SlideShare a Scribd company logo

Presentazione Avvocato Rinaldi padova 2018

Marco Turolla
Marco Turolla

GDPR, misure di sicurezza e responsbailità aziendali

Technology
1 of 19
Download to read offline
Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo Avv. Gian Marco Rinaldi 22 marzo 2018
Dipartimenti e settori di mercato Avvocati a livello globale + 2100 professionisti Anni di crescita consecutiva Dal 1998 organizzazione per settori chiave 28 sedi in 19 paesi Ricavo globale superato per la prima volta nel 2014/2015 Bird & Bird & Chi siamo In Italia abbiamo 13 partner e oltre 120 professionisti che operano dalle sedi di Milano e Roma. Overview globale
Argomenti trattati 1) Introduzione al nuovo Regolamento Europeo per la Protezione dei Dati Personali ("GDPR") 2) Misure di sicurezza 3) Responsabile per la protezione dei dati personali (Data Protection Officer – DPO).
Il nuovo Regolamento europeo 679/2016 Nuova normativa europea ● Il GDPR disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati ● Entrato in vigore dal 25 maggio 2016, sarà direttamente applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018 ● Abroga la Direttiva 95/46/CE e leggi nazionali che implementano tale direttiva (e.g. Codice Privacy).
Il nuovo Regolamento europeo 679/2016 Art. 32 – Sicurezza del trattamento "…il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Misure di sicurezza
Il nuovo Regolamento europeo 679/2016 TO DO – Individuazione delle minacce, Assessment, Prevenzione  Analisi dei rischi  Verifica dello stato dell’arte, dei costi, della natura, finalità e contesto di trattamento etc.  Valutazione delle misure tecniche (IT) e organizzative (es. procedure, policy) adeguate ai rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati Misure di sicurezza
Il nuovo Regolamento europeo 679/2016 In caso di violazione dei dati… Titolare del trattamento Notifica della violazione alle autorità competenti entro 72 ore Comunicazione (senza ingiustificato ritardo) all’interessato in caso di possibili rischi per lo stesso Responsabile
Il nuovo Regolamento europeo 679/2016 Art. 33 “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”. Notifica di una violazione dei dati personali all’autorità di controllo
Il nuovo Regolamento europeo 679/2016 “…Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo”. Più in generale, il GDPR introduce il concetto di accountability, ossia di attribuzione di responsabilità a tutti i soggetti che collaborano alla gestione dei dati personali, per cui ogni operazione di gestione e trattamento deve essere registrata, documentata e deve risultare tracciabile (sul modello della “scatola nera”). Notifica di una violazione dei dati personali all’autorità di controllo
Il nuovo Regolamento europeo 679/2016 Qualora vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Tale comunicazione non è dovuta quando:  le misure di protezione applicate ai dati oggetto di violazione risultavano adeguate e in particolare erano tali da rendere detti dati incomprensibili ai non autorizzati (i.e. cifratura);  misure atte a scongiurare detti rischi sono state adottate successivamente;  la comunicazione richiederebbe sforzi sproporzionati (potrebbe essere sufficiente una comunicazione pubblica). Comunicazione di una violazione dei dati personali all’interessato
Il nuovo Regolamento europeo 679/2016 Art. 35 “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali ”. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
Il nuovo Regolamento europeo 679/2016 Approccio basato sulla valutazione dei rischi e l’adozione di policy proporzionate alle finalità del trattamento e alla tipologia di dati trattati. Il titolare ed il responsabile devono adottare misure tecniche ed organizzative volte ad assicurare un livello di sicurezza adeguato ai rischi, tenuto conto:  dello stato dell’arte e costi di realizzazione;  della natura, contesto, oggetto e finalità del trattamento;  dei rischi per i diritti e la libertà delle persone fisiche e la loro probabilità e gravità. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
Il nuovo Regolamento europeo 679/2016 Il DPO è tenuto a:  possedere un'adeguata conoscenza della normativa sulla protezione dei dati ed essere un supporto strategico per l’attività del titolare  adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse  non divulgare alcuna informazione relativa all’adempimento dei propri compiti  operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno) => il titolare o il responsabile dovranno mettergli a disposizione le risorse necessarie per assolvere ai suoi compiti e mantenere la propria conoscenza specialistica. La figura del Responsabile per la protezione dei dati (Data Privacy Officer - DPO)
Il nuovo Regolamento europeo 679/2016 Nomina DPO Autorità o organismi pubblici (alcune eccezioni) Titolari e Responsabili le cui attività principali di trattamento richiedano: Monitoraggio sistematico e regolare degli individui su ‘larga scala’ Trattamenti di categorie particolari di dati su ‘larga scala’ e Possibile la nomina facoltativa fuori dalle ipotesi obbligatorie.
Il nuovo Regolamento europeo 679/2016 Compiti principali del DPO DPO Consulenza …informare e consigliare (i) il titolare/responsabile del trattamento (ii) i dipendenti che eseguono il trattamento dei dati personali, in merito agli obblighi derivanti dal regolamento Controllo …verificare (i) l'attuazione e l'applicazione delle norme privacy, (ii) le policy interne, l'attribuzione delle responsabilità, la formazione del personale e gli audit Verifica …fornire pareri in relazione al DPIA e sorvegliarne lo svolgimento Cooperazione …con le autorità di controllo Referente …agire quale punto di contatto con le autorità su tutte le questioni relative al trattamento dei dati
Il nuovo Regolamento europeo 679/2016 Minacce Attacchi esterni Problemi tecnici Pericoli interni • Accesso ai dati inibito • Difetti operativi • Perdita di dati • Accessi non autorizzati da parte di dipendenti • Mancanza di training del personale • Acquisizione indebita • Modifica dei dati • Acquisizione di dati • Spionaggio/furto • Modifica dei dati
Direttiva (UE) 2016/1148 Cybersecurity e N&IS (Network & Information Security) ● Far crescere la capacità di gestione della cybersecurity negli Stati Membri ● Incrementare la cooperazione tra Stati Membri in merito alla cybersecurity ● Alzare i parametri per la gestione dei rischi in settori chiave (es. energetico, trasporti, bancario, mercati finanziari e sanitario) ● Norme volte a proteggere reti e informazioni (NON “dati personali”) ● 8 febbraio 2018: approvato lo schema di Decreto Legislativo di recepimento della N&IS ● 22 febbraio 2018: trasmesso alle Commissioni parlamentari competenti
N&IS - GDPR Notifiche data breach Obiettivi differenti: ● N&IS: proteggere i servizi critici rispetto a importanti compromissioni del servizio stesso ● GDPR: proteggere i dati personali rispetto alla perdita, modifica, comunicazione ecc. Tempistiche strettissime: ● N&IS: senza ritardo proteggere i servizi critici rispetto a importanti compromissioni del servizio stesso ● GDPR: entro 72 ore dalla conoscenza (comunicazione da parte del titolare all’autorità)
Grazie Avv. Gian Marco Rinaldi gianmarco.rinaldi@twobirds.com Tel: +390230356000 Cell.: +393393443649

Recommended

Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017Marco Turolla
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 

Recommended

Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017Marco Turolla
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legaliRoberta Rapicavoli
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
Privacy e videosorveglianza.
Privacy e videosorveglianza. Privacy e videosorveglianza.
Privacy e videosorveglianza. Roberta Rapicavoli
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 

More Related Content

What's hot

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 

What's hot (19)

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017
 
Privacy e videosorveglianza.
Privacy e videosorveglianza. Privacy e videosorveglianza.
Privacy e videosorveglianza.
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 

Similar to Presentazione Avvocato Rinaldi padova 2018

Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziEurosystem S.p.A.
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSMAU
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Mauro Alovisio
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSMAU
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 

Similar to Presentazione Avvocato Rinaldi padova 2018 (20)

Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection Officer
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
 
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina Frediani
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 

More from Marco Turolla

Intelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo realeIntelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo realeMarco Turolla
 
Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2Marco Turolla
 
Realtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto HofmannRealtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto HofmannMarco Turolla
 
Professor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - BlockchainProfessor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - BlockchainMarco Turolla
 
I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017Marco Turolla
 
Project management: un must per imprese e professionisti
Project management: un must per imprese e professionistiProject management: un must per imprese e professionisti
Project management: un must per imprese e professionistiMarco Turolla
 

More from Marco Turolla (6)

Intelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo realeIntelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo reale
 
Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2
 
Realtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto HofmannRealtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto Hofmann
 
Professor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - BlockchainProfessor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - Blockchain
 
I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017
 
Project management: un must per imprese e professionisti
Project management: un must per imprese e professionistiProject management: un must per imprese e professionisti
Project management: un must per imprese e professionisti
 

Presentazione Avvocato Rinaldi padova 2018

  • 1. Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo Avv. Gian Marco Rinaldi 22 marzo 2018
  • 2. Dipartimenti e settori di mercato Avvocati a livello globale + 2100 professionisti Anni di crescita consecutiva Dal 1998 organizzazione per settori chiave 28 sedi in 19 paesi Ricavo globale superato per la prima volta nel 2014/2015 Bird & Bird & Chi siamo In Italia abbiamo 13 partner e oltre 120 professionisti che operano dalle sedi di Milano e Roma. Overview globale
  • 3. Argomenti trattati 1) Introduzione al nuovo Regolamento Europeo per la Protezione dei Dati Personali ("GDPR") 2) Misure di sicurezza 3) Responsabile per la protezione dei dati personali (Data Protection Officer – DPO).
  • 4. Il nuovo Regolamento europeo 679/2016 Nuova normativa europea ● Il GDPR disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati ● Entrato in vigore dal 25 maggio 2016, sarà direttamente applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018 ● Abroga la Direttiva 95/46/CE e leggi nazionali che implementano tale direttiva (e.g. Codice Privacy).
  • 5. Il nuovo Regolamento europeo 679/2016 Art. 32 – Sicurezza del trattamento "…il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Misure di sicurezza
  • 6. Il nuovo Regolamento europeo 679/2016 TO DO – Individuazione delle minacce, Assessment, Prevenzione  Analisi dei rischi  Verifica dello stato dell’arte, dei costi, della natura, finalità e contesto di trattamento etc.  Valutazione delle misure tecniche (IT) e organizzative (es. procedure, policy) adeguate ai rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati Misure di sicurezza
  • 7. Il nuovo Regolamento europeo 679/2016 In caso di violazione dei dati… Titolare del trattamento Notifica della violazione alle autorità competenti entro 72 ore Comunicazione (senza ingiustificato ritardo) all’interessato in caso di possibili rischi per lo stesso Responsabile
  • 8. Il nuovo Regolamento europeo 679/2016 Art. 33 “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”. Notifica di una violazione dei dati personali all’autorità di controllo
  • 9. Il nuovo Regolamento europeo 679/2016 “…Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo”. Più in generale, il GDPR introduce il concetto di accountability, ossia di attribuzione di responsabilità a tutti i soggetti che collaborano alla gestione dei dati personali, per cui ogni operazione di gestione e trattamento deve essere registrata, documentata e deve risultare tracciabile (sul modello della “scatola nera”). Notifica di una violazione dei dati personali all’autorità di controllo
  • 10. Il nuovo Regolamento europeo 679/2016 Qualora vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Tale comunicazione non è dovuta quando:  le misure di protezione applicate ai dati oggetto di violazione risultavano adeguate e in particolare erano tali da rendere detti dati incomprensibili ai non autorizzati (i.e. cifratura);  misure atte a scongiurare detti rischi sono state adottate successivamente;  la comunicazione richiederebbe sforzi sproporzionati (potrebbe essere sufficiente una comunicazione pubblica). Comunicazione di una violazione dei dati personali all’interessato
  • 11. Il nuovo Regolamento europeo 679/2016 Art. 35 “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali ”. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
  • 12. Il nuovo Regolamento europeo 679/2016 Approccio basato sulla valutazione dei rischi e l’adozione di policy proporzionate alle finalità del trattamento e alla tipologia di dati trattati. Il titolare ed il responsabile devono adottare misure tecniche ed organizzative volte ad assicurare un livello di sicurezza adeguato ai rischi, tenuto conto:  dello stato dell’arte e costi di realizzazione;  della natura, contesto, oggetto e finalità del trattamento;  dei rischi per i diritti e la libertà delle persone fisiche e la loro probabilità e gravità. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
  • 13. Il nuovo Regolamento europeo 679/2016 Il DPO è tenuto a:  possedere un'adeguata conoscenza della normativa sulla protezione dei dati ed essere un supporto strategico per l’attività del titolare  adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse  non divulgare alcuna informazione relativa all’adempimento dei propri compiti  operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno) => il titolare o il responsabile dovranno mettergli a disposizione le risorse necessarie per assolvere ai suoi compiti e mantenere la propria conoscenza specialistica. La figura del Responsabile per la protezione dei dati (Data Privacy Officer - DPO)
  • 14. Il nuovo Regolamento europeo 679/2016 Nomina DPO Autorità o organismi pubblici (alcune eccezioni) Titolari e Responsabili le cui attività principali di trattamento richiedano: Monitoraggio sistematico e regolare degli individui su ‘larga scala’ Trattamenti di categorie particolari di dati su ‘larga scala’ e Possibile la nomina facoltativa fuori dalle ipotesi obbligatorie.
  • 15. Il nuovo Regolamento europeo 679/2016 Compiti principali del DPO DPO Consulenza …informare e consigliare (i) il titolare/responsabile del trattamento (ii) i dipendenti che eseguono il trattamento dei dati personali, in merito agli obblighi derivanti dal regolamento Controllo …verificare (i) l'attuazione e l'applicazione delle norme privacy, (ii) le policy interne, l'attribuzione delle responsabilità, la formazione del personale e gli audit Verifica …fornire pareri in relazione al DPIA e sorvegliarne lo svolgimento Cooperazione …con le autorità di controllo Referente …agire quale punto di contatto con le autorità su tutte le questioni relative al trattamento dei dati
  • 16. Il nuovo Regolamento europeo 679/2016 Minacce Attacchi esterni Problemi tecnici Pericoli interni • Accesso ai dati inibito • Difetti operativi • Perdita di dati • Accessi non autorizzati da parte di dipendenti • Mancanza di training del personale • Acquisizione indebita • Modifica dei dati • Acquisizione di dati • Spionaggio/furto • Modifica dei dati
  • 17. Direttiva (UE) 2016/1148 Cybersecurity e N&IS (Network & Information Security) ● Far crescere la capacità di gestione della cybersecurity negli Stati Membri ● Incrementare la cooperazione tra Stati Membri in merito alla cybersecurity ● Alzare i parametri per la gestione dei rischi in settori chiave (es. energetico, trasporti, bancario, mercati finanziari e sanitario) ● Norme volte a proteggere reti e informazioni (NON “dati personali”) ● 8 febbraio 2018: approvato lo schema di Decreto Legislativo di recepimento della N&IS ● 22 febbraio 2018: trasmesso alle Commissioni parlamentari competenti
  • 18. N&IS - GDPR Notifiche data breach Obiettivi differenti: ● N&IS: proteggere i servizi critici rispetto a importanti compromissioni del servizio stesso ● GDPR: proteggere i dati personali rispetto alla perdita, modifica, comunicazione ecc. Tempistiche strettissime: ● N&IS: senza ritardo proteggere i servizi critici rispetto a importanti compromissioni del servizio stesso ● GDPR: entro 72 ore dalla conoscenza (comunicazione da parte del titolare all’autorità)
  • 19. Grazie Avv. Gian Marco Rinaldi gianmarco.rinaldi@twobirds.com Tel: +390230356000 Cell.: +393393443649