SlideShare a Scribd company logo

SEMINARIO GRATUITO “IL NUOVO REGOLAMENTO EUROPEO PRIVACY”

Conflavoro PMI Reggio Emilia
Conflavoro PMI Reggio Emilia

Le novità introdotte dal nuovo regolamento Le figure da nominare in azienda e le funzioni sttribuite al DPO – Data Protection Officer Gli adempimenti connessi al rischio privacy Trattamento dati su supporto informatico: misure minime di sicurezza Responsabilità e sanzioni

Business
1 of 68
IL NUOVO REGOLAMENTO EUROPEO PRIVACY (GDPR 2016/679) Dott.ssa Eleonora Panini Responsabile Ufficio Legale Conflavoro PMI Reggio Emilia eleonora.panini@conflavoro.re.it
LINEE GUIDA INTERPRETATIVE DEL GDPR  LINEE GUIDA SUI RESPONSABILI DELLA PROTEZIONE DEI DATI (RPD) WP 243  LINEE GUIDA CONCERNENTI LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DATI E I CIRITERI PER STABILIRE SE UN TRATTAMENTO PRESENTA UN RISCHIO ELEVATO WP 248  LINEE GUIDA SULLA APLLICAZIONE E DEFINIZIONE DELLE SANZIONI AMMINISTRATIVE WP 253  LINEE GUIDA SUL DIRITTO ALLA PORTABILITA’ DEI DATI PERSONALI WP 242  LINEE GUIDA PER L’INDIVIDUAZIONE DELL’AUTORITA’ DI CONTROLLO CAPOFILA IN RAPPORTO A UNO SPECIFICO TITOLARE O RESPONSABILE DEL TRATTAMENTO WP 244  LINEE GUIDA SUI PROCESSI DECISIONALI INDIVIDUALI AUTOMATIZZATI E SULLA PROFILAZIONE WP 251  LINEE GUIDA SULLA NOTIFICAZIONE DELLE VIOLAZIONI DI DATI PERSONALI WP 250  LINEE GUIDA SULLA TRASPARENZA WP 260  LINEE GUIDA SUL CONSENSO WP 259  LINEE GUIDA SULL’ACCREDITAMENTO DEGLI ENTI DI CERTIFICAZIONE WP 261
COSA ACCADE ALLE NORMATIVE OGGI IN VIGORE CODICE PRIVACY 196/2003 DIRETTIVA CE 1995/46 DECADONO ACCORDI INTERNAZIONALI SU TRASFERIMENTO DATI DECISIONI COMMISISONE UE AUTORIZZAZIONI GARANTE LINEE GUIDA GARANTE NON DECADONO SINO A QUANDO NON VERRANNO SOSTITUITI MODIFICATI O ABROGATI DECADONO SE NON INTERVIENE ATTO NORMATIVO PRIMARIO
SARA’ SOLO IL GDPR A DISCIPLINARE LA MATERIA?  AGLI STATI MEMBRI È CONSENTITO MANTENERE E/O INTRODURRE NORME NAZIONALI AL FINE DI DEFINIRE E/O SPECIFICARE ULTERIORMENTE L'APPLICAZIONE DELLE NORME EUROPEE PURCHE’ NON IN CONTRASTO CON IL NUOVO REGOLAMENTO  E’ DEMANDATA ALLA LEGISLAZIONE NAZIONALE LA DEFINIZIONE DELLE SANZIONI PENALI  ALCUNI ARTICOLI DELL’ATTUALE CODICE PRIVACY RIMARRANNO IN VIGORE
IL NUOVO REGOLAMENTO EUROPEO PRIVACY (GDPR- General Data Protection Regulation) IN VIGORE DAL 25 MAGGIO 2018 ARMONIZZARE LA REGOLAMENTAZIONE IN TEMA DI PROTEZIONE DEI DATI ALL’INTERNO DELL’UE TUTELARE I DIRITTI DEGLI INTERESSATI AGEVOLARE LA LIBERA CIRCOLAZIONE DEI DATI,LE ATTIVITA’ ECONOMICHE E LA SANA CONCORRENZA TITOLARI E RESPONSABILI STABILITI NELL’UE ANCHE SE IL TRATTAMENTO NON E’ EFFETTUATO AL SUO INTENRO TITOLARI E RESPONSABILI NON STABILITI NELL’UNIONE CHE TRATTANO DATI DI INTERESSATI CHE SI TROVANO AL SUO INTERNO E SE IL TRATTAMENTO RIGUARDA L’OFFERTA DI BENI O SERVIZI IL MONTORAGGIO DEL LORO COMPORTAMENTO
QUALI SONO I SOGGETTI INTERESSATI DAL NUOVO REGOLAMENTO?  SOGGETTI OBBLIGATI  PERSONE FISICHE CHE TRATTANO DATI PER ESIGENZE NON PERSONALI/FAMILIARI  PERSONE GIURIDICHE  ENTI PUBBLICI  SOGGETTI INTERESSATI  SOLO PERSONE FISICHE  SOLO PERSONE VIVENTI
I DATI NEL NUOVO REGOLAMENTO  PERSONALI  QUALUNQUE INFORMAZIONE RELATIVA A PERSONA FISICA, PERSONA GIURIDICA, ENTE OD ASSOCIAZIONE, IDENTIFICATI O IDENTIFICABILI, ANCHE INDIRETTAMENTE, MEDIANTE RIFERIMENTO A QUALSIASI ALTRA INFORMAZIONE, IVI COMPRESO UN NUMERO DI IDENTIFICAZIONE PERSONALE  PARTICOLARI (EX SENSIBILI)  I DATI PERSONALI IDONEI A RIVELARE L'ORIGINE RAZZIALE ED ETNICA, LE CONVINZIONI RELIGIOSE, FILOSOFICHE O DI ALTRO GENERE, LE OPINIONI POLITICHE, L'ADESIONE A PARTITI, SINDACATI, ASSOCIAZIONI OD ORGANIZZAZIONI A CARATTERE RELIGIOSO, FILOSOFICO, POLITICO O SINDACALE, NONCHÉ I DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE, DATI BIOMETRICI, DATI GENETICI  GIUDIZIARI  I DATI PERSONALI IDONEI A RIVELARE CONDANNE PENALI E / O REATI DI CUI ALL’ARTICOLO 10 DEL REGOLAMENTO EUROPEO IN TEMA DI PROTEZIONE DATI PERSONALI. O COMUNQUE PROVVEDIMENTI DI CUI ALL'ARTICOLO 3, COMMA 1, LETTERE DA A) A O) E DA R) A U), DEL D.P.R. 14 NOVEMBRE 2002, N. 313, IN MATERIA DI CASELLARIO GIUDIZIALE, DI ANAGRAFE DELLE SANZIONI AMMINISTRATIVE DIPENDENTI DA REATO E DEI RELATIVI CARICHI PENDENTI, O LA QUALITÀ DI I IMPUTATO O DI INDAGATO AI SENSI DEGLI ARTICOLI 60 E 61 DEL CODICE DI PROCEDURA PENALE
I PRINCIPI DEL NUOVO REGOLAMENTO ACCOUNTABILITY PRIVACY BY DEFAULT PRIVACY BY DESIGN CAPACITA’ DI DIMOSTRARE LA CONFORMITA’ DEL TRATTAMENTO AL REGOLAMENTO GARANTIRE CHE SIANO TRATTATI PER IMPOSTAZIONE PREDEFINITA SOLO I DATI NECESSARI PROTEZIONE SIN DALLA PROGETTAZIONE E ADOZIONE DI MISURE DI SICUREZZA ADEGUATE
I PRINCIPI APPLICABILI AL TRATTAMENTO DATI (ART.5)  FINALITÀ DETERMINATE, ESPLICITE E LEGITTIME  PROPORZIONALITA’ E NECESSITA’ DEL TRATTAMENTO  DATI ADEGUATI,PERTINENTI E LIMITATI A QUANTO NECESSARIO  LIMITAZIONE DELLA CONSERVAZIONE  MINIMIZZAZIONE DEL TRATTAMENTO  LICEITA’ DEL TRATTAMENTO IDONEA BASE GIURIDICA BASATA SU:  CONSENSO  ADEMPIMENTO OBBLIGHI CONTRATTUALI  INTERESSI VITALI DELLA PERSONA INTERESSATA O DI TERZI  INTERESSE LEGITTIMO PREVALENTE DEL TITOLARE O DI UN TERZO
MISURE DI SICUREZZA (ART.32)  IL TITOLARE E IL RESPONSBAILE DEL TRATTAMENTO DEVONO METTERE IN ATTO MISURE TECINCHE ED ORGANIZZATIVE ADEGUATE PER GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AL RISCHIO  ALCUNE MISURE:  PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI  CAPACITA’ DI ASSICURARE SU BASE PERMANENTE LA RISERVATEZZA E L A RESILIZIENZA DEI SISTEMI UTILIZZATI  CAPACITA’ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITA’ E L’ACCESSO AI DATI IN CASO DI INCIDENTE  PROCEDURE PERIODICHE DI DISASTER RECOVERY
TITOLARE DEL TRATTAMENTO (ART.4) (Data Controller)  E’ LA PERSONA FISICA O GIURIDICA, L’AUTORITÀ PUBBLICA, IL SERVIZIO O ALTRO ORGANISMO CHE, SINGOLARMENTE O INSIEME AD ALTRI:  DETERMINA LE FINALITÀ E I MEZZI DEL TRATTAMENTO DI DATI PERSONALI  METTE IN ATTO MISURE TECNICHE ED ORGANIZZATIVE PER GARANTIRE ED ESSERE IN GRADO DI DIMOSTRARE CHE IL TRATTAMENTO E’ EFFETTUATO IN CONFORMITA’ AL REGOLAMENTO  GARANTISCE L’ESERCIZIO DEI DIRITTI DEGLI INTERESSATI  TITOLARE PEROSNA FISICA : INDIVIDUO CHE EFFETTUA UN TRATTAMENTO DATI A TITOLO PERSONALE E CHE ASSUME INDIVIDUALMENTE LA RESPONSABILITA’ DI UN’ATTIVITA’(ES. LIBERO PROFESSIONISTA)  TITOLARE PERSONA GIURIDCA: ENTITA’ NEL SUO COMPLESSO E NON LA O LE PERSONE FISICHE CHE LO RAPPRESENTANO
COME INDIVIDUARE IL TITOLARE DEL TRATTAMENTO?  IL TITOLARE DEL TRATTAMENTO NON È, QUINDI, CHI GESTISCE I DATI, MA CHI DECIDE IL MOTIVO E LE MODALITÀ DEL TRATTAMENTO, ED È RESPONSABILE GIURIDICAMENTE DELL'OTTEMPERANZA DEGLI OBBLIGHI PREVISTI DALLA NORMATIVA  LA TITOLARITA’ PUO’ DERIVARE DA:  UNA ESPLICITA COMPETENZA GIURIDICA: E’ LA LEGGE AD INDIVIDUARE IL TITOLARE O I CRITERI PER LA SUA DESIGNAZIONE  UNA COMPETENZA IMPLICITA: LA DETERMINAZIONE DI FINALITA’ E MEZZI DEL TRATTAMENTO VIENE STABILITA DA PRASSI GIURIDICHE (ES. IL DATORE DI LAVORO PER I DATI DEI SUOI LAVORATORI)  UNA INFLUENZA EFFETTIVA: LA TITOLARITA’ SI STABILISCE SULLA BASE DI CIRCOSTANZE DI FATTO  PER I TITOLARI NON STABILITI NELL’UNIONE OCCORRE FARE RIFERIMENTO ALLA SEDE AMMINISTRATIVA OVVERO ALLA SEDE DOVE DI FATTO VIENE ESERCITATO IL POTERE  OBBLIGO DI NONIMANRE UN RAPPRESENTANTE ALL’INTERNO DELL’UE OVVERO ALL’INTERNO DELLO STATO IN CUI SI TROVANO GLI INTERESSATI I I CUI DATI SONO TRATTATI O IL CUI COMPORTAMENTO E’ MONITORATO
CONTITOLARI DEL TRATTAMENTO (ART.26) (Joint Controllers)  QUANDO DUE O PIU’ TITOLARI DEL TRATTAMENTO DEFINISCONO CONGIUNTAMENTE LE FINALITA’ E I MEZZI DEL TRATTAMENTO, IN RELAZIONE AGLI STESSI DATI, SONO CONTITOLARI DEL TRATTAMENTO  OBBLIGHI DERIVANTI DALLA CONTITOLARITA’:  DETERMINARE LE RISPETTIVE RESPONSABILITA’ IN MODO TRASPARENTE E TRAMITE UN ACCORDO INTERNO OBBLIGATORIO(ES. DELIBERA ORGANIZZATIVA)  DETERMINARE I COMPITI E GLI OBBLIGHI DI CIASCUN CONTITOLARE  PREVEDERE CLAUSOLE PER STABILIRE LE CONSEGUENZE INCASO DI VIOLAZIONE DELLE NORME PRIVACY ALLA LUCE DELL’ART. 82 O DI APPLICAZIONE DELLE SANZIONI AMMINISTRATIVE AI SENSI DELL’ART. 83  SE FRA I CONTITOLARI VE NE E’ UNO STABILITO FUORI DALL’UE OCCORRONO CLAUSOLE SPECIFICHE IN RELAZIONE AL TRAFERIMENTO DATI (DATA TRANSFER AGREEMENT)
IL RESPONSABILE DEL TRATTAMENTO (ART.29)  E’ LA PERSONA FISICA O GIURIDICA, L’AUTORITA’ PUBBLICA, IL SERVIZIO O ALTRO ORGANISMO CHE TRATTA DATI PERSONALI PER CONTO DEL TITOLARE DEL TRATTAMENTO DAL QUALE RICEVE ISTRUZIONI CHE E’ TENUTO A RISPETTARE  ESTERNO O INTERNO?  IL RESPONSABILE PUO’ ESSERE UN SOGGETTO ESTERNO OD INTERNO ALL’AZIENDA  OBBLIGATORIO O FACOLTATIVO?  IL REGOLAMENTO PREVEDE L’OBBLIGATORIETA’ DELLA NOMINA SOPRATTUTTO IN CASO DI ESTERNALIZZAZIONE DEL TRATTAMENTO TUTTAVIA NON E’ ESCLUSA, ANZI SI PREUSPPONE, CHE LA NOMINA POSSA ESSERE ANCHE INTERNA  LA NOMINA DEVE AVVENIRE MEDIANTE UN CONTRATTO O ALTRO GIURIDICAMENTE VALIDO
ESEMPI  RESPONSABILI  UN’AGENZIA VIAGGI COMUNICA I DATI DEI PROPRI CLIENTI AD UNA COMPAGNIA AEREA E AD UNA CATENA DI ALBERGHI. LA COMPAGNIA AEREA E LA CATENA ALBERGHIERA CONFERMANO LA DISPONIBILITA’ DELLE CAMERE, L’AGENZIA VIAGGI EMETTE I DOCUMENTI DI VIAGGIO. IN QUESTO CASO AGENZIA, COMPAGNIA AEREA E ALBERGO SONO TRE RESPONSABILI DISTINTI  CONTITOLARI  QUALORA, PERO’, QUESTI TRE SOGGETTI DECIDESSERO DI CREARE UNA PIATTAFORMA INTEGRATA DETRMINANDO GLI ASPETTI FONDAMENTALI RIGUARDO AGLI STRUMENTI DA UTILIZZARE ANCHE SE AL FINE DI PERSEGUIRE CIASCUNO LE PROPRIE FINALITA’DIVENGONO CONTITOLARI DEL TRATTAMENTO
IL SUB RESPONSABILE DEL TARTTAMENTO  IL RESPONSABILE DEL TRATTAMENTO PUÒ NOMINARE, MEDIANTE CONTRATTO, UN SUB RESPONSABILE PER L’ESERCIZIO DI SPECIFICHE ATTIVITÀ DI TRATTAMENTO PER CONTO DEL TITOLARE  SUL SUB RESPONSABILE GRAVANO GLI STESSI OBBLIGHI CHE SONO CONTENUTI NEL CONTRATTO FRA TITOLARE E RESPONSABILE  IL RESPONSABILE INIZIALE CONSERVA NEI CONFRONTI DEL TITOLARE L’INTERA RESPONSABILITÀ IN CASO DI INADEMPIMENTO DA PARTE DEL SUB RESPONSABILE  IL SUB RESPONSABILE PUÒ A SUA VOLTA NOMINARE UN SUO SUB RESPONSABILE ED E’POSSIBILE UNA GERARCHIA TRA LORO
INCARICATI DEL TRATTAMENTO (Data Processor)  LE PERSONE FISICHE CHE EFFETTIVAMENTE SI OCCUPANO DEL TRATTAMENTO DEI DATI SOTTO LA DIREZIONE DEL RESPONSABILE O DEL TITOLARE  DEVONO ESSERE NOMINATI DAL TITOLARE TRAMITE ATTO SCRITTO NEL QUALE SONO INDICATI COMPITI, AUTORIZZAZIONI E DOVERI  IL RESPONSABILE DEL TRATTAMENTO PUÒ PER DELEGA DEL TITOLARE ISTRUIRE GLI INCARICATI
ESEMPIO  INCARICATI E RESPONSABILI  LA SOCIETA’ ALFA (AZIENDA METALMECCANICA) HA LA NCESSITA’ DI ASSUMERE DEL PERSONALE E AFFIDA TALE INCARICO ALLA SOCIETA’ BETA (AGENZIA PER IL LAVORO). LA SOCIETA’ BETA SULLA BASE DEL CONTRATTO INTERCORRENTE ELABORA I DATI PERSONALI DEI SOGGETTI CHE CERCANO LAVORO.  LA SOCIETA’ BETA UTILIZZANDO AI FINI DELLA RICERCA DI PERSONALE, SIA I CV RICEVUTI DIRETTAMENTE DA ALFA CHE I CV PRESENTI NELLA PROPRIA BANCA DATI E RICEVENDO UNA PERCENTUALE QUALORA INDIVIDUI UN CANDIDATO CHE EFFETTIVAMENTE VERRA’ ASSUNTO DA ALFA, SARA’ RESPONSABILE DEL TRATTAMENTO NEI CONFORNTI DELLE PEROSNE CHE CERCANO LAVORO MENTRE RICOPRIRA’ IL RUOLO DI INCARICATO DEL TRATTAMENTO NEI CONFRONTI DELLA SOCIETA’ ALFA (UNICO VERO RESPONSABILE DEL TRATTAMENTO)  ALFA E BETA SARANNO RESPONSBAILI IN SOLIDO PER TUTTE LE OPERAZIONI RELATIVE ALLE ASSUNZIONI EFFETTUATE DA ALFA.
RESPONSABILE DELLA PROTEZIONE DATI (ARTT.37-39) (RDP/DPO Data Protection Officer)  SOGGETTO INTERNO OD ESTERNO E DESIGNATO DAL TITOLARE O DAL RESPONSABILE DEL TRATTAMENTO CON FUNZIONI DI:  SUPPORTO E CONTROLLO, ATTIVITA’ CONSULTIVE, FORMATIVE E INFORMATIVE RELATIVAMENTE ALL'APPLICAZIONE DEL REGOLAMENTO MEDESIMO.  VERIFICA L’ATTUAZIONE E L’APPLICAZIONE DEL REGOLAMENTO  FORNISCE PARERI SULLA VALUTAZIONE D’IMPATTO  OFFRE SUPPORTO AL TITOLARE NELLA TENUTA DEL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO  COOPERA CON L'AUTORITÀ (E PROPRIO PER QUESTO, IL SUO NOMINATIVO VA COMUNICATO AL GARANTE)  COSTITUISCE IL PUNTO DI CONTATTO, ANCHE RISPETTO AGLI INTERESSATI, PER LE QUESTIONI CONNESSE AL TRATTAMENTO DEI DATI PERSONALI
DPO ESTERNO O INTERNO  IL DPO PUO’ ESSERE UN DIPENDENTE DEL TITOLARE O UN CONSULENTE ESTERNO CHE ASSOLVE AI SUPI COMPITI SULLA BASE DI UN CONTRATTO DI SERVIZI  DEVE POSSEDERE ELEVATE QUALITA’ PROFESSIONALI, CONOSCENZA SPECIALISTA DELLA NORMATIVA E DELLE PRASSI IN MATERIA DI PROTEZIONE DEI DATI  IL DPO DEVE ESSERE UN SOGGETTO AUTONOMO RISPETTO AL TITOLARE E AL RESPONSABILE DEL TRATTAMENTO, DEVE AVERE UN PROPRIO TEAM, AVERE POTERE DI SPESA, DEVE PARTECIPARE ALLE DECIZIONI AZIENDALI  LA CARICA DI DPO E’ INCOMPATIBILE CON QUASI LA TOTALITA’ DEI RUOLI AZIENDALI  E’ POSSIBILE PER UN GRUPPO DI SOCIETA’ NOMINARE UN UNICO DPO
QUANDO E’ OBBLIGATORIO IL DPO  SE IL TRATTAMENTO È EFFETTUATO DA UN’AUTORITÀ PUBBLICA O DA UN ORGANISMO PUBBLICO, ECCETTUATE LE AUTORITÀ GIURISDIZIONALI QUANDO ESERCITANO LE LORO FUNZIONI GIURISDIZIONALI  SE LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO CONSISTONO IN TRATTAMENTI CHE, PER LORO NATURA, AMBITO DI APPLICAZIONE E/O FINALITÀ, RICHIEDONO IL MONITORAGGIO REGOLARE E SISTEMATICO DEGLI INTERESSATI SU LARGA SCALA (ES. TRACCIATURA POSIZIONE GEOGRAFICA ATTRAVERSO APP SU SMARTPHONE, E MAIL RETARGETING, ECC…)  SE LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO CONSISTONO NEL TRATTAMENTO, SU LARGA SCALA, DI CATEGORIE PARTICOLARI DI DATI PERSONALI DI CUI ALL’ARTICOLO 9 RIGUARDANTI RAZZA RELIGIONE ECC. O DI DATI RELATIVI A CONDANNE PENALI E A REATI DI CUI ALL’ARTICOLO 10
COSA FARE SE SI DECIDE DI NON NOMINARE IL DPO  AD ECCEZIONE DEI CASI IN CUI E’ EVIDENTE CHE L’AZIENDA NON E’ TENUTA A NOMINARE UN DPO, I TITOLARI E I RESPONSABILI DEVONO DOCUMENTARE LE VALUTAZIONI COMPIUTE AL FINE DI MOTIVARE E GIUSTIFICARE LA MANCATA NOMINA DI UN DPO E LE RAGIONI PER LE QUALI LO HANNO RITENUTO NON NECESSARIO  TALE DOCUMENTAZIONE FA PARTE DEL PRINCIPIO DI RESPONSABILIZZAZIOE E PUO’ ESSERE RICHIESTA DALL’AUTORITA’ DI CONTROLLO
I CODICI DI CONDOTTA (ART.40) E LE CERTIFICAZIONI (ART.42)  I CODICI DI CONDOTTA  LE ASSOCIAZIONI E GLI ALTRI ORGANISMI RAPPRESENTANTI LE CATEGORIE DI TITOLARI DEL TRATTAMENTO O RESPONSABILI DEL TRATTAMENTO POSSONO ELABORARE I CODICI DI CONDOTTA  STRUMENTO UTILE PER DIMOSTRARE IL RISPETTO DEGLI OBBLIGHI DEL TITOLARE  ESONERA DA ALCUNI ADEMPIMENTI MA NON DA RESPONSABILITA’  CERITIFICAZIONE  LE AUTORITÀ DI CONTROLLO, INCORAGGIANO L’ISTITUZIONE DI MECCANISMI DI CERTIFICAZIONE ALLO SCOPO DI DIMOSTRARE LA CONFORMITÀ AL PRESENTE REGOLAMENTO DEI TRATTAMENTI EFFETTUATI DAI TITOLARI DEL TRATTAMENTO E DAI RESPONSABILI DEL TRATTAMENTO  RILASCIATA DAGLI ORGANISMI DI CERTIFICAZIONE DI CUI AL REGOLAMENTO O DALL’AUTORITÀ DI CONTROLLO COMPETENTE  PROCEDURA VOLONTARIA  NON RIDUCE LA RESPONSABILITA’ DI TITIOLARE E RESPONSABILI IN ORDINE AL RISPETTO DEL REGOLAMENTO  CERTIFICARE UN DPO NON ESIME IL TITOLARE DALLE RESPONSABILITA’ DERIVANTI DAL RISPETTO DEL REGOLAMENTO MA ELIMINA LA CULPA IN ELIGENDO
ESEMPI  ESEMPIO 1  UNA PICCOLA AZIENDA A CONDUZIONE FAMILIARE OPERANTE NEL SETTORE DELLA DISTRIBUZIONE DI ACCESSORI PER LA CASA SI SERVE DI UN RESPONSABILE DEL TRATTAMENTO LA CUI ATTIVITA’ PRINCIPALE CONSISTE NEL FORNIRE SERVIZI DI TRACCIAMENTO DEGLI UTENTI DEL SITO WEB OLTRE ALL’ASSITENZA PER LE ATTIVITA’ DI MARKETING E PUBBLICTA’ MIRATI  IL TRATTAMENTO DATI DELL’AZIENDA NON PUO’ CONSIDERARSI SU LARGA SCALA IN QUANTO IL NUMERO DI CLIENTI E LA TIPOLGOIA DI ATTIVITA’ SONO LIMITATE  TUTTAVIA IL RESPONSABILE DEL TRATTAMENTO, NELL’ESERCIZIO DELLA SUA ATTIVITA’ PRINCIPALE OVVERO QUELLA DI MONITORAGGIO WEB, CONTA NUMEROSE SOCIETA’. IN QUESTO IL TRATTAMENTO E’ DA CONSIDERARSI SU LARGA SCALA  IL RESPONSABILE DEL TRTTAMENTO E’ QUINDI TENUTO A NOMINARE UN DPO  IL TITOLARE DEL TRATTAMENTO NON E’ INVECE TENUTO A NOMINARE UN DPO  ESEMPIO 2  SE L’AZIENDA DI CUI SOPRA PER TRE MESI FA PROFILAZIONE SU LARGA SCALA NON E’ TENUTA NOMINARE UN DPO IN QUANTO IL TRATTAMENTO E’ OCCASIONALE E NON RAPPRESENTA L’ATTIVITA’ PRINCIPALE DI ALFA
RESPONSABILITA’ DI TITOLARE E RESPONSABILE CHIUNQUE SUBISCA UN DANNO MATERIALE O IMMATERIALE CAUSATO DA UNA VIOLAZIONE DELLE NORME DEL GDPR HA IL DIRITTO AD OTTENERE IL RISARCIMENTO DEL DANNO DAL TITOLARE O DAL RESPOSNABILE DEL TRATTAMENTO  TITOLARE DEL TRATTAMENTO  RISPONDE PER IL DANNO CAGIONATO DAL SUO TRATTAMENTO  RESPONSABILE DEL TRATTAMENTO RISPONDE PER IL DANNO CAUSATO DAL TRATTAMENTO SOLAMENTE SE:  NON HA ADEMPIUTO AGLI OBBLIGHI DEL GDPR  HA AGITO IN MODO DIFFORME RISPETTO ALLE ISTRUZIONI DEL TITOLARE
RESPONSABILITA’ SOLIDALE, REGRESSO ED ESONERO  OGNI TITOLARE E OGNI RESPONSABILE E’ RESPONSABILE IN SOLIDO PER L’INTERO AMMONATRE DEL DANNO CAGIONATO ALL’INTERESSATO  QUALORA IL TITOLARE O ILRESPONSABILE ABBIA PAGATO L’INTERO RISARCIMENTO DEL DANNO L’ALTRO PUO’ PRETENDERE LA PARTE DEL RISARCIMENTO CORRISPONDENTE ALLA PARTE DI RESPONSBAILITA’ ALTRUI  TITOLARE E RESPONSBAILI POSSONO ANDARE ESENTI DA RESPONSABILITA’ SOLAMENTE LADDOVE DIMOSTRINO CHE L’EVENTO DANNONOSO NON E’ LORO IMPUTABILE IN ALCUN MODO
RESPONSABILITA’ DEL DPO  NON RISPONDE PERSONALMENTE DELLA INOSSERVANZA DEL REGOLAMENTO. SPETTA AL TITOLARE DEL TRATTAMENTO DIMOSTRARE IL RISPETTO DELLA NORMATIVA  NON HA RESPONSABILITÀ DIRETTE PER QUANTO RIGUARDA GLI ILLECITI AMMINISTRATIVI MA PERMANE UNA RESPONSABILITÀ IN VIA DI RIVALSA SUL PIANO RISARCITORIO A FAVORE DEL TITOLARE DEL TRATTAMENTO E DEL RESPONSABILE DEL TRATTAMENTO CHE ABBIA SUBITO UN DANNO RILEVANTE DA COLPA GRAVE O INADEMPIMENTI GRAVI RIFERIBILI AI COMPITI DEL DPO
SANZIONI  CIVILI  RISARCIMENTO DEL DANNO PATRIMONIALE E NON PATRIMONIALE PATITO DALL’INTERESSATO  AMMINISTRATIVE  SANZIONI AMMINISTRATIVE PECUNIARIE FINO A 10 MILIONI DI EURO O PER LE IMPRESE SINO AL 2% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO SUPERIORE SE SUPERIORE  SANZIONI AMMINISTRATIVE PECUNIARIE FINO A 20 MILIONI DI EURO O PER LE IMPRESE SINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO SUPERIORE SE SUPERIORE  PENALI  SPETTA AGLI STATI MEMBRI STABILIRLE
CRITERI DI DETERMIANAZIONE DELLE SANZIONI  NATURA, GRAVITA’, DURATA DELLA VIOLAZIONE TENUTO CONTO DELLA NATURA, DELL’OGGETTO, DELLE FINALITA’ DEL TRATTAMENTO E DEL NUMERO DI SOGGETTI INTERESSATI  CARATTERE DOLOSO O COLPOSO DELLA VIOLAZIONE (ES. TRATTAMENTO ILLECITO AUTORIZZATO ESPLICITAMENTE DAL TITOLARE OPPURE ERRORE UMANO)  LE MISURE ADOTTATE DAL TITOLARE O DAL RESPONSABILE PER LIMITARE IL DANNO  IL GRADO DI RESPONABILITA’ DEL TITOLARE O DEL RESPONABILE IN RELAZIONE ALLE MISURE TECNICHE ED ORGANIZZATIVE  VIOLAZIONI GIA’ COMMESSE IN PRECEDENZA DAL RESPONSABILE E DAL TITOLARE  IL GRADO DI COOPERAZIONE CON L’AUTORITA’ DI CONTROLLO AL FINE DI PORRE RIMEDIO ALLA VIOLAZIONE  LE CATEGORIE DI DATI PERSONALI INTERESSATE DALLA VIOLAZIONE  IL MODO IN CUI L’AUTORITA’ E’ VENUTA AL CORRENTE DELLA VIOLAZIONE  IL RISPETTO DI EVENTUALI PROVVEDIMENTI EMESSI IN PRECEDENZA DALL’AUTORITA’  ADESIONE A CODICI DI CONDOTTA  EVENTUALI AGGRAVANTI O ATTENUANTI (ES. VANTAGGI CONSEGUITI)
SANZIONI AMMINISTRATIVE (ART. 83) RIFERIMENTO VIOLAZIONE Registro trattamenti Assenza o mantenimento non corretto Privacy by design/by default Assenza di conformità privacy by design/default di prodotti e servizi Contitolarità Assenza di accordo e ripartizione responsabilità tra contitolari Rappresentanti non stabiliti in UE Assenza di designazione di un rappresentante in UE Responsabile trattamento Assenza autorizzazione scritta da parte del Titolare Soggetti che trattano dati Assenza di istruzioni Certificazione Assenza di cooperazione con organismo Fino a 10 Mln Euro o 2% del fatturato MONDIALE totale annuo dell’esercizio precedente, se superiore
SANZIONI AMMINISTRATIVE (ART. 83) RIFERIMENTO VIOLAZIONE Sicurezza Assenza di adozione di misure tecniche e organizzative adeguate Notifica di violazione Mancata notifica all’Autorità Comunicazione di violazione Mancata comunicazione agli interessati Valutazione di impatto Assenza di valutazione di impatto DPO Assenza di designazione Nomine Assenza di nomine di Responsabili e soggetti autorizzati Consultazione preventiva Assenza di consultazione Fino a 10 Mln Euro o 2% del fatturato MONDIALE totale annuo dell’esercizio precedente, se superiore
SANZIONI AMMINISTRATIVE (ART. 83) RIFERIMENTO VIOLAZIONE Principi base del trattamento Violazione principi di liceità, trasparenza, correttezza, proporzionalità Consenso Modalità, condizioni e caratteristiche di acquisizione Diritti Violazione dei diritti di cui agli artt. 12-22 Ordini o limitazioni Inosservanza delle direttive imposte dall’Autorità Trasferimenti in pesi terzi Assenza di idonee garanzie Fino a 20 Mln Euro o 4% del fatturato MONDIALE totale annuo dell’esercizio precedente, se superiore
L’AUTORITA’ DI CONTROLLO (ART.51-56-60)  SPETTA AD OGNI SINGOLO STATO MEMBRO INDIVIDUARE LA PROPRIA AUTORITA’ DI CONTROLLO (PER L’ITALIA GUARDIA DI FINANZA)  E’ COMPETENTE L’AUTORITA’ DELLO STATO IN CUI E’ STABILITO IL TITOLARE DEL TRATTAMENTO  NEL CASO IN CUI SIANO COINVOLTE PIU’ AUTORITA’ L’AUTORITA’ DI CONTROLLO DELLO STABILIMENTO PRINCIPALE DEL TITOLARE ASSUME IL RUOLO DI AUTORITA’ CAPOFILA  IN CASO DI TRATTAMENTI TRANSFRONTALIERI OGNI AUTORITA’ DI CONTROLLO DEVE SENZA RITARDO INFORMARE L’AUTORITA’ CAPOFILA CHE HA 3 SETTIMANE DI TEMPO PER DECIDERE SE DEROGARE O MENO LA COMPETENZA IN FAVORE DELL’AUTORITA’CHE L’HA INFORMATA
L’ITER SANZIONATORIO  QUALORA IN CASO DI VERIFICA L’ORGANO DI CONTROLLO RISCONTRI IRREGOLARITA’ O INADEMPIMENTI REDIGE UN VERBALE DI CONTESTAZIONE AMMINISTRATIVA E FA UNA PROPOSTA SANZIONATORIA  IL GARANTE HA 5 ANNI DI TEMPO PER:  CONFERMARE LA SANZIONE  RIDETERMINARE LA SANZIONE  ARCHIVIARE  QUALORA VI SIANO ANCHE RESPONSABILITA’ PENALI L’AUTORITA’ GARANTE NE DARA’ NOTIZIA ALLA PROCURA COMPETENTE  IL PAGAMAENTO DELLA SANZIONE DOPO I 60 GG DA QUANDO E’ STATA COMMINATA COMPORTA LA QUADRUPLICAZIONE DELL’IMPORTO
IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO (ART.30)  COS’E’?  E’ UN REGISTRO NEL QUALE SONO RIPORTARE TUTTE LE INFORMAZIONI INERENTI AL TRATTAMENTO DATI.  A COSA SERVE?  E’ INDISPENSABILE PER POTER EFFETTUARE UNA CORRETTA ANALISI DEI RISCHI  PERMETTE DI AVERE UN QUADRO AGGIORNATO DEI TRATTAMENTI IN ESSERE ALL’INTERNO DELL’AZIENDA  E’ UNO STRUMENTO UTILE IN CASO DI SUPERVISIONE DA PARTE DEL GARANTE  CHI DEVE REDIGERLO?  IL TITOLARE DEL TRATTAMENTO, IL/I RESPONSABILE/I DEL TRATTAMENTO E OGNI SUO RAPPRESENTANTE  QUANDO?  SE L’AZIENDA HA PIÙ DI 250 DIPENDENTI  SE L’AZIENDA HA MENO DI 250 DIPENDENTI:  SE IL TRATTAMENTO PRESENTA UN RISCHIO PER I DIRITTI E LE LIBERTA’ DELL’INTERESSATO  SE IL TRATTAMENTO NON È OCCASIONALE E RIGUARDA DATI PARTICOLARI  DEVE ESSERE AGGIORNATO COSTANTEMENTE  E’ SEMPRE CONSIGLIATO IN QUANTO STRUMENTO CHE FA SCATTARE UNA PRESUNZIONE DI CONFORMITÀ AL REGOLAMENTO E PERMETTE DI AVER SOTTO CONTROLLO I TRATTAMENTI EFFETTUATI
…. CONTINUA  QUALI INFORMAZIONI DEVE NECESSARIMENTE CONTENENRE?  NOME E DATI DI CONTATTO DEL TITOLARE ED EVENTUALE CONTITOLARE DEL TRATTAMENTO  NOME E DATI DI CONTATTO DEL RAPPRESENTANTE DEL TITOLARE  NOME E DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DATI  FINALITÀ DEL TRATTAMENTO  CATEGORIE DI DATI TRATTATI  CATEGORIE DI INTERESSATI  CATEGORIE DI DESTINATARI  TRASFERIMENTI DI DATI A PAESI TERZI E RELATIVE GARANZIE  TERMINI PER LA CANCELLAZIONE DEI DATI  DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA, TECNICHE ED ORGANIZZATIVE
VALUTAZIONE DI IMPATTO (ART.35) (DPIA-Data Protection Impact Assessment)  COS’E’ E CHI E’ TENUTO AD EFFETTUARLA?  E’ UNA VALUTAZIONE FINALIZZATA A DESCRIVERE IL TRATTAMENTO, VALUTARNE LA NECESSITÀ, LA PROPORZIONALITÀ E I RISCHI PER I DIRITTI E LE LIBERTA’ DEGLI INTERESSATI.  DEVE ESSERE EFFETTUATA DAL TITOLARE E DAL RESPONSABILE DEL TRATTAMENTO CHE SONO TENUTI, OVE PRESENTE, A CONSULTARSI CON IL DPO  ELIMINA L’OBBLIGO DEL PRIOR CHECKING O INTERPELLO PREVENTIVO AL GARANTE  QUANDO VA EFFETTUATA?  PRIMA DI INIZIARE UN TRATTAMENTO E RIVALUTATA DURANTE
…CONTINUA  COSA DEVE CONTENERE?  DESCRIZIONE SISTEMATICA DEI TRATTAMENTI PREVISTI E DELLE FINALITÀ DEL TRATTAMENTO  VALUTAZIONE DELLA NECESSITÀ E PROPORZIONALITÀ DEI TRATTAMENTI IN RELAZIONE ALLE FINALITÀ  VALUTAZIONE DEI RISCHI PER I DIRITTI E LE LIBERTÀ DEGLI INTERESSATI  MISURE PREVISTE PER AFFRONTARE I RISCHI
QUANDO E’ OBBLIGATORIA LA DPIA  QUANDO IL TRATTAMENTO PRESENTA UN RISCHIO ELEVATO PER GLI INTERESSATI (OBBLIGATORIA NEL CASO DI INTRODUZIONE DI NUOVE TECNOLOGIE)  QUANDO VI È UNA VALUTAZIONE SISTEMATICA E AUTOMATIZZATA COMPRESA LA PROFILAZIONE, SULLA QUALE SI FONDANO DECISIONI CHE HANNO EFFETTI GIURIDICI SUGLI INTERESSATI  QUANDO IL TRATTAMENTO DI DATI PARTICOLARI È EFFETTUATO SU LARGA SCALA  QUANDO VI È UNA SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI ZONA ACCESSIBILE AL PUBBLICO
QUANDO NON E’ OBBLIGATORIA LA DPIA  QUANDO IL TRATTAMENTO NON COMPORTA UN RISCHIO ELEVATO PER I DIRITTI E LE LIBERTA’ DELLE PERSONE  QUANDO LA NATURA, IL CONTESTO, LE FINALITA’ DEL TRATTAMENTO SONO MOLTO SIMILI O UGUALI A QUELLI DI UN TRATTAMENTO PER IL QUALE E’STATA SVOLTA UNA DPIA  QUANDO IL TRATTAMENTO E’ STATO VERIFICATO DA PARTE DI UNA AUTORITA’ DI CONTROLLO PRIMA DELL’ENTRATA IN VIGORE DEL REGOLAMENTO E NON HA SUBITO MODIFICHE (INTERPELLI E ISTANZE GARANTE)  QUANDO IL TRATTAMENTO E’ COMPRESO TRA QUELLI PER I QUALI ESISITONO AUTORIZZAZIONI  QUANDO NON EMERGE CON CHIAREZZA LA NECESSITA’ DI UNA DPIA IL GARANTE CONSIGLIA COMUNQUE DI FARVI RICORSO
I 9 CRITERI DELLA DPIA  TRATTAMENTI VALUTATIVI, PREDITTIVI, DI SCORING E DI PROFILAZIONE (ES. CREAZIONE DI PROFILI COMPORTAMENTALI SULLA BASE DEI DATI NAVIGAZIONE WEB)  DECISIONI AUTOMATIZZATE CHEPRODUCOO SIGNIFICATIVI EFFETTI GIURIDICI (ESCLUSIONE DA DETERMINATI BENEFICI – DISCRIMINAZIONE)  MONITORAGGIO SISTEMATICO (PREDETERMINATO, ORGANIZZATO E METODICO- ES. CONTROLLO DATI DI NAVIGAZIONE DEI DIPENDENTI)  COMBINAZIONE O RAFFRONTO DI INSIEME DI DATI (ES. TRATTAMENTI SVOLTI PER FINALITA’ DIVERSE DA TITOLARI DIVERSI)  TRATTAMENTI DI DATI SENSIBILI, GIUDIZIARI O DI DATI COMUNQUE DI NATURA ESTREMAMENTE PERSONALE (CASELLARIO GIUDIZIARIO)  TRATTAMENTI DI DATI SUL ALRGA SCALA  NUMERO DI SOGGETTI INTERESSATI DAL TRATTAMENTO IN RELAZIONE ALLA % DELLA POPPOLAZIONE O IN REALZIONE ALLA REALTA’ AZIENDALE  VOLUME DEI DATI TRATTATI E/O AMBITO DELLE DIVERSE TIPOLOGIE DI DATO OGGETTO TRATTAMENTO  DURATA DELL’ATTIVITA’ DI TRATTAMENTO  AMBITO GEOGRAFICO DELL’ATTIVITA’ DI TRATTAMENTO  UTILIZZO DI SISTEMI INNOVATIVI O APPLICAZIONI TECNOLOGICHE O ORGANIZZATIVE (INTERNET OF THINGS)  TRATTAMENTI DI DATI RELATIVI A SOGGETTI VULNERABILI (MINORI, ANZIANI, DIVERSAMENTE ABILI MA ANCHE I DIPENDENTI)  TRATTAMENTI CHE DI PER SE’ IMPEDISICONO AGLI INTERESSATI DI ESERCITARE UN DIRITTO O DI AVVALERSI DI UN SERVIZIO O UN CONTRATTO (ES. SCREENING CENTRALE RISCHI ISTITUTI DI CREDITO)
FASI PRATICHE DELLA DPIA  DESCRIZIONE SISTEMATICA DEL TRATTAMENTO  NATURA, AMBITO, CONTESTO, FINALITA’  TIPOLOGIA DI DATII, DESTINATARI E PERIODO DI CONSERVAZIONE  STRUMENTI UTILIZZATI  CODICI DI CONDOTTA  VALUTAZIONE DI NECESSITA’ E PROPORZIONALITA’ DEL TRATTAMENTO  FINALITA’ SPECIFICHE, DETERMINATE, LEGITTIME  LICEITA’ DEL TRATTAMENTO  DATI ADEGUATI PERTINENTI LIMITTAI A QUANTO NECESSARIO  LIMITAZIONE DELLA CONSERVAZIONE  GESTIONE DEI RISCHI PER I DIRITTI E LE LIBERTA’ DEGLI INTERESSATI  FONTI DI RISCHIO  IMPATTI POTENZIALI SUI DIRITTI E LE LIBERTA DEGLI INTERESSATI  PROBABILITA’ E GRAVITA’ DELLE MINCACCE CHE POTREBBERO DAR LUOGO AD ACCESSI ILLEGITIIMI O MOFICIHE INDESIDERATE DEI DATI  COINVOLGIMENTO DEI SOGGETTI INTERESSATI
DPIA IN SINTESI IL TRATTAMENTO COMPORTA UN RISCHIO ELEVATO NO NO DPIA SI ECCEZIONE NO SI DPIA RIESAME DEL TRATTAMENTO RISCHIO RESIDUALE ELEVATO SI SI NO NO CONSULATAZIONE PREVENTIVA SI CONSULTAZIONE PREVENTIVA CONSULENZA DPO CODICI CONDOTTA OPINIONI DEGLI INTERESSATI
DATA BREACH (ART.33)  SOGGETTI  OBBLIGO PER TUTTI I TITOLARI DI NOTIFICARE AL GARANTE LA VIOLAZIONE SUBITA  TEMPI E MODALITA’:  OBBLIGO DI NOTIFICARE TALE VIOLAZIONE SENZA RITARDO OVVERO ENTRO 72 ORE DAL MOMENTO IN CUI IL TITOLARE NE E’ VENUTO A CONOSCENZA  QUALORA LA VIOLAZIONE COMPORTI UN ELEVATO RISCHIO PER I DIRITTI E LE LIEBRTA’ DEGLI INTERESSATI IL TITOLARE DEVE, SENZA RITARDO, DARNE COMUNICAZIONE ANCHE A LORO  CONTENUTO:  NATURA DELLA VIOLAZIONE  DATI DI CONTATTO DEL DPO SE ESISTENTE O DI ALTRO SOGGETTO INFORMATO  DESCRIZIONE DELLE PROBABILI CONSEGUENZE  MISURE ADOTTATE O PROPOSTE PER PORRE RIMEDIO ALLA VIOLAZIONE O ATTENUARNE GLI EFFETTI
TRASFERIMENTO DATI VERSO PAESI TERZI AL DI FUORI DELLA UE (ARTT. 44-50)  NON OCCORRE PIU’ L’AUTORIZZAZIONE NAZIONALE TRANNE IN CASO DI CLAUSOLE CONTRATTUALI AD HOC O DI ACCORDI AMMINISTRATIVI TRA PA  IL TRASFERIMENTO E’ POSSIBILE SOLO IN CASO DI  DECISIONE DI ADEGUATEZZA  ADOZIONE DI CODICI DI CONDOTTA O CERTIFICAZIONI PER DIMOSTRARE LE GARANZIE ADEGUATE  NORME VINCOLANTI DI IMPRESA ( ES. CLAUSOLE CONTRATTUALI STANDARD, BINDING CORPORATE RULES, DATA TRANSFER AGREEMENT)  NEGLI ALTRI CASI POSSIBILE SOLO SE:  CONSNESO ESPLICITO DELL’INTERESSATO  NECESSARIO PER DARE ESECUZIONE AD UN CONTRATTO TRA INTERESSATO E TITOLARE  PER MOTIVI DI INTERESSE PUBBLICO  PER DIDENDERE UN DIRITTO IN SEDE GIUDIZIARIA  PER TUTELARE INTERESSI VITALI DELL’INTERESSATO QUALORA ESSO NON SIA IN GRADO
INFORMATIVA: COSA CAMBIA  CONTENUTO MINIMO TASSATIVO:  DATI DI CONTATTO DEL DPO OVE ESISTENTE  BASE GIURIDICA  INTERESSE LEGITTIMO  TRASFERIMENTO DATI IN PAESI TERZI E QUALI STRUMENTI SONO UTILIZZATI  PERIODO DI CONSERVAZIONE DEI DATI  DIRITTO DI REVOCARE IL CONSENSO IN QUALSIASI MOMENTO  DIRITTO DI PROPORRE RECLAMO  UTILIZZO DI PORCESSI DECISIONALI AUTOMATIZZATI E LOGICA ALLA BASE DI TALI PROCESSI  FONTE DA CUI HANNO ORIGINE I DATI PERSONALI  LE CATEGORIE DI DATI PERSONALI OGGETTO DEL TRATTAMENTO
… CONTINUA  MODALITA’  FORMA CONCISA, TRASPARENTE, INTELLIGIBILE, LINGUAGGIO CHIARO E SEMPLICE  FORMA SCRITTA E PREFERIBILMENTE IN FORMATO ELETTRONICO  POSSONO ESSER UTILIZZATE ICONE PER L’INFORMATIVA SINTENTICA SOLO SE IN COMBINAZIONE CON L’INFORMATIVA ESTESA  TEMPI  QUALORA I DATI NON SIANO STATI RACCOLTI DIRETAMENTE PRESSO L’INTERESSATO L’INFORMATIVA DEVE ESSERE FORNITA ENTRO UN MESE DALLA RACCOLTA O AL MOMENTO DELLA COMUNICAZIONE DEI DATI A TERZI O ALL’INTERESSATO  ESONERO  IN CASO DI DATI PERSONALI RACCOLTI DA FONTI DIVERSE DALL’INTERESSATO SPETTA AL TITOLARE VALUTARE SE LA PRESENTAIZONE DELL’INFORMATIVAAGLI INTERESSATI COMPORTI UNO SFORZO SPROPORZIONATO
INFORMATIVA COSA RIMANE INVARIATO  L’INFORMATIVA DEVE ESSERE FORNITA PRIMA DI EFFETTUARE LA RACCOLTA DATI  SE I DATI NON SONO RACCOLTI PRESSO L’INTERESSATO L’INFORMATIVA DEVE COMPRENDERE LE CATEGORIE DI DATI PERSONALI OGGETTO DI TRATTAMENTO  OCCORRE SEMPRE INDICARE:  IL TITOLARE DEL TRATTAMENTO, IL RESPONSABILE DEL TRATTAMENTO E IL RAPPRESENTANTE SE PRESENTE  LE FINALITA’  I DIRITTI DEGLI INTERESSATI  I DESTINATARI DEI DATI
OCCORRE UN NUOVO CONSENSO PER I TRATTAMENTI IN ESSERE?  NON OCCORRE CHE L'INTERESSATO PRESTI NUOVAMENTE IL SUO CONSENSO, SE QUESTO È STATO ESPRESSO SECONDO MODALITÀ CONFORMI ALLE CONDIZIONI DEL PRESENTE REGOLAMENTO, AFFINCHÉ IL TITOLARE DEL TRATTAMENTO POSSA PROSEGUIRE IL TRATTAMENTO IN QUESTIONE DOPO LA DATA DI APPLICAZIONE DEL PRESENTE REGOLAMENTO
I DIRITTI DEGLI INTERESSATI  DIRITTO DI ACCESSO (ART. 15)  PREVEDE IL DIRITTO DI RICEVERE UNA COPIA DEI DATI PERSONALI OGGETTO DI TRATTAMENTO  IL TITOLARE DEVE INDICARE: IL PERIODO DI CONSERVAZIONE O I CRITERI UTILIZZATI PER STABILIRLO, LE GARANZIE APPLICATE IN CASO DI TRAFERIMENTO DEI DATI VESRSO PAESI TERZI  DIRITTO DI RETTIFICA E CANCELLAZIONE (ART.16)  DIRITTO AD OTTENERE DAL TITOLARE LA RETTIFICA DEI DATI PERSONALI SENZA INGIUSTIFICATO RITARDO  DIRITTO DI OTTENERE L’INTEGRAZIONE DI DATI PERSONALI INCOMPLETI  IL TITOLARE DEVE COMUNICARE EVENTUALI RETTIFICHE AI DESTINATARI CUI I DATI SONO COMUNICATI
…CONTINUA  DIRITTO DI CANCELLAZIONE (DIRITTO ALL'OBLIO) (ART.17)  CANCELLAZIONE DEI PROPRI DATI PERSONALI IN FORMA RAFFORZATA. SI PREVEDE, INFATTI, L'OBBLIGO PER I TITOLARI CHE HANNO RESOPUBBLICI I DATI (ES, PUBBLICAZIONE SITO INTERNET) DI INFORMARE DELLA RICHIESTA DI CANCELLAZIONE ALTRI TITOLARI CHE TRATTANO I DATI PERSONALI CANCELLATI, COMPRESI "QUALSIASI LINK, COPIA O RIPRODUZIONE.  L’INTERESSATO HA IL DIRITTO DI CHIEDERE LA CANCELLAZIONE DEI PROPRI DATI, PER ESEMPIO, ANCHE DOPO REVOCA DEL CONSENSO AL TRATTAMENTO  DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (ART.18)  È ESERCITABILE NON SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI DI LICEITÀ DEL TRATTAMENTO BENSÌ ANCHE SE L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI O SI OPPONE AL LORO TRATTAMENTO  IL DATO PERSONALE DEVE ESSERE "CONTRASSEGNATO" IN ATTESA DI DETERMINAZIONI ULTERIORI, PERTANTO, È OPPORTUNO CHE I TITOLARI PREVEDANO NEI PROPRI SISTEMI INFORMATIVI (ELETTRONICI O MENO) MISURE IDONEE A TALE SCOPO  ESCLUSA LA CONSERVAZIONE OGNI ALTRO TARTTAMENTO DEL DATO DI CUI SI RICHIEDE LA LIMITAZIONE E’ VIETAAO SALVO RICORRANO DETETRMINATE CIRCOSATANZE (ES. ACCERTAMENTO IN SEDE GIUDIZIARIA)
…CONTINUA  DIRITTO ALLA PORTABILITÀDEI DATI (ART. 20)  DIRITTO DI TRASFERIRE I PROPRI DATI DA UN TITOLARE DEL TRATTAMENTO AD UN ALTRO (SI PENSI ALLA PORTABILITÀ DEL NUMERO TELEFONICO)  NON SI APPLICA AI TRATTAMENTI NON AUTOMATIZZATI (ES. ARCHIVI CARTACEI)  SONO PORTABILI SOLO I DATI TRATTATI CON IL CONSENSO DELL’INTERESSATO E DALLO STESSO FORNITI O BASATI SU UN CONTRATTO DI CUI L’INTERESSATO E’ PARTE (ES. NO PER TRATTAMENTO FONDATO SULLA LEGGE)  IL TITOLARE DEVE ESSERE IN GRADO DI TRASFERIRE DIRETTAMENTE I DATI PORTABILI AD UN ALTRO TITOLARE INDICATO DALL’INTERESSATO OVE SI ATECNICAMENTE POSSIBILE  LA PORTABILITA’ NON COMPORTA LA CANCELLAZIONE AUTOMATICA DEI DATI NEI SISTEMI DEL TITOLARE  L’INTERESSATO PUO’ CONTINUARE AD USUFRUIRE DEL SERVIZIO OFFERTO DAL TITOLARE ANCHE DOPO CHE SIA AVVENUTA LA PORTABILITA’
…CONTINUA  DIRITTO DI OPPOSIZIONE(ART. 21)  DIRITTO DI OPPORSI AL TRATTAMENTO DI DATIPARTICOLARI  DIRITTO A NON ESSERE SOTTOPOSTI A PROCESSI DECISIONALI AUTOMATIZZATICOMPRESA LA PROFILAZIONE (ART.22)  DIRITTO A NON ESSERE SOTTOPOSTI A DECISIONI CHE POSSONO VALUTARE ASPETTI PEROSNALI BASATA UNICAMNETE SU UN TRATTAMENTO AUTOMATIZZATO
MODALITA’ DI ESERCIZIO DEI DIRITTI: COSA CAMBIA  SPETTA AL TITOLARE DARE RISCONTRO ALL’INTERESSATO  TERMINI  ENTRO UN MESE DALLA RICHIESTA ESTENDIBILE A TRE IN CASI PARTICOLARMENTE COMPLESSI  IL TITOLARE DEVE COMUNQUE DARE RISCONTRO ENTRO UN MESE ANCHE IN CASO DI DINIEGO  MODALITA’  LA RISPOSTA FORNITA DEVE AVERE FORMA SCRITTA SALVO ILC ASO IN CUI SIA L’INTERESSTAO A RICHIEDERE UN RISCONTRO ORALE  LA RISPOSTA DEVE ESSERE INTELLIGIBILE, CONCISA, TRASPARENTE, FACILMENTE ACCESSIBILE E IL LINGUAGGIO DEVE ESSERE SEMPLICE E CHIARO  IN CASI COMPLESSI O DI RICHEISTE INFONADATE O DI RICHIESTE DI PIU’ COPIE IL TITOLARE PUO’ STABILIRE UN EVENTUALE CONTRIBUTO ALL’INTERESSATO
COSA DEVE FARE QUINDI LA MIA AZIENDA?  EFFETTUARE UN’ANALISI DELLO STATO DI FATTO  REDIGERE UNA POLICY PRIVACY AZIENDALE  AGGIORNARE LE INFORMATIVE  PORVVEDERE A NOMINARE LE FIGURE NECESSARIE  EFFETTUARE LA O LE VALUTAZIONI DI IMPATTO CHE RISULTANO NECESSARIE  REDIGERE IL REGISTRO DELLE ATTIVITA’DI TRATTAMENTO  ANNOTARE LE VIOLAZIONI SUBITE  AGGIORNARE COSTANTEMENTE IL DOSSIER PRIVACY
GLI IMPATTI SU SERVIZI IN OUTSOURCING, CLOUD, WEB E SERVIZI ICT Ing. Claudio Poletti Segretario Generale Conflavoro PMI Reggio Emilia claudio.poletti@conflavoro.re.it
I SOGGETTI DEL CLOUD FORNITORE DEL SERVIZIO (CLOUD PROVIDER) UTILIZZATORE DEL SISTEMA CLOUD (IMPRESA) FRUITORE DEL SERVIZIO (UTENTE FINALE)
I SOGGETTI DEL CLOUD: RUOLI E RESPONSABILITA’ SE UTENTE DEL CLOUD RESPONSABILE DEL TRATTAMENTO ALLORA CLOUD PROVIDER RESPONSABILE ESTERNO DEL TRATTAMENTO
RICORDA CHE… IL TITOLARE DEL TRATTAMENTO DEVE COSTANTEMENTE ACCERTARE L’AFFIDABILITA’ E LA COMPETENZA DEL RESPONSABILE ESTERNO
MA… LA MAGGIOR PARTE DEI CONTRATTI STIPULATI PER LA FORNITURA DI SERVIZI CLOUD STANDARDIZZATI (AD ES. GOOGLE DRIVE, DROPBOX) CONTENGONO CLAUSULE GENERICHE ACCETTATE, PER ADESIONE, DAL CLIENTE DI FATTO IL CLOUD PROVIDER SI COLLOCA IN UNA POSIZIONE DOMINANTE RISPETTO AL FRUITORE DEL SERVIZIO, IL QUALE NON E’ NELLE CONDIZIONI DI POTER NEGOZIARE LE CLAUSULE A LUI MENO FAVOREVOLI
QUINDI… DI FATTO, NEI CONTRATTI DI CLOUD OGNI DECISIONE RELATIVA ALLE MISURE DI SICUREZZA DA ADOTTARE E LA CONFIGURAZIONE TECNOLOGICA DEI SISTEMI E’ DI ESCLUSIVA COMPETENZA DEL PROVIDER IL CLIENTE, BENCHE’ SIA TITOLARE DEL TRATTAMENTO, PUO’ VERIFICARE L’ESECUZIONE DELLE PRESTAZIONI IN CONFORMITA’ CON QUANTO PREVISTO DAL CONTRATTO, MA NON PUO’ ESERCITARE ALCUN POTERE DI CONTROLLO SUGLI ASPETTI SUDDETTI
CI TROVIAMO QUINDI IN UNA SITUAZIONE DI CONTITOLARITA’? AMMETTERE CIO’ SIGNIFICHEREBBE LICENZIARE UN’INGERENZA CHE NON APPARTIENE AI RAPPORTI QUIVI CONTEMPLATI
QUINDI… DI FATTO, NEI CONTRATTI DI CLOUD IL RUOLO PIU’ APPROPRIATO PER IL CLOUD PROVIDER RIMANE QUELLO DELLA “TITOLARITA’ SUPPLEMENTARE” LIMITATAMENTE AL “FUNZIONAMENTO DEL SERVIZIO” (DIRETTIVA 95/46/CE, CONSIDERANDO N.47) OSSIA… UNA SORTA DI “AMMINISTRATORE DI SISTEMA”
IN SINTESI: COSA DEVE GARANTIRE UN FORNITORE DI SERVIZI CLOUD?  ESPERIENZA NELLA PROTEZIONE DEI DATI  CONTRATTI PER L'ELABORAZIONE DEI DATI (DATA PROCESSING AGREEMENT, DPA)  USO DI ELABORATORI SECONDARI  SICUREZZA DEI SERVIZI  DISPONIBILITÀ, INTEGRITÀ E RESILIENZA  DISASTER RECOVERY  CRITTOGRAFIA  CONTROLLI DEGLI ACCESSI MEDIANTE SISTEMI DI AUTENTICAZIONE AVANZATA  CHIAVI CIFRATE  ACCESSO CON CNS O SMARTCARD DIGITALI  ACCESSO MEDIANTE INVIO DI CODICE MONOUSO (ES. SMS SU CELLULARE)
IN SINTESI: COSA DEVE FARE LA MIA AZIENDA?  DEVE SCEGLIERE ACCURATAMENTE IL FORNITORE DEL SERVIZIO AL FINE DI GARANTIRE RISERVATEZZA, MISURE DI SCIUREZZA IDONEE ED IL RISPETTO DELLE ISTRUZIONI FORNITE DAL TITOLARE IN ORDINE AL TRATTAMENTO  DEVE INOLTRE VERIFICARE CHE IL FORNITORE DEL SERVIZIO SIA IN GRADO DI FORNIRE ASSISTENZA AL TITOLARE IN MATERIA DI MISURE DI SICUREZZA, IN CASO DI RICHIESTE DEGLI INTERESSATI ED IN CASO DI NOTIFICA DI VIOLAZIONI  DEVE AVERE UN CONTRATTO CON IL FORNITORE DI SERVIZI ESTERNALIZZATI, SIA ESSO UN OUTSOURCER TRADIZIONALE O UN CLOUD SERVICE PROVIDER  DEVE VERIFICARE CHE IL FORNITORE DEL SERVIZIO ABBIA NOMINATO IL DPO
IN SINTESI: QUALI MISURE DEVONO ESSERE GARANTITE IN CASO DI DISGUIDI TECNICI?  DEVE ESSERE GARANTITA LA RIPRISTINABILITA’ DEI DATI  DEVONO ESSERE PRESE MISURE DI SICUREZZA PER EVITARE LA PERDITA DI DATI, QUALI, AD ESEMPIO:  RISPOSTE AUTOMATICHE  BLOCCO DI MAIL  PROTEZIONE MEDIANTE PASSWORD DEI FOGLI DI LAVORO O REPORT  PROTEZIONE DELL’ARCHIVIAZIONE DELLE MAIL  CRIPTAZIONE  PSEUDONIMIZZAZIONE DEL DATO OVVERO LA CAPACITÀ DI GESTIRE DATI STRUTTURATI PER SEPARARE GLI ELEMENTI IN UN APPROCCIO COERENTE AL PRINCIPIO “PRIVACY BY DESIGN”  PRESENZA DI FIREWALL ANTISAPM E ANTIVIRUS
DOMANDE?
GRAZIE PER L’ATTENZIONE Conflavoro PMI Reggio Emilia Resta aggiornato sull’argomento visitando il nostro sito www.conflavoro.re.it

Recommended

Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...
Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...
Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...Snpambiente
 
Spunti di medicina legale
Spunti di medicina legaleSpunti di medicina legale
Spunti di medicina legaleGiuseppe Famiani
 
Ldb Make Your Own Collaborative Place_Di Comite 02
Ldb Make Your Own Collaborative Place_Di Comite 02Ldb Make Your Own Collaborative Place_Di Comite 02
Ldb Make Your Own Collaborative Place_Di Comite 02laboratoridalbasso
 
Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...
Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...
Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...Barbieri & Associati Dottori Commercialisti - Bologna
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?Andrea Battistella
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Contratto Acconciatore (2).pdf
Contratto Acconciatore (2).pdfContratto Acconciatore (2).pdf
Contratto Acconciatore (2).pdfFilomenaDiMarco
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 

Recommended

Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...
Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...
Qualifica di Ufficiale di Polizia Giudiziaria al personale Arpa: inquadrament...Snpambiente
 
Spunti di medicina legale
Spunti di medicina legaleSpunti di medicina legale
Spunti di medicina legaleGiuseppe Famiani
 
Ldb Make Your Own Collaborative Place_Di Comite 02
Ldb Make Your Own Collaborative Place_Di Comite 02Ldb Make Your Own Collaborative Place_Di Comite 02
Ldb Make Your Own Collaborative Place_Di Comite 02laboratoridalbasso
 
Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...
Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...
Il regolamento europeo sulla protezione di dati personali - Claudia Cevenini,...Barbieri & Associati Dottori Commercialisti - Bologna
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?Andrea Battistella
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Contratto Acconciatore (2).pdf
Contratto Acconciatore (2).pdfContratto Acconciatore (2).pdf
Contratto Acconciatore (2).pdfFilomenaDiMarco
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...MOCA Interactive
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...Mentine
 
Le responsabilita’ degli operatori del ser
Le responsabilita’ degli operatori del serLe responsabilita’ degli operatori del ser
Le responsabilita’ degli operatori del sermarcella gilli
 
Le implicazioni legali del mondo digitale: la digital compliance per le StartUp
Le implicazioni legali del mondo digitale: la digital compliance per le StartUpLe implicazioni legali del mondo digitale: la digital compliance per le StartUp
Le implicazioni legali del mondo digitale: la digital compliance per le StartUpMarco Giacomello
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...Riccardo Abeti
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
Adeguata verifica krogh
Adeguata verifica kroghAdeguata verifica krogh
Adeguata verifica kroghMarco Krogh
 
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...Adriano Bertolino
 
Compliance e responsabilità dei vertici aziendali
Compliance e responsabilità dei vertici aziendaliCompliance e responsabilità dei vertici aziendali
Compliance e responsabilità dei vertici aziendaliAster Servizi
 
Responsabilità medica il Senato approva la riforma
Responsabilità medica il Senato approva la riformaResponsabilità medica il Senato approva la riforma
Responsabilità medica il Senato approva la riformaAndrea Palermo
 
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...MOCA Interactive
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...Alberto Ferretti
 
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...Michele Borsoi
 
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...Michele Borsoi
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDACarlo Riganti
 

More Related Content

Similar to SEMINARIO GRATUITO “IL NUOVO REGOLAMENTO EUROPEO PRIVACY”

Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...MOCA Interactive
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...Mentine
 
Le responsabilita’ degli operatori del ser
Le responsabilita’ degli operatori del serLe responsabilita’ degli operatori del ser
Le responsabilita’ degli operatori del sermarcella gilli
 
Le implicazioni legali del mondo digitale: la digital compliance per le StartUp
Le implicazioni legali del mondo digitale: la digital compliance per le StartUpLe implicazioni legali del mondo digitale: la digital compliance per le StartUp
Le implicazioni legali del mondo digitale: la digital compliance per le StartUpMarco Giacomello
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...Riccardo Abeti
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
Adeguata verifica krogh
Adeguata verifica kroghAdeguata verifica krogh
Adeguata verifica kroghMarco Krogh
 
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...Adriano Bertolino
 
Compliance e responsabilità dei vertici aziendali
Compliance e responsabilità dei vertici aziendaliCompliance e responsabilità dei vertici aziendali
Compliance e responsabilità dei vertici aziendaliAster Servizi
 
Responsabilità medica il Senato approva la riforma
Responsabilità medica il Senato approva la riformaResponsabilità medica il Senato approva la riforma
Responsabilità medica il Senato approva la riformaAndrea Palermo
 
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...MOCA Interactive
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...Alberto Ferretti
 
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...Michele Borsoi
 
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...Michele Borsoi
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDACarlo Riganti
 

Similar to SEMINARIO GRATUITO “IL NUOVO REGOLAMENTO EUROPEO PRIVACY” (20)

Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
 
Le responsabilita’ degli operatori del ser
Le responsabilita’ degli operatori del serLe responsabilita’ degli operatori del ser
Le responsabilita’ degli operatori del ser
 
Le implicazioni legali del mondo digitale: la digital compliance per le StartUp
Le implicazioni legali del mondo digitale: la digital compliance per le StartUpLe implicazioni legali del mondo digitale: la digital compliance per le StartUp
Le implicazioni legali del mondo digitale: la digital compliance per le StartUp
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
Dalle minacce alla riservatezza dell’individuo alle minacce alla libertà di ...
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
Adeguata verifica krogh
Adeguata verifica kroghAdeguata verifica krogh
Adeguata verifica krogh
 
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
 
Compliance e responsabilità dei vertici aziendali
Compliance e responsabilità dei vertici aziendaliCompliance e responsabilità dei vertici aziendali
Compliance e responsabilità dei vertici aziendali
 
Responsabilità medica il Senato approva la riforma
Responsabilità medica il Senato approva la riformaResponsabilità medica il Senato approva la riforma
Responsabilità medica il Senato approva la riforma
 
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
GDPR Europeo sulla protezione dei dati personali - Allegato al documento wp2...
 
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
Dottori Commercialisti - Guida alla conoscenza della polizza di responsabilit...
 
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
Guidaallaconoscenzadellapolizzadiresponsabilitcivile 141122091752-conversion-...
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
 

SEMINARIO GRATUITO “IL NUOVO REGOLAMENTO EUROPEO PRIVACY”

  • 1. IL NUOVO REGOLAMENTO EUROPEO PRIVACY (GDPR 2016/679) Dott.ssa Eleonora Panini Responsabile Ufficio Legale Conflavoro PMI Reggio Emilia eleonora.panini@conflavoro.re.it
  • 2. LINEE GUIDA INTERPRETATIVE DEL GDPR  LINEE GUIDA SUI RESPONSABILI DELLA PROTEZIONE DEI DATI (RPD) WP 243  LINEE GUIDA CONCERNENTI LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DATI E I CIRITERI PER STABILIRE SE UN TRATTAMENTO PRESENTA UN RISCHIO ELEVATO WP 248  LINEE GUIDA SULLA APLLICAZIONE E DEFINIZIONE DELLE SANZIONI AMMINISTRATIVE WP 253  LINEE GUIDA SUL DIRITTO ALLA PORTABILITA’ DEI DATI PERSONALI WP 242  LINEE GUIDA PER L’INDIVIDUAZIONE DELL’AUTORITA’ DI CONTROLLO CAPOFILA IN RAPPORTO A UNO SPECIFICO TITOLARE O RESPONSABILE DEL TRATTAMENTO WP 244  LINEE GUIDA SUI PROCESSI DECISIONALI INDIVIDUALI AUTOMATIZZATI E SULLA PROFILAZIONE WP 251  LINEE GUIDA SULLA NOTIFICAZIONE DELLE VIOLAZIONI DI DATI PERSONALI WP 250  LINEE GUIDA SULLA TRASPARENZA WP 260  LINEE GUIDA SUL CONSENSO WP 259  LINEE GUIDA SULL’ACCREDITAMENTO DEGLI ENTI DI CERTIFICAZIONE WP 261
  • 3. COSA ACCADE ALLE NORMATIVE OGGI IN VIGORE CODICE PRIVACY 196/2003 DIRETTIVA CE 1995/46 DECADONO ACCORDI INTERNAZIONALI SU TRASFERIMENTO DATI DECISIONI COMMISISONE UE AUTORIZZAZIONI GARANTE LINEE GUIDA GARANTE NON DECADONO SINO A QUANDO NON VERRANNO SOSTITUITI MODIFICATI O ABROGATI DECADONO SE NON INTERVIENE ATTO NORMATIVO PRIMARIO
  • 4. SARA’ SOLO IL GDPR A DISCIPLINARE LA MATERIA?  AGLI STATI MEMBRI È CONSENTITO MANTENERE E/O INTRODURRE NORME NAZIONALI AL FINE DI DEFINIRE E/O SPECIFICARE ULTERIORMENTE L'APPLICAZIONE DELLE NORME EUROPEE PURCHE’ NON IN CONTRASTO CON IL NUOVO REGOLAMENTO  E’ DEMANDATA ALLA LEGISLAZIONE NAZIONALE LA DEFINIZIONE DELLE SANZIONI PENALI  ALCUNI ARTICOLI DELL’ATTUALE CODICE PRIVACY RIMARRANNO IN VIGORE
  • 5. IL NUOVO REGOLAMENTO EUROPEO PRIVACY (GDPR- General Data Protection Regulation) IN VIGORE DAL 25 MAGGIO 2018 ARMONIZZARE LA REGOLAMENTAZIONE IN TEMA DI PROTEZIONE DEI DATI ALL’INTERNO DELL’UE TUTELARE I DIRITTI DEGLI INTERESSATI AGEVOLARE LA LIBERA CIRCOLAZIONE DEI DATI,LE ATTIVITA’ ECONOMICHE E LA SANA CONCORRENZA TITOLARI E RESPONSABILI STABILITI NELL’UE ANCHE SE IL TRATTAMENTO NON E’ EFFETTUATO AL SUO INTENRO TITOLARI E RESPONSABILI NON STABILITI NELL’UNIONE CHE TRATTANO DATI DI INTERESSATI CHE SI TROVANO AL SUO INTERNO E SE IL TRATTAMENTO RIGUARDA L’OFFERTA DI BENI O SERVIZI IL MONTORAGGIO DEL LORO COMPORTAMENTO
  • 6. QUALI SONO I SOGGETTI INTERESSATI DAL NUOVO REGOLAMENTO?  SOGGETTI OBBLIGATI  PERSONE FISICHE CHE TRATTANO DATI PER ESIGENZE NON PERSONALI/FAMILIARI  PERSONE GIURIDICHE  ENTI PUBBLICI  SOGGETTI INTERESSATI  SOLO PERSONE FISICHE  SOLO PERSONE VIVENTI
  • 7. I DATI NEL NUOVO REGOLAMENTO  PERSONALI  QUALUNQUE INFORMAZIONE RELATIVA A PERSONA FISICA, PERSONA GIURIDICA, ENTE OD ASSOCIAZIONE, IDENTIFICATI O IDENTIFICABILI, ANCHE INDIRETTAMENTE, MEDIANTE RIFERIMENTO A QUALSIASI ALTRA INFORMAZIONE, IVI COMPRESO UN NUMERO DI IDENTIFICAZIONE PERSONALE  PARTICOLARI (EX SENSIBILI)  I DATI PERSONALI IDONEI A RIVELARE L'ORIGINE RAZZIALE ED ETNICA, LE CONVINZIONI RELIGIOSE, FILOSOFICHE O DI ALTRO GENERE, LE OPINIONI POLITICHE, L'ADESIONE A PARTITI, SINDACATI, ASSOCIAZIONI OD ORGANIZZAZIONI A CARATTERE RELIGIOSO, FILOSOFICO, POLITICO O SINDACALE, NONCHÉ I DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE, DATI BIOMETRICI, DATI GENETICI  GIUDIZIARI  I DATI PERSONALI IDONEI A RIVELARE CONDANNE PENALI E / O REATI DI CUI ALL’ARTICOLO 10 DEL REGOLAMENTO EUROPEO IN TEMA DI PROTEZIONE DATI PERSONALI. O COMUNQUE PROVVEDIMENTI DI CUI ALL'ARTICOLO 3, COMMA 1, LETTERE DA A) A O) E DA R) A U), DEL D.P.R. 14 NOVEMBRE 2002, N. 313, IN MATERIA DI CASELLARIO GIUDIZIALE, DI ANAGRAFE DELLE SANZIONI AMMINISTRATIVE DIPENDENTI DA REATO E DEI RELATIVI CARICHI PENDENTI, O LA QUALITÀ DI I IMPUTATO O DI INDAGATO AI SENSI DEGLI ARTICOLI 60 E 61 DEL CODICE DI PROCEDURA PENALE
  • 8. I PRINCIPI DEL NUOVO REGOLAMENTO ACCOUNTABILITY PRIVACY BY DEFAULT PRIVACY BY DESIGN CAPACITA’ DI DIMOSTRARE LA CONFORMITA’ DEL TRATTAMENTO AL REGOLAMENTO GARANTIRE CHE SIANO TRATTATI PER IMPOSTAZIONE PREDEFINITA SOLO I DATI NECESSARI PROTEZIONE SIN DALLA PROGETTAZIONE E ADOZIONE DI MISURE DI SICUREZZA ADEGUATE
  • 9. I PRINCIPI APPLICABILI AL TRATTAMENTO DATI (ART.5)  FINALITÀ DETERMINATE, ESPLICITE E LEGITTIME  PROPORZIONALITA’ E NECESSITA’ DEL TRATTAMENTO  DATI ADEGUATI,PERTINENTI E LIMITATI A QUANTO NECESSARIO  LIMITAZIONE DELLA CONSERVAZIONE  MINIMIZZAZIONE DEL TRATTAMENTO  LICEITA’ DEL TRATTAMENTO IDONEA BASE GIURIDICA BASATA SU:  CONSENSO  ADEMPIMENTO OBBLIGHI CONTRATTUALI  INTERESSI VITALI DELLA PERSONA INTERESSATA O DI TERZI  INTERESSE LEGITTIMO PREVALENTE DEL TITOLARE O DI UN TERZO
  • 10. MISURE DI SICUREZZA (ART.32)  IL TITOLARE E IL RESPONSBAILE DEL TRATTAMENTO DEVONO METTERE IN ATTO MISURE TECINCHE ED ORGANIZZATIVE ADEGUATE PER GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AL RISCHIO  ALCUNE MISURE:  PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI  CAPACITA’ DI ASSICURARE SU BASE PERMANENTE LA RISERVATEZZA E L A RESILIZIENZA DEI SISTEMI UTILIZZATI  CAPACITA’ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITA’ E L’ACCESSO AI DATI IN CASO DI INCIDENTE  PROCEDURE PERIODICHE DI DISASTER RECOVERY
  • 11. TITOLARE DEL TRATTAMENTO (ART.4) (Data Controller)  E’ LA PERSONA FISICA O GIURIDICA, L’AUTORITÀ PUBBLICA, IL SERVIZIO O ALTRO ORGANISMO CHE, SINGOLARMENTE O INSIEME AD ALTRI:  DETERMINA LE FINALITÀ E I MEZZI DEL TRATTAMENTO DI DATI PERSONALI  METTE IN ATTO MISURE TECNICHE ED ORGANIZZATIVE PER GARANTIRE ED ESSERE IN GRADO DI DIMOSTRARE CHE IL TRATTAMENTO E’ EFFETTUATO IN CONFORMITA’ AL REGOLAMENTO  GARANTISCE L’ESERCIZIO DEI DIRITTI DEGLI INTERESSATI  TITOLARE PEROSNA FISICA : INDIVIDUO CHE EFFETTUA UN TRATTAMENTO DATI A TITOLO PERSONALE E CHE ASSUME INDIVIDUALMENTE LA RESPONSABILITA’ DI UN’ATTIVITA’(ES. LIBERO PROFESSIONISTA)  TITOLARE PERSONA GIURIDCA: ENTITA’ NEL SUO COMPLESSO E NON LA O LE PERSONE FISICHE CHE LO RAPPRESENTANO
  • 12. COME INDIVIDUARE IL TITOLARE DEL TRATTAMENTO?  IL TITOLARE DEL TRATTAMENTO NON È, QUINDI, CHI GESTISCE I DATI, MA CHI DECIDE IL MOTIVO E LE MODALITÀ DEL TRATTAMENTO, ED È RESPONSABILE GIURIDICAMENTE DELL'OTTEMPERANZA DEGLI OBBLIGHI PREVISTI DALLA NORMATIVA  LA TITOLARITA’ PUO’ DERIVARE DA:  UNA ESPLICITA COMPETENZA GIURIDICA: E’ LA LEGGE AD INDIVIDUARE IL TITOLARE O I CRITERI PER LA SUA DESIGNAZIONE  UNA COMPETENZA IMPLICITA: LA DETERMINAZIONE DI FINALITA’ E MEZZI DEL TRATTAMENTO VIENE STABILITA DA PRASSI GIURIDICHE (ES. IL DATORE DI LAVORO PER I DATI DEI SUOI LAVORATORI)  UNA INFLUENZA EFFETTIVA: LA TITOLARITA’ SI STABILISCE SULLA BASE DI CIRCOSTANZE DI FATTO  PER I TITOLARI NON STABILITI NELL’UNIONE OCCORRE FARE RIFERIMENTO ALLA SEDE AMMINISTRATIVA OVVERO ALLA SEDE DOVE DI FATTO VIENE ESERCITATO IL POTERE  OBBLIGO DI NONIMANRE UN RAPPRESENTANTE ALL’INTERNO DELL’UE OVVERO ALL’INTERNO DELLO STATO IN CUI SI TROVANO GLI INTERESSATI I I CUI DATI SONO TRATTATI O IL CUI COMPORTAMENTO E’ MONITORATO
  • 13. CONTITOLARI DEL TRATTAMENTO (ART.26) (Joint Controllers)  QUANDO DUE O PIU’ TITOLARI DEL TRATTAMENTO DEFINISCONO CONGIUNTAMENTE LE FINALITA’ E I MEZZI DEL TRATTAMENTO, IN RELAZIONE AGLI STESSI DATI, SONO CONTITOLARI DEL TRATTAMENTO  OBBLIGHI DERIVANTI DALLA CONTITOLARITA’:  DETERMINARE LE RISPETTIVE RESPONSABILITA’ IN MODO TRASPARENTE E TRAMITE UN ACCORDO INTERNO OBBLIGATORIO(ES. DELIBERA ORGANIZZATIVA)  DETERMINARE I COMPITI E GLI OBBLIGHI DI CIASCUN CONTITOLARE  PREVEDERE CLAUSOLE PER STABILIRE LE CONSEGUENZE INCASO DI VIOLAZIONE DELLE NORME PRIVACY ALLA LUCE DELL’ART. 82 O DI APPLICAZIONE DELLE SANZIONI AMMINISTRATIVE AI SENSI DELL’ART. 83  SE FRA I CONTITOLARI VE NE E’ UNO STABILITO FUORI DALL’UE OCCORRONO CLAUSOLE SPECIFICHE IN RELAZIONE AL TRAFERIMENTO DATI (DATA TRANSFER AGREEMENT)
  • 14. IL RESPONSABILE DEL TRATTAMENTO (ART.29)  E’ LA PERSONA FISICA O GIURIDICA, L’AUTORITA’ PUBBLICA, IL SERVIZIO O ALTRO ORGANISMO CHE TRATTA DATI PERSONALI PER CONTO DEL TITOLARE DEL TRATTAMENTO DAL QUALE RICEVE ISTRUZIONI CHE E’ TENUTO A RISPETTARE  ESTERNO O INTERNO?  IL RESPONSABILE PUO’ ESSERE UN SOGGETTO ESTERNO OD INTERNO ALL’AZIENDA  OBBLIGATORIO O FACOLTATIVO?  IL REGOLAMENTO PREVEDE L’OBBLIGATORIETA’ DELLA NOMINA SOPRATTUTTO IN CASO DI ESTERNALIZZAZIONE DEL TRATTAMENTO TUTTAVIA NON E’ ESCLUSA, ANZI SI PREUSPPONE, CHE LA NOMINA POSSA ESSERE ANCHE INTERNA  LA NOMINA DEVE AVVENIRE MEDIANTE UN CONTRATTO O ALTRO GIURIDICAMENTE VALIDO
  • 15. ESEMPI  RESPONSABILI  UN’AGENZIA VIAGGI COMUNICA I DATI DEI PROPRI CLIENTI AD UNA COMPAGNIA AEREA E AD UNA CATENA DI ALBERGHI. LA COMPAGNIA AEREA E LA CATENA ALBERGHIERA CONFERMANO LA DISPONIBILITA’ DELLE CAMERE, L’AGENZIA VIAGGI EMETTE I DOCUMENTI DI VIAGGIO. IN QUESTO CASO AGENZIA, COMPAGNIA AEREA E ALBERGO SONO TRE RESPONSABILI DISTINTI  CONTITOLARI  QUALORA, PERO’, QUESTI TRE SOGGETTI DECIDESSERO DI CREARE UNA PIATTAFORMA INTEGRATA DETRMINANDO GLI ASPETTI FONDAMENTALI RIGUARDO AGLI STRUMENTI DA UTILIZZARE ANCHE SE AL FINE DI PERSEGUIRE CIASCUNO LE PROPRIE FINALITA’DIVENGONO CONTITOLARI DEL TRATTAMENTO
  • 16. IL SUB RESPONSABILE DEL TARTTAMENTO  IL RESPONSABILE DEL TRATTAMENTO PUÒ NOMINARE, MEDIANTE CONTRATTO, UN SUB RESPONSABILE PER L’ESERCIZIO DI SPECIFICHE ATTIVITÀ DI TRATTAMENTO PER CONTO DEL TITOLARE  SUL SUB RESPONSABILE GRAVANO GLI STESSI OBBLIGHI CHE SONO CONTENUTI NEL CONTRATTO FRA TITOLARE E RESPONSABILE  IL RESPONSABILE INIZIALE CONSERVA NEI CONFRONTI DEL TITOLARE L’INTERA RESPONSABILITÀ IN CASO DI INADEMPIMENTO DA PARTE DEL SUB RESPONSABILE  IL SUB RESPONSABILE PUÒ A SUA VOLTA NOMINARE UN SUO SUB RESPONSABILE ED E’POSSIBILE UNA GERARCHIA TRA LORO
  • 17. INCARICATI DEL TRATTAMENTO (Data Processor)  LE PERSONE FISICHE CHE EFFETTIVAMENTE SI OCCUPANO DEL TRATTAMENTO DEI DATI SOTTO LA DIREZIONE DEL RESPONSABILE O DEL TITOLARE  DEVONO ESSERE NOMINATI DAL TITOLARE TRAMITE ATTO SCRITTO NEL QUALE SONO INDICATI COMPITI, AUTORIZZAZIONI E DOVERI  IL RESPONSABILE DEL TRATTAMENTO PUÒ PER DELEGA DEL TITOLARE ISTRUIRE GLI INCARICATI
  • 18. ESEMPIO  INCARICATI E RESPONSABILI  LA SOCIETA’ ALFA (AZIENDA METALMECCANICA) HA LA NCESSITA’ DI ASSUMERE DEL PERSONALE E AFFIDA TALE INCARICO ALLA SOCIETA’ BETA (AGENZIA PER IL LAVORO). LA SOCIETA’ BETA SULLA BASE DEL CONTRATTO INTERCORRENTE ELABORA I DATI PERSONALI DEI SOGGETTI CHE CERCANO LAVORO.  LA SOCIETA’ BETA UTILIZZANDO AI FINI DELLA RICERCA DI PERSONALE, SIA I CV RICEVUTI DIRETTAMENTE DA ALFA CHE I CV PRESENTI NELLA PROPRIA BANCA DATI E RICEVENDO UNA PERCENTUALE QUALORA INDIVIDUI UN CANDIDATO CHE EFFETTIVAMENTE VERRA’ ASSUNTO DA ALFA, SARA’ RESPONSABILE DEL TRATTAMENTO NEI CONFORNTI DELLE PEROSNE CHE CERCANO LAVORO MENTRE RICOPRIRA’ IL RUOLO DI INCARICATO DEL TRATTAMENTO NEI CONFRONTI DELLA SOCIETA’ ALFA (UNICO VERO RESPONSABILE DEL TRATTAMENTO)  ALFA E BETA SARANNO RESPONSBAILI IN SOLIDO PER TUTTE LE OPERAZIONI RELATIVE ALLE ASSUNZIONI EFFETTUATE DA ALFA.
  • 19. RESPONSABILE DELLA PROTEZIONE DATI (ARTT.37-39) (RDP/DPO Data Protection Officer)  SOGGETTO INTERNO OD ESTERNO E DESIGNATO DAL TITOLARE O DAL RESPONSABILE DEL TRATTAMENTO CON FUNZIONI DI:  SUPPORTO E CONTROLLO, ATTIVITA’ CONSULTIVE, FORMATIVE E INFORMATIVE RELATIVAMENTE ALL'APPLICAZIONE DEL REGOLAMENTO MEDESIMO.  VERIFICA L’ATTUAZIONE E L’APPLICAZIONE DEL REGOLAMENTO  FORNISCE PARERI SULLA VALUTAZIONE D’IMPATTO  OFFRE SUPPORTO AL TITOLARE NELLA TENUTA DEL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO  COOPERA CON L'AUTORITÀ (E PROPRIO PER QUESTO, IL SUO NOMINATIVO VA COMUNICATO AL GARANTE)  COSTITUISCE IL PUNTO DI CONTATTO, ANCHE RISPETTO AGLI INTERESSATI, PER LE QUESTIONI CONNESSE AL TRATTAMENTO DEI DATI PERSONALI
  • 20. DPO ESTERNO O INTERNO  IL DPO PUO’ ESSERE UN DIPENDENTE DEL TITOLARE O UN CONSULENTE ESTERNO CHE ASSOLVE AI SUPI COMPITI SULLA BASE DI UN CONTRATTO DI SERVIZI  DEVE POSSEDERE ELEVATE QUALITA’ PROFESSIONALI, CONOSCENZA SPECIALISTA DELLA NORMATIVA E DELLE PRASSI IN MATERIA DI PROTEZIONE DEI DATI  IL DPO DEVE ESSERE UN SOGGETTO AUTONOMO RISPETTO AL TITOLARE E AL RESPONSABILE DEL TRATTAMENTO, DEVE AVERE UN PROPRIO TEAM, AVERE POTERE DI SPESA, DEVE PARTECIPARE ALLE DECIZIONI AZIENDALI  LA CARICA DI DPO E’ INCOMPATIBILE CON QUASI LA TOTALITA’ DEI RUOLI AZIENDALI  E’ POSSIBILE PER UN GRUPPO DI SOCIETA’ NOMINARE UN UNICO DPO
  • 21. QUANDO E’ OBBLIGATORIO IL DPO  SE IL TRATTAMENTO È EFFETTUATO DA UN’AUTORITÀ PUBBLICA O DA UN ORGANISMO PUBBLICO, ECCETTUATE LE AUTORITÀ GIURISDIZIONALI QUANDO ESERCITANO LE LORO FUNZIONI GIURISDIZIONALI  SE LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO CONSISTONO IN TRATTAMENTI CHE, PER LORO NATURA, AMBITO DI APPLICAZIONE E/O FINALITÀ, RICHIEDONO IL MONITORAGGIO REGOLARE E SISTEMATICO DEGLI INTERESSATI SU LARGA SCALA (ES. TRACCIATURA POSIZIONE GEOGRAFICA ATTRAVERSO APP SU SMARTPHONE, E MAIL RETARGETING, ECC…)  SE LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO CONSISTONO NEL TRATTAMENTO, SU LARGA SCALA, DI CATEGORIE PARTICOLARI DI DATI PERSONALI DI CUI ALL’ARTICOLO 9 RIGUARDANTI RAZZA RELIGIONE ECC. O DI DATI RELATIVI A CONDANNE PENALI E A REATI DI CUI ALL’ARTICOLO 10
  • 22. COSA FARE SE SI DECIDE DI NON NOMINARE IL DPO  AD ECCEZIONE DEI CASI IN CUI E’ EVIDENTE CHE L’AZIENDA NON E’ TENUTA A NOMINARE UN DPO, I TITOLARI E I RESPONSABILI DEVONO DOCUMENTARE LE VALUTAZIONI COMPIUTE AL FINE DI MOTIVARE E GIUSTIFICARE LA MANCATA NOMINA DI UN DPO E LE RAGIONI PER LE QUALI LO HANNO RITENUTO NON NECESSARIO  TALE DOCUMENTAZIONE FA PARTE DEL PRINCIPIO DI RESPONSABILIZZAZIOE E PUO’ ESSERE RICHIESTA DALL’AUTORITA’ DI CONTROLLO
  • 23. I CODICI DI CONDOTTA (ART.40) E LE CERTIFICAZIONI (ART.42)  I CODICI DI CONDOTTA  LE ASSOCIAZIONI E GLI ALTRI ORGANISMI RAPPRESENTANTI LE CATEGORIE DI TITOLARI DEL TRATTAMENTO O RESPONSABILI DEL TRATTAMENTO POSSONO ELABORARE I CODICI DI CONDOTTA  STRUMENTO UTILE PER DIMOSTRARE IL RISPETTO DEGLI OBBLIGHI DEL TITOLARE  ESONERA DA ALCUNI ADEMPIMENTI MA NON DA RESPONSABILITA’  CERITIFICAZIONE  LE AUTORITÀ DI CONTROLLO, INCORAGGIANO L’ISTITUZIONE DI MECCANISMI DI CERTIFICAZIONE ALLO SCOPO DI DIMOSTRARE LA CONFORMITÀ AL PRESENTE REGOLAMENTO DEI TRATTAMENTI EFFETTUATI DAI TITOLARI DEL TRATTAMENTO E DAI RESPONSABILI DEL TRATTAMENTO  RILASCIATA DAGLI ORGANISMI DI CERTIFICAZIONE DI CUI AL REGOLAMENTO O DALL’AUTORITÀ DI CONTROLLO COMPETENTE  PROCEDURA VOLONTARIA  NON RIDUCE LA RESPONSABILITA’ DI TITIOLARE E RESPONSABILI IN ORDINE AL RISPETTO DEL REGOLAMENTO  CERTIFICARE UN DPO NON ESIME IL TITOLARE DALLE RESPONSABILITA’ DERIVANTI DAL RISPETTO DEL REGOLAMENTO MA ELIMINA LA CULPA IN ELIGENDO
  • 24. ESEMPI  ESEMPIO 1  UNA PICCOLA AZIENDA A CONDUZIONE FAMILIARE OPERANTE NEL SETTORE DELLA DISTRIBUZIONE DI ACCESSORI PER LA CASA SI SERVE DI UN RESPONSABILE DEL TRATTAMENTO LA CUI ATTIVITA’ PRINCIPALE CONSISTE NEL FORNIRE SERVIZI DI TRACCIAMENTO DEGLI UTENTI DEL SITO WEB OLTRE ALL’ASSITENZA PER LE ATTIVITA’ DI MARKETING E PUBBLICTA’ MIRATI  IL TRATTAMENTO DATI DELL’AZIENDA NON PUO’ CONSIDERARSI SU LARGA SCALA IN QUANTO IL NUMERO DI CLIENTI E LA TIPOLGOIA DI ATTIVITA’ SONO LIMITATE  TUTTAVIA IL RESPONSABILE DEL TRATTAMENTO, NELL’ESERCIZIO DELLA SUA ATTIVITA’ PRINCIPALE OVVERO QUELLA DI MONITORAGGIO WEB, CONTA NUMEROSE SOCIETA’. IN QUESTO IL TRATTAMENTO E’ DA CONSIDERARSI SU LARGA SCALA  IL RESPONSABILE DEL TRTTAMENTO E’ QUINDI TENUTO A NOMINARE UN DPO  IL TITOLARE DEL TRATTAMENTO NON E’ INVECE TENUTO A NOMINARE UN DPO  ESEMPIO 2  SE L’AZIENDA DI CUI SOPRA PER TRE MESI FA PROFILAZIONE SU LARGA SCALA NON E’ TENUTA NOMINARE UN DPO IN QUANTO IL TRATTAMENTO E’ OCCASIONALE E NON RAPPRESENTA L’ATTIVITA’ PRINCIPALE DI ALFA
  • 25. RESPONSABILITA’ DI TITOLARE E RESPONSABILE CHIUNQUE SUBISCA UN DANNO MATERIALE O IMMATERIALE CAUSATO DA UNA VIOLAZIONE DELLE NORME DEL GDPR HA IL DIRITTO AD OTTENERE IL RISARCIMENTO DEL DANNO DAL TITOLARE O DAL RESPOSNABILE DEL TRATTAMENTO  TITOLARE DEL TRATTAMENTO  RISPONDE PER IL DANNO CAGIONATO DAL SUO TRATTAMENTO  RESPONSABILE DEL TRATTAMENTO RISPONDE PER IL DANNO CAUSATO DAL TRATTAMENTO SOLAMENTE SE:  NON HA ADEMPIUTO AGLI OBBLIGHI DEL GDPR  HA AGITO IN MODO DIFFORME RISPETTO ALLE ISTRUZIONI DEL TITOLARE
  • 26. RESPONSABILITA’ SOLIDALE, REGRESSO ED ESONERO  OGNI TITOLARE E OGNI RESPONSABILE E’ RESPONSABILE IN SOLIDO PER L’INTERO AMMONATRE DEL DANNO CAGIONATO ALL’INTERESSATO  QUALORA IL TITOLARE O ILRESPONSABILE ABBIA PAGATO L’INTERO RISARCIMENTO DEL DANNO L’ALTRO PUO’ PRETENDERE LA PARTE DEL RISARCIMENTO CORRISPONDENTE ALLA PARTE DI RESPONSBAILITA’ ALTRUI  TITOLARE E RESPONSBAILI POSSONO ANDARE ESENTI DA RESPONSABILITA’ SOLAMENTE LADDOVE DIMOSTRINO CHE L’EVENTO DANNONOSO NON E’ LORO IMPUTABILE IN ALCUN MODO
  • 27. RESPONSABILITA’ DEL DPO  NON RISPONDE PERSONALMENTE DELLA INOSSERVANZA DEL REGOLAMENTO. SPETTA AL TITOLARE DEL TRATTAMENTO DIMOSTRARE IL RISPETTO DELLA NORMATIVA  NON HA RESPONSABILITÀ DIRETTE PER QUANTO RIGUARDA GLI ILLECITI AMMINISTRATIVI MA PERMANE UNA RESPONSABILITÀ IN VIA DI RIVALSA SUL PIANO RISARCITORIO A FAVORE DEL TITOLARE DEL TRATTAMENTO E DEL RESPONSABILE DEL TRATTAMENTO CHE ABBIA SUBITO UN DANNO RILEVANTE DA COLPA GRAVE O INADEMPIMENTI GRAVI RIFERIBILI AI COMPITI DEL DPO
  • 28. SANZIONI  CIVILI  RISARCIMENTO DEL DANNO PATRIMONIALE E NON PATRIMONIALE PATITO DALL’INTERESSATO  AMMINISTRATIVE  SANZIONI AMMINISTRATIVE PECUNIARIE FINO A 10 MILIONI DI EURO O PER LE IMPRESE SINO AL 2% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO SUPERIORE SE SUPERIORE  SANZIONI AMMINISTRATIVE PECUNIARIE FINO A 20 MILIONI DI EURO O PER LE IMPRESE SINO AL 4% DEL FATTURATO MONDIALE TOTALE ANNUO DELL’ESERCIZIO SUPERIORE SE SUPERIORE  PENALI  SPETTA AGLI STATI MEMBRI STABILIRLE
  • 29. CRITERI DI DETERMIANAZIONE DELLE SANZIONI  NATURA, GRAVITA’, DURATA DELLA VIOLAZIONE TENUTO CONTO DELLA NATURA, DELL’OGGETTO, DELLE FINALITA’ DEL TRATTAMENTO E DEL NUMERO DI SOGGETTI INTERESSATI  CARATTERE DOLOSO O COLPOSO DELLA VIOLAZIONE (ES. TRATTAMENTO ILLECITO AUTORIZZATO ESPLICITAMENTE DAL TITOLARE OPPURE ERRORE UMANO)  LE MISURE ADOTTATE DAL TITOLARE O DAL RESPONSABILE PER LIMITARE IL DANNO  IL GRADO DI RESPONABILITA’ DEL TITOLARE O DEL RESPONABILE IN RELAZIONE ALLE MISURE TECNICHE ED ORGANIZZATIVE  VIOLAZIONI GIA’ COMMESSE IN PRECEDENZA DAL RESPONSABILE E DAL TITOLARE  IL GRADO DI COOPERAZIONE CON L’AUTORITA’ DI CONTROLLO AL FINE DI PORRE RIMEDIO ALLA VIOLAZIONE  LE CATEGORIE DI DATI PERSONALI INTERESSATE DALLA VIOLAZIONE  IL MODO IN CUI L’AUTORITA’ E’ VENUTA AL CORRENTE DELLA VIOLAZIONE  IL RISPETTO DI EVENTUALI PROVVEDIMENTI EMESSI IN PRECEDENZA DALL’AUTORITA’  ADESIONE A CODICI DI CONDOTTA  EVENTUALI AGGRAVANTI O ATTENUANTI (ES. VANTAGGI CONSEGUITI)
  • 30. SANZIONI AMMINISTRATIVE (ART. 83) RIFERIMENTO VIOLAZIONE Registro trattamenti Assenza o mantenimento non corretto Privacy by design/by default Assenza di conformità privacy by design/default di prodotti e servizi Contitolarità Assenza di accordo e ripartizione responsabilità tra contitolari Rappresentanti non stabiliti in UE Assenza di designazione di un rappresentante in UE Responsabile trattamento Assenza autorizzazione scritta da parte del Titolare Soggetti che trattano dati Assenza di istruzioni Certificazione Assenza di cooperazione con organismo Fino a 10 Mln Euro o 2% del fatturato MONDIALE totale annuo dell’esercizio precedente, se superiore
  • 31. SANZIONI AMMINISTRATIVE (ART. 83) RIFERIMENTO VIOLAZIONE Sicurezza Assenza di adozione di misure tecniche e organizzative adeguate Notifica di violazione Mancata notifica all’Autorità Comunicazione di violazione Mancata comunicazione agli interessati Valutazione di impatto Assenza di valutazione di impatto DPO Assenza di designazione Nomine Assenza di nomine di Responsabili e soggetti autorizzati Consultazione preventiva Assenza di consultazione Fino a 10 Mln Euro o 2% del fatturato MONDIALE totale annuo dell’esercizio precedente, se superiore
  • 32. SANZIONI AMMINISTRATIVE (ART. 83) RIFERIMENTO VIOLAZIONE Principi base del trattamento Violazione principi di liceità, trasparenza, correttezza, proporzionalità Consenso Modalità, condizioni e caratteristiche di acquisizione Diritti Violazione dei diritti di cui agli artt. 12-22 Ordini o limitazioni Inosservanza delle direttive imposte dall’Autorità Trasferimenti in pesi terzi Assenza di idonee garanzie Fino a 20 Mln Euro o 4% del fatturato MONDIALE totale annuo dell’esercizio precedente, se superiore
  • 33. L’AUTORITA’ DI CONTROLLO (ART.51-56-60)  SPETTA AD OGNI SINGOLO STATO MEMBRO INDIVIDUARE LA PROPRIA AUTORITA’ DI CONTROLLO (PER L’ITALIA GUARDIA DI FINANZA)  E’ COMPETENTE L’AUTORITA’ DELLO STATO IN CUI E’ STABILITO IL TITOLARE DEL TRATTAMENTO  NEL CASO IN CUI SIANO COINVOLTE PIU’ AUTORITA’ L’AUTORITA’ DI CONTROLLO DELLO STABILIMENTO PRINCIPALE DEL TITOLARE ASSUME IL RUOLO DI AUTORITA’ CAPOFILA  IN CASO DI TRATTAMENTI TRANSFRONTALIERI OGNI AUTORITA’ DI CONTROLLO DEVE SENZA RITARDO INFORMARE L’AUTORITA’ CAPOFILA CHE HA 3 SETTIMANE DI TEMPO PER DECIDERE SE DEROGARE O MENO LA COMPETENZA IN FAVORE DELL’AUTORITA’CHE L’HA INFORMATA
  • 34. L’ITER SANZIONATORIO  QUALORA IN CASO DI VERIFICA L’ORGANO DI CONTROLLO RISCONTRI IRREGOLARITA’ O INADEMPIMENTI REDIGE UN VERBALE DI CONTESTAZIONE AMMINISTRATIVA E FA UNA PROPOSTA SANZIONATORIA  IL GARANTE HA 5 ANNI DI TEMPO PER:  CONFERMARE LA SANZIONE  RIDETERMINARE LA SANZIONE  ARCHIVIARE  QUALORA VI SIANO ANCHE RESPONSABILITA’ PENALI L’AUTORITA’ GARANTE NE DARA’ NOTIZIA ALLA PROCURA COMPETENTE  IL PAGAMAENTO DELLA SANZIONE DOPO I 60 GG DA QUANDO E’ STATA COMMINATA COMPORTA LA QUADRUPLICAZIONE DELL’IMPORTO
  • 35. IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO (ART.30)  COS’E’?  E’ UN REGISTRO NEL QUALE SONO RIPORTARE TUTTE LE INFORMAZIONI INERENTI AL TRATTAMENTO DATI.  A COSA SERVE?  E’ INDISPENSABILE PER POTER EFFETTUARE UNA CORRETTA ANALISI DEI RISCHI  PERMETTE DI AVERE UN QUADRO AGGIORNATO DEI TRATTAMENTI IN ESSERE ALL’INTERNO DELL’AZIENDA  E’ UNO STRUMENTO UTILE IN CASO DI SUPERVISIONE DA PARTE DEL GARANTE  CHI DEVE REDIGERLO?  IL TITOLARE DEL TRATTAMENTO, IL/I RESPONSABILE/I DEL TRATTAMENTO E OGNI SUO RAPPRESENTANTE  QUANDO?  SE L’AZIENDA HA PIÙ DI 250 DIPENDENTI  SE L’AZIENDA HA MENO DI 250 DIPENDENTI:  SE IL TRATTAMENTO PRESENTA UN RISCHIO PER I DIRITTI E LE LIBERTA’ DELL’INTERESSATO  SE IL TRATTAMENTO NON È OCCASIONALE E RIGUARDA DATI PARTICOLARI  DEVE ESSERE AGGIORNATO COSTANTEMENTE  E’ SEMPRE CONSIGLIATO IN QUANTO STRUMENTO CHE FA SCATTARE UNA PRESUNZIONE DI CONFORMITÀ AL REGOLAMENTO E PERMETTE DI AVER SOTTO CONTROLLO I TRATTAMENTI EFFETTUATI
  • 36. …. CONTINUA  QUALI INFORMAZIONI DEVE NECESSARIMENTE CONTENENRE?  NOME E DATI DI CONTATTO DEL TITOLARE ED EVENTUALE CONTITOLARE DEL TRATTAMENTO  NOME E DATI DI CONTATTO DEL RAPPRESENTANTE DEL TITOLARE  NOME E DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DATI  FINALITÀ DEL TRATTAMENTO  CATEGORIE DI DATI TRATTATI  CATEGORIE DI INTERESSATI  CATEGORIE DI DESTINATARI  TRASFERIMENTI DI DATI A PAESI TERZI E RELATIVE GARANZIE  TERMINI PER LA CANCELLAZIONE DEI DATI  DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA, TECNICHE ED ORGANIZZATIVE
  • 37. VALUTAZIONE DI IMPATTO (ART.35) (DPIA-Data Protection Impact Assessment)  COS’E’ E CHI E’ TENUTO AD EFFETTUARLA?  E’ UNA VALUTAZIONE FINALIZZATA A DESCRIVERE IL TRATTAMENTO, VALUTARNE LA NECESSITÀ, LA PROPORZIONALITÀ E I RISCHI PER I DIRITTI E LE LIBERTA’ DEGLI INTERESSATI.  DEVE ESSERE EFFETTUATA DAL TITOLARE E DAL RESPONSABILE DEL TRATTAMENTO CHE SONO TENUTI, OVE PRESENTE, A CONSULTARSI CON IL DPO  ELIMINA L’OBBLIGO DEL PRIOR CHECKING O INTERPELLO PREVENTIVO AL GARANTE  QUANDO VA EFFETTUATA?  PRIMA DI INIZIARE UN TRATTAMENTO E RIVALUTATA DURANTE
  • 38. …CONTINUA  COSA DEVE CONTENERE?  DESCRIZIONE SISTEMATICA DEI TRATTAMENTI PREVISTI E DELLE FINALITÀ DEL TRATTAMENTO  VALUTAZIONE DELLA NECESSITÀ E PROPORZIONALITÀ DEI TRATTAMENTI IN RELAZIONE ALLE FINALITÀ  VALUTAZIONE DEI RISCHI PER I DIRITTI E LE LIBERTÀ DEGLI INTERESSATI  MISURE PREVISTE PER AFFRONTARE I RISCHI
  • 39. QUANDO E’ OBBLIGATORIA LA DPIA  QUANDO IL TRATTAMENTO PRESENTA UN RISCHIO ELEVATO PER GLI INTERESSATI (OBBLIGATORIA NEL CASO DI INTRODUZIONE DI NUOVE TECNOLOGIE)  QUANDO VI È UNA VALUTAZIONE SISTEMATICA E AUTOMATIZZATA COMPRESA LA PROFILAZIONE, SULLA QUALE SI FONDANO DECISIONI CHE HANNO EFFETTI GIURIDICI SUGLI INTERESSATI  QUANDO IL TRATTAMENTO DI DATI PARTICOLARI È EFFETTUATO SU LARGA SCALA  QUANDO VI È UNA SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI ZONA ACCESSIBILE AL PUBBLICO
  • 40. QUANDO NON E’ OBBLIGATORIA LA DPIA  QUANDO IL TRATTAMENTO NON COMPORTA UN RISCHIO ELEVATO PER I DIRITTI E LE LIBERTA’ DELLE PERSONE  QUANDO LA NATURA, IL CONTESTO, LE FINALITA’ DEL TRATTAMENTO SONO MOLTO SIMILI O UGUALI A QUELLI DI UN TRATTAMENTO PER IL QUALE E’STATA SVOLTA UNA DPIA  QUANDO IL TRATTAMENTO E’ STATO VERIFICATO DA PARTE DI UNA AUTORITA’ DI CONTROLLO PRIMA DELL’ENTRATA IN VIGORE DEL REGOLAMENTO E NON HA SUBITO MODIFICHE (INTERPELLI E ISTANZE GARANTE)  QUANDO IL TRATTAMENTO E’ COMPRESO TRA QUELLI PER I QUALI ESISITONO AUTORIZZAZIONI  QUANDO NON EMERGE CON CHIAREZZA LA NECESSITA’ DI UNA DPIA IL GARANTE CONSIGLIA COMUNQUE DI FARVI RICORSO
  • 41. I 9 CRITERI DELLA DPIA  TRATTAMENTI VALUTATIVI, PREDITTIVI, DI SCORING E DI PROFILAZIONE (ES. CREAZIONE DI PROFILI COMPORTAMENTALI SULLA BASE DEI DATI NAVIGAZIONE WEB)  DECISIONI AUTOMATIZZATE CHEPRODUCOO SIGNIFICATIVI EFFETTI GIURIDICI (ESCLUSIONE DA DETERMINATI BENEFICI – DISCRIMINAZIONE)  MONITORAGGIO SISTEMATICO (PREDETERMINATO, ORGANIZZATO E METODICO- ES. CONTROLLO DATI DI NAVIGAZIONE DEI DIPENDENTI)  COMBINAZIONE O RAFFRONTO DI INSIEME DI DATI (ES. TRATTAMENTI SVOLTI PER FINALITA’ DIVERSE DA TITOLARI DIVERSI)  TRATTAMENTI DI DATI SENSIBILI, GIUDIZIARI O DI DATI COMUNQUE DI NATURA ESTREMAMENTE PERSONALE (CASELLARIO GIUDIZIARIO)  TRATTAMENTI DI DATI SUL ALRGA SCALA  NUMERO DI SOGGETTI INTERESSATI DAL TRATTAMENTO IN RELAZIONE ALLA % DELLA POPPOLAZIONE O IN REALZIONE ALLA REALTA’ AZIENDALE  VOLUME DEI DATI TRATTATI E/O AMBITO DELLE DIVERSE TIPOLOGIE DI DATO OGGETTO TRATTAMENTO  DURATA DELL’ATTIVITA’ DI TRATTAMENTO  AMBITO GEOGRAFICO DELL’ATTIVITA’ DI TRATTAMENTO  UTILIZZO DI SISTEMI INNOVATIVI O APPLICAZIONI TECNOLOGICHE O ORGANIZZATIVE (INTERNET OF THINGS)  TRATTAMENTI DI DATI RELATIVI A SOGGETTI VULNERABILI (MINORI, ANZIANI, DIVERSAMENTE ABILI MA ANCHE I DIPENDENTI)  TRATTAMENTI CHE DI PER SE’ IMPEDISICONO AGLI INTERESSATI DI ESERCITARE UN DIRITTO O DI AVVALERSI DI UN SERVIZIO O UN CONTRATTO (ES. SCREENING CENTRALE RISCHI ISTITUTI DI CREDITO)
  • 42. FASI PRATICHE DELLA DPIA  DESCRIZIONE SISTEMATICA DEL TRATTAMENTO  NATURA, AMBITO, CONTESTO, FINALITA’  TIPOLOGIA DI DATII, DESTINATARI E PERIODO DI CONSERVAZIONE  STRUMENTI UTILIZZATI  CODICI DI CONDOTTA  VALUTAZIONE DI NECESSITA’ E PROPORZIONALITA’ DEL TRATTAMENTO  FINALITA’ SPECIFICHE, DETERMINATE, LEGITTIME  LICEITA’ DEL TRATTAMENTO  DATI ADEGUATI PERTINENTI LIMITTAI A QUANTO NECESSARIO  LIMITAZIONE DELLA CONSERVAZIONE  GESTIONE DEI RISCHI PER I DIRITTI E LE LIBERTA’ DEGLI INTERESSATI  FONTI DI RISCHIO  IMPATTI POTENZIALI SUI DIRITTI E LE LIBERTA DEGLI INTERESSATI  PROBABILITA’ E GRAVITA’ DELLE MINCACCE CHE POTREBBERO DAR LUOGO AD ACCESSI ILLEGITIIMI O MOFICIHE INDESIDERATE DEI DATI  COINVOLGIMENTO DEI SOGGETTI INTERESSATI
  • 43. DPIA IN SINTESI IL TRATTAMENTO COMPORTA UN RISCHIO ELEVATO NO NO DPIA SI ECCEZIONE NO SI DPIA RIESAME DEL TRATTAMENTO RISCHIO RESIDUALE ELEVATO SI SI NO NO CONSULATAZIONE PREVENTIVA SI CONSULTAZIONE PREVENTIVA CONSULENZA DPO CODICI CONDOTTA OPINIONI DEGLI INTERESSATI
  • 44. DATA BREACH (ART.33)  SOGGETTI  OBBLIGO PER TUTTI I TITOLARI DI NOTIFICARE AL GARANTE LA VIOLAZIONE SUBITA  TEMPI E MODALITA’:  OBBLIGO DI NOTIFICARE TALE VIOLAZIONE SENZA RITARDO OVVERO ENTRO 72 ORE DAL MOMENTO IN CUI IL TITOLARE NE E’ VENUTO A CONOSCENZA  QUALORA LA VIOLAZIONE COMPORTI UN ELEVATO RISCHIO PER I DIRITTI E LE LIEBRTA’ DEGLI INTERESSATI IL TITOLARE DEVE, SENZA RITARDO, DARNE COMUNICAZIONE ANCHE A LORO  CONTENUTO:  NATURA DELLA VIOLAZIONE  DATI DI CONTATTO DEL DPO SE ESISTENTE O DI ALTRO SOGGETTO INFORMATO  DESCRIZIONE DELLE PROBABILI CONSEGUENZE  MISURE ADOTTATE O PROPOSTE PER PORRE RIMEDIO ALLA VIOLAZIONE O ATTENUARNE GLI EFFETTI
  • 45. TRASFERIMENTO DATI VERSO PAESI TERZI AL DI FUORI DELLA UE (ARTT. 44-50)  NON OCCORRE PIU’ L’AUTORIZZAZIONE NAZIONALE TRANNE IN CASO DI CLAUSOLE CONTRATTUALI AD HOC O DI ACCORDI AMMINISTRATIVI TRA PA  IL TRASFERIMENTO E’ POSSIBILE SOLO IN CASO DI  DECISIONE DI ADEGUATEZZA  ADOZIONE DI CODICI DI CONDOTTA O CERTIFICAZIONI PER DIMOSTRARE LE GARANZIE ADEGUATE  NORME VINCOLANTI DI IMPRESA ( ES. CLAUSOLE CONTRATTUALI STANDARD, BINDING CORPORATE RULES, DATA TRANSFER AGREEMENT)  NEGLI ALTRI CASI POSSIBILE SOLO SE:  CONSNESO ESPLICITO DELL’INTERESSATO  NECESSARIO PER DARE ESECUZIONE AD UN CONTRATTO TRA INTERESSATO E TITOLARE  PER MOTIVI DI INTERESSE PUBBLICO  PER DIDENDERE UN DIRITTO IN SEDE GIUDIZIARIA  PER TUTELARE INTERESSI VITALI DELL’INTERESSATO QUALORA ESSO NON SIA IN GRADO
  • 46. INFORMATIVA: COSA CAMBIA  CONTENUTO MINIMO TASSATIVO:  DATI DI CONTATTO DEL DPO OVE ESISTENTE  BASE GIURIDICA  INTERESSE LEGITTIMO  TRASFERIMENTO DATI IN PAESI TERZI E QUALI STRUMENTI SONO UTILIZZATI  PERIODO DI CONSERVAZIONE DEI DATI  DIRITTO DI REVOCARE IL CONSENSO IN QUALSIASI MOMENTO  DIRITTO DI PROPORRE RECLAMO  UTILIZZO DI PORCESSI DECISIONALI AUTOMATIZZATI E LOGICA ALLA BASE DI TALI PROCESSI  FONTE DA CUI HANNO ORIGINE I DATI PERSONALI  LE CATEGORIE DI DATI PERSONALI OGGETTO DEL TRATTAMENTO
  • 47. … CONTINUA  MODALITA’  FORMA CONCISA, TRASPARENTE, INTELLIGIBILE, LINGUAGGIO CHIARO E SEMPLICE  FORMA SCRITTA E PREFERIBILMENTE IN FORMATO ELETTRONICO  POSSONO ESSER UTILIZZATE ICONE PER L’INFORMATIVA SINTENTICA SOLO SE IN COMBINAZIONE CON L’INFORMATIVA ESTESA  TEMPI  QUALORA I DATI NON SIANO STATI RACCOLTI DIRETAMENTE PRESSO L’INTERESSATO L’INFORMATIVA DEVE ESSERE FORNITA ENTRO UN MESE DALLA RACCOLTA O AL MOMENTO DELLA COMUNICAZIONE DEI DATI A TERZI O ALL’INTERESSATO  ESONERO  IN CASO DI DATI PERSONALI RACCOLTI DA FONTI DIVERSE DALL’INTERESSATO SPETTA AL TITOLARE VALUTARE SE LA PRESENTAIZONE DELL’INFORMATIVAAGLI INTERESSATI COMPORTI UNO SFORZO SPROPORZIONATO
  • 48. INFORMATIVA COSA RIMANE INVARIATO  L’INFORMATIVA DEVE ESSERE FORNITA PRIMA DI EFFETTUARE LA RACCOLTA DATI  SE I DATI NON SONO RACCOLTI PRESSO L’INTERESSATO L’INFORMATIVA DEVE COMPRENDERE LE CATEGORIE DI DATI PERSONALI OGGETTO DI TRATTAMENTO  OCCORRE SEMPRE INDICARE:  IL TITOLARE DEL TRATTAMENTO, IL RESPONSABILE DEL TRATTAMENTO E IL RAPPRESENTANTE SE PRESENTE  LE FINALITA’  I DIRITTI DEGLI INTERESSATI  I DESTINATARI DEI DATI
  • 49. OCCORRE UN NUOVO CONSENSO PER I TRATTAMENTI IN ESSERE?  NON OCCORRE CHE L'INTERESSATO PRESTI NUOVAMENTE IL SUO CONSENSO, SE QUESTO È STATO ESPRESSO SECONDO MODALITÀ CONFORMI ALLE CONDIZIONI DEL PRESENTE REGOLAMENTO, AFFINCHÉ IL TITOLARE DEL TRATTAMENTO POSSA PROSEGUIRE IL TRATTAMENTO IN QUESTIONE DOPO LA DATA DI APPLICAZIONE DEL PRESENTE REGOLAMENTO
  • 50. I DIRITTI DEGLI INTERESSATI  DIRITTO DI ACCESSO (ART. 15)  PREVEDE IL DIRITTO DI RICEVERE UNA COPIA DEI DATI PERSONALI OGGETTO DI TRATTAMENTO  IL TITOLARE DEVE INDICARE: IL PERIODO DI CONSERVAZIONE O I CRITERI UTILIZZATI PER STABILIRLO, LE GARANZIE APPLICATE IN CASO DI TRAFERIMENTO DEI DATI VESRSO PAESI TERZI  DIRITTO DI RETTIFICA E CANCELLAZIONE (ART.16)  DIRITTO AD OTTENERE DAL TITOLARE LA RETTIFICA DEI DATI PERSONALI SENZA INGIUSTIFICATO RITARDO  DIRITTO DI OTTENERE L’INTEGRAZIONE DI DATI PERSONALI INCOMPLETI  IL TITOLARE DEVE COMUNICARE EVENTUALI RETTIFICHE AI DESTINATARI CUI I DATI SONO COMUNICATI
  • 51. …CONTINUA  DIRITTO DI CANCELLAZIONE (DIRITTO ALL'OBLIO) (ART.17)  CANCELLAZIONE DEI PROPRI DATI PERSONALI IN FORMA RAFFORZATA. SI PREVEDE, INFATTI, L'OBBLIGO PER I TITOLARI CHE HANNO RESOPUBBLICI I DATI (ES, PUBBLICAZIONE SITO INTERNET) DI INFORMARE DELLA RICHIESTA DI CANCELLAZIONE ALTRI TITOLARI CHE TRATTANO I DATI PERSONALI CANCELLATI, COMPRESI "QUALSIASI LINK, COPIA O RIPRODUZIONE.  L’INTERESSATO HA IL DIRITTO DI CHIEDERE LA CANCELLAZIONE DEI PROPRI DATI, PER ESEMPIO, ANCHE DOPO REVOCA DEL CONSENSO AL TRATTAMENTO  DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (ART.18)  È ESERCITABILE NON SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI DI LICEITÀ DEL TRATTAMENTO BENSÌ ANCHE SE L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI O SI OPPONE AL LORO TRATTAMENTO  IL DATO PERSONALE DEVE ESSERE "CONTRASSEGNATO" IN ATTESA DI DETERMINAZIONI ULTERIORI, PERTANTO, È OPPORTUNO CHE I TITOLARI PREVEDANO NEI PROPRI SISTEMI INFORMATIVI (ELETTRONICI O MENO) MISURE IDONEE A TALE SCOPO  ESCLUSA LA CONSERVAZIONE OGNI ALTRO TARTTAMENTO DEL DATO DI CUI SI RICHIEDE LA LIMITAZIONE E’ VIETAAO SALVO RICORRANO DETETRMINATE CIRCOSATANZE (ES. ACCERTAMENTO IN SEDE GIUDIZIARIA)
  • 52. …CONTINUA  DIRITTO ALLA PORTABILITÀDEI DATI (ART. 20)  DIRITTO DI TRASFERIRE I PROPRI DATI DA UN TITOLARE DEL TRATTAMENTO AD UN ALTRO (SI PENSI ALLA PORTABILITÀ DEL NUMERO TELEFONICO)  NON SI APPLICA AI TRATTAMENTI NON AUTOMATIZZATI (ES. ARCHIVI CARTACEI)  SONO PORTABILI SOLO I DATI TRATTATI CON IL CONSENSO DELL’INTERESSATO E DALLO STESSO FORNITI O BASATI SU UN CONTRATTO DI CUI L’INTERESSATO E’ PARTE (ES. NO PER TRATTAMENTO FONDATO SULLA LEGGE)  IL TITOLARE DEVE ESSERE IN GRADO DI TRASFERIRE DIRETTAMENTE I DATI PORTABILI AD UN ALTRO TITOLARE INDICATO DALL’INTERESSATO OVE SI ATECNICAMENTE POSSIBILE  LA PORTABILITA’ NON COMPORTA LA CANCELLAZIONE AUTOMATICA DEI DATI NEI SISTEMI DEL TITOLARE  L’INTERESSATO PUO’ CONTINUARE AD USUFRUIRE DEL SERVIZIO OFFERTO DAL TITOLARE ANCHE DOPO CHE SIA AVVENUTA LA PORTABILITA’
  • 53. …CONTINUA  DIRITTO DI OPPOSIZIONE(ART. 21)  DIRITTO DI OPPORSI AL TRATTAMENTO DI DATIPARTICOLARI  DIRITTO A NON ESSERE SOTTOPOSTI A PROCESSI DECISIONALI AUTOMATIZZATICOMPRESA LA PROFILAZIONE (ART.22)  DIRITTO A NON ESSERE SOTTOPOSTI A DECISIONI CHE POSSONO VALUTARE ASPETTI PEROSNALI BASATA UNICAMNETE SU UN TRATTAMENTO AUTOMATIZZATO
  • 54. MODALITA’ DI ESERCIZIO DEI DIRITTI: COSA CAMBIA  SPETTA AL TITOLARE DARE RISCONTRO ALL’INTERESSATO  TERMINI  ENTRO UN MESE DALLA RICHIESTA ESTENDIBILE A TRE IN CASI PARTICOLARMENTE COMPLESSI  IL TITOLARE DEVE COMUNQUE DARE RISCONTRO ENTRO UN MESE ANCHE IN CASO DI DINIEGO  MODALITA’  LA RISPOSTA FORNITA DEVE AVERE FORMA SCRITTA SALVO ILC ASO IN CUI SIA L’INTERESSTAO A RICHIEDERE UN RISCONTRO ORALE  LA RISPOSTA DEVE ESSERE INTELLIGIBILE, CONCISA, TRASPARENTE, FACILMENTE ACCESSIBILE E IL LINGUAGGIO DEVE ESSERE SEMPLICE E CHIARO  IN CASI COMPLESSI O DI RICHEISTE INFONADATE O DI RICHIESTE DI PIU’ COPIE IL TITOLARE PUO’ STABILIRE UN EVENTUALE CONTRIBUTO ALL’INTERESSATO
  • 55. COSA DEVE FARE QUINDI LA MIA AZIENDA?  EFFETTUARE UN’ANALISI DELLO STATO DI FATTO  REDIGERE UNA POLICY PRIVACY AZIENDALE  AGGIORNARE LE INFORMATIVE  PORVVEDERE A NOMINARE LE FIGURE NECESSARIE  EFFETTUARE LA O LE VALUTAZIONI DI IMPATTO CHE RISULTANO NECESSARIE  REDIGERE IL REGISTRO DELLE ATTIVITA’DI TRATTAMENTO  ANNOTARE LE VIOLAZIONI SUBITE  AGGIORNARE COSTANTEMENTE IL DOSSIER PRIVACY
  • 56. GLI IMPATTI SU SERVIZI IN OUTSOURCING, CLOUD, WEB E SERVIZI ICT Ing. Claudio Poletti Segretario Generale Conflavoro PMI Reggio Emilia claudio.poletti@conflavoro.re.it
  • 57. I SOGGETTI DEL CLOUD FORNITORE DEL SERVIZIO (CLOUD PROVIDER) UTILIZZATORE DEL SISTEMA CLOUD (IMPRESA) FRUITORE DEL SERVIZIO (UTENTE FINALE)
  • 58. I SOGGETTI DEL CLOUD: RUOLI E RESPONSABILITA’ SE UTENTE DEL CLOUD RESPONSABILE DEL TRATTAMENTO ALLORA CLOUD PROVIDER RESPONSABILE ESTERNO DEL TRATTAMENTO
  • 59. RICORDA CHE… IL TITOLARE DEL TRATTAMENTO DEVE COSTANTEMENTE ACCERTARE L’AFFIDABILITA’ E LA COMPETENZA DEL RESPONSABILE ESTERNO
  • 60. MA… LA MAGGIOR PARTE DEI CONTRATTI STIPULATI PER LA FORNITURA DI SERVIZI CLOUD STANDARDIZZATI (AD ES. GOOGLE DRIVE, DROPBOX) CONTENGONO CLAUSULE GENERICHE ACCETTATE, PER ADESIONE, DAL CLIENTE DI FATTO IL CLOUD PROVIDER SI COLLOCA IN UNA POSIZIONE DOMINANTE RISPETTO AL FRUITORE DEL SERVIZIO, IL QUALE NON E’ NELLE CONDIZIONI DI POTER NEGOZIARE LE CLAUSULE A LUI MENO FAVOREVOLI
  • 61. QUINDI… DI FATTO, NEI CONTRATTI DI CLOUD OGNI DECISIONE RELATIVA ALLE MISURE DI SICUREZZA DA ADOTTARE E LA CONFIGURAZIONE TECNOLOGICA DEI SISTEMI E’ DI ESCLUSIVA COMPETENZA DEL PROVIDER IL CLIENTE, BENCHE’ SIA TITOLARE DEL TRATTAMENTO, PUO’ VERIFICARE L’ESECUZIONE DELLE PRESTAZIONI IN CONFORMITA’ CON QUANTO PREVISTO DAL CONTRATTO, MA NON PUO’ ESERCITARE ALCUN POTERE DI CONTROLLO SUGLI ASPETTI SUDDETTI
  • 62. CI TROVIAMO QUINDI IN UNA SITUAZIONE DI CONTITOLARITA’? AMMETTERE CIO’ SIGNIFICHEREBBE LICENZIARE UN’INGERENZA CHE NON APPARTIENE AI RAPPORTI QUIVI CONTEMPLATI
  • 63. QUINDI… DI FATTO, NEI CONTRATTI DI CLOUD IL RUOLO PIU’ APPROPRIATO PER IL CLOUD PROVIDER RIMANE QUELLO DELLA “TITOLARITA’ SUPPLEMENTARE” LIMITATAMENTE AL “FUNZIONAMENTO DEL SERVIZIO” (DIRETTIVA 95/46/CE, CONSIDERANDO N.47) OSSIA… UNA SORTA DI “AMMINISTRATORE DI SISTEMA”
  • 64. IN SINTESI: COSA DEVE GARANTIRE UN FORNITORE DI SERVIZI CLOUD?  ESPERIENZA NELLA PROTEZIONE DEI DATI  CONTRATTI PER L'ELABORAZIONE DEI DATI (DATA PROCESSING AGREEMENT, DPA)  USO DI ELABORATORI SECONDARI  SICUREZZA DEI SERVIZI  DISPONIBILITÀ, INTEGRITÀ E RESILIENZA  DISASTER RECOVERY  CRITTOGRAFIA  CONTROLLI DEGLI ACCESSI MEDIANTE SISTEMI DI AUTENTICAZIONE AVANZATA  CHIAVI CIFRATE  ACCESSO CON CNS O SMARTCARD DIGITALI  ACCESSO MEDIANTE INVIO DI CODICE MONOUSO (ES. SMS SU CELLULARE)
  • 65. IN SINTESI: COSA DEVE FARE LA MIA AZIENDA?  DEVE SCEGLIERE ACCURATAMENTE IL FORNITORE DEL SERVIZIO AL FINE DI GARANTIRE RISERVATEZZA, MISURE DI SCIUREZZA IDONEE ED IL RISPETTO DELLE ISTRUZIONI FORNITE DAL TITOLARE IN ORDINE AL TRATTAMENTO  DEVE INOLTRE VERIFICARE CHE IL FORNITORE DEL SERVIZIO SIA IN GRADO DI FORNIRE ASSISTENZA AL TITOLARE IN MATERIA DI MISURE DI SICUREZZA, IN CASO DI RICHIESTE DEGLI INTERESSATI ED IN CASO DI NOTIFICA DI VIOLAZIONI  DEVE AVERE UN CONTRATTO CON IL FORNITORE DI SERVIZI ESTERNALIZZATI, SIA ESSO UN OUTSOURCER TRADIZIONALE O UN CLOUD SERVICE PROVIDER  DEVE VERIFICARE CHE IL FORNITORE DEL SERVIZIO ABBIA NOMINATO IL DPO
  • 66. IN SINTESI: QUALI MISURE DEVONO ESSERE GARANTITE IN CASO DI DISGUIDI TECNICI?  DEVE ESSERE GARANTITA LA RIPRISTINABILITA’ DEI DATI  DEVONO ESSERE PRESE MISURE DI SICUREZZA PER EVITARE LA PERDITA DI DATI, QUALI, AD ESEMPIO:  RISPOSTE AUTOMATICHE  BLOCCO DI MAIL  PROTEZIONE MEDIANTE PASSWORD DEI FOGLI DI LAVORO O REPORT  PROTEZIONE DELL’ARCHIVIAZIONE DELLE MAIL  CRIPTAZIONE  PSEUDONIMIZZAZIONE DEL DATO OVVERO LA CAPACITÀ DI GESTIRE DATI STRUTTURATI PER SEPARARE GLI ELEMENTI IN UN APPROCCIO COERENTE AL PRINCIPIO “PRIVACY BY DESIGN”  PRESENZA DI FIREWALL ANTISAPM E ANTIVIRUS
  • 68. GRAZIE PER L’ATTENZIONE Conflavoro PMI Reggio Emilia Resta aggiornato sull’argomento visitando il nostro sito www.conflavoro.re.it