Le sanzioni amministrative previste dal GDPR spaventano le aziende. Per non incorrere nelle multe è necessario ripensare la privacy in base al nuovo l'approccio del Regolamento europeo in materia di protezione dei dati personali.
- Sanzioni amministrative
- Big Data
- Dati Personali
- Trattamento dei dati
- Informativa per il trattamento
- Soggetti della Privacy
- DPO Data Protection Officer
- Accountability
- Data Protection Impact Assessment
- Privacy by design & by default
- Data Breach Notification
Intervento dell'avvocato Massimo Bacci al seminario organizzato da CZ Informatica, Stiip e Opensi: GDPR - Come adeguarsi al nuovo Regolamento Europeo sulla Privacy
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
GDPR Normativa Europea trattamento dati personali 2016/679. Confrontiamoci sulla sicurezza del dato, gestione, necessità di acquisire competenze per una gestione efficace del dato e sicura che garantisca l'interessato e il valore del dato per l'azienda e il professionista.
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
GDPR Normativa Europea trattamento dati personali 2016/679. Confrontiamoci sulla sicurezza del dato, gestione, necessità di acquisire competenze per una gestione efficace del dato e sicura che garantisca l'interessato e il valore del dato per l'azienda e il professionista.
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
Breve rassegna delle legislazioni attualmente in vigore in Italia, Unione Eropea e Stati Uniti circa il trattamento dei dati personali.
Analisi sulla Privacy nei Social Network, in particolar modo in Facebook.
Confronto tra la politica di Facebook e WhatsApp.
Riflessioni circa le ripercussioni dell'acquisto di WhatApp da parte di Facebook.
Introduzione al GDPR - Regolamento (UE) 2016/679 - per gli avvocati e i professionisti - dal codice della privacy alla nuova disciplina sulla protezione dei dati personali
La normativa sulla privacy impone parecchie regole da rispettare anche per chi si occupa di marketing.
Fare marketing professionalmente significa conoscere la norma e considerarla nella pianificazione delle azioni di marketing.
In queste slide si vedranno tutti i principali aspetti caratterizzanti la normativa in chiave marketing B2B con esempi pratici di facile comprensione.
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
07/06/2018
Introduzione al nuovo Regolamento sulla protezione dei dati personali (GDPR) entrato in vigore il 25 maggio 2018.
Sono state analizzate tutte le novità introdotte e le conseguenti responsabilità che esse comportano per le aziende che fanno quotidianamente raccolta dati.
Nuovo Regolamento europeo in materia di protezione dei dati personali, considerazioni e risvolti pratici per chi opera nel settore digitale.
- Fare chiarezza sulle novità introdotte dal Regolamento
- Valutare l’Impatto del GDPR sui dati digitali
- Risolvere le principali criticità per chi opera nel settore digitale
Avv. Guido Melluso - www.studiomelluso.it
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
Breve rassegna delle legislazioni attualmente in vigore in Italia, Unione Eropea e Stati Uniti circa il trattamento dei dati personali.
Analisi sulla Privacy nei Social Network, in particolar modo in Facebook.
Confronto tra la politica di Facebook e WhatsApp.
Riflessioni circa le ripercussioni dell'acquisto di WhatApp da parte di Facebook.
Introduzione al GDPR - Regolamento (UE) 2016/679 - per gli avvocati e i professionisti - dal codice della privacy alla nuova disciplina sulla protezione dei dati personali
La normativa sulla privacy impone parecchie regole da rispettare anche per chi si occupa di marketing.
Fare marketing professionalmente significa conoscere la norma e considerarla nella pianificazione delle azioni di marketing.
In queste slide si vedranno tutti i principali aspetti caratterizzanti la normativa in chiave marketing B2B con esempi pratici di facile comprensione.
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
07/06/2018
Introduzione al nuovo Regolamento sulla protezione dei dati personali (GDPR) entrato in vigore il 25 maggio 2018.
Sono state analizzate tutte le novità introdotte e le conseguenti responsabilità che esse comportano per le aziende che fanno quotidianamente raccolta dati.
Nuovo Regolamento europeo in materia di protezione dei dati personali, considerazioni e risvolti pratici per chi opera nel settore digitale.
- Fare chiarezza sulle novità introdotte dal Regolamento
- Valutare l’Impatto del GDPR sui dati digitali
- Risolvere le principali criticità per chi opera nel settore digitale
Avv. Guido Melluso - www.studiomelluso.it
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
L’avvio di una start up rischia di trascurare questioni di compliance legale che rivestono un’importanza primaria, che acquisiranno sempre maggior rilievo in relazione al progresso scientifico e tecnologico cui ogni settore sta andando incontro.
Il seminario si propone, pertanto, di evidenziare i profili giuridici più rilevanti per poter adeguatamente definire le scelte strategiche che contribuiscono alla massimizzazione del profitto, come ad esempio quelle connesse alla costituzione della start up, alla tutela della proprietà intellettuale e alle dinamiche contrattuali. Nel novero delle questioni, la tutela della privacy (tanto degli utenti quanto dei dipendenti) riveste un ruolo fondamentale e di indiscutibile centralità.
Saranno pertanto illustrate le principali questioni giuridiche e individuati alcuni accorgimenti che le startup dovrebbero adottare per evitare di incorrere nelle responsabilità previste in materia dal GDPR e dal d.lgs. 101/2018.
Similar to GDPR: il nuovo Regolamento Europeo dal punto di vista del legale (20)
3. LE SANZIONI AMMINISTRATIVE
ØFino a 10.000.000 € o, se superiore, fino al 2% del fatturato mondiale dell’esercizio
precedente
Casi: consenso minori; misure di sicurezza; tenuta del registro; notificazioni data breach; mancata designazione
responsabile etc.
Ø Fino a 20.000.000 € o, se superiore, fino al 4% del fatturato mondiale dell’esercizio
precedente
Casi: violazione diritti soggetti interessati; mancanza base trattamento; trasferimento fuori UE etc.
5. BIG DATA
Il mercato dei Big Data Analytics continua la sua
crescita nel 2017, segnando un aumento del 22% e
raggiungendo un valore complessivo di 1,1 miliardi di
euro
Il 2018 sarà l’anno del boom della tecnologia IoT
(Internet delle cose), che comporterà un ulteriore
aumento esponenziale della quantità di dati in
circolazione
6. I DATI SONO IL NUOVO PETROLIO PER LE IMPRESE
Entro cinque anni nel mondo ci saranno oltre 50 miliardi di dispositivi connessi, tutti sviluppati per
raccogliere, analizzare e condividere dati
Apple, Alphabet (casa madre di Google), Microsoft, Facebook e Amazon sono le aziende ad
avere oggi il maggior valore sui mercati. Tutte e cinque fondano la loro ricchezza sui dati
raccolti dagli utenti che utilizzano i loro prodotti, nuovo capitale più importante e redditizio del
bene o del servizio stesso che producono
7. I RISCHI DEL TRATTAMENTO DATI PER LE PERSONE FISICHE
ØI dati ci permettono di trovare informazioni ma anche di essere trovati
https://www.youtube.com/watch?v=qYnmfBiomlo&t=10s
ØUna foto imbarazzante scattata anni fa, pubblicata su Facebook e di cui abbiamo perso il controllo può
compromettere un’opportunità lavorativa
ØOggi le persone fisiche non fanno molta attenzione ai dati personali che rilasciano e vedono la privacy
come una seccatura, ma con l’aumento dei dati e l’aumento dei rischi aumenterà anche la loro sensibilità
ØAumenterà conseguentemente il rischio di segnalazioni e sanzioni verso chi non rispetta le norme sulla
privacy
8. I RISCHI DEL TRATTAMENTO DATI PER LE PERSONE FISICHE
9. PERCHÉ IL GDPR?
ØPer generare consapevolezza sul valore dei dati personali ma anche sui rischi che tale trattamento
comporta
ØPer bilanciare l’interesse delle imprese ad utilizzare i dati personali e l’interesse delle persone fisiche
a mantenere il controllo sui loro dati
ØPer ridurre gli adempimenti meramente formali e burocratici e generare consapevolezza e
responsabilizzazione in capo ai soggetti che trattano dati personali
ØPer permettere un uso maggiore ma più consapevole e responsabile dei dati
ØPer uniformare la normativa nel Mercato Unico Europeo
10. GDPR COME OPPORTUNITÀ E NON COME COSTO
ØAdeguarsi al GDPR non è importante soltanto per evitare le sanzioni ma per restare competitivi in un
mercato che, sempre più, ruota intorno al trattamento dei dati personali
ØL’imprenditore è responsabile della scelta dei partner commerciali con cui condivide i dati personali.
Se sceglie un’impresa (es. un provider di cloud computing, un hosting provider, un consulente del lavoro,
un fornitore etc.) che non garantisce il corretto trattamento dei dati personali diviene direttamente
responsabile per culpa in eligendo
ØConseguentemente, vi sarà un vantaggio concorrenziale per i soggetti che sono conformi alle
normative, che si dotano di certificazioni etc., mentre resteranno fuori dal mercato i soggetti che non
sono in grado di dimostrare la loro conformità
12. COS’È UN DATO PERSONALE
Il dato è personale se contiene informazioni idonee a ricondurlo ad una persona fisica identificata o
identificabile
ØInformazione: qualsiasi informazione (es. la posizione, un acquisto, un interesse, l’indirizzo e-mail, l’età etc.)
ØPersona fisica: non sono dati personali i dati delle persone giuridiche, né delle persone decedute
ØIdentificata: non sono dati personali i dati anonimi
ØIdentificabile: quando si può risalire all’identità della persona combinando diverse informazioni, che il
titolare può procurarsi con un sforzo non sproporzionato in termini di costi e tempo, tecnologia disponibile e
tenendo conto delle finalità del trattamento
13. ANONIMIZZAZIONE VS PSEUDONIMIZZAZIONE
ØPseudonimizzazione: i dati possono essere riferiti all’interessato solo mediante informazioni
aggiuntive, che vengono conservate separatamente e soggette a misure tecniche ed organizzative
Il GDPR si applica ma rappresenta un’ottima misura di accountability
ØAnonimizzazione: le informazioni aggiuntive vengono cancellate con processo irreversibile, rendendo
la persona non più identificabile
Il GDPR non si applica
14. TIPOLOGIE DI DATO PERSONALE
Dati comuni
Tutti i dati ad esclusione di quelli sensibili e giudiziari (es. nome, indirizzo, telefono, e-mail, posizione etc.)
Dati sensibili (o categorie particolari di dati personali)
Salute; vita ed orientamento sessuale; origine razziale o etnica; opinioni politiche; convinzioni religiose o
filosofiche; appartenenza sindacale; dati genetici; dati biometrici
Dati giudiziari
I dati relativi a condanne penali e ai reati o a connesse misure di sicurezza
16. COS’È UN TRATTAMENTO
Trattamento è qualsiasi operazione effettuata su un dato personale o su un insieme di dati personali, sia
con mezzi automatizzati che manualmente
Esempi di trattamento: la raccolta, la conservazione, l’organizzazione, l’archiviazione, la cancellazione, la
comunicazione, l’utilizzo etc.
In caso di trattamenti non automatizzati, il GDPR si applica solo con riferimento a dati facenti parte di un
data base strutturato
17. BASI GIURIDICHE DEL TRATTAMENTO
Il trattamento di dati personali comuni è lecito solo in presenza di una delle seguenti basi giuridiche:
Øconsenso per una o più finalità specifiche (da non confondere con l’informativa)
Ønecessità per l’esecuzione di un contratto
Ønecessità per adempiere ad un obbligo legale
Øsalvaguardia degli interessi vitali dell’interessato o di un terzo
Øinteresse pubblico o connesso all’esercizio di pubblici poteri
Øinteresse legittimo del titolare prevalente sui diritti dell’interessato
18. CONDIZIONI DEL TRATTAMENTO DEI DATI SENSIBILI
Il trattamento dei dati sensibili (o dati particolari) è vietato, salvo che nei casi elencati dall’art. 9:
Øconsenso esplicito dell’interessato per una o più finalità specifiche
Øper assolvere gli obblighi ed esercitare i diritti in materia di diritto del lavoro e sicurezza sociale protezione sociale (in
presenza di garanzie appropriate)
Ønecessario per tutelare un interesse vitale dell’interessato, qualora non sia in grado di prestare il consenso, o di un terzo
Ødati resi manifestamente pubblici dall’interessato
Øesercizio di un diritto in sede giudiziaria
Ømotivi di interesse pubblico rilevante
19. L’INFORMATIVA
ØIndipendentemente dalla necessità del consenso, l’informativa deve essere sempre data all’interessato
ØQuando i dati non sono ricevuti direttamente dall’interessato ma da un terzo, il titolare deve comunque inviare
l’informativa all’interessato entro un mese
ØL’informativa deve contenere: l’identità ed i contatti del titolare e dei rappresentanti; le finalità del trattamento;
la base giuridica (es. legittimo interesse); i destinatari; il trasferimento extra UE; il periodo di conservazione od i
criteri per determinarlo; i diritti dell’interessato (accesso, rettifica, cancellazione, opposizione, portabilità etc.); il
diritto di revoca del consenso; il diritto di proporre reclamo; se la comunicazione dei dati è obbligatoria o no e
quali sono le conseguenze della mancata comunicazione; l’esistenza di un processo decisionale automatizzato (es.
profilazione)
20. I SOGGETTI DELLA PRIVACY
GENERAL DATA PROTECTION REGULATION - REG. UE 2016/679
21. I SOGGETTI DEL TRATTAMENTO
ØInteressato: la persona a cui si riferiscono i dati personali trattati
ØTitolare (Controller): la persona fisica o giuridica che determina le finalità e le modalità del trattamento
ØResponsabile del trattamento (Processor): la persona fisica o giuridica che effettua il trattamento per conto del
titolare e secondo le sue istruzioni
ØIncaricato del trattamento: persona autorizzata dal titolare ad effettuare determinati trattamenti
ØResponsabile della protezione dati (DPO): soggetto nominato dal titolare al fine di svolgere funzioni di consulenza,
organizzazione, monitoraggio e cooperazione con l’Autorità Garante in materia di trattamento dei dati personali
ØAmministratore di sistema: soggetto esperto chiamato a gestire e sorvegliare il corretto utilizzo dei sistemi informatici
di un’azienda
22. TITOLARE, CONTITOLARE O RESPONSABILE?
Distinguere il titolare dal responsabile non è sempre immediato, poiché spesso un responsabile del trattamento ha
molta autonomia decisionale (es. in materia di modalità del trattamento e misure di sicurezza)
Un soggetto che tratta dei dati personali comunicatigli da un altro soggetto, per capire se è un responsabile o un
titolare deve rispondere alla seguenti domande:
Nell’interesse di chi sto trattando questi dati? Chi decide le finalità?
Øse tratto i dati nell’interesse e secondo le istruzioni del titolare sono un responsabile
Øse tratto i dati nel mio interesse e decido le finalità sono titolare
Øse condivido l’interesse e la scelta delle finalità del trattamento sono contitolare
23. DESIGNAZIONE DEL RESPONSABILE
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo
ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto
misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente
regolamento e garantisca la tutela dei diritti dell'interessato (art. 28.1 GDPR)
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto
giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento
al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la
finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del
titolare del trattamento (art. 28.3 GDPR)
24. DESIGNAZIONE DEL SUB-RESPONSABILE
ØIl titolare deve espressamente autorizzare il responsabile alla nomina di un sub-responsabile
ØLa designazione di un sub-responsabile richiede un contratto che ricalca quanto scritto in quello per la
designazione del responsabile
25. DESIGNAZIONE INCARICATI
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento,
che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del
trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri (art. 29 GDPR)
Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ex art. 30 Codice), il
regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati
personali sotto l'autorità diretta del titolare o del responsabile" (Garante Privacy)
Devono continuare ad essere designati ed istruiti gli incaricati del trattamento!
26. IL DATA PROTECTION OFFICER
Quali sono i compiti del DPO?
Øsorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione,
del contesto e delle finalità
Øcollaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati
(DPIA)
Øinformare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi
derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati
Øcooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento
Øsupportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un
registro delle attività di trattamento
27. LE COMPETENZE DEL DATA PROTECTION OFFICER
Il Responsabile della protezione dei dati dovrà:
Øpossedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in
termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste
attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di
studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di
conoscenze
Øadempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse
Øoperare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO
esterno)
28. OBBLIGO DI NOMINA DEL DPO
Hanno l’obbligo di nomina di un DPO:
Øamministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie
Øtutti i soggetti la cui attività principale consiste in trattamenti che, su larga scala
Øper la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli
interessati
Ødi dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un DPO, è comunque possibile una
nomina su base volontaria
Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO
29. IL PRINCIPIO DELL’ACCOUNTABILITY
Il concetto di accountability comprende in sé due elementi:
ØResponsabilizzazione interna delle aziende
ØCapacità di dimostrazione
Non sono più sufficienti meri adempimenti burocratici, quali la notificazione al Garante, il rilascio dell’informativa
agli interessati od il rispetto di misure minime di sicurezza. L’imprenditore deve mettere in atto dellemisure di
protezione adeguate valutando autonomamente ciò che ritiene necessario sulla base del rischio. L’imprenditore deve
essere in grado di giustificare la decisione presa, documentando il processo decisionale, nonché di dimostrare di
aver posto in essere le misure ritenute adeguate. L’imprenditore viene responsabilizzato.
30. ESEMPI DI ACCOUNTABILITY
Øtenere un registro dei trattamenti o documentare le ragioni per cui si è deciso di non adottarlo
Ønominare un DPO o documentare la ragione per cui si ritiene di non doverlo nominare
Øadottare una privacy policy aziendale
Øadottare codici di condotta o munirsi di certificazioni
Øassegnare e documentare i ruoli privacy all’interno dell’azienda
Øfare corsi di formazione del personale e documentarli
Øeffettuare una DPIA (Data Protection Impact Assessment) prima di iniziare un trattamento rischioso
Øadottare misure di sicurezza adeguate e documentarle
Øeffettuare audit periodici per verificare il rispetto delle norme privacy etc.
31. APPROCCIO BASATO SUL RISCHIO
Il GDPR introduce un approccio basato sul rischio per determinare quali sono le misure tecniche ed
organizzative da implementare
Il titolare deve tenere in considerazione i rischi di distruzione, perdita, alterazione, pubblicazione non
autorizzata o accesso ai dati personali
Ciò che possono comportare: discriminazione, furto di identità, frode, perdite finanziarie, danni alla
reputazione, svantaggi sociali ed economici etc.
Il tipo di dati trattati: dati comuni, sensibili, giudiziari etc.
32. DATA PROTECTION IMPACT ASSESSMENT
ØPrima di iniziare un trattamento, in particolare se usa nuove tecnologie, idoneo a creare un
alto rischio per i diritti e le libertà degli interessati, il titolare deve effettuare una valutazione
d’impatto (Data Protection Impact Assessment)
ØUna volta analizzati i rischi, il titolare deve porre in essere le misure adeguate
(pseudonimizzazione, minimizzazione etc.) per limitare il rischio
ØSe il rischio resta elevato, nonostante l’applicazione di misure adeguate, occorre rivolgersi
all’Autorità Garante
33. PRIVACY BY DESIGN E BY DEFAULT
Privacy by Design: la tutela della privacy deve essere tenuta in considerazione sin dalla fase di
progettazione di un nuovo trattamento così come di una nuova tecnologia e durante tutto il trattamento,
al fine di mettere in atto misure tecniche ed organizzative adeguate
Es. nel progettare un nuovo applicativo, una software house dovrebbe prevedere misure di minimizzazione dei dati,
pseudonimizzazione, registrazione degli access log, log-out automatico dopo un determinato periodo di non utilizzazione etc.
Privacy by Default: ogni tecnologia deve prevedere come impostazione di default il trattamento meno
invasivo possibile
Es. quando mi iscrivo ad un social network, le impostazioni della privacy preimpostate devono essere le più protettive possibili e
non costringermi a modificarle; i consensi privacy non devono essere preimpostati; le newsletter prevedere il double opt-in etc.
34. DATA BREACH NOTIFICATION
ØUn data breach è una violazione della sicurezza dei dati che può portare alla loro distruzione, perdita,
alterazione, pubblicazione o accesso non autorizzati
ØIn caso di violazione dei dati personali, il titolare notifica il data breach al Garante entro 72 dal momento in cui
ne è venuto a conoscenza, se non è improbabile che la violazione dei dati presenti un rischio per i diritti e le
libertà delle persone fisiche
ØI data breach devono comunque essere sempre registrati e devono essere descritti i provvedimenti adottati per
porvi rimedio
ØSe vi è un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare comunica il data breach anche
ai soggetti interessati
35. STUDIO LEGALE ASSOCIATO CAPPELLINI CARLESI
Avv. Massimo Bacci
LL.M. in Intellectual Property
Via Valentini 23/a
59100 Prato
www.iprights.it
massimobacci@legalicappellinicarlesi.it
Tel. 0574/870551-2
Fax. 0574/870554