SlideShare a Scribd company logo
1 of 11
Download to read offline
www.studiolegalestefanelli.it
PRIVACY BY DESIGN E BY DEFAULT
Cosa significa e come si applica?
www.studiolegalestefanelli.it 2
Obbligo di protezione dei dati fin dalla progettazione del
trattamento (data protection by design)
Trattamento per impostazione predefinita solo dei dati
personali necessari al perseguimento delle specifiche finalità
per cui gli stessi sono raccolti e per il periodo strettamente
necessario a tale fine (data protection by default).
DEFINIZIONE
www.studiolegalestefanelli.it 3
Progettazione di
SOFTWARE
APPLICATIVI
STRUMENTI
che trattano dati
Introduzione o
modifica di
PROCESSI
AZIENDALI
Progettazione di
NUOVI
TRATTAMENTI
DI DATI
Il principio di privacy by design trova applicazione ad esempio in relazione a:
Esempio: introduzione di
un nuovo software per la
gestione dei dati dei
dipendenti
Esempio: ampliamento
organizzativo con
creazione di un nuovo
dipartimento
Esempio: progettazione di
una campagna di marketing
o creazione di un e-
commerce
QUANDO SI APPLICA QUESTO PRINCIPIO?
www.studiolegalestefanelli.it 4
Significa quindi che occorre prevenire e non correggere: il Titolare deve valutare e «disegnare» il trattamento di
dati sin dalla fase della sua progettazione, in modo che il trattamento rispetti i principi privacy, definendo in via
preventiva, a titolo esemplificativo:
Quali dati saranno raccolti e di quali interessati
Per quali finalità verranno trattati
La base di legittimità di questo trattamento
se tutti i dati raccolti sono necessari al raggiungimento della finalità
Quali misure di sicurezza possono essere adottate per proteggere i dati
Per quanto tempo saranno conservati
Con quali modalità saranno cancellati
COSA SIGNIFICA «by design»?
www.studiolegalestefanelli.it 5
QUALI PRINCIPI DEL GDPR DEVONO ESSERE INTEGRATI NEL
TRATTAMENTO?
LICEITÀ,
CORRETTEZZA E
TRASPARENZA
LIMITAZIONE DELLA
FINALITÀ
MINIMIZZAZIONE DEI
DATI
LIMITAZIONE DELLA
CONSERVAZIONE
ESATTEZZA INTEGRITÀ E
RISERVATEZZA
I principi previsti dall’art. 5 GDPR sono:
www.studiolegalestefanelli.it 6
Che il trattamento di dati previsto dall’utilizzo del software/applicativo/strumento o svolto
nell’ambito di un nuovo processo aziendale o un nuovo trattamento di dati dev’essere configurato
in modo che:
COSA SIGNIFICA «by default»?
sia possibile raccogliere solo i dati già individuati come necessari
siano di default adottate le misure di sicurezza individuate in fase di progettazione
(ad esempio la pseudonimizzazione dei dati)
al termine del trattamento i dati siano cancellati oppure resi anonimi per
impostazione predefinita, mediante procedure sistematiche integrate nel
trattamento.
i dati personali siano realmente accessibili solo a chi ne ha bisogno
www.studiolegalestefanelli.it 7
COSA DICONO LE LINEE GUIDA DELL’EDPB 4/2019 SULLA PRIVACY
BY DESIGN E BY DEFAULT
«La privacy by design è un requisito anche per i
trattamenti preesistenti all’entrata in vigore del
GDPR: i titolari devono far sì che i trattamenti
siano aggiornati in modo coerente con il
Regolamento».
Alcuni punti di interesse del documento
«La protezione dei dati fin dalla progettazione deve essere
attuata «al momento di determinare i mezzi del
trattamento». I «mezzi del trattamento» comprendono
l’architettura, le procedure, i protocolli, il layout e l’aspetto».
«l’EDPB raccomanda ai titolari di richiedere che i produttori
e i responsabili del trattamento dimostrino in che modo i loro
hardware, software, servizi o sistemi consentano al titolare
di soddisfare i requisiti in materia di privacy by design»
«l’articolo 25 non prevede requisiti meno stringenti
per le PMI» quindi tutti i titolari del trattamento, a
prescindere dall’entità della propria
organizzazione sono chiamati al rispetto di questo
principio.
www.studiolegalestefanelli.it 8
UNA VOLTA AVVIATO IL TRATTAMENTO, POSSO CONSIDERARMI
COMPLIANT AL GDPR?
La privacy by design è un requisito che va
rispettato anche
«ALL’ATTO DEL TRATTAMENTO».
NO
Ciò significa che una volta avviato il trattamento, il titolare è tenuto ad
assicurare la privacy by design e by default su base continuativa,
ossia a dare attuazione efficace e costante ai principi privacy
tenendosi aggiornato sullo stato dell’arte, riesaminando il livello di
rischio, ecc. La natura, l’ambito di applicazione e il contesto delle
operazioni di trattamento, nonché il rischio possono mutare nel corso
del trattamento, comportando per il titolare l’obbligo di verificare tali
operazioni per mezzo di valutazioni e riesami periodici dell’efficacia
delle misure e garanzie che ha scelto.
www.studiolegalestefanelli.it 9
DEVO TENERE TRACCIA DELL’ANALISI DI PRIVACY BY DESIGN E
BY DEFAULT SVOLTA?
Per il principio di
ACCOUNTABILITY
SI
Il titolare deve decidere
autonomamente modalità,
garanzie e limiti del trattamento
dei dati personali nel rispetto
della normativa
deve essere in grado di
dimostrare la compliance
alla normativa e l’efficacia
delle misure di sicurezza
adottate.
e
www.studiolegalestefanelli.it
LE NOSTRE RISORSE settore privacy
Studio legale Stefanelli&Stefanelli – privacy e GDPR
Osservatorio Europe Privacy
Osservatorio Sanzioni Privacy
www.studiolegalestefanelli.it
GRAZIE DELL’ATTENZIONE
www.studiolegalestefanelli.it
info@studiolegalestefanelli.it
https://it.linkedin.com/pub/silvia-stefanelli/a/182/679
@studistefanelli

More Related Content

What's hot

GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overviewJane Lambert
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationVicky Dallas
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...CIO Edge
 
GDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and CommunicationsGDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and CommunicationsCharlie Pownall
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slidesNaomi Holmes
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
Privacy & Data Protection
Privacy & Data ProtectionPrivacy & Data Protection
Privacy & Data Protectionsp_krishna
 
Common Practice in Data Privacy Program Management
Common Practice in Data Privacy Program ManagementCommon Practice in Data Privacy Program Management
Common Practice in Data Privacy Program ManagementEryk Budi Pratama
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpdanselmo333
 
GDPR Assessment Checklist.pptx
GDPR Assessment Checklist.pptxGDPR Assessment Checklist.pptx
GDPR Assessment Checklist.pptxinfosecTrain
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 

What's hot (20)

Introduction to GDPR
Introduction to GDPRIntroduction to GDPR
Introduction to GDPR
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overview
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection Regulation
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
 
GDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and CommunicationsGDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and Communications
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slides
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Privacy & Data Protection
Privacy & Data ProtectionPrivacy & Data Protection
Privacy & Data Protection
 
Common Practice in Data Privacy Program Management
Common Practice in Data Privacy Program ManagementCommon Practice in Data Privacy Program Management
Common Practice in Data Privacy Program Management
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
GDPR for Dummies
GDPR for DummiesGDPR for Dummies
GDPR for Dummies
 
GDPR
GDPRGDPR
GDPR
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
DPIA
DPIADPIA
DPIA
 
GDPR Assessment Checklist.pptx
GDPR Assessment Checklist.pptxGDPR Assessment Checklist.pptx
GDPR Assessment Checklist.pptx
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
 

Similar to 2022.03 slide privacy by design

Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR -  Il nuovo regolamento Privacy EuropeoGDPR -  Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaStiip Srl
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Siete pronti per il Regolamento privacy europeo? Do's and Don'ts
Siete pronti per il Regolamento privacy europeo? Do's and Don'tsSiete pronti per il Regolamento privacy europeo? Do's and Don'ts
Siete pronti per il Regolamento privacy europeo? Do's and Don'tsGiulio Coraggio
 
Customer digital identity and consent management
Customer digital identity and consent managementCustomer digital identity and consent management
Customer digital identity and consent managementFrancesco Faenzi
 

Similar to 2022.03 slide privacy by design (20)

Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR -  Il nuovo regolamento Privacy EuropeoGDPR -  Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Siete pronti per il Regolamento privacy europeo? Do's and Don'ts
Siete pronti per il Regolamento privacy europeo? Do's and Don'tsSiete pronti per il Regolamento privacy europeo? Do's and Don'ts
Siete pronti per il Regolamento privacy europeo? Do's and Don'ts
 
Customer digital identity and consent management
Customer digital identity and consent managementCustomer digital identity and consent management
Customer digital identity and consent management
 

More from STEFANELLI&STEFANELLI LAW FIRM

Il Decreto Semplificazioni & altre novità in materia di appalti pubblici
Il Decreto Semplificazioni & altre novità in materia di appalti pubbliciIl Decreto Semplificazioni & altre novità in materia di appalti pubblici
Il Decreto Semplificazioni & altre novità in materia di appalti pubbliciSTEFANELLI&STEFANELLI LAW FIRM
 
Gli appalti pubblici dopo il decreto "Sblocca-cantieri"
Gli appalti pubblici dopo il decreto "Sblocca-cantieri"Gli appalti pubblici dopo il decreto "Sblocca-cantieri"
Gli appalti pubblici dopo il decreto "Sblocca-cantieri"STEFANELLI&STEFANELLI LAW FIRM
 
Profili giuridici su documento informatico e identità digitale
 Profili giuridici su documento informatico e identità digitale Profili giuridici su documento informatico e identità digitale
Profili giuridici su documento informatico e identità digitaleSTEFANELLI&STEFANELLI LAW FIRM
 
Piano Strategico Investimenti sanità digitale e modelli di procedure di gara
Piano Strategico Investimenti sanità digitale e modelli di procedure di garaPiano Strategico Investimenti sanità digitale e modelli di procedure di gara
Piano Strategico Investimenti sanità digitale e modelli di procedure di garaSTEFANELLI&STEFANELLI LAW FIRM
 
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...STEFANELLI&STEFANELLI LAW FIRM
 
Cookies, normative e strategie per il marketing Digitale
Cookies, normative e strategie per il marketing DigitaleCookies, normative e strategie per il marketing Digitale
Cookies, normative e strategie per il marketing DigitaleSTEFANELLI&STEFANELLI LAW FIRM
 

More from STEFANELLI&STEFANELLI LAW FIRM (20)

Il Decreto Semplificazioni & altre novità in materia di appalti pubblici
Il Decreto Semplificazioni & altre novità in materia di appalti pubbliciIl Decreto Semplificazioni & altre novità in materia di appalti pubblici
Il Decreto Semplificazioni & altre novità in materia di appalti pubblici
 
Smartworking e smart devices: un connubio difficile?
Smartworking e smart devices: un connubio difficile?Smartworking e smart devices: un connubio difficile?
Smartworking e smart devices: un connubio difficile?
 
Smartworking: controllo a distanza e privacy
Smartworking: controllo a distanza e privacySmartworking: controllo a distanza e privacy
Smartworking: controllo a distanza e privacy
 
Gli appalti pubblici dopo il decreto "Sblocca-cantieri"
Gli appalti pubblici dopo il decreto "Sblocca-cantieri"Gli appalti pubblici dopo il decreto "Sblocca-cantieri"
Gli appalti pubblici dopo il decreto "Sblocca-cantieri"
 
HTA e nuovi regolamenti DM
HTA e nuovi regolamenti DMHTA e nuovi regolamenti DM
HTA e nuovi regolamenti DM
 
Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario
 
Profili giuridici su documento informatico e identità digitale
 Profili giuridici su documento informatico e identità digitale Profili giuridici su documento informatico e identità digitale
Profili giuridici su documento informatico e identità digitale
 
Cloud Computing in Sanità
 Cloud Computing in Sanità Cloud Computing in Sanità
Cloud Computing in Sanità
 
Piano Strategico Investimenti sanità digitale e modelli di procedure di gara
Piano Strategico Investimenti sanità digitale e modelli di procedure di garaPiano Strategico Investimenti sanità digitale e modelli di procedure di gara
Piano Strategico Investimenti sanità digitale e modelli di procedure di gara
 
La responsabilità medica nell'era della Sanità 2.0
La responsabilità medica nell'era della Sanità 2.0La responsabilità medica nell'era della Sanità 2.0
La responsabilità medica nell'era della Sanità 2.0
 
Profili privacy nella sanità digitale
Profili privacy nella sanità digitaleProfili privacy nella sanità digitale
Profili privacy nella sanità digitale
 
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
 
Pubblicità in ambito sanitario
Pubblicità in ambito sanitarioPubblicità in ambito sanitario
Pubblicità in ambito sanitario
 
Cookies, normative e strategie per il marketing Digitale
Cookies, normative e strategie per il marketing DigitaleCookies, normative e strategie per il marketing Digitale
Cookies, normative e strategie per il marketing Digitale
 
La qualificazione giuridica dei google glass
La qualificazione giuridica dei google glassLa qualificazione giuridica dei google glass
La qualificazione giuridica dei google glass
 
I profili di responsabilità google glass
I profili di responsabilità google glassI profili di responsabilità google glass
I profili di responsabilità google glass
 
Adr Silvia Stefanelli
Adr Silvia StefanelliAdr Silvia Stefanelli
Adr Silvia Stefanelli
 
Responsabilita' prodotto difettoso
Responsabilita' prodotto difettoso Responsabilita' prodotto difettoso
Responsabilita' prodotto difettoso
 
Sito nuovo ue internal market industries - sme
Sito nuovo ue internal market industries - smeSito nuovo ue internal market industries - sme
Sito nuovo ue internal market industries - sme
 
Stefanelli 231
Stefanelli 231Stefanelli 231
Stefanelli 231
 

2022.03 slide privacy by design

  • 1. www.studiolegalestefanelli.it PRIVACY BY DESIGN E BY DEFAULT Cosa significa e come si applica?
  • 2. www.studiolegalestefanelli.it 2 Obbligo di protezione dei dati fin dalla progettazione del trattamento (data protection by design) Trattamento per impostazione predefinita solo dei dati personali necessari al perseguimento delle specifiche finalità per cui gli stessi sono raccolti e per il periodo strettamente necessario a tale fine (data protection by default). DEFINIZIONE
  • 3. www.studiolegalestefanelli.it 3 Progettazione di SOFTWARE APPLICATIVI STRUMENTI che trattano dati Introduzione o modifica di PROCESSI AZIENDALI Progettazione di NUOVI TRATTAMENTI DI DATI Il principio di privacy by design trova applicazione ad esempio in relazione a: Esempio: introduzione di un nuovo software per la gestione dei dati dei dipendenti Esempio: ampliamento organizzativo con creazione di un nuovo dipartimento Esempio: progettazione di una campagna di marketing o creazione di un e- commerce QUANDO SI APPLICA QUESTO PRINCIPIO?
  • 4. www.studiolegalestefanelli.it 4 Significa quindi che occorre prevenire e non correggere: il Titolare deve valutare e «disegnare» il trattamento di dati sin dalla fase della sua progettazione, in modo che il trattamento rispetti i principi privacy, definendo in via preventiva, a titolo esemplificativo: Quali dati saranno raccolti e di quali interessati Per quali finalità verranno trattati La base di legittimità di questo trattamento se tutti i dati raccolti sono necessari al raggiungimento della finalità Quali misure di sicurezza possono essere adottate per proteggere i dati Per quanto tempo saranno conservati Con quali modalità saranno cancellati COSA SIGNIFICA «by design»?
  • 5. www.studiolegalestefanelli.it 5 QUALI PRINCIPI DEL GDPR DEVONO ESSERE INTEGRATI NEL TRATTAMENTO? LICEITÀ, CORRETTEZZA E TRASPARENZA LIMITAZIONE DELLA FINALITÀ MINIMIZZAZIONE DEI DATI LIMITAZIONE DELLA CONSERVAZIONE ESATTEZZA INTEGRITÀ E RISERVATEZZA I principi previsti dall’art. 5 GDPR sono:
  • 6. www.studiolegalestefanelli.it 6 Che il trattamento di dati previsto dall’utilizzo del software/applicativo/strumento o svolto nell’ambito di un nuovo processo aziendale o un nuovo trattamento di dati dev’essere configurato in modo che: COSA SIGNIFICA «by default»? sia possibile raccogliere solo i dati già individuati come necessari siano di default adottate le misure di sicurezza individuate in fase di progettazione (ad esempio la pseudonimizzazione dei dati) al termine del trattamento i dati siano cancellati oppure resi anonimi per impostazione predefinita, mediante procedure sistematiche integrate nel trattamento. i dati personali siano realmente accessibili solo a chi ne ha bisogno
  • 7. www.studiolegalestefanelli.it 7 COSA DICONO LE LINEE GUIDA DELL’EDPB 4/2019 SULLA PRIVACY BY DESIGN E BY DEFAULT «La privacy by design è un requisito anche per i trattamenti preesistenti all’entrata in vigore del GDPR: i titolari devono far sì che i trattamenti siano aggiornati in modo coerente con il Regolamento». Alcuni punti di interesse del documento «La protezione dei dati fin dalla progettazione deve essere attuata «al momento di determinare i mezzi del trattamento». I «mezzi del trattamento» comprendono l’architettura, le procedure, i protocolli, il layout e l’aspetto». «l’EDPB raccomanda ai titolari di richiedere che i produttori e i responsabili del trattamento dimostrino in che modo i loro hardware, software, servizi o sistemi consentano al titolare di soddisfare i requisiti in materia di privacy by design» «l’articolo 25 non prevede requisiti meno stringenti per le PMI» quindi tutti i titolari del trattamento, a prescindere dall’entità della propria organizzazione sono chiamati al rispetto di questo principio.
  • 8. www.studiolegalestefanelli.it 8 UNA VOLTA AVVIATO IL TRATTAMENTO, POSSO CONSIDERARMI COMPLIANT AL GDPR? La privacy by design è un requisito che va rispettato anche «ALL’ATTO DEL TRATTAMENTO». NO Ciò significa che una volta avviato il trattamento, il titolare è tenuto ad assicurare la privacy by design e by default su base continuativa, ossia a dare attuazione efficace e costante ai principi privacy tenendosi aggiornato sullo stato dell’arte, riesaminando il livello di rischio, ecc. La natura, l’ambito di applicazione e il contesto delle operazioni di trattamento, nonché il rischio possono mutare nel corso del trattamento, comportando per il titolare l’obbligo di verificare tali operazioni per mezzo di valutazioni e riesami periodici dell’efficacia delle misure e garanzie che ha scelto.
  • 9. www.studiolegalestefanelli.it 9 DEVO TENERE TRACCIA DELL’ANALISI DI PRIVACY BY DESIGN E BY DEFAULT SVOLTA? Per il principio di ACCOUNTABILITY SI Il titolare deve decidere autonomamente modalità, garanzie e limiti del trattamento dei dati personali nel rispetto della normativa deve essere in grado di dimostrare la compliance alla normativa e l’efficacia delle misure di sicurezza adottate. e
  • 10. www.studiolegalestefanelli.it LE NOSTRE RISORSE settore privacy Studio legale Stefanelli&Stefanelli – privacy e GDPR Osservatorio Europe Privacy Osservatorio Sanzioni Privacy