2. ACEF
2Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
La rivoluzione del GDPR e del "nuovo" Codice
privacy
Come procedere operativamente
Avv. Enrico Pelino
Partner Grieco Pelino Avvocati – consigliere Direttivo ANORC Professioni
3. ACEF
3Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Due parole su ANORC Professioni
Che cos’è
Come lavora
4. ACEF
4Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
ANORC Professioni
Che cos’è?
Associazione professionale
Indipendente e senza scopo di lucro
Iscritta nell'elenco del MISE
Pubblica elenchi nazionali di professionisti (L. 4/13)
Quali obiettivi:
Rappresentare i professionisti della digitalizzazione
e i professionisti della privacy
Fare formazione e aggiornamento, con un taglio concreto
Promozione di tavoli istituzionali e iniziative nazionali
“Fare rete” tra professionisti
5. ACEF
5Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
ANORC Professioni
PROFESSIONISTI DELLA
DIGITALIZZAZIONE
NUMERO ISCRITTI: 51 NUMERO ISCRITTI: 96
PROFESSIONISTI DELLA
PRIVACY
9. 9Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Piùg dig 600g professioiistg iscritg
aig corsig ornaiizzatg coig
Eurocoifereice
10.
11. ACEF
11Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Adeguarsi alla normativa sulla protezione dei dati
personali
Come procedere
Che cosa contrattualizzare con i professionisti che si
occupano dell’adeguamento
12. ACEF
12Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Le coordinate normative
Innanzitutto:
Regolamento (UE) 2016/679 (“GDPR” o “RGPD”)
Codice privacy, d.lgs. 196/2003 come modificato, da ultimo, dal d.lgs. 101/2018
Ma non solo. Occorre adeguarsi tenendo presenti:
Linee guida europee del WP29, oggi del Comitato
Opinioni pregresse del WP29, es. Op. 1/2010 sui ruoli di titolare e responsabile
Provvedimenti attuali e pregressi del Garante per la protezione dei dati personali, questi
ultimi nei limiti della residua validità o in quanto strumenti orientativi
13. ACEF
13Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Che cosa fare e come procedere
NON cominciate dalla compliance! Ossia: la compliance postula l’assessment
Esempi di implicazioni logiche: informative, registri, DPIA, designazione DPO
Dunque, l’ordine è:
1. Gap Analysis
2. Compliance
Occorre del tempo? Sì. È una procedura necessariamente granulare e a fasi di
approfondimento ciclico
14. ACEF
14Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Implicazioni della Gap Analysis sull’informativa ex
art. 13 GDPR
13.1.a) e 26.1 GDPR → (con)titolare → allocazione dei ruoli → Gap Analysis
13.1.b) GDPR → DPO → Gap Analysis
13.1.c) GDPR → finalità → Gap Analysis
13.1.d), 13.2.c), 13.2.e) GDPR → base giuridica → Gap Analysis
13.1.e) GDPR destinatari → ambito di circolazione → Gap Analysis
13.1.f) GDPR trasferimento extra UE/SEE → Gap Analysis
13.2.a) GDPR conservazione → base giuridica+finalità → Gap Analysis
13.2.f) GDPR processo decisionale automatizzato → Gap Analysis
15. ACEF
15Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Registri del trattamento – 1/2
30.1.a), 30.2.a) GDPR → (con)titolare, responsabile → allocazione dei ruoli → Gap
Analysis
30.1.a), 30.2.a) GDPR → rappresentante del titolare o del responsabile → Gap Analysis
30.1.a), 30.2.a) GDPR→ DPO → → Gap Analysis
30.1.b) GDPR → finalità → Gap Analysis
30.1.c) GDPR → categorie di interessati → censire le categorie di interessati per ogni
trattamento → Gap Analysis
16. ACEF
16Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Registri del trattamento – 2/2
30.2.b) GDPR → categorie di dati personali → Censire le tipologie → Gap Analysis
30.1.d) GDPR → destinatari → ambito di circolazione → Gap Analysis
30.1.e), 30.2.c) GDPR → trasferimento extra UE/SEE + misure adeguate art. 49.1 2°
sottoparagrafo → Gap Analysis
30.1.f) GDPR → conservazione → base giuridica+finalità → Gap Analysis
30.1.g) GDPR → descrizione generale misure di sicurezza → Gap Analysis
17. ACEF
17Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
DPIA
35.1 GDPR → rischio probabile alla luce dei 9 indici delle linee guida UE → Gap Analysis
35.4 e 35.5 GDPR → esame black list ed eventuale white list → Gap Analysis
35.10 GDPR → esame sussistenza eccezione ex art. 35.10 → Gap Analysis
2-15 Cod. priv. → autorizzazione preliminare? → Gap Analysis
18. ACEF
18Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Che cosa è opportuno richiedere e contrattualizzare
in una Gap Analysis?
Perimetro dell’analisi (includere unità locali, specificare quali società del gruppo)
Mappatura dei flussi interni ed esterni
Allocazione dei ruoli
Individuazione dei trasferimenti extra UE/SEE
Individuazione delle finalità, delle relative basi giuridiche, della tipologie di dati e di
interessati
Individuazione delle garanzie adeguate per i trasferimenti extra UE/SEE
19. ACEF
19Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Da richiedere ulteriormente
Coordinamento con Gap Analysis di altre società del gruppo
Indicazione sull’obbligatorietà o meno di procedere a DPIA
Indicazione sull’obbligatorietà o meno di designare il DPO
Valutazione della governance interna (incluse designazioni, policy e istruzioni)
Valutazione delle misure di sicurezza, quantomeno di quelle più evidenti (sia IT, sia
organizzative, sia fisiche)
Valutazione della privacy by design (perimetro da definire con precisione)
Valutazione specifica sui siti Internet e sui sistemi di storage
Valutazione specifica attività di marketing
20. ACEF
20Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Inoltre è raccomandabile contrattualizzare con il
consulente/avvocato cui sono affidate Gap Analysis
e Compliance
Eventi formativi periodici per ruoli apicali, dipendenti e collaboratori → Accountability
Revisione periodica della Gap Analysis e della Compliance
informazione sulle principali novità normative e giustiziali e giurisprudenziali
21. ACEF
21Meeting Nazioialeg ACEFg 2018
Idee e Azioni per il Cambiamento
Grazie per l’attenzione!
Avv. Enrico Pelino
avv.enricopelino@griecopelino.com