SlideShare a Scribd company logo

COME ADEGUARSI AL GDPR?

Andrea Battistella
Andrea Battistella

Nella presentazione vengono illustrati brevemente gli adempimenti introdotti dal GDPR. Inoltre viene indicato una possibile modalità di creazione ed attuazione del un modello organizzativo privacy.

Law
1 of 50
MODELLO ORGANIZZATIVO PRIVACY COME ADEGUARSI AL GDPR?
#LANUOVAPRIVACY AGENDA Contesto normativo I nuovi adempimenti GDPR Procedura di adeguamento
#LANUOVAPRIVACY CHI VI PARLA: Andrea Battistella Avvocato e consulente legale appassionato di informatica titolare dello Studio Legale Battistella mail: studio@battistella.info - www.battistella.info PRODIGITALE Associazione costituita nel 2016 Fondatore e Segretario ESPERIENZA Studio Legale con uffici a Pescara e Bologna offre consulenza ed assistenza legale di tipo sia giudiziale che consulenziale in ambito civile CENTRO STUDI INFORMATICA GIURIDICA Associazione costituita nel 2004 Fondatore e Presidente
#LANUOVAPRIVACY NUOVA CULTURA! L'adeguamento al GDPR richiede Consapevolezza delle potenzialità che il mondo digitale ci propone e la Capacità di gestire il cambiamento digitale con metodi e soluzioni diverse rispetto a quelli tradizionali. . Cosa cambia?
#LANUOVAPRIVACY PROFESSIONALITA’ Per gestire questo cambiamento ed i nuovi obblighi normativi è necessario acquisire professionalità tecnico giuridiche sempre più approfondite che permettano di avere una visione chiara e ampia di tutte quelle che sono le problematiche legate all’utilizzo della tecnologia. Cosa cambia?
#LANUOVAPRIVACY Evoluzione normativa www.archimedia.it 6 1996: emanata la prima legge sulla protezione dei dati personali che prevedeva l’obbligo di adozione delle misure «minime» di sicurezze e delle misure di sicurezza «idonee». Fu una rivoluzione e per la prima volta i «dati personali» potevano essere trattati seguendo regole ben determinate con relative, importanti, responsabilità. 2003: emanato il d.lgs 196/03 che ha completamente riaccorpato la normativa (e che è ancora la normativa in vigore). Le misure minime di sicurezza sono previste dall’Allegato B. Esistono però numerosi provvedimenti che prevedono misure di sicurezza obbligatorie per una serie di trattamenti in specifici settori di mercato 2018: Regolamento UE. Impostazione «sistemica». Il tema della sicurezza passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto). In pratica ogni azienda o pubblica amministrazione deve analizzarsi e decidere come posizionarsi
#LANUOVAPRIVACY SEI PRONTO PER IL GDPR? Con il GDPR (General Data Protection Regulation) viene disegnato un quadro normativo sulla protezione dei dati unitario in tutti gli Stati membri dell'UE. Entro il 25 maggio 2018 ogni azienda o P.A. che tratti i dati personali dovrà analizzare la propria organizzazione privacy e adeguarsi ai nuovi obblighi normativi.
#LANUOVAPRIVACY La tutela dei dati personali rappresenta un fenomeno normativo ampiamente codificato nell’area europea ed in evoluzione. Il diritto alla privacy è nato nel sistema giuridico statunitense come espressione del “ diritto di essere lasciati soli” (protezione della vita privata) Oggi, è divenuto il diritto che permette ad ognuno di noi di esercitare un controllo sulle informazioni che lo riguardano. Ogni individuo ha il diritto di decidere se, come e in quale misura le informazioni che lo riguardano possano essere trattate ed eventualmente trasmesse ad altri. Significato di Privacy
#LANUOVAPRIVACY Il regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Quindi il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. GDPR Obiettivi e finalità
#LANUOVAPRIVACY Codice della Privacy Qualunque informazione relativa a persona fisica, persona giuridica ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento o qualsiasi altra informazione, ivi compreso un numero di identificazione Regolamento «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; Dato Personale
#LANUOVAPRIVACY Codice Privacy “I dati personali idonei a rivelare:  l'origine razziale ed etnica,  le convinzioni religiose, filosofiche o di altro genere,  le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,  nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” Dato Sensibile
#LANUOVAPRIVACY i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione. Dato Genetico
#LANUOVAPRIVACY i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici. Dato Biometrico
#LANUOVAPRIVACY Dato relativo alla salute i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
#LANUOVAPRIVACY ART. 9 del Regolamento Trattamento di categorie particolari di dati personali ……I dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Dato personale particolare
#LANUOVAPRIVACY Codice della Privacy I dati personali idonei a rivelare provvedimenti di cui all’art.3, comma 1, lettera da a) a o) e da r) a u) del D.P.R. 14 novembre 2002, n.313, in materia di casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale Art.10 del Regolamento Trattamento dei dati personali relativi a condanne penali e reati Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica. Dato Giudiziario
#LANUOVAPRIVACY Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali:  Raccolta  Registrazione  Organizzazione  Estrazione,  Consultazione,  Comunicazione – Diffusione  Conservazione,  Cancellazione o la distruzione GDPR Trattamento
#LANUOVAPRIVACY I dati personali devono essere trattati: a) in modo lecito, corretto e trasparente; b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; d) esatti e, se necessario, aggiornati; e) Conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali GDPR Principi generali
#LANUOVAPRIVACY CICLO DEL TRATTAMENTO • Durata• Distruzione dei dati • Presupposti giuridici • Informativa • Consenso RACCOLTA Organizzzione CONSERVAZIONECANCELLAZIONE
#LANUOVAPRIVACY a) l'identità e i dati di contatto del titolare del trattamento; b) i dati di contatto del responsabile della protezione dei dati; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. Dati raccolti presso l'interessato Informazioni da fornire
#LANUOVAPRIVACY a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l'esistenza del diritto dell'interessato di chiedere l'accesso ai dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento; c) diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un'autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione Dati raccolti presso l'interessato Informazioni da fornire
#LANUOVAPRIVACY Qualsiasi manifestazione di volontà: libera, specifica, informata inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione (dichiarazione scritta, anche attraverso mezzi elettronici) o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento Dati non raccolti presso l'interessato Consenso
#LANUOVAPRIVACY 1 il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso. 2. Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. 3. L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca Dati non raccolti presso l'interessato Consenso
#LANUOVAPRIVACY Il trattamento dei dati può essere effettuato solo se: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. GDPR Presupposti giuridici del trattamento
#LANUOVAPRIVACY Il Regolamento attribuisce una specifica protezione ai dati particolari e stabilisce il divieto di trattare questi dati salvo che il trattamento avvenga sulla base di questi presupposti: - Consenso espresso per finalità specifiche; - Necessità di osservare obblighi in materia di diritto di lavoro, sicurezza sociale, protezione sociale; - Trattamento di interesse vitale dell’interessato; - Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro ; - Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; - Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria; - Il trattamento è necessario per motivi di interesse pubblico; - Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri. Trattamento dati particolari
#LANUOVAPRIVACY Il Regolamento attribuisce una specifica protezione ai dati particolari e stabilisce il divieto di trattare questi dati salvo che il trattamento avvenga sulla base di questi presupposti: - Consenso espresso per finalità specifiche; - Necessità di osservare obblighi in materia di diritto di lavoro, sicurezza sociale, protezione sociale; - Trattamento di interesse vitale dell’interessato; - Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro ; - Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; - Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria; - Il trattamento è necessario per motivi di interesse pubblico; - Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri. Trattamento dati particolari
#LANUOVAPRIVACY Il Regolamento Europeo determina il passaggio da un approccio formale ad uno sostanziale. La gestione della privacy deve prevedere una valutazione preliminare sulla probabilità e gravità del rischio per i diritti degli interessati. La valutazione oggettiva permette di individuare le misure tecniche ed organizzative adeguate al fine di garantire quanto richiesto dal Regolamento e ridurre al minimo il trattamento dei dati personali ( Privacy by design). Dinamismo Privacy
#LANUOVAPRIVACY Le novità introdotte dal Regolamento www.archimedia.it 28
#LANUOVAPRIVACY Responsabilizzazione (Accountability) www.archimedia.it 29 Il principio di responsabilizzazione e trasparenza obbliga il Titolare di: 1 - mettere in atto misure tecniche ed organizzative adeguate; 2 - dimostrare che il trattamento avviene nel rispetto della normativa. Il Titolare del trattamento dovrà dimostrare l’adozione di un modello organizzativo con l’onere di predisporre e conservare una specifica documentazione, quale ad esempio:  P.I.A. (Privacy Impact Assessment);  Valutazione dei rischi;  Organigramma privacy interno che definisca il “chi fa cosa”;  Certificazioni di sicurezza dei fornitori di sistemi informatici Informativa e Consenso privacy;  Nomina / Contratto Responsabile e DPO .
#LANUOVAPRIVACY Valutazione dei rischi www.archimedia.it 30 Il Regolamento prevede l’obbligo di adottare misure di sicurezza sulla base di una valutazione dei rischi. Il Titolare del trattamento deve : a) Valutare i rischi inerenti il trattamento ; b) Implementare le misure tecniche ed organizzative adeguate per limitare i rischi ( es. cifratura). Le misure di sicurezza sono adeguate quando sono in grado di limitare i rischi di:  distruzione accidentale o illegale,  la perdita;  la modifica;  Divulgazione non autorizzata; Accesso in modo accidentale o illegale ai dati personali trattati.
#LANUOVAPRIVACY Organigramma Privacy www.archimedia.it 31 Codice della Privacy Regolamento Europeo TITOLARE DEL TRATTAMENTO TITOLARE DEL TRATTAMENTO (DATA CONTROLLER) RESPONSABILE DEL TRATTAMENTO RESPONSABILE DEL TRATTAMENTO (DATA PROCESSOR) INCARICATO DEL TRATTAMENTO NON ESPRESSAMENTE PREVISTO chiunque agisca sotto l'autorità di titolare o responsabile (art. 29) NON PREVISTO Responsabile della protezione dei dati - DPO
#LANUOVAPRIVACY Art. 28 “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”. Il Regolamento anche se non esclude figure manageriali interne si riferisce a soggetti esterni. Responsabile del trattamento
#LANUOVAPRIVACY Responsabile del trattamento www.archimedia.it 33 Qualora un trattamento debba essere effettuato per conto del titolare del trattamento quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell‘interessato. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento. Attenzione al contenuto del contratto!!
#LANUOVAPRIVACY Responsabile del trattamento www.archimedia.it 34 Il contratto deve contenere in particolare, che il responsabile del trattamento:  Tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;  Garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;  Adotti tutte le misure richieste ai sensi dell'articolo 32;  Richieda l’autorizzazione al titolare nel caso incarichi altro responsabile del trattamento;  Tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;
#LANUOVAPRIVACY Responsabile del trattamento www.archimedia.it 35 Il contratto deve contenere in particolare, che il responsabile del trattamento:  assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;  su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;  metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
#LANUOVAPRIVACY DPO – Responsabile della Protezione dei dati www.archimedia.it 36 Il Responsabile della Protezione dei Dati (Data Protection Officer) , è una nuova figura professionale che obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Il trattamento è effettuato da un’Autorità Pubblica Trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; Le attività principali del titolare consistono nel trattamento, su larga scala, di categorie particolari di dati personali. La nomina è obbligatoria in questi casi
#LANUOVAPRIVACY Privacy e Risarcimento del danno www.archimedia.it 37 Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
#LANUOVAPRIVACY Responsabilità Privacy www.archimedia.it 38 Diritto al risarcimento Art.82 Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Responsabilità di titolare e responsabile Art.82 Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Responsabilità solidale di titolari e responsabili Art.82 Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. Responsabilità dei contitolari Art.26 Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità.
#LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 39 RIFERIMENTO INADEMPIMENTO SANZIONE Consenso dei minori (art. 8) Mancata verifica del consenso da parte del Titolare della responsabilità genitoriale sul minore Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Trattamento che non richiede l’identificazione (art. 11) Inadempimento nell’obbligo di non conservare, acquisire o trattare di informazioni per identificare l’interessato se le finalità non richiedono o non richiedono più la sua identificazione Privacy by design/default (art. 25) Assenza di conformità privacy by design/default di prodotti e servizi Contitolarità (art. 26) Assenza di accordo e ripartizione delle responsabilità con il contitolare Rappresentanti non stabiliti in UE (art. 27) Assenza di designazione di un rappresentante nell’UE Responsabile del trattamento (art. 28) Assenza di autorizzazione scritta, specifica o generale, con contratto o altro atto giuridico, da parte del Titolare
#LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 40 RIFERIMENTO INADEMPIMENTO SANZIONE Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto autorità di Titolare o Responsabile Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di controllo Sicurezza (art. 32) Assenza di adozione di misure tecniche ed organizzative adeguate Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione Valutazione d’impatto (art. 35) Asenza di valutazione d’impatto (quando obbligatoria) Consultazione preventiva (art. 36) Assenza di consultazione preventiva(quando necessaria) Designazione DPO (art. 37) Assenza di designazione del DPO (quando necessario)
#LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 41 RIFERIMENTO INADEMPIMENTO SANZIONE Posizione DPO (art. 38) Assenza di tempestivo ed adeguato coinvolgimento del DPO; assenza di risorse necessarie per assolvere ai compiti del DPO; ingerenza sulla attività del DPO (istruzioni, penalizzazione e rimozione della sua attività) Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Compiti DPO (art. 39) Ingerenza sull’adempimento dei compiti del DPO Organismi di certificazione (art. 43) Assenza di cooperazione con le autorità di controllo
#LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 42 RIFERIMENTO INADEMPIMENTO SANZIONE Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto autorità di Titolare o Responsabile Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di controllo Sicurezza (art. 32) Assenza di adozione di misure tecniche ed organizzative adeguate Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione Valutazione d’impatto (art. 35) Assenza di valutazione d’impatto (quando obbligatoria) Consultazione preventiva (art. 36) Assenza di consultazione preventiva(quando necessaria) Designazione DPO (art. 37) Assenza di designazione del DPO (quando necessario)
#LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 43 INADEMPIMENTO SANZIONE principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; Fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. diritti degli interessati a norma degli articoli da 12 a 22; trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.
#LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 44 Le sanzioni amministrative devono essere effettive, proporzionate e dissuasive. Al momento di decidere se infliggere una sanzione si tiene debito conto dei seguenti elementi: a) la natura, la gravità e la durata della violazione; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento; d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento; e) eventuali precedenti violazioni; f) il grado di cooperazione con l'autorità di controllo; g) le categorie di dati personali interessate dalla violazione; j) l'adesione ai codici di condotta o ai meccanismi di certificazione k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
#LANUOVAPRIVACY Perché adeguarsi? SANZIONI Il GDPR prevede sanzioni Fino a 10.000.000 EUR, o per le imprese, fino al 2% del Fatturato Fino a 20.000.000 EUR, o per le imprese, fino al 4% del Fatturato REPUTAZIONE Un trattamento illegittimo dei dati personali aumenta il rischio di compromettere il rapporto di fiducia con i propri clienti (e-commerce B2C) OPPORTUNITA’ Il GDPR è l’occasione di rivedere i processi aziendali aventi ad oggetto il trattamento dei dati. LEGALE Rischio di cause civili Il titolare del trattamento e responsabile del trattamento rispondo dei danni materiale o immateriale causato da una violazione del GDPR
Da dove iniziare? Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora 46
Da dove iniziare? Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, 47
#LANUOVAPRIVACY MODELLO ORGANIZZATIVO PRIVACY Privacy Assesment - Gap analysis Piano di adeguamento Valutazione del rischio Misure Adeguate Informativa e consenso Ruoli e Responsabilità VERIFICA DOCUMENTAZIONE MONITORAGGIO PERIODICO
#LANUOVAPRIVACY . .. . Valutazione dei rischi Misure di sicurezza adeguate. Informativa e consenso privacy Lettera di autorizzazione Regolamenti / linee guida Registro trattamenti Verifica periodica del modello organizzativo. Organigramma Privacy;  Ruoli e responsabilità Registro dei trattamenti  Mappatura dei trattamenti MODELLO ORGANIZZATIVO PRIVACY
#LANUOVAPRIVACY Grazie per l’attenzione Avv. Andrea Battistella studio@battistella.info www.battistella.info

Recommended

Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1
Confimpresa
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
Carlo Riganti
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
Council of Europe
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Simone Chiarelli
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
Confimpresa
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx
Roberto Scarafia
 

Recommended

Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1
Confimpresa
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
Carlo Riganti
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
Council of Europe
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Simone Chiarelli
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
Confimpresa
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx
Roberto Scarafia
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
Marinuzzi & Associates
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx
ToMa Advanced Biomedical Assays Spa
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
AmmLibera AL
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GarantePrivacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del Garante
Uneba
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
SilviaDiNapoli1
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
GGagliano
 
Smau Napoli 2014 Aicel
Smau Napoli 2014 AicelSmau Napoli 2014 Aicel
Smau Napoli 2014 Aicel
SMAU
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Pedroletti Sharmayne
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
Simone Chiarelli
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Edoardo Ferraro
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Edoardo Ferraro
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
Lodovico Mabini
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
Lodovico Mabini
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
jamboo
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Adriano Bertolino
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
Ordine Ingegneri Lecco
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
Roberta Rapicavoli
 
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
festival ICT 2016
 

More Related Content

What's hot

Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
AmmLibera AL
 

What's hot (13)

La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx20180426 presentation to-personnel-v3.pptx
20180426 presentation to-personnel-v3.pptx
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GarantePrivacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del Garante
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
 
Smau Napoli 2014 Aicel
Smau Napoli 2014 AicelSmau Napoli 2014 Aicel
Smau Napoli 2014 Aicel
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
 

Similar to COME ADEGUARSI AL GDPR?

Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
Mauro Alovisio
 
Introduzione alla privacy giuridica
Introduzione alla privacy giuridicaIntroduzione alla privacy giuridica
Introduzione alla privacy giuridica
Council of Europe
 

Similar to COME ADEGUARSI AL GDPR? (20)

Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
 
Anticorruzione trasparenza - privacy - Per gli Ordini Professionali
Anticorruzione trasparenza - privacy - Per gli Ordini ProfessionaliAnticorruzione trasparenza - privacy - Per gli Ordini Professionali
Anticorruzione trasparenza - privacy - Per gli Ordini Professionali
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 
Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017 Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017
 
Introduzione alla privacy giuridica
Introduzione alla privacy giuridicaIntroduzione alla privacy giuridica
Introduzione alla privacy giuridica
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
 
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati Personali
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 

COME ADEGUARSI AL GDPR?

  • 2. #LANUOVAPRIVACY AGENDA Contesto normativo I nuovi adempimenti GDPR Procedura di adeguamento
  • 3. #LANUOVAPRIVACY CHI VI PARLA: Andrea Battistella Avvocato e consulente legale appassionato di informatica titolare dello Studio Legale Battistella mail: studio@battistella.info - www.battistella.info PRODIGITALE Associazione costituita nel 2016 Fondatore e Segretario ESPERIENZA Studio Legale con uffici a Pescara e Bologna offre consulenza ed assistenza legale di tipo sia giudiziale che consulenziale in ambito civile CENTRO STUDI INFORMATICA GIURIDICA Associazione costituita nel 2004 Fondatore e Presidente
  • 4. #LANUOVAPRIVACY NUOVA CULTURA! L'adeguamento al GDPR richiede Consapevolezza delle potenzialità che il mondo digitale ci propone e la Capacità di gestire il cambiamento digitale con metodi e soluzioni diverse rispetto a quelli tradizionali. . Cosa cambia?
  • 5. #LANUOVAPRIVACY PROFESSIONALITA’ Per gestire questo cambiamento ed i nuovi obblighi normativi è necessario acquisire professionalità tecnico giuridiche sempre più approfondite che permettano di avere una visione chiara e ampia di tutte quelle che sono le problematiche legate all’utilizzo della tecnologia. Cosa cambia?
  • 6. #LANUOVAPRIVACY Evoluzione normativa www.archimedia.it 6 1996: emanata la prima legge sulla protezione dei dati personali che prevedeva l’obbligo di adozione delle misure «minime» di sicurezze e delle misure di sicurezza «idonee». Fu una rivoluzione e per la prima volta i «dati personali» potevano essere trattati seguendo regole ben determinate con relative, importanti, responsabilità. 2003: emanato il d.lgs 196/03 che ha completamente riaccorpato la normativa (e che è ancora la normativa in vigore). Le misure minime di sicurezza sono previste dall’Allegato B. Esistono però numerosi provvedimenti che prevedono misure di sicurezza obbligatorie per una serie di trattamenti in specifici settori di mercato 2018: Regolamento UE. Impostazione «sistemica». Il tema della sicurezza passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto). In pratica ogni azienda o pubblica amministrazione deve analizzarsi e decidere come posizionarsi
  • 7. #LANUOVAPRIVACY SEI PRONTO PER IL GDPR? Con il GDPR (General Data Protection Regulation) viene disegnato un quadro normativo sulla protezione dei dati unitario in tutti gli Stati membri dell'UE. Entro il 25 maggio 2018 ogni azienda o P.A. che tratti i dati personali dovrà analizzare la propria organizzazione privacy e adeguarsi ai nuovi obblighi normativi.
  • 8. #LANUOVAPRIVACY La tutela dei dati personali rappresenta un fenomeno normativo ampiamente codificato nell’area europea ed in evoluzione. Il diritto alla privacy è nato nel sistema giuridico statunitense come espressione del “ diritto di essere lasciati soli” (protezione della vita privata) Oggi, è divenuto il diritto che permette ad ognuno di noi di esercitare un controllo sulle informazioni che lo riguardano. Ogni individuo ha il diritto di decidere se, come e in quale misura le informazioni che lo riguardano possano essere trattate ed eventualmente trasmesse ad altri. Significato di Privacy
  • 9. #LANUOVAPRIVACY Il regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Quindi il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. GDPR Obiettivi e finalità
  • 10. #LANUOVAPRIVACY Codice della Privacy Qualunque informazione relativa a persona fisica, persona giuridica ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento o qualsiasi altra informazione, ivi compreso un numero di identificazione Regolamento «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; Dato Personale
  • 11. #LANUOVAPRIVACY Codice Privacy “I dati personali idonei a rivelare:  l'origine razziale ed etnica,  le convinzioni religiose, filosofiche o di altro genere,  le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,  nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” Dato Sensibile
  • 12. #LANUOVAPRIVACY i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione. Dato Genetico
  • 13. #LANUOVAPRIVACY i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici. Dato Biometrico
  • 14. #LANUOVAPRIVACY Dato relativo alla salute i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
  • 15. #LANUOVAPRIVACY ART. 9 del Regolamento Trattamento di categorie particolari di dati personali ……I dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Dato personale particolare
  • 16. #LANUOVAPRIVACY Codice della Privacy I dati personali idonei a rivelare provvedimenti di cui all’art.3, comma 1, lettera da a) a o) e da r) a u) del D.P.R. 14 novembre 2002, n.313, in materia di casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale Art.10 del Regolamento Trattamento dei dati personali relativi a condanne penali e reati Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica. Dato Giudiziario
  • 17. #LANUOVAPRIVACY Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali:  Raccolta  Registrazione  Organizzazione  Estrazione,  Consultazione,  Comunicazione – Diffusione  Conservazione,  Cancellazione o la distruzione GDPR Trattamento
  • 18. #LANUOVAPRIVACY I dati personali devono essere trattati: a) in modo lecito, corretto e trasparente; b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; d) esatti e, se necessario, aggiornati; e) Conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali GDPR Principi generali
  • 19. #LANUOVAPRIVACY CICLO DEL TRATTAMENTO • Durata• Distruzione dei dati • Presupposti giuridici • Informativa • Consenso RACCOLTA Organizzzione CONSERVAZIONECANCELLAZIONE
  • 20. #LANUOVAPRIVACY a) l'identità e i dati di contatto del titolare del trattamento; b) i dati di contatto del responsabile della protezione dei dati; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. Dati raccolti presso l'interessato Informazioni da fornire
  • 21. #LANUOVAPRIVACY a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l'esistenza del diritto dell'interessato di chiedere l'accesso ai dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento; c) diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un'autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione Dati raccolti presso l'interessato Informazioni da fornire
  • 22. #LANUOVAPRIVACY Qualsiasi manifestazione di volontà: libera, specifica, informata inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione (dichiarazione scritta, anche attraverso mezzi elettronici) o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento Dati non raccolti presso l'interessato Consenso
  • 23. #LANUOVAPRIVACY 1 il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso. 2. Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. 3. L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca Dati non raccolti presso l'interessato Consenso
  • 24. #LANUOVAPRIVACY Il trattamento dei dati può essere effettuato solo se: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. GDPR Presupposti giuridici del trattamento
  • 25. #LANUOVAPRIVACY Il Regolamento attribuisce una specifica protezione ai dati particolari e stabilisce il divieto di trattare questi dati salvo che il trattamento avvenga sulla base di questi presupposti: - Consenso espresso per finalità specifiche; - Necessità di osservare obblighi in materia di diritto di lavoro, sicurezza sociale, protezione sociale; - Trattamento di interesse vitale dell’interessato; - Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro ; - Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; - Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria; - Il trattamento è necessario per motivi di interesse pubblico; - Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri. Trattamento dati particolari
  • 26. #LANUOVAPRIVACY Il Regolamento attribuisce una specifica protezione ai dati particolari e stabilisce il divieto di trattare questi dati salvo che il trattamento avvenga sulla base di questi presupposti: - Consenso espresso per finalità specifiche; - Necessità di osservare obblighi in materia di diritto di lavoro, sicurezza sociale, protezione sociale; - Trattamento di interesse vitale dell’interessato; - Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro ; - Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; - Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria; - Il trattamento è necessario per motivi di interesse pubblico; - Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri. Trattamento dati particolari
  • 27. #LANUOVAPRIVACY Il Regolamento Europeo determina il passaggio da un approccio formale ad uno sostanziale. La gestione della privacy deve prevedere una valutazione preliminare sulla probabilità e gravità del rischio per i diritti degli interessati. La valutazione oggettiva permette di individuare le misure tecniche ed organizzative adeguate al fine di garantire quanto richiesto dal Regolamento e ridurre al minimo il trattamento dei dati personali ( Privacy by design). Dinamismo Privacy
  • 28. #LANUOVAPRIVACY Le novità introdotte dal Regolamento www.archimedia.it 28
  • 29. #LANUOVAPRIVACY Responsabilizzazione (Accountability) www.archimedia.it 29 Il principio di responsabilizzazione e trasparenza obbliga il Titolare di: 1 - mettere in atto misure tecniche ed organizzative adeguate; 2 - dimostrare che il trattamento avviene nel rispetto della normativa. Il Titolare del trattamento dovrà dimostrare l’adozione di un modello organizzativo con l’onere di predisporre e conservare una specifica documentazione, quale ad esempio:  P.I.A. (Privacy Impact Assessment);  Valutazione dei rischi;  Organigramma privacy interno che definisca il “chi fa cosa”;  Certificazioni di sicurezza dei fornitori di sistemi informatici Informativa e Consenso privacy;  Nomina / Contratto Responsabile e DPO .
  • 30. #LANUOVAPRIVACY Valutazione dei rischi www.archimedia.it 30 Il Regolamento prevede l’obbligo di adottare misure di sicurezza sulla base di una valutazione dei rischi. Il Titolare del trattamento deve : a) Valutare i rischi inerenti il trattamento ; b) Implementare le misure tecniche ed organizzative adeguate per limitare i rischi ( es. cifratura). Le misure di sicurezza sono adeguate quando sono in grado di limitare i rischi di:  distruzione accidentale o illegale,  la perdita;  la modifica;  Divulgazione non autorizzata; Accesso in modo accidentale o illegale ai dati personali trattati.
  • 31. #LANUOVAPRIVACY Organigramma Privacy www.archimedia.it 31 Codice della Privacy Regolamento Europeo TITOLARE DEL TRATTAMENTO TITOLARE DEL TRATTAMENTO (DATA CONTROLLER) RESPONSABILE DEL TRATTAMENTO RESPONSABILE DEL TRATTAMENTO (DATA PROCESSOR) INCARICATO DEL TRATTAMENTO NON ESPRESSAMENTE PREVISTO chiunque agisca sotto l'autorità di titolare o responsabile (art. 29) NON PREVISTO Responsabile della protezione dei dati - DPO
  • 32. #LANUOVAPRIVACY Art. 28 “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”. Il Regolamento anche se non esclude figure manageriali interne si riferisce a soggetti esterni. Responsabile del trattamento
  • 33. #LANUOVAPRIVACY Responsabile del trattamento www.archimedia.it 33 Qualora un trattamento debba essere effettuato per conto del titolare del trattamento quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell‘interessato. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento. Attenzione al contenuto del contratto!!
  • 34. #LANUOVAPRIVACY Responsabile del trattamento www.archimedia.it 34 Il contratto deve contenere in particolare, che il responsabile del trattamento:  Tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;  Garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;  Adotti tutte le misure richieste ai sensi dell'articolo 32;  Richieda l’autorizzazione al titolare nel caso incarichi altro responsabile del trattamento;  Tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;
  • 35. #LANUOVAPRIVACY Responsabile del trattamento www.archimedia.it 35 Il contratto deve contenere in particolare, che il responsabile del trattamento:  assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;  su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;  metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
  • 36. #LANUOVAPRIVACY DPO – Responsabile della Protezione dei dati www.archimedia.it 36 Il Responsabile della Protezione dei Dati (Data Protection Officer) , è una nuova figura professionale che obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Il trattamento è effettuato da un’Autorità Pubblica Trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; Le attività principali del titolare consistono nel trattamento, su larga scala, di categorie particolari di dati personali. La nomina è obbligatoria in questi casi
  • 37. #LANUOVAPRIVACY Privacy e Risarcimento del danno www.archimedia.it 37 Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
  • 38. #LANUOVAPRIVACY Responsabilità Privacy www.archimedia.it 38 Diritto al risarcimento Art.82 Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Responsabilità di titolare e responsabile Art.82 Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Responsabilità solidale di titolari e responsabili Art.82 Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. Responsabilità dei contitolari Art.26 Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità.
  • 39. #LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 39 RIFERIMENTO INADEMPIMENTO SANZIONE Consenso dei minori (art. 8) Mancata verifica del consenso da parte del Titolare della responsabilità genitoriale sul minore Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Trattamento che non richiede l’identificazione (art. 11) Inadempimento nell’obbligo di non conservare, acquisire o trattare di informazioni per identificare l’interessato se le finalità non richiedono o non richiedono più la sua identificazione Privacy by design/default (art. 25) Assenza di conformità privacy by design/default di prodotti e servizi Contitolarità (art. 26) Assenza di accordo e ripartizione delle responsabilità con il contitolare Rappresentanti non stabiliti in UE (art. 27) Assenza di designazione di un rappresentante nell’UE Responsabile del trattamento (art. 28) Assenza di autorizzazione scritta, specifica o generale, con contratto o altro atto giuridico, da parte del Titolare
  • 40. #LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 40 RIFERIMENTO INADEMPIMENTO SANZIONE Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto autorità di Titolare o Responsabile Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di controllo Sicurezza (art. 32) Assenza di adozione di misure tecniche ed organizzative adeguate Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione Valutazione d’impatto (art. 35) Asenza di valutazione d’impatto (quando obbligatoria) Consultazione preventiva (art. 36) Assenza di consultazione preventiva(quando necessaria) Designazione DPO (art. 37) Assenza di designazione del DPO (quando necessario)
  • 41. #LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 41 RIFERIMENTO INADEMPIMENTO SANZIONE Posizione DPO (art. 38) Assenza di tempestivo ed adeguato coinvolgimento del DPO; assenza di risorse necessarie per assolvere ai compiti del DPO; ingerenza sulla attività del DPO (istruzioni, penalizzazione e rimozione della sua attività) Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Compiti DPO (art. 39) Ingerenza sull’adempimento dei compiti del DPO Organismi di certificazione (art. 43) Assenza di cooperazione con le autorità di controllo
  • 42. #LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 42 RIFERIMENTO INADEMPIMENTO SANZIONE Soggetti che trattano dati (art. 29) Assenza di istruzioni al soggetto che agisce sotto autorità di Titolare o Responsabile Fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Registro delle attività (art. 30) Assenza e corretto mantenimento del Registro Cooperazione con Autorità (art. 31) Assenza di cooperazione con l’Autorità di controllo Sicurezza (art. 32) Assenza di adozione di misure tecniche ed organizzative adeguate Notifica di violazione (art. 33) Mancata notifica all’Autorità in caso di violazione Valutazione d’impatto (art. 35) Assenza di valutazione d’impatto (quando obbligatoria) Consultazione preventiva (art. 36) Assenza di consultazione preventiva(quando necessaria) Designazione DPO (art. 37) Assenza di designazione del DPO (quando necessario)
  • 43. #LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 43 INADEMPIMENTO SANZIONE principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; Fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. diritti degli interessati a norma degli articoli da 12 a 22; trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.
  • 44. #LANUOVAPRIVACY Sanzioni Privacy www.archimedia.it 44 Le sanzioni amministrative devono essere effettive, proporzionate e dissuasive. Al momento di decidere se infliggere una sanzione si tiene debito conto dei seguenti elementi: a) la natura, la gravità e la durata della violazione; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento; d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento; e) eventuali precedenti violazioni; f) il grado di cooperazione con l'autorità di controllo; g) le categorie di dati personali interessate dalla violazione; j) l'adesione ai codici di condotta o ai meccanismi di certificazione k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
  • 45. #LANUOVAPRIVACY Perché adeguarsi? SANZIONI Il GDPR prevede sanzioni Fino a 10.000.000 EUR, o per le imprese, fino al 2% del Fatturato Fino a 20.000.000 EUR, o per le imprese, fino al 4% del Fatturato REPUTAZIONE Un trattamento illegittimo dei dati personali aumenta il rischio di compromettere il rapporto di fiducia con i propri clienti (e-commerce B2C) OPPORTUNITA’ Il GDPR è l’occasione di rivedere i processi aziendali aventi ad oggetto il trattamento dei dati. LEGALE Rischio di cause civili Il titolare del trattamento e responsabile del trattamento rispondo dei danni materiale o immateriale causato da una violazione del GDPR
  • 46. Da dove iniziare? Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora 46
  • 47. Da dove iniziare? Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, 47
  • 48. #LANUOVAPRIVACY MODELLO ORGANIZZATIVO PRIVACY Privacy Assesment - Gap analysis Piano di adeguamento Valutazione del rischio Misure Adeguate Informativa e consenso Ruoli e Responsabilità VERIFICA DOCUMENTAZIONE MONITORAGGIO PERIODICO
  • 49. #LANUOVAPRIVACY . .. . Valutazione dei rischi Misure di sicurezza adeguate. Informativa e consenso privacy Lettera di autorizzazione Regolamenti / linee guida Registro trattamenti Verifica periodica del modello organizzativo. Organigramma Privacy;  Ruoli e responsabilità Registro dei trattamenti  Mappatura dei trattamenti MODELLO ORGANIZZATIVO PRIVACY
  • 50. #LANUOVAPRIVACY Grazie per l’attenzione Avv. Andrea Battistella studio@battistella.info www.battistella.info