SlideShare une entreprise Scribd logo

La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018

Télécharger en tant que PPTX, PDF
M2 Informatica
M2 Informatica

Panoramica sul nuovo GDPR e sulle novità introdotte dal decreto attuativo DLGS 101/2018

Droit
1  sur  56
Adriano Vico Formazione e agevolazioni alle Aziende
Programma • 09.45 Industria 4.0: le opportunità per le imprese • 10.00 GDPR Privacy: il decreto attuativo del 19 settembre • 11.00 GDPR Privacy: modalità di adeguamento • 12.00 Domande e risposte • 12.40 Estrazione premio cofanetto regalo Eataly • 12.45 Pranzo
Adriano Vico Opportunità per le imprese
Federica Savio La nuova normativa privacy GDPR 679/2016 e Decreto Legislativo 101/2018
GDPR – Regolamento UE 2016/679 • Entrato in vigore il 24 maggio 2016 • Direttamente applicabile in tutti i Paesi Membri dal 25 Maggio 2018 • Abroga la direttiva 95/46/CE recepita in Italia dal D.Lgs. 196/2003 Qual è il destino del Codice della Privacy e dei Provvedimenti del Garante della Privacy?
GDPR – DECRETO LEGISLATIVO 101/2018 • In Italia la materia era già regolata dal Codice in materia di protezione dei dati personali - decreto legislativo n. 196 del 30 giugno 2003 - novellato dal decreto legislativo n. 101 del 10 agosto 2018 in vigore dal 19 settembre 2018
GDPR – Finalità • Rispondere alle sfide in materia di protezione dei dati personali poste da evoluzione tecnologica e dallo sviluppo dell’economia digitale • Assicurare la tutela dei diritti delle persone fisiche nei Paesi Membri • Realizzare la libera circolazione dei dati personali nell’ UE
GDPR – ambito di applicazione materiale Trattamenti interamente o parzialmente automatizzati di dati personali o trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi Esclusioni: • Trattamenti effettuati da persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico • Trattamenti effettuati dalle autorità competenti nel perseguimento di reati
GDPR – ambito di applicazione territoriale Trattamenti effettuati nell’ambito delle attività di uno stabilimento da parte di un titolare o di un responsabile stabilito nell’UE, indipendentemente dal fatto che il trattamento sia effettuato nell’UE Trattamenti di dati personali di interessati che si trovano nell’UE effettuati da parte di un titolare o responsabile non stabilito nell’UE se le attività riguardano: • Offerta di beni o servizi a interessati che si trovano nell’UE • Monitoraggio di comportamenti di interessati che abbiano luogo nell’UE
I 3 pilastri del GDPR 1 - ACCOUNTABILITY GDPR 3 – VALUTAZIONE DEL RISCHIO 2 – VALUTAZIONE D’IMPATTO Necessità di aggiornare l’intero sistema aziendale di governo dei dati
ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
ACCOUNTABILITY DA FORMA A SOSTANZA • Attuazione principi protezione dei dati «by design» (dalla progettazione) , «by default» (come impostazione predefinita) e trasparenza • Scelta e verifica conformità dei Responsabili • Valutazioni di impatto sulla protezione dei dati • Attenzione a condizioni di adeguatezza per il trasferimento dei dati verso paesi terzi
Valutazione di impatto (DPIA) Richiesta dal Regolamento quando un trattamento, in particolare se prevede l’utilizzo di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, diventa strumento per garantire il rispetto del principio di accountability, poiché anche non necessità di DPIA va giustificata per iscritto. Linee Guida WP29, criteri di riferimento DPIA probabilmente necessaria • Valutazioni della persona e profilazione • Decisioni automatizzate con effetti giuridici significativi (es. esclusione benefici) • Attività di monitoraggio sistematico (es. sorveglianza sistematica in area pubblica) • Dati sensibili o di natura estremamente personale (opinioni politiche, condanne penali, cartelle cliniche) • Trattamento di dati su larga scala • Combinazione o raffronto di insiemi di dati (es. dati trattati da titolari distinti) • Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, pazienti) • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche (es. riconoscimento del volto) • Quei trattamenti che impediscono agli interessati di esercitare un diritto (es. screening clienti banca per accesso a finanziamento)
GDPR – cosa cambia • Nuovi principi - accountability, trasparenza, privacy by design, by default… • Nuove figure – Data Protection Officer (DPO), Rappresentante • Nuovi diritti – diritto di accesso ai dati e rettifica degli stessi, limitazione o opposizione al trattamento, diritto all’oblio, diritto alla portabilità dei dati e diritto al risarcimento
GDPR – DPO Il Data Protection Officer ha il compito di analizzare, valutare e disciplinare la gestione del trattamento. Punto di contatto per interessato e autorità di controllo. Requisiti: approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e procedure che caratterizzano lo specifico settore di riferimento. Dipendente o risorsa esterna, riferisce direttamente al vertice gerarchico, riceve risorse necessarie, no istruzioni per l’esecuzione dei compiti, no conflitto di interesse. La nomina è obbligatoria: - Trattamento effettuato da autorità pubblica o organismo pubblico - Trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala - Trattamento su larga scala di categorie particolari di dati (sensibili, genetici, biometrici o giudiziari)
GDPR – cosa cambia – qualche esempio INFORMATIVA • Coincisa, trasparente (conservazione dati, nuovi diritti per gli interessati) e facilmente accessibile • All’ottenimento dei dati personali e comunque al massimo entro 1 mese, possibilmente in formato elettronico • Contenuti: dati di contatto Titolare, DPO; finalità e base giuridica del trattamento; legittimi interessi perseguiti; eventuali destinatari dei dati personali; trasferimenti a un paese terzo
GDPR – cosa cambia – qualche esempio CONSENSO • Libero • Informato • Esplicito • Espresso mediante dichiarazione o azione inequivocabile • Dimostrabile • Chiaramente distinguibile • Revocabile • Non condizionabile MINORI – offerta diretta di servizi della società dell’informazione - 16 anni
GDPR – cosa cambia – qualche esempio REGISTRI DEL TRATTAMENTO Obbligatori per imprese o organizzazioni con più di 250 dipendenti, il Garante raccomanda a tutti i Titolari di dotarsene LEGITTIMO INTERESSE Base giuridica del trattamento dei dati, anche senza consenso, purché bilanciati diritti titolare e interessato -> valutazione a carico del Titolare Esempi: marketing diretto, verifica dell’età, conservazione mail, ripresa per fini sicurezza in casi grave pericolo
DECRETO LEGISLATIVO 101/2018 Le principali novità introdotte : - Revisione del codice privacy – D.Lgs. 196/2003 – Adeguamento ai principi del GDPR, in particolare: • Trattamento dei dati particolari (particolari, giudiziari, genetici e biometrici) – attualizzazione autorizzazioni generali e emanazione provvedimenti specifici del Garante ogni 2 anni • Trattamento dati sanitari – non basato su consenso • Trattamento dati dipendenti, anche particolari, non basati su consenso • Cv ricevuti spontaneamente – informativa al primo contatto utile e non necessario il consenso al trattamento • Disciplina dei codici di deontologia e buona condotta • Rimodulazione sanzioni penali
DECRETO LEGISLATIVO 101/2018 Le principali novità introdotte : - Revisione del codice privacy – D.Lgs. 196/2003 – Adeguamento ai principi del GDPR, in particolare: • Applicazione principio di Accountability:  notificazione al Garante sostituita da valutazione d’impatto  abolizione Allegato B • Servizi web e social – consenso autonomo maggiori di 14 anni • Possibilità di Reclamo al Garante o all’autorità giudiziaria • Possibilità di introdurre misure di semplificazione per le PMI
DECRETO LEGISLATIVO 101/2018 Le principali novità introdotte : - Revisione del codice privacy – D.Lgs. 196/2003 – Adeguamento ai principi del GDPR, in particolare: • Obbligo tenuta Registri del Trattamento per tutti • Incarichi specifici a persone fisiche • Provvedimenti del Garante ancora validi • Per i primi 8 mesi l’autorità adotterà particolare prudenza e giudizio nell’applicazione delle sanzioni amministrative
GDPR – Sanzioni Fino a 10,000,000 € o fino al 2%fatturato mondiale annuo se sup - Violazione obblighi del titolare o del responsabile del trattamento Fino a 20,000,000 € o fino al 4%fatturato mondiale annuo se sup - Violazione dei principi, comprese condizioni relative al consenso - Violazione diritti degli interessati - Trasferimento dati non a norma in un paese terzo - Inosservanza di un ordine dell’autorità di controllo
GDPR – D.Lv. 101/2018 - Sanzioni Penali In che caso si applicano? - Trattamento illecito di dati - Comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala - Acquisizione fraudolenta di dati oggetto di trattamento su larga scala - Falsità nelle dichiarazioni al Garante - Inosservanza dei provvedimenti del Garante - Violazione disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori
GDPR – Cosa fare per adeguarsi?
GDPR – cosa fare per adeguarsi GDPR
GDPR – cosa fare per adeguarsi Raccolta di informazioni – sullo stato di adeguamento rif. Al Codice e al Regolamento Privacy, tipo di attività, strumenti aziendali, sistema informatico… Stesura del piano privacy – obiettivi, fasi, tempi, responsabilità, budget e approvazione delle funzioni deputate Interviste approfondite e analisi dei documenti – per poter svolgere le fasi successive di adeguamento al Regolamento e implementazione del sistema privacy Analisi del contesto, delle esigenze , dei rischi e delle misure in essere o da implementare
GDPR – cosa fare per adeguarsi Adeguamento al GDPR e implementazione del sistema di gestione della privacy – stesura di documenti, modelli, regolamenti e procedure; condivisione con le risorse aziendali e successiva applicazione Adeguamento del sistema informatico – implementazione dei sistemi per arginare i rischi Formazione del personale – corsi collettivi o specialistici anche in base alle attività da gestire Gestione operativa – il sistema viene avviato
GDPR – cosa fare per adeguarsi Verifiche o Audit dei processi aziendali Dopo un adeguato lasso di tempo, avente come criterio l’applicazione del GDPR e il sistema privacy implementato
GDPR – cosa fare per adeguarsi Mantenimento e miglioramento del sistema Adeguamento alle variazioni normative Proseguimento e continuità delle attività di audit e di formazione
GDPR – un modello adatto a tutti? GDPR SI, ma… - Ideazione di un modello standard adatto ad enti con trattamenti di dati più semplificati, anche se inerenti dati «particolari»
Il nuovo Regolamento Privacy Europeo Sicurezza Informatica Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari Giorgio Montù
2017 – Allarme rosso 1° semestre del 2017 : il peggiore di sempre nell’evoluzione delle minacce «cyber» e relativi impatti, sia dal punto di vista quantitativo che qualitativo. Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in Italia
2017 – 2018 Allarme rosso • trend di crescita degli attacchi importante dell’11% rispetto all’anno precedente, soprattutto malware • Tra i principali attacchi quelli di tipo “ransomware” che infettano il pc, criptando i dati dei sistemi e dei dischi di rete connessi, costringendo l’utente al pagamento di un riscatto per avere la possibilità di accedere nuovamente ai dati • Aziende più esposte: quelle che non adottano un approccio strutturato al problema e che, infettate e senza un backup aggiornato, si trovano a dover pagare un riscatto Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2018 sulla sicurezza ICT in Italia
Alcuni dei principali attacchi a livello globale 2017 -2018 I cyber criminali si sono avvalsi di un nome riconosciuto come quello di Vodafone per spingere gli utenti ad aprire un link che, tramite un exploit per Microsoft Explorer, permetteva il download e l’esecuzione di programmi arbitrari dal web. Anche in questo caso l’attacco è stato utilizzato per la diffusione del ransomware CryptoLocker. In altri casi simili sono stati utilizzati altri marchi conosciuti per l’invio di email di spam apparentemente lecite. Tra le campagne principali quelle che fanno riferimento a “Cartella esattoriale Equitalia”, “Pacco DHL in consegna”, “Fattura Telecom»
Non tanto vicino a noi, ma modello facilmente replicabile: Alcuni dei principali attacchi a livello globale 2017 -2018
Alcuni dei principali attacchi a livello globale 2018 Più vicino a noi:
Alcuni dei principali attacchi a livello globale 2018 Il più recente, proprio in questi giorni:
In mezzo a noi Alcuni dei principali attacchi a livello globale 2016 -2017 In questa sala …………
D.Lgs. 196/2003 – Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza - ABROGATO - Gestione profili di autorizzazione e credenziali di autenticazione - Sistema antivirus e antispam - Aggiornamento periodico (almeno semestrale) dei sistemi - Backup dei dati con cadenza almeno settimanale - Istruzioni tecnico-organizzative per gestione e salvataggio dati - Definizione di procedure per garantire il ripristino dell’ accesso ai dati - DPSS (successivamente abrogato) - Successivo provvedimento LOG Amministratori di sistema (12/2009)
VIGE IL PRINCIPIO DI ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche(per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato
GDPR – Sicurezza del trattamento Art. 5 – Principi applicabili al trattamento dei dati personali 1. I dati personali sono: … F) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
GDPR – Sicurezza del trattamento Cosa fare Analisi dei rischi Deve tenere conto di: - Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o elaborati - Eventuali pregiudizi derivati: danni fisici, materiali o immateriali - Elevatezza del rischio Il rischio va valutato in base alla sussistenza, frequenza, gravità
GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche adeguate Effettivamente in grado di contrastare: - distruzione - perdita - modifica - divulgazione non autorizzata - accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
GDPR – Sicurezza del trattamento Art. 32 – Sicurezza del trattamento Tenendo conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, prevede: - misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio - pseudonimizzazione e cifratura dei dati (se del caso) - assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi - capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati - procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche minime vs adeguate – qualche esempio - per contrastare malware tipo Cryptolocker: Antivirus e antispam / email gateway o specifici firewall avanzati - Sicurezza ripristino dei dati: backup settimanale su unico supporto / backup giornaliero + settimanale + mensile su più supporti, anche delocalizzati o in cloud - Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi avanzati e di «controllo» della navigazione Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN, utilizzo password complesse e cambio a intervalli più ravvicinati, disattivazione degli account non più utilizzati , affinamento delle misure tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati (business continuity), etc. ….
GDPR – Sicurezza del trattamento Cosa fare Contromisure organizzative adeguate (obbligatorie o consigliate dai legislatori) - Formazione obbligatoria degli addetti al trattamento dei dati - Regolamentazione dell’ utilizzo sistemi informatici/telematici - Adozione di procedure per la verifica dell’adeguatezza delle misure tecniche adottate - Adesione a codici di condotta o certificazioni specifiche (p.e. ISO 27001)
GDPR – Sicurezza del trattamento Art. 33 – Data Breach In caso di violazione dei dati personali il Titolare notifica la violazione all’autorità Garante entro 72 ore e deve - Descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo delle registrazioni - Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
GDPR – Sicurezza del trattamento Art. 34 – Data Breach Quando la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza giustificato ritardo: - Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali - Comunicando il nome e dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
GDPR – Sicurezza del trattamento Art. 34 – Data Breach Non è richiesta la comunicazione della violazione all’interessato se: - Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed erano state applicate ai dati personali oggetto di violazione, in particolare la cifratura - Il Titolare ha successivamente adottato misure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati - La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede tramite comunicazione pubblica

Recommandé

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 

Recommandé

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
GDPR
GDPRGDPR
GDPRPasquale Tarallo
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziEurosystem S.p.A.
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 

Contenu connexe

Tendances

GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 

Tendances (16)

GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
GDPR
GDPRGDPR
GDPR
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 

Similaire à La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018

CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziEurosystem S.p.A.
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPDaniele Fittabile
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdownContactlab
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRStefania Tromba
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturaliAndrea Colombetti
 
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’EuropaAlan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’EuropaMeet Magento Italy
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 

Similaire à La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018 (20)

CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016m
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdown
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Preparsi al GDPR
Preparsi al GDPRPreparsi al GDPR
Preparsi al GDPR
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPR
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturali
 
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’EuropaAlan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 

Plus de M2 Informatica

Come gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con OpenmanagerCome gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con OpenmanagerM2 Informatica
 
Fatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'usoFatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'usoM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”M2 Informatica
 
The Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices PortfolioThe Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices PortfolioM2 Informatica
 

Plus de M2 Informatica (8)

Come gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con OpenmanagerCome gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con Openmanager
 
Fatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'usoFatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'uso
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy Europeo
 
Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”
 
The Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices PortfolioThe Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices Portfolio
 

La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8. Adriano Vico Formazione e agevolazioni alle Aziende
  • 9. Programma • 09.45 Industria 4.0: le opportunità per le imprese • 10.00 GDPR Privacy: il decreto attuativo del 19 settembre • 11.00 GDPR Privacy: modalità di adeguamento • 12.00 Domande e risposte • 12.40 Estrazione premio cofanetto regalo Eataly • 12.45 Pranzo
  • 11. Federica Savio La nuova normativa privacy GDPR 679/2016 e Decreto Legislativo 101/2018
  • 12. GDPR – Regolamento UE 2016/679 • Entrato in vigore il 24 maggio 2016 • Direttamente applicabile in tutti i Paesi Membri dal 25 Maggio 2018 • Abroga la direttiva 95/46/CE recepita in Italia dal D.Lgs. 196/2003 Qual è il destino del Codice della Privacy e dei Provvedimenti del Garante della Privacy?
  • 13. GDPR – DECRETO LEGISLATIVO 101/2018 • In Italia la materia era già regolata dal Codice in materia di protezione dei dati personali - decreto legislativo n. 196 del 30 giugno 2003 - novellato dal decreto legislativo n. 101 del 10 agosto 2018 in vigore dal 19 settembre 2018
  • 14. GDPR – Finalità • Rispondere alle sfide in materia di protezione dei dati personali poste da evoluzione tecnologica e dallo sviluppo dell’economia digitale • Assicurare la tutela dei diritti delle persone fisiche nei Paesi Membri • Realizzare la libera circolazione dei dati personali nell’ UE
  • 15. GDPR – ambito di applicazione materiale Trattamenti interamente o parzialmente automatizzati di dati personali o trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi Esclusioni: • Trattamenti effettuati da persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico • Trattamenti effettuati dalle autorità competenti nel perseguimento di reati
  • 16. GDPR – ambito di applicazione territoriale Trattamenti effettuati nell’ambito delle attività di uno stabilimento da parte di un titolare o di un responsabile stabilito nell’UE, indipendentemente dal fatto che il trattamento sia effettuato nell’UE Trattamenti di dati personali di interessati che si trovano nell’UE effettuati da parte di un titolare o responsabile non stabilito nell’UE se le attività riguardano: • Offerta di beni o servizi a interessati che si trovano nell’UE • Monitoraggio di comportamenti di interessati che abbiano luogo nell’UE
  • 17. I 3 pilastri del GDPR 1 - ACCOUNTABILITY GDPR 3 – VALUTAZIONE DEL RISCHIO 2 – VALUTAZIONE D’IMPATTO Necessità di aggiornare l’intero sistema aziendale di governo dei dati
  • 18. ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
  • 19. ACCOUNTABILITY DA FORMA A SOSTANZA • Attuazione principi protezione dei dati «by design» (dalla progettazione) , «by default» (come impostazione predefinita) e trasparenza • Scelta e verifica conformità dei Responsabili • Valutazioni di impatto sulla protezione dei dati • Attenzione a condizioni di adeguatezza per il trasferimento dei dati verso paesi terzi
  • 20. Valutazione di impatto (DPIA) Richiesta dal Regolamento quando un trattamento, in particolare se prevede l’utilizzo di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, diventa strumento per garantire il rispetto del principio di accountability, poiché anche non necessità di DPIA va giustificata per iscritto. Linee Guida WP29, criteri di riferimento DPIA probabilmente necessaria • Valutazioni della persona e profilazione • Decisioni automatizzate con effetti giuridici significativi (es. esclusione benefici) • Attività di monitoraggio sistematico (es. sorveglianza sistematica in area pubblica) • Dati sensibili o di natura estremamente personale (opinioni politiche, condanne penali, cartelle cliniche) • Trattamento di dati su larga scala • Combinazione o raffronto di insiemi di dati (es. dati trattati da titolari distinti) • Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, pazienti) • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche (es. riconoscimento del volto) • Quei trattamenti che impediscono agli interessati di esercitare un diritto (es. screening clienti banca per accesso a finanziamento)
  • 21. GDPR – cosa cambia • Nuovi principi - accountability, trasparenza, privacy by design, by default… • Nuove figure – Data Protection Officer (DPO), Rappresentante • Nuovi diritti – diritto di accesso ai dati e rettifica degli stessi, limitazione o opposizione al trattamento, diritto all’oblio, diritto alla portabilità dei dati e diritto al risarcimento
  • 22. GDPR – DPO Il Data Protection Officer ha il compito di analizzare, valutare e disciplinare la gestione del trattamento. Punto di contatto per interessato e autorità di controllo. Requisiti: approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e procedure che caratterizzano lo specifico settore di riferimento. Dipendente o risorsa esterna, riferisce direttamente al vertice gerarchico, riceve risorse necessarie, no istruzioni per l’esecuzione dei compiti, no conflitto di interesse. La nomina è obbligatoria: - Trattamento effettuato da autorità pubblica o organismo pubblico - Trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala - Trattamento su larga scala di categorie particolari di dati (sensibili, genetici, biometrici o giudiziari)
  • 23. GDPR – cosa cambia – qualche esempio INFORMATIVA • Coincisa, trasparente (conservazione dati, nuovi diritti per gli interessati) e facilmente accessibile • All’ottenimento dei dati personali e comunque al massimo entro 1 mese, possibilmente in formato elettronico • Contenuti: dati di contatto Titolare, DPO; finalità e base giuridica del trattamento; legittimi interessi perseguiti; eventuali destinatari dei dati personali; trasferimenti a un paese terzo
  • 24. GDPR – cosa cambia – qualche esempio CONSENSO • Libero • Informato • Esplicito • Espresso mediante dichiarazione o azione inequivocabile • Dimostrabile • Chiaramente distinguibile • Revocabile • Non condizionabile MINORI – offerta diretta di servizi della società dell’informazione - 16 anni
  • 25. GDPR – cosa cambia – qualche esempio REGISTRI DEL TRATTAMENTO Obbligatori per imprese o organizzazioni con più di 250 dipendenti, il Garante raccomanda a tutti i Titolari di dotarsene LEGITTIMO INTERESSE Base giuridica del trattamento dei dati, anche senza consenso, purché bilanciati diritti titolare e interessato -> valutazione a carico del Titolare Esempi: marketing diretto, verifica dell’età, conservazione mail, ripresa per fini sicurezza in casi grave pericolo
  • 26. DECRETO LEGISLATIVO 101/2018 Le principali novità introdotte : - Revisione del codice privacy – D.Lgs. 196/2003 – Adeguamento ai principi del GDPR, in particolare: • Trattamento dei dati particolari (particolari, giudiziari, genetici e biometrici) – attualizzazione autorizzazioni generali e emanazione provvedimenti specifici del Garante ogni 2 anni • Trattamento dati sanitari – non basato su consenso • Trattamento dati dipendenti, anche particolari, non basati su consenso • Cv ricevuti spontaneamente – informativa al primo contatto utile e non necessario il consenso al trattamento • Disciplina dei codici di deontologia e buona condotta • Rimodulazione sanzioni penali
  • 27. DECRETO LEGISLATIVO 101/2018 Le principali novità introdotte : - Revisione del codice privacy – D.Lgs. 196/2003 – Adeguamento ai principi del GDPR, in particolare: • Applicazione principio di Accountability:  notificazione al Garante sostituita da valutazione d’impatto  abolizione Allegato B • Servizi web e social – consenso autonomo maggiori di 14 anni • Possibilità di Reclamo al Garante o all’autorità giudiziaria • Possibilità di introdurre misure di semplificazione per le PMI
  • 28. DECRETO LEGISLATIVO 101/2018 Le principali novità introdotte : - Revisione del codice privacy – D.Lgs. 196/2003 – Adeguamento ai principi del GDPR, in particolare: • Obbligo tenuta Registri del Trattamento per tutti • Incarichi specifici a persone fisiche • Provvedimenti del Garante ancora validi • Per i primi 8 mesi l’autorità adotterà particolare prudenza e giudizio nell’applicazione delle sanzioni amministrative
  • 29. GDPR – Sanzioni Fino a 10,000,000 € o fino al 2%fatturato mondiale annuo se sup - Violazione obblighi del titolare o del responsabile del trattamento Fino a 20,000,000 € o fino al 4%fatturato mondiale annuo se sup - Violazione dei principi, comprese condizioni relative al consenso - Violazione diritti degli interessati - Trasferimento dati non a norma in un paese terzo - Inosservanza di un ordine dell’autorità di controllo
  • 30. GDPR – D.Lv. 101/2018 - Sanzioni Penali In che caso si applicano? - Trattamento illecito di dati - Comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala - Acquisizione fraudolenta di dati oggetto di trattamento su larga scala - Falsità nelle dichiarazioni al Garante - Inosservanza dei provvedimenti del Garante - Violazione disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori
  • 31. GDPR – Cosa fare per adeguarsi?
  • 32. GDPR – cosa fare per adeguarsi GDPR
  • 33. GDPR – cosa fare per adeguarsi Raccolta di informazioni – sullo stato di adeguamento rif. Al Codice e al Regolamento Privacy, tipo di attività, strumenti aziendali, sistema informatico… Stesura del piano privacy – obiettivi, fasi, tempi, responsabilità, budget e approvazione delle funzioni deputate Interviste approfondite e analisi dei documenti – per poter svolgere le fasi successive di adeguamento al Regolamento e implementazione del sistema privacy Analisi del contesto, delle esigenze , dei rischi e delle misure in essere o da implementare
  • 34. GDPR – cosa fare per adeguarsi Adeguamento al GDPR e implementazione del sistema di gestione della privacy – stesura di documenti, modelli, regolamenti e procedure; condivisione con le risorse aziendali e successiva applicazione Adeguamento del sistema informatico – implementazione dei sistemi per arginare i rischi Formazione del personale – corsi collettivi o specialistici anche in base alle attività da gestire Gestione operativa – il sistema viene avviato
  • 35. GDPR – cosa fare per adeguarsi Verifiche o Audit dei processi aziendali Dopo un adeguato lasso di tempo, avente come criterio l’applicazione del GDPR e il sistema privacy implementato
  • 36. GDPR – cosa fare per adeguarsi Mantenimento e miglioramento del sistema Adeguamento alle variazioni normative Proseguimento e continuità delle attività di audit e di formazione
  • 37. GDPR – un modello adatto a tutti? GDPR SI, ma… - Ideazione di un modello standard adatto ad enti con trattamenti di dati più semplificati, anche se inerenti dati «particolari»
  • 38. Il nuovo Regolamento Privacy Europeo Sicurezza Informatica Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari Giorgio Montù
  • 39. 2017 – Allarme rosso 1° semestre del 2017 : il peggiore di sempre nell’evoluzione delle minacce «cyber» e relativi impatti, sia dal punto di vista quantitativo che qualitativo. Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in Italia
  • 40. 2017 – 2018 Allarme rosso • trend di crescita degli attacchi importante dell’11% rispetto all’anno precedente, soprattutto malware • Tra i principali attacchi quelli di tipo “ransomware” che infettano il pc, criptando i dati dei sistemi e dei dischi di rete connessi, costringendo l’utente al pagamento di un riscatto per avere la possibilità di accedere nuovamente ai dati • Aziende più esposte: quelle che non adottano un approccio strutturato al problema e che, infettate e senza un backup aggiornato, si trovano a dover pagare un riscatto Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2018 sulla sicurezza ICT in Italia
  • 41. Alcuni dei principali attacchi a livello globale 2017 -2018 I cyber criminali si sono avvalsi di un nome riconosciuto come quello di Vodafone per spingere gli utenti ad aprire un link che, tramite un exploit per Microsoft Explorer, permetteva il download e l’esecuzione di programmi arbitrari dal web. Anche in questo caso l’attacco è stato utilizzato per la diffusione del ransomware CryptoLocker. In altri casi simili sono stati utilizzati altri marchi conosciuti per l’invio di email di spam apparentemente lecite. Tra le campagne principali quelle che fanno riferimento a “Cartella esattoriale Equitalia”, “Pacco DHL in consegna”, “Fattura Telecom»
  • 42. Non tanto vicino a noi, ma modello facilmente replicabile: Alcuni dei principali attacchi a livello globale 2017 -2018
  • 43. Alcuni dei principali attacchi a livello globale 2018 Più vicino a noi:
  • 44. Alcuni dei principali attacchi a livello globale 2018 Il più recente, proprio in questi giorni:
  • 45. In mezzo a noi Alcuni dei principali attacchi a livello globale 2016 -2017 In questa sala …………
  • 46. D.Lgs. 196/2003 – Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza - ABROGATO - Gestione profili di autorizzazione e credenziali di autenticazione - Sistema antivirus e antispam - Aggiornamento periodico (almeno semestrale) dei sistemi - Backup dei dati con cadenza almeno settimanale - Istruzioni tecnico-organizzative per gestione e salvataggio dati - Definizione di procedure per garantire il ripristino dell’ accesso ai dati - DPSS (successivamente abrogato) - Successivo provvedimento LOG Amministratori di sistema (12/2009)
  • 47. VIGE IL PRINCIPIO DI ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche(per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato
  • 48. GDPR – Sicurezza del trattamento Art. 5 – Principi applicabili al trattamento dei dati personali 1. I dati personali sono: … F) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
  • 49. GDPR – Sicurezza del trattamento Cosa fare Analisi dei rischi Deve tenere conto di: - Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o elaborati - Eventuali pregiudizi derivati: danni fisici, materiali o immateriali - Elevatezza del rischio Il rischio va valutato in base alla sussistenza, frequenza, gravità
  • 50. GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche adeguate Effettivamente in grado di contrastare: - distruzione - perdita - modifica - divulgazione non autorizzata - accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
  • 51. GDPR – Sicurezza del trattamento Art. 32 – Sicurezza del trattamento Tenendo conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, prevede: - misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio - pseudonimizzazione e cifratura dei dati (se del caso) - assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi - capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati - procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
  • 52. GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche minime vs adeguate – qualche esempio - per contrastare malware tipo Cryptolocker: Antivirus e antispam / email gateway o specifici firewall avanzati - Sicurezza ripristino dei dati: backup settimanale su unico supporto / backup giornaliero + settimanale + mensile su più supporti, anche delocalizzati o in cloud - Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi avanzati e di «controllo» della navigazione Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN, utilizzo password complesse e cambio a intervalli più ravvicinati, disattivazione degli account non più utilizzati , affinamento delle misure tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati (business continuity), etc. ….
  • 53. GDPR – Sicurezza del trattamento Cosa fare Contromisure organizzative adeguate (obbligatorie o consigliate dai legislatori) - Formazione obbligatoria degli addetti al trattamento dei dati - Regolamentazione dell’ utilizzo sistemi informatici/telematici - Adozione di procedure per la verifica dell’adeguatezza delle misure tecniche adottate - Adesione a codici di condotta o certificazioni specifiche (p.e. ISO 27001)
  • 54. GDPR – Sicurezza del trattamento Art. 33 – Data Breach In caso di violazione dei dati personali il Titolare notifica la violazione all’autorità Garante entro 72 ore e deve - Descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo delle registrazioni - Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
  • 55. GDPR – Sicurezza del trattamento Art. 34 – Data Breach Quando la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza giustificato ritardo: - Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali - Comunicando il nome e dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
  • 56. GDPR – Sicurezza del trattamento Art. 34 – Data Breach Non è richiesta la comunicazione della violazione all’interessato se: - Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed erano state applicate ai dati personali oggetto di violazione, in particolare la cifratura - Il Titolare ha successivamente adottato misure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati - La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede tramite comunicazione pubblica