SlideShare a Scribd company logo

Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)

Andrea Maggipinto [+1k]
Andrea Maggipinto [+1k]

Presentazione (estratto) del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Napoli 2017. Keywords: gdpr; cybersecurity; sicurezza; privacy; data breach.

Law
1 of 22
Download to read offline
+ Tutela e sicurezza digitale delle aziende ai tempi del GDPR (estratto) Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
Agenda  GDPR, accountability e sicurezza dei dati  «Data Breach»: profili legali  «Data Breach»: profili tecnologici  Ransomware e tecniche di logging
GDPR in breve REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) ➢ In vigore dal: 24 maggio 2016 ➢ Piena applicazione dal: 25 maggio 2018 ➢ Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
GDPR in breve  «Diritto all’oblio» (art. 17)  «Diritto alla portabilità dei dati» (art. 20)  «Accountability» (Responsabilizzazione: art. 24)  «Privacy by default» e «Privacy by design» (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25)  «Registri delle attività» (art. 30)  «Data Breach» (Notifica di violazione dati personali: artt. 33-34)  «DPIA» e «Risk-based approach» (Valutazione d’impatto sulla protezione dei dati: art. 35)  «DPO» (Designazione del Responsabile della Protezione Dati: art. 37)  «One-stop-shop» (Competenza dell'autorità di controllo capofila: art. 56)
Sicurezza dei dati Articolo 5 - Principi applicabili al trattamento di dati personali «1. I dati personali sono: […] f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)».
Art. 32 GDPR 1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.  pseudonimizzazione e cifratura;  capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;  capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;  procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Sicurezza dei dati
Data Breach = Violazione dei dati Art. 4: «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
Tipologie di Data Breach ❖ Confidentiality breach (accesso, divulgazione) ❖ Integrity breach (alterazione) ❖ Availability breach (perdita, distruzione)
Gestione del «data breach» Comunicazione agli interessati (art. 34) Notifica all’Autorità di controllo (art. 33) 72 ore Incidente se vi è rischio per i diritti e le libertà se il rischio è elevato
Notifica al Garante (art. 33) Articolo 33 - Notifica di una violazione dei dati personali all’autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo … senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Notifica al Garante (art. 33) 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Comunicazione agli interessati (art. 34) Articolo 34 - Comunicazione di una violazione dei dati personali all’interessato 1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. 2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
Comunicazione agli interessati (art. 34) 3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Comunicazione agli interessati (art. 34) 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
Non «adeguata sicurezza» La capacità di individuare, affrontare e notificare una violazione in tempi brevi, e comunque adeguati, è elemento essenziale per la compliance al GDPR. È parte integrante di quelle «misure adeguate» previste dall’art. 32. Non rispettare la procedura di notifica di Data Breach può essere visto come una mancanza di «adeguata sicurezza» nel trattamento dei dati. Violazione della normativa anche ex art. 32, e non solo ex art. 33. Sanzioni (art. 83, c. 4).
Accountability e gestione dei «sinistri» I titolari sono tenuti ad adottare un “Registro degli incidenti” anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: ▪ cause ▪ descrizione della violazione ▪ dati personali compromessi ▪ effetti e conseguenze della violazione ▪ rimedi e provvedimenti presi, ragioni per queste azioni ▪ ragionamento del Titolare che ha escluso l’obbligo di notifica ▪ motivi dell’eventuale ritardo nella notificazione Adozione di una procedura interna di allerta (WP29). È opportuno fornire la prova di aver istruito adeguamente gli incaricati.
Procedura di notifica di Data Breach * Attuale modello di notifica per i fornitori di servizi di comunicazione elettronica
Procedura di notifica di Data Breach
Procedura di notifica di Data Breach
Procedura di notifica di Data Breach
Procedura di notifica di Data Breach
Grazie dell’attenzione. Avv. Andrea Maggipinto www.maggipinto.eu avvocato@maggipinto.eu

Recommended

L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 

Recommended

L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSMAU
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legaliRoberta Rapicavoli
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017Marco Turolla
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...Barbieri & Associati Dottori Commercialisti - Bologna
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 

More Related Content

What's hot

Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSMAU
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017Marco Turolla
 

What's hot (18)

Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina frediani
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina Frediani
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017
 

Similar to Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)

Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Andrea Maggipinto [+1k]
 
Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez SMAU
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides GdprAndrea Gandini
 
Introduzione alla privacy giuridica
Introduzione alla privacy giuridicaIntroduzione alla privacy giuridica
Introduzione alla privacy giuridicaCouncil of Europe
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 

Similar to Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto) (20)

La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)
 
Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez Smau Bologna | R2B 2019 Davide Erriquez
Smau Bologna | R2B 2019 Davide Erriquez
 
Data breach privacy
Data breach privacyData breach privacy
Data breach privacy
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides Gdpr
 
Introduzione alla privacy giuridica
Introduzione alla privacy giuridicaIntroduzione alla privacy giuridica
Introduzione alla privacy giuridica
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 

More from Andrea Maggipinto [+1k]

Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.Andrea Maggipinto [+1k]
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)Andrea Maggipinto [+1k]
 
Proteggere il business nell'era digitale
Proteggere il business nell'era digitaleProteggere il business nell'era digitale
Proteggere il business nell'era digitaleAndrea Maggipinto [+1k]
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)
Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)
Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)Andrea Maggipinto [+1k]
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Andrea Maggipinto [+1k]
 
Opere dell’architettura e progetti di ingegneria
Opere dell’architettura e progetti di ingegneriaOpere dell’architettura e progetti di ingegneria
Opere dell’architettura e progetti di ingegneriaAndrea Maggipinto [+1k]
 
Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...
Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...
Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...Andrea Maggipinto [+1k]
 
L'innovazione nei territori. Tecnologie per il cambiamento.
L'innovazione nei territori. Tecnologie per il cambiamento.L'innovazione nei territori. Tecnologie per il cambiamento.
L'innovazione nei territori. Tecnologie per il cambiamento.Andrea Maggipinto [+1k]
 
Privacy e volontariato: confini normativi e opportunità
Privacy e volontariato: confini normativi e opportunitàPrivacy e volontariato: confini normativi e opportunità
Privacy e volontariato: confini normativi e opportunitàAndrea Maggipinto [+1k]
 
CSIG protezione delle informazioni aziendali [I parte]
CSIG protezione delle informazioni aziendali [I parte]CSIG protezione delle informazioni aziendali [I parte]
CSIG protezione delle informazioni aziendali [I parte]Andrea Maggipinto [+1k]
 
La responsabilità delle imprese e degli enti per violazione della privacy e d...
La responsabilità delle imprese e degli enti per violazione della privacy e d...La responsabilità delle imprese e degli enti per violazione della privacy e d...
La responsabilità delle imprese e degli enti per violazione della privacy e d...Andrea Maggipinto [+1k]
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Andrea Maggipinto [+1k]
 

More from Andrea Maggipinto [+1k] (16)

Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
 
Proteggere il business nell'era digitale
Proteggere il business nell'era digitaleProteggere il business nell'era digitale
Proteggere il business nell'era digitale
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
 
Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)
Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)
Tecnologia e Diritto nella Sharing Economy (avv. Maggipinto)
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
 
Opere dell’architettura e progetti di ingegneria
Opere dell’architettura e progetti di ingegneriaOpere dell’architettura e progetti di ingegneria
Opere dell’architettura e progetti di ingegneria
 
Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...
Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...
Negoziare diritti e responsabilità nei contratti di sviluppo e fornitura di p...
 
Workplace Privacy (excerpt)
Workplace Privacy (excerpt)Workplace Privacy (excerpt)
Workplace Privacy (excerpt)
 
EU Trademarks (excerpt)
EU Trademarks (excerpt)EU Trademarks (excerpt)
EU Trademarks (excerpt)
 
L'innovazione nei territori. Tecnologie per il cambiamento.
L'innovazione nei territori. Tecnologie per il cambiamento.L'innovazione nei territori. Tecnologie per il cambiamento.
L'innovazione nei territori. Tecnologie per il cambiamento.
 
Privacy e volontariato: confini normativi e opportunità
Privacy e volontariato: confini normativi e opportunitàPrivacy e volontariato: confini normativi e opportunità
Privacy e volontariato: confini normativi e opportunità
 
CSIG protezione delle informazioni aziendali [I parte]
CSIG protezione delle informazioni aziendali [I parte]CSIG protezione delle informazioni aziendali [I parte]
CSIG protezione delle informazioni aziendali [I parte]
 
CSIG commercio elettronico [I parte]
CSIG commercio elettronico [I parte]CSIG commercio elettronico [I parte]
CSIG commercio elettronico [I parte]
 
La responsabilità delle imprese e degli enti per violazione della privacy e d...
La responsabilità delle imprese e degli enti per violazione della privacy e d...La responsabilità delle imprese e degli enti per violazione della privacy e d...
La responsabilità delle imprese e degli enti per violazione della privacy e d...
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
 

Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)

  • 1. + Tutela e sicurezza digitale delle aziende ai tempi del GDPR (estratto) Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
  • 2. Agenda  GDPR, accountability e sicurezza dei dati  «Data Breach»: profili legali  «Data Breach»: profili tecnologici  Ransomware e tecniche di logging
  • 3. GDPR in breve REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) ➢ In vigore dal: 24 maggio 2016 ➢ Piena applicazione dal: 25 maggio 2018 ➢ Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
  • 4. GDPR in breve  «Diritto all’oblio» (art. 17)  «Diritto alla portabilità dei dati» (art. 20)  «Accountability» (Responsabilizzazione: art. 24)  «Privacy by default» e «Privacy by design» (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25)  «Registri delle attività» (art. 30)  «Data Breach» (Notifica di violazione dati personali: artt. 33-34)  «DPIA» e «Risk-based approach» (Valutazione d’impatto sulla protezione dei dati: art. 35)  «DPO» (Designazione del Responsabile della Protezione Dati: art. 37)  «One-stop-shop» (Competenza dell'autorità di controllo capofila: art. 56)
  • 5. Sicurezza dei dati Articolo 5 - Principi applicabili al trattamento di dati personali «1. I dati personali sono: […] f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)».
  • 6. Art. 32 GDPR 1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.  pseudonimizzazione e cifratura;  capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;  capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;  procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Sicurezza dei dati
  • 7. Data Breach = Violazione dei dati Art. 4: «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
  • 8. Tipologie di Data Breach ❖ Confidentiality breach (accesso, divulgazione) ❖ Integrity breach (alterazione) ❖ Availability breach (perdita, distruzione)
  • 9. Gestione del «data breach» Comunicazione agli interessati (art. 34) Notifica all’Autorità di controllo (art. 33) 72 ore Incidente se vi è rischio per i diritti e le libertà se il rischio è elevato
  • 10. Notifica al Garante (art. 33) Articolo 33 - Notifica di una violazione dei dati personali all’autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo … senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
  • 11. Notifica al Garante (art. 33) 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  • 12. Comunicazione agli interessati (art. 34) Articolo 34 - Comunicazione di una violazione dei dati personali all’interessato 1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. 2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
  • 13. Comunicazione agli interessati (art. 34) 3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
  • 14. Comunicazione agli interessati (art. 34) 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
  • 15. Non «adeguata sicurezza» La capacità di individuare, affrontare e notificare una violazione in tempi brevi, e comunque adeguati, è elemento essenziale per la compliance al GDPR. È parte integrante di quelle «misure adeguate» previste dall’art. 32. Non rispettare la procedura di notifica di Data Breach può essere visto come una mancanza di «adeguata sicurezza» nel trattamento dei dati. Violazione della normativa anche ex art. 32, e non solo ex art. 33. Sanzioni (art. 83, c. 4).
  • 16. Accountability e gestione dei «sinistri» I titolari sono tenuti ad adottare un “Registro degli incidenti” anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: ▪ cause ▪ descrizione della violazione ▪ dati personali compromessi ▪ effetti e conseguenze della violazione ▪ rimedi e provvedimenti presi, ragioni per queste azioni ▪ ragionamento del Titolare che ha escluso l’obbligo di notifica ▪ motivi dell’eventuale ritardo nella notificazione Adozione di una procedura interna di allerta (WP29). È opportuno fornire la prova di aver istruito adeguamente gli incaricati.
  • 17. Procedura di notifica di Data Breach * Attuale modello di notifica per i fornitori di servizi di comunicazione elettronica
  • 18. Procedura di notifica di Data Breach
  • 19. Procedura di notifica di Data Breach
  • 20. Procedura di notifica di Data Breach
  • 21. Procedura di notifica di Data Breach
  • 22. Grazie dell’attenzione. Avv. Andrea Maggipinto www.maggipinto.eu avvocato@maggipinto.eu