SlideShare une entreprise Scribd logo

Gdpr settore digitale

Télécharger en tant que PPTX, PDF
F
Fabio Vezzoli

Nuovo Regolamento europeo in materia di protezione dei dati personali, considerazioni e risvolti pratici per chi opera nel settore digitale. - Fare chiarezza sulle novità introdotte dal Regolamento - Valutare l’Impatto del GDPR sui dati digitali - Risolvere le principali criticità per chi opera nel settore digitale Avv. Guido Melluso - www.studiomelluso.it

Droit
1  sur  30
AVV. GUIDO MELLUSO Via Vittorio Emanuele II, 60 WWW.STUDIOMELLUSO.IT Brescia GDPR NEL SETTORE DIGITALE Lunedì 16 luglio 2018 TALENT GARDEN - BRESCIA
GDPR ? KEEP CALM AND BE COMPLIANT
PRINCIPALI NOVITA’ DEL GDPR • responsabilizzazione del titolare del trattamento • diritti degli interessati • Privacy by design – privacy by default • registro dei trattamenti • informativa • DPO • Valutazione d’impatto e valutazione del rischio
DATO PERSONALE Definizione (Art. 4) qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; campo di applicazione GDPR Se so che tipo di dato trattato … so cosa devo fare ESEMPI mail – cookies – dati di contatto – indirizzi IP – account – nickname ….
IL TRATTAMENTO Definizione (Art. 4) qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; il trattamento deve essere lecito rispettoso della legge fondato su una base giuridica
BASE GIURIDICA DEL TRATTAMENTO IL CONSENSO  specifico: per una finalità specifica …. e non per altre – pertinenza!  informato: … informativa  libero: no costrizioni  es: se l’esecuzione del contratto è condizionata al consenso al trattamento per fini diversi – es. geolocalizzazione APP fotoritocco  inequivocabile: ok implicito MA no caselle già spuntate  dimostrabile: non deve essere scritto MA …  revocabile: la revoca deve essere di facile attuazione CASI IN CUI E’ OBBLIGATORIO IL CONSENSO ESPLICITO: base giuridica necessaria per dati sensibili o processi decisionali automatizzati (es. profilazione) COSA SERVE? Informativa e portabilità dei dati
L’ADEMPIMENTO DI UN OBBLIGO CONTRATTUALE Quando il trattamento è necessario per dare esecuzione a un contratto Esempio: e-commerce il trattamento dei dati è necessario per concludere una procedura di acquisto di beni o servizi COSA SERVE? Informativa e portabilità dei dati BASE GIURIDICA DEL TRATTAMENTO
OBBLIGO PREVISTO DALLA LEGGE Quando il trattamento dei dati personali è specificamente previsto da una disposizione normativa Esempio: attività giornalistica Cosa serve? Si Informativa No consenso No portabilità BASE GIURIDICA DEL TRATTAMENTO
INTERESSI VITALI DELL’INTERESSATO O DI UN TERZO Trattamento lecito se eseguito per tutelare interessi vitali dell’interessato o di un terzo Applicazione residuale_ok solo se nessun’altra base giuridica è applicabile Esempio: quando l’interessato è fisicamente incapace di prestare il consenso BASE GIURIDICA DEL TRATTAMENTO
LEGITTIMO INTERESSE DEL TITOLARE DEL TRATTAMENTO O DI TERZI Il trattamento è lecito purchè non prevalgano i diritti dell’interessato, tenuto conto delle sue aspettative nei rapporti con il titolare del trattamento Requisiti: necessità di elaborare il dato bilanciamento di interessi trattamento nel rispetto del GDPR Esempi: marketing diretto, protezione dalle frodi, misure di sicurezza, operazioni di trasferimento dati intraaziendali, procedura per verifica età, geolocalizzazione dipendenti, personalizzazione e analisi siti web BASE GIURIDICA DEL TRATTAMENTO Legge di Bilancio 2018 Comuncazione preventiva al Garante
INTERESSE PUBBLICO Il trattamento è lecito se connesso all’esercizio di pubblici poteri No consenso Si informativa – la finalità del trattamento è contenuta nella legge Esempio: previsioni normative BASE GIURIDICA DEL TRATTAMENTO
I PROTAGONISTI DEL TRATTAMENTO L’INTERESSATO E I SUOI DIRITTI oblio portabilità accesso limitazione rettifica
IL TITOLARE DEL TRATTAMENTO (data controller) I PROTAGONISTI DEL TRATTAMENTO Misure tecniche di adeguamento al GDPR Privacy by design Privacy by default Politiche per garantire la sicurezza del trattamento Valutazione d’impatto e del rischio Registro dei trattamenti Rapporti con il responsabile Nomina del DPO etc Corte Europea di Giustizia: contitolarità tra Facebook e amministratore pagina facebook
IL RESPONSABILE DEL TRATTAMENTO (data processor) Chi è?soggetto che elabora i dati per conto del titolare Cosa fa? OBBLIGHI: idonee misure di sicurezza – conoscenza specialistica . organizzazione – registro trattamenti – data breaches - DPO Esempi: fornitori, operatori di backhend, software house, cloud saas, web hosting I PROTAGONISTI DEL TRATTAMENTO
I RAPPORTI TRA DATA CONTROLLER E DATA PROCESSOR TITOLARE RESPONSABILE Contratto ISTRUZIONI ATTENZIONE IL CONTRATTO DEVE PREVEDERE UNA REGOLAMENTAZIONE PRECISA DEI RAPPORTI SE SORGONO PROBLEMI RESPONSABILITA’ SOLIDALE
IL DPO CHI E’? Soggetto nominato da titolare o responsabile, esterno alla loro organizzazione - no conflitto di interessi COSA FA? consulente – ponte di contatto con interessati e Garante – verifica applicazione del GDPR QUANDO SERVE? Trattamento effettuato da autorità pubbliche Trattamento su larga scala di particolari categorie di dati Attività basate sul monitoraggio sistematico degli interessati Geolocalizzazione clienti a fini statistici Banche, assicurazioni, motori di ricerca, call center, fornitura di servizi informatici
L’INFORMATIVA QUANDO? Ogni volta che si tratta un dato personale MA prima di trattarlo E’ uno dei presupposti per un valido consenso NON SERVE SE dati anonimi dati relativi a persone giuridiche dati trattati per scopi personali o domestici dati trattati in base ad un obbligo normativo dati trattati per indagini difensive SE DATI RACCOLTI INDIRETTAMENTE informativa entro 1 mese al momento della comunicazione dei dati a terzi MA Casi in cui l’interessato non deve essere informato Interessato già informato ottenimento dei dati ex lege Impossibilità o sforzo sproporzionato riservatezza dei dati segreto professionale
CONTENUTO (artt.13 e 14) Dati identificativi del titolare del trattamento e del DPO Categorie di dati trattati Finalità del trattamento Tempo del trattamento Trasferimento dati all’estero - adeguatezza Base giuridica del trattamento Obbligatorietà o meno del trattamento e conseguenze del rifiuto Specificare se il titolare vuole utilizzare dati per finalità diverse da quella per cui sono stati raccolti Soggetti a cui possono esser comunicati i dati Diritti dell’interessato Se c’è profilazione specificare la logica del processo decisionale automatizzato Indicazione dei cookies – tipologia – disabilitazione – link alla privacy policy dei servizi di terze parti Se cookie policy in documento separato LINK L’INFORMATIVA
FORMA concisa – chiara – facile comprensione – accessibile – intellegibile anche con utilizzo di icone standard – per iscritto Esempio: sito web L’INFORMATIVA Se non raccoglie dati personali NO INFORMATIVA SE RACCOGLIE DATI PERSONALI informativa SE REGISTRAZIONE PER MAILING LIST Informativa – No consenso SE RACCOGLIE DATI ANCHE PER PROPOSTE COMMERCIALI Informativa + consenso
IL REGISTRO DEI TRATTAMENTI - INDICE DI CORRETTA GESTIONE DEL TRATTAMENTO - OBBLIGO SE PIU DI 250 DIPENDENTI – TRATTAMENTO RISCHIOSO – TRATTAMENTO DI CATEGORIE DI DATI PARTICOLARI - OBBLIGATI TITOLARE E RESPONSABILE CONTENUTO: DATI DI CONTATTO TITOLARE - DPO FINALITA’ DESCRIZIONE CATEGORIE DI INTERESSATI E DI DATI CATEGORIE DI SOGGETTI DESTINATARI DEI DATI ANCHE EXTRA UE TERMINI PER LA CANCELLAZIONE DEI DATI DESCRIZIONE DELLE MISURE TECNICHE E ORGANIZZATIVE DI SICUREZZA
CESSIONE DI DATI A TERZI TRASFERIMENTO DI DATABASE OBBLIGHI PER IL CEDENTE: informativa e consenso specifico OBBLIGHI PER IL CESSIONARIO: informativa agli interessati che contenga origine dei dati MA se l’informativa del cedente prevede l’indicazione specifica del cessionario quest’ultimo non è tenuto a rilasciare l’informativa (L’INFORMATIVA DI TUMBLR) Negli altri casi il cessionario deve fornire l’informativa e ottenere il consenso al trattamento Esempio: cessione, incorporazione, fusione, fallimento etc.
IL TRASFERIMENTO DEI DATI ALL’ESTERO DEFINIZIONE: trasferimento diretto a destinatari extra UE PRINCIPIO: adeguatezza – decisioni UE Se non c’è adeguatezza: clausole contrattuali standard previste dalla Commissione Europea Gruppo di imprese anche extra UE – BCR DEROGHE: consenso – necessità del trasferimento – adempimento obbligo contrattuale – investigazioni difensive – tutela in sede giudiziaria – richiesta di accesso atti amministrativi – usi scientifici e statistici
VALUTAZIONE DI IMPATTO E VALUTAZIONE DEL RISCHIO DEFINIZIONE: valutazione delle modalità del trattamento e dell’impatto che può avere sui diritti e le libertà degli interessati CHI LO DEVE FARE? Il titolare del trattamento di concerto con il responsabile A COSA SERVE? Definizione del livello di rischio BASSO – MEDIO – ALTO ADOZIONE DELLE MISURE TECNICO-ORGANIZZATIVE IDONEE A MITIGARE O ELIMINARE IL RISCHIO
LE SANZIONI 2 TIPOLOGIE A SECONDA DELLE VIOLAZIONI Obblighi del titolare e del responsabile consenso dei minori Privacy by default Registro del trattamento Nomina DPO DPIA Principi base del trattamento, compreso il consenso Diritti degli interessati Obblighi sanciti dalle norme interne SANZIONE MASSIMA 10milioni € - 2% fatturato annuo se superiore SANZIONE MASSIMA 20milioni € - 4% fatturato annuo se superiore Prima di irrogare la sanzione il garante deve fare una valutazione caso per caso valutando una serie di parametri: natura, gravità, durata della violazione, dolo o colpa, misure di sicurezza adottate dal titolare e dal responsabile, recidiva, adesione a codici di condotta
LE SANZIONI CHI IRROGA LE SANZIONI? GARANTE PRIVACY ATTENZIONE La violazione delle norme GDPR e nazionali comporta anche sanzioni penali e l’esposizione a domande risarcitorie da parte degli interessati che possono agire sia in sede amministrativa, sia in sede giudiziaria NB Il garante della privacy può limitare, sospendere, interrompere il trattamento dei dati, causando l’interruzione dei servizi connessi al trattamento
GDPR E IoT OGGETTI CONNESSI e trattamento dei dati IL CASO dei televisori «VIZIO» VENDITA TRADIZIONALE vs VENDITA ON LINE Problemi applicativi del GDPR nell’IoT IoT e Blockchain…?
GDPR E BLOCKCHAIN WEF il 10% del PIL mondiale nel 2025 sarà prodotto da servizi erogati tramite blockchain! IMPATTO GDPR LA BLOCKCHAIN è GDPR COMPLIANT? Ok Privacy by design Pseudonimizzazione Minimizzazione Sicurezza Controllo dei dati da parte dell’interessato NON COMPLIANT Diritto all’oblio Controllo dei dati non centralizzato Responsabile del trattamento DPO Giurisdizione in caso di controversie CONFERIMENTO DEI DATI MODALITA’ PUSH MODALITA’ PULL
GRAZIE

Recommandé

Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacySalomone & Travaglia Studio Legale
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroIl commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
La due diligence legale
La due diligence legaleLa due diligence legale
La due diligence legaleSalomone & Travaglia Studio Legale
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 

Recommandé

Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacySalomone & Travaglia Studio Legale
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroIl commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
La due diligence legale
La due diligence legaleLa due diligence legale
La due diligence legaleSalomone & Travaglia Studio Legale
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
BIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITYBIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITYSalomone & Travaglia Studio Legale
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdfEdoardo Ferraro
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Gianluca Satta
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiQuotidiano Piemontese
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 

Contenu connexe

Tendances

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 

Tendances (11)

Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
BIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITYBIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITY
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 

Similaire à Gdpr settore digitale

GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Gianluca Satta
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiQuotidiano Piemontese
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Digital Building Blocks
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 

Similaire à Gdpr settore digitale (20)

GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
Riflessioni sui principali aspetti critici della nuova figura del Responsabil...
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 

Gdpr settore digitale

  • 1. AVV. GUIDO MELLUSO Via Vittorio Emanuele II, 60 WWW.STUDIOMELLUSO.IT Brescia GDPR NEL SETTORE DIGITALE Lunedì 16 luglio 2018 TALENT GARDEN - BRESCIA
  • 3. PRINCIPALI NOVITA’ DEL GDPR • responsabilizzazione del titolare del trattamento • diritti degli interessati • Privacy by design – privacy by default • registro dei trattamenti • informativa • DPO • Valutazione d’impatto e valutazione del rischio
  • 4. DATO PERSONALE Definizione (Art. 4) qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; campo di applicazione GDPR Se so che tipo di dato trattato … so cosa devo fare ESEMPI mail – cookies – dati di contatto – indirizzi IP – account – nickname ….
  • 5. IL TRATTAMENTO Definizione (Art. 4) qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; il trattamento deve essere lecito rispettoso della legge fondato su una base giuridica
  • 6. BASE GIURIDICA DEL TRATTAMENTO IL CONSENSO  specifico: per una finalità specifica …. e non per altre – pertinenza!  informato: … informativa  libero: no costrizioni  es: se l’esecuzione del contratto è condizionata al consenso al trattamento per fini diversi – es. geolocalizzazione APP fotoritocco  inequivocabile: ok implicito MA no caselle già spuntate  dimostrabile: non deve essere scritto MA …  revocabile: la revoca deve essere di facile attuazione CASI IN CUI E’ OBBLIGATORIO IL CONSENSO ESPLICITO: base giuridica necessaria per dati sensibili o processi decisionali automatizzati (es. profilazione) COSA SERVE? Informativa e portabilità dei dati
  • 7.
  • 8. L’ADEMPIMENTO DI UN OBBLIGO CONTRATTUALE Quando il trattamento è necessario per dare esecuzione a un contratto Esempio: e-commerce il trattamento dei dati è necessario per concludere una procedura di acquisto di beni o servizi COSA SERVE? Informativa e portabilità dei dati BASE GIURIDICA DEL TRATTAMENTO
  • 9. OBBLIGO PREVISTO DALLA LEGGE Quando il trattamento dei dati personali è specificamente previsto da una disposizione normativa Esempio: attività giornalistica Cosa serve? Si Informativa No consenso No portabilità BASE GIURIDICA DEL TRATTAMENTO
  • 10. INTERESSI VITALI DELL’INTERESSATO O DI UN TERZO Trattamento lecito se eseguito per tutelare interessi vitali dell’interessato o di un terzo Applicazione residuale_ok solo se nessun’altra base giuridica è applicabile Esempio: quando l’interessato è fisicamente incapace di prestare il consenso BASE GIURIDICA DEL TRATTAMENTO
  • 11. LEGITTIMO INTERESSE DEL TITOLARE DEL TRATTAMENTO O DI TERZI Il trattamento è lecito purchè non prevalgano i diritti dell’interessato, tenuto conto delle sue aspettative nei rapporti con il titolare del trattamento Requisiti: necessità di elaborare il dato bilanciamento di interessi trattamento nel rispetto del GDPR Esempi: marketing diretto, protezione dalle frodi, misure di sicurezza, operazioni di trasferimento dati intraaziendali, procedura per verifica età, geolocalizzazione dipendenti, personalizzazione e analisi siti web BASE GIURIDICA DEL TRATTAMENTO Legge di Bilancio 2018 Comuncazione preventiva al Garante
  • 12. INTERESSE PUBBLICO Il trattamento è lecito se connesso all’esercizio di pubblici poteri No consenso Si informativa – la finalità del trattamento è contenuta nella legge Esempio: previsioni normative BASE GIURIDICA DEL TRATTAMENTO
  • 13. I PROTAGONISTI DEL TRATTAMENTO L’INTERESSATO E I SUOI DIRITTI oblio portabilità accesso limitazione rettifica
  • 14. IL TITOLARE DEL TRATTAMENTO (data controller) I PROTAGONISTI DEL TRATTAMENTO Misure tecniche di adeguamento al GDPR Privacy by design Privacy by default Politiche per garantire la sicurezza del trattamento Valutazione d’impatto e del rischio Registro dei trattamenti Rapporti con il responsabile Nomina del DPO etc Corte Europea di Giustizia: contitolarità tra Facebook e amministratore pagina facebook
  • 15. IL RESPONSABILE DEL TRATTAMENTO (data processor) Chi è?soggetto che elabora i dati per conto del titolare Cosa fa? OBBLIGHI: idonee misure di sicurezza – conoscenza specialistica . organizzazione – registro trattamenti – data breaches - DPO Esempi: fornitori, operatori di backhend, software house, cloud saas, web hosting I PROTAGONISTI DEL TRATTAMENTO
  • 16. I RAPPORTI TRA DATA CONTROLLER E DATA PROCESSOR TITOLARE RESPONSABILE Contratto ISTRUZIONI ATTENZIONE IL CONTRATTO DEVE PREVEDERE UNA REGOLAMENTAZIONE PRECISA DEI RAPPORTI SE SORGONO PROBLEMI RESPONSABILITA’ SOLIDALE
  • 17. IL DPO CHI E’? Soggetto nominato da titolare o responsabile, esterno alla loro organizzazione - no conflitto di interessi COSA FA? consulente – ponte di contatto con interessati e Garante – verifica applicazione del GDPR QUANDO SERVE? Trattamento effettuato da autorità pubbliche Trattamento su larga scala di particolari categorie di dati Attività basate sul monitoraggio sistematico degli interessati Geolocalizzazione clienti a fini statistici Banche, assicurazioni, motori di ricerca, call center, fornitura di servizi informatici
  • 18. L’INFORMATIVA QUANDO? Ogni volta che si tratta un dato personale MA prima di trattarlo E’ uno dei presupposti per un valido consenso NON SERVE SE dati anonimi dati relativi a persone giuridiche dati trattati per scopi personali o domestici dati trattati in base ad un obbligo normativo dati trattati per indagini difensive SE DATI RACCOLTI INDIRETTAMENTE informativa entro 1 mese al momento della comunicazione dei dati a terzi MA Casi in cui l’interessato non deve essere informato Interessato già informato ottenimento dei dati ex lege Impossibilità o sforzo sproporzionato riservatezza dei dati segreto professionale
  • 19. CONTENUTO (artt.13 e 14) Dati identificativi del titolare del trattamento e del DPO Categorie di dati trattati Finalità del trattamento Tempo del trattamento Trasferimento dati all’estero - adeguatezza Base giuridica del trattamento Obbligatorietà o meno del trattamento e conseguenze del rifiuto Specificare se il titolare vuole utilizzare dati per finalità diverse da quella per cui sono stati raccolti Soggetti a cui possono esser comunicati i dati Diritti dell’interessato Se c’è profilazione specificare la logica del processo decisionale automatizzato Indicazione dei cookies – tipologia – disabilitazione – link alla privacy policy dei servizi di terze parti Se cookie policy in documento separato LINK L’INFORMATIVA
  • 20. FORMA concisa – chiara – facile comprensione – accessibile – intellegibile anche con utilizzo di icone standard – per iscritto Esempio: sito web L’INFORMATIVA Se non raccoglie dati personali NO INFORMATIVA SE RACCOGLIE DATI PERSONALI informativa SE REGISTRAZIONE PER MAILING LIST Informativa – No consenso SE RACCOGLIE DATI ANCHE PER PROPOSTE COMMERCIALI Informativa + consenso
  • 21.
  • 22. IL REGISTRO DEI TRATTAMENTI - INDICE DI CORRETTA GESTIONE DEL TRATTAMENTO - OBBLIGO SE PIU DI 250 DIPENDENTI – TRATTAMENTO RISCHIOSO – TRATTAMENTO DI CATEGORIE DI DATI PARTICOLARI - OBBLIGATI TITOLARE E RESPONSABILE CONTENUTO: DATI DI CONTATTO TITOLARE - DPO FINALITA’ DESCRIZIONE CATEGORIE DI INTERESSATI E DI DATI CATEGORIE DI SOGGETTI DESTINATARI DEI DATI ANCHE EXTRA UE TERMINI PER LA CANCELLAZIONE DEI DATI DESCRIZIONE DELLE MISURE TECNICHE E ORGANIZZATIVE DI SICUREZZA
  • 23. CESSIONE DI DATI A TERZI TRASFERIMENTO DI DATABASE OBBLIGHI PER IL CEDENTE: informativa e consenso specifico OBBLIGHI PER IL CESSIONARIO: informativa agli interessati che contenga origine dei dati MA se l’informativa del cedente prevede l’indicazione specifica del cessionario quest’ultimo non è tenuto a rilasciare l’informativa (L’INFORMATIVA DI TUMBLR) Negli altri casi il cessionario deve fornire l’informativa e ottenere il consenso al trattamento Esempio: cessione, incorporazione, fusione, fallimento etc.
  • 24. IL TRASFERIMENTO DEI DATI ALL’ESTERO DEFINIZIONE: trasferimento diretto a destinatari extra UE PRINCIPIO: adeguatezza – decisioni UE Se non c’è adeguatezza: clausole contrattuali standard previste dalla Commissione Europea Gruppo di imprese anche extra UE – BCR DEROGHE: consenso – necessità del trasferimento – adempimento obbligo contrattuale – investigazioni difensive – tutela in sede giudiziaria – richiesta di accesso atti amministrativi – usi scientifici e statistici
  • 25. VALUTAZIONE DI IMPATTO E VALUTAZIONE DEL RISCHIO DEFINIZIONE: valutazione delle modalità del trattamento e dell’impatto che può avere sui diritti e le libertà degli interessati CHI LO DEVE FARE? Il titolare del trattamento di concerto con il responsabile A COSA SERVE? Definizione del livello di rischio BASSO – MEDIO – ALTO ADOZIONE DELLE MISURE TECNICO-ORGANIZZATIVE IDONEE A MITIGARE O ELIMINARE IL RISCHIO
  • 26. LE SANZIONI 2 TIPOLOGIE A SECONDA DELLE VIOLAZIONI Obblighi del titolare e del responsabile consenso dei minori Privacy by default Registro del trattamento Nomina DPO DPIA Principi base del trattamento, compreso il consenso Diritti degli interessati Obblighi sanciti dalle norme interne SANZIONE MASSIMA 10milioni € - 2% fatturato annuo se superiore SANZIONE MASSIMA 20milioni € - 4% fatturato annuo se superiore Prima di irrogare la sanzione il garante deve fare una valutazione caso per caso valutando una serie di parametri: natura, gravità, durata della violazione, dolo o colpa, misure di sicurezza adottate dal titolare e dal responsabile, recidiva, adesione a codici di condotta
  • 27. LE SANZIONI CHI IRROGA LE SANZIONI? GARANTE PRIVACY ATTENZIONE La violazione delle norme GDPR e nazionali comporta anche sanzioni penali e l’esposizione a domande risarcitorie da parte degli interessati che possono agire sia in sede amministrativa, sia in sede giudiziaria NB Il garante della privacy può limitare, sospendere, interrompere il trattamento dei dati, causando l’interruzione dei servizi connessi al trattamento
  • 28. GDPR E IoT OGGETTI CONNESSI e trattamento dei dati IL CASO dei televisori «VIZIO» VENDITA TRADIZIONALE vs VENDITA ON LINE Problemi applicativi del GDPR nell’IoT IoT e Blockchain…?
  • 29. GDPR E BLOCKCHAIN WEF il 10% del PIL mondiale nel 2025 sarà prodotto da servizi erogati tramite blockchain! IMPATTO GDPR LA BLOCKCHAIN è GDPR COMPLIANT? Ok Privacy by design Pseudonimizzazione Minimizzazione Sicurezza Controllo dei dati da parte dell’interessato NON COMPLIANT Diritto all’oblio Controllo dei dati non centralizzato Responsabile del trattamento DPO Giurisdizione in caso di controversie CONFERIMENTO DEI DATI MODALITA’ PUSH MODALITA’ PULL