SlideShare a Scribd company logo

Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC

Giulio Coraggio
Giulio Coraggio

In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper

Law
1 of 27
DLA Piper Il trasferimento dei dati extra SEE dopo le nuove SCCs e la versione finale delle raccomandazioni dell’EDPB
www.dlapiper.com Intervengono: 2 Tommaso Ricci Trainee Lawyer DLA Piper Cristina Criscuoli Lawyer DLA Piper Giulio Coraggio Partner DLA Piper Giulia Zappaterra Senior Lawyer DLA Piper
www.dlapiper.com • Introduzione – Perché le nuove SCCs? • Tempistiche & roadmap • Le nuove SCCs – applicazione, struttura e contenuto • Considerazioni alla luce della Sentenza Schrems II - Le Linee guida relative alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB • Come eseguire un Transfer Impact Assessment (TIA)? • Q&A 3 Agenda Legal 500 Data Protection and Data Privacy Band 1 - DLA Piper Leading Individual – Giulio Coraggio Rising Star – Giulia Zappaterra Legal 500 TMT Band 1 - DLA Piper Leading Individual – Giulio Coraggio Rising Star – Giulia Zappaterra Legalcommunity IP & TMT Awards 2021 Avvocato dell’anno Privacy - Giulio Coraggio Legalcommunity IP & TMT Awards 2021 Studio dell’anno Information Technology - DLA Piper
www.dlapiper.com • Una storia infinita – dalle clausole C2C del 2001 e C2P del 2002 fino alle nuove SCCs • La necessità di nuove SCCs: Il GDPR Il caso Schrems II Le raccomandazioni relative alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB 4 Introduzione – Perché le nuove SCCs?
www.dlapiper.com 5 Date da ricordare • Entrata in vigore delle nuove SCCs → 27 giugno 2021 • Nuovi contratti → fino al 27 settembre 2021 si possono usare sia le vecchie che le nuove SCCs, dopo sono le nuove • Contratti in essere→ aggiornare i contratti in essere con le nuove SCCs entro il 27 dicembre 2022
www.dlapiper.com 6 Gestione dei trasferimenti di dati: quando e come applicare le nuove SCCs Il trasferimento è regolato dal GDPR o dal regime di data protection del Regno Unito? Continuare ad utilizzare le SCCs previgenti fino all’adozione di nuove SCCs per il Regno Unito da parte dell’ICO UK Il trasferimento è nuovo o già in corso? UE Quando si concluderà il trasferimento? In corso Utilizzare le SCCs previgenti. Adottare le nuove SCCs al rinnovo del contratto o prima del rinnovo per conformarsi alla sentenza Schrems II. Adottare le nuove SCCs non più tardi del 27 dic 2022 Quando avrà inzio il trasferimento? Nuovo Adottare le nuove SCCs O continuare ad utilizzare le SCCs previgenti per i trasferimenti destinati a concludersi entro il 27 dic 2022. Adottare le nuove SCCs Prima del 27 dic 2022 Dopo il 27 dic 2022 Prima del 27 set 2021 Dopo il 27 set 2021
www.dlapiper.com Le nuove SCCs – applicazione, struttura e contenuto Cristina Criscuoli 7
www.dlapiper.com Ambito di applicazione e struttura • Misure di sicurezza adeguate per i trasferimenti di dati personali da un Titolare/Responsabile soggetto al GDPR a un Titolare/(sub) Responsabile non soggetto al GDPR Scopo e Ambito di applicazione • M1: C-2-C • M2: C-2-P • M3: P-2-P • M4: P-2-C Approccio modulare • Clausole Generali • Misure di sicurezza variegate in base al modulo selezionato • Integrazione del wording introdotto dagli articoli 28.3 / 28.4 • Clausola di “docking” per agevolare l’adesione di terze parti • Testo e allegati Contenuto
www.dlapiper.com Guida all’adozione della documentazione Rif. Tema Decisione / contenuto da includere Note Allegato I Selezione del modulo Decidere quale dei quattro moduli applicare 1 – Titolare a Titolare / 2 – Titolare a Responsabile 3 – Processor to Processor / 4 – Processor to Controller Allegato I.A Dettagli delle parti Inserire nome / indirizzo / firme di esportatore e importatore È prevista maggiore flessibilità per l’adesione di parti terze al contratto alla luce della clausula di adesione successiva (Clausola 7) Allegato I.B Descrizione del trasferimento Inserire una descrizione delle categorie di interessati; dati personali; frequenza; natura e finalità del trattamento Allegato I.C Autorità di controllo competente Indicare l’autorità di controllo dell’esportatore Allegato II Misure di sicurezza tecniche/organizzative Inserire descrizione delle misure di sicurezza e dei relativi controlli volti a garantire la protezione dei dati Deve essere inclusa una descrizione complessiva dei controlli adottati in ragione del trattamento e per i Moduli 2 / 3 dovrebbe indicare in che misura il responsabile fornirà assistenza all'esportatore Allegato III Elenco dei sub- responsabili autorizzati Inserire un elenco dei sub-responsabili autorizzati Previsione opzionale e rilevante solo se sono stati selezionati i Moduli 2 o 3 e se è stata applicata l'opzione 1 nella clausola 9(a). Clausola 9(a) Gestione dei sub- responsabili Decidere se l’esportatore concederà un’autorizzazione specifica o generale al ricorso a sub-responsabili del trattamento. Separatamente, specificare il periodo utile concesso all’esportatore per opporsi alle modifiche dell’elenco prima del ricorso al o ai sub-responsabili del trattamento. Riguarda solo i moduli 2 o 3. Ove sia adottata un'autorizzazione specifica (opzione 1) dovrà essere completato l'allegato III. Clausola 17 Normativa applicabile Inserire la normative applicabile alle SCCs Deve trattarsi della normativa di uno Stato membro dell'UE, a meno che non sia stato selezionato il modulo 4. In tutti i casi, la normativa pertinente deve riconoscere i diritti delle terze parti. Clausola 18 Foro competente Inserire il foro competente per la risoluzione di eventuali controversie Deve trattarsi di uno Stato Membro dell’UE, salvo non sia stato selezionato il Modulo 4 UKG/105703042.1 9
www.dlapiper.com Effetto ed invariabilità delle clausole Terzi beneficiari Interpretazione Gerarchia Clausola di adesione successiva Legislazione e prassi locali che incidono sul rispetto delle clausole Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche Inosservanza delle Clausole e risoluzione Normativa applicabile Scelta del foro competente e della giurisdizione 10 Clausole Generali – uno sguardo complessivo
www.dlapiper.com 11 “Clausole Modulari” – misure di sicurezza per i dati 1. C-2-C 2. C-2-P 3. P-2-P 4. P-2-C Istruzioni x x x Limitazione della finalità x x x Trasparenza x x x Esattezza x x x Minimizzazione dei dati x Limitazione della conservazione x Durata del trattamento e cancellazione/restituzione dei dati x x Sicurezza (*congiuntamente alle MTO nell’Allegato II) x* x* x* x Dati sensibili x x x Trasferimenti ulteriori x x x Trattamento sotto l’autorità dell’importatore di dati x
www.dlapiper.com 1. C-2-C 2. C-2-P 3. P-2-P 4. P-2-C Documentezione e compliance x x x x Audit (inclusi audit in loco?) x x Uso di sub-responsabili x x Diritti degli interessati x x x x Ricorso x x x x Responsabilità x x x x Supervisione x x x 12 “Clausole Modulari” – salvaguardie ulteriori
www.dlapiper.com Considerazioni alla luce della sentenza Schrems II - Le raccomandazioni alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB Giulia Zappaterra 13 UKG/105703042.1
www.dlapiper.com • Le nuove SCCs sono strutturate in modo da assistere esportatori e importatori nel processo di attuazione della sentenza Schrems II ma non risolvono tutte le criticità. • Le nuove SCCs includono l’obbligo di condurre un Transfer Impact Assessment (TIA) alla luce di Schrems II – la Clausola 14 impone che esportatore ed importatore garantiscano che la valutazione d’impatto sia stata completata e documentata. 14 Considerazioni alla luce della Sentenza Schrems II UKG/105703042.1
www.dlapiper.com • Le parti dovrebbero garantire che, al momento dell’accettazione delle SCCs, non hanno motivo di ritenere che la legislazione e le prassi applicabili all’importatore non sono in linea con tali requisiti. • Minimizzazione dei dati: Quando risponde a una richiesta di comunicazione, l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta. • Se a norma della legislazione del Paese di destinazione, l’importatore riceve una richiesta giuridicamente vincolante, da parte di un’Autorità pubblica, di comunicare i dati personali trasferiti in conformità con le SCCs, l’importatore dovrebbe informarne l’esportatore e l’interessato, ove possibile. Se dopo un riesame della legittimità della richiesta – a norma della legislazione del paese di destinazione – l’importatore conclude che sussistono fondati motivi per ritenerla illegittima, dovrebbe contestarla, se del caso anche esaurendo le possibilità di ricorso disponibili. 15 Persistenza dell’obbligo di eseguire i «Transfer impact assessments» UKG/105703042.1
www.dlapiper.com • Quali elementi considerare? La TIA deve tenere conto di numerosi elementi che possono incidere sul trasferimento inclusa (e.g. I trasferimenti ulteriori, le categorie di destinatari, le categorie e la natura di dati, il settore economico di appartenenza, il luogo di conservazione dei dati, le finalità del trattamento). • Come valutare l’impatto della legislazione e delle prassi del Paese di destinazione? Possono essere presi in considerazione diversi elementi per valutare l’impatto della legislazione e delle prassi sul rispetto delle SCCs (e.g. informazioni affidabili sull’applicazione pratica della legislazione, l’esistenza o l’assenza di richieste di accesso ai dati nello stesso settore e, in condizioni rigorose, l’esperienza pratica documentata dell’esportatore e/o dell’importatore). 16 Le Raccomandazioni relative alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB
www.dlapiper.com Un processo basato su 6 step per aiutare nella valutazione delle leggi del Paese terzo ed identificare le misure supplementari La valutazione secondo le raccomandazioni dell’EDPB 17 Step 1: Conosci i tuoi trasferimenti • Dove vanno i dati? • E’ il trasferimento adeguato, rilevante e limitato a quanto necessario? Step 2: Verifica il sistema di trasferimento • Decisione di adeguatezza? • Strumenti di trasferimento ex Articolo 46? • Eccezioni ex Articolo 49? Step 3: Valuta le leggi e pratiche del Paese terzo • Valuta le modalità di accesso da parte delle autorità pubblica • Considera l’esperienza concocreta del data importer se ai sensi della normativa locale può essere comunicata • Considera il provvedimento dell’EDPB sulle Garanzie Essenziali Step 4: Identifica e adotta le misure supplemenri se la normativa del Paese terzo può impedire l’efficacia delle misure di cui all’Articolo 46 • Gli esempi sollevati dall’EDPB non sono esaustivi (Annex 2) Step 5 : Adotta le soluzioni necessarie per dare attuazione alle misure supplementari Step 6: Rivaluta regolarmente il livello di protezione garantito su dati trasferiti
www.dlapiper.com 18 Esempi di misure tecniche supplementary considerate efficati dall’EDPB in certi scenari La valutazione secondo le raccomandazioni dell’EDPB Algoritmo di crittografia nel contesto della conservazione dei dati per il backup e altri scopi senza necessità di accedere ai dati in chiaro • Chiavi conservate sotto il controllo dell'esportatore di dati situato in un "paese sicuro". Trasferimento di dati pseudonimizzati, ad esempio a scopo di ricerca • Le informazioni aggiuntive che permettono la reidentificazione sono tenute esclusivamente dall'esportatore di dati e conservate separatamente in un "paese sicuro". Crittografia dei dati in semplice transito in paesi terzi • La decrittazione è possibile solo al di fuori del paese terzo • Le chiavi sono gestite in modo affidabile dall'esportatore in un "paese sicuro". Dati trasferiti a destinatari protetti: • Obbligo del segreto professionale • I dati sono criptati e la chiave di criptazione è sotto la sola custodia dell'importatore di dati protetti Trattamento frazionato o a più parti: • Ogni parte del trattamento non può essere attribuita a una persona interessata senza informazioni aggiuntive • Le autorità pubbliche non sono in grado di ricostituire i dati
www.dlapiper.com 19 La valutazione secondo le raccomandazioni dell’EDPB Trasferimento a fornitori di servizi cloud o altri processori che richiedono l'accesso ai dati in chiaro • Secondo l'EDPB, la crittografia del trasporto e i dati a riposo anche presi insieme non assicurano una protezione efficace se l'importatore di dati è in possesso della chiave di crittografia • Tuttavia l'EDPB non esclude la possibilità che ulteriori sviluppi tecnologici possano consentire lo scopo previsto senza accesso in chiaro ai dati • In tal caso, l'importatore di dati ha bisogno di accedere ai dati in chiaro per fornire servizi di personale per l'esportatore di dati o comunicare con i clienti dell'esportatore di dati • Per l'EDBP, non esiste una misura tecnica efficace per impedire che tale accesso violi i diritti degli interessati • La crittografia del trasporto e i dati a riposo anche presi insieme non assicurano una protezione efficace se l'importatore di dati è in possesso della chiave di crittografia Accesso remoto ai dati per scopi aziendali
www.dlapiper.com • Politiche interne per la governance dei trasferimenti, in particolare all'interno di gruppi di imprese • Misure di trasparenza e responsabilità • Metodi di organizzazione e misure di minimizzazione dei dati • Obbligo di utilizzare misure tecniche specifiche • Obblighi di trasparenza sull'accesso da parte delle autorità pubbliche e garanzia che non siano state create backdoor per consentire tale accesso o modifiche apportate per facilitare tale accesso • Rafforzare i diritti di audit per verificare la potenziale divulgazione alle autorità pubbliche La valutazione secondo le raccomandazioni dell’EDPB Misure contrattuali Misure organizzative 20 • Rafforzare l'obbligo dell'importatore di dati di informare sulla sua incapacità di rispettare i suoi impegni contrattuali • Warrant canary • Obbligo di intraprendere azioni specifiche: contestare l'ordine di un'autorità pubblica, informare l'autorità pubblica del conflitto dell'ordine con le disposizioni dello strumento di trasferimento, permettere agli interessati di esercitare i loro diritti • Adozione di standard (per esempio norme ISO) e best practice (per esempio ENISA) • Revisione regolare delle politiche interne • Impegno dell'importatore di dati a non procedere al trasferimento successivo
www.dlapiper.com 21 Quale scenario dopo Brexit? • Le nuove SCCs non si applicano al Regno Unito • Il Regno Unito ha mantenuto le SCCs previgenti a seguito dell’accordo di recesso UE-Regno Unito • Il Regno Unito adotterà le sue SCCs nei prossimi mesi • Nel frattempo, la Commissione europea ha adottato due decisioni di adeguatezza nei confronti del Regno Unito
www.dlapiper.com Come eseguire un Transfer Impact Assessment? Giulio Coraggio – Tommaso Ricci 22
DLA Piper Global Data Transfer Methodology 23 • Processo di valutazione in 5 fasi con matrice di scoring proprietaria e criteri di valutazione ponderati per aiutare a gestire un processo decisionale efficace • Combinazione di competenze multi-giurisdizionali grazie al team internazionale di DLA Piper • Accesso a consulenza ad hoc su casi pratici • Addendum con misure contrattuali e tecniche per ridurre il rischio
1 Green marketing is a practice whereby companies seek to go above and beyond traditional Mappatura del trasferimento 2 3 4 Valutazione in 5 step 5 Analisi del regime legale edelle prassi delle autorità Bilanciamento del rischio in base alle misuredi protezione Analisi del la gravità e probabilità del rischiodi danno Calcolo del rischio globale
TRANSFER 25
26 DLA Piper Data Transfer Tool • Sviluppo e deployment con modalità agile • Facile implementazione, condivisione e customizzazione • Autocompilazione dell’assessment sulla legge applicabile e la prassi • Assistenza professionale di DLA per gestire i casi border line • Aggiornamenti regolari basati sull'interazione con le autorità e sui feedback dei clienti • Legal Design per ottimizzare la user experience
www.dlapiper.com Domande 27 UKG/105703042.1

Recommended

Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...Giulio Coraggio
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 

Recommended

Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...Giulio Coraggio
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...Barbieri & Associati Dottori Commercialisti - Bologna
 
Conservazione digitale e pec
Conservazione digitale e pecConservazione digitale e pec
Conservazione digitale e pecclaudio caprara
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Simone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita
 
Direttiva NIS2 Principali Novità (7).pdf
Direttiva NIS2 Principali Novità (7).pdfDirettiva NIS2 Principali Novità (7).pdf
Direttiva NIS2 Principali Novità (7).pdfEnilaElezi
 
2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx
2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx
2023-04-13 Rosso Presentazione UNITS 11820-RC.pptxUNI - Ente Italiano di Normazione
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSMAU
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 

More Related Content

What's hot

GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 

What's hot (11)

GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy Europeo
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACH
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 

Similar to Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC

Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
Conservazione digitale e pec
Conservazione digitale e pecConservazione digitale e pec
Conservazione digitale e pecclaudio caprara
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Simone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita
 
Direttiva NIS2 Principali Novità (7).pdf
Direttiva NIS2 Principali Novità (7).pdfDirettiva NIS2 Principali Novità (7).pdf
Direttiva NIS2 Principali Novità (7).pdfEnilaElezi
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSMAU
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...Data Driven Innovation
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
IrionDQ 2016 e la normativa Solvecy II
IrionDQ 2016 e la normativa Solvecy IIIrionDQ 2016 e la normativa Solvecy II
IrionDQ 2016 e la normativa Solvecy IIABIEventi
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariMassimo Farina
 
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"University of Ferrara
 
Regolazione della trasparenza
Regolazione della trasparenzaRegolazione della trasparenza
Regolazione della trasparenzaARERA
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 

Similar to Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC (20)

Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
 
Conservazione digitale e pec
Conservazione digitale e pecConservazione digitale e pec
Conservazione digitale e pec
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
Simone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computer
 
Direttiva NIS2 Principali Novità (7).pdf
Direttiva NIS2 Principali Novità (7).pdfDirettiva NIS2 Principali Novità (7).pdf
Direttiva NIS2 Principali Novità (7).pdf
 
2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx
2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx
2023-04-13 Rosso Presentazione UNITS 11820-RC.pptx
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - Aipsi
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
 
Stampa
StampaStampa
Stampa
 
Termocamere e Covid-19
Termocamere e Covid-19Termocamere e Covid-19
Termocamere e Covid-19
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016m
 
IrionDQ 2016 e la normativa Solvecy II
IrionDQ 2016 e la normativa Solvecy IIIrionDQ 2016 e la normativa Solvecy II
IrionDQ 2016 e la normativa Solvecy II
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
 
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
 
Regolazione della trasparenza
Regolazione della trasparenzaRegolazione della trasparenza
Regolazione della trasparenza
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 

More from Giulio Coraggio

Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityGiulio Coraggio
 
Infografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazioneInfografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazioneGiulio Coraggio
 
Decreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDRDecreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDRGiulio Coraggio
 
Nuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito webNuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito webGiulio Coraggio
 
New Italian rules on accessibility of websites
New Italian rules on accessibility of websitesNew Italian rules on accessibility of websites
New Italian rules on accessibility of websitesGiulio Coraggio
 
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022Giulio Coraggio
 
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenzeDOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenzeGiulio Coraggio
 
Good practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in ItalyGood practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in ItalyGiulio Coraggio
 
Le modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziendeLe modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziendeGiulio Coraggio
 
Good practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in ItalyGood practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in ItalyGiulio Coraggio
 
Good practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in ItalyGood practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in ItalyGiulio Coraggio
 
Good practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in ItalyGood practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in ItalyGiulio Coraggio
 
Good practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in ItalyGood practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in ItalyGiulio Coraggio
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Giulio Coraggio
 
Italian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do'sItalian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do'sGiulio Coraggio
 
Good practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in ItalyGood practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in ItalyGiulio Coraggio
 
Come gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomwareCome gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomwareGiulio Coraggio
 
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...Giulio Coraggio
 
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...Giulio Coraggio
 
Artificial intelligence - Not the evil, but the New Electricity
Artificial intelligence - Not the evil, but the New ElectricityArtificial intelligence - Not the evil, but the New Electricity
Artificial intelligence - Not the evil, but the New ElectricityGiulio Coraggio
 

More from Giulio Coraggio (20)

Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurity
 
Infografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazioneInfografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazione
 
Decreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDRDecreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDR
 
Nuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito webNuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito web
 
New Italian rules on accessibility of websites
New Italian rules on accessibility of websitesNew Italian rules on accessibility of websites
New Italian rules on accessibility of websites
 
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
 
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenzeDOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
 
Good practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in ItalyGood practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in Italy
 
Le modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziendeLe modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziende
 
Good practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in ItalyGood practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in Italy
 
Good practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in ItalyGood practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in Italy
 
Good practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in ItalyGood practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in Italy
 
Good practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in ItalyGood practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in Italy
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
 
Italian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do'sItalian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do's
 
Good practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in ItalyGood practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in Italy
 
Come gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomwareCome gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomware
 
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
 
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
 
Artificial intelligence - Not the evil, but the New Electricity
Artificial intelligence - Not the evil, but the New ElectricityArtificial intelligence - Not the evil, but the New Electricity
Artificial intelligence - Not the evil, but the New Electricity
 

Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC

  • 1. DLA Piper Il trasferimento dei dati extra SEE dopo le nuove SCCs e la versione finale delle raccomandazioni dell’EDPB
  • 2. www.dlapiper.com Intervengono: 2 Tommaso Ricci Trainee Lawyer DLA Piper Cristina Criscuoli Lawyer DLA Piper Giulio Coraggio Partner DLA Piper Giulia Zappaterra Senior Lawyer DLA Piper
  • 3. www.dlapiper.com • Introduzione – Perché le nuove SCCs? • Tempistiche & roadmap • Le nuove SCCs – applicazione, struttura e contenuto • Considerazioni alla luce della Sentenza Schrems II - Le Linee guida relative alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB • Come eseguire un Transfer Impact Assessment (TIA)? • Q&A 3 Agenda Legal 500 Data Protection and Data Privacy Band 1 - DLA Piper Leading Individual – Giulio Coraggio Rising Star – Giulia Zappaterra Legal 500 TMT Band 1 - DLA Piper Leading Individual – Giulio Coraggio Rising Star – Giulia Zappaterra Legalcommunity IP & TMT Awards 2021 Avvocato dell’anno Privacy - Giulio Coraggio Legalcommunity IP & TMT Awards 2021 Studio dell’anno Information Technology - DLA Piper
  • 4. www.dlapiper.com • Una storia infinita – dalle clausole C2C del 2001 e C2P del 2002 fino alle nuove SCCs • La necessità di nuove SCCs: Il GDPR Il caso Schrems II Le raccomandazioni relative alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB 4 Introduzione – Perché le nuove SCCs?
  • 5. www.dlapiper.com 5 Date da ricordare • Entrata in vigore delle nuove SCCs → 27 giugno 2021 • Nuovi contratti → fino al 27 settembre 2021 si possono usare sia le vecchie che le nuove SCCs, dopo sono le nuove • Contratti in essere→ aggiornare i contratti in essere con le nuove SCCs entro il 27 dicembre 2022
  • 6. www.dlapiper.com 6 Gestione dei trasferimenti di dati: quando e come applicare le nuove SCCs Il trasferimento è regolato dal GDPR o dal regime di data protection del Regno Unito? Continuare ad utilizzare le SCCs previgenti fino all’adozione di nuove SCCs per il Regno Unito da parte dell’ICO UK Il trasferimento è nuovo o già in corso? UE Quando si concluderà il trasferimento? In corso Utilizzare le SCCs previgenti. Adottare le nuove SCCs al rinnovo del contratto o prima del rinnovo per conformarsi alla sentenza Schrems II. Adottare le nuove SCCs non più tardi del 27 dic 2022 Quando avrà inzio il trasferimento? Nuovo Adottare le nuove SCCs O continuare ad utilizzare le SCCs previgenti per i trasferimenti destinati a concludersi entro il 27 dic 2022. Adottare le nuove SCCs Prima del 27 dic 2022 Dopo il 27 dic 2022 Prima del 27 set 2021 Dopo il 27 set 2021
  • 7. www.dlapiper.com Le nuove SCCs – applicazione, struttura e contenuto Cristina Criscuoli 7
  • 8. www.dlapiper.com Ambito di applicazione e struttura • Misure di sicurezza adeguate per i trasferimenti di dati personali da un Titolare/Responsabile soggetto al GDPR a un Titolare/(sub) Responsabile non soggetto al GDPR Scopo e Ambito di applicazione • M1: C-2-C • M2: C-2-P • M3: P-2-P • M4: P-2-C Approccio modulare • Clausole Generali • Misure di sicurezza variegate in base al modulo selezionato • Integrazione del wording introdotto dagli articoli 28.3 / 28.4 • Clausola di “docking” per agevolare l’adesione di terze parti • Testo e allegati Contenuto
  • 9. www.dlapiper.com Guida all’adozione della documentazione Rif. Tema Decisione / contenuto da includere Note Allegato I Selezione del modulo Decidere quale dei quattro moduli applicare 1 – Titolare a Titolare / 2 – Titolare a Responsabile 3 – Processor to Processor / 4 – Processor to Controller Allegato I.A Dettagli delle parti Inserire nome / indirizzo / firme di esportatore e importatore È prevista maggiore flessibilità per l’adesione di parti terze al contratto alla luce della clausula di adesione successiva (Clausola 7) Allegato I.B Descrizione del trasferimento Inserire una descrizione delle categorie di interessati; dati personali; frequenza; natura e finalità del trattamento Allegato I.C Autorità di controllo competente Indicare l’autorità di controllo dell’esportatore Allegato II Misure di sicurezza tecniche/organizzative Inserire descrizione delle misure di sicurezza e dei relativi controlli volti a garantire la protezione dei dati Deve essere inclusa una descrizione complessiva dei controlli adottati in ragione del trattamento e per i Moduli 2 / 3 dovrebbe indicare in che misura il responsabile fornirà assistenza all'esportatore Allegato III Elenco dei sub- responsabili autorizzati Inserire un elenco dei sub-responsabili autorizzati Previsione opzionale e rilevante solo se sono stati selezionati i Moduli 2 o 3 e se è stata applicata l'opzione 1 nella clausola 9(a). Clausola 9(a) Gestione dei sub- responsabili Decidere se l’esportatore concederà un’autorizzazione specifica o generale al ricorso a sub-responsabili del trattamento. Separatamente, specificare il periodo utile concesso all’esportatore per opporsi alle modifiche dell’elenco prima del ricorso al o ai sub-responsabili del trattamento. Riguarda solo i moduli 2 o 3. Ove sia adottata un'autorizzazione specifica (opzione 1) dovrà essere completato l'allegato III. Clausola 17 Normativa applicabile Inserire la normative applicabile alle SCCs Deve trattarsi della normativa di uno Stato membro dell'UE, a meno che non sia stato selezionato il modulo 4. In tutti i casi, la normativa pertinente deve riconoscere i diritti delle terze parti. Clausola 18 Foro competente Inserire il foro competente per la risoluzione di eventuali controversie Deve trattarsi di uno Stato Membro dell’UE, salvo non sia stato selezionato il Modulo 4 UKG/105703042.1 9
  • 10. www.dlapiper.com Effetto ed invariabilità delle clausole Terzi beneficiari Interpretazione Gerarchia Clausola di adesione successiva Legislazione e prassi locali che incidono sul rispetto delle clausole Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche Inosservanza delle Clausole e risoluzione Normativa applicabile Scelta del foro competente e della giurisdizione 10 Clausole Generali – uno sguardo complessivo
  • 11. www.dlapiper.com 11 “Clausole Modulari” – misure di sicurezza per i dati 1. C-2-C 2. C-2-P 3. P-2-P 4. P-2-C Istruzioni x x x Limitazione della finalità x x x Trasparenza x x x Esattezza x x x Minimizzazione dei dati x Limitazione della conservazione x Durata del trattamento e cancellazione/restituzione dei dati x x Sicurezza (*congiuntamente alle MTO nell’Allegato II) x* x* x* x Dati sensibili x x x Trasferimenti ulteriori x x x Trattamento sotto l’autorità dell’importatore di dati x
  • 12. www.dlapiper.com 1. C-2-C 2. C-2-P 3. P-2-P 4. P-2-C Documentezione e compliance x x x x Audit (inclusi audit in loco?) x x Uso di sub-responsabili x x Diritti degli interessati x x x x Ricorso x x x x Responsabilità x x x x Supervisione x x x 12 “Clausole Modulari” – salvaguardie ulteriori
  • 13. www.dlapiper.com Considerazioni alla luce della sentenza Schrems II - Le raccomandazioni alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB Giulia Zappaterra 13 UKG/105703042.1
  • 14. www.dlapiper.com • Le nuove SCCs sono strutturate in modo da assistere esportatori e importatori nel processo di attuazione della sentenza Schrems II ma non risolvono tutte le criticità. • Le nuove SCCs includono l’obbligo di condurre un Transfer Impact Assessment (TIA) alla luce di Schrems II – la Clausola 14 impone che esportatore ed importatore garantiscano che la valutazione d’impatto sia stata completata e documentata. 14 Considerazioni alla luce della Sentenza Schrems II UKG/105703042.1
  • 15. www.dlapiper.com • Le parti dovrebbero garantire che, al momento dell’accettazione delle SCCs, non hanno motivo di ritenere che la legislazione e le prassi applicabili all’importatore non sono in linea con tali requisiti. • Minimizzazione dei dati: Quando risponde a una richiesta di comunicazione, l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta. • Se a norma della legislazione del Paese di destinazione, l’importatore riceve una richiesta giuridicamente vincolante, da parte di un’Autorità pubblica, di comunicare i dati personali trasferiti in conformità con le SCCs, l’importatore dovrebbe informarne l’esportatore e l’interessato, ove possibile. Se dopo un riesame della legittimità della richiesta – a norma della legislazione del paese di destinazione – l’importatore conclude che sussistono fondati motivi per ritenerla illegittima, dovrebbe contestarla, se del caso anche esaurendo le possibilità di ricorso disponibili. 15 Persistenza dell’obbligo di eseguire i «Transfer impact assessments» UKG/105703042.1
  • 16. www.dlapiper.com • Quali elementi considerare? La TIA deve tenere conto di numerosi elementi che possono incidere sul trasferimento inclusa (e.g. I trasferimenti ulteriori, le categorie di destinatari, le categorie e la natura di dati, il settore economico di appartenenza, il luogo di conservazione dei dati, le finalità del trattamento). • Come valutare l’impatto della legislazione e delle prassi del Paese di destinazione? Possono essere presi in considerazione diversi elementi per valutare l’impatto della legislazione e delle prassi sul rispetto delle SCCs (e.g. informazioni affidabili sull’applicazione pratica della legislazione, l’esistenza o l’assenza di richieste di accesso ai dati nello stesso settore e, in condizioni rigorose, l’esperienza pratica documentata dell’esportatore e/o dell’importatore). 16 Le Raccomandazioni relative alle misure supplementari per i trasferimenti internazionali di dati personali dell’EDPB
  • 17. www.dlapiper.com Un processo basato su 6 step per aiutare nella valutazione delle leggi del Paese terzo ed identificare le misure supplementari La valutazione secondo le raccomandazioni dell’EDPB 17 Step 1: Conosci i tuoi trasferimenti • Dove vanno i dati? • E’ il trasferimento adeguato, rilevante e limitato a quanto necessario? Step 2: Verifica il sistema di trasferimento • Decisione di adeguatezza? • Strumenti di trasferimento ex Articolo 46? • Eccezioni ex Articolo 49? Step 3: Valuta le leggi e pratiche del Paese terzo • Valuta le modalità di accesso da parte delle autorità pubblica • Considera l’esperienza concocreta del data importer se ai sensi della normativa locale può essere comunicata • Considera il provvedimento dell’EDPB sulle Garanzie Essenziali Step 4: Identifica e adotta le misure supplemenri se la normativa del Paese terzo può impedire l’efficacia delle misure di cui all’Articolo 46 • Gli esempi sollevati dall’EDPB non sono esaustivi (Annex 2) Step 5 : Adotta le soluzioni necessarie per dare attuazione alle misure supplementari Step 6: Rivaluta regolarmente il livello di protezione garantito su dati trasferiti
  • 18. www.dlapiper.com 18 Esempi di misure tecniche supplementary considerate efficati dall’EDPB in certi scenari La valutazione secondo le raccomandazioni dell’EDPB Algoritmo di crittografia nel contesto della conservazione dei dati per il backup e altri scopi senza necessità di accedere ai dati in chiaro • Chiavi conservate sotto il controllo dell'esportatore di dati situato in un "paese sicuro". Trasferimento di dati pseudonimizzati, ad esempio a scopo di ricerca • Le informazioni aggiuntive che permettono la reidentificazione sono tenute esclusivamente dall'esportatore di dati e conservate separatamente in un "paese sicuro". Crittografia dei dati in semplice transito in paesi terzi • La decrittazione è possibile solo al di fuori del paese terzo • Le chiavi sono gestite in modo affidabile dall'esportatore in un "paese sicuro". Dati trasferiti a destinatari protetti: • Obbligo del segreto professionale • I dati sono criptati e la chiave di criptazione è sotto la sola custodia dell'importatore di dati protetti Trattamento frazionato o a più parti: • Ogni parte del trattamento non può essere attribuita a una persona interessata senza informazioni aggiuntive • Le autorità pubbliche non sono in grado di ricostituire i dati
  • 19. www.dlapiper.com 19 La valutazione secondo le raccomandazioni dell’EDPB Trasferimento a fornitori di servizi cloud o altri processori che richiedono l'accesso ai dati in chiaro • Secondo l'EDPB, la crittografia del trasporto e i dati a riposo anche presi insieme non assicurano una protezione efficace se l'importatore di dati è in possesso della chiave di crittografia • Tuttavia l'EDPB non esclude la possibilità che ulteriori sviluppi tecnologici possano consentire lo scopo previsto senza accesso in chiaro ai dati • In tal caso, l'importatore di dati ha bisogno di accedere ai dati in chiaro per fornire servizi di personale per l'esportatore di dati o comunicare con i clienti dell'esportatore di dati • Per l'EDBP, non esiste una misura tecnica efficace per impedire che tale accesso violi i diritti degli interessati • La crittografia del trasporto e i dati a riposo anche presi insieme non assicurano una protezione efficace se l'importatore di dati è in possesso della chiave di crittografia Accesso remoto ai dati per scopi aziendali
  • 20. www.dlapiper.com • Politiche interne per la governance dei trasferimenti, in particolare all'interno di gruppi di imprese • Misure di trasparenza e responsabilità • Metodi di organizzazione e misure di minimizzazione dei dati • Obbligo di utilizzare misure tecniche specifiche • Obblighi di trasparenza sull'accesso da parte delle autorità pubbliche e garanzia che non siano state create backdoor per consentire tale accesso o modifiche apportate per facilitare tale accesso • Rafforzare i diritti di audit per verificare la potenziale divulgazione alle autorità pubbliche La valutazione secondo le raccomandazioni dell’EDPB Misure contrattuali Misure organizzative 20 • Rafforzare l'obbligo dell'importatore di dati di informare sulla sua incapacità di rispettare i suoi impegni contrattuali • Warrant canary • Obbligo di intraprendere azioni specifiche: contestare l'ordine di un'autorità pubblica, informare l'autorità pubblica del conflitto dell'ordine con le disposizioni dello strumento di trasferimento, permettere agli interessati di esercitare i loro diritti • Adozione di standard (per esempio norme ISO) e best practice (per esempio ENISA) • Revisione regolare delle politiche interne • Impegno dell'importatore di dati a non procedere al trasferimento successivo
  • 21. www.dlapiper.com 21 Quale scenario dopo Brexit? • Le nuove SCCs non si applicano al Regno Unito • Il Regno Unito ha mantenuto le SCCs previgenti a seguito dell’accordo di recesso UE-Regno Unito • Il Regno Unito adotterà le sue SCCs nei prossimi mesi • Nel frattempo, la Commissione europea ha adottato due decisioni di adeguatezza nei confronti del Regno Unito
  • 22. www.dlapiper.com Come eseguire un Transfer Impact Assessment? Giulio Coraggio – Tommaso Ricci 22
  • 23. DLA Piper Global Data Transfer Methodology 23 • Processo di valutazione in 5 fasi con matrice di scoring proprietaria e criteri di valutazione ponderati per aiutare a gestire un processo decisionale efficace • Combinazione di competenze multi-giurisdizionali grazie al team internazionale di DLA Piper • Accesso a consulenza ad hoc su casi pratici • Addendum con misure contrattuali e tecniche per ridurre il rischio
  • 24. 1 Green marketing is a practice whereby companies seek to go above and beyond traditional Mappatura del trasferimento 2 3 4 Valutazione in 5 step 5 Analisi del regime legale edelle prassi delle autorità Bilanciamento del rischio in base alle misuredi protezione Analisi del la gravità e probabilità del rischiodi danno Calcolo del rischio globale
  • 26. 26 DLA Piper Data Transfer Tool • Sviluppo e deployment con modalità agile • Facile implementazione, condivisione e customizzazione • Autocompilazione dell’assessment sulla legge applicabile e la prassi • Assistenza professionale di DLA per gestire i casi border line • Aggiornamenti regolari basati sull'interazione con le autorità e sui feedback dei clienti • Legal Design per ottimizzare la user experience