SlideShare a Scribd company logo
1 of 48
Download to read offline
FORMAZIONE
GDPR
1
- Breve accenno sulla normativa
- I ruoli e le responsabilità
- I Diritti degli interessati
- Data Breach
- Le sanzioni
- …to do
392.9153418
manuel.salvi@imteam.it
FORMAZIONE
GDPR
2
https://www.grcteam.it https://www.linkedin.com/in/manuelsalvi/
3
Chi è costui?
il DPO
4
Chi è costui?
il DPO
5
Chi è costui?
il DPO
PERCHÈ?
GDPR
6
Video del Garante Belga
https://www.youtube.com/watch?v
=qYnmfBiomlo
7
QUANDO?
GDPR
8
9
1970 1980 1990 2000 2010 2020
Le tappe della Data Protection
CELLULARE
1973
OUTLOOK
1992
WWW
1991
IPHONE
2007
FACEBOOK
2004
CELLULARE
FOTOCAMERA
2000
PERSONAL
COMPUTER
1981
IOT
….
DIRETTIVA
95/46/CE
1995
675/96
1996
196/2003
2003
COOKIES
D. 2002/58/CE
2002
EMAIL MARKETING
D. 2009/136/UE
2009
GDPR
679/2016
2003
10
4 anni di preparazione e dibattito
Il 27 aprile 2016 il Parlamento Europeo approva il GDPR.
Il Regolamento si applica a decorrere dal
25 maggio 2018
Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n.
2016/679 (GDPR), con i suoi 99 articoli ha riscritto la disciplina della Privacy
a livello europeo.
11
In vigore - fino a loro modifica o abrogazione
Novellata con D.Lgs. 101/2018
In vigore - fino a loro modifica o abrogazione
In vigore - fino a loro modifica o abrogazione
Direttiva 1995/46
Codice privacy - D.Lgs. 196/2003
Regolamento - 2016/679
Provvedimenti Autorità Garante
Accordi Internazionali su
Trasferimento dati
Decisioni Commissioni UE
Legge 675/1996 Abrogata
In vigore - fino a loro modifica o abrogazione
Abrogata
DOVE?
GDPR
12
13
Art. 2 Art. 3
Ambito di applicazione materiale e Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di
dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o
destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;
b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del
titolo V, capo 2,TUE;
c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o
domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o
perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce
alla sicurezza pubblica e la prevenzione delle stesse.
3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si
applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici
dell'Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle
norme del presente regolamento conformemente all'articolo 98.
4. Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE, in
particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli
articoli da 12 a 15 della medesima direttiva.
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del
trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno
nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano
nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non
è stabilito nell'Unione, quando le attività di trattamento riguardano:
a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente
dall'obbligatorietà di un pagamento dell'interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del
trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro
in virtù del diritto internazionale pubblico.
Direttiva 2016/680
D.Lgs. 51/2018
COSA?
GDPR
14
Base giuridica
Scadenza Sicurezza Accountabilty Informativa
Finalità
Trattamento
la catena logica del GDPR
15
Dato personale
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione,
un identifi cativo online o a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o sociale;
DATO PERSONALE
16
Non usare le iniziali
Provvedimenti N° 118 del 2 luglio 2020 - Greve in Chianti
Provvedimenti N° 155 del 3 settembre 2020 - Aosta
DATI PARTICOLARI E …
17
Tipologia dei Dati personali
_ Personali comuni
_ Di Minori - Art. 8 Consenso dei minori
_ Particolari - Art. 9
• Relativi all'origine razziale o etnica
• Relativi a convinzioni politiche, religiose o filosofiche
• Relativi all'appartenenza sindacale
• Dati genetici
• Dati biometrici
• Relativi alla salute
• Relativi alla vita sessuale o all’orientamento sessuale
_ Relativi a condanne penali e reati - Art. 10
Base giuridica
Scadenza Sicurezza Accountabilty Informativa
Finalità
Trattamento
la catena logica del GDPR
18
Dato personale Trattamento
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
19
TRATTAMENTO
qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali, come
la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
Art. 4, comma 2
15. la cancellazione,
16. la distruzione
3. l’organizzazione,
4. la strutturazione
5. la conservazione,
6. l’adattamento,
7. la modifica,
8. l’estrazione,
9. la consultazione,
10. l’uso,
11. la comunicazione,
12. l’interconnessione,
1. la raccolta,
2. la registrazione
CICLO DI VITA DEL DATO
Base giuridica
Scadenza Sicurezza Accountabilty Informativa
Finalità
Trattamento
la catena logica del GDPR
20
Dato personale Finalità Base giuridica
Trattamento
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
21
BASI GIURIDICHE
Art. 6
a)
Consenso
b)
Contratto
c)
Obbligo
legale
d)
Interessi
vitali
e)
Interesse
pubblico
f)
Legittimo
interesse
22
Il decreto Capienze cambia le regole, ciò che non era lecito ieri diventa lecito oggi
ieri_ 25/02/2001
oggi_ 25/02/2001
D. L. 139 del 08/10/2021
cd Decreto capienze - Art. 9
Art. 2 ter.
1.La base giuridica prevista dall'articolo 6,
paragrafo 3, lettera b), del regolamento e'costituita
esclusivamente da una norma di legge o, nei casi
previsti dalla legge, di regolamento.
https://www.linkedin.com/posts/manuelsalvi_caso-
bonus-covid-sanzione-di-300000-per-activity-
6775120610398916608-XGVE
Scadenza Sicurezza Accountabilty Informativa
Informativa
Accountability
Sicurezza
Scadenza
Base giuridica
Finalità
Trattamento
la catena logica del GDPR
23
Dato personale Finalità Base giuridica
Trattamento
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
24
Limitazione della conservazione
https://www.dataprotectionreport.c
om/2019/11/first-multi-million-gdpr-
fine-in-germany-e14-5-million-for-
not-having-a-proper-data-
retention-schedule-in-place/
10 QUOTIDIANE MINACCE
25
1 Profilazione commerciale • Remarketing
• Pubblicità geolocalizzata e/o offline
• Microfono smartphone
• Advertsing
• Cookies
• …
https://www.linkedin.com/pulse/il-
tuo-smartphone-ti-ascolta-manuel-
angelo-salvi/
2 Criminalità Cyber
10 QUOTIDIANE MINACCE
26
• Phishing
• Furto identità
• Frodi
• Furto di strumenti di pagamento
• …
https://www.commissariatodips.it/notizie/articolo/op
erazione-contro-il-cybercrime-people1-1/index.html
3 Criminalità tradizionali + cyber
10 QUOTIDIANE MINACCE
27
• Social
• hackeraggio sistemi domestici
- di videosorveglianza
- domotica
- smart tv
- PC o device
- reti
• …
10 QUOTIDIANE MINACCE
28
4 Fake news,
disinformazione e
condizionamento
https://www.agendadigitale.eu/sicurezza/privacy/bistrattat
a-privacy-ecco-come-ci-consegniamo-al-brainwashing/
https://www.cybersec
urity360.it/nuove-
minacce/lettura-della-
mente-e-lavaggio-del-
cervello-quotidiani-
problemi-di-privacy/
D. L. 139 del 08/10/2021
cd Decreto capienze - Art. 9
10 QUOTIDIANE MINACCE
29
5 Pedopornografia e Revenge porn
“Art. 144 -bis (Revenge porn) .
— 1. Chiunque, compresi i minori ultraquattordicenni,
abbia fondato motivo di ritenere che immagini o video a
contenuto sessualmente esplicito che lo riguardano,
destinati a rimanere privati, possano essere oggetto di
invio, consegna, cessione, pubblicazione o diffusione
senza il suo consenso in violazione dell’art. 612 -ter del
codice penale, può rivolgersi, mediante segnalazione o
reclamo, al Garante, il quale, entro quarantotto ore dal
ricevimento della richiesta, provvede ai sensi
dell’articolo 58 del regolamento (UE) 2016/679 e degli
articoli 143 e 144.
2. Quando le immagini o i video riguardano minori, la
richiesta al Garante può essere effettuata anche dai
genitori o dagli esercenti la responsabilità genitoriale
o la tutela.
6 Diffamazione e
Cyberbullismo
10 QUOTIDIANE MINACCE
30
7 Verifiche reputazionali
8 Profilazione, scoring e algoritmi decisionali
10 QUOTIDIANE MINACCE
31
10 QUOTIDIANE MINACCE
32
9 Controllo del lavoratore
https://www.linkedin.com/posts/manue
lsalvi_gdpr-activity-
6759541996244803584-9dCV
https://www.linkedin.com/
posts/manuelsalvi_profila
zione-privacy-
dataprotection-activity-
6717376559847657472-
mhYh
10 QUOTIDIANE MINACCE
33
10 Furto delle
credenziali
CHI?
GDPR
34
35
Organigramma e Processi
Il Titolare
Gli Autorizzati
DPO
I Responsabili
esterni
MISE sanzionato per 75.000€
per mancata nomina del DPO
https://www.linkedin.com/posts/manue
lsalvi_garante-activity-
6775755576585580544-hbg-
36
IL PROCESSOR
‣ Atto di Nomina firmato
‣ Articolo standard Privacy in contratti di
fornitura con allegato l’Atto di Nomina
‣ Il Responsabile e l’AdS
‣ La Check list Privacy
‣ I Subfornitori
37
I DIRITTI DEGLI
INTERESSATI
•il diritto ad essere informato (artt. 12-13-14) sull’esistenza del
trattamento, sulla sua finalità, modalità e durata, sulla comunicazione
dei dati, sui propri diritti;
•il diritto di accesso ai dati (art. 15);
•il diritto di rettifica (art. 16);
•il diritto alla cancellazione dei dati, o «diritto all’oblio» (art. 17);
•il diritto alla limitazione del trattamento (art. 18);
•il diritto alla portabilità dei dati (art. 20);
•il diritto ad opporsi a determinate forme di trattamento (art. 21), ad
esempio al marketing diretto;
•Il diritto a non essere sottoposto a decisioni basate unicamente sul
trattamento automatizzato dei dati che lo riguardano (art. 22).
38
I tempi di risposta
2.000 euro per aver tardato a rispondere sono pochi o tanti?
30 giorni, prolungabili a 60 se…
Provvedimenti N° 183 del 15 ottobre 2020 - Collegno
39
DATA BREACH
•72 ore
•Analisi d’impatto sugli interessati
•Registrazione, Notifica e Comunicazione
https://www.cybersecurity360.it/nuove-
minacce/ransomware/maggioli-vittima-di-
ransomware-vari-comuni-coinvolti-quanto-e-grave-
il-danno/
‣ App (es: Roma Capitale “App ZTL”, Campus Biomedico di Roma)
‣ Ransomware (es: Comune di Brescia)
‣ Sito web (es: Protocolli di sicurezza e Trasparenza)
‣ Furto di materiali e device
‣ Dismissione di materiali e device
‣ Social engineering
‣ Human factor dolo (esfiltrazione) o colpa (mail in cc o allegati)
40
DATA BREACH
https://www.linkedin.com/posts/man
uelsalvi_garante-gdpr-activity-
6768522269225496576-nnyn
https://www.linkedin.com/posts/man
uelsalvi_operazione-data-room-
dipendenti-rubavano-activity-
6682890792446529536-actA
41
DATA BREACH
42
DATA BREACH
https://www.cybersecurity360.it/legal/
privacy-dati-personali/data-breach-
dalla-teoria-alla-pratica-i-18-casi-
delledpb-con-analisi-del-rischio-e-
obblighi/
43
DATA BREACH
44
LE SANZIONI
https://www.linkedin.c
om/posts/manuelsalvi_
garanteprivacy-gdpr-
activity-
6688509829322993664-
It62
https://www.linkedin.com/posts/manuelsal
vi_garante-databreach-gdpr-activity-
6629345250387214336-wDhA
https://www.linkedin.com/posts/manuelsal
vi_databreach-gdpr-privacy-activity-
6682596207107297280-8pfV
45
ACCESSO CIVICO
Chi vince fra trasparenza e privacy?
La Trasparenza è la regola, la Privacy è l’eccezione
Le eccezioni
• dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa
desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti
interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap
fisici e/o psichici (art. 7-bis, comma 6, D.Lgs. 33/2013).
• dati idonei a rivelare la vita sessuale (art. 7-bis, comma 6, D.Lgs. 33/2013).
• dati identificativi di persone fisiche beneficiarie di aiuti economici da cui è possibile ricavare
informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale
degli interessati (limite alla pubblicazione previsto dall’art. 26, comma 4, D. Lgs. 33/2013)
https://www.foia.gov.it/pareri/
I pareri del garante in materia di accesso civico
46
WEB
La Pagina Privacy,
da semplice Informativa
Utenti Naviganti
a Repository per le
informative, cui dare
visibilità.
Il Consenso
Articolo 7
Condizioni per il consenso
1. Qualora il trattamento sia basato sul consenso, il titolare
del trattamento deve essere in grado di dimostrare che
l’interessato ha prestato il proprio consenso al trattamento
dei propri dati personali.
2. Se il consenso dell’interessato è prestato nel contesto di
una dichiarazione scritta che riguarda anche altre questioni,
la richiesta di consenso è presentata in modo chiaramente
distinguibile dalle altre materie, in forma comprensibile e
facilmente accessibile, utilizzando un linguaggio semplice e
chiaro. Nessuna parte di una tale dichiarazione che
costituisca una violazione del presente regolamento è
vincolante.
3. L’interessato ha il diritto di revocare il proprio consenso in
qualsiasi momento. La revoca del consenso non pregiudica la
liceità del trattamento basata sul consenso prima della
revoca. Prima di esprimere il proprio consenso, l’interessato
è informato di ciò. Il consenso è revocato con la stessa
facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato,
si tiene nella massima considerazione l’eventualità, tra le
altre, che l’esecuzione di un contratto, compresa la
prestazione di un servizio, sia condizionata alla prestazione
del consenso al trattamento di dati personali non necessario
all’esecuzione di tale contratto.
dimostrabilità
granularità
incondizionato
revoca
Art. 6: specifico
48
https://www.linkedin.com/in/manuelsalvi/
Grazie!

More Related Content

What's hot

Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy:  Data Protection Officer,  seminario alovisio go...Smau 2016 seminario privacy:  Data Protection Officer,  seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Mauro Alovisio
 
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...Roberta Rapicavoli
 
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
Smau 2016   Fascicolo sanitario elettronico e protezione dati personaliSmau 2016   Fascicolo sanitario elettronico e protezione dati personali
Smau 2016 Fascicolo sanitario elettronico e protezione dati personaliMauro Alovisio
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e  Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e  Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR -  Il nuovo regolamento Privacy EuropeoGDPR -  Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Il diritto all'oblio nell'era digitale
Il diritto all'oblio nell'era digitaleIl diritto all'oblio nell'era digitale
Il diritto all'oblio nell'era digitaleMaurizio Napolitano
 

What's hot (19)

Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy:  Data Protection Officer,  seminario alovisio go...Smau 2016 seminario privacy:  Data Protection Officer,  seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
 
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...
 
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
Smau 2016   Fascicolo sanitario elettronico e protezione dati personaliSmau 2016   Fascicolo sanitario elettronico e protezione dati personali
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e  Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e  Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR -  Il nuovo regolamento Privacy EuropeoGDPR -  Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
GDPR
GDPRGDPR
GDPR
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
Il diritto all'oblio nell'era digitale
Il diritto all'oblio nell'era digitaleIl diritto all'oblio nell'era digitale
Il diritto all'oblio nell'era digitale
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 

Similar to GDPR Enti Comunali

Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte Mauro Alovisio
 
2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianzaMarzio Vaglio
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach. Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach. Avv. Emiliano Vitelli
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Anticorruzione trasparenza - privacy - Per gli Ordini Professionali
Anticorruzione   trasparenza - privacy - Per gli Ordini ProfessionaliAnticorruzione   trasparenza - privacy - Per gli Ordini Professionali
Anticorruzione trasparenza - privacy - Per gli Ordini ProfessionaliFrancesco Paolo Micozzi
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
 

Similar to GDPR Enti Comunali (20)

Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Gdpr marco longoni
Gdpr   marco longoniGdpr   marco longoni
Gdpr marco longoni
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianza
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico Trento
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach. Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach.
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Anticorruzione trasparenza - privacy - Per gli Ordini Professionali
Anticorruzione   trasparenza - privacy - Per gli Ordini ProfessionaliAnticorruzione   trasparenza - privacy - Per gli Ordini Professionali
Anticorruzione trasparenza - privacy - Per gli Ordini Professionali
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
 
Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio
Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio
Centralità dell'interessato e nuovi diritti - avv. Antonella D’Iorio
 

GDPR Enti Comunali

  • 1. FORMAZIONE GDPR 1 - Breve accenno sulla normativa - I ruoli e le responsabilità - I Diritti degli interessati - Data Breach - Le sanzioni - …to do
  • 7. Video del Garante Belga https://www.youtube.com/watch?v =qYnmfBiomlo 7
  • 9. 9 1970 1980 1990 2000 2010 2020 Le tappe della Data Protection CELLULARE 1973 OUTLOOK 1992 WWW 1991 IPHONE 2007 FACEBOOK 2004 CELLULARE FOTOCAMERA 2000 PERSONAL COMPUTER 1981 IOT …. DIRETTIVA 95/46/CE 1995 675/96 1996 196/2003 2003 COOKIES D. 2002/58/CE 2002 EMAIL MARKETING D. 2009/136/UE 2009 GDPR 679/2016 2003
  • 10. 10 4 anni di preparazione e dibattito Il 27 aprile 2016 il Parlamento Europeo approva il GDPR. Il Regolamento si applica a decorrere dal 25 maggio 2018 Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (GDPR), con i suoi 99 articoli ha riscritto la disciplina della Privacy a livello europeo.
  • 11. 11 In vigore - fino a loro modifica o abrogazione Novellata con D.Lgs. 101/2018 In vigore - fino a loro modifica o abrogazione In vigore - fino a loro modifica o abrogazione Direttiva 1995/46 Codice privacy - D.Lgs. 196/2003 Regolamento - 2016/679 Provvedimenti Autorità Garante Accordi Internazionali su Trasferimento dati Decisioni Commissioni UE Legge 675/1996 Abrogata In vigore - fino a loro modifica o abrogazione Abrogata
  • 13. 13 Art. 2 Art. 3 Ambito di applicazione materiale e Ambito di applicazione territoriale 1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 2. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2,TUE; c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. 3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell'Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all'articolo 98. 4. Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva. 1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Direttiva 2016/680 D.Lgs. 51/2018
  • 15. Base giuridica Scadenza Sicurezza Accountabilty Informativa Finalità Trattamento la catena logica del GDPR 15 Dato personale Art. 5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
  • 16. qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identifi cativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; DATO PERSONALE 16 Non usare le iniziali Provvedimenti N° 118 del 2 luglio 2020 - Greve in Chianti Provvedimenti N° 155 del 3 settembre 2020 - Aosta
  • 17. DATI PARTICOLARI E … 17 Tipologia dei Dati personali _ Personali comuni _ Di Minori - Art. 8 Consenso dei minori _ Particolari - Art. 9 • Relativi all'origine razziale o etnica • Relativi a convinzioni politiche, religiose o filosofiche • Relativi all'appartenenza sindacale • Dati genetici • Dati biometrici • Relativi alla salute • Relativi alla vita sessuale o all’orientamento sessuale _ Relativi a condanne penali e reati - Art. 10
  • 18. Base giuridica Scadenza Sicurezza Accountabilty Informativa Finalità Trattamento la catena logica del GDPR 18 Dato personale Trattamento Art. 5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
  • 19. 19 TRATTAMENTO qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; Art. 4, comma 2 15. la cancellazione, 16. la distruzione 3. l’organizzazione, 4. la strutturazione 5. la conservazione, 6. l’adattamento, 7. la modifica, 8. l’estrazione, 9. la consultazione, 10. l’uso, 11. la comunicazione, 12. l’interconnessione, 1. la raccolta, 2. la registrazione CICLO DI VITA DEL DATO
  • 20. Base giuridica Scadenza Sicurezza Accountabilty Informativa Finalità Trattamento la catena logica del GDPR 20 Dato personale Finalità Base giuridica Trattamento Art. 5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
  • 22. 22 Il decreto Capienze cambia le regole, ciò che non era lecito ieri diventa lecito oggi ieri_ 25/02/2001 oggi_ 25/02/2001 D. L. 139 del 08/10/2021 cd Decreto capienze - Art. 9 Art. 2 ter. 1.La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento e'costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento. https://www.linkedin.com/posts/manuelsalvi_caso- bonus-covid-sanzione-di-300000-per-activity- 6775120610398916608-XGVE
  • 23. Scadenza Sicurezza Accountabilty Informativa Informativa Accountability Sicurezza Scadenza Base giuridica Finalità Trattamento la catena logica del GDPR 23 Dato personale Finalità Base giuridica Trattamento Art. 5 - Principi applicabili al trattamento di dati personali 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
  • 25. 10 QUOTIDIANE MINACCE 25 1 Profilazione commerciale • Remarketing • Pubblicità geolocalizzata e/o offline • Microfono smartphone • Advertsing • Cookies • … https://www.linkedin.com/pulse/il- tuo-smartphone-ti-ascolta-manuel- angelo-salvi/
  • 26. 2 Criminalità Cyber 10 QUOTIDIANE MINACCE 26 • Phishing • Furto identità • Frodi • Furto di strumenti di pagamento • … https://www.commissariatodips.it/notizie/articolo/op erazione-contro-il-cybercrime-people1-1/index.html
  • 27. 3 Criminalità tradizionali + cyber 10 QUOTIDIANE MINACCE 27 • Social • hackeraggio sistemi domestici - di videosorveglianza - domotica - smart tv - PC o device - reti • …
  • 28. 10 QUOTIDIANE MINACCE 28 4 Fake news, disinformazione e condizionamento https://www.agendadigitale.eu/sicurezza/privacy/bistrattat a-privacy-ecco-come-ci-consegniamo-al-brainwashing/ https://www.cybersec urity360.it/nuove- minacce/lettura-della- mente-e-lavaggio-del- cervello-quotidiani- problemi-di-privacy/
  • 29. D. L. 139 del 08/10/2021 cd Decreto capienze - Art. 9 10 QUOTIDIANE MINACCE 29 5 Pedopornografia e Revenge porn “Art. 144 -bis (Revenge porn) . — 1. Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’art. 612 -ter del codice penale, può rivolgersi, mediante segnalazione o reclamo, al Garante, il quale, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi dell’articolo 58 del regolamento (UE) 2016/679 e degli articoli 143 e 144. 2. Quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela.
  • 30. 6 Diffamazione e Cyberbullismo 10 QUOTIDIANE MINACCE 30
  • 31. 7 Verifiche reputazionali 8 Profilazione, scoring e algoritmi decisionali 10 QUOTIDIANE MINACCE 31
  • 32. 10 QUOTIDIANE MINACCE 32 9 Controllo del lavoratore https://www.linkedin.com/posts/manue lsalvi_gdpr-activity- 6759541996244803584-9dCV https://www.linkedin.com/ posts/manuelsalvi_profila zione-privacy- dataprotection-activity- 6717376559847657472- mhYh
  • 33. 10 QUOTIDIANE MINACCE 33 10 Furto delle credenziali
  • 35. 35 Organigramma e Processi Il Titolare Gli Autorizzati DPO I Responsabili esterni MISE sanzionato per 75.000€ per mancata nomina del DPO https://www.linkedin.com/posts/manue lsalvi_garante-activity- 6775755576585580544-hbg-
  • 36. 36 IL PROCESSOR ‣ Atto di Nomina firmato ‣ Articolo standard Privacy in contratti di fornitura con allegato l’Atto di Nomina ‣ Il Responsabile e l’AdS ‣ La Check list Privacy ‣ I Subfornitori
  • 37. 37 I DIRITTI DEGLI INTERESSATI •il diritto ad essere informato (artt. 12-13-14) sull’esistenza del trattamento, sulla sua finalità, modalità e durata, sulla comunicazione dei dati, sui propri diritti; •il diritto di accesso ai dati (art. 15); •il diritto di rettifica (art. 16); •il diritto alla cancellazione dei dati, o «diritto all’oblio» (art. 17); •il diritto alla limitazione del trattamento (art. 18); •il diritto alla portabilità dei dati (art. 20); •il diritto ad opporsi a determinate forme di trattamento (art. 21), ad esempio al marketing diretto; •Il diritto a non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato dei dati che lo riguardano (art. 22).
  • 38. 38 I tempi di risposta 2.000 euro per aver tardato a rispondere sono pochi o tanti? 30 giorni, prolungabili a 60 se… Provvedimenti N° 183 del 15 ottobre 2020 - Collegno
  • 39. 39 DATA BREACH •72 ore •Analisi d’impatto sugli interessati •Registrazione, Notifica e Comunicazione https://www.cybersecurity360.it/nuove- minacce/ransomware/maggioli-vittima-di- ransomware-vari-comuni-coinvolti-quanto-e-grave- il-danno/
  • 40. ‣ App (es: Roma Capitale “App ZTL”, Campus Biomedico di Roma) ‣ Ransomware (es: Comune di Brescia) ‣ Sito web (es: Protocolli di sicurezza e Trasparenza) ‣ Furto di materiali e device ‣ Dismissione di materiali e device ‣ Social engineering ‣ Human factor dolo (esfiltrazione) o colpa (mail in cc o allegati) 40 DATA BREACH https://www.linkedin.com/posts/man uelsalvi_garante-gdpr-activity- 6768522269225496576-nnyn https://www.linkedin.com/posts/man uelsalvi_operazione-data-room- dipendenti-rubavano-activity- 6682890792446529536-actA
  • 45. 45 ACCESSO CIVICO Chi vince fra trasparenza e privacy? La Trasparenza è la regola, la Privacy è l’eccezione Le eccezioni • dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 7-bis, comma 6, D.Lgs. 33/2013). • dati idonei a rivelare la vita sessuale (art. 7-bis, comma 6, D.Lgs. 33/2013). • dati identificativi di persone fisiche beneficiarie di aiuti economici da cui è possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati (limite alla pubblicazione previsto dall’art. 26, comma 4, D. Lgs. 33/2013) https://www.foia.gov.it/pareri/ I pareri del garante in materia di accesso civico
  • 46. 46 WEB La Pagina Privacy, da semplice Informativa Utenti Naviganti a Repository per le informative, cui dare visibilità.
  • 47. Il Consenso Articolo 7 Condizioni per il consenso 1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante. 3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. 4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto. dimostrabilità granularità incondizionato revoca Art. 6: specifico

Editor's Notes

  1. https://www.google.com/search?q=youtube+garante+belga&oq=youtube+garante+belga&aqs=chrome..69i57j69i64.4096j0j4&sourceid=chrome&ie=UTF-8
  2. https://www.google.com/search?q=youtube+garante+belga&oq=youtube+garante+belga&aqs=chrome..69i57j69i64.4096j0j4&sourceid=chrome&ie=UTF-8
  3. https://www.google.com/search?q=youtube+garante+belga&oq=youtube+garante+belga&aqs=chrome..69i57j69i64.4096j0j4&sourceid=chrome&ie=UTF-8
  4. https://www.google.com/search?q=youtube+garante+belga&oq=youtube+garante+belga&aqs=chrome..69i57j69i64.4096j0j4&sourceid=chrome&ie=UTF-8
  5. https://www.google.com/search?q=youtube+garante+belga&oq=youtube+garante+belga&aqs=chrome..69i57j69i64.4096j0j4&sourceid=chrome&ie=UTF-8
  6. - La storia dei telefoni cellulari inizia il 3 aprile 1973 quando l'ingegnere senior che lavorava per Motorola Martin Cooper ha usato un cellulare per chiamare un potenziale concorrente nel mercato della telefonia mobile. Questa è stata la prima chiamata da un telefono cellulare mai fatta - Il 12 agosto 1981, IBM immette nel mercato il primo di una serie di personal computer che diventerà molto popolare: l'IBM 5150, meglio conosciuto come PC IBM. screenshot rischi da keymap screenshot contromisure da keymap La sua nascita risale al 1971, quando Ray Tomlinsoninstallò su ARPANET un sistema in grado di scambiare messaggi fra le varie università. Per vedere i primi servizi di posta elettronica come li conosciamo adesso bisogna aspettare il 1992 quando fa il suo debutto Microsoft Outlook. Nel 1996 è la volta di Hotmail, mentre l'anno successivo arriva Yahoo Mail. Gmail viene lanciato solamente nel 2007. La data di nascita del World Wide Web viene comunemente indicata nel 6 agosto 1991, giorno in cui l'informatico inglese Tim Berners-Lee pubblicò il primo sito web. Il primo telefono cellulare con fotocamera è stato introdotta commercialmente in Giappone con il J-SH04 dalla SharpCorporation nel novembre 2000. Il primo smartphone in assoluto, chiamato Simon, fu progettato dalla IBM nel 1992 e commercializzato dalla BellSouth a partire dal 1993. Oltre alle comuni funzioni di telefono incorporava calendario, rubrica, orologio, block notes, funzioni di e-mail e giochi: per poter scrivere direttamente sullo schermo era disponibile un pennino. Il termine è stato coniato da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center (consorzio di ricerca con sede al MIT), durante una presentazione presso Procter & Gamble nel 1999. In Italia - Rapporto Giannini: “Rapporto sui principali problemi della Amministrazione dello Stato“. La forza e l’importanza di quel rapporto sta nei concetti originali lì contenuti: innesto nella pa di modelli di gestione di tipo privato, concetto di pianificazione e controllo, indicatori di produttività, unificazione delle metodologie di misurazione, uffici di organizzazione. - Aipa: L'AIPA, di cui il CNIPA è in parte l'erede, fu istituita nel 1993 in un clima di attenzione per l'efficienza della pubblica amministrazione. - Rupa: Rete unitaria della pubblica amministrazione (RUPA) realizzata dall'AIPA - Il CNIPA Centro nazionale per l'informatica nella pubblica amministrazione venne istituito dall'art. 176 del d.lgs 30 giugno 2003
  7. Registro dei provvedimenti n. 118 del 2 luglio 2020: Comune di Greve in Chianti e Unione comunale 4000 e 6000 euro di multa per avere usato iniziali e matricola per anonimizzare l’interessato Ciò anche considerando quanto rappresentato dalla stessa Regione nel diniego dell’accesso civico, laddove è stato evidenziato che «l’esiguità demografica che caratterizza molti comuni della Valle d’Aosta (per non parlare delle Residenze Sanitarie Assistenziali) fa sì che dall’incrocio dei dati in oggetto con informazioni verbali facilmente acquisibili in loco sia possibile, almeno in taluni casi, risalire all’identità dei soggetti coinvolti e, conseguentemente, al loro stato di salute» Provvedimento N° 155 del 3 settembre 2020
  8. I dati personali raccolti mediante il presente modulo, nonché la relativa documentazione prodotta, saranno trattati in pieno rispetto del D. Lgs. 196/2003 e del Regolamento europeo 679/2016 /GDPR). L’informativa Generale ai Cittadini è reperibile al seguente Link http://www….. oppure presso gli sportelli comunali.