L’intervento ha come obiettivo quello di illustrare sinteticamente l’attuale assetto normativo con riferimento alla gestione dei dati personali nella prospettiva dell’entrata in vigore del regolamento europeo ed alla luce dell’adozione da parte dell’azienda, di particolari processi di esternalizzazione dei dati, dal cloud alla conservazione sostitutiva.
2. Big data tra normative e policy
obbligatorie e “volontarie”
Normativa a tutela della privacyNormativa a tutela della privacy
Norme in materia di conservazione sostitutiva
Applicazione modello 231
Procedure ISO 9001, 22301, 27001
Tutela delle informazioni aziendali
Regolamenti interni
3. Obblighi generali del Responsabile
ONERE DI DIMOSTRAZIONE CHE IL TRATTAMENTO E’ EFFETTUATO IN MODO
CONFORME RISPETTO AL REGOLAMENTO EUROPEO
ATTENZIONE: Il responsabile del trattamento deve essere in grado diATTENZIONE: Il responsabile del trattamento deve essere in grado di
dimostrare l'efficacia delle misure di cui ai paragrafi 1 e 2.
Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il responsabile del
trattamento e l’incaricato del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione aiorganizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai
rischi che il trattamento comporta e alla natura dei dati personali da proteggere.
4. Notificazione della violazione dei dati: obblighi del
Responsabile e dell’Incaricato –
REGISTRO AUTORITA’ DI CONTROLLO
Notificazione della violazione all’autorità di controllo senza ritardo
Entro le 72 ore dal momento della conoscenza
Successivamente solo con giustificazione motivata
Obbligo di allerta da parte dell’incaricato del trattamento
Comunicazione della violazione all’interessato
5. Valutazione d’impatto sulla protezione dei dati:
i trattamenti
la valutazione sistematica e globale di aspetti della personalità
dell’interessato o volta ad analizzarne o prevederne in particolare la
situazione economica, l’ubicazione, lo stato di salute, le preferenzesituazione economica, l’ubicazione, lo stato di salute, le preferenze
personali, l’affidabilità o il comportamento, basata su un trattamento
automatizzato e da cui discendono misure che hanno effetti giuridici o
significativamente incidono sull’interessato
il trattamento di informazioni concernenti la vita sessuale, lo stato di
salute, la razza e l’origine etnica o destinate alla prestazione di servizi
sanitari o a ricerche epidemiologiche o indagini su malattie mentali o
infettive qualora i dati siano trattati per prendere misure o decisioni su
larga scala riguardanti persone specifichelarga scala riguardanti persone specifiche
6. la sorveglianza di zone accessibili al pubblico, in particolare se
effettuata mediante dispositivi ottico-elettronici o altri dispositivi sensori
il trattamento di categorie particolari di dati di cui all'articolo 9,
paragrafo 1, dati relativi all'ubicazione, dati biometrici o datiparagrafo 1, dati relativi all'ubicazione, dati biometrici o dati
riguardanti minori
i dati personali resi accessibili a un vasto numero di persone o grosse
quantità di dati personali concernenti l'interessato trattati o aggregati
con altri dati;
qualunque altro trattamento che richiede la consultazione del
responsabile della protezione dei dati o dell'autorità di controllo
7. La figura del Responsabile della protezione dei dati
Designazione da parte del Responsabile e dell’incaricato per almeno 4
anni quando:anni quando:
● il trattamento è effettuato da un’autorità pubblica o da un organismo
pubblico oppure
● il trattamento è effettuato da una persona giuridica e riguarda oltre
500 interessati l'anno, oppure
● le attività principali del responsabile del trattamento o dell’incaricato del
trattamento consistono in trattamenti che, per la loro natura, il loro oggetto otrattamento consistono in trattamenti che, per la loro natura, il loro oggetto o
le loro finalità, richiedono il controllo regolare e sistematico degli interessati
8. Compiti del Responsabile della protezione dei dati
informare e consigliare il responsabile o in merito agli obblighi
derivanti dal presente regolamento, per quanto attiene alle misure e
procedure tecniche e organizzative, e conservare la
documentazione e le risposte ricevute;documentazione e le risposte ricevute;
sorvegliare l’attuazione e l’applicazione delle politiche del
responsabile del trattamento o dell’incaricato
sorvegliare l’attuazione e l’applicazione del regolamento, con
particolare riguardo ai requisiti concernenti la protezione fin dalla
progettazione, la protezione di default, la sicurezza dei dati,
l’informazione dell’interessato e le richieste degli interessati di
esercitare i diritti riconosciutiesercitare i diritti riconosciuti
garantire la conservazione della documentazione
9. Ed ancora …
controllare che le violazioni dei dati personali siano documentate,
notificate e comunicate
controllare che il responsabile del trattamento o l’incaricato delcontrollare che il responsabile del trattamento o l’incaricato del
trattamento effettui la valutazione d’impatto sulla protezione dei dati
e richieda l’autorizzazione preventiva o la consultazione preventiva
controllare che sia dato seguito alle richieste dell’autorità di controllo
e, nell’ambito delle sue competenze, cooperare con l’autorità di
controllo di propria iniziativa o su sua richiesta;
fungere da punto di contatto per l’autorità di controllo per questioni
connesse al trattamento e, se del caso, consultare l’autorità di
controllocontrollo
10. L’introduzione del concetto di corresponsabilità
Art. 27 1 bis. Se l'incaricato del trattamento è oArt. 27 1 bis. Se l'incaricato del trattamento è o
diventa parte determinante per quanto
concerne le finalità, i mezzi o i metodi di
trattamento dei dati o non agisce soltanto su
istruzione del responsabile del trattamento, è
considerato corresponsabile del trattamento ai
sensi dell'articolo 24.sensi dell'articolo 24.
11. L’esecuzione trattamenti su commissione
L’esecuzione dei trattamenti su commissione deve
essere disciplinata da un contratto o altro attoessere disciplinata da un contratto o altro atto
giuridico che vincoli l’incaricato del trattamento al
responsabile del trattamento e che preveda
segnatamente tutti gli obblighi
elencati dall’art. 26elencati dall’art. 26