SlideShare une entreprise Scribd logo

Workshop privacy parte_1_10-03-2016m

Armando Iovino
Armando Iovino

Le novità del Regolamento Privacy senza dimenticare la corretta applicazione del D.lgs. 196/03

Droit
1  sur  48
Télécharger pour lire hors ligne
Verso il nuovo Regolamento Europeo Privacy
Chi sono? Armando Iovino – PQA Progetto Qualità Ambiente S.r.l. Data protection officer armando.iovino@pqa.it https://www.linkedin.com/pub/armando-iovino/5a/97/a83 UNI CEI EN ISO/IEC 17024:2012 iscrizione al Registro Numero CDP_158
La Normativa Privacy oggi: il quadro normativo
Direttiva Madre 95/46/CE del 24 Ottobre 1995 (Recepita in maniera diversa dai 28 Paesi Membri)
E in Italia? Recepita la Direttiva con la Legge 675/96 (Legge promulgata in maniera frettolosa per onorare gli impegni derivanti dagli Accordi di Schengen) D.Lgs. 196/03 del 30 Giugno 2003 in vigore dal 1 Gennaio 2004 + Provvedimenti del Garante Privacy Semplificazioni D.L. 6/12/2011 Salva Italia: persone Giuridiche, Enti e Associazioni non rientrano nel campo di applicabilità D.L. 9 Febbraio 2012, n.5 Decreto Sviluppo: viene abolito l’obbligo di presentazione del D.P.S. e di formazione del personale
Se ne parla nella Direttiva 2002/58/CE, modificata dalla Direttiva 2009/136/CE Recepita in Italia dal D.Lgs. 69/2012 (non vengono fornite le modalità per il rilascio dell’informativa semplificata) Provvedimento del Garante Privacy 8 Maggio 2014 Chiarimenti in merito all’attuazione della Normativa in materia di Cookie (5/06/2015) Infografica. Il tuo sito/blog installa cookie? Cosa devi fare (10/06/2015) E per i Cookie?
Il Dato Privacy
Cosa si intende per dato? IL «DATO PERSONALE» È UNA QUALUNQUE INFORMAZIONE RELATIVA A PERSONA FISICA, Persona giuridica, ente od associazione (Inclusi i suoni e le immagini)
Dato comune/identificativo • Nome, cognome, indirizzo, ecc • C.F. • Indirizzo @mail, numero di telefono • Indirizzo IP • UserID e PW • Stile di vita e abitudini di consumo • Posizione geolocalizzata
Dato sensibile • Stato di salute • Origine razziale, etnica, convinzioni religiose e filosofiche • Opinioni politiche, adesioni a partiti, sindacati, ecc • Orientamento sessuale INFORMAZIONI CONCERNENTI GLI ASPETTI PIU’ INTIMI DELLA VITA DELL’INDIVIDUO
Dato giudiziario • Provvedimenti iscritti nel casellario giudiziale • Sanzioni amministrative derivanti da reato • Informazioni relative allo stato di imputato o indagato SONO ESCLUSI I PROVVEDIMENTI RELATIVI A CAUSE CIVILI
Dato semi_sensibile • Dati biometrici • Dati relativi alla capacità di solvibilità dei debiti • Dati relativi alla situazione finanziaria
Dati genetici Informazioni relative al patrimonio genetico dell’individuo; fondamentalmente consistono nella ricostruzione della catena di Aminoacidi che ricostruiscono il DNA.
Trattamento dei dati • Raccolta • Conservazione • Registrazione • Organizzazione • Raffronto • Modificazione • Diffusione • Cancellazione • Ecc.
Regolamento Privacy Diventano dati sensibili anche i dati biometrici, i dati genetici e i dati giudiziari Attenzione: diventa lecito trattarli se “il trattamento riguarda dati resi manifestamente pubblici dall’interessato”
Regolamento Privacy Portabilità del dato L’interessato ha il diritto, quando i dati sono trattati con mezzi elettronici, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico che gli consenta di farne ulteriore uso. Attenzione: la portabilità è diritto degli interessati, non di un titolare rispetto ai dati personali di terzi collocati su un sistema altrui (es. cloud)
Data Breach • Notifica della violazione all’Autorità competente entro 72/h • Notifica della violazione all’interessato (se i dati mettono a serio rischio le libertà civili)
I Soggetti Privacy
Il Titolare del trattamento La persona fisica, giuridica, P.A., ente, associazione a cui competono le decisioni in ordine alle finalità e alle modalità di trattamento
Responsabile del trattamento La persona fisica, giuridica, P.A., ente, associazione preposti dal Titolare al trattamento dei dati Interno Esterno
Incaricati al trattamento Le persone fisiche autorizzate dal Titolare o dal Responsabile a compiere operazioni di trattamento
Interessato La persone fisica a cui si riferiscono i dati personali.
Amministratore di sistema Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Provvedimento 27 Novembre 2008
Regolamento Privacy • Data Controller (Titolare del trattamento) • Data Processor (Responsabile del trattamento) • Data Protection Officer: Responsabile della Protezione dei dati
Regolamento Privacy Il DPO obbligatorio per: • Pubblica Amministrazione • Imprese oltre 250 dipendenti • tutti i soggetti la cui attività principale consiste in trattamenti che per la loro natura, il loro oggetto o le loro finalità, richiedono un controllo periodico degli interessati.
L’informativa Privacy
L’Informativa È la comunicazione con la quale il Titolare (ai sensi dell’art 13 del Codice) informa l'interessato del trattamento svolto e può essere fornita oralmente o per iscritto.
Come si compone/1 • Finalità del trattamento • Modalità del trattamento • Natura obbligatoria o facoltativa del conferimento dei dati • Conseguenze di un eventuale rifiuto di rispondere • Soggetti ai quali i dati possono essere comunicati
Come si compone/2 • Possibilità di diffusione dei dati • Diritti di cui all’Art. 7 • Estremi identificativi del Titolare o del Responsabile (vedi informativa clienti PQA)
Informativa breve
Sanzioni Amministrativa dai 6.000 ai 36.000€ ridotta dei 2/5 quando le risorse economiche sono limitate
Regolamento Privacy • Tutti gli elementi della «vecchia» informativa • Tempi di conservazione dei dati o criterio utilizzato per determinarlo • Possibilità di revoca del consenso • Possibilità di portabilità del dato • Diritto di presentare reclamo alla A.C.
Regolamento Privacy • l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Regolamento Privacy • L’informativa dovrà essere solo scritta • Il testo dovrà adottare sistemi di comunicazione di facile comprensione: pittogrammi, fumetti, tabelle, ecc.
Misure Minime di Sicurezza (Allegato B)
Art. 31 Obblighi di Sicurezza Obbligo di adottare procedure idonee a proteggere i dati personali archiviati sia su sistema informatico che cartaceo Allegato B
Autenticazione • Obbligo di adottare un sistema di User ID e PW per l’accesso al sistema informatico (cambio PW 3/6 mesi) • Garantire efficacia della PW • File di Log Server • Garantire la riservatezza della PW • Disattivazione delle credenziali se non più utilizzate • Nominare un custode delle PW • Formazione del personale
Autorizzazioni • Individuare un profilo di autorizzazione per ogni incaricato • Aggiornare i profili almeno annualmente • Installare sistemi di screensaver automatizzati
Sicurezza informatica • Adottare un firewall efficace • Adottare un SW Antivirus pay • Aggiornare periodicamente i sistemi di protezione • Non usare sistemi operativi «obsoleti» • Creare una procedura per lo smaltimento delle apparecchiature dismesse • Attenzione ai Device! • Formazione degli incaricati (Criptolocker) • Attenzione alle copie in Gdrive e DropBox!
Back_Up • Predisporre un sistema idoneo a garantire la conservazione dei dati • Garantire che almeno una copia sia conservata al di fuori dell’azienda • Verificare i contratti con i fornitori di servizi in Cloud • Attenzione ai Device! • Eseguire periodicamente prove di ripristino • Includere la @mail nei BUP
Regola 25 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
Archivi cartacei • Porre in armadi chiusi archivi contenenti dati sensibili (HR) • Istituire un registro per l’accesso controllato ai locali contenenti dati sensibili • Attenzione all’impresa di pulizie!! • Come vengono smaltiti o distrutti i dati cartacei?
Sanzioni • Amministrativa: dai 10.000 ai 120.000€ • Penale: arresto fino a 2 anni • Civile (art.2050 c.c.)
Accountabilty/1 M.O.P. Modello Organizzativo Privacy (ex D.P.S ma molto più dettagliato) il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento
Accountabilty/2 Garantire maggiore trasparenza, verso gli Stakeholders, le Autorità competenti e gli Interessati
Workshop privacy parte_1_10-03-2016m

Recommandé

La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
Barbieri & Associati Dottori Commercialisti - Bologna
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Par-Tec S.p.A.
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 

Recommandé

La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
Barbieri & Associati Dottori Commercialisti - Bologna
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Par-Tec S.p.A.
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
Polaris informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Maurizio Taglioretti
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
Par-Tec S.p.A.
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
Polaris informatica
 
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2016
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Comunicato convenzione padigitale
Comunicato convenzione padigitaleComunicato convenzione padigitale
Comunicato convenzione padigitale
A.N.U.T.E.L. - Associazione Nazionale Uffici Tributi Enti Locali
 
E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...
E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...
E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...
Camera di Commercio di Pisa
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
M2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
M2 Informatica
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
Stefano Corsini
 
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
webdieci
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
EuroPrivacy
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
jamboo
 
La privacy al tempo del pct
La privacy al tempo del pctLa privacy al tempo del pct
La privacy al tempo del pct
Francesco Minazzi
 
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
Igor Serraino
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
M2 Informatica
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
GDPR Yashi Italia
GDPR Yashi ItaliaGDPR Yashi Italia
GDPR Yashi Italia
Yashi Italia
 

Contenu connexe

Tendances

Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
Polaris informatica
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
Par-Tec S.p.A.
 
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2016
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
Igor Serraino
 

Tendances (20)

Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Comunicato convenzione padigitale
Comunicato convenzione padigitaleComunicato convenzione padigitale
Comunicato convenzione padigitale
 
E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...
E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...
E. Massella Tucci Teri - Il processo di conservazione dei documenti informati...
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
La privacy al tempo del pct
La privacy al tempo del pctLa privacy al tempo del pct
La privacy al tempo del pct
 
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 

Similaire à Workshop privacy parte_1_10-03-2016m

I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPR
Stefania Tromba
 

Similaire à Workshop privacy parte_1_10-03-2016m (20)

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
GDPR Yashi Italia
GDPR Yashi ItaliaGDPR Yashi Italia
GDPR Yashi Italia
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdown
 
Preparsi al GDPR
Preparsi al GDPRPreparsi al GDPR
Preparsi al GDPR
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPR
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturali
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
GDPR EU Personal Data Protection Act 2018 - SAS Italy
GDPR EU Personal Data Protection Act 2018 - SAS ItalyGDPR EU Personal Data Protection Act 2018 - SAS Italy
GDPR EU Personal Data Protection Act 2018 - SAS Italy
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
Il testo unico sulla privacy
Il testo unico sulla privacyIl testo unico sulla privacy
Il testo unico sulla privacy
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 

Workshop privacy parte_1_10-03-2016m

  • 2. Chi sono? Armando Iovino – PQA Progetto Qualità Ambiente S.r.l. Data protection officer armando.iovino@pqa.it https://www.linkedin.com/pub/armando-iovino/5a/97/a83 UNI CEI EN ISO/IEC 17024:2012 iscrizione al Registro Numero CDP_158
  • 3.
  • 4.
  • 5. La Normativa Privacy oggi: il quadro normativo
  • 6. Direttiva Madre 95/46/CE del 24 Ottobre 1995 (Recepita in maniera diversa dai 28 Paesi Membri)
  • 7. E in Italia? Recepita la Direttiva con la Legge 675/96 (Legge promulgata in maniera frettolosa per onorare gli impegni derivanti dagli Accordi di Schengen) D.Lgs. 196/03 del 30 Giugno 2003 in vigore dal 1 Gennaio 2004 + Provvedimenti del Garante Privacy Semplificazioni D.L. 6/12/2011 Salva Italia: persone Giuridiche, Enti e Associazioni non rientrano nel campo di applicabilità D.L. 9 Febbraio 2012, n.5 Decreto Sviluppo: viene abolito l’obbligo di presentazione del D.P.S. e di formazione del personale
  • 8. Se ne parla nella Direttiva 2002/58/CE, modificata dalla Direttiva 2009/136/CE Recepita in Italia dal D.Lgs. 69/2012 (non vengono fornite le modalità per il rilascio dell’informativa semplificata) Provvedimento del Garante Privacy 8 Maggio 2014 Chiarimenti in merito all’attuazione della Normativa in materia di Cookie (5/06/2015) Infografica. Il tuo sito/blog installa cookie? Cosa devi fare (10/06/2015) E per i Cookie?
  • 10. Cosa si intende per dato? IL «DATO PERSONALE» È UNA QUALUNQUE INFORMAZIONE RELATIVA A PERSONA FISICA, Persona giuridica, ente od associazione (Inclusi i suoni e le immagini)
  • 11. Dato comune/identificativo • Nome, cognome, indirizzo, ecc • C.F. • Indirizzo @mail, numero di telefono • Indirizzo IP • UserID e PW • Stile di vita e abitudini di consumo • Posizione geolocalizzata
  • 12. Dato sensibile • Stato di salute • Origine razziale, etnica, convinzioni religiose e filosofiche • Opinioni politiche, adesioni a partiti, sindacati, ecc • Orientamento sessuale INFORMAZIONI CONCERNENTI GLI ASPETTI PIU’ INTIMI DELLA VITA DELL’INDIVIDUO
  • 13. Dato giudiziario • Provvedimenti iscritti nel casellario giudiziale • Sanzioni amministrative derivanti da reato • Informazioni relative allo stato di imputato o indagato SONO ESCLUSI I PROVVEDIMENTI RELATIVI A CAUSE CIVILI
  • 14. Dato semi_sensibile • Dati biometrici • Dati relativi alla capacità di solvibilità dei debiti • Dati relativi alla situazione finanziaria
  • 15. Dati genetici Informazioni relative al patrimonio genetico dell’individuo; fondamentalmente consistono nella ricostruzione della catena di Aminoacidi che ricostruiscono il DNA.
  • 16. Trattamento dei dati • Raccolta • Conservazione • Registrazione • Organizzazione • Raffronto • Modificazione • Diffusione • Cancellazione • Ecc.
  • 17. Regolamento Privacy Diventano dati sensibili anche i dati biometrici, i dati genetici e i dati giudiziari Attenzione: diventa lecito trattarli se “il trattamento riguarda dati resi manifestamente pubblici dall’interessato”
  • 18. Regolamento Privacy Portabilità del dato L’interessato ha il diritto, quando i dati sono trattati con mezzi elettronici, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico che gli consenta di farne ulteriore uso. Attenzione: la portabilità è diritto degli interessati, non di un titolare rispetto ai dati personali di terzi collocati su un sistema altrui (es. cloud)
  • 19. Data Breach • Notifica della violazione all’Autorità competente entro 72/h • Notifica della violazione all’interessato (se i dati mettono a serio rischio le libertà civili)
  • 21. Il Titolare del trattamento La persona fisica, giuridica, P.A., ente, associazione a cui competono le decisioni in ordine alle finalità e alle modalità di trattamento
  • 22. Responsabile del trattamento La persona fisica, giuridica, P.A., ente, associazione preposti dal Titolare al trattamento dei dati Interno Esterno
  • 23. Incaricati al trattamento Le persone fisiche autorizzate dal Titolare o dal Responsabile a compiere operazioni di trattamento
  • 24. Interessato La persone fisica a cui si riferiscono i dati personali.
  • 25. Amministratore di sistema Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Provvedimento 27 Novembre 2008
  • 26. Regolamento Privacy • Data Controller (Titolare del trattamento) • Data Processor (Responsabile del trattamento) • Data Protection Officer: Responsabile della Protezione dei dati
  • 27. Regolamento Privacy Il DPO obbligatorio per: • Pubblica Amministrazione • Imprese oltre 250 dipendenti • tutti i soggetti la cui attività principale consiste in trattamenti che per la loro natura, il loro oggetto o le loro finalità, richiedono un controllo periodico degli interessati.
  • 29. L’Informativa È la comunicazione con la quale il Titolare (ai sensi dell’art 13 del Codice) informa l'interessato del trattamento svolto e può essere fornita oralmente o per iscritto.
  • 30. Come si compone/1 • Finalità del trattamento • Modalità del trattamento • Natura obbligatoria o facoltativa del conferimento dei dati • Conseguenze di un eventuale rifiuto di rispondere • Soggetti ai quali i dati possono essere comunicati
  • 31. Come si compone/2 • Possibilità di diffusione dei dati • Diritti di cui all’Art. 7 • Estremi identificativi del Titolare o del Responsabile (vedi informativa clienti PQA)
  • 33. Sanzioni Amministrativa dai 6.000 ai 36.000€ ridotta dei 2/5 quando le risorse economiche sono limitate
  • 34. Regolamento Privacy • Tutti gli elementi della «vecchia» informativa • Tempi di conservazione dei dati o criterio utilizzato per determinarlo • Possibilità di revoca del consenso • Possibilità di portabilità del dato • Diritto di presentare reclamo alla A.C.
  • 35. Regolamento Privacy • l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
  • 36. Regolamento Privacy • L’informativa dovrà essere solo scritta • Il testo dovrà adottare sistemi di comunicazione di facile comprensione: pittogrammi, fumetti, tabelle, ecc.
  • 38. Art. 31 Obblighi di Sicurezza Obbligo di adottare procedure idonee a proteggere i dati personali archiviati sia su sistema informatico che cartaceo Allegato B
  • 39. Autenticazione • Obbligo di adottare un sistema di User ID e PW per l’accesso al sistema informatico (cambio PW 3/6 mesi) • Garantire efficacia della PW • File di Log Server • Garantire la riservatezza della PW • Disattivazione delle credenziali se non più utilizzate • Nominare un custode delle PW • Formazione del personale
  • 40. Autorizzazioni • Individuare un profilo di autorizzazione per ogni incaricato • Aggiornare i profili almeno annualmente • Installare sistemi di screensaver automatizzati
  • 41. Sicurezza informatica • Adottare un firewall efficace • Adottare un SW Antivirus pay • Aggiornare periodicamente i sistemi di protezione • Non usare sistemi operativi «obsoleti» • Creare una procedura per lo smaltimento delle apparecchiature dismesse • Attenzione ai Device! • Formazione degli incaricati (Criptolocker) • Attenzione alle copie in Gdrive e DropBox!
  • 42. Back_Up • Predisporre un sistema idoneo a garantire la conservazione dei dati • Garantire che almeno una copia sia conservata al di fuori dell’azienda • Verificare i contratti con i fornitori di servizi in Cloud • Attenzione ai Device! • Eseguire periodicamente prove di ripristino • Includere la @mail nei BUP
  • 43. Regola 25 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
  • 44. Archivi cartacei • Porre in armadi chiusi archivi contenenti dati sensibili (HR) • Istituire un registro per l’accesso controllato ai locali contenenti dati sensibili • Attenzione all’impresa di pulizie!! • Come vengono smaltiti o distrutti i dati cartacei?
  • 45. Sanzioni • Amministrativa: dai 10.000 ai 120.000€ • Penale: arresto fino a 2 anni • Civile (art.2050 c.c.)
  • 46. Accountabilty/1 M.O.P. Modello Organizzativo Privacy (ex D.P.S ma molto più dettagliato) il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento
  • 47. Accountabilty/2 Garantire maggiore trasparenza, verso gli Stakeholders, le Autorità competenti e gli Interessati