SlideShare une entreprise Scribd logo

GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti

A
Adalberto Casalboni

Verso il GDPR attraverso il Privacy Impact Assessment: responsabilità, ruoli, sanzioni, esempi

Business
1  sur  27
Marketing & Communication Colin & Partners Privacy e tutela delle informazioni Digitalizzazione Sorveglianza e controllo Modello 231 e reati informatici Intellectual property Diritto informatico Think Factory LaaS - Legal as a Service DPO
Verso il GDPR attraverso il Privacy Impact Assessment: responsabilità, ruoli, sanzioni, esempi Confindustria Ravenna, 13 Settembre 2017 GDPR & GDPR Avv. Alessandro Cecchetti General Manager Colin & Partners
Live Poll: "Come si comporterebbe la vostra azienda a fronte di un DATA BREACH?" http://etc.ch/te8y https://directpoll.com/r?XDbzPBd3ixYqg8JSQo47dpdM9iO3ZkIob3huJzJ0
Verso il Regolamento Europeo … Mappatura dei ruoli e dei trattamenti Flusso dei dati, rilascio delle informative, gestione del consenso Analisi dei contratti infragruppo e conseguenti proposte di integrazione/modifica in base alle esigenze normative Regolarizzazione del portale e degli altri spazi web aziendali Analisi dei rapporti con i soggetti esterni in particolare PLA (Privacy Level Agreement) e SLA (Service Level Agreement) Analisi dei trasferimenti di dati all’estero e BCR (Binding Corporate Rules) Regolamenti Informatici (Interni, Fornitori, Pec...) Policy di data retention
Alcuni Provvedimenti emanati dall’Autorità trasversali alle Aziende Provvedimento sulla dismissione della spazzatura elettronica Provvedimento in materia di amministratore di sistema Provvedimento in materia di videosorveglianza Provvedimento in tema di biometria
Condizioni generali per irrogare sanzioni amministrative Sanzioni da € 10.000.000 a € 20.000.000 o dal 2% al 4% del fatturato mondiale nel caso in cui siano violati: Si lascia agli stati membri il compito di disciplinare le regole e l’effettiva applicazione delle sanzioni amministrative. Principi relativi al trattamento e al consenso Disposizioni relative ai diritti dell’interessato Disposizioni in materia di trasferimento dati Ordine di cessazione del trattamento
Ambito di applicazione territoriale  Il Regolamento si applica al trattamento effettuato nell’ambito delle attività di uno stabilimento di un Titolare del trattamento o di un Responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.  Il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un Titolare del trattamento o Responsabile del trattamento che non è stabilito nell’Unione quando le attività di trattamento riguardano: • Offerta di beni o prestazione di servizi ai suddetti interessati nell’Unione; • Il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione.  Il Regolamento si applica altresì per il trattamento effettuato da un Titolare non stabilito all’interno dell’Unione, ma in un luogo dove sia possibile l’applicazione della legge nazionale di uno Stato membro in virtù di altri accordi di natura internazionale (es. convenzioni, protocolli).
Titolare e misure di sicurezza Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile Titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Tali misure includono politiche adeguate in materia di protezione dei dati.
Responsabilità del Titolare Nei compiti e responsabilità del Titolare si fa menzione degli obblighi già esistenti, aggiungendo: Quando proporzionato al trattamento, l’implementazione di policy relative alla tutela dei dati personali (procedure). La prova della compliance normativa attraverso l’adozione e il rispetto di codici di condotta.
Quali misure di sicurezza cita espressamente il Regolamento? Pseudonimizzazione e cifratura dei dati; Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati; Procedura per provare, verificare e valutare efficacia delle misure tecniche ed organizzative; Data recovery.
Tutela dati personali by design Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il Titolare mette in atto misure tecniche ed organizzative adeguate quali la pseudonimizzazione o la minimizzazione.
Tutela dati personali by default Il Titolare mette in atto misure tecniche ed organizzative adeguate per garantire che siano trattati di default solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità.
PbD: i 7 principi Proattivo non reattivo; preventivare non rimediare Privacy By Default Privacy incorporata nell’architettura del sistema Conciliazione tra massima funzionalità e rispetto dei diritti Protezione del ciclo di vita dei dati Visibilità e trasparenza Centralità dell’utente
Joint Controller: Committente e Fornitore Gli obblighi che ne discendono: • Stipula di un accordo interno che, in modo trasparente, determini le reciproche responsabilità in merito all’adempimento degli obblighi del Regolamento (es. esercizio dei diritti, obblighi informativi ecc…); • Gli interessati devono aver contezza dei tratti generali dell’accordo stipulato. • Le medesime considerazioni nei contratti per i servizi corporate. Quando due o più Titolari determinano congiuntamente le finalità e le modalità del trattamento Contitolari
Il Titolare può ricorrere solo a Responsabili che assicurino misure tecniche ed organizzative idonee a soddisfare il rispetto del Regolamento. L’esecuzione del trattamento su commissione deve essere disciplinato da un contratto che contempli, la durata del trattamento, la sua natura e finalità, le tipologie di dati e le categorie di interessati, i crismi di sicurezza e la relativa ripartizione (PLA), l’obbligo per il responsabile di rispettare i principi del Regolamento, la cancellazione e la restituzione dei dati, il data breach, audit e accountability a carico del Responsabile ecc… In base alle decisioni assunte su finalità e modalità, c’è una valutazione effettiva della titolarità a prescindere da quanto formalizzato. Il rapporto tra il Titolare, i Fornitori/Responsabili ed i sub-Fornitori/ sub-Responsabili
CasisticheDitaliprevisioniilTitolaredevetenerconto: Quando sviluppa un software o una App «in proprio». Quando affida a terze parti lo sviluppo di un software o di una App (caratteristiche da indicare nel contratto di sviluppo software). Quando ricorre a soluzioni applicative offerte e gestite da terze parti (es. licenze d’uso di software), qualora le terze parti svolgano attività che possano dar luogo ad un trattamento di dati personali in qualità di Responsabili esterni del trattamento (es. contratti di fornitura servizi informatici in modalità web application, in cui l’accesso al software avviene tramite collegamento via web ai server del fornitore, il quale fornisce servizi di manutenzione ed assistenza del software con possibilità di accedere al data base contenente dati personali). Outsourcing. Piuttosto che contratti dove sono presenti aspetti legati al trattamento di dati personali.
Ambito di applicazione per l’adozione della figura del DPO Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: • il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
La raggiungibilità del DPO Da valutare sia sul fronte della raggiungibilità fisica che mediante appositi canali di comunicazione per una facilità di interazione non solo rispetto a controlli esterni ma anche esigenze interne in considerazione della tipologia di interventi di sua competenza.
Compiti d’informazione e consultivi, in merito al Regolamento e alla sua applicazione I compiti del DPO
Le interazioni con le direzioni aziendali HR e formazione ICT e progettazione Marketing e attività promozionali Ufficio acquisti e contrattualistica Compliance e audit Legal e aspetti normativi specifici
Il Titolare deve conservare un Registro delle categorie di attività di trattamento dei dati personali all’interno del quale deve indicare: • I propri riferimenti, quelli del corresponsabile e del DPO, effettuati sotto la propria responsabilità; • Le finalità del trattamento, le categorie di interessati e le tipologie di dati; • La comunicazione, la diffusione e i trasferimenti dei dati all’estero; • Policy di sicurezza e policy di data retention. Obbligo predisposizione Registro delle categorie, esteso anche a fornitori e sub- fornitori per i servizi esternalizzati conto terzi Tale attività è obbligatoria anche per i Responsabili, i quali pertanto dovranno essere anche impegnati contrattualmente dal Titolare ai fini dell’accountability. Restano esclusi da tali obblighi i soggetti con meno di 250 dipendenti, a meno che il trattamento non presenti rischi per gli interessati, non sia occasionale o riguardi speciali categorie di dati.
Obbligo di PIA quando il trattamento: Privacy Impact Assessment: i criteri di redazione Sentito il DPO, il Titolare nella PIA deve tener conto degli impatti del trattamento sui diritti dell’interessato in un’ottica di adempimento agli obblighi del Regolamento anche relativamente all’operato dei fornitori e dei sub-fornitori, tenuto conto dei Pareri dei WP29. Venga effettuato con nuove tecnologie Presenta un rischio per i diritti e le libertà fondamentali dell’interessato Riguardi la profilazione Riguardi categorie particolari di dati (es. biometrci) Riguardi la sorveglianza di zone accessibili al pubblico Altre ipotesi decise e pubblicate dall’Autorità
Notifica data breach ad Autorità competente/interessato Gli obblighi di notifica seguente a data breach vengono estesi a qualsiasi caso in cui vi siano rischi di violazione dei dati personali. Viene poi esteso l’obbligo di darne comunicazione all’interessato nel caso in cui vi sia rischio elevato per i diritti e le libertà dello stesso. I tempi di comunicazione sono vaghi (undue delay). Rimangono comunque esclusi: Casi di esclusione Termini temporali e modalità Notifica ai soggetti interessati
Le caratteristiche della notifica di violazione: effetti sul prodotto e sul fornitore Effettuata entro 72 ore. Se oltre le 72 ore deve essere corredata da giustificazione motivata. Il Responsabile avvisa senza ritardo il Titolare. Come minimo la notifica deve contenere: natura violazione e quantità indicativa di interessati coinvolti; identificativi del Titolare; descrivere probabili conseguenze della violazione; descrivere misure adottate o che si propone di adottare per porre rimedio alla violazione. Le informazioni possono essere fornite successivamente alla notifica se non possibile rilasciarle contestualmente. Il Titolare documenta qualsiasi violazione incluse le circostanze, conseguenze e provvedimenti che hanno riguardato la stessa.
Trasferimento dati fuori dai confini europei  Trasferimento previa decisione adeguatezza;  Binding Corporate Rules (a condizione che: siano giuridicamente vincolanti per tutte le società parti del Gruppo di impresa; conferiscano espressamente agli interessati i diritti in relazione al trattamento dei loro dati personali; soddisfino i requisiti relativi alle indicazioni sul contenuto minimo);  Sentenze;  Se l’interessato ha prestato il proprio consenso informato e specifico al trasferimento;  Se il trasferimento è funzionale all’adempimento di obblighi contrattuali tra Titolare e interessato ovvero per la conclusione di un contratto concluso nell’interesse dell’interessato;  Per ragioni di pubblico interesse, esercizio dei diritti di difesa.
Copyright Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso od evento ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl. Le informazioni contenute nel presente materiale sono da ritenersi esatte esclusivamente alla data di svolgimento del corso / evento e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti. Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016 Tel. +39 0572 78166 Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475 Le nostre sedi: Montecatini Terme (PT), Milano www.consulentelegaleinformatico.it Per richieste progetti e preventivi: info@consulentelegaleinformatico.it Per organizzare eventi: comunicazione@consulentelegaleinformatico.it Per organizzare corsi di formazione: thinkfactory@consulentelegaleinformatico.it Seguici su: Avv. Alessandro Cecchetti acecchetti@consulentelegaleinformatico.it https://it.linkedin.com/in/acecchetti https://twitter.com/alececco84 Grazie!

Recommandé

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacySalomone & Travaglia Studio Legale
 
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
La due diligence legale
La due diligence legaleLa due diligence legale
La due diligence legaleSalomone & Travaglia Studio Legale
 

Recommandé

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacySalomone & Travaglia Studio Legale
 
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
La due diligence legale
La due diligence legaleLa due diligence legale
La due diligence legaleSalomone & Travaglia Studio Legale
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
 

Contenu connexe

Tendances

Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 

Tendances (14)

Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 

Similaire à GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti

Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Gianluca Satta
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdownContactlab
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...
Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...
Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...Simone Aliprandi
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 

Similaire à GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti (20)

Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdown
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...
Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...
Vademecum sulla sicurezza informatica negli studi legali (Andrea Lisi, ott. 2...
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
 

Plus de Adalberto Casalboni

Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Adalberto Casalboni
 
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Adalberto Casalboni
 
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0Adalberto Casalboni
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
GDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca TumideiGDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca TumideiAdalberto Casalboni
 
Report regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazioneReport regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazioneAdalberto Casalboni
 
I servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’IperconvergenzaI servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’IperconvergenzaAdalberto Casalboni
 

Plus de Adalberto Casalboni (8)

Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
 
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
 
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
GDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca TumideiGDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca Tumidei
 
Nvra__Numero_13__Febbriao_2015
Nvra__Numero_13__Febbriao_2015Nvra__Numero_13__Febbriao_2015
Nvra__Numero_13__Febbriao_2015
 
Report regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazioneReport regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazione
 
I servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’IperconvergenzaI servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’Iperconvergenza
 

GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti

  • 1.
  • 2. Marketing & Communication Colin & Partners Privacy e tutela delle informazioni Digitalizzazione Sorveglianza e controllo Modello 231 e reati informatici Intellectual property Diritto informatico Think Factory LaaS - Legal as a Service DPO
  • 3. Verso il GDPR attraverso il Privacy Impact Assessment: responsabilità, ruoli, sanzioni, esempi Confindustria Ravenna, 13 Settembre 2017 GDPR & GDPR Avv. Alessandro Cecchetti General Manager Colin & Partners
  • 4. Live Poll: "Come si comporterebbe la vostra azienda a fronte di un DATA BREACH?" http://etc.ch/te8y https://directpoll.com/r?XDbzPBd3ixYqg8JSQo47dpdM9iO3ZkIob3huJzJ0
  • 5. Verso il Regolamento Europeo … Mappatura dei ruoli e dei trattamenti Flusso dei dati, rilascio delle informative, gestione del consenso Analisi dei contratti infragruppo e conseguenti proposte di integrazione/modifica in base alle esigenze normative Regolarizzazione del portale e degli altri spazi web aziendali Analisi dei rapporti con i soggetti esterni in particolare PLA (Privacy Level Agreement) e SLA (Service Level Agreement) Analisi dei trasferimenti di dati all’estero e BCR (Binding Corporate Rules) Regolamenti Informatici (Interni, Fornitori, Pec...) Policy di data retention
  • 6. Alcuni Provvedimenti emanati dall’Autorità trasversali alle Aziende Provvedimento sulla dismissione della spazzatura elettronica Provvedimento in materia di amministratore di sistema Provvedimento in materia di videosorveglianza Provvedimento in tema di biometria
  • 7. Condizioni generali per irrogare sanzioni amministrative Sanzioni da € 10.000.000 a € 20.000.000 o dal 2% al 4% del fatturato mondiale nel caso in cui siano violati: Si lascia agli stati membri il compito di disciplinare le regole e l’effettiva applicazione delle sanzioni amministrative. Principi relativi al trattamento e al consenso Disposizioni relative ai diritti dell’interessato Disposizioni in materia di trasferimento dati Ordine di cessazione del trattamento
  • 8. Ambito di applicazione territoriale  Il Regolamento si applica al trattamento effettuato nell’ambito delle attività di uno stabilimento di un Titolare del trattamento o di un Responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.  Il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un Titolare del trattamento o Responsabile del trattamento che non è stabilito nell’Unione quando le attività di trattamento riguardano: • Offerta di beni o prestazione di servizi ai suddetti interessati nell’Unione; • Il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione.  Il Regolamento si applica altresì per il trattamento effettuato da un Titolare non stabilito all’interno dell’Unione, ma in un luogo dove sia possibile l’applicazione della legge nazionale di uno Stato membro in virtù di altri accordi di natura internazionale (es. convenzioni, protocolli).
  • 9. Titolare e misure di sicurezza Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile Titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Tali misure includono politiche adeguate in materia di protezione dei dati.
  • 10. Responsabilità del Titolare Nei compiti e responsabilità del Titolare si fa menzione degli obblighi già esistenti, aggiungendo: Quando proporzionato al trattamento, l’implementazione di policy relative alla tutela dei dati personali (procedure). La prova della compliance normativa attraverso l’adozione e il rispetto di codici di condotta.
  • 11. Quali misure di sicurezza cita espressamente il Regolamento? Pseudonimizzazione e cifratura dei dati; Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati; Procedura per provare, verificare e valutare efficacia delle misure tecniche ed organizzative; Data recovery.
  • 12. Tutela dati personali by design Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il Titolare mette in atto misure tecniche ed organizzative adeguate quali la pseudonimizzazione o la minimizzazione.
  • 13. Tutela dati personali by default Il Titolare mette in atto misure tecniche ed organizzative adeguate per garantire che siano trattati di default solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità.
  • 14. PbD: i 7 principi Proattivo non reattivo; preventivare non rimediare Privacy By Default Privacy incorporata nell’architettura del sistema Conciliazione tra massima funzionalità e rispetto dei diritti Protezione del ciclo di vita dei dati Visibilità e trasparenza Centralità dell’utente
  • 15. Joint Controller: Committente e Fornitore Gli obblighi che ne discendono: • Stipula di un accordo interno che, in modo trasparente, determini le reciproche responsabilità in merito all’adempimento degli obblighi del Regolamento (es. esercizio dei diritti, obblighi informativi ecc…); • Gli interessati devono aver contezza dei tratti generali dell’accordo stipulato. • Le medesime considerazioni nei contratti per i servizi corporate. Quando due o più Titolari determinano congiuntamente le finalità e le modalità del trattamento Contitolari
  • 16. Il Titolare può ricorrere solo a Responsabili che assicurino misure tecniche ed organizzative idonee a soddisfare il rispetto del Regolamento. L’esecuzione del trattamento su commissione deve essere disciplinato da un contratto che contempli, la durata del trattamento, la sua natura e finalità, le tipologie di dati e le categorie di interessati, i crismi di sicurezza e la relativa ripartizione (PLA), l’obbligo per il responsabile di rispettare i principi del Regolamento, la cancellazione e la restituzione dei dati, il data breach, audit e accountability a carico del Responsabile ecc… In base alle decisioni assunte su finalità e modalità, c’è una valutazione effettiva della titolarità a prescindere da quanto formalizzato. Il rapporto tra il Titolare, i Fornitori/Responsabili ed i sub-Fornitori/ sub-Responsabili
  • 17. CasisticheDitaliprevisioniilTitolaredevetenerconto: Quando sviluppa un software o una App «in proprio». Quando affida a terze parti lo sviluppo di un software o di una App (caratteristiche da indicare nel contratto di sviluppo software). Quando ricorre a soluzioni applicative offerte e gestite da terze parti (es. licenze d’uso di software), qualora le terze parti svolgano attività che possano dar luogo ad un trattamento di dati personali in qualità di Responsabili esterni del trattamento (es. contratti di fornitura servizi informatici in modalità web application, in cui l’accesso al software avviene tramite collegamento via web ai server del fornitore, il quale fornisce servizi di manutenzione ed assistenza del software con possibilità di accedere al data base contenente dati personali). Outsourcing. Piuttosto che contratti dove sono presenti aspetti legati al trattamento di dati personali.
  • 18. Ambito di applicazione per l’adozione della figura del DPO Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: • il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
  • 19. La raggiungibilità del DPO Da valutare sia sul fronte della raggiungibilità fisica che mediante appositi canali di comunicazione per una facilità di interazione non solo rispetto a controlli esterni ma anche esigenze interne in considerazione della tipologia di interventi di sua competenza.
  • 20. Compiti d’informazione e consultivi, in merito al Regolamento e alla sua applicazione I compiti del DPO
  • 21. Le interazioni con le direzioni aziendali HR e formazione ICT e progettazione Marketing e attività promozionali Ufficio acquisti e contrattualistica Compliance e audit Legal e aspetti normativi specifici
  • 22. Il Titolare deve conservare un Registro delle categorie di attività di trattamento dei dati personali all’interno del quale deve indicare: • I propri riferimenti, quelli del corresponsabile e del DPO, effettuati sotto la propria responsabilità; • Le finalità del trattamento, le categorie di interessati e le tipologie di dati; • La comunicazione, la diffusione e i trasferimenti dei dati all’estero; • Policy di sicurezza e policy di data retention. Obbligo predisposizione Registro delle categorie, esteso anche a fornitori e sub- fornitori per i servizi esternalizzati conto terzi Tale attività è obbligatoria anche per i Responsabili, i quali pertanto dovranno essere anche impegnati contrattualmente dal Titolare ai fini dell’accountability. Restano esclusi da tali obblighi i soggetti con meno di 250 dipendenti, a meno che il trattamento non presenti rischi per gli interessati, non sia occasionale o riguardi speciali categorie di dati.
  • 23. Obbligo di PIA quando il trattamento: Privacy Impact Assessment: i criteri di redazione Sentito il DPO, il Titolare nella PIA deve tener conto degli impatti del trattamento sui diritti dell’interessato in un’ottica di adempimento agli obblighi del Regolamento anche relativamente all’operato dei fornitori e dei sub-fornitori, tenuto conto dei Pareri dei WP29. Venga effettuato con nuove tecnologie Presenta un rischio per i diritti e le libertà fondamentali dell’interessato Riguardi la profilazione Riguardi categorie particolari di dati (es. biometrci) Riguardi la sorveglianza di zone accessibili al pubblico Altre ipotesi decise e pubblicate dall’Autorità
  • 24. Notifica data breach ad Autorità competente/interessato Gli obblighi di notifica seguente a data breach vengono estesi a qualsiasi caso in cui vi siano rischi di violazione dei dati personali. Viene poi esteso l’obbligo di darne comunicazione all’interessato nel caso in cui vi sia rischio elevato per i diritti e le libertà dello stesso. I tempi di comunicazione sono vaghi (undue delay). Rimangono comunque esclusi: Casi di esclusione Termini temporali e modalità Notifica ai soggetti interessati
  • 25. Le caratteristiche della notifica di violazione: effetti sul prodotto e sul fornitore Effettuata entro 72 ore. Se oltre le 72 ore deve essere corredata da giustificazione motivata. Il Responsabile avvisa senza ritardo il Titolare. Come minimo la notifica deve contenere: natura violazione e quantità indicativa di interessati coinvolti; identificativi del Titolare; descrivere probabili conseguenze della violazione; descrivere misure adottate o che si propone di adottare per porre rimedio alla violazione. Le informazioni possono essere fornite successivamente alla notifica se non possibile rilasciarle contestualmente. Il Titolare documenta qualsiasi violazione incluse le circostanze, conseguenze e provvedimenti che hanno riguardato la stessa.
  • 26. Trasferimento dati fuori dai confini europei  Trasferimento previa decisione adeguatezza;  Binding Corporate Rules (a condizione che: siano giuridicamente vincolanti per tutte le società parti del Gruppo di impresa; conferiscano espressamente agli interessati i diritti in relazione al trattamento dei loro dati personali; soddisfino i requisiti relativi alle indicazioni sul contenuto minimo);  Sentenze;  Se l’interessato ha prestato il proprio consenso informato e specifico al trasferimento;  Se il trasferimento è funzionale all’adempimento di obblighi contrattuali tra Titolare e interessato ovvero per la conclusione di un contratto concluso nell’interesse dell’interessato;  Per ragioni di pubblico interesse, esercizio dei diritti di difesa.
  • 27. Copyright Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso od evento ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl. Le informazioni contenute nel presente materiale sono da ritenersi esatte esclusivamente alla data di svolgimento del corso / evento e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti. Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016 Tel. +39 0572 78166 Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475 Le nostre sedi: Montecatini Terme (PT), Milano www.consulentelegaleinformatico.it Per richieste progetti e preventivi: info@consulentelegaleinformatico.it Per organizzare eventi: comunicazione@consulentelegaleinformatico.it Per organizzare corsi di formazione: thinkfactory@consulentelegaleinformatico.it Seguici su: Avv. Alessandro Cecchetti acecchetti@consulentelegaleinformatico.it https://it.linkedin.com/in/acecchetti https://twitter.com/alececco84 Grazie!