2. Stefano Mele è of Counsel di Carnelutti Studio Legale Associato dove è il Responsabile
del Dipartimento di Diritto delle Tecnologie, Privacy, Cybersecurity e Intelligence.
Dottore di ricerca presso l U ive sità degli Studi di Foggia, collabora presso le cattedre
di Informatica Giuridica e Informatica Giuridica Avanzata della Facoltà di
Giurisprudenza dell U ive sità degli Studi di Milano.
È membro del Consiglio Direttivo e Presidente della Commissione Sicurezza Cibernetica
del Comitato Atlantico Italiano.
E Presidente del Gruppo di lavoro sulla cyber-security della Camera di Commercio
americana in Italia (AMCHAM), nonché membro del Tavolo Cyber Security di Regione
Lombardia e dell Advisory Board su Cyber Security di Assolombarda.
E Coordinatore dell Osse vato io InfoWarfare e Tecnologie emergenti dell Istituto
Italiano di Studi Strategici Ni olò Ma hiavelli ed è socio fondatore e Presidente
dellAsso iazio e CyberPARCO.
È inoltre docente presso istituti di formazione e di ricerca del Ministero della Difesa
italiano e della NATO, nonché autore di numerose pubblicazioni scientifiche e articoli
sui temi della cybersecurity, cyber intelligence, cyber terrorism e cyber warfare.
Nel 2014, la NATO lo ha inserito nella lista dei suoi Key Opinion Leaders for Cyberspace
Security.
Nel 2014, la rivista Forbes lo ha inserito tra i 20 migliori Cyber Policy Experts al mondo
da seguire in Rete.
@MeleStefano
smele@carnelutti.com
Stefano Mele
10. Un cambio di rotta..
Il Parlamento Europeo – in data 14
Aprile 2016 – ha approvato
definitivamente il nuovo
Regola e to o e e te la tutela
delle persone fisiche con riguardo al
trattamento dei dati personali e la
li e a i olazio e di tali dati
Regola e to Eu opeo , volto a
disciplinare i trattamenti di dati
personali, sia nel settore privato, sia
nel settore pubblico, e destinato ad
abrogare la Direttiva 95/46/CE2, che
ha po tato i Italia all adozio e del
vigente D.lgs. 30 giugno 2003 n. 196
11. Dato personale
Qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che
può essere identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di identificazione, dati
relativi all'ubicazione, un identificativo online o a uno o più elementi
caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica,
culturale o sociale
12. Trattamento di dati personali
Qualsiasi operazione o insieme di operazioni, o piute o o se za l ausilio
di processi automatizzati e applicate a dati personali o insiemi di dati personali,
o e la a olta, la egist azio e, l o ga izzazio e, la st uttu azio e, la
o se vazio e, l adatta e to o la odifi a, l est azio e, la o sultazio e,
l uso, la o u i azio e edia te t as issio e, diffusio e o ualsiasi alt a
fo a di essa a disposizio e, il aff o to o l i te o essio e, la
limitazione, la cancellazione o la distruzione
13. Dati particolari
È vietato trattare dati personali
che rivelino l'origine razziale o
etnica, le opinioni politiche, le
convinzioni religiose o filosofiche,
o l'appartenenza sindacale,
nonché trattare dati genetici,
dati biometrici intesi a
identificare in modo univoco una
persona fisica, dati relativi alla
salute o alla vita sessuale o
all'orientamento sessuale della
persona (art. 9, comma 1)
.. SALVO CHE..
14. Profilazione
Qualsiasi forma di trattamento
automatizzato di dati personali
o siste te ell utilizzo di tali dati
personali per valutare determinati
aspetti personali relativi a una
persona fisica, in particolare per
analizzare o prevedere aspetti
riguardanti il rendimento
professionale, la situazione
economica, la salute, le preferenze
pe so ali, gli i te essi, l affida ilità,
il o po ta e to, l u i azio e o gli
spostamenti di detta persona fisica
15. Data Protection by Design
Te e do o to dello stato dell a te e dei osti di attuazio e, o hé della atu a,
dell a ito di appli azio e, del o testo e delle fi alità del t atta e to,
come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche costituiti dal trattamento, sia al momento di determinare i
ezzi del t atta e to sia all atto del t atta e to stesso il titolare del
trattamento mette in atto misure tecniche e organizzative adeguate, quali la
pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione
dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie
garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati
16. Data Protection by Default
Il titolare del trattamento mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione predefinita, solo i
dati personali necessari per ogni specifica finalità del trattamento
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del
t atta e to, il pe iodo di o se vazio e e l a essi ilità
17. Sicurezza del trattamento
Te e do o to dello stato dell a te e dei osti di attuazio e, o hé della atu a,
dell oggetto, del o testo e delle fi alità del t atta e to, o e a he del
rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche,
il titolare del trattamento e il responsabile del trattamento mettono in atto
misure tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio
18. Sicurezza del trattamento
Nel valuta e l adeguato livello di si u ezza, si tie e o to i spe ial odo dei
rischi presentati dal trattamento che derivano in particolare dalla
distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o
dall a esso, i odo a ide tale o illegale, a dati pe so ali t as essi,
conservati o comunque trattati
19. Sicurezza del trattamento
la pseudonimizzazione e la cifratura dei dati personali
la capacità di assicurare su base permanente la ise vatezza, l i teg ità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento
la capacità di ripristinare tempestivamente la dispo i ilità e l a esso dei
dati personali in caso di incidente fisico o tecnico
una procedura per testare, verificare e valutare regolarmente l effi a ia delle
misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento
20. Entro il 25 maggio 2018:
• Compliance dei processi con i principi di
Privacy by Design e Privacy by Default
• Valutazio e d i patto del trattamento
sulla protezione dei dati
• Redigere il Registro delle attività di
trattamento
• O ligo di o u i a e l avve uta
violazione di dati personali (c.d. Data
Breach)
• Individuare e nominare il Responsabile
della Protezione Dati (c.d. Data
Protection Officer)
• Di itto all o lio e Diritto alla portabilità
dei dati
• … e olto alt o a o a…
21. Sanzioni
La violazione delle disposizioni «meno gravi» è soggetta a sanzioni
amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2 %
del fattu ato o diale totale a uo dell ese izio p e ede te, se superiore
La violazione delle disposizioni «più gravi» è soggetta a sanzioni amministrative
pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato
mondiale totale annuo dell'esercizio precedente, se superiore
22.
23.
24. This presentation was delivered at a
BCI event
To find out more about upcoming
events please visit our website