SlideShare a Scribd company logo

Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati

Gianluca Satta
Gianluca Satta

Chi è il Responsabile della Protezione dei Dati (RPD-DPO) Requisiti e/o qualifiche particolari del DPO Quali compiti possono essere affidati al DPO Indicazioni e raccomandazioni nella designazione del DPO Gestione dei dati di contatto del DPO L’AUDIT e il compito di sorveglianza del DPO

Law
1 of 41
Download to read offline
Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati di Massimo Farina Gianluca Satta
2 DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di sviluppare attività di studio, ricerca e approfondimento nell'ambito delle tematiche di interesse comune per il mondo giuridico e informatico Web site: www.diricto.it
3 ICT for Law and Forensics è il laboratorio di Informatica Forense del Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari. Aree di interesse: e-commerce e contrattazione telematica, la tutela giuridica dei domain names, privacy e protezione dei dati personali nel mondo telematico, cyber crimes, digital forensics Web site: ict4forensics.diee.unica.it
4 SOMMARIO 4 Chi è il Responsabile della Protezione dei Dati (RPD-DPO) Requisiti e/o qualifiche particolari del DPO Quali compiti possono essere affidati al DPO Indicazioni e raccomandazio ni nella designazione del DPO Gestione dei dati di contatto del DPO L’AUDIT e il compito di sorveglianza del DPO
5 Chi è il Responsabile della Protezione dei Dati (RPD-DPO) ? DPO = FACILITATORE Titolare del trattamento Personale autorizzato al trattamento Interessati Autorità Garante
6 Quando deve essere designato il DPO? Titolari e Responsabili del trattamento Designazione obbligatoria Art. 37 GDPR Nessuna designazione Motivazione (accountability) Designazione facoltativa Segue le regole degli artt. 37, 38 e 39 GDPR
7 Quando deve essere designato il DPO? … e da chi? Quando deve essere designato (art. 37, par. 1): a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali: dati «sensibili» e dati «giudiziari» (rispettivamente art. 9 e art. 10). Chi designa: il Titolare e/o il Responsabile del trattamento. Qualora sia nominato un DPO da entrambe, le due figure sono tenuti alla reciproca collaborazione
8 La nomina obbligatoria del DPO… … in ambito pubblico • Amministrazioni dello Stato, anche con ordinamento autonomo • Enti pubblici non economici nazionali, regionali e locali • Regioni e gli Enti locali • Università • Camere di commercio, industria, artigianato e agricoltura • Aziende del Servizio sanitario nazionale • Autorità indipendenti • … Fortemente raccomandato: soggetti privati che esercitano funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici)
9 … in ambito privato • Istituti di credito, Sistemi di informazione creditizia • Imprese assicurative, Società finanziarie • Società di informazioni commerciali • Società di revisione contabile • Società di recupero crediti • Istituti di vigilanza • Partiti e movimenti politici, sindacati, caf e patronati • Società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas) • Imprese di somministrazione di lavoro e ricerca del personale • Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione La nomina obbligatoria del DPO…
10 Un po’ di numeri…. Dati aggiornati al 28 settembre 2018 – www.garanteprivacy.it
11 Art. 37, par. 5 GDPR «Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.» 1) informare e fornire consulenza in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati 2) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale 3) fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo svolgimento; 4) cooperare con l'autorità di controllo e fungere da punto di contatto. Il DPO deve avere requisiti e/o qualifiche particolari?
12 Il DPO deve avere requisiti e/o qualifiche particolari? Competenze trasversali Comp. Giuridiche in materia di privacy Comp. Giuridiche specifiche del settore di riferimento Comp. Informatiche e sulla sicurezza Audit
13 Il DPO deve avere requisiti e/o qualifiche particolari? NON sono richiesti Attestazioni formali Partecipazione a corsi di formazione Iscrizione in albi professionali Certificazioni come Auditor/Lead Auditor ISO
14 Il DPO deve avere requisiti e/o qualifiche particolari? TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287 Il ricorrente espone che, con tale ultimo decreto, rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati […] Infine, riguardo ai requisiti di partecipazione alla selezione, l’avviso (paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001. […] 5. Venendo al merito dell’impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva […]
15 Il DPO deve avere requisiti e/o qualifiche particolari? TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287 Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati […] Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo. P.Q.M. Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in motivazione.
16 Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione… Art. 38, par. 6 GDPR «Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.» • non devono comportare la definizione di finalità e modalità del trattamento dei dati • non dovrebbero sottrarre al DPO il tempo necessario per adempiere ai principali compiti affidati Suggerimento Nelle fasi precedenti alla designazione, e all’atto della stessa, il DPO dovrebbe verificare quali compiti sono stati affidati dal Titolare o dal Responsabile del trattamento. Se necessario, prima di formalizzare la designazione, il DPO invita il Titolare o il Responsabile a modificare eventuali compiti affidati.
17 Formazione al personale • Non comporta conflitti di interesse; è assimilabile ai compiti di informazione e consulenza tipici del DPO. Assistenza nella tenuta del registro delle attività di trattamento • Purché si tratti di mera tenuta del registro, finalizzata ad esercitare la sorveglianza sul Titolare Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
18 Procedere alla mappatura dei processi e trattamenti •Attività tipica del Titolare, preordinata all’adeguamento. Il DPO deve verificare che siano stati mappati tutti i processi e trattamenti Gestire il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite •La gestione è più della semplice tenuta. Si tratta di adempimento del Titolare che il DPO deve verificare. Inoltre, il DPO non può agire su istruzioni del Titolare (Art. 38, par. 3 GDPR) Gestire il registro delle violazioni di sicurezza e relativa modulistica • La compilazione del registro delle violazioni è obbligo del Titolare che il DPO deve verificare. Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
19 Fornire ausilio al titolare nella individuazione formale di responsabili ed incaricati del trattamento •Rischioso attribuire tale compito in quanto potrebbe sfociare in attività tipiche del Titolare. Non vi è motivo di specificarlo, in quanto il DPO fornisce consulenza e informazione. Fornire supporto tecnico-giuridico al Social media manager in relazione ai trattamenti operati sui Social Media e/o Network •«Supporto tecnico» significa definizione di mezzi e modalità del trattamento (tipici del Titolare). Svolgere, se necessario, la valutazione di impatto sulla protezione dei dati •Il DPO può intervenire per indicare: se condurre o meno la DPIA, quale metodologia adottare per condurre la DPIA, quali salvaguardie adottare per attenuare i rischi per i diritti dell’interessato. Infine, il DPO valuta se la DPIA è stata svolta correttamente. Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
20 Coadiuvare il titolare nello studio e redazione dello schema di regolamento interno avente ad oggetto modalità organizzative, misure procedimentali e regole di dettaglio •Il regolamento interno non è adempimento obbligatorio. Se inteso come strumento per impartire istruzioni e organizzare i trattamenti, è attività tipica del Titolare (definizione delle politiche di trattamento) che il DPO dovrà verificare. Realizzare gli ulteriori compiti contenuti nella convezione di conferimento dell’incarico •Accade quando il DPO è esterno. Compito generico che potrebbe far riferimento ad attività incompatibili con il ruolo del DPO Garantire che il Titolare si conformi e rispetti in maniera totale le nuove disposizioni •Spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento siano conformi alle disposizioni del regolamento stesso (art. 24, par. 1). Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
21 Indicazioni e raccomandazioni nella designazione del DPO Contenuti essenziali dell’atto di designazione del DPO (procedura selettiva interna o esterna, gara, altro) •Prevedere requisiti di partecipazione alla selezione rapportati alle competenze richieste Requisiti di partecipazione •Conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali •Competenze specifiche per la P.A. (trasparenza, accesso documentale, amministrazione digitale) •Valutazione in relazione ai dati (qualità e quantità) e i trattamenti specifici •Competenze in materia di sicurezza delle informazioni (eventuale) Competenza/esperienza richiesta (art. 37-39 GDPR) •Determinazione delle modalità per favorire il supporto attivo del DPO da parte del vertice del Titolare e viceversa (supporto del DPO al vertice) Fattore supporto
22 Contenuti essenziali dell’atto di designazione del DPO (procedura selettiva interna o esterna, gara, altro) •Il tempo deve essere sufficiente per l’espletamento dei compiti affidati al DPO. DPO interno: contratto di lavoro full-time/part-time. Se DPO esterno: piano di lavoro (numero di audit, presenza presso la struttura del Titolare); Fattore tempo •supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale Fattore risorse •accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.) così da fornire al DPO supporto, informazioni e input essenziali; Fattore accesso •comunicazione ufficiale della nomina del DPO a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda/ente Fattore comunicazione Indicazioni e raccomandazioni nella designazione del DPO
23 Contenuti essenziali dell’atto di designazione del DPO (procedura selettiva interna o esterna, gara, altro) •I DPO devono avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati: partecipazione a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione; Fattore formazione permanente •Considerate le dimensioni e la struttura dell’azienda/ente, può risultare necessario costituire un ufficio o un gruppo di lavoro DPO. Fattore organizzazione •Individuazione dei compiti del DPO (se prevista la creazione di un team del DPO, ripartizione dei compiti nel team e individuazione del soggetto designato DPO Compiti del DPO Indicazioni e raccomandazioni nella designazione del DPO
24 "Dati di contatto", un concetto difficile? Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» ATTENZIONE ! • Non confondere il Responsabile del trattamento con il Responsabile della Protezione dei Dati • Non si indicano i dati identificativi del DPO nelle informative, è sufficiente indicare indirizzo email e/o numero di telefono (dato di CONTATTO) o non è obbligatorio il nome e cognome, è un trattamento dati non adeguato e limitato rispetto alla finalità! o se cambia il DPO, si dovranno modificare tutte le informative!
25 "Dati di contatto", un concetto difficile? Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» ATTENZIONE ! • Utilizzare indirizzi email impersonali (dpo@azienda.it oppure rpd@azienda.it) • Il DPO è una figura destinata a permanere nel tempo. Potrà cambiare la persona fisica, ma la funzione resta. È opportuno, quindi, mantenere uno storico delle comunicazioni inviate e ricevute dall’ufficio del DPO. • L’uso di caselle personali con nome.cognome equivale a comunicare i dati identificativi del DPO, come nel caso precedente.
26 La casella email del DPO… Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» …qualche consiglio La casella deve essere controllata e resa accessibile direttamente dal DPO Credenziali di autenticazione comunicate personalmente al DPO e cambio password Se è impostato l’inoltro dei messaggi su casella personale del DPO, ricordarsi di lasciare sempre la copia nella webmail.
27 La casella email del DPO… Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» …perché è così importante • È lo strumento che consente al DPO di esercitare le proprie funzioni di «facilitatore» • Il Titolare può scrivere al DPO per richiedere informazioni e/o consulenza • Gli Autorizzati (dipendenti del Titolare) possono contattare il DPO per richiedere consulenza e informazioni • Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti (art. 38, par. 4 GDPR)
28 I compiti di informazione e consulenza del DPO Titolare o Responsabile del Trattamento Dipendenti che eseguono il trattamento (autorizzati) nei confronti di…. obblighi GDPR Obblighi derivanti da altre disposizioni relative alla protezione dei dati in merito a… D. Lgs. 196/2003 e s.m.i., D. Lgs. 101/2018, D. Lgs. 33/2013 e s.m.i., L. 241/1990, L. 300/1970, Provvedimenti dell’Autorità Garante (videosorveglianza, amministratore di sistema, trasparenza, ecc…)
29 Il compito di sorveglianza del DPO osservanza del GDPR, delle altre disposizioni relative alla protezione dei dati attribuzione delle responsabilità (autorizzazioni e istruzioni, responsabili del trattamento, contitolarità) in merito a…. sensibilizzazione e formazione del personale Audit in che modo?
30 Il compito di sorveglianza del DPO Articolo - titolo Versione in italiano Versione in inglese Art. 28 Responsabile del trattamento Art. 28 Processor attività di revisione, comprese le ispezioni contribute to audits, including inspections Art. 39 Compiti del Responsabile della protezione dei dati Art. 39 Tasks of the data protection officer sorvegliare [...] la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo to monitor [...] the training of staff involved in processing operations, and the related audits Art. 47 Norme vincolanti di impresa Art. 47 Binding corporate rules verifiche sulla protezione dei dati data protection audit Art. 58 Poteri (dell’autorità di controllo) Art. 58 Powers (supervisory authority) Condurre indagini sotto forma di attività di revisione sulla protezione dei dati to carry out investigations in the form of data protection audits Un problema di traduzione…
31 Art. 24 GDPR «1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. […] le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento» Il compito di sorveglianza del DPO Misure tecniche e organizzative Verifica di conformità al GDPR (AUDIT 1) Riesame e aggiornamento (AUDIT 2)
32 Il compito di sorveglianza del DPO Gli elementi comuni di ogni audit Audit Definizione: processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutare con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti UNI EN ISO 19011:2018 Linee guida per gli audit di sistemi di gestione OGGETTO: ossia il modello di riferimento (es. best practices, linee guida, norme ISO, capitolati, ecc) CAMPO DI APPLICAZIONE: un’organizzazione o alcune parti di essa SCOPO: verifica dello stato dell’arte dell’organizzazione rispetto ai requisiti del modello di riferimento oggetto dell’audit. Verifica se i criteri dell’audit sono stati soddisfatti
33 Il compito di sorveglianza del DPO L’audit del DPO OGGETTO: modello di riferimento: Regolamento (UE) 679/2016, D. Lgs. 196/2003 e altre disposizioni relative alla protezione dei dati CAMPO DI APPLICAZIONE: l’organizzazione del Titolare o del Responsabile del trattamento SCOPO: verifica dello stato dell’arte dell’organizzazione del Titolare o del Responsabile rispetto delle norme del Regolamento (UE) 679/2016, D. Lgs. 196/2003 e altre disposizioni relative alla protezione dei dati
34 Il compito di sorveglianza del DPO L’audit del DPO I principi dell’audit che deve osservare il DPO Integrità: requisito posto a fondamento della professionalità (onestà, diligenza, competenza e imparzialità) Imparzialità: elaborazione di report veritieri e accurati. Le risultanze devono riportare fedelmente e accuratamente le attività svolte Professionalità: applicazione di diligenza e di giudizio nel corso dell’attività di audit Livello di attenzione adeguato all’importanza del compito. Riservatezza: sicurezza delle informazioni Discrezione nell’utilizzo e nella protezione delle informazioni acquisite Indipendenza: Autonomia e assenza di conflitto di interessi Approccio basato sull’evidenza: il metodo razionale per raggiungere conclusioni efficaci Le evidenze si basano su un campione di informazioni disponibili
35 Il compito di sorveglianza del DPO L’audit del DPO Conduzione delle attività: la riunione di apertura Obiettivi: 1. Presentazione delle attività del DPO 2. Valutazione complessiva dello stato dell’arte 3. Richieste di informazioni e consulenze specifiche al DPO Partecipanti: Soggetti privati – Direzione, Amministrazione, Resp. Uffici/Aree maggiormente coinvolte nel trattamento dei dati Soggetti pubblici – Direzione Generale, Sindaco, Segretario Comunale, Resp. Uffici/Aree Costituzione di un «Gruppo privacy»
36 Il compito di sorveglianza del DPO L’audit del DPO Il DPO deve raccogliere evidenze oggettive, ovverosia informazioni verificabili, inconfutabili, supportate da documentazione, registrazioni, dichiarazioni, osservazioni Cosa comprende Quando può avvenire Audit: raccolta delle evidenze Programmato periodicamente Verifica documentale Interviste al personale coinvolto nei trattamenti dei datiIn seguito a segnalazione/data breach o altre anomalie
37 Il compito di sorveglianza del DPO L’audit del DPO Informative privacy, richieste di consenso Istruzioni al personale Procedure/Policy interne: es. gestione delle istanze dell’interessato, gestione dei data breach, uso della posta elettronica e strumenti informatici aziendali Registri dei trattamenti, registri delle violazioni Verifica documentale
38 Il compito di sorveglianza del DPO L’audit del DPO Valutazione del livello di sicurezza Verifica sul recepimento delle procedure Verifica dei luoghi ove si svolgono i trattamenti di dati personali Controlli sulle modalità operative e accountability Interviste al personale
39 Il compito di sorveglianza del DPO L’audit del DPO
40 Grazie per l’attenzione Ci sono domande? Non dimenticare di segnarti le nostre email: gianluca@gianlucasatta.it, massimo@massimofarina.it info@diricto.it …e i nostri siti web: http://www.diricto.it http://ict4forensics.diee.unica.it http://www.marcafoto.it
41 Licenza Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale o Tu sei libero di: Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato; Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere; Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza Alle seguenti condizioni:  Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.  Non commerciale. Non puoi usare il materiale per fini commerciali.  Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario. o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare. o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.

Recommended

PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...
PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...
PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...Salomone & Travaglia Studio Legale
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
CORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
CORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOCORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
CORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOSalomone & Travaglia Studio Legale
 
IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOIL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOSalomone & Travaglia Studio Legale
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
 

Recommended

PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...
PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...
PRIVACY: IL SISTEMA SANZIONATORIO E IL NUOVO REGOLAMENTO EUROPEO; I PRESIDI P...Salomone & Travaglia Studio Legale
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
CORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
CORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOCORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
CORSO SPECIALISTICO: IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOSalomone & Travaglia Studio Legale
 
IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOIL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIO
IL CONSULENTE PRIVACY NEL SETTORE BANCARIO E FINANZIARIOSalomone & Travaglia Studio Legale
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfUNI - Ente Italiano di Normazione
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018Simone Chiarelli
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Digital Building Blocks
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
I protagonisti del gdpr
I protagonisti del gdprI protagonisti del gdpr
I protagonisti del gdprLucia Ruocco
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Barbieri & Associati Dottori Commercialisti - Bologna
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Open innovation e la tutela della proprietà intellettuale
Open innovation e la tutela della proprietà intellettualeOpen innovation e la tutela della proprietà intellettuale
Open innovation e la tutela della proprietà intellettualeGianluca Satta
 

More Related Content

Similar to Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati

GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018Simone Chiarelli
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Digital Building Blocks
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
I protagonisti del gdpr
I protagonisti del gdprI protagonisti del gdpr
I protagonisti del gdprLucia Ruocco
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 

Similar to Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati (20)

Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
I protagonisti del gdpr
I protagonisti del gdprI protagonisti del gdpr
I protagonisti del gdpr
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 

More from Gianluca Satta

Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Open innovation e la tutela della proprietà intellettuale
Open innovation e la tutela della proprietà intellettualeOpen innovation e la tutela della proprietà intellettuale
Open innovation e la tutela della proprietà intellettualeGianluca Satta
 
SPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CADSPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CADGianluca Satta
 
SPID: le nuove frontiere delle identità digitali
SPID: le nuove frontiere delle identità digitaliSPID: le nuove frontiere delle identità digitali
SPID: le nuove frontiere delle identità digitaliGianluca Satta
 
Open Data e conservazione dei documenti informatici
Open Data e conservazione dei documenti informaticiOpen Data e conservazione dei documenti informatici
Open Data e conservazione dei documenti informaticiGianluca Satta
 
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitaliSMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitaliGianluca Satta
 
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazione
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazioneSMAU Milano 2015 - Aspetti normativi e contrattuali della conservazione
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazioneGianluca Satta
 
Aspetti normativi e contrattuali della conservazione dei documenti informatici
Aspetti normativi e contrattuali della conservazione dei documenti informaticiAspetti normativi e contrattuali della conservazione dei documenti informatici
Aspetti normativi e contrattuali della conservazione dei documenti informaticiGianluca Satta
 
La conservazione dei documenti informatici per i professionisti, le aziende e...
La conservazione dei documenti informatici per i professionisti, le aziende e...La conservazione dei documenti informatici per i professionisti, le aziende e...
La conservazione dei documenti informatici per i professionisti, le aziende e...Gianluca Satta
 

More from Gianluca Satta (10)

Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Open innovation e la tutela della proprietà intellettuale
Open innovation e la tutela della proprietà intellettualeOpen innovation e la tutela della proprietà intellettuale
Open innovation e la tutela della proprietà intellettuale
 
SPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CADSPID: le nuove identità digitali dopo la riforma del CAD
SPID: le nuove identità digitali dopo la riforma del CAD
 
SPID: le nuove frontiere delle identità digitali
SPID: le nuove frontiere delle identità digitaliSPID: le nuove frontiere delle identità digitali
SPID: le nuove frontiere delle identità digitali
 
Open Data e conservazione dei documenti informatici
Open Data e conservazione dei documenti informaticiOpen Data e conservazione dei documenti informatici
Open Data e conservazione dei documenti informatici
 
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitaliSMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali
 
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazione
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazioneSMAU Milano 2015 - Aspetti normativi e contrattuali della conservazione
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazione
 
Aspetti normativi e contrattuali della conservazione dei documenti informatici
Aspetti normativi e contrattuali della conservazione dei documenti informaticiAspetti normativi e contrattuali della conservazione dei documenti informatici
Aspetti normativi e contrattuali della conservazione dei documenti informatici
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
La conservazione dei documenti informatici per i professionisti, le aziende e...
La conservazione dei documenti informatici per i professionisti, le aziende e...La conservazione dei documenti informatici per i professionisti, le aziende e...
La conservazione dei documenti informatici per i professionisti, le aziende e...
 

Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati

  • 1. Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati di Massimo Farina Gianluca Satta
  • 2. 2 DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di sviluppare attività di studio, ricerca e approfondimento nell'ambito delle tematiche di interesse comune per il mondo giuridico e informatico Web site: www.diricto.it
  • 3. 3 ICT for Law and Forensics è il laboratorio di Informatica Forense del Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari. Aree di interesse: e-commerce e contrattazione telematica, la tutela giuridica dei domain names, privacy e protezione dei dati personali nel mondo telematico, cyber crimes, digital forensics Web site: ict4forensics.diee.unica.it
  • 4. 4 SOMMARIO 4 Chi è il Responsabile della Protezione dei Dati (RPD-DPO) Requisiti e/o qualifiche particolari del DPO Quali compiti possono essere affidati al DPO Indicazioni e raccomandazio ni nella designazione del DPO Gestione dei dati di contatto del DPO L’AUDIT e il compito di sorveglianza del DPO
  • 5. 5 Chi è il Responsabile della Protezione dei Dati (RPD-DPO) ? DPO = FACILITATORE Titolare del trattamento Personale autorizzato al trattamento Interessati Autorità Garante
  • 6. 6 Quando deve essere designato il DPO? Titolari e Responsabili del trattamento Designazione obbligatoria Art. 37 GDPR Nessuna designazione Motivazione (accountability) Designazione facoltativa Segue le regole degli artt. 37, 38 e 39 GDPR
  • 7. 7 Quando deve essere designato il DPO? … e da chi? Quando deve essere designato (art. 37, par. 1): a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali: dati «sensibili» e dati «giudiziari» (rispettivamente art. 9 e art. 10). Chi designa: il Titolare e/o il Responsabile del trattamento. Qualora sia nominato un DPO da entrambe, le due figure sono tenuti alla reciproca collaborazione
  • 8. 8 La nomina obbligatoria del DPO… … in ambito pubblico • Amministrazioni dello Stato, anche con ordinamento autonomo • Enti pubblici non economici nazionali, regionali e locali • Regioni e gli Enti locali • Università • Camere di commercio, industria, artigianato e agricoltura • Aziende del Servizio sanitario nazionale • Autorità indipendenti • … Fortemente raccomandato: soggetti privati che esercitano funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici)
  • 9. 9 … in ambito privato • Istituti di credito, Sistemi di informazione creditizia • Imprese assicurative, Società finanziarie • Società di informazioni commerciali • Società di revisione contabile • Società di recupero crediti • Istituti di vigilanza • Partiti e movimenti politici, sindacati, caf e patronati • Società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas) • Imprese di somministrazione di lavoro e ricerca del personale • Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione La nomina obbligatoria del DPO…
  • 10. 10 Un po’ di numeri…. Dati aggiornati al 28 settembre 2018 – www.garanteprivacy.it
  • 11. 11 Art. 37, par. 5 GDPR «Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.» 1) informare e fornire consulenza in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati 2) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale 3) fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo svolgimento; 4) cooperare con l'autorità di controllo e fungere da punto di contatto. Il DPO deve avere requisiti e/o qualifiche particolari?
  • 12. 12 Il DPO deve avere requisiti e/o qualifiche particolari? Competenze trasversali Comp. Giuridiche in materia di privacy Comp. Giuridiche specifiche del settore di riferimento Comp. Informatiche e sulla sicurezza Audit
  • 13. 13 Il DPO deve avere requisiti e/o qualifiche particolari? NON sono richiesti Attestazioni formali Partecipazione a corsi di formazione Iscrizione in albi professionali Certificazioni come Auditor/Lead Auditor ISO
  • 14. 14 Il DPO deve avere requisiti e/o qualifiche particolari? TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287 Il ricorrente espone che, con tale ultimo decreto, rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati […] Infine, riguardo ai requisiti di partecipazione alla selezione, l’avviso (paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001. […] 5. Venendo al merito dell’impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva […]
  • 15. 15 Il DPO deve avere requisiti e/o qualifiche particolari? TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287 Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati […] Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo. P.Q.M. Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in motivazione.
  • 16. 16 Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione… Art. 38, par. 6 GDPR «Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.» • non devono comportare la definizione di finalità e modalità del trattamento dei dati • non dovrebbero sottrarre al DPO il tempo necessario per adempiere ai principali compiti affidati Suggerimento Nelle fasi precedenti alla designazione, e all’atto della stessa, il DPO dovrebbe verificare quali compiti sono stati affidati dal Titolare o dal Responsabile del trattamento. Se necessario, prima di formalizzare la designazione, il DPO invita il Titolare o il Responsabile a modificare eventuali compiti affidati.
  • 17. 17 Formazione al personale • Non comporta conflitti di interesse; è assimilabile ai compiti di informazione e consulenza tipici del DPO. Assistenza nella tenuta del registro delle attività di trattamento • Purché si tratti di mera tenuta del registro, finalizzata ad esercitare la sorveglianza sul Titolare Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
  • 18. 18 Procedere alla mappatura dei processi e trattamenti •Attività tipica del Titolare, preordinata all’adeguamento. Il DPO deve verificare che siano stati mappati tutti i processi e trattamenti Gestire il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite •La gestione è più della semplice tenuta. Si tratta di adempimento del Titolare che il DPO deve verificare. Inoltre, il DPO non può agire su istruzioni del Titolare (Art. 38, par. 3 GDPR) Gestire il registro delle violazioni di sicurezza e relativa modulistica • La compilazione del registro delle violazioni è obbligo del Titolare che il DPO deve verificare. Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
  • 19. 19 Fornire ausilio al titolare nella individuazione formale di responsabili ed incaricati del trattamento •Rischioso attribuire tale compito in quanto potrebbe sfociare in attività tipiche del Titolare. Non vi è motivo di specificarlo, in quanto il DPO fornisce consulenza e informazione. Fornire supporto tecnico-giuridico al Social media manager in relazione ai trattamenti operati sui Social Media e/o Network •«Supporto tecnico» significa definizione di mezzi e modalità del trattamento (tipici del Titolare). Svolgere, se necessario, la valutazione di impatto sulla protezione dei dati •Il DPO può intervenire per indicare: se condurre o meno la DPIA, quale metodologia adottare per condurre la DPIA, quali salvaguardie adottare per attenuare i rischi per i diritti dell’interessato. Infine, il DPO valuta se la DPIA è stata svolta correttamente. Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
  • 20. 20 Coadiuvare il titolare nello studio e redazione dello schema di regolamento interno avente ad oggetto modalità organizzative, misure procedimentali e regole di dettaglio •Il regolamento interno non è adempimento obbligatorio. Se inteso come strumento per impartire istruzioni e organizzare i trattamenti, è attività tipica del Titolare (definizione delle politiche di trattamento) che il DPO dovrà verificare. Realizzare gli ulteriori compiti contenuti nella convezione di conferimento dell’incarico •Accade quando il DPO è esterno. Compito generico che potrebbe far riferimento ad attività incompatibili con il ruolo del DPO Garantire che il Titolare si conformi e rispetti in maniera totale le nuove disposizioni •Spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento siano conformi alle disposizioni del regolamento stesso (art. 24, par. 1). Quali compiti possono essere affidati al DPO? Attenzione all’atto di designazione…
  • 21. 21 Indicazioni e raccomandazioni nella designazione del DPO Contenuti essenziali dell’atto di designazione del DPO (procedura selettiva interna o esterna, gara, altro) •Prevedere requisiti di partecipazione alla selezione rapportati alle competenze richieste Requisiti di partecipazione •Conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali •Competenze specifiche per la P.A. (trasparenza, accesso documentale, amministrazione digitale) •Valutazione in relazione ai dati (qualità e quantità) e i trattamenti specifici •Competenze in materia di sicurezza delle informazioni (eventuale) Competenza/esperienza richiesta (art. 37-39 GDPR) •Determinazione delle modalità per favorire il supporto attivo del DPO da parte del vertice del Titolare e viceversa (supporto del DPO al vertice) Fattore supporto
  • 22. 22 Contenuti essenziali dell’atto di designazione del DPO (procedura selettiva interna o esterna, gara, altro) •Il tempo deve essere sufficiente per l’espletamento dei compiti affidati al DPO. DPO interno: contratto di lavoro full-time/part-time. Se DPO esterno: piano di lavoro (numero di audit, presenza presso la struttura del Titolare); Fattore tempo •supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale Fattore risorse •accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.) così da fornire al DPO supporto, informazioni e input essenziali; Fattore accesso •comunicazione ufficiale della nomina del DPO a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda/ente Fattore comunicazione Indicazioni e raccomandazioni nella designazione del DPO
  • 23. 23 Contenuti essenziali dell’atto di designazione del DPO (procedura selettiva interna o esterna, gara, altro) •I DPO devono avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati: partecipazione a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione; Fattore formazione permanente •Considerate le dimensioni e la struttura dell’azienda/ente, può risultare necessario costituire un ufficio o un gruppo di lavoro DPO. Fattore organizzazione •Individuazione dei compiti del DPO (se prevista la creazione di un team del DPO, ripartizione dei compiti nel team e individuazione del soggetto designato DPO Compiti del DPO Indicazioni e raccomandazioni nella designazione del DPO
  • 24. 24 "Dati di contatto", un concetto difficile? Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» ATTENZIONE ! • Non confondere il Responsabile del trattamento con il Responsabile della Protezione dei Dati • Non si indicano i dati identificativi del DPO nelle informative, è sufficiente indicare indirizzo email e/o numero di telefono (dato di CONTATTO) o non è obbligatorio il nome e cognome, è un trattamento dati non adeguato e limitato rispetto alla finalità! o se cambia il DPO, si dovranno modificare tutte le informative!
  • 25. 25 "Dati di contatto", un concetto difficile? Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» ATTENZIONE ! • Utilizzare indirizzi email impersonali (dpo@azienda.it oppure rpd@azienda.it) • Il DPO è una figura destinata a permanere nel tempo. Potrà cambiare la persona fisica, ma la funzione resta. È opportuno, quindi, mantenere uno storico delle comunicazioni inviate e ricevute dall’ufficio del DPO. • L’uso di caselle personali con nome.cognome equivale a comunicare i dati identificativi del DPO, come nel caso precedente.
  • 26. 26 La casella email del DPO… Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» …qualche consiglio La casella deve essere controllata e resa accessibile direttamente dal DPO Credenziali di autenticazione comunicate personalmente al DPO e cambio password Se è impostato l’inoltro dei messaggi su casella personale del DPO, ricordarsi di lasciare sempre la copia nella webmail.
  • 27. 27 La casella email del DPO… Art. 37, par. 7 GDPR «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.» …perché è così importante • È lo strumento che consente al DPO di esercitare le proprie funzioni di «facilitatore» • Il Titolare può scrivere al DPO per richiedere informazioni e/o consulenza • Gli Autorizzati (dipendenti del Titolare) possono contattare il DPO per richiedere consulenza e informazioni • Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti (art. 38, par. 4 GDPR)
  • 28. 28 I compiti di informazione e consulenza del DPO Titolare o Responsabile del Trattamento Dipendenti che eseguono il trattamento (autorizzati) nei confronti di…. obblighi GDPR Obblighi derivanti da altre disposizioni relative alla protezione dei dati in merito a… D. Lgs. 196/2003 e s.m.i., D. Lgs. 101/2018, D. Lgs. 33/2013 e s.m.i., L. 241/1990, L. 300/1970, Provvedimenti dell’Autorità Garante (videosorveglianza, amministratore di sistema, trasparenza, ecc…)
  • 29. 29 Il compito di sorveglianza del DPO osservanza del GDPR, delle altre disposizioni relative alla protezione dei dati attribuzione delle responsabilità (autorizzazioni e istruzioni, responsabili del trattamento, contitolarità) in merito a…. sensibilizzazione e formazione del personale Audit in che modo?
  • 30. 30 Il compito di sorveglianza del DPO Articolo - titolo Versione in italiano Versione in inglese Art. 28 Responsabile del trattamento Art. 28 Processor attività di revisione, comprese le ispezioni contribute to audits, including inspections Art. 39 Compiti del Responsabile della protezione dei dati Art. 39 Tasks of the data protection officer sorvegliare [...] la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo to monitor [...] the training of staff involved in processing operations, and the related audits Art. 47 Norme vincolanti di impresa Art. 47 Binding corporate rules verifiche sulla protezione dei dati data protection audit Art. 58 Poteri (dell’autorità di controllo) Art. 58 Powers (supervisory authority) Condurre indagini sotto forma di attività di revisione sulla protezione dei dati to carry out investigations in the form of data protection audits Un problema di traduzione…
  • 31. 31 Art. 24 GDPR «1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. […] le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento» Il compito di sorveglianza del DPO Misure tecniche e organizzative Verifica di conformità al GDPR (AUDIT 1) Riesame e aggiornamento (AUDIT 2)
  • 32. 32 Il compito di sorveglianza del DPO Gli elementi comuni di ogni audit Audit Definizione: processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutare con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti UNI EN ISO 19011:2018 Linee guida per gli audit di sistemi di gestione OGGETTO: ossia il modello di riferimento (es. best practices, linee guida, norme ISO, capitolati, ecc) CAMPO DI APPLICAZIONE: un’organizzazione o alcune parti di essa SCOPO: verifica dello stato dell’arte dell’organizzazione rispetto ai requisiti del modello di riferimento oggetto dell’audit. Verifica se i criteri dell’audit sono stati soddisfatti
  • 33. 33 Il compito di sorveglianza del DPO L’audit del DPO OGGETTO: modello di riferimento: Regolamento (UE) 679/2016, D. Lgs. 196/2003 e altre disposizioni relative alla protezione dei dati CAMPO DI APPLICAZIONE: l’organizzazione del Titolare o del Responsabile del trattamento SCOPO: verifica dello stato dell’arte dell’organizzazione del Titolare o del Responsabile rispetto delle norme del Regolamento (UE) 679/2016, D. Lgs. 196/2003 e altre disposizioni relative alla protezione dei dati
  • 34. 34 Il compito di sorveglianza del DPO L’audit del DPO I principi dell’audit che deve osservare il DPO Integrità: requisito posto a fondamento della professionalità (onestà, diligenza, competenza e imparzialità) Imparzialità: elaborazione di report veritieri e accurati. Le risultanze devono riportare fedelmente e accuratamente le attività svolte Professionalità: applicazione di diligenza e di giudizio nel corso dell’attività di audit Livello di attenzione adeguato all’importanza del compito. Riservatezza: sicurezza delle informazioni Discrezione nell’utilizzo e nella protezione delle informazioni acquisite Indipendenza: Autonomia e assenza di conflitto di interessi Approccio basato sull’evidenza: il metodo razionale per raggiungere conclusioni efficaci Le evidenze si basano su un campione di informazioni disponibili
  • 35. 35 Il compito di sorveglianza del DPO L’audit del DPO Conduzione delle attività: la riunione di apertura Obiettivi: 1. Presentazione delle attività del DPO 2. Valutazione complessiva dello stato dell’arte 3. Richieste di informazioni e consulenze specifiche al DPO Partecipanti: Soggetti privati – Direzione, Amministrazione, Resp. Uffici/Aree maggiormente coinvolte nel trattamento dei dati Soggetti pubblici – Direzione Generale, Sindaco, Segretario Comunale, Resp. Uffici/Aree Costituzione di un «Gruppo privacy»
  • 36. 36 Il compito di sorveglianza del DPO L’audit del DPO Il DPO deve raccogliere evidenze oggettive, ovverosia informazioni verificabili, inconfutabili, supportate da documentazione, registrazioni, dichiarazioni, osservazioni Cosa comprende Quando può avvenire Audit: raccolta delle evidenze Programmato periodicamente Verifica documentale Interviste al personale coinvolto nei trattamenti dei datiIn seguito a segnalazione/data breach o altre anomalie
  • 37. 37 Il compito di sorveglianza del DPO L’audit del DPO Informative privacy, richieste di consenso Istruzioni al personale Procedure/Policy interne: es. gestione delle istanze dell’interessato, gestione dei data breach, uso della posta elettronica e strumenti informatici aziendali Registri dei trattamenti, registri delle violazioni Verifica documentale
  • 38. 38 Il compito di sorveglianza del DPO L’audit del DPO Valutazione del livello di sicurezza Verifica sul recepimento delle procedure Verifica dei luoghi ove si svolgono i trattamenti di dati personali Controlli sulle modalità operative e accountability Interviste al personale
  • 39. 39 Il compito di sorveglianza del DPO L’audit del DPO
  • 40. 40 Grazie per l’attenzione Ci sono domande? Non dimenticare di segnarti le nostre email: gianluca@gianlucasatta.it, massimo@massimofarina.it info@diricto.it …e i nostri siti web: http://www.diricto.it http://ict4forensics.diee.unica.it http://www.marcafoto.it
  • 41. 41 Licenza Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale o Tu sei libero di: Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato; Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere; Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza Alle seguenti condizioni:  Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.  Non commerciale. Non puoi usare il materiale per fini commerciali.  Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario. o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare. o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.