Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
Non c'è mai stato un momento storico così rilevante in cui i dati sono stati così importanti. L'emergenza dovuta al coronavirus pone le aziende di fronte a nuove problematiche privacy che a volte sono state e potrebbero essere gestire secondo modalità non corrette. Ne parlano Giulio Coraggio e Christian Bernieri in questo webinar organizzato dal KnowLedgeNet italiano dello IAPP, l'International Association of Privacy Professionals.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
Non c'è mai stato un momento storico così rilevante in cui i dati sono stati così importanti. L'emergenza dovuta al coronavirus pone le aziende di fronte a nuove problematiche privacy che a volte sono state e potrebbero essere gestire secondo modalità non corrette. Ne parlano Giulio Coraggio e Christian Bernieri in questo webinar organizzato dal KnowLedgeNet italiano dello IAPP, l'International Association of Privacy Professionals.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Mio intervento su "La privacy e la sicurezza negli studi legali" in cui ho effettuato una breve analisi degli obblighi in materia di protezione dei dati personali che gli studi legali devono osservare anche in considerazione del Regolamento UE 2016/679 di prossima applicazione.
Smau 25 ottobre 2016 alle ore 10,30 Centro Studi di Informatica Giuridica di Ivrea Torino
cod. 37026 – Il Data protection officer, compiti,responsabilità buone prassi nelle imprese e pubbliche amministrazioni.
Relatori: Avv. Mauro Alovisio e Dott. Stefano Gorla
Il seminario illustra gli impatti e la road map delle azioni richieste dal regolamento in materia di protezione dei dati alle pubbliche amministrazioni e imprese attraverso un focus sulla nuova figura del Data Protection Officer, presentazioni di best practice con un taglio operativo e multidisciplinare nell’ottica di sviluppare business.
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...Roberta Rapicavoli
Le mie slide dell'intervento svolto a IP Security Forum Milano sul tema degli obblighi e delle responsabilità per chi opera nel settore della videosorveglianza (installatori, progettisti e utenti finali).
Smau 2016 Fascicolo sanitario elettronico e protezione dati personaliMauro Alovisio
Fascicolo sanitario elettronico, accountability e misure di sicurezza: come tradurre nelle aziende e nelle pa le novità normative? - See more at: http://www.smau.it/milano16/schedules/fascicolo-sanitario-elettronico-accountability-e-misure-di-sicurezza-come-tradurre-nelle-aziende-e-nelle-pa-le-novita-normative/#sthash.L4lox06s.dpuf
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
Slide proiettate all'eevento di formazione organizzato dallo Studio Legale IUS40, tenutosi a Novara il 9 febbraio 2018. Il Regolamento Europeo sulla protezione dei dati personali è un tema di grande attualità.
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
lezione per l'ordine dei giornalisti del Trentino Alto Adige sul tema del diritto all'oblio sviluppatta assieme assieme a Davide Neri (da cui derivano la maggior parte dei contributi, in particolare giuridici)
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Simone Chiarelli
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy ed elementi di informatica giuridica
Mio intervento su "La privacy e la sicurezza negli studi legali" in cui ho effettuato una breve analisi degli obblighi in materia di protezione dei dati personali che gli studi legali devono osservare anche in considerazione del Regolamento UE 2016/679 di prossima applicazione.
Smau 25 ottobre 2016 alle ore 10,30 Centro Studi di Informatica Giuridica di Ivrea Torino
cod. 37026 – Il Data protection officer, compiti,responsabilità buone prassi nelle imprese e pubbliche amministrazioni.
Relatori: Avv. Mauro Alovisio e Dott. Stefano Gorla
Il seminario illustra gli impatti e la road map delle azioni richieste dal regolamento in materia di protezione dei dati alle pubbliche amministrazioni e imprese attraverso un focus sulla nuova figura del Data Protection Officer, presentazioni di best practice con un taglio operativo e multidisciplinare nell’ottica di sviluppare business.
Videosorveglianza: quali obblighi e responsabilità per gli operatori del sett...Roberta Rapicavoli
Le mie slide dell'intervento svolto a IP Security Forum Milano sul tema degli obblighi e delle responsabilità per chi opera nel settore della videosorveglianza (installatori, progettisti e utenti finali).
Smau 2016 Fascicolo sanitario elettronico e protezione dati personaliMauro Alovisio
Fascicolo sanitario elettronico, accountability e misure di sicurezza: come tradurre nelle aziende e nelle pa le novità normative? - See more at: http://www.smau.it/milano16/schedules/fascicolo-sanitario-elettronico-accountability-e-misure-di-sicurezza-come-tradurre-nelle-aziende-e-nelle-pa-le-novita-normative/#sthash.L4lox06s.dpuf
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
Slide proiettate all'eevento di formazione organizzato dallo Studio Legale IUS40, tenutosi a Novara il 9 febbraio 2018. Il Regolamento Europeo sulla protezione dei dati personali è un tema di grande attualità.
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
lezione per l'ordine dei giornalisti del Trentino Alto Adige sul tema del diritto all'oblio sviluppatta assieme assieme a Davide Neri (da cui derivano la maggior parte dei contributi, in particolare giuridici)
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Simone Chiarelli
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy ed elementi di informatica giuridica
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
L’avvio di una start up rischia di trascurare questioni di compliance legale che rivestono un’importanza primaria, che acquisiranno sempre maggior rilievo in relazione al progresso scientifico e tecnologico cui ogni settore sta andando incontro.
Il seminario si propone, pertanto, di evidenziare i profili giuridici più rilevanti per poter adeguatamente definire le scelte strategiche che contribuiscono alla massimizzazione del profitto, come ad esempio quelle connesse alla costituzione della start up, alla tutela della proprietà intellettuale e alle dinamiche contrattuali. Nel novero delle questioni, la tutela della privacy (tanto degli utenti quanto dei dipendenti) riveste un ruolo fondamentale e di indiscutibile centralità.
Saranno pertanto illustrate le principali questioni giuridiche e individuati alcuni accorgimenti che le startup dovrebbero adottare per evitare di incorrere nelle responsabilità previste in materia dal GDPR e dal d.lgs. 101/2018.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Il seminario illustra l’impatto e le azioni richieste in materia di data breach nelle imprese e pubbliche amministrazioni con un taglio operativo con focus multidisciplinare e presentazione di best pratice, danno reputazionale, fiducia e sviluppo di servizi, software e business due relatori: giuridico ed informatico
- See more at: http://www.smau.it/milano16/schedules/data-breach-nelle-aziende-e-pubbliche-amministrazioni-responsabilita-e-impatti-organizzativi-alla-luce-del-nuovo-regolamento-europeo-in-materia-di-protezione-dei-dati-personali-casi-concreti/
Il seminario illustra l’impatto e le azioni richieste in materia di data breach nelle imprese e pubbliche amministrazioni con un taglio operativo con focus multidisciplinare e presentazione di best pratice, danno reputazionale, fiducia e sviluppo di servizi, software e business due relatori: giuridico ed informatico -
L’ AICQ (Associazione Italiana Cultura Qualità) sezione Triveneta e il Comitato AICQ
per la “Qualità del Software e dei Servizi IT” il 17 novembre 2011 hanno organizzato a Padova, nell’ambito della "Settimana della Qualità”, un convegno dal titolo: Videosorveglianza problematiche di Privacy, gestione della videoregistrazione, centrali di
televideosorveglianza …
Introduzione al GDPR - Regolamento (UE) 2016/679 - per gli avvocati e i professionisti - dal codice della privacy alla nuova disciplina sulla protezione dei dati personali
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Slide commentate nel Convengo sul Regolamento 679/2016. Si affronta, partendo da casi concreti, la nuova disciplina del data breach e si analizzano le indicazioni del GDPR in materia di risarcimento del danno in conseguenza di violazioni di dati.
Slide della presentazione su Anticorruzione, trasparenza e privacy per COA aggiornato al d.lgs. 97/2016, al Regolamento Europeo sulla Privacy e alle linee guida ANAC del 9 giugno 2016 sul PNA 2016 - Avv. Giovanni Battista Gallus - Avv. Francesco Paolo Micozzi
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
“Regole deontologiche relative ai trattamenti dei dati personali ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 (Informativa e consenso)”. Slide della relazione presentata dall'Avv. Silvia Di Napoli in occasione del convegno “La Privacy negli Studi Legali alla luce delle Regole Deontologiche approvate dal Garante per la Protezione dei Dati” tenutosi il 3 maggio 2019 alle ore 14.30 presso il Seminario Vescovile in Sala Longhin a Treviso. L'evento è stato organizzato dalla Camera Civile Degli Avvocati Di Treviso con il patrocinio dell’Ordine degli Avvocati di Treviso.
Intervento presentato nel corso del DIGEat2018 - Consilum "I soggetti del trattamento: la nuova geometria di ruoli, responsabilità e rapporti alla luce del GDPR", a cura del D&L NET
9. 9
1970 1980 1990 2000 2010 2020
Le tappe della Data Protection
CELLULARE
1973
OUTLOOK
1992
WWW
1991
IPHONE
2007
FACEBOOK
2004
CELLULARE
FOTOCAMERA
2000
PERSONAL
COMPUTER
1981
IOT
….
DIRETTIVA
95/46/CE
1995
675/96
1996
196/2003
2003
COOKIES
D. 2002/58/CE
2002
EMAIL MARKETING
D. 2009/136/UE
2009
GDPR
679/2016
2003
10. 10
4 anni di preparazione e dibattito
Il 27 aprile 2016 il Parlamento Europeo approva il GDPR.
Il Regolamento si applica a decorrere dal
25 maggio 2018
Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n.
2016/679 (GDPR), con i suoi 99 articoli ha riscritto la disciplina della Privacy
a livello europeo.
11. 11
In vigore - fino a loro modifica o abrogazione
Novellata con D.Lgs. 101/2018
In vigore - fino a loro modifica o abrogazione
In vigore - fino a loro modifica o abrogazione
Direttiva 1995/46
Codice privacy - D.Lgs. 196/2003
Regolamento - 2016/679
Provvedimenti Autorità Garante
Accordi Internazionali su
Trasferimento dati
Decisioni Commissioni UE
Legge 675/1996 Abrogata
In vigore - fino a loro modifica o abrogazione
Abrogata
13. 13
Art. 2 Art. 3
Ambito di applicazione materiale e Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di
dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o
destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;
b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del
titolo V, capo 2,TUE;
c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o
domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o
perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce
alla sicurezza pubblica e la prevenzione delle stesse.
3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si
applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici
dell'Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle
norme del presente regolamento conformemente all'articolo 98.
4. Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE, in
particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli
articoli da 12 a 15 della medesima direttiva.
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del
trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno
nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano
nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non
è stabilito nell'Unione, quando le attività di trattamento riguardano:
a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente
dall'obbligatorietà di un pagamento dell'interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del
trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro
in virtù del diritto internazionale pubblico.
Direttiva 2016/680
D.Lgs. 51/2018
15. Base giuridica
Scadenza Sicurezza Accountabilty Informativa
Finalità
Trattamento
la catena logica del GDPR
15
Dato personale
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
16. qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione,
un identifi cativo online o a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o sociale;
DATO PERSONALE
16
Non usare le iniziali
Provvedimenti N° 118 del 2 luglio 2020 - Greve in Chianti
Provvedimenti N° 155 del 3 settembre 2020 - Aosta
17. DATI PARTICOLARI E …
17
Tipologia dei Dati personali
_ Personali comuni
_ Di Minori - Art. 8 Consenso dei minori
_ Particolari - Art. 9
• Relativi all'origine razziale o etnica
• Relativi a convinzioni politiche, religiose o filosofiche
• Relativi all'appartenenza sindacale
• Dati genetici
• Dati biometrici
• Relativi alla salute
• Relativi alla vita sessuale o all’orientamento sessuale
_ Relativi a condanne penali e reati - Art. 10
18. Base giuridica
Scadenza Sicurezza Accountabilty Informativa
Finalità
Trattamento
la catena logica del GDPR
18
Dato personale Trattamento
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
19. 19
TRATTAMENTO
qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali, come
la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
Art. 4, comma 2
15. la cancellazione,
16. la distruzione
3. l’organizzazione,
4. la strutturazione
5. la conservazione,
6. l’adattamento,
7. la modifica,
8. l’estrazione,
9. la consultazione,
10. l’uso,
11. la comunicazione,
12. l’interconnessione,
1. la raccolta,
2. la registrazione
CICLO DI VITA DEL DATO
20. Base giuridica
Scadenza Sicurezza Accountabilty Informativa
Finalità
Trattamento
la catena logica del GDPR
20
Dato personale Finalità Base giuridica
Trattamento
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
22. 22
Il decreto Capienze cambia le regole, ciò che non era lecito ieri diventa lecito oggi
ieri_ 25/02/2001
oggi_ 25/02/2001
D. L. 139 del 08/10/2021
cd Decreto capienze - Art. 9
Art. 2 ter.
1.La base giuridica prevista dall'articolo 6,
paragrafo 3, lettera b), del regolamento e'costituita
esclusivamente da una norma di legge o, nei casi
previsti dalla legge, di regolamento.
https://www.linkedin.com/posts/manuelsalvi_caso-
bonus-covid-sanzione-di-300000-per-activity-
6775120610398916608-XGVE
23. Scadenza Sicurezza Accountabilty Informativa
Informativa
Accountability
Sicurezza
Scadenza
Base giuridica
Finalità
Trattamento
la catena logica del GDPR
23
Dato personale Finalità Base giuridica
Trattamento
Art. 5 - Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici non è, conformemente all’art. 89, 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento
a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali («integrità e
riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione »).
27. 3 Criminalità tradizionali + cyber
10 QUOTIDIANE MINACCE
27
• Social
• hackeraggio sistemi domestici
- di videosorveglianza
- domotica
- smart tv
- PC o device
- reti
• …
29. D. L. 139 del 08/10/2021
cd Decreto capienze - Art. 9
10 QUOTIDIANE MINACCE
29
5 Pedopornografia e Revenge porn
“Art. 144 -bis (Revenge porn) .
— 1. Chiunque, compresi i minori ultraquattordicenni,
abbia fondato motivo di ritenere che immagini o video a
contenuto sessualmente esplicito che lo riguardano,
destinati a rimanere privati, possano essere oggetto di
invio, consegna, cessione, pubblicazione o diffusione
senza il suo consenso in violazione dell’art. 612 -ter del
codice penale, può rivolgersi, mediante segnalazione o
reclamo, al Garante, il quale, entro quarantotto ore dal
ricevimento della richiesta, provvede ai sensi
dell’articolo 58 del regolamento (UE) 2016/679 e degli
articoli 143 e 144.
2. Quando le immagini o i video riguardano minori, la
richiesta al Garante può essere effettuata anche dai
genitori o dagli esercenti la responsabilità genitoriale
o la tutela.
35. 35
Organigramma e Processi
Il Titolare
Gli Autorizzati
DPO
I Responsabili
esterni
MISE sanzionato per 75.000€
per mancata nomina del DPO
https://www.linkedin.com/posts/manue
lsalvi_garante-activity-
6775755576585580544-hbg-
36. 36
IL PROCESSOR
‣ Atto di Nomina firmato
‣ Articolo standard Privacy in contratti di
fornitura con allegato l’Atto di Nomina
‣ Il Responsabile e l’AdS
‣ La Check list Privacy
‣ I Subfornitori
37. 37
I DIRITTI DEGLI
INTERESSATI
•il diritto ad essere informato (artt. 12-13-14) sull’esistenza del
trattamento, sulla sua finalità, modalità e durata, sulla comunicazione
dei dati, sui propri diritti;
•il diritto di accesso ai dati (art. 15);
•il diritto di rettifica (art. 16);
•il diritto alla cancellazione dei dati, o «diritto all’oblio» (art. 17);
•il diritto alla limitazione del trattamento (art. 18);
•il diritto alla portabilità dei dati (art. 20);
•il diritto ad opporsi a determinate forme di trattamento (art. 21), ad
esempio al marketing diretto;
•Il diritto a non essere sottoposto a decisioni basate unicamente sul
trattamento automatizzato dei dati che lo riguardano (art. 22).
38. 38
I tempi di risposta
2.000 euro per aver tardato a rispondere sono pochi o tanti?
30 giorni, prolungabili a 60 se…
Provvedimenti N° 183 del 15 ottobre 2020 - Collegno
39. 39
DATA BREACH
•72 ore
•Analisi d’impatto sugli interessati
•Registrazione, Notifica e Comunicazione
https://www.cybersecurity360.it/nuove-
minacce/ransomware/maggioli-vittima-di-
ransomware-vari-comuni-coinvolti-quanto-e-grave-
il-danno/
40. ‣ App (es: Roma Capitale “App ZTL”, Campus Biomedico di Roma)
‣ Ransomware (es: Comune di Brescia)
‣ Sito web (es: Protocolli di sicurezza e Trasparenza)
‣ Furto di materiali e device
‣ Dismissione di materiali e device
‣ Social engineering
‣ Human factor dolo (esfiltrazione) o colpa (mail in cc o allegati)
40
DATA BREACH
https://www.linkedin.com/posts/man
uelsalvi_garante-gdpr-activity-
6768522269225496576-nnyn
https://www.linkedin.com/posts/man
uelsalvi_operazione-data-room-
dipendenti-rubavano-activity-
6682890792446529536-actA
45. 45
ACCESSO CIVICO
Chi vince fra trasparenza e privacy?
La Trasparenza è la regola, la Privacy è l’eccezione
Le eccezioni
• dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa
desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti
interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap
fisici e/o psichici (art. 7-bis, comma 6, D.Lgs. 33/2013).
• dati idonei a rivelare la vita sessuale (art. 7-bis, comma 6, D.Lgs. 33/2013).
• dati identificativi di persone fisiche beneficiarie di aiuti economici da cui è possibile ricavare
informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale
degli interessati (limite alla pubblicazione previsto dall’art. 26, comma 4, D. Lgs. 33/2013)
https://www.foia.gov.it/pareri/
I pareri del garante in materia di accesso civico
46. 46
WEB
La Pagina Privacy,
da semplice Informativa
Utenti Naviganti
a Repository per le
informative, cui dare
visibilità.
47. Il Consenso
Articolo 7
Condizioni per il consenso
1. Qualora il trattamento sia basato sul consenso, il titolare
del trattamento deve essere in grado di dimostrare che
l’interessato ha prestato il proprio consenso al trattamento
dei propri dati personali.
2. Se il consenso dell’interessato è prestato nel contesto di
una dichiarazione scritta che riguarda anche altre questioni,
la richiesta di consenso è presentata in modo chiaramente
distinguibile dalle altre materie, in forma comprensibile e
facilmente accessibile, utilizzando un linguaggio semplice e
chiaro. Nessuna parte di una tale dichiarazione che
costituisca una violazione del presente regolamento è
vincolante.
3. L’interessato ha il diritto di revocare il proprio consenso in
qualsiasi momento. La revoca del consenso non pregiudica la
liceità del trattamento basata sul consenso prima della
revoca. Prima di esprimere il proprio consenso, l’interessato
è informato di ciò. Il consenso è revocato con la stessa
facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato,
si tiene nella massima considerazione l’eventualità, tra le
altre, che l’esecuzione di un contratto, compresa la
prestazione di un servizio, sia condizionata alla prestazione
del consenso al trattamento di dati personali non necessario
all’esecuzione di tale contratto.
dimostrabilità
granularità
incondizionato
revoca
Art. 6: specifico
- La storia dei telefoni cellulari inizia il 3 aprile 1973 quando l'ingegnere senior che lavorava per Motorola Martin Cooper ha usato un cellulare per chiamare un potenziale concorrente nel mercato della telefonia mobile. Questa è stata la prima chiamata da un telefono cellulare mai fatta
- Il 12 agosto 1981, IBM immette nel mercato il primo di una serie di personal computer che diventerà molto popolare: l'IBM 5150, meglio conosciuto come PC IBM.
screenshot rischi da keymap
screenshot contromisure da keymap
La sua nascita risale al 1971, quando Ray Tomlinsoninstallò su ARPANET un sistema in grado di scambiare messaggi fra le varie università. Per vedere i primi servizi di posta elettronica come li conosciamo adesso bisogna aspettare il 1992 quando fa il suo debutto Microsoft Outlook. Nel 1996 è la volta di Hotmail, mentre l'anno successivo arriva Yahoo Mail. Gmail viene lanciato solamente nel 2007.
La data di nascita del World Wide Web viene comunemente indicata nel 6 agosto 1991, giorno in cui l'informatico inglese Tim Berners-Lee pubblicò il primo sito web.
Il primo telefono cellulare con fotocamera è stato introdotta commercialmente in Giappone con il J-SH04 dalla SharpCorporation nel novembre 2000.
Il primo smartphone in assoluto, chiamato Simon, fu progettato dalla IBM nel 1992 e commercializzato dalla BellSouth a partire dal 1993. Oltre alle comuni funzioni di telefono incorporava calendario, rubrica, orologio, block notes, funzioni di e-mail e giochi: per poter scrivere direttamente sullo schermo era disponibile un pennino.
Il termine è stato coniato da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center (consorzio di ricerca con sede al MIT), durante una presentazione presso Procter & Gamble nel 1999.
In Italia
- Rapporto Giannini: “Rapporto sui principali problemi della Amministrazione dello Stato“. La forza e l’importanza di quel rapporto sta nei concetti originali lì contenuti: innesto nella pa di modelli di gestione di tipo privato, concetto di pianificazione e controllo, indicatori di produttività, unificazione delle metodologie di misurazione, uffici di organizzazione.
- Aipa: L'AIPA, di cui il CNIPA è in parte l'erede, fu istituita nel 1993 in un clima di attenzione per l'efficienza della pubblica amministrazione.
- Rupa: Rete unitaria della pubblica amministrazione (RUPA) realizzata dall'AIPA
- Il CNIPA Centro nazionale per l'informatica nella pubblica amministrazione venne istituito dall'art. 176 del d.lgs 30 giugno 2003
Registro dei provvedimenti n. 118 del 2 luglio 2020: Comune di Greve in Chianti e Unione comunale 4000 e 6000 euro di multa per avere usato iniziali e matricola per anonimizzare l’interessato
Ciò anche considerando quanto rappresentato dalla stessa Regione nel diniego dell’accesso civico, laddove è stato evidenziato che «l’esiguità demografica che caratterizza molti comuni della Valle d’Aosta (per non parlare delle Residenze Sanitarie Assistenziali) fa sì che dall’incrocio dei dati in oggetto con informazioni verbali facilmente acquisibili in loco sia possibile, almeno in taluni casi, risalire all’identità dei soggetti coinvolti e, conseguentemente, al loro stato di salute»
Provvedimento N° 155 del 3 settembre 2020
I dati personali raccolti mediante il presente modulo, nonché la relativa documentazione prodotta, saranno trattati in pieno rispetto del D. Lgs. 196/2003 e del Regolamento europeo 679/2016 /GDPR). L’informativa Generale ai Cittadini è reperibile al seguente Link http://www….. oppure presso gli sportelli comunali.