SlideShare a Scribd company logo

CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini

W
walk2talk srl

L’intervento si propone di fornire alcune sintetiche indicazioni sui cambiamenti che l’attuale disciplina privacy (TU 196/2003) subirà per effetto dell’applicazione -a far data dal 25.05.2018- del Nuovo Regolamento Europeo 2016/679 (GDPR), in tema di protezione dei dati personali. Particolare attenzione sarà dedicata a taluni aspetti pratici particolarmente rilevanti quali la compliance richiesta alle aziende e il cloud computing. Per richiedere accesso al canale contenente le sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form: https://goo.gl/Fq6DQE

Technology
1 of 69
CLOUD CONFERENCE ITALIA 2017 La privacy tra il TU 196 del 2003 e il Regolamento Europeo 2016/679 (GDPR): casi pratici e primi problemi applicativi Avv. Nicolò Ghibellini
e #cloudconferenceitalia SPONSOR
e #cloudconferenceitalia Chi sono avv. Nicolò Ghibellini www.avvghibellini.com nicolo@avvghibellini.com www.strategiaecontrollo.com
e #cloudconferenceitalia • L’attuale codice della privacy (D.Lgs. 196/2003) • Il nuovo regolamento europeo in tema di tutela dei dati personali • Cloud e trattamento dei dati: la valutazione del rischio nel nuovo assetto europeo Di che cosa parleremo La nuova privacy: dal TU 196/2003 al Regolamento 2016/679 UE
e #cloudconferenceitalia • Disposizioni generali (artt. 1-45) • Disposizioni per specifici settori (46-140) • Tutela interessato e sanzioni (art. 75-94) TU 196 del 2003 Struttura del codice
e #cloudconferenceitalia • Art. 4 - definizioni e tipologia di dati • Artt. 7 e 8 - diritto di accesso ed esercizio dei diritti • Artt. 11 e 13 (regole per tutti i trattamenti) – modalità di trattamento e requisiti dei dati, informativa • Artt. 23, 24 e 26 (regole ulteriori per i privati) – consenso, trattamento senza consenso e garanzie per i dati sensibili • Artt. 28, 29 e 30 (soggetti che effettuano il trattamento) – titolare, responsabile e incaricato del trattamento • Artt. 31, 33 e 34 (sicurezza dei dati) – obblighi di sicurezza, misure minime di sicurezza, trattamenti con strumenti elettronici • Artt. 37 e 38 (Adempimenti) – notifica al Garante • Artt. 42 e 43 - Trasferimento di dati all’estero Disposizioni generali Norme principali
e #cloudconferenceitalia • Trattati con liceità e correttezza • Raccolti per scopi determinati, espliciti e legittimi • Pertinenti, completi e non eccedenti • Conservati per un periodo non eccedente lo scopo del trattamento Modalità di trattamento dei dati I dati personali oggetto di trattamento sono:
e #cloudconferenceitalia • Finalità e modalità trattamento • La natura obbligatoria o facoltativa del conferimento dei dati • Conseguenze del rifiuto di rispondere • Soggetti/categorie di soggetti cui i dati possono essere comunicati • Estremi identificativi del titolare e del responsabile del trattamento Informativa Contenuto
e #cloudconferenceitalia • Espresso • Intero trattamento o una/più operazioni dello stesso • Libero e specifico rispetto ad un trattamento chiaramente individuato • Documentabile per iscritto • Previa informativa ex art. 13 • In forma scritta se riguarda dati sensibili Consenso Il consenso deve essere:
e #cloudconferenceitalia • Consenso scritto dell’interessato • Previa autorizzazione del Garante Art. 26, co.3: casi in cui non servono consenso e autorizzazione Garanzie per i dati sensibili Presupposti per il trattamento dei dati sensibili
e #cloudconferenceitalia • Custodia e controllo dei dati • Riduzione rischi di perdita e distruzione Obblighi di sicurezza (art. 31)
e #cloudconferenceitalia • Obbligo di adozione delle misure che assicurino un livello minimo di protezione dei dati personali • Esempio: misure minime indicate dall’art. 34 Misure minime di sicurezza (art. 33)
e #cloudconferenceitalia • Autenticazione informatica • Adozione di procedure di gestione delle credenziali di autenticazione • Utilizzazione di un sistema di autorizzazione • Aggiornamento periodico ambito trattamento • Protezione strumenti elettronici da accessi non consentiti • Custodia copie di sicurezza • Tecniche di cifratura Misure minime per i trattamenti con strumenti elettronici (art. 34)
e #cloudconferenceitalia • Art. 42 – il trasferimento dati verso paese UE è sempre consentito • ArtT. 43 e 44 – casi in cui è consentito il trasf. dati verso paese extra Ue Trasferimento dati all’estero
e #cloudconferenceitalia • dati genetici, biometrici o che indicano la posizione geografica; • dati trattati con l’ausilio di strumenti elettronici volti: a. a definire il profilo/la personalità; b. ad analizzare abitudini/scelte di consumo; c. Monitorare l’utilizzo di servizi di comunicazione elettronica Notifica Notifica al Garante, se il trattamento riguarda:
e #cloudconferenceitalia • Principi fondamentali • Modifiche al TU 196 del 2003 • Novità Regolamento 679/2016 UE La nuova disciplina della tutela dei dati personali
e #cloudconferenceitalia • Liceità, correttezza e trasparenza del trattamento; • Limitazione della finalità della raccolta; • Minimizzazione ed esattezza dei dati raccolti; • Limitazione della conservazione nel tempo; • Integrità e riservatezza; • Responsabilizzazione del titolare del trattamento. Principi fondamentali
e #cloudconferenceitalia • Dati personali, trattamento e profilazione • Privacy e organizzazione ente • Interessato, informativa e consenso • Diritto di accesso dell’interessato • Analisi rischi e misure di sicurezza • Sanzioni Modifiche Norme del Regolamento che rappresentano modifiche del TU 196/2003
e #cloudconferenceitalia • Titolare • Responsabile (interno esterno) • Incaricati • Amministratore di sistema • DPO – Data Protection Officer Privacy e organizzazione ente
e #cloudconferenceitalia • Colui che tratta i dati per conto del titolare • Interno (opzionale) • Esterno (obbligatorio) a. Necessario nei casi di esternalizzazione di attività b. Contratto che disciplina le attività (trattamenti) esternalizzate e che impone vincoli prestabiliti Responsabile del trattamento
e #cloudconferenceitalia • Esplicitazione del p. di trasparenza • Sempre necessaria (anche se non serve consenso) • Tempistica • Forma • Contenuto Informativa In generale
e #cloudconferenceitalia L’informativa va resa • Al momento della raccolta (dati sono raccolti presso l’interessato); • Alla prima comunicazione, massimo entro 1 mese (dati raccolti presso terzi) • Una tantum Informativa Tempistica
e #cloudconferenceitalia • Chiara, sintetica, specifica; • Forma scritta o con mezzi elettronici • Forma orale (certezza identità dell’interessato) Informativa Forma
e #cloudconferenceitalia • Dati di contatto del DPO • Intenzione di trasferire i dati extra UE e garanzie • Periodo di conservazione o criteri per determinarlo • Diritto di accesso e portabilità • Diritto di proporre reclamo al Garante • Esistenza di un processo di profilazione, la logica utilizzata e le conseguenze per l’interessato Informativa Contenuto
e #cloudconferenceitalia Informativa + Una delle condizioni di liceità previste dal Regolamento Per procedere al trattamento
e #cloudconferenceitalia • Consenso dell’interessato • Esecuzione del contratto (o di misure precontrattuali) • Esecuzione di un obbligo di legge • Salvaguardia interessi vitali (dell’interessato o di un terzo) • Compito di interesse pubblico o esercizio di pubblici poteri • Perseguimento interesse legittimo del titolare • Compatibilità ex art. 6, par. 4 NB: alternatività Condizioni di liceità
e #cloudconferenceitalia • Condizione di liceità • Successivo all’informativa • Autorizzazione o diniego all’utilizzo dei dati • Informato • Specifico • Granulare • Libero • Consapevole e inequivocabile Consenso
e #cloudconferenceitalia • Sono i dati qualificati dal nostro TU Privacy come dati sensibili (origine razziale, opinioni politiche, salute, vita sessuale) • Il loro trattamento è vietato, a meno che: • Consenso • Necessario per assolvere ad obblighi di legge • Per finalità di particolare rilievo (tutela della vita, della salute, diritto di tutela giudiziaria) Dati particolari Art. 9, Reg.
e #cloudconferenceitalia • Diritto di accesso • Diritto di rettifica • Diritto all’oblio • Diritto di limitazione del trattamento • Diritto alla portabilità dei dati Centralità dell’interessato Generale diritto di controllo
e #cloudconferenceitalia • Data protection officer • Accountability • Registro dei trattamenti • Valutazione d’impatto • Data breaches • Privacy by design e by default Novità Nuovi adempimenti introdotti dal Reg. 679/2016 UE
e #cloudconferenceitalia • Designazione • Ruolo e posizione nell’ente • Compiti Data Protection Officer (DPO) (artt. 37-39 Reg.)
e #cloudconferenceitalia Obbligatoria a. Per enti pubblici a. Per Privati, quando le attività principali consistono in: • trattamenti che richiedono monitoraggio regolare e sistematico su larga scala; • trattamento su larga scala di dati particolari o penali DPO Designazione
e #cloudconferenceitalia • Tempestivamente e adeguatamente coinvolto nelle problematiche riguardanti la protezione dei dati personali. • Risorse necessarie per assolvere ai compiti ex art. 39, per accedere ai dati personali e ai trattamenti e per mantenere la conoscenza specialistica. • Riferimento al vertice gerarchico aziendale (titolare o responsabile del trattamento). • Obbligo di segretezza e riservatezza DPO Ruolo e posizione nell’azienda
e #cloudconferenceitalia • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi privacy e protezione dei dati; • Sorvegliare l'osservanza del Regolamento e di altre disposizioni relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali; • Fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35; DPO Compiti
e #cloudconferenceitalia • Cooperare con l'autorità di controllo • Fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento • Valutazione dei rischi del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo. DPO Compiti
e #cloudconferenceitalia • Ruolo centrale e strategico • Punto di contatto tra l’esterno (Autorità) e l’interno dell’azienda • Indipendenza e professionalità DPO Riassumendo
e #cloudconferenceitalia • Obbligati: Titolare e dal Responsabile del trattamento • Hanno ad oggetto l’attività di trattamento (forma scritta, anche elettronica) • A disposizione del Garante • Obbligo non applicabile alle imprese che abbiano meno di 250 dipendenti • DPS Registro dei trattamenti (art. 30 Reg)
e #cloudconferenceitalia • nome e dati di contatto del titolare del trattamento (del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati); • le finalità del trattamento; • descrizione categorie di interessati e delle categorie di dati personali; • categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali) • trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, • termini ultimi previsti per la cancellazione delle diverse categorie di dati; • descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art.32, paragrafo 1. Registro tenuto dal Titolare Contenuto
e #cloudconferenceitalia • nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento (e, del responsabile della protezione dei dati); • categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; • trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale; • descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1. Registro tenuto dal Responsabile Contenuto
e #cloudconferenceitalia • Valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assestment – DPIA) art. 35 Reg. 679/2016 • Linee guida DIPIA del WP29 adottate in data 04.04.2017 (rev. 04.10.2017) Valutazione d’impatto
e #cloudconferenceitalia Quando il trattamento può presentare un rischio elevato: • art. 35, co.1 (definizione generale) • art. 35, co.3 (esempi di trattamento che possa presentare rischi elevati) Attenzione ipotesi ex art. 35, co.3, non sono esaustive; le linee guida indicano ulteriori categorie/tipologie di rischio elevato Valutazione d’impatto Quando è obbligatoria?
e #cloudconferenceitalia Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. • Uso di nuove tecnologie • Natura, oggetto, contesto e finalità del trattamento • Rischio elevato per i diritti e le libertà delle persone fisiche • Prima di procedere al trattamento Valutazione d’impatto Art. 35, co.1
e #cloudconferenceitalia a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico Valutazione d’impatto Art. 35, co. 3
e #cloudconferenceitalia 1. Valutazione o scoring (assegnazione di un punteggio), inclusa profilazione, specialmente per risultati lavorativi, situazione economica, salute, preferenze e interessi personali, reputazione comportamento, localizzazione e movimenti; 2. Decisioni automatizzate, con ricadute legali o simili; 3. Monitoraggio sistematico 4. Dati sensibili 5. Dati trattati su larga scala Linee guida DIPIA Criteri di rischio elevato
e #cloudconferenceitalia 6. Raffronto di dati 7. Interessati appartenenti a fasce deboli 8. Innovazioni tecnologiche 9. Trasferimenti di dati extra UE 10. Trattamento di dati che incidono sull’accesso a servizi o contratti Linee guida DIPIA Criteri di rischio elevato
e #cloudconferenceitalia Un trattamento che includa almeno 2 dei 10 criteri è un trattamento che presenta rischi elevati e necessita di una valutazione d’impatto Linee guida DPIA Regola del 2
e #cloudconferenceitalia Linee guida DPIA Regola del 2
e #cloudconferenceitalia • Obbligato: titolare del trattamento • misure tecniche e organizzative adeguate • per attuare, fin dalla progettazione, i principi di protezione dei dati e integrare nel trattamento le necessarie garanzie al fine tutelare i diritti degli interessati; • per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento Privacy by design e by default Art. 25 Reg.
e #cloudconferenceitalia • Eventi che comportano perdita, distruzione o diffusione indebita dei dati • Pericoli per la riservatezza e danni per gli interessati Data breach (artt. 33 e 34) Violazione di dati
e #cloudconferenceitalia Obbligo di notifica al Garante (massimo entro 72 ore) • Descrizione del caso, tipo di violazione, numero di interessati, possibili danni • Misure di contrasto adottate Obbligo di comunicazione, anche all’interessato, senza ritardo • In caso di rischio elevato (frode, furto identità, danno immagine, …) • Per disposizione del Garante (in caso di inattività inziale del titolare) Data breach Quali obblighi
e #cloudconferenceitalia Soggetti obbligati • Titolare vs. Garante e Interessati • Responsabile vs Titolare Scopo • Mettere in grado Garante e Interessato di ridurre i rischi Data breach Soggetti e scopo
e #cloudconferenceitalia • Premessa • Inquadramento dei rischi privacy nel cloud • Aspetti giuridico-legali: a) la centralità del contratto b) Misure di sicurezza (minime e idonee) Cloud e trattamento dei dati La valutazione del rischio alla luce del Reg. 679/2017 UE
e #cloudconferenceitalia Identificazione e analisi delle problematiche di conformità alla normativa sulla protezione dei dati personali per un’azienda stabilita in Italia che volesse fruire di soluzioni cloud, quindi: 1. Titolare del trattamento stabilito in Italia 2. Compliance normativa privacy Aspetti contrattuali Definizione dei ruoli e delle responsabilità correlati alla protezione dei dati personali adozione delle misure di sicurezza appropriate per l’ambiente cloud Organizzazione aziendale, controllo e auditing Premessa Obiettivi indagine
e #cloudconferenceitalia • Perdita dei dati • Minacce interne • Crimini informatici • Diminuzione di controllo • Aumento di esposizione • Localizzazione del dato: i. Data-at-reset ii. Data-in-transit iii. Data-in-process Rischi privacy nel cloud Principali criticità da valutare anteriormente all’adozione di soluzione cloud
e #cloudconferenceitalia • Qualificazione giuridica del contratto di cloud computing • Legge applicabile • Sicurezza dei dati e privacy • Definizione dei ruoli e responsabilità • Catene di cloud • Luogo del trattamento e trasferimento dei dati all’estero Aspetti giuridico legali Contratto & sicurezza
e #cloudconferenceitalia • L’utente non ha il controllo fisico dell’infrastruttura; • Attuazione di altre forme «contrattuali» di controllo; • Spesso i contratti di cloud impongono il Foro del cloud provider: potrebbe essere un problema per l’effettiva tutela dei diritti dell’utente Problematica connessa: Il cloud provider deve indicare i paesi in cui sono collocati i data center Legge applicabile
e #cloudconferenceitalia • Il cloud provider deve rispettare gli obblighi di sicurezza imposti dal TU 196/2003 (e –a partire dal 25.05.2018- dal Reg. 679/16 UE) • Applicabilità TU 196/2003 (e Reg. 679/16 UE): a) Fornitore stabilito in Italia (art. 5, co. 1, TU) b) Fornitore non stabilito nell’UE e utilizzi strumenti situati in Italia (art. 5, co. 2, TU) NB: dal 25.05.2018, la normativa di riferimento è l’art. 3 Reg. (Ambito di applicazione territoriale) • Altre norme di carattere generale: clausola 25, All. B, TU (autodichiarazione) Sicurezza dei dati e privacy Profili generali
e #cloudconferenceitalia • Fornitore (cloud provider) • Cliente (utente) Ai fini privacy, si possono delineare di due seguenti scenari: 1. Autonomia nella titolarità del trattamento, fornitore e cliente sono entrambi titolari. (una effettiva, e non solo formale, libertà decisionale nel definire i caratteri essenziali del trattamento da parte di entrambi e il flusso di informazioni che si instaurerà fra di essi verrà necessariamente qualificato in termini di trasmissione di dati fra autonomi titolari del trattamento); 2. Un titolare e un responsabile, rispettivamente, il cliente ed il fornitore (scambio di dati potrà essere più semplicemente ricondotto ad un flusso di informazioni interno alle modalità di trattamento). Definizione dei ruoli e responsabilità Soggetti coinvolti nel rapporto di cloud
e #cloudconferenceitalia • Il server del fornitore è situato nel territorio di uno Stato membro della UE o di uno Stato che, secondo le decisioni della Commissione UE, garantisce un adeguato livello di protezione dei dati personali: il trasferimento è lecito; • Il server del fornitore è situato nel territorio di uno Stato terzo che non è giudicato dalla Commissione UE garantire un adeguato livello di protezione dei dati personali: in tal caso, le pattuizioni fra il cliente e il fornitore devono contenere le clausole contrattuali tipo approvate dalla Commissione EU relative al trasferimento extra UE dei dati personali da un titolare del trattamento a un responsabile del trattamento; • Il fornitore è una società del medesimo Gruppo del cliente, il server è situato nel territorio di uno Stato terzo che non è giudicato dalla Commissione UE garantire un adeguato livello di protezione dei dati personali e nel Gruppo sono operative le Bcr secondo il previsto regime autorizzatorio: in tal caso, il trasferimento dei dati personali negli Stati extra UE ove operano le società del Gruppo (e quindi il fornitore) soggette alle Bcr è lecito. Luogo del trattamento e trasferimento dei dati all’estero Ubicazione del server - Scenari ipotizzabili
e #cloudconferenceitalia • Artt. 42-45 TU 196/2003 • Artt. 44-50 Reg. 679/2016; in particolare: - art. 46 (trasferimento soggetto a garanzie adeguate) - art. 47 (norme vincolanti d’impresa) • Accordi internazionali: Privacy Shield Trasferimento dati all’estero Normativa di riferimento
e #cloudconferenceitalia • Accordi contrattuali • Misure di sicurezza Aspetti giuridico legali Focus
e #cloudconferenceitalia • Responsabilità del cloud provider e SLA • Proprietà dei dati e dei contenuti • Modifiche delle condizioni d’uso e di servizio • Limite al recesso del provider e termine del contratto • Condizioni di auditabilità • Recepimento normativa italiana • Procedura di notifica degli incidenti di sicurezza • Clausole penali NB: difficile negoziabilità Accordi contrattuali Principali clausole del contratto di cloud
e #cloudconferenceitalia TU 196/2003 a) elenco di misure minime che devono essere adottate da ogni titolare del trattamento (misure minime) b) Il titolare deve proteggere i dati personali trattati in relazione alla natura del trattamento effettuato, alla tipologia dei dati stessi e coerentemente con le tecnologie disponibili (misure idonee e preventive) Reg. 679/2016 UE Misure si sicurezza Minime ed adeguate
e #cloudconferenceitalia a) Autenticazione informatica b) Adozione di procedure di credenziali di autenticazione c) Utilizzazione di un sistema di autorizzazione d) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici e) Protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti f) Adozione di procedure per la custodia di copia di sicurezza, il ripristino della disponibilità dei dati e dei sistemi g) DPS h) Adozione di tecniche di cifratura o di codici identificativi Misure minime Artt. 33, 34, 35 e 36 TU 196/2016 e Disciplinare Tecnico (All. B)
e #cloudconferenceitalia • Il TU 196/2003 NON definisce alcun elenco di misure idonee; • l’individuazione delle misure idonee: a. deve essere effettuata in concreto e per ciascun contesto aziendale b. attiene al processo generale di valutazione dei rischi NB: l’analisi dei rischi connessi all’adozione di soluzioni di cloud computing deve essere opportunamente valutata. Misure idonee di sicurezza Art. 31 TU 196/2003
e #cloudconferenceitalia 1. Utilizzare solo reti e protocolli sicuri per la trasmissione dati tra la propria azienda e il provider 2. Criptare il dato a riposo nel database nell’infrastruttura del provider 3. Rimuovere, se possibile, la chiave di criptazione dalla disponibilità del cloud provider, di modo che i dati siano nel cloud ma le chiavi no. 4. Richiedere al provider forme di autenticazione per poter autenticare i propri utenti tramite i propri sistemi e senza dover ridondare account e password nell’infrastruttura del provider 5. Richiedere il tracciamento delle attività degli amministratori di sistema, anche andando oltre le misure richieste dal relativo provvedimento del Garante che limita l’obbligo ai soli log-in e log-out.. 6. Notifica immediata di qualsiasi evento di sicurezza, secondo protocolli di comunicazione e di alert da definire. 7. Formazione 8. Misure di sicurezza fisica Misure idonee Ipotesi per i servizi cloud
e #cloudconferenceitalia • Art. 20 – diritto alla portabilità dei dati Obbligo, per il Cloud Priovider, di fornire all'interessato in un formato strutturato, di uso comune e leggibile da un dispositivo automatico i suoi dati personali; Diritto, per l'interessato (utente cloud), di trasmettere tali dati ad un altro cloud provider, senza impedimenti da parte del precedente fornitore di servizi. • Art. 32 – sicurezza del trattamento Fornitori di servizi cloud (titolari e/o responsabili del trattamento) dovranno adottare misure tecniche ed organizzative adeguate (ad es. la pseudoanimizzazione, cifratura dei dati, la tempestiva disaster recovery ripristinando accesso e disponibilità dei dati, cancellazione sicura e definitiva dei dati, backup compresi…) per garantire un livello di sicurezza adeguato. Cloud e valutazione del rischio Le «risposte» offerte dal Reg. 679/2016
e #cloudconferenceitalia • Artt. 5, co.2, 24 e ss – accountability (responsabilizzazione del titolare) • Artt. 33 e 34 – Data Breach (notifica di violazione dei dati) • Art. 35 e 36 – valutazione d’impatto e consultazione preventiva Cloud e valutazione del rischio Ulteriore misure preventive di sicurezza rinvenibili nel Reg. 679/2016
GRAZIE! GRAZIE! avv. Nicolò Ghibellini www.avvghibellini.com nicolo@avvghibellini.com www.strategiaecontrollo.com

Recommended

SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 

Recommended

SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
GDPR
GDPRGDPR
GDPRPasquale Tarallo
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Andrea Rossetti
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacySalomone & Travaglia Studio Legale
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!39Marketing
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Gianluca Satta
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 

More Related Content

What's hot

Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Andrea Rossetti
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 

What's hot (16)

Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
GDPR
GDPRGDPR
GDPR
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacy
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 

Similar to CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini

GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!39Marketing
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Gianluca Satta
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPDaniele Fittabile
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRStefania Tromba
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturaliAndrea Colombetti
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdownContactlab
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo
 
GDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto InformaticoGDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto InformaticoLodovico Mabini
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoToolbox Coworking
 

Similar to CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini (20)

GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016m
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Preparsi al GDPR
Preparsi al GDPRPreparsi al GDPR
Preparsi al GDPR
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPR
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturali
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdown
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
 
GDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto InformaticoGDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto Informatico
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
 

More from walk2talk srl

CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
 
CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...
CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...
CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...walk2talk srl
 
CCI 2019 - Come ottimizzare i propri workload su Azure
CCI 2019 - Come ottimizzare i propri workload su AzureCCI 2019 - Come ottimizzare i propri workload su Azure
CCI 2019 - Come ottimizzare i propri workload su Azurewalk2talk srl
 
CCI 2019 - Exchange 2019 da 0 ad HA in 1 ora
CCI 2019 - Exchange 2019 da 0 ad HA in 1 oraCCI 2019 - Exchange 2019 da 0 ad HA in 1 ora
CCI 2019 - Exchange 2019 da 0 ad HA in 1 orawalk2talk srl
 
CCI 2019 - PowerApps for Enterprise Developers
CCI 2019 - PowerApps for Enterprise DevelopersCCI 2019 - PowerApps for Enterprise Developers
CCI 2019 - PowerApps for Enterprise Developerswalk2talk srl
 
CCI 2019 - Architettare componenti in SPFx, esperienze sul campo
CCI 2019 - Architettare componenti in SPFx, esperienze sul campoCCI 2019 - Architettare componenti in SPFx, esperienze sul campo
CCI 2019 - Architettare componenti in SPFx, esperienze sul campowalk2talk srl
 
CCI 2019 - Step by step come attivare un servizio voce in MS Teams
CCI 2019 - Step by step come attivare un servizio voce in MS TeamsCCI 2019 - Step by step come attivare un servizio voce in MS Teams
CCI 2019 - Step by step come attivare un servizio voce in MS Teamswalk2talk srl
 
CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0
CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0
CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0walk2talk srl
 
CCI2019 - I've got the Power! I've got the Shell!
CCI2019 - I've got the Power! I've got the Shell!CCI2019 - I've got the Power! I've got the Shell!
CCI2019 - I've got the Power! I've got the Shell!walk2talk srl
 
CCI2019 - Sistema di controllo del traffico con architettura Big Data
CCI2019 - Sistema di controllo del traffico con architettura Big DataCCI2019 - Sistema di controllo del traffico con architettura Big Data
CCI2019 - Sistema di controllo del traffico con architettura Big Datawalk2talk srl
 
CCI2019 - Governance di una Conversational AI
CCI2019 - Governance di una Conversational AICCI2019 - Governance di una Conversational AI
CCI2019 - Governance di una Conversational AIwalk2talk srl
 
CCI2019 - SQL Server ed Azure: Disaster Recovery per tutti
CCI2019 - SQL Server ed Azure: Disaster Recovery per tuttiCCI2019 - SQL Server ed Azure: Disaster Recovery per tutti
CCI2019 - SQL Server ed Azure: Disaster Recovery per tuttiwalk2talk srl
 
CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...
CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...
CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...walk2talk srl
 
CCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and Azure
CCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and AzureCCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and Azure
CCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and Azurewalk2talk srl
 
CCI2019 - Teams Direct Routing e servizi fonia avanzati
CCI2019 - Teams Direct Routing e servizi fonia avanzatiCCI2019 - Teams Direct Routing e servizi fonia avanzati
CCI2019 - Teams Direct Routing e servizi fonia avanzatiwalk2talk srl
 
CCI2019 - Microservizi: Idee per un'architettura con al centro l'utente
CCI2019 - Microservizi: Idee per un'architettura con al centro l'utenteCCI2019 - Microservizi: Idee per un'architettura con al centro l'utente
CCI2019 - Microservizi: Idee per un'architettura con al centro l'utentewalk2talk srl
 
CCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal Fronte
CCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal FronteCCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal Fronte
CCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal Frontewalk2talk srl
 
CCI2019 - Monitorare SQL Server Senza Andare in Bancarotta
CCI2019 - Monitorare SQL Server Senza Andare in BancarottaCCI2019 - Monitorare SQL Server Senza Andare in Bancarotta
CCI2019 - Monitorare SQL Server Senza Andare in Bancarottawalk2talk srl
 
CCI2019 - Architecting and Implementing Azure Networking
CCI2019 - Architecting and Implementing Azure NetworkingCCI2019 - Architecting and Implementing Azure Networking
CCI2019 - Architecting and Implementing Azure Networkingwalk2talk srl
 
CCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITCCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITwalk2talk srl
 

More from walk2talk srl (20)

CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
 
CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...
CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...
CCI 2019 - Exploiting Custom Vision SDK in Python to create an efficient imag...
 
CCI 2019 - Come ottimizzare i propri workload su Azure
CCI 2019 - Come ottimizzare i propri workload su AzureCCI 2019 - Come ottimizzare i propri workload su Azure
CCI 2019 - Come ottimizzare i propri workload su Azure
 
CCI 2019 - Exchange 2019 da 0 ad HA in 1 ora
CCI 2019 - Exchange 2019 da 0 ad HA in 1 oraCCI 2019 - Exchange 2019 da 0 ad HA in 1 ora
CCI 2019 - Exchange 2019 da 0 ad HA in 1 ora
 
CCI 2019 - PowerApps for Enterprise Developers
CCI 2019 - PowerApps for Enterprise DevelopersCCI 2019 - PowerApps for Enterprise Developers
CCI 2019 - PowerApps for Enterprise Developers
 
CCI 2019 - Architettare componenti in SPFx, esperienze sul campo
CCI 2019 - Architettare componenti in SPFx, esperienze sul campoCCI 2019 - Architettare componenti in SPFx, esperienze sul campo
CCI 2019 - Architettare componenti in SPFx, esperienze sul campo
 
CCI 2019 - Step by step come attivare un servizio voce in MS Teams
CCI 2019 - Step by step come attivare un servizio voce in MS TeamsCCI 2019 - Step by step come attivare un servizio voce in MS Teams
CCI 2019 - Step by step come attivare un servizio voce in MS Teams
 
CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0
CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0
CCI 2019 - Strumenti Azure per l'Anomaly Detection in ambito Industria 4.0
 
CCI2019 - I've got the Power! I've got the Shell!
CCI2019 - I've got the Power! I've got the Shell!CCI2019 - I've got the Power! I've got the Shell!
CCI2019 - I've got the Power! I've got the Shell!
 
CCI2019 - Sistema di controllo del traffico con architettura Big Data
CCI2019 - Sistema di controllo del traffico con architettura Big DataCCI2019 - Sistema di controllo del traffico con architettura Big Data
CCI2019 - Sistema di controllo del traffico con architettura Big Data
 
CCI2019 - Governance di una Conversational AI
CCI2019 - Governance di una Conversational AICCI2019 - Governance di una Conversational AI
CCI2019 - Governance di una Conversational AI
 
CCI2019 - SQL Server ed Azure: Disaster Recovery per tutti
CCI2019 - SQL Server ed Azure: Disaster Recovery per tuttiCCI2019 - SQL Server ed Azure: Disaster Recovery per tutti
CCI2019 - SQL Server ed Azure: Disaster Recovery per tutti
 
CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...
CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...
CCI2019 - Reagire agli eventi generati dalla propria infrastruttura con Azure...
 
CCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and Azure
CCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and AzureCCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and Azure
CCI2019 - What's new in Remote Desktop Services on Windows Server 2019 and Azure
 
CCI2019 - Teams Direct Routing e servizi fonia avanzati
CCI2019 - Teams Direct Routing e servizi fonia avanzatiCCI2019 - Teams Direct Routing e servizi fonia avanzati
CCI2019 - Teams Direct Routing e servizi fonia avanzati
 
CCI2019 - Microservizi: Idee per un'architettura con al centro l'utente
CCI2019 - Microservizi: Idee per un'architettura con al centro l'utenteCCI2019 - Microservizi: Idee per un'architettura con al centro l'utente
CCI2019 - Microservizi: Idee per un'architettura con al centro l'utente
 
CCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal Fronte
CCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal FronteCCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal Fronte
CCI2019i - Implementare Azure Multi-Factor Authentication Lettere dal Fronte
 
CCI2019 - Monitorare SQL Server Senza Andare in Bancarotta
CCI2019 - Monitorare SQL Server Senza Andare in BancarottaCCI2019 - Monitorare SQL Server Senza Andare in Bancarotta
CCI2019 - Monitorare SQL Server Senza Andare in Bancarotta
 
CCI2019 - Architecting and Implementing Azure Networking
CCI2019 - Architecting and Implementing Azure NetworkingCCI2019 - Architecting and Implementing Azure Networking
CCI2019 - Architecting and Implementing Azure Networking
 
CCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITCCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow IT
 

CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini

  • 1. CLOUD CONFERENCE ITALIA 2017 La privacy tra il TU 196 del 2003 e il Regolamento Europeo 2016/679 (GDPR): casi pratici e primi problemi applicativi Avv. Nicolò Ghibellini
  • 3. e #cloudconferenceitalia Chi sono avv. Nicolò Ghibellini www.avvghibellini.com nicolo@avvghibellini.com www.strategiaecontrollo.com
  • 4. e #cloudconferenceitalia • L’attuale codice della privacy (D.Lgs. 196/2003) • Il nuovo regolamento europeo in tema di tutela dei dati personali • Cloud e trattamento dei dati: la valutazione del rischio nel nuovo assetto europeo Di che cosa parleremo La nuova privacy: dal TU 196/2003 al Regolamento 2016/679 UE
  • 5. e #cloudconferenceitalia • Disposizioni generali (artt. 1-45) • Disposizioni per specifici settori (46-140) • Tutela interessato e sanzioni (art. 75-94) TU 196 del 2003 Struttura del codice
  • 6. e #cloudconferenceitalia • Art. 4 - definizioni e tipologia di dati • Artt. 7 e 8 - diritto di accesso ed esercizio dei diritti • Artt. 11 e 13 (regole per tutti i trattamenti) – modalità di trattamento e requisiti dei dati, informativa • Artt. 23, 24 e 26 (regole ulteriori per i privati) – consenso, trattamento senza consenso e garanzie per i dati sensibili • Artt. 28, 29 e 30 (soggetti che effettuano il trattamento) – titolare, responsabile e incaricato del trattamento • Artt. 31, 33 e 34 (sicurezza dei dati) – obblighi di sicurezza, misure minime di sicurezza, trattamenti con strumenti elettronici • Artt. 37 e 38 (Adempimenti) – notifica al Garante • Artt. 42 e 43 - Trasferimento di dati all’estero Disposizioni generali Norme principali
  • 7. e #cloudconferenceitalia • Trattati con liceità e correttezza • Raccolti per scopi determinati, espliciti e legittimi • Pertinenti, completi e non eccedenti • Conservati per un periodo non eccedente lo scopo del trattamento Modalità di trattamento dei dati I dati personali oggetto di trattamento sono:
  • 8. e #cloudconferenceitalia • Finalità e modalità trattamento • La natura obbligatoria o facoltativa del conferimento dei dati • Conseguenze del rifiuto di rispondere • Soggetti/categorie di soggetti cui i dati possono essere comunicati • Estremi identificativi del titolare e del responsabile del trattamento Informativa Contenuto
  • 9. e #cloudconferenceitalia • Espresso • Intero trattamento o una/più operazioni dello stesso • Libero e specifico rispetto ad un trattamento chiaramente individuato • Documentabile per iscritto • Previa informativa ex art. 13 • In forma scritta se riguarda dati sensibili Consenso Il consenso deve essere:
  • 10. e #cloudconferenceitalia • Consenso scritto dell’interessato • Previa autorizzazione del Garante Art. 26, co.3: casi in cui non servono consenso e autorizzazione Garanzie per i dati sensibili Presupposti per il trattamento dei dati sensibili
  • 11. e #cloudconferenceitalia • Custodia e controllo dei dati • Riduzione rischi di perdita e distruzione Obblighi di sicurezza (art. 31)
  • 12. e #cloudconferenceitalia • Obbligo di adozione delle misure che assicurino un livello minimo di protezione dei dati personali • Esempio: misure minime indicate dall’art. 34 Misure minime di sicurezza (art. 33)
  • 13. e #cloudconferenceitalia • Autenticazione informatica • Adozione di procedure di gestione delle credenziali di autenticazione • Utilizzazione di un sistema di autorizzazione • Aggiornamento periodico ambito trattamento • Protezione strumenti elettronici da accessi non consentiti • Custodia copie di sicurezza • Tecniche di cifratura Misure minime per i trattamenti con strumenti elettronici (art. 34)
  • 14. e #cloudconferenceitalia • Art. 42 – il trasferimento dati verso paese UE è sempre consentito • ArtT. 43 e 44 – casi in cui è consentito il trasf. dati verso paese extra Ue Trasferimento dati all’estero
  • 15. e #cloudconferenceitalia • dati genetici, biometrici o che indicano la posizione geografica; • dati trattati con l’ausilio di strumenti elettronici volti: a. a definire il profilo/la personalità; b. ad analizzare abitudini/scelte di consumo; c. Monitorare l’utilizzo di servizi di comunicazione elettronica Notifica Notifica al Garante, se il trattamento riguarda:
  • 16. e #cloudconferenceitalia • Principi fondamentali • Modifiche al TU 196 del 2003 • Novità Regolamento 679/2016 UE La nuova disciplina della tutela dei dati personali
  • 17. e #cloudconferenceitalia • Liceità, correttezza e trasparenza del trattamento; • Limitazione della finalità della raccolta; • Minimizzazione ed esattezza dei dati raccolti; • Limitazione della conservazione nel tempo; • Integrità e riservatezza; • Responsabilizzazione del titolare del trattamento. Principi fondamentali
  • 18. e #cloudconferenceitalia • Dati personali, trattamento e profilazione • Privacy e organizzazione ente • Interessato, informativa e consenso • Diritto di accesso dell’interessato • Analisi rischi e misure di sicurezza • Sanzioni Modifiche Norme del Regolamento che rappresentano modifiche del TU 196/2003
  • 19. e #cloudconferenceitalia • Titolare • Responsabile (interno esterno) • Incaricati • Amministratore di sistema • DPO – Data Protection Officer Privacy e organizzazione ente
  • 20. e #cloudconferenceitalia • Colui che tratta i dati per conto del titolare • Interno (opzionale) • Esterno (obbligatorio) a. Necessario nei casi di esternalizzazione di attività b. Contratto che disciplina le attività (trattamenti) esternalizzate e che impone vincoli prestabiliti Responsabile del trattamento
  • 21. e #cloudconferenceitalia • Esplicitazione del p. di trasparenza • Sempre necessaria (anche se non serve consenso) • Tempistica • Forma • Contenuto Informativa In generale
  • 22. e #cloudconferenceitalia L’informativa va resa • Al momento della raccolta (dati sono raccolti presso l’interessato); • Alla prima comunicazione, massimo entro 1 mese (dati raccolti presso terzi) • Una tantum Informativa Tempistica
  • 23. e #cloudconferenceitalia • Chiara, sintetica, specifica; • Forma scritta o con mezzi elettronici • Forma orale (certezza identità dell’interessato) Informativa Forma
  • 24. e #cloudconferenceitalia • Dati di contatto del DPO • Intenzione di trasferire i dati extra UE e garanzie • Periodo di conservazione o criteri per determinarlo • Diritto di accesso e portabilità • Diritto di proporre reclamo al Garante • Esistenza di un processo di profilazione, la logica utilizzata e le conseguenze per l’interessato Informativa Contenuto
  • 25. e #cloudconferenceitalia Informativa + Una delle condizioni di liceità previste dal Regolamento Per procedere al trattamento
  • 26. e #cloudconferenceitalia • Consenso dell’interessato • Esecuzione del contratto (o di misure precontrattuali) • Esecuzione di un obbligo di legge • Salvaguardia interessi vitali (dell’interessato o di un terzo) • Compito di interesse pubblico o esercizio di pubblici poteri • Perseguimento interesse legittimo del titolare • Compatibilità ex art. 6, par. 4 NB: alternatività Condizioni di liceità
  • 27. e #cloudconferenceitalia • Condizione di liceità • Successivo all’informativa • Autorizzazione o diniego all’utilizzo dei dati • Informato • Specifico • Granulare • Libero • Consapevole e inequivocabile Consenso
  • 28. e #cloudconferenceitalia • Sono i dati qualificati dal nostro TU Privacy come dati sensibili (origine razziale, opinioni politiche, salute, vita sessuale) • Il loro trattamento è vietato, a meno che: • Consenso • Necessario per assolvere ad obblighi di legge • Per finalità di particolare rilievo (tutela della vita, della salute, diritto di tutela giudiziaria) Dati particolari Art. 9, Reg.
  • 29. e #cloudconferenceitalia • Diritto di accesso • Diritto di rettifica • Diritto all’oblio • Diritto di limitazione del trattamento • Diritto alla portabilità dei dati Centralità dell’interessato Generale diritto di controllo
  • 30. e #cloudconferenceitalia • Data protection officer • Accountability • Registro dei trattamenti • Valutazione d’impatto • Data breaches • Privacy by design e by default Novità Nuovi adempimenti introdotti dal Reg. 679/2016 UE
  • 31. e #cloudconferenceitalia • Designazione • Ruolo e posizione nell’ente • Compiti Data Protection Officer (DPO) (artt. 37-39 Reg.)
  • 32. e #cloudconferenceitalia Obbligatoria a. Per enti pubblici a. Per Privati, quando le attività principali consistono in: • trattamenti che richiedono monitoraggio regolare e sistematico su larga scala; • trattamento su larga scala di dati particolari o penali DPO Designazione
  • 33. e #cloudconferenceitalia • Tempestivamente e adeguatamente coinvolto nelle problematiche riguardanti la protezione dei dati personali. • Risorse necessarie per assolvere ai compiti ex art. 39, per accedere ai dati personali e ai trattamenti e per mantenere la conoscenza specialistica. • Riferimento al vertice gerarchico aziendale (titolare o responsabile del trattamento). • Obbligo di segretezza e riservatezza DPO Ruolo e posizione nell’azienda
  • 34. e #cloudconferenceitalia • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi privacy e protezione dei dati; • Sorvegliare l'osservanza del Regolamento e di altre disposizioni relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali; • Fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35; DPO Compiti
  • 35. e #cloudconferenceitalia • Cooperare con l'autorità di controllo • Fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento • Valutazione dei rischi del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo. DPO Compiti
  • 36. e #cloudconferenceitalia • Ruolo centrale e strategico • Punto di contatto tra l’esterno (Autorità) e l’interno dell’azienda • Indipendenza e professionalità DPO Riassumendo
  • 37. e #cloudconferenceitalia • Obbligati: Titolare e dal Responsabile del trattamento • Hanno ad oggetto l’attività di trattamento (forma scritta, anche elettronica) • A disposizione del Garante • Obbligo non applicabile alle imprese che abbiano meno di 250 dipendenti • DPS Registro dei trattamenti (art. 30 Reg)
  • 38. e #cloudconferenceitalia • nome e dati di contatto del titolare del trattamento (del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati); • le finalità del trattamento; • descrizione categorie di interessati e delle categorie di dati personali; • categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali) • trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, • termini ultimi previsti per la cancellazione delle diverse categorie di dati; • descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art.32, paragrafo 1. Registro tenuto dal Titolare Contenuto
  • 39. e #cloudconferenceitalia • nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento (e, del responsabile della protezione dei dati); • categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; • trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale; • descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1. Registro tenuto dal Responsabile Contenuto
  • 40. e #cloudconferenceitalia • Valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assestment – DPIA) art. 35 Reg. 679/2016 • Linee guida DIPIA del WP29 adottate in data 04.04.2017 (rev. 04.10.2017) Valutazione d’impatto
  • 41. e #cloudconferenceitalia Quando il trattamento può presentare un rischio elevato: • art. 35, co.1 (definizione generale) • art. 35, co.3 (esempi di trattamento che possa presentare rischi elevati) Attenzione ipotesi ex art. 35, co.3, non sono esaustive; le linee guida indicano ulteriori categorie/tipologie di rischio elevato Valutazione d’impatto Quando è obbligatoria?
  • 42. e #cloudconferenceitalia Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. • Uso di nuove tecnologie • Natura, oggetto, contesto e finalità del trattamento • Rischio elevato per i diritti e le libertà delle persone fisiche • Prima di procedere al trattamento Valutazione d’impatto Art. 35, co.1
  • 43. e #cloudconferenceitalia a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico Valutazione d’impatto Art. 35, co. 3
  • 44. e #cloudconferenceitalia 1. Valutazione o scoring (assegnazione di un punteggio), inclusa profilazione, specialmente per risultati lavorativi, situazione economica, salute, preferenze e interessi personali, reputazione comportamento, localizzazione e movimenti; 2. Decisioni automatizzate, con ricadute legali o simili; 3. Monitoraggio sistematico 4. Dati sensibili 5. Dati trattati su larga scala Linee guida DIPIA Criteri di rischio elevato
  • 45. e #cloudconferenceitalia 6. Raffronto di dati 7. Interessati appartenenti a fasce deboli 8. Innovazioni tecnologiche 9. Trasferimenti di dati extra UE 10. Trattamento di dati che incidono sull’accesso a servizi o contratti Linee guida DIPIA Criteri di rischio elevato
  • 46. e #cloudconferenceitalia Un trattamento che includa almeno 2 dei 10 criteri è un trattamento che presenta rischi elevati e necessita di una valutazione d’impatto Linee guida DPIA Regola del 2
  • 48. e #cloudconferenceitalia • Obbligato: titolare del trattamento • misure tecniche e organizzative adeguate • per attuare, fin dalla progettazione, i principi di protezione dei dati e integrare nel trattamento le necessarie garanzie al fine tutelare i diritti degli interessati; • per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento Privacy by design e by default Art. 25 Reg.
  • 49. e #cloudconferenceitalia • Eventi che comportano perdita, distruzione o diffusione indebita dei dati • Pericoli per la riservatezza e danni per gli interessati Data breach (artt. 33 e 34) Violazione di dati
  • 50. e #cloudconferenceitalia Obbligo di notifica al Garante (massimo entro 72 ore) • Descrizione del caso, tipo di violazione, numero di interessati, possibili danni • Misure di contrasto adottate Obbligo di comunicazione, anche all’interessato, senza ritardo • In caso di rischio elevato (frode, furto identità, danno immagine, …) • Per disposizione del Garante (in caso di inattività inziale del titolare) Data breach Quali obblighi
  • 51. e #cloudconferenceitalia Soggetti obbligati • Titolare vs. Garante e Interessati • Responsabile vs Titolare Scopo • Mettere in grado Garante e Interessato di ridurre i rischi Data breach Soggetti e scopo
  • 52. e #cloudconferenceitalia • Premessa • Inquadramento dei rischi privacy nel cloud • Aspetti giuridico-legali: a) la centralità del contratto b) Misure di sicurezza (minime e idonee) Cloud e trattamento dei dati La valutazione del rischio alla luce del Reg. 679/2017 UE
  • 53. e #cloudconferenceitalia Identificazione e analisi delle problematiche di conformità alla normativa sulla protezione dei dati personali per un’azienda stabilita in Italia che volesse fruire di soluzioni cloud, quindi: 1. Titolare del trattamento stabilito in Italia 2. Compliance normativa privacy Aspetti contrattuali Definizione dei ruoli e delle responsabilità correlati alla protezione dei dati personali adozione delle misure di sicurezza appropriate per l’ambiente cloud Organizzazione aziendale, controllo e auditing Premessa Obiettivi indagine
  • 54. e #cloudconferenceitalia • Perdita dei dati • Minacce interne • Crimini informatici • Diminuzione di controllo • Aumento di esposizione • Localizzazione del dato: i. Data-at-reset ii. Data-in-transit iii. Data-in-process Rischi privacy nel cloud Principali criticità da valutare anteriormente all’adozione di soluzione cloud
  • 55. e #cloudconferenceitalia • Qualificazione giuridica del contratto di cloud computing • Legge applicabile • Sicurezza dei dati e privacy • Definizione dei ruoli e responsabilità • Catene di cloud • Luogo del trattamento e trasferimento dei dati all’estero Aspetti giuridico legali Contratto & sicurezza
  • 56. e #cloudconferenceitalia • L’utente non ha il controllo fisico dell’infrastruttura; • Attuazione di altre forme «contrattuali» di controllo; • Spesso i contratti di cloud impongono il Foro del cloud provider: potrebbe essere un problema per l’effettiva tutela dei diritti dell’utente Problematica connessa: Il cloud provider deve indicare i paesi in cui sono collocati i data center Legge applicabile
  • 57. e #cloudconferenceitalia • Il cloud provider deve rispettare gli obblighi di sicurezza imposti dal TU 196/2003 (e –a partire dal 25.05.2018- dal Reg. 679/16 UE) • Applicabilità TU 196/2003 (e Reg. 679/16 UE): a) Fornitore stabilito in Italia (art. 5, co. 1, TU) b) Fornitore non stabilito nell’UE e utilizzi strumenti situati in Italia (art. 5, co. 2, TU) NB: dal 25.05.2018, la normativa di riferimento è l’art. 3 Reg. (Ambito di applicazione territoriale) • Altre norme di carattere generale: clausola 25, All. B, TU (autodichiarazione) Sicurezza dei dati e privacy Profili generali
  • 58. e #cloudconferenceitalia • Fornitore (cloud provider) • Cliente (utente) Ai fini privacy, si possono delineare di due seguenti scenari: 1. Autonomia nella titolarità del trattamento, fornitore e cliente sono entrambi titolari. (una effettiva, e non solo formale, libertà decisionale nel definire i caratteri essenziali del trattamento da parte di entrambi e il flusso di informazioni che si instaurerà fra di essi verrà necessariamente qualificato in termini di trasmissione di dati fra autonomi titolari del trattamento); 2. Un titolare e un responsabile, rispettivamente, il cliente ed il fornitore (scambio di dati potrà essere più semplicemente ricondotto ad un flusso di informazioni interno alle modalità di trattamento). Definizione dei ruoli e responsabilità Soggetti coinvolti nel rapporto di cloud
  • 59. e #cloudconferenceitalia • Il server del fornitore è situato nel territorio di uno Stato membro della UE o di uno Stato che, secondo le decisioni della Commissione UE, garantisce un adeguato livello di protezione dei dati personali: il trasferimento è lecito; • Il server del fornitore è situato nel territorio di uno Stato terzo che non è giudicato dalla Commissione UE garantire un adeguato livello di protezione dei dati personali: in tal caso, le pattuizioni fra il cliente e il fornitore devono contenere le clausole contrattuali tipo approvate dalla Commissione EU relative al trasferimento extra UE dei dati personali da un titolare del trattamento a un responsabile del trattamento; • Il fornitore è una società del medesimo Gruppo del cliente, il server è situato nel territorio di uno Stato terzo che non è giudicato dalla Commissione UE garantire un adeguato livello di protezione dei dati personali e nel Gruppo sono operative le Bcr secondo il previsto regime autorizzatorio: in tal caso, il trasferimento dei dati personali negli Stati extra UE ove operano le società del Gruppo (e quindi il fornitore) soggette alle Bcr è lecito. Luogo del trattamento e trasferimento dei dati all’estero Ubicazione del server - Scenari ipotizzabili
  • 60. e #cloudconferenceitalia • Artt. 42-45 TU 196/2003 • Artt. 44-50 Reg. 679/2016; in particolare: - art. 46 (trasferimento soggetto a garanzie adeguate) - art. 47 (norme vincolanti d’impresa) • Accordi internazionali: Privacy Shield Trasferimento dati all’estero Normativa di riferimento
  • 61. e #cloudconferenceitalia • Accordi contrattuali • Misure di sicurezza Aspetti giuridico legali Focus
  • 62. e #cloudconferenceitalia • Responsabilità del cloud provider e SLA • Proprietà dei dati e dei contenuti • Modifiche delle condizioni d’uso e di servizio • Limite al recesso del provider e termine del contratto • Condizioni di auditabilità • Recepimento normativa italiana • Procedura di notifica degli incidenti di sicurezza • Clausole penali NB: difficile negoziabilità Accordi contrattuali Principali clausole del contratto di cloud
  • 63. e #cloudconferenceitalia TU 196/2003 a) elenco di misure minime che devono essere adottate da ogni titolare del trattamento (misure minime) b) Il titolare deve proteggere i dati personali trattati in relazione alla natura del trattamento effettuato, alla tipologia dei dati stessi e coerentemente con le tecnologie disponibili (misure idonee e preventive) Reg. 679/2016 UE Misure si sicurezza Minime ed adeguate
  • 64. e #cloudconferenceitalia a) Autenticazione informatica b) Adozione di procedure di credenziali di autenticazione c) Utilizzazione di un sistema di autorizzazione d) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici e) Protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti f) Adozione di procedure per la custodia di copia di sicurezza, il ripristino della disponibilità dei dati e dei sistemi g) DPS h) Adozione di tecniche di cifratura o di codici identificativi Misure minime Artt. 33, 34, 35 e 36 TU 196/2016 e Disciplinare Tecnico (All. B)
  • 65. e #cloudconferenceitalia • Il TU 196/2003 NON definisce alcun elenco di misure idonee; • l’individuazione delle misure idonee: a. deve essere effettuata in concreto e per ciascun contesto aziendale b. attiene al processo generale di valutazione dei rischi NB: l’analisi dei rischi connessi all’adozione di soluzioni di cloud computing deve essere opportunamente valutata. Misure idonee di sicurezza Art. 31 TU 196/2003
  • 66. e #cloudconferenceitalia 1. Utilizzare solo reti e protocolli sicuri per la trasmissione dati tra la propria azienda e il provider 2. Criptare il dato a riposo nel database nell’infrastruttura del provider 3. Rimuovere, se possibile, la chiave di criptazione dalla disponibilità del cloud provider, di modo che i dati siano nel cloud ma le chiavi no. 4. Richiedere al provider forme di autenticazione per poter autenticare i propri utenti tramite i propri sistemi e senza dover ridondare account e password nell’infrastruttura del provider 5. Richiedere il tracciamento delle attività degli amministratori di sistema, anche andando oltre le misure richieste dal relativo provvedimento del Garante che limita l’obbligo ai soli log-in e log-out.. 6. Notifica immediata di qualsiasi evento di sicurezza, secondo protocolli di comunicazione e di alert da definire. 7. Formazione 8. Misure di sicurezza fisica Misure idonee Ipotesi per i servizi cloud
  • 67. e #cloudconferenceitalia • Art. 20 – diritto alla portabilità dei dati Obbligo, per il Cloud Priovider, di fornire all'interessato in un formato strutturato, di uso comune e leggibile da un dispositivo automatico i suoi dati personali; Diritto, per l'interessato (utente cloud), di trasmettere tali dati ad un altro cloud provider, senza impedimenti da parte del precedente fornitore di servizi. • Art. 32 – sicurezza del trattamento Fornitori di servizi cloud (titolari e/o responsabili del trattamento) dovranno adottare misure tecniche ed organizzative adeguate (ad es. la pseudoanimizzazione, cifratura dei dati, la tempestiva disaster recovery ripristinando accesso e disponibilità dei dati, cancellazione sicura e definitiva dei dati, backup compresi…) per garantire un livello di sicurezza adeguato. Cloud e valutazione del rischio Le «risposte» offerte dal Reg. 679/2016
  • 68. e #cloudconferenceitalia • Artt. 5, co.2, 24 e ss – accountability (responsabilizzazione del titolare) • Artt. 33 e 34 – Data Breach (notifica di violazione dei dati) • Art. 35 e 36 – valutazione d’impatto e consultazione preventiva Cloud e valutazione del rischio Ulteriore misure preventive di sicurezza rinvenibili nel Reg. 679/2016

Editor's Notes

  1. 1