SlideShare une entreprise Scribd logo

il GDPR - 14 Dicembre 2018

Télécharger en tant que PPTX, PDF
L
Lodovico Mabini

Slides del seminario tenuto dall' Avv. Marco Longoni e dall'Ing. Lodovico Mabini presso l'Ordine degli Ingegneri di Mantova

Technologie
1  sur  52
I concetti base - Impatto organizzativo Impatto legale – Impatto informatico Ing. Lodovico Mabini – Avv. Marco Longoni Ordine Ingegneri di Mantova – 14 Dicembre 2018
….. IL DATO E’ IL PETROLIO DEL FUTURO
….. MA NON DEVE DIVENTARE COMBUSTIBILE NUCLEARE
• D.Lgs 196/03 • GDPR (italianizzato RGPD) Reg. 2016/679 EU • Norme su diritti di autore • Codice Penale (Reati Informatici) • D.lgs. 231
• Il GDPR definisce sanzioni amministrative, non può entrare nell’ambito del penale • La norme nazionali regolano l’ambito penale 2% del fatturato mondiale, 10 MLN 4% del fatturato mondiale, 20 MLN
Terzo Classificato – AUSTRIA • Premio: 4.000,00 Euro • Motivazione: utilizzava il sistema di video sorveglianza in malo modo, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo in modo eccessivo, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.
Secondo Classificato – GERMANIA • Premio: 20.000,00 Euro • Motivazione: dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi. In questo caso l’attaccante, oltre ad aver sottratto le credenziali utente comprensive di password, le ha anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.
Primo Classificato – PORTOGALLO • Premio: 400.000,00 Euro • Motivazione: un controllo ispettivo ha permesso di accertare che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziato come, psicologi, infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità (e in totale assenza del principio di necessità) i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero; sempre durante l’ispezione gli auditor hanno evidenziato una inadeguata politica di accesso al dato, evidenziando come il problema non è tanto sulla configurazione del sistema informativo ma soprattutto sulla inadeguatezza della policy di accesso al dato scelta e divulgata a tutti gli operatori della struttura ospedaliera.
qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o social
L’art. 4 comma 1 lett. D) D. lgs 196/2003 definisce dati sensibili quei «dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale» Questa particolare categoria di dati è sottoposta dal Codice Privacy a un livello di protezione più elevato di quello previsto per i dati comuni. Anche nel GDPR avviene lo stesso con i dati particolari.
«I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.» Pertanto, se si vogliono prevenire contestazioni, che possono portare al blocco del trattamento dei dati, occorre rispettare tutti i principi normativi ed i provvedimenti del Garante correlati. (art. 11 comma 2 del D. lgs 196/2003 )
• il Titolare • il Responsabile • l‘Incaricato • l‘Interessato • il Garante Privacy • Il Data Protection Officer (DPO/RPD) • l'Autorità Giudiziaria ordinaria
Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati)
CONSENSO Cosa cambia? - Per i dati "sensibili" (art. 9 regolamento) il consenso DEVE essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). - NON deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere "esplicito" (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. - Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. (14 anni a seguito del D.lgs 101/08) Cosa non cambia? - DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). - DEVE essere manifestato attraverso "dichiarazione o azione positiva inequivocabile"
L’informativa deve essere resa disponibile all’atto dell’acquisizione del dato personale E’ consigliabile poter dimostrare di aver fornito l’informativa. Il consenso deve essere acquisito in modo chiaro per ogni specifico trattamento che lo riguarderà E’ inoltre obbligatorio quando l’acquisizione riguarda dati “particolari”.
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; sono state inserite specifiche clausole contrattuali modello, ecc.).
Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2.10 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI, CONSULTAZIONE PREVENTIVA In fase di Gap Analysis non sono emersi presupposti che rendano già immediatamente evidente la necessità di effettuare valutazione d’impatto sulla protezione dei dati personali. L’art. 35 comma 1 del GDPR definisce infatti che: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.” Non si ritiene che LM Team S.r.l. effettui trattamenti informatici che presentino rischi elevati per i diritti e le libertà delle persone fisiche. In ogni caso, il Titolare del trattamento effettuerà periodicamente una valutazione in relazione ai tipi di trattamento effettuati, al fine di verificare se insorgano esigenze di effettuare la DPIA.
IN QUALI CASI E’ PREVISTO? Dovranno designare obbligatoriamente un RPD: a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico RPD
QUALI SONO I REQUISITI? Nominato dal titolare del trattamento, dovrà: 1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze. 2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali; 3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
QUALI SONO I COMPITI? Il Responsabile della protezione dei dati dovrà, in particolare: a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità; b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA); c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati; d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento; e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività
In seguito all’attento esame condotto in fase di Gap Analysis, LM Team S.r.l. ritiene di non rientrare nelle categorie previste dall’art. 37 del GDPR e pertanto ritiene di non avere, allo stato attuale, l’obbligo di designazione del Data Protection Officer. Ritiene altresì che, considerate le tipologie di trattamento effettuato e la quantità contenuta di dati trattati, non sia indispensabile provvedere, neppure in via facoltativa, alla nomina di un DPO. Verrà prestata, tuttavia, anche grazie a consulenti esterni, la massima attenzione agli ulteriori chiarimenti ed ai provvedimenti che verranno forniti dal Garante, utili a meglio chiarire l’ambito e la portata della definizione di cui alla lettera b) dell’art. 37 comma 1 del GDPR, con particolare riferimento al monitoraggio regolare e sistematico degli interessati su larga scala.
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Misure Tecniche e Organizzative Nome del Trattamento Titolare Finalità Tipo di Dati Categorie degli Interessati Consenso Termini di Conservazione Contitolari Responsabili Esterni Diritto all’oblio Trasferimento Estero
È un diritto innovativo previsto dall’articolo 20 del regolamento (Ue) 2016/679 che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. QUALI VANTAGGI PUO’ OFFRIRE? • facilitare il passaggio da un fornitore di servizi all’altro; • consentire la creazione di nuovi servizi nel quadro della strategia dell’Ue per il mercato unico digitale; • offrire la possibilità di «riequilibrare» il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano.
• ricevere dati personali trattati da un titolare e conservarli su un supporto personale o un cloud privato in vista di un utilizzo ulteriore per scopi personali, senza trasmetterli necessariamente a un altro titolare (es: recuperare l’elenco dei brani musicali preferiti detenuto da un servizio di musica in streaming, per scoprire quante volte si sono ascoltati determinati brani); • trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento (es.: un diverso fornitore di servizi). L’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato, che può, per esempio: • continuare a fruire del servizio offerto dal titolare anche dopo un’operazione di portabilità; • esercitare il diritto di cancellazione (o «diritto all’oblio») ai sensi dell’art. 17 del regolamento.
Qualsiasi forma di trattamento automatizzato (…) volto a determinare aspetti personali Rendimento professionale - Situazione Economica – Salute - Preferenze Personali – Affidabilità - Il Comportamento - L’ubicazione L’interessato HA IL DIRITTO di NON essere sottoposto ad una decisione unicamente basata sul trattamento automatizzato (..) che produca effetti giuridici (..) o che incida (..) sulla persona. Il CONSENSO e’ veramente necessario.
A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – devono notificare all’Autorità di controllo le violazioni di dati personali e le fughe di dati, di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento.
La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio (analisi del rischio) A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (Articolo 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33)
Conservarlo Proteggerlo Gestirlo con Cura Cancellarlo
Misure Adeguate Data Breach Oblio Uso Corretto
LA PAROLA CHIAVE DEL
Accountability consapevolezza e Responsabilità Privacy By Design A livello di progetto devo valutare l’impatto sui dati Privacy By Default Raccogliere i dati essenziali per il trattamento
Il GDPR consolida gli aspetti delle attuali normative vigenti. Lo spirito è quello di “FARE LE COSE PER BENE”
•Consapevolezza sui propri sistemi • Quali dati, dove, chi •Affidabilità dei propri sistemi • Backup, resilienza •Riorganizzazione Ruoli • gestione del turnover • Tutela dal lato “Utente” -> fidelizzazione clienti
NESSUNO (sempre che non mi pesi lavorare bene)
L’adeguatezza è determinata da •Analisi rischio •Modernità •sostenibilità
Valore dell’Asset Moltiplicato Probabilità di evento negativo
•Protezione da virus, Firewall •Protezione da accessi non autorizzati •Ruoli, credenziali, mansionari •Resilienza •Sicurezza a livello di rete •Sicurezza a livello di accesso al dato •Controllo e aggiornamento
Audit periodico Formazione Periodica
1) Tratta meno dati che puoi 2) Distribuisci le responsabilità e documenta i trattamenti 3) Favorisci l’anonimizzazione e la pseudonimizzazione
Lodovico Mabini lodovico.mabini@lmteam.eu Marco Longoni marco.longoni@lmteam.eu www.lmteam.eu
https://www.lmteam.eu https://www.garanteprivacy.it http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg https://www.39marketing.it “Il Digital Marketing ai tempi del GDPR” Di Donatella Ardemagni Edizioni ITER

Recommandé

Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Privacy Sanità
Privacy SanitàPrivacy Sanità
Privacy SanitàStefano Corsini
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoStefano Corsini
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoroAmmLibera AL
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
 

Recommandé

Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Privacy Sanità
Privacy SanitàPrivacy Sanità
Privacy SanitàStefano Corsini
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoStefano Corsini
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoroAmmLibera AL
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | SanitàSmau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | SanitàSMAU
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Smau Milano 2016 - Paola Generali, Assintel
Smau Milano 2016 - Paola Generali, AssintelSmau Milano 2016 - Paola Generali, Assintel
Smau Milano 2016 - Paola Generali, AssintelSMAU
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Pasquale Lopriore
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?Andrea Battistella
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GarantePrivacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GaranteUneba
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoniOrdine Ingegneri Lecco
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Barbieri & Associati Dottori Commercialisti - Bologna
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRMassimiliano Tavella
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 

Contenu connexe

Tendances

Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | SanitàSmau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | SanitàSMAU
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Smau Milano 2016 - Paola Generali, Assintel
Smau Milano 2016 - Paola Generali, AssintelSmau Milano 2016 - Paola Generali, Assintel
Smau Milano 2016 - Paola Generali, AssintelSMAU
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Pasquale Lopriore
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GarantePrivacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GaranteUneba
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
 

Tendances (11)

Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | SanitàSmau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
Smau Milano 2016 - Paola Generali, Assintel
Smau Milano 2016 - Paola Generali, AssintelSmau Milano 2016 - Paola Generali, Assintel
Smau Milano 2016 - Paola Generali, Assintel
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GarantePrivacy e lavoro vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del Garante
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarie
 

Similaire à il GDPR - 14 Dicembre 2018

Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017 Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017 SMAU
 

Similaire à il GDPR - 14 Dicembre 2018 (20)

Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017 Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017
 

Plus de Lodovico Mabini

Rischi e opportunità dello Smartworking
Rischi e opportunità dello SmartworkingRischi e opportunità dello Smartworking
Rischi e opportunità dello SmartworkingLodovico Mabini
 
Business continuity nelle piccole e medie realtà
Business continuity nelle piccole e medie realtàBusiness continuity nelle piccole e medie realtà
Business continuity nelle piccole e medie realtàLodovico Mabini
 
Smartworking - Rischi e Opportunità
Smartworking - Rischi e OpportunitàSmartworking - Rischi e Opportunità
Smartworking - Rischi e OpportunitàLodovico Mabini
 
Business Continuity nelle PMI e negli studi professionali
Business Continuity nelle PMI e negli studi professionaliBusiness Continuity nelle PMI e negli studi professionali
Business Continuity nelle PMI e negli studi professionaliLodovico Mabini
 
Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...
Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...
Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...Lodovico Mabini
 
Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...
Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...
Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...Lodovico Mabini
 
SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà
SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà
SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà Lodovico Mabini
 
GDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto InformaticoGDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto InformaticoLodovico Mabini
 
Informatica per studio professionale
Informatica per studio professionaleInformatica per studio professionale
Informatica per studio professionaleLodovico Mabini
 

Plus de Lodovico Mabini (12)

Termocamere e Covid-19
Termocamere e Covid-19Termocamere e Covid-19
Termocamere e Covid-19
 
Rischi e opportunità dello Smartworking
Rischi e opportunità dello SmartworkingRischi e opportunità dello Smartworking
Rischi e opportunità dello Smartworking
 
Business continuity nelle piccole e medie realtà
Business continuity nelle piccole e medie realtàBusiness continuity nelle piccole e medie realtà
Business continuity nelle piccole e medie realtà
 
Smartworking - Rischi e Opportunità
Smartworking - Rischi e OpportunitàSmartworking - Rischi e Opportunità
Smartworking - Rischi e Opportunità
 
Business Continuity nelle PMI e negli studi professionali
Business Continuity nelle PMI e negli studi professionaliBusiness Continuity nelle PMI e negli studi professionali
Business Continuity nelle PMI e negli studi professionali
 
Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...
Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...
Industria 4.0 - Rivoluzione Digitale - Quali opportunità per le aziende del t...
 
Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...
Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...
Rivoluzione Digitale - Quali opportunità per le aziende del territorio Alto L...
 
SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà
SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà
SMAU2018 - Introdurre la Business Continuity nelle piccole e medie realtà
 
Introduzione al GDPR
Introduzione al GDPRIntroduzione al GDPR
Introduzione al GDPR
 
GDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto InformaticoGDPR - Aspetti Generali - Impatto Informatico
GDPR - Aspetti Generali - Impatto Informatico
 
Gdpr - I Concetti Base
Gdpr - I Concetti BaseGdpr - I Concetti Base
Gdpr - I Concetti Base
 
Informatica per studio professionale
Informatica per studio professionaleInformatica per studio professionale
Informatica per studio professionale
 

il GDPR - 14 Dicembre 2018

  • 1. I concetti base - Impatto organizzativo Impatto legale – Impatto informatico Ing. Lodovico Mabini – Avv. Marco Longoni Ordine Ingegneri di Mantova – 14 Dicembre 2018
  • 2. ….. IL DATO E’ IL PETROLIO DEL FUTURO
  • 3. ….. MA NON DEVE DIVENTARE COMBUSTIBILE NUCLEARE
  • 4. • D.Lgs 196/03 • GDPR (italianizzato RGPD) Reg. 2016/679 EU • Norme su diritti di autore • Codice Penale (Reati Informatici) • D.lgs. 231
  • 5.
  • 6. • Il GDPR definisce sanzioni amministrative, non può entrare nell’ambito del penale • La norme nazionali regolano l’ambito penale 2% del fatturato mondiale, 10 MLN 4% del fatturato mondiale, 20 MLN
  • 7. Terzo Classificato – AUSTRIA • Premio: 4.000,00 Euro • Motivazione: utilizzava il sistema di video sorveglianza in malo modo, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo in modo eccessivo, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.
  • 8. Secondo Classificato – GERMANIA • Premio: 20.000,00 Euro • Motivazione: dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi. In questo caso l’attaccante, oltre ad aver sottratto le credenziali utente comprensive di password, le ha anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.
  • 9. Primo Classificato – PORTOGALLO • Premio: 400.000,00 Euro • Motivazione: un controllo ispettivo ha permesso di accertare che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziato come, psicologi, infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità (e in totale assenza del principio di necessità) i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero; sempre durante l’ispezione gli auditor hanno evidenziato una inadeguata politica di accesso al dato, evidenziando come il problema non è tanto sulla configurazione del sistema informativo ma soprattutto sulla inadeguatezza della policy di accesso al dato scelta e divulgata a tutti gli operatori della struttura ospedaliera.
  • 10. qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o social
  • 11. L’art. 4 comma 1 lett. D) D. lgs 196/2003 definisce dati sensibili quei «dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale» Questa particolare categoria di dati è sottoposta dal Codice Privacy a un livello di protezione più elevato di quello previsto per i dati comuni. Anche nel GDPR avviene lo stesso con i dati particolari.
  • 12. «I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.» Pertanto, se si vogliono prevenire contestazioni, che possono portare al blocco del trattamento dei dati, occorre rispettare tutti i principi normativi ed i provvedimenti del Garante correlati. (art. 11 comma 2 del D. lgs 196/2003 )
  • 13. • il Titolare • il Responsabile • l‘Incaricato • l‘Interessato • il Garante Privacy • Il Data Protection Officer (DPO/RPD) • l'Autorità Giudiziaria ordinaria
  • 14. Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati)
  • 15. CONSENSO Cosa cambia? - Per i dati "sensibili" (art. 9 regolamento) il consenso DEVE essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). - NON deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere "esplicito" (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. - Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. (14 anni a seguito del D.lgs 101/08) Cosa non cambia? - DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). - DEVE essere manifestato attraverso "dichiarazione o azione positiva inequivocabile"
  • 16. L’informativa deve essere resa disponibile all’atto dell’acquisizione del dato personale E’ consigliabile poter dimostrare di aver fornito l’informativa. Il consenso deve essere acquisito in modo chiaro per ogni specifico trattamento che lo riguarderà E’ inoltre obbligatorio quando l’acquisizione riguarda dati “particolari”.
  • 17. I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; sono state inserite specifiche clausole contrattuali modello, ecc.).
  • 18.
  • 19. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
  • 20. 2.10 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI, CONSULTAZIONE PREVENTIVA In fase di Gap Analysis non sono emersi presupposti che rendano già immediatamente evidente la necessità di effettuare valutazione d’impatto sulla protezione dei dati personali. L’art. 35 comma 1 del GDPR definisce infatti che: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.” Non si ritiene che LM Team S.r.l. effettui trattamenti informatici che presentino rischi elevati per i diritti e le libertà delle persone fisiche. In ogni caso, il Titolare del trattamento effettuerà periodicamente una valutazione in relazione ai tipi di trattamento effettuati, al fine di verificare se insorgano esigenze di effettuare la DPIA.
  • 21. IN QUALI CASI E’ PREVISTO? Dovranno designare obbligatoriamente un RPD: a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico RPD
  • 22. QUALI SONO I REQUISITI? Nominato dal titolare del trattamento, dovrà: 1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze. 2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali; 3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
  • 23. QUALI SONO I COMPITI? Il Responsabile della protezione dei dati dovrà, in particolare: a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità; b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA); c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati; d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento; e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività
  • 24. In seguito all’attento esame condotto in fase di Gap Analysis, LM Team S.r.l. ritiene di non rientrare nelle categorie previste dall’art. 37 del GDPR e pertanto ritiene di non avere, allo stato attuale, l’obbligo di designazione del Data Protection Officer. Ritiene altresì che, considerate le tipologie di trattamento effettuato e la quantità contenuta di dati trattati, non sia indispensabile provvedere, neppure in via facoltativa, alla nomina di un DPO. Verrà prestata, tuttavia, anche grazie a consulenti esterni, la massima attenzione agli ulteriori chiarimenti ed ai provvedimenti che verranno forniti dal Garante, utili a meglio chiarire l’ambito e la portata della definizione di cui alla lettera b) dell’art. 37 comma 1 del GDPR, con particolare riferimento al monitoraggio regolare e sistematico degli interessati su larga scala.
  • 25. Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
  • 26. Misure Tecniche e Organizzative Nome del Trattamento Titolare Finalità Tipo di Dati Categorie degli Interessati Consenso Termini di Conservazione Contitolari Responsabili Esterni Diritto all’oblio Trasferimento Estero
  • 27.
  • 28.
  • 29. È un diritto innovativo previsto dall’articolo 20 del regolamento (Ue) 2016/679 che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. QUALI VANTAGGI PUO’ OFFRIRE? • facilitare il passaggio da un fornitore di servizi all’altro; • consentire la creazione di nuovi servizi nel quadro della strategia dell’Ue per il mercato unico digitale; • offrire la possibilità di «riequilibrare» il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano.
  • 30. • ricevere dati personali trattati da un titolare e conservarli su un supporto personale o un cloud privato in vista di un utilizzo ulteriore per scopi personali, senza trasmetterli necessariamente a un altro titolare (es: recuperare l’elenco dei brani musicali preferiti detenuto da un servizio di musica in streaming, per scoprire quante volte si sono ascoltati determinati brani); • trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento (es.: un diverso fornitore di servizi). L’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato, che può, per esempio: • continuare a fruire del servizio offerto dal titolare anche dopo un’operazione di portabilità; • esercitare il diritto di cancellazione (o «diritto all’oblio») ai sensi dell’art. 17 del regolamento.
  • 31. Qualsiasi forma di trattamento automatizzato (…) volto a determinare aspetti personali Rendimento professionale - Situazione Economica – Salute - Preferenze Personali – Affidabilità - Il Comportamento - L’ubicazione L’interessato HA IL DIRITTO di NON essere sottoposto ad una decisione unicamente basata sul trattamento automatizzato (..) che produca effetti giuridici (..) o che incida (..) sulla persona. Il CONSENSO e’ veramente necessario.
  • 32. A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – devono notificare all’Autorità di controllo le violazioni di dati personali e le fughe di dati, di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37. La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio (analisi del rischio) A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (Articolo 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33)
  • 41. Accountability consapevolezza e Responsabilità Privacy By Design A livello di progetto devo valutare l’impatto sui dati Privacy By Default Raccogliere i dati essenziali per il trattamento
  • 42. Il GDPR consolida gli aspetti delle attuali normative vigenti. Lo spirito è quello di “FARE LE COSE PER BENE”
  • 43. •Consapevolezza sui propri sistemi • Quali dati, dove, chi •Affidabilità dei propri sistemi • Backup, resilienza •Riorganizzazione Ruoli • gestione del turnover • Tutela dal lato “Utente” -> fidelizzazione clienti
  • 44. NESSUNO (sempre che non mi pesi lavorare bene)
  • 45. L’adeguatezza è determinata da •Analisi rischio •Modernità •sostenibilità
  • 47. •Protezione da virus, Firewall •Protezione da accessi non autorizzati •Ruoli, credenziali, mansionari •Resilienza •Sicurezza a livello di rete •Sicurezza a livello di accesso al dato •Controllo e aggiornamento
  • 49. 1) Tratta meno dati che puoi 2) Distribuisci le responsabilità e documenta i trattamenti 3) Favorisci l’anonimizzazione e la pseudonimizzazione
  • 50.