamento  e  conservare   la  documentazione  rela=va  a  tale  aTvità  e  alle  risposte  ricevute;   –  sorvegliare   l’aAuazione   e   l’applicazione   delle   poli=che   del   responsabile   del   traAamento   o   dell’incaricato   del   traAamento   in   materia   di   protezione   dei   da=   personali,   compresi   l’aAribuzione   delle   responsabilità,   la   formazione   del   personale  che  partecipa  ai  traAamen=  e  gli  audit  connessi;   –  sorvegliare   l’aAuazione   e   l’applicazione   del   […]   regolamento,   con   par=colare   riguardo   ai   requisi=   concernen=   la   protezione   fin   dalla   progeAazione,   la   protezione  di  default,  la  sicurezza  dei  da=,  l’informazione  dell’interessato  e  le   richieste  degli  interessa=  di  esercitare  i  diriT  riconosciu=  dal  […]  regolamento;   Titolo  della  presentazione  
  • 28. Compi@  “minimi”  del  Responsabile  della  protezione  dei   da@  /2   –  garan=re  la  conservazione  della  documentazione  di  cui  all’ar=colo  28;   –  controllare   che   le   violazioni   dei   da=   personali   siano   documentate,   no=ficate   e   comunicate  ai  sensi  degli  ar=coli  31  e  32;   –  controllare   che   il   responsabile   del   traAamento   o   l’incaricato   del   traAamento   effeAui  la  valutazione  d’impaAo  sulla  protezione  dei  da=  e  richieda  l’autorizzazione   preven=va  o  la  consultazione  preven=va  nei  casi  previs=  dagli  ar=coli  33  e  34;   –  controllare   che   sia   dato   seguito   alle   richieste   dell’autorità   di   controllo   e,   nell’ambito  delle  sue  competenze,  cooperare  con  l’autorità  di  controllo  di  propria   inizia=va  o  su  sua  richiesta;   –  fungere  da  punto  di  contaAo  per  l’autorità  di  controllo  per  ques=oni  connesse  al   traAamento  e,  se  del  caso,  consultare  l’autorità  di  controllo  di  propria  inizia=va.   Titolo  della  presentazione  
  • 29. Documentazione  di  cui  all’art.  28?   •  •  Ogni   responsabile   del   tra/amento,   incaricato   del   tra/amento   ed   eventuale   rappresentante  del  responsabile  del  tra/amento  conserva  la  documentazione  di  tuB  i   tra/amen4  effe/ua4  so/o  la  propria  responsabilità.   2.  La  documentazione  con4ene  almeno  le  seguen4  informazioni:   –  a)  nome  e  coordinate  di  conta/o  del  responsabile  del  tra/amento,  o  di  ogni  corresponsabile   del  tra/amento  o  incaricato  del  tra/amento,  e  dell’eventuale  rappresentante  del  responsabile   del  tra/amento;   –  b)  nome  e  coordinate  di  conta/o  dell’eventuale  responsabile  della  protezione  dei  da4;   –  c)   finalità   del   tra/amento,   compresi   i   legiBmi   interessi   persegui4   dal   responsabile   del   tra/amento  qualora  il  tra/amento  si  basi  sull’ar4colo  6,  paragrafo  1,  le/era  f);   –  d)  descrizione  delle  categorie  di  interessa4  e  delle  per4nen4  categorie  di  da4  personali;   –  e)   indicazione   dei   des4natari   o   delle   categorie   di   des4natari   dei   da4   personali,   compresi   i   responsabili  del  tra/amento  cui  sono  comunica4  i  da4  personali  ai  fini  del  perseguimento  dei   loro  legiBmi  interessi;   –  f)   se   del   caso,   indicazione   dei   trasferimen4   di   da4   verso   un   paese   terzo   o   un’organizzazione   internazionale,  compresa  l’iden4ficazione  del  paese  terzo  o  dell’organizzazione  internazionale   e,   per   i   trasferimen4   di   cui   all’ar4colo   44,   paragrafo   1,   le/era   h),   la   documentazione   delle   garanzie  adeguate;   –  g)  indicazione  generale  dei  termini  ul4mi  per  cancellare  le  diverse  categorie  di  da4;   –  h)   descrizione   dei   meccanismi   di   cui   all’ar4colo   22,   paragrafo   3   [verifica   dell’efficacia   delle   misure  adoAate  a  tutela  dei  da=  personali]  .   Titolo  della  presentazione  
  • 30. In  principio  fu  il  DPS   •  •  •  •  •  •  •  •  19.1.  l'elenco  dei  traAamen=  di  da=  personali;   19.2.   la   distribuzione   dei   compi=   e   delle   responsabilità   nell'ambito   delle   struAure   preposte   al   traAamento   dei  da=;   19.3.  l'analisi  dei  rischi  che  incombono  sui  da=;   19.4.  le  misure  da  adoAare  per  garan=re  l'integrità  e  la  disponibilità  dei  da=,  nonchè  la  protezione  delle   aree  e  dei  locali,  rilevan=  ai  fini  della  loro  custodia  e  accessibilità;   19.5.   la   descrizione   dei   criteri   e   delle   modalità   per   il   ripris=no   della   disponibilità   dei   da=   in   seguito   a   distruzione  o  danneggiamento  di  cui  al  successivo  punto  23;   19.6.  la  previsione  di  interven=  forma=vi  degli  incarica=  del  traAamento,  per  renderli  edoT  dei  rischi  che   incombono  sui  da=,  delle  misure  disponibili  per  prevenire  even=  dannosi,  dei  profili  della  disciplina  sulla   protezione   dei   da=   personali   più   rilevan=   in   rapporto   alle   rela=ve   aTvità,   delle   responsabilità   che   ne   derivano   e   delle   modalità   per   aggiornarsi   sulle   misure   minime   adoAate   dal   =tolare.   La   formazione   è   programmata   già   al   momento   dell'ingresso   in   servizio,   nonchè   in   occasione   di   cambiamen=   di   mansioni,   o   di  introduzione  di  nuovi  significa=vi  strumen=,  rilevan=  rispeAo  al  traAamento  di  da=  personali;   19.7.  la  descrizione  dei  criteri  da  adoAare  per  garan=re  l'adozione  delle  misure  minime  di  sicurezza  in  caso   di  traAamen=  di  da=  personali  affida=,  in  conformità  al  codice,  all'esterno  della  struAura  del  =tolare;   19.8.   per   i   da=   personali   idonei   a   rivelare   lo   stato   di   salute   e   la   vita   sessuale   di   cui   al   punto   24,   l'individuazione   dei   criteri   da   adoAare   per   la   cifratura   o   per   la   separazione   di   tali   da=   dagli   altri   da=   personali  dell'interessato.   Titolo  della  presentazione  
  • 31. Quindi…   •  Prima   facie,   il   Regolamento   imporrebbe   nuovamente   un   obbligo   documentale  che  comprenderebbe  e  amplierebbe  quello  che  era  il  DPS.   Titolo  della  presentazione  
  • 32. Sanzioni   •  La  bozza  di  Regolamento  prevede  una  sanzione,  da  irrogarsi  da  parte  del   Garante,  fino  a  1  000  000  EUR  o,  per  le  imprese,  fino  al  2%  del  fa/urato   mondiale   annuo,   a   chiunque,   con   dolo   o   colpa   […]   non   designa   un   responsabile   della   protezione   dei   da4   o   non   garan4sce   le   condizioni   per   l’adempimento   dei   compi4   del   responsabile   della   protezione   dei   da4,   in   violazione  degli  ar4coli  35,  36  e  37.   Titolo  della  presentazione  
  • 33. Grazie  per  l’aIenzione!     Avv.  Prof.  Aggr.  Pierluigi  Perri   e-­‐mail(s):  pierluigi.perri_at_unimi.it                                            pierluigi.perri_at_mpslaw.it     Titolo  della  presentazione  

×