GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group

Prologo Privacy by Design Analisi dei Rischi Misure di Sicurezza Trattamenti Esterni Registro dei Trattamenti D.PIA Addetti DPO Data Breach Informative

00 Prologo Partenza

IL GDPR Da dove Perché 26/12/2018

In quale ambito ci muoviamo Il REGOLAMENTO EUROPEO è quella legge che tutela i diritti di un interessato durante un trattamento di dati personali In quale ambito ci muoviamo 26/12/2018

il Trattamento Tutte le operazioni che faccio

01 Privacy by Design La Vera Rivoluzione

Privacy by Design

02 Analisi dei Rischi La Mistificazione

No Excel Analisi dei rischi Non è una lista Non è ingegneristica I rischi sono solo 7 L’incendio è una sfortuna

03 Contromisure MMA – Vale Tutto

MINACCE vs CONTROMISURE

04 Trattamenti Esterni I Responsabili

DA - A CCISS viaggiare informati Comunicare Quando prendiamo un dato personale e lo comunichiamo a qualcun altro stiamo facendo un trattamento Solo se Rischio Residuale basso Se facciamo un trattamento dobbiamo applicare tutte le misure fisiche ed organizzative per far si che al dato non succeda nulla di male Il Responsabile La scelta dell’intermediario a cui comunichiamo fa parte di questo processo ed è sotto la responsabilità del Titolare

RESPONSABILE Persone fisiche e persone giuridiche Art 28 Deve operare con Contrattualizzazione Responsabile deve garantire misure tecniche Istruzioni documentate Garanzia sugli addetti/incaricati alla riservatezza Adotti misure di sicurezza (Art. 32)

05 Nomine Addetti Da Incaricati ad Addetti

Interessati o Addetti Articolo 28 Definizioni Art 4 Sono solamente le persone fisiche che per conto del titolare eseguono i trattamenti

06 Registro Trattamenti Lo devono fare TUTTI

Chi deve tenere registro? Come?

1 2 3 COME Lista per ogni trattamento Communicazioni e Diffusioni il nome e i dati di contatto del titolare del trattamento le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali per comunicazione e o diffusion Communicazioni e Diffusioni ove applicabile, i trasferimenti di dati personali verso un paese terzo Modalità di diffusione e Comunicazione Misure di sicurezza una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32

07 D.PIA Data Privacy Impact Assessment

Data Privacy Impact Assessment

08 DPO Cui Prodest?

Sarà obbligatorio nella pubblica amministrazione e sarà fortemente consigliato nel privato. Nel settore privato, tuttavia, sarà obbligatorio nominare un DPO qualora i trattamenti coinvolti saranno su larga scala e monitorati sistematicamente o nel caso di trattamenti effettuati su larga scala di dati sensibili. Accanto al concetto di larga scala occorre far riferimento al core business aziendale per determinarne l’obbligatorietà o meno DPO A Man annoying 26/12/2018

DPO Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati Fornire, se richiesto, un parere in merito alla valutazione d’impatto Sorvegliarne lo svolgimento ai sensi dell'articolo 35 Cooperare con autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Sorvegliare l’osservanza del presente regolamento di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; Data Breach Coopera e gestisce violazioni relativi al Data Breach

09 DPO Cui Prodest?

Data Breach Assioma dell’asilo Comunicazione di una violazione dei dati personali all’interessato Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura b)  il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati c)  detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

10 Informative

GRAZIE MILLE