GDPR - panoramica conclusiva

1. E’ un Regolamento e non
una Direttiva
diretta applicazione
che cosa resterà̀
del Codice
Privacy? e dei
provvedimenti
del Garante?
Legge delega 163/2017 art.
13
Entro 6 mesi adozione di
uno o più decreti legislativi
per adeguare la normativa
italiana a quella europea
Roberto Scarafia

2. Roberto Scarafia
IL REG. 679/2916 SI APPLICA A QUALSIASI
TRATTAMENTO DI DATI PERSONALI
Dato
personale:
“qualunque informazione
relativa a persona fisica,
identificata o identificabile”

3. “i dati personali idonei a rivelare origine razziale ed etnica, le
convinzioni religiose, filosofiche (...) le opinioni politiche,
l'adesione a partiti, sindacati, (...),lo stato di salute e la vita
sessuale”
qualsiasi operazione o insieme di operazioni, compiute con o
senza l'ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la
conservazione, l'adattamento o la modifica, l'estrazione, la
consultazione, l'uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l'interconnessione, la limitazione,
la cancellazione o la distruzione;
Roberto Scarafia

4. IMPLEMENTAZIONE DI UN MODELLO
ORGANIZZATIVO DI GESTIONE DEL
DATO CHE CONSENTA DI:
Rispettare i principi per
il trattamento dati
Fornire la
prova
Roberto Scarafia

5. TRASPARENZA: accessibilità
dell’interessato su
“come si tratta il dato”
ACCOUNTABILITY
Compliance: capacità di far
rispettare le scelte
“Responsività”: capacità di
rendere conte delle scelte
Roberto Scarafia

6. Roberto Scarafia

7. I titolari (comma 1) ed i responsabili (comma 2) del
trattamento tengono un registro delle attività̀ di
trattamento.
La tenuta del registro dei trattamenti è un obbligo da cui
sono esentate solo le imprese od organizzazioni con meno
di 250 dipendenti, sempre che esse:
• NON effettuino trattamenti che possano presentare un
rischio per i diritti e le libertà dell’interessato,
• Il trattamento sia occasionale,
• Il trattamento NON includa categorie particolari di dati
di cui all’art. 9 par. 1 (dati sensibili) o dati personali
relativi a condanne penali o a reati di cui all’art. 10.
Roberto Scarafia

8. a. il nome e i dati di contatto del titolare del trattamento e, ove
applicabile, del contitolare del trattamento, del rappresentante del
titolare del trattamento e del responsabile della protezione dei dati;
b. le finalità del trattamento;
c. una descrizione delle categorie di interessati e delle categorie di dati
Personali;
d. le categorie di destinatari a cui i dati personali sono stati o saranno
comunicati, compresi i destinatari di paesi terzi od organizzazioni
internazionali;
e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o
un'organizzazione internazionale, compresa l'identificazione del paese
terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al
secondo comma dell'articolo 49, la documentazione delle garanzie
adeguate;
f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse
categorie di dati;
g. ove possibile, una descrizione generale delle misure di sicurezza
tecniche e organizzative di cui all'articolo 32, paragrafo 1
Roberto Scarafia

9. Roberto Scarafia

10. Roberto Scarafia

11. la persona fisica o giuridica, l'autorità pubblica, il
servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità̀ e i mezzi del
trattamento di dati personali; quando le finalità̀ e i
mezzi di tale trattamento sono determinati dal
diritto dell'Unione o degli Stati membri, il titolare
del trattamento o i criteri specifici applicabili alla
sua designazione possono essere stabiliti dal diritto
dell'Unione o degli Stati membri
Roberto Scarafia

12. Allorché́ due o più̀ titolari del
trattamento
determinano
congiuntamente
le finalità̀ e i mezzi del trattamento,
essi sono contitolari del trattamento
Roberto Scarafia

13. la persona fisica o giuridica, l'autorità̀
pubblica, il servizio
altro organismo
che tratta dati personali
per conto del titolare del trattamento
Roberto Scarafia

14. Il Privacy Officer, definito anche Chief Privacy Officer
(nelle strutture di grandi dimensioni), è un dirigente
oppure un funzionario di alto livello all’interno di
un’azienda o organizzazione, responsabile
fondamentalmente della gestione dei rischi e
dell’impatto della normativa e delle politiche privacy
sulle attività concernenti il core business.
Roberto Scarafia

15. Il responsabile della protezione dei dati, può̀
essere un dipendente del titolare del
trattamento o del responsabile del trattamento
oppure assolvere i suoi compiti in base a un
contratto di servizi (Art. 37, c5 e WP 243)
Autonomia e indipendenza (Art. 38)
Roberto Scarafia

16. Oltre a favorire l’osservanza attraverso strumenti
di accountability (per esempio, supportando o
svolgendo valutazioni di impatto e audit in
materia di protezione dei dati), i DPO fungono da
interfaccia fra i soggetti coinvolti: autorità̀ di
controllo, interessati, divisioni operative
all’interno di un’azienda o di un ente (art. 39)
Roberto Scarafia

17. • Sorvegliare l’osservanza del Regolamento
• Ruolo nella Valutazione di Impatto sulla
protezione dei dati
• Cooperazione con l’autorità̀ di controllo e
funzione di punto di contatto
• Approccio basato sul rischio
• Ruolo nella tenuta dei registri
Roberto Scarafia

18. I DPO non rispondono personalmente in caso di inosservanza
del GDPR. Quest’ultimo chiarisce che spetta al titolare o al
responsabile del trattamento garantire ed essere in grado di
dimostrare che le operazioni di trattamento sono conformi
alle disposizioni del regolamento stesso (art. 24, primo
paragrafo).
L’onere di assicurare il rispetto della normativa in materia di
protezione dei dati ricade sul titolare o sul responsabile
Roberto Scarafia

19. Roberto Scarafia

20. Soggetti che, come attività̀ principale,
effettuino un monitoraggio regolare e
sistematico e su larga scala delle persone
fisiche ovvero trattino su larga scala categorie
particolari di dati personali. (dati sensibili).
Roberto Scarafia

21. Persone autorizzate al trattamento dei
dati personali sotto l’autorità̀ diretta del
titolare o del responsabile
... E GLI INCARICATI DEL TRATTAMENTO?
Roberto Scarafia

22. • nomina del responsabile: contratto o atto
giuridico
• i sub-responsabili
• gli adempimenti: registro dei trattamenti, la
sicurezza dei dati, segnalazione di una
violazione dei dati (Data Breach), nomina del
DPO (Data Protection Officer)
• gli audit e i controlli sul responsabile
Roberto Scarafia

23. Questo fornitore tratta DATI di cui sono titolare?
• NO … Non devo fare niente.
• SI … Devo regolamentare il rapporto in essere.
• Come viene trattato il DATO
• Il DATO viene dato al fornitore?
• Se il DATO viene dato al fornitore: dove viene conservato, con
quali misure di sicurezza, in che modo garantisco il controllo,
etc. …
• Quanto scritto nel contratto, corrisponde a ll realtà?
• Se viene fornito un software o un’applicazione: Ho verificato il
rispetto della Privacy by design?
Roberto Scarafia

24. Titolare del
trattamento
ADDETTI INCARICATI
DIPENDENTI
CONSULENTI
ADDETTI INCARICATI
MARKETING
ADDETTI INCARICATI
ACCETTAZIONE
ADDETTI
AMMINISTRAZIONE
ADDETTI
LOGISTICA
Responsabile Esterno
Cloud – NUVICOM –
GOOGLE ARUBA
CED
AMMINISTRATORE DI
SISTEMA
Responsabile
Esterno- FARONI -
ENGOLLI
DPO
Data Protection Officer
Roberto Scarafia

25. • Incombe l’onere probatorio di aver fornito l’informativa al titolare (art 24 c1 c74) ONERE PROBATORIO
• Tutti i trattamenti
CAMPO
D’APPLICAZIONE
• L’istituto dell’informativa non si applica ai casi in cui non trova applicazione il Regolamento
(art2 c2) ESCLUSIONE
• L’informativa è gratuita (art12 c5) COSTI
• L’informativa è resa per iscritto. Se richiesto dall’interessato può essere resa oralmente purché
sia conprovata con altri mezzi l’idnetità dell’interessato. Va utilizzato un linguaggio “semplice” e
“chiaro”, in particolare nel caso di informazioni destinate a minori (art12 c1 c56
MODALITA’
Roberto Scarafia

26. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE
IDENTITA’ E CONTATTI TITOLARE (13.1.A) ✔ = 14.1.A ✔
IDENTITA’ E CONTATTI DPO (13.1.B) ✔ = 14.1.B ✔
FINALITA’ DEL TRATTAMENTO (13.1.C) NUOVA
FINALITA’ (13
.3)
= 14.1.C NUOVA
FINALITA’ (14.4)
BASE GIURIDICA (13.1.C) ✔ = 14.1.C ✔
SE LA BASE GIURIDICA E’ IL LEGITTIMO
INTERESSE EX ART 6.1.F VA SPECIFICATO
(13.1.D)
✔
= 14.1.B INTERESSE
LEGITTIMO (14.4)
COMUNICAZIONE DEI DATI (13.1.E) ✔ = 14.1.E ✔
EVENTIUALE CIRCOLAZIONE EXTRA UE
INDICANDO LE GARANZIE (13.1.F)
✔
= 14.1.F ✔
Roberto Scarafia

27. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE
DURATA DEL TRATTAMENTO (13.2.A) = 13.3 = 14.1.a = 14.4
DIRITTI INTERESSATO: accesso/rettifica
integrazione cancellazione limitazione
opposizione portabilità (13.2.B)
= 13.3 = 14.1.c = 14.4
DIRITTI INTERESSATO: revoca del consenso
nei casi ex art 6.1.a (13.1.c)
= 13.3 = 14.2.d = 14.4
DIRITTI INTERESSATO: reclamo ad Autorità
Garante (13.2.d)
= 13.3 = 14.2.e = 14.4
Se la comunicazione è un obbligo di legge o
contrattuale (13.2.e)
= 13.3 NO NO
Roberto Scarafia

28. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE
Eventuale logica utilizzata per il trattamento
automatizzato e conseguenze per
l’interessato (13.2.f)
= 13.3 = 14.1.g ✔
✔ ✔ Origine dei dati e se
provenienti da fonti
pubbliche (14.2.f)
= 14.4
✔ ✔ Categorie di dati
personali (14.1.d)
✔
Roberto Scarafia

29. PRESUPPOSTO INDICAZIONI
CONSENSO PER UNA O PIU’ SPECIFICHE FINALITA’
CONTRATTO NECESSITA’ DI ESECUZIONE DEL CONTRATTO O MISURE
PRECONTRATTUALI
OBBLIGO LEGALE POSSIBILITA’ DI INTEGRAZIONE LEGISLAZIONE NAZIONALE
SALVAGUARDIA INTERESSI
VITALI
DELL’INTERESSATO O DI ALTRA PERSONA FISICA
COMPITO DI INTERESSE
PUBBLICO
POSSIBILITA’ DI INTEGRAZIONE LEGISLAZIONE NAZIONALE
LEGITTIMO INTERESSE DEL
TITOLARE
SE NON PREVALGONO INTERESSI, DIRITTI E LIBERTA’
FONDAMENTALI DELL’INTERESSATO
Roberto Scarafia

30. « Qualsiasi manifestazione di volontà libera, specifica, informata e
inequivocabile dell’interessato, con la quale lo stesso manifesta il
proprio assenso, mediante dichiarazione o azione positiva
inequivocabile, al trattamento dei dati personali che lo riguardano”
IL TITOLARE DEVE ESSERE IN GRADO DI DIMOSTRARE CHE
L’INTERESSATO HA PRESTATO UN CONSENSO
Per i minori è valido a partire da 16 anni, prima di tale età occorre
raccogliere il consenso dei genitori o di chi ne fa le veci
Roberto Scarafia

31. • IL CONSENSO DEVE ESSERE “INFORMATO”
• IL CONSENSO DEVE ESSERE “DATO LIBERAMENTE”
• IL CONSENSO DEVE ESSERE “SPECIFICO”
Roberto Scarafia

32. • IL SILENZIO NON EQUIVALE AD UN CONSENSO
• IL CONSENSO DEVE ESSERE “DISTINGUIBILE”
• IL CONSENSO DEVE ESSERE “SPECIFICO”
Roberto Scarafia

33. “VIOLAZIONE DI SICUREZZA CHE
COMPORTA ACCIDENTALMENTE O IN
MODO ILLECITO LA DISTRUZIONE, LA
PERDITA, LA MODIFICA, LA RIVELAZIONE
NON AUTORIZZATA O L’ACCESSO AI DATI
PERSONALI TRASMESSI, MEMORIZZATI O
COMUNQUE ELABORATI” Roberto Scarafia

34. IPOTESI 1
Il rischio per i diritti e le libertà
delle persone fisiche
NON E’ ELEVATO
Il Titolare non deve
notificare al Garante
o dare
comunicazione agli
interessati
Il Titolare deve solo
tenere traccia
dell’evento e
dell’analisi del rischio
effettuata per future
consultazioni
IPOTESI 2
Il rischio per i diritti e le libertà
delle persone fisiche
E’ PROBABILE MA NON ELEVATO
Il Titolare deve effettuare la notifica al
Garante
NOTIFICA (art33):
Il Titolare deve notificare la violazione al
Garante senza indebito ritardo,
comunque entro 72 ore
Questa contiene almeno:
-descrizione della violazione dei dati, compresi il numero
delle persone interessate e le categorie di dati;
.nome e recapiti del DPO (o altro punto rilevante del
contatto);
Probabili conseguenze della violazione dei dati;
Eventuali misure adottate dal Titolare per porre rimedio o
attenuare l’infrazione
IPOTESI 3
Il rischio per i diritti e le libertà
delle persone fisiche
E’ PROBABILE ED ELEVATO
Il Titolare deve notificare la violazione al
Garante e anche comunicazione agli
interessati
COMUNICAZIONE (art.34)
La comprendere deve comprendere
almeno:
- Nome e recapiti del DPO (o altro punto
rilevanti del contatto);
- Le probabili conseguenze della violazione
dei dati;
- Eventuali misure adottate dal Titolare per
porre rimedio o attenuare l’infrazione
MODALITA’: comunicazione diretta con i
soggetti interessati (quali email. SMS, o
messaggi diretti) maniera chiara e
trasparente
Roberto Scarafia

35. A
• Impostare un buon controllo e monitoraggio dei sistemi e dei dati
B
• Implementare un sistema per la rilevazione di un DATA BREACH
C
• Disegnare in anticipo il flusso di come dovrà avvenire l’eventuale notifica di un DATA BREACH
D
• Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di
notifica al Garante così da avere una traccia degli elementi da inserire nella notifica
E
• Attenzione alla gestione dei rapporti con i responsabili
Roberto Scarafia

36. C
• Disegnare in anticipo il flusso di come dovrà avvenire l’eventuale notifica di un DATA BREACH
Roberto Scarafia
Scoperta Qualificazione Valutazione
Notifica
Comunicazione
Archiviazione
Massimo 72 ore

37. D
• Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile
di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica
Roberto Scarafia
Notifica Art. 33 p.3 GDPR
A. Descrivere la natura della violazione dei dati personali compresi, ove possibile, le
categorie e il numero approssimativo di interessati in questione, nonché le categorie e
il numero approssimativo di registrazioni dei dati personali in questione.
B. Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di
altro punto di contatto presso cui ottenere più informazioni.
C. Descrivere le probabili conseguenze della violazione dei dati personali.
D. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per
porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i
possibili effetti negativi.

38. D
• Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile
di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica
Roberto Scarafia
Comunicazione Art. 34 p.2 GDPR
A. Descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati
personali.
B. Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di
altro punto di contatto presso cui ottenere più informazioni.
C. Descrivere le probabili conseguenze della violazione dei dati personali.
D. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per
porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i
possibili effetti negativi.

39. Roberto Scarafia
1. Titolare che effettua la comunicazione:
a. Denominazione o ragione sociale:
b. Sede del titolare:
c. Persona fisica addetta alla comunicazione:
d. Funzione rivestita:
e. Indirizzo email per eventuali comunicazioni:
f. Recapito telefonico per eventuali comunicazioni:
2. Natura della comunicazione:
a. Nuova comunicazione (inserire contatti per eventuali chiarimenti, se diversi da quelli sub 1.):
b. Seguito di precedente comunicazione (inserire numero di riferimento):
b.1. Inserimento ulteriori informazioni sulla precedente comunicazione:
b.2. Ritiro precedente comunicazione (inserire le ragioni del ritiro):
3. Breve descrizione della violazione di dati personali:
4. Quando si è verificata la violazione di dati personali?
a. Il …
b. Tra il ….. e il …..
c. In un tempo non ancora determinato
d. È possibile che sia ancora in corso

40. Roberto Scarafia
5. Dove è avvenuta la violazione dei dati? (Specificare se sia avvenuta a seguito di smarrimento di dispositivi o
di supporti portatili)
6. Modalità di esposizione al rischio:
a. tipo di violazione:
a.1. lettura (presumibilmente i dati non sono stati copiati)
a.2. copia (i dati sono ancora presenti sui sistemi del titolare)
a.3. alterazione (i dati sono presenti sui sistemi ma sono stati alterati)
a.4. cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppure l'autore della violazione)
a.5. furto (i dati non sono più sui sistemi del titolare e li ha l'autore della violazione)
a.6. altro [specificare]
b. dispositivo oggetto della violazione:
b.1. computer
b.2. dispositivo mobile
b.3. documento cartaceo
b.4. file o parte di un file
b.5. strumento di backup
b.6. rete
b.7. altro [specificare

41. Roberto Scarafia
7. Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione:
8. Quante persone sono state colpite dalla violazione di dati personali?
a. [numero esatto] persone
b. Circa [numero] persone
c. Un numero (ancora) sconosciuto di persone
9. Che tipo di dati sono coinvolti nella violazione?
a. Dati anagrafici
b. Numeri di telefono (fisso o mobile)
c. Indirizzi di posta elettronica
d. Dati di accesso e di identificazione (user name, password, customer ID, altro)
e. Dati di pagamento (numero di conto corrente, dettagli della carta di credito, altro)
f. Altri dati personali (sesso, data di nascita/età, …), dati sensibili e giudiziari
g. Ancora sconosciuto
h. Altro [specificare]
10. Livello di gravità della violazione di dati personali (secondo le valutazioni del titolare):
a. Basso/trascurabile
b. Medio
c. Alto
d. Molto alto
11. Misure tecniche e organizzative applicate ai dati colpiti dalla violazione:

42. Roberto Scarafia
12. La violazione è stata comunicata anche a contraenti (o ad altre persone interessate)?
a. Sì, è stata comunicata il ….
b. No, perché [specificare]
13.Qual è il contenuto della comunicazione ai contraenti (o alle altre persone interessate)? [riportare il testo
della notificazione]
14. Quale canale è utilizzato per la comunicazione ai contraenti (o alle altre persone interessate)?
15. Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e
prevenire simili violazioni future?
16. La violazione coinvolge contraenti (o altre persone interessate) che si trovano in altri Paesi EU?
a. No
b. Si
17. La comunicazione è stata effettuata alle competenti autorità di altri Paesi EU?
a. No
b. Si [specificare]