Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
Le slide trasmesse durante il Webinar del 26 Ottobre 2021, tenuto per approfondire sui nuovi adempimenti normativi e sul Manuale di Conservazione, documento informatico obbligatorio che dovrà essere conservato digitalmente.
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
GDPR. Privacy for dummies. Come rispondere alla nuova normativa europea sulla privacy senza impazzire!
La privacy è un obbligo di legge, poco compreso, molto discusso, sempre mal praticato. Come già succede per Certificazione di Qualità, anche la privacy può essere gestita male e rivelarsi inutile, oppure amministrata bene e portare a dei risultati interessanti. Una corretta gestione dei nuovi adempimenti sulla privacy, prescritti dalla normativa europea General Data Protection Regulation, permette infatti alle aziende di seguire dei processi certificati, acquisendo autorevolezza agli occhi dei propri clienti e interlocutori.
Nel corso dell’evento si parlerà di privacy in un modo un po' differente rispetto a quanto abbiamo sentito sin ora. E' un obbligo, lo sappiamo tutti, ma seguire la normativa dovrebbe essere utile alle aziende anche per stringere rapporti con nuovi stakeholder, rafforzare la presenza nel proprio ecosistema e intercettare clienti potenziali.
Guido Loleo si propone di raccontarci ciò che davvero serve sapere sul GDPR, lo spirito della normativa ed il modo più semplice per adeguare un’azienda alle disposizioni europee, inquadrandole all’interno delle politiche di sviluppo aziendali.
L'incontro è rivolto a imprese avviate e nuove imprese, startup, cooperative e imprese sociali, che si confrontano con il trattamento dei dati di persone fisiche.
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
Le slide trasmesse durante il Webinar del 26 Ottobre 2021, tenuto per approfondire sui nuovi adempimenti normativi e sul Manuale di Conservazione, documento informatico obbligatorio che dovrà essere conservato digitalmente.
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
GDPR. Privacy for dummies. Come rispondere alla nuova normativa europea sulla privacy senza impazzire!
La privacy è un obbligo di legge, poco compreso, molto discusso, sempre mal praticato. Come già succede per Certificazione di Qualità, anche la privacy può essere gestita male e rivelarsi inutile, oppure amministrata bene e portare a dei risultati interessanti. Una corretta gestione dei nuovi adempimenti sulla privacy, prescritti dalla normativa europea General Data Protection Regulation, permette infatti alle aziende di seguire dei processi certificati, acquisendo autorevolezza agli occhi dei propri clienti e interlocutori.
Nel corso dell’evento si parlerà di privacy in un modo un po' differente rispetto a quanto abbiamo sentito sin ora. E' un obbligo, lo sappiamo tutti, ma seguire la normativa dovrebbe essere utile alle aziende anche per stringere rapporti con nuovi stakeholder, rafforzare la presenza nel proprio ecosistema e intercettare clienti potenziali.
Guido Loleo si propone di raccontarci ciò che davvero serve sapere sul GDPR, lo spirito della normativa ed il modo più semplice per adeguare un’azienda alle disposizioni europee, inquadrandole all’interno delle politiche di sviluppo aziendali.
L'incontro è rivolto a imprese avviate e nuove imprese, startup, cooperative e imprese sociali, che si confrontano con il trattamento dei dati di persone fisiche.
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Intervento di Claudia Cevenini, Professore a Contratto di Diritto dell'Informatica, Alma Mater Studiorum Università di Bologna, al "17° Meeting Nazionale ACEF - Evoluzione dei Servizi Professionali della Consulenza", tenutosi a Bologna, presso la sede della Regione Emilia Romagna, nei giorni 30 e 31 ottobre e 9 e 10 novembre 2017.
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Intervento di Claudia Cevenini, Professore a Contratto di Diritto dell'Informatica, Alma Mater Studiorum Università di Bologna, al "17° Meeting Nazionale ACEF - Evoluzione dei Servizi Professionali della Consulenza", tenutosi a Bologna, presso la sede della Regione Emilia Romagna, nei giorni 30 e 31 ottobre e 9 e 10 novembre 2017.
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
In occasione dell'incontro con l'Unione Industriale, insieme alla Dottoressa Ambra Nipote Bellan e all'avvocato Savino Figurati abbiamo snocciolato i capisaldi del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Cosa cambierà a partire dal 25 maggio 2018, quando il regolamento sarà direttamente applicabile in tutti gli Stati membri dell'Unione Europea?
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
GDPR Normativa Europea trattamento dati personali 2016/679. Confrontiamoci sulla sicurezza del dato, gestione, necessità di acquisire competenze per una gestione efficace del dato e sicura che garantisca l'interessato e il valore del dato per l'azienda e il professionista.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
Il 25 maggio entrerà in vigore la nuova normativa europea chiamata General Data Protection Regulation, che sostituirà tutte le regolamentazioni attualmente in vigore nei diversi Paesi della EU. Il GDPR permetterà una standardizzazione e un'armonizzazione di tutte le leggi a tutela dei dati dei singoli cittadini che vengono trattati ogni giorno dai Brand. In cosa consiste e come farsi trovare preparati?
Similar to La tutela della privacy e delle informazioni diviene europea. Quali gli impatti più rilevanti per le direzioni aziendali? (20)
Introduzione al GDPR, General Data Protection Regulation.
La tutela della privacy e delle informazioni diviene europea. Quali gli impatti più rilevanti per le direzioni aziendali?
1. Dr.ssa Gloria Ricci
Consultant Colin & Partners
La tutela della privacy e
delle informazioni diviene
europea. Quali gli impatti
più rilevanti per le
direzioni aziendali?
2. Lessico e significati
"trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
"dato personale", qualunque informazione relativa a persona fisica
identificata o identificabile, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di identificazione
personale. (modificata dal d.l. 201/2011)
3. Gli step
Rispetto dei principi (art. 11 del
Codice Privacy)
Informativa (art. 13 del Codice
Privacy)
Consenso (art. 23 del Codice
Privacy)
Misure di sicurezza (art. 31 del
Codice Privacy)
4. Regolamento europeo: tempi di attuazione
L’art 99 del Regolamento recita « Il presente regolamento etra in
vigore il ventesimo giorno successivo alla pubblicazione nella
Gazzetta ufficiale…», è dunque direttamente applicabile?
Si tenga conto del comma 2 del medesimo articolo «esso si
applica a decorrere da due anni dalla data di pubblicazione in
Gazzetta ufficiale…»
In pratica, le disposizioni sono in vigore ma non si applicano…
5. Definizioni
Le definizioni contenute all’interno del Regolamento
hanno come punto di partenza le medesime previste
all’interno della Direttiva 95/46 CE. Tuttavia, vi sono
alcune importanti modifiche a quelle già esistenti ed
alcune invece completamente nuove.
Viene ricompreso nella nozione di dato personale
anche il nome, il dato relativo all’ubicazione
(es.geolocalizzazione) e il dato relativo ad un
identificativo online;
6. Definizioni
Nella definizione di trattamento si fa riferimento ad
operazioni svolte anche su raccolte di dati
personali; ci si riferisce inoltre anche ad attività di
strutturazione dei dati (es. Business Intelligence);
viene introdotto un rafforzamento del lato
documentale rispetto all’acquisizione del consenso
dell’interessato;
Vengono aggiunte «ex-novo» alcune definizioni
quali quella di limitazione di trattamento,
profilazione, pseudonimizzazione, destinatario
(ovvero soggetto che riceve comunicazione di dati
personali), norme vincolanti di impresa.
7. Esempi di Rilascio delle informazioni e conseguenze sul fronte ICT
Quando il trattamento sia basato sul consenso, il Titolare deve essere in
grado di dimostrare che l’interessato ha espresso il proprio consenso al
trattamento dei propri dati personali.
L’interessato ha diritto di revocare il proprio consenso in qualsiasi
momento
Il Titolare adotta misure appropriate per fornire all’interessato i riscontri di
accesso in forma concisa, trasparente, intellegibile e facilmente
accessibile con linguaggio semplice e chiaro se del caso fornendole
anche in formato elettronico
Le informazioni all’interessato che ne faccia richiesta devono essere
riscontrate entro un mese con proroga massimo due mesi
Le informazioni possono essere fornite in combinazione con icone
standardizzate per dare un quadro d’insieme del trattamento e se
presentate elettronicamente devono essere leggibili a macchina
Data retention da inserire già nell’informazione iniziale
8. L’interessato ha il diritto di ricevere in
formato strutturato, di uso comune e
leggibile a macchina i dati personali che
lo riguardano forniti ad un Titolare del
trattamento e ha il diritto di trasmettere
tali dati ad un altro Titolare del
trattamento senza impedimenti.
L’interessato ha diritto di ottenere la
trasmissione diretta dei dati da un
Titolare del trattamento all’altro se
tecnicamente fattibile.
Diritto alla portabilità
9. Misure di sicurezza
• Il Titolare del trattamento mette in
atto misure tecniche ed
organizzative adeguate per
garantire ed essere in grado di
dimostrare, che il trattamento dei
dati è conforme al regolamento.
• Quando proporzionato al
trattamento, l’implementazione di
policy relative alla tutela dei dati
personali (procedure)
• La prova della compliance
normativa attraverso l’adozione e il
rispetto di codici di condotta
10. Misure di sicurezza
• Capacità di assicurare continua
riservatezza, integrità, disponibilità e
resilienza dei sistemi e dei servizi
che trattano dati.
• Pseudonimizzazione e cifratura dei
dati
• Data recovery
• Procedura per provare, verificare e
valutare efficacia delle misure
tecniche ed organizzative
11. Tutela dati personali by design e by default
Tenuto conto dello stato dell’arte e dei costi di attuazione,
nonché della natura, del campo di applicazione, del contesto
e delle finalità del trattamento, come anche dei rischi di varia
probabilità e gravità, sia al momento di determinare i mezzi
del trattamento sia all’atto del trattamento stesso, il Titolare
mette in atto misure tecniche ed organizzative adeguate quali
la pseudonimizzazione o la minimizzazione.
Il Titolare mette in atto misure tecniche ed
organizzative adeguate per garantire che
siano trattati di default, solo i dati personali
necessari per ogni specifica finalità del
trattamento; ciò vale per la quantità dei dati
raccolti, l’estensione del trattamento, il
periodo di conservazione e l’accessibilità.
12. Il Titolare deve conservare un Registro delle categorie di attività di trattamento dei
dati personali all’interno del quale deve indicare:
I propri riferimenti, quelli del contitolare e del DPO, effettuate sotto la
propria responsabilità;
Le finalità del trattamento, le categorie di interessati e le tipologie di dati;
La comunicazione e diffusione, e i trasferimenti dei dati all’estero;
Policy di sicurezza e policy di data retention;
Tale attività è obbligatoria anche per i Responsabili, i quali pertanto dovranno
essere anche impegnati contrattualmente dal Titolare ai fini dell’accountability.
Restano esclusi da tali obblighi i soggetti con meno di 250 dipendenti, a meno
che, il trattamento non presenti rischi per gli interessati, non sia occasionale o
riguardi speciali categorie di dati.
Il registro delle attività di trattamento
13. PIA – Privacy Impact Assessment
Obbligo di PIA quando il trattamento
Venga
effettuato
con nuove
tecnologie;
Presenti un
rischio per i
diritti e le
libertà
fondamentali
dell’interessa-
to;
Riguardi la
profilazione;
Riguardi
categorie
particolari di
dati (es.
biometrci);
Riguardi la
sorveglianza
di zone
accessibili al
pubblico;
Altre ipotesi
decise e
pubblicate
dall’Autorità;
Sentito il DPO, il Titolare nella PIA deve tener conto degli impatti del trattamento sui
diritti dell’interessato in un’ottica di adempimento agli obblighi del Regolamento
anche relativamente all’operato dei fornitori e dei sub-fornitori, tenuto conto dei
Pareri dei WP29.
14. I compiti del DPO
Il DPO ha:
• Compiti d’informazione e consultivi, in
merito al Regolamento e sua applicazione;
• Compiti di sorveglianza di attuazione del
Regolamento, delle policy del Titolare,
nonché un ruolo nella formazione del
personale;
• Compiti di cooperazione e collaborazione
con l’Autorità di controllo.
15. DPO in pratica
E’ dunque necessario il DPO?
Come si colloca la figura nel periodo di
transizione?
Rimane comunque consigliabile procedere ad una
nomina «preventiva», in ragione dei futuri obblighi
e soprattutto degli adempimenti discendenti, in
un’ottica di coordinamento interno.
16. Quando il Titolare non è solo
Contitolari: quando due o più Titolari determinano congiuntamente
le finalità e le modalità del trattamento.
• Stipula di un accordo interno che, in modo trasparente,
determini le reciproche responsabilità in merito
all’adempimento degli obblighi del Regolamento (es. esercizio
dei diritti, obblighi informativi ecc);
• Gli interessati devono aver contezza dei tratti generali
dell’accordo stipulato.
Le medesime considerazioni nei contratti per i servizi corporate.
17. Trattamenti su commissione
Il Titolare può ricorrere solo a Responsabili che assicurino misure tecniche ed
organizzative idonee a soddisfare il rispetto del Regolamento.
L’esecuzione del trattamento su commissione deve essere disciplinato da un
contratto che contempli, la durata del trattamento, la sua natura e finalità, le
tipologie di dati e le categorie di interessati, i crismi di sicurezza e la relativa
ripartizione (PLA), l’obbligo per il responsabile di rispettare i principi del
Regolamento, la cancellazione e la restituzione dei dati, il data breach, audit e
accountability a carico del Responsabile ecc..
In base alle decisioni assunte su finalità e modalità, c’è una valutazione
effettiva della titolarità a prescindere da quanto formalizzato.
18. Se, quando e come è lecito l’operato del sub-fornitori:
Il Titolare abbia dato il consenso scritto, specifico o generico;
Il Responsabile deve aggiornare il Titolare del variare dei sub-
fornitori, dando la possibilità al Titolare di obiettarvi;
Il fornitore deve obbligare contrattualmente il sub-fornitore agli
stessi obblighi assunti con il Titolare.
N.B. Qualora il sub fornitore ometta di adempiere ai propri
obblighi, sarà comunque il fornitore a mantenere l’intera
responsabilità dell’adempimento nei confronti del Titolare
L’operato dei sub fornitori
19. Impianto sanzionatorio
Condizioni generali per
irrogare sanzioni
amministrative
Della natura gravità e durata della violazione, del
numero degli interessati coinvolti
Dolo o colpa nella violazione
Misure di riparazione seguite alla violazione
Precedenti violazioni
Collaborazione con l’Autorità
Categorie di dati coinvolti
Adesione e rispetto dei codici di condotta
Obbligo generale di
imporre sanzioni che
siano efficaci (effettive),
proporzionate e deterrenti.
Nella fase decisionale per
l’imposizione del quantum
e della sanzione stessa, si
deve tener conto:
20. Impianto sanzionatorio
Sanzioni fin a 20.000.000 € o al 4% del fatturato mondiale, nel caso in
cui siano violate:
Principi relativi al trattamento ed al consenso
Disposizioni relative ai diritti dell’interessato
Disposizioni in materia di trasferimento dati
Violazione di ordine di cessazione del trattamento
Si lascia agli stati membri il compito di disciplinare le regole e l’effettiva
applicazione delle sanzioni amministrative.
21. Responsabilità del Titolare/Responsabile
• Chiunque subisca un danno materiale o immateriale
cagionato da una violazione del presente regolamento ha
il diritto di ottenere il risarcimento del danno:
Il Titolare risponde per il
danno cagionato dal
trattamento non conforme
Il Responsabile risponde solo se
non ha adempiuto agli obblighi a
lui specificamente diretti o ha
agito contrariamente alle
istruzioni
23. GRAZIE!
Dr.ssa Gloria Ricci
gricci@consulentelegaleinformatico.it
Copyright
Il materiale didattico (ivi inclusi, ma non limitatamente, il testo,
immagini, fotografie, grafica) è di proprietà esclusiva e riservata
della società Colin & Partners Srl, e protetto dalle leggi sul
copyright ed in generale dalle vigenti norme nazionali ed
internazionali in materia. Il materiale fornito potrà essere
riprodotto solo a scopo didattico per il presente corso od evento
ed ogni altra riproduzione o utilizzo in toto o in parte è vietata
salvo esplicita autorizzazione per scritto e a priori da parte della
Colin & Partners Srl.
Le informazioni contenute nel presente materiale sono da ritenersi
esatte esclusivamente alla data di svolgimento del corso / evento
e potranno essere soggette a variazioni, in base alle modifiche
legislative intervenute, in relazione alle quali la Colin & Partners Srl
non si assume l’onere di inviare l’aggiornamento, salvo
diversamente stabilito contrattualmente tra le parti.
Contatti
Sede legale e amministrativa:
Via Cividale, 51 – Montecatini Terme (PT) 51016
Tel. +39 0572 78166 | Fax +39 0572 294540
Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Roma, Milano
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
info@consulentelegaleinformatico.it
Per organizzare eventi e corsi di formazione:
comunicazione@consulentelegaleinformatico.it