(REGOLAMENTO GENERALE PROTEZIONE DATI PERSONALI)

Slides:



Advertisements
Presentazioni simili
Unità d’apprendimento
Advertisements

I l Regolamento Generale Europeo in materia di dati personali Cosa occorre sapere e cosa occorre fare per gestire al meglio le regole attuali e prepararsi.
Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
PRIVACY Il principio di accountability e la gestione dei processi per la compliance al RegolamentoUE ROMA – PRIVACY DAY OTTOBRE 2016 ANDREA CHIOZZI.
BarchettaBlu – Dorsoduro 614 – Venezia tel Assessorato alle Politiche Educative Comune di Venezia.
Settimane estive AGOSTO - SETTEMBRE 2017 con BarchettaBlu
Sciopero nei servizi pubblici essenziali
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Internazionalizzazione – Ricerca – Innovazione - Sviluppo
ESAMI DI STATO 2015/16 Esami dei candidati con disabilità
Piccoli chef centri invernali con BarchettaBlu
Il Regolamento Europeo n. 679/2016: evoluzione
Per informazioni on web site: PROJECT MANAGEMENT ADVANCED
(Codice identificativo progetto: PON03PE_00159_1)
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
Il Responsabile della protezione dei dati:
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
ISCRIZIONE ASSOCIAZIONE
Utilizzo e valorizzazione della flora spontanea per i ripristini ambientali e lo sviluppo sostenibile nella regione mediterranea Cagliari, 06/11/2015 Cognome: Nome:
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
TRACCIABILITA’ E SANZIONI
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
DIRETTIVA mifid II NOVEMBRE 2017.
L’analisi del profilo di rischio antiriciclaggio
Normativa sulla privacy
Consulenza legale, fiscale e strategica alle imprese
Introduzione al nuovo Regolamento Generale sulla protezione dei dati
G.D.P.R. – Sintesi e proposizione
Il Regolamento Generale sulla Protezione dei Dati personali
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N
GDPR – I “nuovi” diritti dell’interessato
avv. Laura Marengo Unione Industriale Torino
Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016
PREVENZIONE E SICUREZZA DEGLI AMBIENTI DI LAVORO
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
colore 2018 carnevale di barchettablu
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
La Privacy e la sicurezza negli studi legali Monza, 24 aprile 2018
Presentazione del corso
I Profili Fiscali della Gestione del Patrimonio dell’Incapace
ISCRIZIONE ABC … Leggere insieme n.3 per una buona lettura
Prevenzione e contrasto del fenomeno del cyberbullismo
I principali compiti del datore di lavoro
Cartella Clinica Parmenide ver e successive
Il preposto.
CAMBIAMENTI DI PRINCIPI CONTABILI OIC 26
BROCHURE COMPLIANCE.
IL DIRITTO ALLA PRIVACY
NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI Erchie, 7-10 Settembre 2018 ROBERTA RIZZI DPO/RPD Ricercatore area giuridica – identità digitale e privacy,
LA TUTELA DELLA PRIVACY
LE NOVITA’ NEL REGOLAMENTO UE PRIVACY
ETICA E DEONTOLOGIA SEGRETO PROFESSIONALE E RISERVATEZZA
Aspetti normativi del D.Lvo n. 196 del 2003
Le informazioni privilegiate e il ritardo nella loro comunicazione
Il protocollo informatico e il Manuale di Gestione
Regolamento ue 2016/679 trattamento dei dati personali
Istituto d’Istruzione Superiore “T. Fiore” di Modugno
UNIVERSITA’ DELLA TERZA ETA’ DI QUARTU SANT’ELENA
FORMAZIONE SUL NUOVO REGOLAMENTO GDPR REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI (UE 679/2016)
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
La tutela della Privacy al triage Dott.ssa Assunta De Luca
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

(REGOLAMENTO GENERALE PROTEZIONE DATI PERSONALI) KIT COMUNICAZIONE ALLA RETE SU GDPR: GENERAL DATA PROTECTION REGULATION (REGOLAMENTO GENERALE PROTEZIONE DATI PERSONALI) FOCUS SUL NUOVO REGOLAMENTO (DEADLINE 25 MAGGIO 2018) COSA HA FATTO LA RENAULT ITALIA (MODUS OPERANDI) RACCOMANDAZIONI/CONSIDERAZIONI/SUGGERIMENTI

Protezione dati personali : evoluzione del quadro NORMATIVO Dalla Direttiva del 1995 al nuovo Regolamento Europeo (GDPR) Maggiore responsabilità delle società (Accountability) Sanzioni più pesanti Aumento dei diritti delle persone Interessate Incremento degli adempimenti Protezione dei dati personali Codificazione delle pratiche contrattuali

proteZIONE DEI DATI PERSONALI: noZioni CHE COS’E’ UN DATO PERSONALE? Qualsiasi informazione che consenta di identificare una persona fisica (persona interessata) direttamente o indirettamente Persone interessate: Cliente, prospect, dipendente, utente del veicolo, proprietario del veicolo ecc. (N.B. solo persone fisiche incluse le persone fisiche con Partita Iva e ditte individuali) Identità Nome, cognome, identificativo IPN, telaio (**), e-mail ecc. Informazioni Finanziarie Reddito, situazione fiscale ecc. Vita Privata Famiglia, abitudini di vita ecc. Dati di connessione Indirizzo IP, cookies, logs ecc. Vita Professionale CV, certificazioni, professione ecc. Dati di localizzazione Dati GPS ecc. Dati sensibili Orientamenti politici e religiosi, appartenenza ad organizzazioni sindacali, dati genetici e relativi allo stato di salute (*) e alla vita sessuale ecc. (**) : il n. di telaio, se identifica indirettamente una persona interessata, é un dato personale (*): ogni dato legato ad una disabilità, malattia è un dato sensibile Mosaique Anonymisation VS pseudonimisation

CHI SONO I SOGGETTI INTERESSATI? proteZIONE DEI DATI PERSONALI: noZioni CHI SONO I SOGGETTI INTERESSATI? Dipendente Rappresentante commerciale Utente Cliente Visitatore Prospect Conducente

CHE COS’È UN TRATTAMENTO? proteZIONE DEI DATI PERSONALI: noZioni CHE COS’È UN TRATTAMENTO? Qualsiasi operazione eseguita sui dati personali, incluse quelle da remoto, effettuata sia con mezzi manuali che automatici Soprattutto: Raccolta Registrazione Blocco Conservazione Modifica Hosting Uso Comunicazione Diffusione Deletion Organizzazione Consultazione Ecc.

proteZIONE DEI DATI PERSONALI: noZioni TITOLARE DEI DATI/RESPONSABILE DEI DATI QUAL È LA DIFFERENZA? Titolare dei dati personali la persona fisica o giuridica che, da sola o in collaborazione con altri, determina le finalità e i mezzi del trattamento di dati personali Responsabile dei dati personali la persona fisica o giuridica che tratta dati personali per conto del Titolare dei dati Contitolari dei dati personali quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento

PRIVACY BY DESIGN: che Cos’ e’? APPROCCIO «PROATTIVO» ALLA PROTEZIONE DEI DATI GIA’ IN FASE DI PROGETTAZIONE Individuare la finalità per la quale viene effettuato il trattamento (es. esecuzione obblighi contrattuali, marketing ecc.) Applicare i principi relativi alla protezione dei dati (es. secondo il principio di necessità, bisogna trattare soltanto i dati strettamente necessari rispetto alla finalità individuata) Predisporre accordi con le società esterne che hanno accesso a dati personali dei soggetti interessati (es. Terranova, CDK Global, la società esterna/ il consulente esterno che elabora i cedolini stipendi dei dipendenti ecc.) Definire in tali accordi le responsabilità delle società esterne relativamente al rispetto degli obblighi previsti dal GDPR (es. obblighi di assumere adeguate misure di sicurezza) Conservare in azienda la documentazione che provi il rispetto degli obblghi previsti dal GDPR (es. archivio accordi con le società esterne, raccolta dei consensi dei soggetti interessati ecc.) Rispettare i diritti delle persone interessate (es. se un cliente chiede di esercitare il diritto di accesso, ovvero di ottenere la conferma o meno del trattamento di propri dati personali, il titolare dovrà fornire un riscontro scritto entro il termine massimo di 30 giorni dalla richiesta) MESSAGE: la conformité nécessite une méthodologie pour chacune de ces étapes avec pour chacune d’elle l’intervention d’un sachant (juriste DP ou relais métier).

GDPR: COSA BISOGNA FARE GDPR: COSA BISOGNA FARE ? APPLICARE I PRINCIPI IN MATERIA DI PROTEZIONE DEI DATI Raccogliere i dati in modo corretto, lecito e trasparente Trattare i dati nel limiti di finalità determinate, esplicite e legittime Raccogliere solo i dati necessari e pertinenti rispetto alle finalità Prevedere un tempo massimo di conservazione dei dati in funzione della finalità Implementare adeguate policy di sicurezza Dare un’adeguata informativa agli interessati e richiedere il consenso se previsto per legge

ADEMPIMENTI: QUALI SONO LE NOVITA’? VALUTAZIONE PRELIMINARE DI IMPATTO REGISTRO DEI TRATTAMENTI NOTIFICA DI UNA VIOLAZIONE DI DATI PERSONALI ALL’AUTORITA’ DI CONTROLLO CD. «DATA PROTECTION OFFICER»

ADEMPIMENTI FORMALI: QUALI SONO LE NOVITA’? VALUTAZIONE PRELIMINARE DI IMPATTO: COSA E’ ? Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (es. a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono trattati dati sensibili /giudiziari, o anche per una combinazione di questi e altri fattori), è necessario svolgere una valutazione preventiva di impatto. Le linee-guida del Gruppo delle Autorità Garanti indicano alcuni casi di valutazione di impatto obbligatoria, chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori) e se è necessario aggiornare la valutazione nel tempo. Il Titolare consulta anche l’Autorità Garante (Consultazione Preventiva), ove le misure tecniche e organizzative  individuate non siano dal Titolare ritenute sufficienti  per mitigare i rischi del trattamento. Il Titolare è infatti tenuto non soltanto a garantire il rispetto delle disposizioni del GDPR, ma anche a dimostrare, attraverso adeguata documentazione, COME viene garantito tale rispetto.

ADEMPIMENTI FORMALI: QUALI SONO LE NOVITA’? REGISTRO DEI TRATTAMENTI: COSA E’? Tutti i Titolari e i Responsabili di trattamento - tranne le società con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (es. dati sensibili o giudiziari) - devono tenere un registro delle operazioni di trattamento con le informazioni indicate nell’Art. 30 del GDPR. Il registro può essere in forma cartacea o elettronica e deve essere esibito dal Garante, su richiesta di quest’ultimo Il Garante sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli Titolari potranno integrare nei modi opportuni.

ADEMPIMENTI: QUALI SONO LE NOVITA’ ? NOTIFICA DI UNA VIOLAZIONE DI DATI PERSONALI: COSA E’? Il Titolare dovrà notificare all‘Autorità Garante le violazioni di dati personali di cui venga a conoscenza entro 72 ore, e comunque "senza ingiustificato ritardo". La notifica non è obbligatoria e va fatta solo se il Titolare ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo«, fatta eccezione per i casi in cui GDPR esclude tale obbligo di informazione.

ADEMPIMENTI FORMALI: QUALI SONO LE NOVITA’ ? RESPONSABILE DELLA PROTEZIONE DEI DATI (cd. «DPO» Data Privacy Officer): CHI E’ ? La sua designazione è obbligatoria solo nei casi determinati dal GDPR. Fra i compiti del DPO rientrano la sensibilizzazione e la formazione del personale e il controllo del rispetto del GDPR Sono disponibili sul sito dell’Autorità Garante (http://www.garanteprivacy.it/rpd) alcune linee-guida unitamente alle relative FAQ (Domande e Risposte frequenti)

DIRITTI DELLE PERSONE INTERESSATE: QUALI SONO? Diritto di ricevere copia dei dati forniti e chiedere che tali dati siano trasmessi ad un altro titolare del trattamento (cd. portabilità) Diritto di opporsi al trattamento (es. per finalità marketing) Diritto di ricevere un’informativa con l’indicazione delle finalità del trattamento Diritto di chiedere la cancellazione dei dati personali ove sussitano i motivi previsti dal GDPR Diritto di aggiornare, modificare e/o correggere i propri dati personali Diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano Diritto più articolato ed esteso in tema di limitazione dell’utilizzo dei dati personali Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato dei dati, compresa la profilazione Gli interessati hanno il diritto di esercitare un controllo totale sui propri dati personali Message: droits des personnes doivent être effectifs techniquement. N.B.: in rosso i nuovi diritti

RISCHIO REPUTAZIONALE TRATTAMENTO DEI DATI NON CONFORME A GDPR GDPR: I RISCHI RISCHIO REPUTAZIONALE La sanzione dell’Autorità Garante alla privacy può essere resa pubblica TRATTAMENTO DEI DATI NON CONFORME A GDPR RISCHIO FINANZIARIO GDPR: sanzioni fino al 4% del fatturato mondiale totale annuo dell’esercizo precedente Les sanctions de la CNIL peuvent être rendues publiques. Les violations de données personnelles doivent être notifiées à la CNIL et aux personnes concernées Loi I&L: max. de 150 000 euros Loi Lemaire: max. de 3 millions d’euros GDPR: max. de 4% du CA mondial annuel

Sanzioni previste da GDPR, in dettaglio: Sanzioni fino a EUR 10 000 000 o fino al 2 % del fatturato totale mondiale dell’esercizio precedente Sanzioni fino a EUR 20 000 000 o fino al 4 % del fatturato totale mondiale annuo dell’esercizio precedente ad esempio per: Inosservanza dell'obbligo di disporre di Responsabili che forniscano sufficienti garanzie per proteggere i dati personali; Violazioni della sicurezza; Mancata nomina del cd. «Data Privacy Officer» ove obbligatorio per legge; Mancata previsione di una valutazione d'impatto preliminare nei casi previsti ad esempio per: Inosservanza dei principi applicabili ai dati sensibili; Violazione dei diritti dell'interessato (diritto di accesso, diritto di rettifica ecc.) Mancato rispetto delle condizioni applicabili ai trasferimenti di dati al di fuori dell'UE.

esempio RENAULT ITALIA: come stiamo procedendo Mappatura di tutti i trattamenti dei dati personali (informatici e cartacei) con la descrizione, per ogni trattamento: - del processo aziendale alla base del trattamento - della tipologia dei dati trattati e delle relative finalità - dei soggetti interessati - delle società esterne che hanno accesso ai dati - delle misure di sicurezza adottate - di ogni ulteriore elemento rilevante ai fini «privacy» (es. tempi di conservazione, richieste di consenso, rispetto dei diritti degli interessati ecc.) La mappatura è stata realizzata nominando un team di esperti legali ed informatici i quali, confrontandosi con le figure chiave del business, hanno realizzato dei questionari da sottoporre a ciascun settore aziendale e, ove il caso, hanno condotto delle interviste ai relativi interlocutori

esempio RENAULT ITALIA: come stiamo procedendo In base ai risultati della mappatura si è proceduto: - alla individuazione di eventuali non conformità rispetto al GDPR ed alla conseguente rivisitazione del processo dei trattamenti in azienda - alla rivisitazione della documentazione legale (es. aggiornamento di tutte le informative al trattamento dei dati personali per clienti, dipendenti ed altri soggetti interessati, delle relative richieste di consenso, ridefinizione di tutti gli accordi con i fornitori che trattano dati personali onde assicurare il rispetto da parte di questi ultimi di tutte le norme applicabili previste dal GDPR, ecc.) - alla rivisitazione delle misure di sicurezza, ove necessario

esempio RENAULT ITALIA: come stiamo procedendo Tale modus operandi riguarda anche: - tutti quei dati personali provenienti dalla Rete, ma utilizzati anche da RENAULT ITALIA (es. dati raccolti al momento dell’Ordine d’acquisto e dell’Ordine di riparazione), - tutti quei dati personali messi a disposizione della Rete da parte della RENAULT ITALIA (es. leads) - tutti quei sistemi informatici messi a disposizione o comunque raccomandati dalla RENAULT ITA alla Rete con esclusivo riferimento allo scambio/condivisione dei dati di cui sopra NOTA BENE: per tali trattamenti/sistemi ciascun membro della Rete avrà comunque un ruolo specifico da assolvere che comporta delle responsabilità anche nei confronti della RENAULT ITALIA. Per questa ragione, anche in accordo con il GCRE (Groupement des Concessionnaires Renault Européen), verranno riviste alcune clausole/appendici contrattuali nei contratti di Rete

RACCOMANDAZIONI/CONSIDERAZIONI/SUGGERIMENTI Con riferimento all’utilizzo dei dati personali per finalità proprie del membro della Rete (es. dati personali dei propri dipendenti, dati di clienti o prospect utilizzati per autonome campagne di marketing ecc.) ciascun membro della Rete sarà direttamente ed autonomamente responsabile del corretto rispetto del GDPR. Per tali trattamenti, si suggerisce a ciascun membro della Rete di effettuare un percorso simile a quello sopra descritto della RENAULT ITALIA e quindi: effettuare una mappatura dei trattamenti dei dati personali aggiornare/correggere i processi aziendali coinvolti, le misure di sicurezza e la documentazione legale (es. revisione degli accordi con i fornitori esterni - ivi inclusi quelli suggeriti da RENAULT ITALIA (es. Terranova, DMS partners, Direct Access etc.) che operano per i trattamenti propri del Membro Rete - che trattano dati personali, riesame di tutte le informative per i trattamenti di dati personali fatta eccezione per le informativa OR* e VN*) svolgere le attività di mappatura, aggiornamento e correzione di cui sopra con il supporto di propri consulenti legali ed informatici Per approfondimenti, link al sito del garante http://www.garanteprivacy.it/regolamentoue *(per le informative VN e OR, RENAULT ITALIA provvederà a mettere a disposizione della rete entro il 26 maggio 2018 le informative conformi al GDPR)

THANK YOU