GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Introduzione al GDPR - Regolamento (UE) 2016/679 - per gli avvocati e i professionisti - dal codice della privacy alla nuova disciplina sulla protezione dei dati personali
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
Slide proiettate all'eevento di formazione organizzato dallo Studio Legale IUS40, tenutosi a Novara il 9 febbraio 2018. Il Regolamento Europeo sulla protezione dei dati personali è un tema di grande attualità.
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
Introduzione al GDPR - Regolamento (UE) 2016/679 - per gli avvocati e i professionisti - dal codice della privacy alla nuova disciplina sulla protezione dei dati personali
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
Slide proiettate all'eevento di formazione organizzato dallo Studio Legale IUS40, tenutosi a Novara il 9 febbraio 2018. Il Regolamento Europeo sulla protezione dei dati personali è un tema di grande attualità.
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
Evento "Digitalizzazione dell'impresa professionale" organizzato da GEAM - Associazione Georisorse e Ambiente, tenutosi al Politecnico di Torino il 15 gennaio 2018.
[nota: la prima frase alla slide 19 contiene due refusi. Va letta come segue: "Il Controller deve provare di non avere alcuna responsabilità ( = di aver attuato le misure adeguate)".
GDPR EU Personal Data Protection Act 2018 - SAS ItalySAS Italy
SAS Italy - Lo sapevi che le aziende che nel 2018 non saranno conformi alle normative GDPR potrebbero essere multate fino a 20 Milioni di Euro? Scopri nella presentazione di Luciano Meschi, SAS Advisory Industry Consultant, quali sono le aree di intervento e le domande che le organizzazioni devono porsi, per farsi trovare pronte ad ottemperare alle nuove leggi dell’Unione Europea sulla Data Protection, dal trattamento dei dati personali alla loro libera circolazione.
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
07/06/2018
Introduzione al nuovo Regolamento sulla protezione dei dati personali (GDPR) entrato in vigore il 25 maggio 2018.
Sono state analizzate tutte le novità introdotte e le conseguenti responsabilità che esse comportano per le aziende che fanno quotidianamente raccolta dati.
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
Le sanzioni amministrative previste dal GDPR spaventano le aziende. Per non incorrere nelle multe è necessario ripensare la privacy in base al nuovo l'approccio del Regolamento europeo in materia di protezione dei dati personali.
- Sanzioni amministrative
- Big Data
- Dati Personali
- Trattamento dei dati
- Informativa per il trattamento
- Soggetti della Privacy
- DPO Data Protection Officer
- Accountability
- Data Protection Impact Assessment
- Privacy by design & by default
- Data Breach Notification
Intervento dell'avvocato Massimo Bacci al seminario organizzato da CZ Informatica, Stiip e Opensi: GDPR - Come adeguarsi al nuovo Regolamento Europeo sulla Privacy
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Similar to ODCEC Palermo 2018 04 12 GDPR BERTOLINO (20)
1. Nuovo Regolamento EU 2016/679 per la
protezione dei dati personali (GDPR)
Adempimenti necessari e misure tecniche e organizzative per lo studio
12 Aprile 2018
Camera di Commercio, Industria e Artigianato di Palermo
2. CHI SIAMO?
Neostudio Business Data Protection è partner nelle
strategie di data protection in compliance al D.lgs.
196/2003 ed al Regolamento UE 2016/679 (GDPR), di
Aziende, Professionisti e Pubbliche Amministrazioni da
venti anni. E’ stata la prima realtà in Sicilia organizzata
con la specifica finalità di fornire competenze ed
esperienze sugli specifici temi della data protection.
Neostudio è una azienda di professionisti che lavorano
come partner di Aziende, Professionisti e Pubbliche
Amministrazioni e si avvale di un gruppo di lavoro in
possesso delle indispensabili competenze di tipo
giuridico-organizzativo, tecnico-informatico, di risk
management, commerciali e marketing. Tra i
professionisti del nostro gruppo di lavoro vi sono Privacy
Officer e Consulenti Privacy certificati da TUV Italia.www.neostudioprivacy.it
info@neostudioprivacy.it
3. CHI SONO?
Adriano Bertolino, DPO
it.linkedin.com/in/adrianobertolino
about.me/adrianobertolino
Data Protection Officer (DPO)| Consulente della Privacy
Consulente e formatore in materia di protezione dei dati personali
Dal 2001 mi occupo di consulenza tecnico-giuridica e formazione in
materia di protezione dei dati personali per Pubbliche Amministrazioni ed
imprese in tutti i settori di mercato. Sono chiamato quale relatore in
numerosi convegni e seminari di approfondimento in tema di privacy e
sicurezza dei dati personali in manifestazioni nazionali ed internazionali.
La pluriennale esperienza ha permesso di definire un profilo professionale
altamente specializzato quale Data Protection Officer (DPO).
Certificato TÜV Italia n° CDP_272
conforme ISO/IEC 17024:2012
a.bertolino@neostudio.it
4. AGENDA
PRIMA PARTE
• Nozioni e definizioni della data protection introdotte dal GDPR 2016/679
• I ruolo del Responsabile del trattamento in outsourcing nel GDPR;
• Le competenze del Responsabile della Protezione dei Dati (DPO);
• Nuovo sistema sanzionatorio;
SECONDA PARTE
• Cosa cambia nello studio del professionista: Accountability, Privacy by Design e by Default;
• Le misure di sicurezza tecnico-organizzative in conformità al Regolamento UE 679/2016;
• La valutazione dei rischi e il Data Breach;
• Cosa rimane del Codice della Privacy (Provvedimenti Generali e Linee guida del Garante Privacy);
DOMANDE E RISPOSTE
7. Temi disciplinati
dal Regolamento UE 2016/679
Privacy by
Default
Trasferimenti
Extra-UE
Profilazione
on line
Trasparenza
Data
Breach
Threats
Portabilità
dei Dati
Social
e Minori
Privacy
Impact
Assessement
(DPIA)Dirittto
all’oblio
Threats
Privacy by
Design
Accountability
One
Stop
Shop
Data
Protection
Officer
(DPO)
Consenso
Esplicito
Misure di
Sicurezza
Adeguate
Sanzioni
Amministrative
elevate
8. invece si intende «PRIVACY»
Privacy
Riservatezza Integrità Disponibilità
Resilienza dei
sistemi e servizi
9. PRINCIPALI DEFINIZIONI e NOVITÀ
Dato Personale
Trattamento
Pseudoanonimizzazione
Profilazione
Consenso dell'interessato
Titolare e Responsabile del
trattamento
Violazione dei dati personali (Data
Breach)
Trattamento transfrontaliero
Rappresentante
Norme vincolanti d'impresa
Data Protection Officer
Portabilità dei dati
Il General Data Protection Regulation riprende alcune definizioni presenti già nel nostro Codice
Privacy e ne introduce di nuove fondamentali per comprendere l’applicazione del Regolamento UE
10. DATO PERSONALE
• Nome;
• Numero identificazione; (C.F./Matricola)
• Dati relativi all'ubicazione; (GPS, tag RFID)
• Identificativo online; (Login, IP, Cookies)
• Elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica,
economica, culturale o sociale
(Immagine,Impronta,Iride,Comportamento,Etnia,StatussocialeeEconomico)
«Qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); […], direttamente o indirettamente»
11. • L’origine razziale ed etnica;
• Le convinzioni religiose o filosofiche;
• Le opinioni politiche;
• L’adesione a partiti, sindacati,
associazioni a carattere religioso,
politico o sindacale;
• Dati biometrici
• Dati genetici
• Lo stato di salute e la vita e
l’orientamento sessuale
• Provvedimenti di cui al casellario
giudiziario e all’anagrafe delle sanzioni
amministrative dipendenti da reato
(D.lgs.231/2001)
• Condanne penali e ai reati o a connesse
misure di sicurezza
• La semplice qualità di imputato o
indagato ai sensi del codice di procedura
penale
DATI SENSIBILI (art.9) DATI GIUDIZIARI (art. 10)
12. I dati personali identificativi
esclusi dalle categorie
dei dati Sensibili (art. 9, GDPR) e
dati Giudiziari (art. 10, GDPR).
DATO COMUNE/IDENTIFICATIVO
13. TRATTAMENTO DEL DATO PERSONALE
• raccolta,
• registrazione,
• organizzazione,
• strutturazione,
• conservazione,
• adattamento o modifica,
• estrazione,
• consultazione,
• uso,
• comunicazione mediante
trasmissione,
• diffusione o qualsiasi altra forma
di messa a disposizione,
• raffronto o interconnessione,
• limitazione,
• cancellazione o distruzione;
Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
15. RESPONSABILE DEL TRATTAMENTO
La persona fisica, giuridica, ente che tratta dati
personali per conto del titolare del trattamento
Possono esistere più responsabili esterni alla
struttura nominati in outsourcing dal Titolare
…ma attenzioneart. 22.3 – GDPR […disciplinata da un contratto o da
altro atto giuridico, […] che vincoli il responsabile al
titolare del trattamento.
16. SUB-RESPONSABILE DEL TRATTAMENTO
IN OUTSOURCING – art. 28 c. 2
Titolare del
trattamento
•Stabilisce finalità
e modalità del
trattamento di
dati personali
Responsabile
in
outsourcing
•Coadiuva e tratta
dati personali
per conto del
Titolare del
trattamento
Sub-
responsabile
in
outsourcing
• Supporta il
Responsabile
nelle attività
di
trattamento
SOLTANTO CON
AUTORIZZAZIONE SCRITTA
17. FORNITORE TECNOLOGICO
IN OUTSOURCING
•Fornitore hardware o del sistema informativo;
•Fornitore software o del gestionale;
•Fornitore piattaforme di cloud computing (es.
SaaS, PaaS, Iaas)
Naturalmente è necessario tenere conto delle nuove norme
sulla figura dell’AMMINISTRATORE DI SISTEMA
18. AMMINISTRATORE DI SISTEMA
La figura tecnica professionale deve possedere
particolari caratteristiche:
• Requisiti tecnico-organizzativi;
• Qualità di affidabilità e onorabilità
professionali;
• Esperienza e competenza di settore, anche sotto il
profilo della sicurezza per garantire pieno rispetto
delle normative vigenti in materia di protezione dei
dati personali.
Provv. generale del 27/11/2008
19. Registrazione degli accessi
• Devono essere adottati sistemi per la registrazione degli accessi logici
(autenticazione informatica) ai sistemi informatici soltanto da parte degli
amministratori di sistema;
• Gli access log devono garantire caratteristiche di completezza,
inalterabilità e integrità oltre ai riferimenti temporali e descrizione
dell'evento generato;
• I dati di log devono essere conservati per un periodo, non inferiore a sei
mesi;
19
AMMINISTRATORE DI SISTEMA
Quali compiti principali?
20. …LE PERSONE AUTORIZZATE…
(L’INCARICATO DEL TRATTAMENTO)
‘’…le persone autorizzate al trattamento dei
dati personali sotto l’autorità diretta del
titolare o del responsabile…’’
Le persone fisiche autorizzate dal titolare o dal
responsabile a compiere soltanto operazioni di
trattamento per le quali sono state designate.
21. L’INTERESSATO
La persona fisica a cui si riferiscono i dati personali
oggetto di trattamento
Il Regolamento UE ne tutela i diritti e le libertà
fondamentali, a cui corrispondono i doveri di chi
effettua il trattamento di dati personali
22. DPO: DATA PROTECTION OFFICER
Quali caratteristiche?
art. 37 - GDPR
‘’designato in funzione
delle qualità professionali,
in particolare della
conoscenza specialistica
della normativa e delle
prassi in materia di
protezione dei dati’’
23. DPO: DATA PROTECTION OFFICER
Chi è obbligato alla nomina?
FAQ del Garante Privacy del 26 marzo 2018:
a titolo esemplificativo e non esaustivo:
istituti di credito; imprese assicurative; sistemi di informazione
creditizia; società finanziarie; società di informazioni commerciali;
società di revisione contabile; società di recupero crediti; istituti di
vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società
operanti nel settore delle "utilities" (telecomunicazioni, distribuzione
di energia elettrica o gas); imprese di somministrazione di lavoro e
ricerca del personale; società operanti nel settore della cura della
salute, della prevenzione/diagnostica sanitaria quali ospedali privati,
terme, laboratori di analisi mediche e centri di riabilitazione; società di
call center; società che forniscono servizi informatici; società che
erogano servizi televisivi a pagamento.
24. DPO: DATA PROTECTION OFFICER
Quali competenze?
DPO
Management
Gestione e analisi dei processi
Lex
Competenze sulle norme privacy
Information Technology
Competenze di sicurezza informatica
Risk Management
Gestione del rischio
25. DPO: DATA PROTECTION OFFICER
Quale posizione?
1. Deve possedere competenze giuridiche, informatiche, di
risk management e amministrative;
2. Si relaziona direttamente con i vertici gerarchici Titolare o
Responsabile;
3. Deve svolgere i propri compiti in modo autonomo ed
indipendente;
4. Non può essere individuato tra soggetti che per funzioni o
ruoli determinano un conflitto d’interesse;
No IT Manager, NO Manager, NO CFO
26. 20/12/2016
È una delle novità introdotte dal nuovo regolamento Ue: si rischiano pesanti multe per i doppi ruoli e i conflitti
d'interessi. E una società bavarese è già inciampata sulle nuove norme.
di Nicola Bernardi, Presidente di Federprivacy
E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva
designato il proprio IT manager come data protection officer, e questo nonostante la normativa
prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.
Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio
IT manager come data protection officer, tuttavia quella del conflitto d'interessi con il nuovo Regolamento
Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare
attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al
2% del fatturato globale annuo.
http://www.corrierecomunicazioni.it/digital/45003_privacy-data-protection-officer-incompatibile-con-il-
manager-it.htm#
27. DPO: DATA PROTECTION OFFICER
Quali compiti?
DPOFormazione e
sensibilizzazione
Pareri in
relazione alla
DPIA
Sorvegliare
l’applicazione
del GDPR Consulenza e
informazione
per Titolare,
Incaricati e
INTERESSATI
Cooperazione
e contatto con
il Garante
Privacy
28. I CONTROLLI
Ad oggi esistono due fonti di rischio principali in
relazione ai controlli:
a) Su iniziativa dei soggetti precedentemente
identificati (livellobasso);
b) A seguito di segnalazione al Garante previa
richiesta di esercizio dei diritti (livelloaltoincasodi
noncorrettagestionedeirapporticonl’interessato);
29. L’Autorità Garante ha il compito di:
• Verificare l’applicazione del Codice e del
Regolamento UE;
• Emanare pareri e provvedimenti generali
interpretativi delle norme vigenti e Linee guida;
• Essere giudice nei procedimenti di tipo
stragiudiziale su istanza dell’interessato;
• Emanare autorizzazioni generali;
30. IL POTERE DI INDAGINE DEL GARANTE
Il Garante può effettuare ispezioni volte a verificare
l’applicazione delle norme con i propri ispettori.
oppure
Tramite la Guardia di Finanza in virtù di un Protocollo
d’intesa stipulato nel 2005 che verifica
l’organizzazione e l’adeguamento
alla norme vigenti sulla data protection.
31. Quattro spicci…
art. 83 - GDPR
4. Fino a 10.000.000 euro, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio precedente,
se superiore.
5. Fino a 20.000.000 euro, o per le imprese, fino
al 4 % del fatturato mondiale totale annuo
dell'esercizio precedente, se superiore.
32. I SOGGETTI RESPONSABILI
Il TITOLARE ed il RESPONSABILE sono sempre gli UNICI
responsabili in solido a livello civile e penale.
In caso di dolo o colpa grave dell’INCARICATO (persona
autorizzata al trattamento) può essere esercitato il diritto di
rivalsa su quest’ultimo.
32
33. Diritti e Responsabilità
Art. 82 – GDPR - Diritto al risarcimento e responsabilità
1.Chiunque subisca un danno materiale o immateriale causato da
una violazione del presente regolamento ha il diritto di ottenere il
risarcimento del danno dal titolare del trattamento o dal
responsabile del trattamento.
ma…
3.Il titolare del trattamento o il responsabile del trattamento è
esonerato dalla responsabilità, […] SOLO se dimostra che l'evento
dannoso non gli è in alcun modo imputabile.
34. PARTE SECONDA
• Cosa cambia nello studio del professionista: Accountability, Privacy by
Design e by Default;
• Le misure di sicurezza tecnico-organizzative in conformità al
Regolamento UE 679/2016;
• La valutazione dei rischi (DPIA) e il Data Breach;
• Cosa rimane del Codice della Privacy
(Provvedimenti Generali e Linee guida del Garante Privacy);
35. Principio di Accountability (art. 24)
‘’Tenuto conto della natura, […] e delle finalità del trattamento,
nonché dei rischi […] per i diritti e le libertà delle persone fisiche, il
titolare del trattamento mette in atto misure tecniche e organizzative
adeguate per garantire, ed essere in grado di dimostrare, che il
trattamento è effettuato conformemente al presente regolamento…’’
36. Principio di Accountability (art. 24)
GDPR 2016/679
D.lgs. 196/2003
TUTELA SOSTANZIALE vs ADEMPIMENTO FORMALE
37. Sicurezza dei dati personali
nel Regolamento UE 2016/679
art. 32 – General Data Protection
Regulation
‘‘Tenendo conto dello stato dell’arte e
dei costi di attuazione, […], come
anche del rischio di varia probabilità
e gravità per i diritti e le libertà delle
persone fisiche, il titolare del
trattamento e il responsabile del
trattamento mettono in atto misure
tecniche e organizzative adeguate…’’
38. Registro dei Trattamenti (art. 30)
‘‘Ogni titolare del trattamento e il responsabile, ove
nominato, tengono un registro delle attività di
trattamento svolte sotto la propria responsabilità…’’
Sostituisce la notificazione ex art. 37 e il c.d. prior checking (o
verifica preliminare) ex art. 17 D.lgs. 196/03
39. Registro dei Trattamenti (art. 30)
Chi è obbligato?
1. Titolari del trattamento con più di 250 dipendenti;
oppure
2. Quei trattamenti con:
a) con un rischio per i diritti e le libertà dell’interessato;
b) Non siano occasionali;
c) Trattamenti che comprendono i dati di cui all’art. 9 (dati sensibili) o art.
10 (dati giudiziari);
40. Registro dei Trattamenti (art. 30)
Cosa contiene?
a) Dati identificativi e di contatto del Titolare/i o Responsabile;
b) Tipologia dei dati personali trattati e categorie degli interessati;
c) Finalità dei trattamenti;
d) Tempi di conservazione, per tipologia di dati ;
e) Identificazione di eventuali Destinatari, anche transfrontalieri dei dati
personali;
f) Descrizione delle misure di sicurezza tecniche e organizzative adottate
ex art. 32;
41. 41
INFORMATIVA E CONSENSO
Chi effettua il trattamento deve fornire
l’Informativa (sempre obbligatoria) in
modo chiaro e trasparente, anche in
forma orale e acquisire il Consenso.
…l’Interessato ha diritto ad ottenere una
serie di informazioni ed ha diritto a prestare
o meno il consenso al trattamento!
42. 43
COSA DEVE CONTENERE L’INFORMATIVA - 2
L’informativa deve contenere anche (art. 13):
• Eventuali intenzioni di trasferimento di dati personali a Paesi UE o
Extra-UE;
• Modalità di esercizio dei diritti dell’interessato:
Accesso;
Rettifica;
Cancellazione
(diritto all’oblio);
Limitazione del
trattamento;
Portabilità dei dati;
Opposizione;
Divieto di profilazione
automatizzata;
43. CONSENSO
Il Consenso deve essere in tutti i casi:
• libero, specifico, informato e inequivocabile e NON è
ammesso il consenso tacito o presunto;
• Esplicito per il trattamento di dati sensibili;
• Nel caso di servizi online diretti a minori di 16 anni il
trattamento è lecito se autorizzato da chi esercita la
responsabilità genitoriale;
DIMOSTRABILE!!!
44
44. Privacy by Design
Protezione dei dati
personali già dalla fase
di ideazione e
progettazione di un
trattamento, in modo
da prevenire possibili
rischi di violazione
[art. 25 - GDPR]
45. Privacy by Design
art. 4 -5)
Pseudoanonimizzazione:
Una misura di protezione
dei dati personali in modo
che tali dati personali non
possano più essere
attribuiti a un interessato
specifico senza l'utilizzo di
informazioni aggiuntive.
DATI
IDENTIFICATIVI
DATI
PERSONALI
Titolare
46. Privacy by Design
Minimizzazione dei dati
Limitazione nel trattamento dei dati:
• Adeguati;
• Pertinenti;
• Limitati;
• Conservazione
Solo
i dati necessari rispetto alle finalità perseguite
47. Privacy by Default
Art. 25.2 - – General Data Protection Regulation
Il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate per garantire che siano trattati, per
impostazione predefinita, solo i dati personali necessari per
ogni specifica finalità del trattamento. Tale obbligo vale per la
quantità dei dati personali raccolti,[…] il periodo di
conservazione e l'accessibilità.[…]
48. Come devono essere Trattati? – art. 5 del GDPR
‘’Trattati in maniera da garantire
un'adeguata sicurezza dei dati
personali, compresa la protezione,
mediante misure tecniche e
organizzative adeguate, da
trattamenti non autorizzati o illeciti
e dalla perdita, dalla distruzione o
dal danno accidentali’’
Il Titolare del trattamento è
responsabile della compliance di
ogni trattamento effettuato e deve
essere in grado di comprovarlo
(«accountability»)
50. CAUSA DEI DATA
BREACH DI DATI
PERSONALI?
MANCANZA DI
CONSAPEVOLEZZA
Dati Personali NOTI:
• Email e Documenti
• Elenchi e Prospect
• Clienti e Fornitori
• Collaboratori
Dati Personali SOMMERSI:
• Copie su pendrive o cloud non gestiti
• Post-it su monitor
• Device personali
• Dati da spazzatura
• Accessi locali e remoti incustoditi
51. Notifica del Data Breach (art. 33)
In caso di data breach (violazione dei
dati personali) il Titolare dovrà
comunicare entro 72 ore al Garante
l’evento e se tale violazione comporti
elevati rischi per i diritti e le libertà
degli interessati andrà comunicato
tempestivamente anche agli stessi.
52. DPIA: Data Protection Impact Assessment (art. 35)
Cos’è la DPIA?
E’ una analisi da effettuare PRIMA di procedere al trattamento
dati al fine di VALUTARE I RISCHI per i diritti e le libertà delle
persone fisiche derivanti dal trattamento dei loro dati personali,
così da identificare le misure necessarie per la mitigazione di tali
rischi.
53. DPIA: Data Protection Impact Assessment (art. 35)
Quando è obbligatoria la DPIA?
Quando un trattamento “possa presentare un rischio elevato per i
diritti e le libertà delle persone fisiche”
• In particolare in caso di:
a) una valutazione sistematica e globale di aspetti personali relativi a persone
fisiche, compresa la profilazione;
b) trattamento su larga scala di dati sensibili o giudiziari;
c) sorveglianza sistematica su larga scala di zone di accesso pubblico;
e per tipologie di trattamenti specificatamente indentificati dal Garante
54. DPIA: Data Protection Impact Assessment (art. 35)
Quando è obbligatoria la DPIA?
Ma anche…
quando viene introdotta una nuova tecnologia che può
comportare un rischio elevato nel trattamento dei dati personali
oppure
Siano intervenute variazioni dei rischi rilevati tenuto conto della
natura, dell’ambito, del contesto e della finalità dei trattamenti
55. DPIA: Data Protection Impact Assessment (art. 35)
Qual è lo scopo delle DPIA?
E’ un importante strumento per il Titolare,
per raggiungere e dimostrare la compliance al GDPR, in
quanto rileva i rischi nel trattamento effettuato e descrive
le misure di sicurezza adottate per ridurli.
Sostiene il principio di accountability (responsabilizzazione) del
Regolamento UE 2016/679 (art. 5 comma 2)
56. DPIA: Data Protection Impact Assessment (art. 35)
Cosa contiene la DPIA?
Data Protection Impact Assessment
descrizione dei
trattamenti
previsti e delle
finalità di tali
trattamenti;
valutazione della
necessità e
proporzionalità
dei trattamenti;
valutazione dei
rischi per i diritti
e le libertà degli
interessati;
misure previste
per mitigare i
rischi e
dimostrare la
conformità al
GDPR;
57. Le 4 colonne del Regolamento UE 2016/679
PRIVACYBYDESIGNe
PRIVACYBYDEFAULT
DATAPROTECTION
IMPACTASSESSMENT–
DATAPROTECTION
OFFICER(DPO)
ACCOUNTABILITY
DATABREACH
58. 59
GDPR = Opportunità
Costruire o consolidare un rapporto di fiducia con
l’Utente (Trust services e Brand Reputation)
Innovazione tecnologica nella sicurezza dei dati aziendali
(crittografia, anonimizzazione, pseudoanonimizzazione)
Crescita economica (previsto un aumento del PIL di € 206
miliardi nel 2020 dell’UE)
La compliance per la differenziazione dai competitor
59. • Risk Assessment tecnologico e organizzativo
• Pianificazione implementazione misure di sicurezza
• Informativa e gestione dei consensi
• Registro dei trattamenti
• Gestione data breach
• Rispetto provvedimenti del Garante
• Verifica periodica
ATTIVITÀ DA SVOLGERE PER LO STUDIO
60. Applicabilità del Diritto nazionale
GDPR - Consid. (10) […Il presente regolamento prevede anche un margine
di manovra degli Stati membri […] con riguardo al
trattamento di categorie particolari di dati personali. In
tal senso,[…] il diritto degli Stati membri stabilisca le
condizioni per specifiche situazioni di trattamento,
anche determinando con maggiore precisione le
condizioni alle quali il trattamento di dati personali è
lecito.]
61. PROVVEDIMENTI A CARATTERE GENERALE E
LINEE GUIDA DEL GARANTE
• Informativa e Consenso per l’uso dei cookie nei sito/blog
• Linee guida in materia di posta elettronica e internet
• Dismissione o trasferimento di apparecchiature elettroniche
• Videosorveglianza
62
62. PROVVEDIMENTO DEL GARANTE
IN MATERIA DI COOKIE - 2
COSA SONO I COOKIES?
I cookie sono brevi frammenti di codice/testo (lettere e/o numeri)
memorizzati sul vostro browser sullo specifico dispositivo da voi
utilizzato (computer, tablet, smartphone) inviati dal Sito visitato e
successivamente ritrasmessi allo stesso che contengono
informazioni da utilizzare nel corso della medesima visita o in
seguito, anche a distanza di giorni. I cookie vengono memorizzati, in
base alle preferenze dell'utente.
63
63. PROVVEDIMENTO DEL GARANTE IN MATERIA DI
COOKIE - 3
DIFFERENZA TRA I COOKIES
64
TECNICI PROFILAZIONE
Rilasciati solitamente dal
sito stesso, necessari o
propedeutici all’utilizzo del
sito. (sessione, navigazione e
analytics se anonimi).
No consenso, No notifica
Rilasciati dal sito stesso o da
altri siti collegati, per fini di
profilazione e marketing in
base alle preferenze
dell’utente.
Si Consenso e Si Notifica
64. PROVVEDIMENTO DEL GARANTE IN MATERIA DI
COOKIE - 4
OBBLIGHI DI INFORMATIVA
Privacy Policy o Cookie Policy
65
65. INTERNET E FLUSSI INFORMATIVI
LELINEEGUIDAPERPOSTAELETTRONICAEINTERNET-1
Il Garante privacy, con un provvedimento generale fornisce concrete
indicazioni in ordine all'uso dei computer sul luogo di lavoro.
Perché ad esempio dall'analisi dei siti web
visitati si possono trarre informazioni
anche sensibili sui dipendenti e i messaggi
di posta elettronica possono avere contenuti a carattere privato.
Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado
di prevenire il rischio di utilizzi impropri e la lesione della riservatezza
dei lavoratori.
66
66. INTERNET E FLUSSI INFORMATIVI
LELINEEGUIDAPERPOSTAELETTRONICAEINTERNET-2
Il provvedimento raccomanda ai Titolari:
• L'adozione di un disciplinare interno che descriva gli usi consentiti
di internet e della posta elettronica, definito coinvolgendo anche
le rappresentanze sindacali.
• Informare con chiarezza e con massima pubblicità, i lavoratori sulle
modalità di utilizzo di Internet e della posta elettronica.
• Informare sulla possibilità che vengano effettuati controlli ed
analisi per fini di sicurezza dei sistemi informativi garantendo
principi di pertinenza e non eccedenza.
67
67. INTERNET E FLUSSI INFORMATIVI
LELINEEGUIDAPERPOSTAELETTRONICAEINTERNET-4
POSTA ELETTRONICA :
• L’utilizzo di indirizzi di posta elettronica
condivisi tra più lavoratori, oltre a quelli individuali;
• l'inserzione nei messaggi di un disclaimer che informi i destinatari
sulla la natura non personale del messaggio e che le risposte
potranno essere conosciute nell'organizzazione di appartenenza
del mittente;
68
68. PROVVEDIMENTI DEL GARANTE RELATIVI
ALLA GESTIONE INFORMATICA
DISMISSIONEDIAPPARECCHIATUREELETTRICHEEDELETTRONICHE-1
Il Garante richiama sulla necessità di adottare idonei accorgimenti e misure, volti
a prevenire accessi non consentiti ai dati personali memorizzati nelle
apparecchiature elettriche ed elettroniche destinate a essere:
a. reimpiegate o riciclate;
b. smaltite;
seguendo le procedure indicate nel provvedimento stesso
69
69. PROVVEDIMENTI DEL GARANTE RELATIVI ALLA GESTIONE
INFORMATICA
DISMISSIONEDIAPPARECCHIATUREELETTRICHEEDELETTRONICHE-2
a. Per il reimpiego e/o il riciclaggio di apparecchiature elettriche ed
elettroniche devono essere seguite le procedure che consentano
l'effettiva cancellazione dei dati o garantire la loro non intelligibilità.
Tali misure, anche in combinazione tra loro, devono tenere conto degli
standard tecnici esistenti.
70
70. PROVVEDIMENTI DEL GARANTE RELATIVI
ALLA GESTIONE INFORMATICA
DISMISSIONEDIAPPARECCHIATUREELETTRICHEEDELETTRONICHE-3
b. Per lo smaltimento di apparecchiature elettriche ed elettroniche devono
essere seguite le procedure che consentono l'effettiva cancellazione dei
dati personali dai supporti contenuti nelle apparecchiature ciò può anche
comportare la distruzione dei supporti di memorizzazione di tipo ottico o
magneto-ottico in modo da impedire l’acquisizione indebita di dati
personali.
71
71. VIDEOSORVEGLIANZA
L’utilizzo di sistemi di videosorveglianza è consentito soltanto in
garanzia delle libertà fondamentali ed un elevato livello di tutela
dei diritti dell’interessato e rispettando le seguenti regole:
1) Principio di liceità;
2) Principio di necessità;
3) Principio di proporzionalità;
4) Principio di finalità;
5) Indispensabile accordo sindacale o accettazione di conforme
istanza presentata ad ufficio provinciale del lavoro.
72
72. VIDEOSORVEGLIANZA - 3
CONSERVAZIONE:
La conservazione delle immagini deve essere commisurata al tempo
necessario al raggiungimento delle finalità perseguite.
Pertanto, fatte salve speciali esigenze, possono essere registrate le ultime
24, 48 o 72 ore in base ad orari apertura o in caso di attività
particolarmente rischiose o per esigenze di ulteriore conservazione è
necessario sottoporre il progetto di videosorveglianza a verifica preliminare
del Garante.
73
73. …PER NON RISCHIARE
Identificazione dei
principi di liceità e
delle finalità del
trattamento;
Analisi dei rischi in
base alla probabilità
e gravità;
Selezione solo di
partner conformi
alle norme privacy
(Outsourcing);
Adeguate misure di
sicurezza dei dati, nei
sistemi tecnologici e
nei processi aziendali;
Nomina delle figure
interne/eserne
autorizzate al
trattamento;
Compliance ai
provvedimenti delle
Autorità Garanti
75. …e ancora i seguenti argomenti del GDPR
Consenso
Esplicito
Misure di
Sicurezza
Adeguate
Sanzioni
Amministrative
elevate
• One Stop Shop;
• Diritto all’oblio;
• Social e minori nel web;
• Trattamento transfrontaliero UE ed extra UE;
• Profilazione;
• Gruppo imprenditoriale e Stabilimento principale;
• Autorità di controllo interessata;
• Rappresentante;
• Norme vincolanti d’impresa;
• Servizi delle società dell’informazione;
76. …e ancora i seguenti provvedimenti del Garante
Consenso
Esplicito
Misure di
Sicurezza
Adeguate
Sanzioni
Amministrative
elevate
• Dati bancari e finanziari
• Marketing;
• Spam;
• Profilazione utente;
• Fidelity card;
• Geolocalizzazione;
• Biometria e firma digitale;
• Dati sanitari e F.S.E.;
• Refertazione on-line;
77. NEO STUDIO 2000 s.r.l.
Largo Villaura, 27 – Palermo - Tel. 091 364924
neostudio@neostudio.it - www.neostudio.it
Adriano Bertolino, DPO
a.bertolino@neostudio.it
mobile +39 3477167484