I servizi di VM Sistemi a supporto dell’Iperconvergenza
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
1.
2. Marketing & Communication
Colin &
Partners
Privacy e
tutela delle
informazioni
Digitalizzazione
Sorveglianza e
controllo
Modello 231 e
reati
informatici
Intellectual
property
Diritto
informatico
Think Factory
LaaS - Legal as a Service
DPO
3. Verso il GDPR attraverso
il Privacy Impact
Assessment:
responsabilità, ruoli,
sanzioni, esempi
Confindustria Ravenna, 13 Settembre 2017
GDPR & GDPR
Avv. Alessandro Cecchetti
General Manager Colin & Partners
4. Live Poll: "Come si comporterebbe la
vostra azienda a fronte di un DATA BREACH?"
http://etc.ch/te8y
https://directpoll.com/r?XDbzPBd3ixYqg8JSQo47dpdM9iO3ZkIob3huJzJ0
5. Verso il Regolamento Europeo …
Mappatura dei ruoli e dei
trattamenti
Flusso dei dati, rilascio
delle informative, gestione
del consenso
Analisi dei contratti
infragruppo e conseguenti
proposte di
integrazione/modifica in
base alle esigenze
normative
Regolarizzazione del
portale e degli altri spazi
web aziendali
Analisi dei rapporti con i
soggetti esterni in
particolare PLA (Privacy
Level Agreement) e SLA
(Service Level Agreement)
Analisi dei trasferimenti di
dati all’estero e BCR
(Binding Corporate Rules)
Regolamenti Informatici
(Interni, Fornitori, Pec...)
Policy di data retention
6. Alcuni Provvedimenti emanati
dall’Autorità trasversali alle Aziende
Provvedimento
sulla dismissione
della spazzatura
elettronica
Provvedimento in
materia di
amministratore di
sistema
Provvedimento in
materia di
videosorveglianza
Provvedimento in
tema di biometria
7. Condizioni generali per irrogare sanzioni
amministrative
Sanzioni da € 10.000.000 a € 20.000.000 o dal 2% al 4% del fatturato mondiale
nel caso in cui siano violati:
Si lascia agli stati membri il compito di disciplinare le regole e l’effettiva
applicazione delle sanzioni amministrative.
Principi relativi
al trattamento
e al consenso
Disposizioni
relative ai diritti
dell’interessato
Disposizioni in
materia di
trasferimento
dati
Ordine di
cessazione del
trattamento
8. Ambito di applicazione territoriale
Il Regolamento si applica al trattamento effettuato nell’ambito delle
attività di uno stabilimento di un Titolare del trattamento o di un
Responsabile del trattamento nell’Unione, indipendentemente dal fatto che
il trattamento sia effettuato o meno nell’Unione.
Il Regolamento si applica al trattamento dei dati personali di interessati
che si trovano nell’Unione effettuato da un Titolare del trattamento o
Responsabile del trattamento che non è stabilito nell’Unione quando le
attività di trattamento riguardano:
• Offerta di beni o prestazione di servizi ai suddetti interessati nell’Unione;
• Il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione.
Il Regolamento si applica altresì per il trattamento effettuato da un Titolare
non stabilito all’interno dell’Unione, ma in un luogo dove sia possibile
l’applicazione della legge nazionale di uno Stato membro in virtù di altri
accordi di natura internazionale (es. convenzioni, protocolli).
9. Titolare e misure di sicurezza
Tenuto conto della natura, del campo di
applicazione, del contesto e delle finalità
del trattamento, nonché dei rischi di
varia probabilità e gravità per i diritti e le
libertà delle persone fisiche, il
responsabile Titolare del trattamento
mette in atto misure tecniche ed
organizzative adeguate per garantire ed
essere in grado di dimostrare che il
trattamento dei dati è conforme al
regolamento.
Tali misure sono riesaminate ed
aggiornate qualora necessario.
Tali misure includono politiche adeguate
in materia di protezione dei dati.
10. Responsabilità del Titolare
Nei compiti e responsabilità del Titolare si fa menzione degli obblighi già esistenti,
aggiungendo:
Quando proporzionato
al trattamento,
l’implementazione di
policy relative alla
tutela dei dati personali
(procedure).
La prova della
compliance normativa
attraverso l’adozione e
il rispetto di codici di
condotta.
11. Quali misure di sicurezza cita
espressamente il Regolamento?
Pseudonimizzazione e cifratura dei
dati;
Capacità di assicurare continua
riservatezza, integrità, disponibilità
e resilienza dei sistemi e dei servizi
che trattano dati;
Procedura per provare, verificare e
valutare efficacia delle misure
tecniche ed organizzative;
Data recovery.
12. Tutela dati personali by design
Tenuto conto dello stato dell’arte
e dei costi di attuazione, nonché
della natura, del campo di
applicazione, del contesto e delle
finalità del trattamento, come
anche dei rischi di varia
probabilità e gravità, sia al
momento di determinare i mezzi
del trattamento sia all’atto del
trattamento stesso, il Titolare
mette in atto misure tecniche ed
organizzative adeguate quali la
pseudonimizzazione o la
minimizzazione.
13. Tutela dati personali by default
Il Titolare mette in atto misure
tecniche ed organizzative
adeguate per garantire che
siano trattati di default solo i
dati personali necessari per
ogni specifica finalità del
trattamento; ciò vale per la
quantità dei dati raccolti,
l’estensione del trattamento, il
periodo di conservazione e
l’accessibilità.
14. PbD: i 7 principi
Proattivo non reattivo;
preventivare non
rimediare
Privacy By Default
Privacy incorporata
nell’architettura del
sistema
Conciliazione tra
massima funzionalità
e rispetto dei diritti
Protezione del ciclo di
vita dei dati
Visibilità e
trasparenza
Centralità dell’utente
15. Joint Controller: Committente e Fornitore
Gli obblighi che ne discendono:
• Stipula di un accordo interno che, in modo
trasparente, determini le reciproche
responsabilità in merito all’adempimento degli
obblighi del Regolamento (es. esercizio dei
diritti, obblighi informativi ecc…);
• Gli interessati devono aver contezza dei tratti
generali dell’accordo stipulato.
• Le medesime considerazioni nei contratti per i
servizi corporate.
Quando due o più
Titolari determinano
congiuntamente le
finalità e le modalità
del trattamento
Contitolari
16. Il Titolare può ricorrere solo a Responsabili che
assicurino misure tecniche ed organizzative
idonee a soddisfare il rispetto del Regolamento.
L’esecuzione del trattamento su commissione
deve essere disciplinato da un contratto che
contempli, la durata del trattamento, la sua
natura e finalità, le tipologie di dati e le categorie
di interessati, i crismi di sicurezza e la relativa
ripartizione (PLA), l’obbligo per il responsabile di
rispettare i principi del Regolamento, la
cancellazione e la restituzione dei dati, il data
breach, audit e accountability a carico del
Responsabile ecc…
In base alle decisioni assunte su finalità e
modalità, c’è una valutazione effettiva della
titolarità a prescindere da quanto formalizzato.
Il rapporto tra il Titolare,
i Fornitori/Responsabili ed i sub-Fornitori/
sub-Responsabili
17. CasisticheDitaliprevisioniilTitolaredevetenerconto:
Quando sviluppa un software o una App «in proprio».
Quando affida a terze parti lo sviluppo di un software o di una App (caratteristiche
da indicare nel contratto di sviluppo software).
Quando ricorre a soluzioni applicative offerte e gestite da terze parti (es. licenze
d’uso di software), qualora le terze parti svolgano attività che possano dar luogo
ad un trattamento di dati personali in qualità di Responsabili esterni del
trattamento (es. contratti di fornitura servizi informatici in modalità web
application, in cui l’accesso al software avviene tramite collegamento via web ai
server del fornitore, il quale fornisce servizi di manutenzione ed assistenza del
software con possibilità di accedere al data base contenente dati personali).
Outsourcing.
Piuttosto che contratti dove sono presenti aspetti legati al trattamento di dati
personali.
18. Ambito di applicazione per l’adozione
della figura del DPO
Il titolare del trattamento e il responsabile del trattamento designano
sistematicamente un responsabile della protezione dei dati ogniqualvolta:
• il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate
le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• le attività principali del titolare del trattamento o del responsabile del trattamento
consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità,
richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• le attività principali del titolare del trattamento o del responsabile del trattamento
consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui
all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
19. La raggiungibilità del DPO
Da valutare sia sul fronte della
raggiungibilità fisica che mediante appositi
canali di comunicazione per una facilità di
interazione non solo rispetto a controlli
esterni ma anche esigenze interne in
considerazione della tipologia di interventi
di sua competenza.
21. Le interazioni con le direzioni aziendali
HR e formazione
ICT e
progettazione
Marketing e
attività
promozionali
Ufficio acquisti e
contrattualistica
Compliance e
audit
Legal e aspetti
normativi
specifici
22. Il Titolare deve conservare un Registro delle categorie di attività di trattamento dei dati
personali all’interno del quale deve indicare:
• I propri riferimenti, quelli del corresponsabile e del DPO, effettuati sotto la propria
responsabilità;
• Le finalità del trattamento, le categorie di interessati e le tipologie di dati;
• La comunicazione, la diffusione e i trasferimenti dei dati all’estero;
• Policy di sicurezza e policy di data retention.
Obbligo predisposizione Registro delle
categorie, esteso anche a fornitori e sub-
fornitori per i servizi esternalizzati conto terzi
Tale attività è obbligatoria anche per i Responsabili, i quali pertanto
dovranno essere anche impegnati contrattualmente dal Titolare ai fini
dell’accountability.
Restano esclusi da tali obblighi i soggetti con meno di 250 dipendenti, a
meno che il trattamento non presenti rischi per gli interessati, non sia
occasionale o riguardi speciali categorie di dati.
23. Obbligo di PIA
quando il
trattamento:
Privacy Impact Assessment: i criteri di
redazione
Sentito il DPO, il Titolare nella PIA deve tener conto degli impatti del trattamento sui diritti dell’interessato
in un’ottica di adempimento agli obblighi del Regolamento anche relativamente all’operato dei fornitori e
dei sub-fornitori, tenuto conto dei Pareri dei WP29.
Venga effettuato con nuove tecnologie
Presenta un rischio per i diritti e le libertà fondamentali
dell’interessato
Riguardi la profilazione
Riguardi categorie particolari di dati (es. biometrci)
Riguardi la sorveglianza di zone accessibili al pubblico
Altre ipotesi decise e pubblicate dall’Autorità
24. Notifica data breach
ad Autorità competente/interessato
Gli obblighi di notifica
seguente a data breach
vengono estesi a qualsiasi
caso in cui vi siano rischi
di violazione dei dati
personali.
Viene poi esteso l’obbligo
di darne comunicazione
all’interessato nel caso in
cui vi sia rischio elevato
per i diritti e le libertà dello
stesso.
I tempi di comunicazione
sono vaghi (undue delay).
Rimangono comunque
esclusi:
Casi di esclusione
Termini temporali e modalità
Notifica ai soggetti interessati
25. Le caratteristiche della notifica di
violazione: effetti sul prodotto e sul
fornitore
Effettuata entro 72 ore.
Se oltre le 72 ore deve essere corredata da giustificazione motivata.
Il Responsabile avvisa senza ritardo il Titolare.
Come minimo la notifica deve contenere: natura violazione e quantità indicativa di
interessati coinvolti; identificativi del Titolare; descrivere probabili conseguenze della
violazione; descrivere misure adottate o che si propone di adottare per porre rimedio
alla violazione.
Le informazioni possono essere fornite successivamente alla notifica se non
possibile rilasciarle contestualmente.
Il Titolare documenta qualsiasi violazione incluse le circostanze, conseguenze e
provvedimenti che hanno riguardato la stessa.
26. Trasferimento dati fuori dai confini europei
Trasferimento previa decisione adeguatezza;
Binding Corporate Rules (a condizione che: siano giuridicamente vincolanti
per tutte le società parti del Gruppo di impresa; conferiscano espressamente
agli interessati i diritti in relazione al trattamento dei loro dati personali;
soddisfino i requisiti relativi alle indicazioni sul contenuto minimo);
Sentenze;
Se l’interessato ha prestato il proprio consenso informato e specifico al
trasferimento;
Se il trasferimento è funzionale all’adempimento di obblighi contrattuali tra
Titolare e interessato ovvero per la conclusione di un contratto concluso
nell’interesse dell’interessato;
Per ragioni di pubblico interesse, esercizio dei diritti di difesa.
27. Copyright
Il materiale didattico (ivi inclusi, ma non limitatamente, il testo,
immagini, fotografie, grafica) è di proprietà esclusiva e riservata
della società Colin & Partners Srl, e protetto dalle leggi sul copyright
ed in generale dalle vigenti norme nazionali ed internazionali in
materia. Il materiale fornito potrà essere riprodotto solo a scopo
didattico per il presente corso od evento ed ogni altra riproduzione o
utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per
scritto e a priori da parte della Colin & Partners Srl.
Le informazioni contenute nel presente materiale sono da ritenersi
esatte esclusivamente alla data di svolgimento del corso / evento e
potranno essere soggette a variazioni, in base alle modifiche
legislative intervenute, in relazione alle quali la Colin & Partners Srl
non si assume l’onere di inviare l’aggiornamento, salvo
diversamente stabilito contrattualmente tra le parti.
Sede legale e amministrativa:
Via Cividale, 51 – Montecatini Terme (PT) 51016
Tel. +39 0572 78166
Fax +39 0572 294540
Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Milano
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
info@consulentelegaleinformatico.it
Per organizzare eventi:
comunicazione@consulentelegaleinformatico.it
Per organizzare corsi di formazione:
thinkfactory@consulentelegaleinformatico.it
Seguici su:
Avv. Alessandro Cecchetti
acecchetti@consulentelegaleinformatico.it
https://it.linkedin.com/in/acecchetti
https://twitter.com/alececco84
Grazie!