La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il progetto GDPR: dalla teoria alla pratica

PubblicatoBaldassare Sorrentino Modificato 5 anni fa

Presentazioni simili

Presentazione sul tema: "Il progetto GDPR: dalla teoria alla pratica"— Transcript della presentazione:

1 Il progetto GDPR: dalla teoria alla pratica
Evoluzione del GDPR dal 2016 ad oggi Cesare De Santis Roma 3/12/2018

2 Agenda Presentazione relatore GDPR: gli adempimenti in sintesi
Titolo presentazione Agenda 16/02/2019 Presentazione relatore GDPR: gli adempimenti in sintesi Linee guida, decreto armonizzazione, provvedimenti pregressi Bibliografia & sitografia Q&A Versione:

3 Agenda Presentazione relatore GDPR: gli adempimenti in sintesi
Titolo presentazione Agenda 16/02/2019 Presentazione relatore GDPR: gli adempimenti in sintesi Linee guida, decreto armonizzazione, provvedimenti pregressi Bibliografia & sitografia Q&A Versione:

4 Presentazione relatore
Titolo presentazione 16/02/2019 Presentazione relatore Cesare De Santis Ho lavorato a lungo per Enti della P.A. (Difesa) ed aziende private (banca e alcune società di consulenza di emanazione bancaria) prima di intraprendere, nel 2008, un autonomo percorso professionale. Attualmente sono amministratore unico di PRIMAe srl, che opera sui temi della privacy, della sicurezza, dell’auditing dei S.I., della compliance e della organizzazione. Tra i clienti di PRIMAe srl si annoverano banche, finanziarie, società di leasing, compagnie di assicurazione e riassicurazione, fondi pensione, società immobiliari, altre società di consulenza. Titoli/certificazioni/attestati Laureato in Scienze statistiche ed attuariali, abilitato alla professione di attuario, CISM, iscritto nel registro dei consulenti privacy di KHC ( ) Versione:

5 Agenda Presentazione relatore GDPR: gli adempimenti in sintesi
Titolo presentazione Agenda 16/02/2019 Presentazione relatore GDPR: gli adempimenti in sintesi Linee guida, decreto di armonizzazione. provvedimenti pregressi Q&A Bibliografia & sitografia Versione:

6 Premessa: dettaglio degli adempimenti GDPR
Il dettaglio degli adempimenti del GDPR con le problematiche sorte e le soluzioni individuate, in particolare nello specifico settore target delle nostre attività di consulenza, è contenuto nel mio intervento intitolato «GDPR nel settore bancario, finanziario ed assicurativo» svolto nel corso del seminario «GDPR dopo 5 mesi dalla sua applicazione: evoluzione e prime considerazioni» organizzato Capitolo di Roma di Isaca e tenutosi a Roma il 19 ottobre 2018. Le slide dell’intervento sono scaricabili gratuitamente dal sito

7 Evoluzione normativa OLD NEW 7 7
Dal 1 gennaio 2004 la protezione dei dati personali è disciplinata in Italia dal d.lgs. 196/2003 denominato «Codice in materia di protezione dei dati personali» (conosciuto anche come Codice privacy) , approvato il 27 giugno 2003 dal Consiglio dei ministri, in Gazzetta Ufficiale n.123/L del 29 luglio 2003 e che ha abrogato la legge 675/1996 ed alcuni decreti successivi, nonché dai suoi allegati (Disciplinare tecnico in materia di misure minime di sicurezza e codici deontologici, tra i quali quello sui S.I.C.) Negli ultimi anni erano state introdotte alcune importanti “semplificazioni” negli adempimenti previsti dalla normativa italiana quali l’esclusione dei dati delle persone giuridiche, Enti e associazioni e l’eliminazione dell’obbligo di tenuta di un aggiornato Documento programmatico sulla sicurezza; La Banca è obbligata ad adempiere a numerosi provvedimenti dell’Autorità di controllo (Garante privacy) Nel 2012 la Commissione europea ha presentato una riforma della protezione dei dati nell'UE per adeguare l'Europa all'era digitale. La riforma si compone di due strumenti: il regolamento generale sulla protezione dei dati (acronimo inglese GDPR)  la direttiva sulla protezione dei dati trattati dalla polizia e dalle autorità giudiziarie penali Il 15 dicembre 2015 è stato raggiunto l'accordo tra Commissione, Parlamento e Consiglio UE dopo i negoziati finali tra le tre istituzioni (cosiddette riunioni di "trilogo"). Il Regolamento(1) è stato approvato e pubblicato nella G.U. della UE n. L 119/1 del 4 maggio 2016 E’ entrato in vigore il 25 maggio 2016 ed applicato a partire dal 25 maggio 2018 (è costituito da 173 considerando e 99 articoli) Il 18 settembre 2018 è entrato in vigore il decreto di armonizzazione della normativa italiana al GDPR (d.lgs. 101/2018) che ha «novellato» il d.lgs. 196/2003 (c.d. Codice privacy). (1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati) NEW 7 7

8 Sanzioni GDPR: una cosa seria
Il GDPR prevede (art, 83) sanzioni amministrative che dovranno essere in ogni singolo caso effettive, proporzionate e dissuasive. In particolare la violazione degli obblighi del Titolare e Responsabile del trattamento è soggetta a sanzioni amministrative pecuniarie fino a EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore mentre l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1 del GDPR nonchè la violazione: dei principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, delle regole per i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale, di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (che comprende il trattamento dei dati nell’ambito dei rapporti di lavoro); sono soggette a sanzioni amministrative pecuniarie fino a EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Il d.lgs. 101/2018 ha altresì introdotto in Italia sanzioni penali per trattamento illecito dei dati, comunicazione, diffusione e acquisizione fraudolenta dati personali oggetto di trattamento su larga scala, inosservanza provvedimenti del Garante, falsità nelle dichiarazioni al Garante, violazioni delle disposizioni in materia di controlli a distanza e indagini su opinioni dei lavoratori 8 8

9 GDPR : reclami & violazioni
Fonte: European Digital Rights (EDRi) 25/10/2018 9 9

10 Altri soggetti esterni (esternalizzazioni)
GDPR : i principali adempimenti Soggetti interessati Resa informativa (quali informative sono rese) obbligo di legge obbligo contrattuale e adozione misure precontrattuali raccolta consenso legittimo interesse test comparativo Riscontro richieste esercizio diritti interessato Portabilità Limitazione trattamento Rispetto dei principi e requisiti dei dati Trattamento dati appartenenti a particolari categorie Trattamento dati relativi a condanne penali e reati Comunicazione violazione dati (rischio elevato) Decisione basata su trattamento automatizzato Autorità di controllo Notifica violazione dati personali Richiesta di consultazione preventiva Rapporti con l’Autorità Verifiche piano semestrale (a campione) su input magistratura reclamo Sanzioni Meccanismo dello «sportello unico» Certificazioni Altri soggetti esterni (esternalizzazioni) Valutazione qualificazione privacy Responsabile del trattamento conformità contratto di nomina sub-responsabili verifiche Titolare autonomo del trattamento (clausole contratto) Contitolare del trattamento (accordo interno) Trasferimenti all’estero in Paesi extra UE non adeguati garanzie adeguate clausole tipo Commissione UE Interno dell’azienda Accountability del Titolare (misure e policy) Autorizzazione al trattamento (incaricati) Nomina referenti Nomina DPO ( anche esterno all’azienda) Formazione Privacy by design and by default Data Protection Impact Assessment (strumento CNIL) Registro dei trattamenti per Titolare e Responsabile Analisi del rischio e misure di sicurezza adeguate Rilevazione violazione di dati personali (in giallo esistenza linee guida WP29)

11 Agenda Presentazione relatore GDPR: gli adempimenti in sintesi
Titolo presentazione Agenda 16/02/2019 Presentazione relatore GDPR: gli adempimenti in sintesi Linee guida, decreto armonizzazione, provvedimenti pregressi Bibliografia & sitografia Q&A Versione:

12 Premessa: WP29 e EDPB, ENISA
Dal 25 maggio 2018 il Gruppo di lavoro ex Articolo 29 (WP29) della Direttiva 95/46 (comitato dei Garanti europei) ha cessato la sua attività ed è stato sostituito dal Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) European Data Protection Board (art. 68 GDPR) Il comitato europeo per la protezione dei dati è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE ENISA The European Union Agency for Network and Information Security (ENISA) is a centre of expertise for cyber security in Europe recommendations activities that support policy making and implementation ‘Hands On’ work, where ENISA collaborates directly with operational teams throughout the EU

13 Linee guida WP29 ( EDPB) ed ENISA
Titolo presentazione Linee guida WP29 ( EDPB) ed ENISA 16/02/2019 Linee guida sui responsabili della protezione dei dati (WP243) Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 (WP248) e ISO/IEC “Information technology – Security Techniques – Guidelines for privacy impact assessment” Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 (WP250) Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 (WP253) Linee guida elaborate dal Gruppo Art. 29 in materia di trasparenza, definite in base alle previsioni del Regolamento (UE) 2016/679 (WP260) Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 (WP251) Linee guida sul diritto alla portabilità dei dati (WP242) e FAQ (WP242_annex) Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 (WP259) Linee guida per l'individuazione dell'autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento (WP244) e FAQ (WP244_annex) Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE (WP217) Parere 2/2017 sul trattamento dei dati sul posto di lavoro (WP 249) Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento" (WP169) Guidelines for SMEs on the security of personal data processing” (ENISA dicembre 2016) Recommendations for a methodology of the assessment of severity of personal data breaches (working paper ENISA dicembre 2013) Versione:

14 Altre utilità sul sito del Garante
Titolo presentazione Altre utilità sul sito del Garante 16/02/2019 Guida all’applicazione del GDPR Fondamenti di liceità del trattamento Informativa Diritti interessati Titolare, responsabile ed incaricato Approccio basato sul rischio del trattamento e misure di accountability Trasferimenti internazionali di dati Elenco trattamenti in obbligo DPIA FAQ su DPO (settore pubblico/privato) e Registro dei trattamenti Approfondimento su individuazione e gestione del rischio Accesso alle linee guida WP29 e EDPB (anche in versione italiana) Testo del GDPR «arricchito» e con riferimento ai «considerando» I riferimenti di tutti i Garanti europei possono essere consultati al seguente link Versione:

15 Il decreto di armonizzazione: d.lgs. 101/2018
Titolo presentazione Il decreto di armonizzazione: d.lgs. 101/2018 16/02/2019 Aspetto privacy Indicazione d.lgs. 101/2018 Note Principi: trattamento dati relativi a reati e condanne Per diritto lavoro, onorabilità, difesa diritti in sede giudiziaria, comunicazioni e informazioni antimafia, riciclaggio, protocolli intesa con prefetture Art. 2 octies Consenso: offerta diretta servizi società informazione a minori Abbassamento da 16 (art, 8 GDPR) a 14 anni Art. 2 quinquies Informativa e consenso: curricula spontanei Informativa al primo contatto, non richiesto consenso art. 111-bis del d.lgs. 196/2003 novellato Esercizio diritti interessato Limitazioni per riciclaggio, vittime pratiche estorsive, difesa diritti in sede giudiziaria, whistleblowing Art. 2 undecies Esercizio diritti persone decedute Chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione Art. 2 terdecies Referenti privacy Il titolare nell’ambito dell’organizzazione può prevedere specifici compiti e funzioni connessi al trattamento dei dati Art. 2 quaterdecies Provvedimenti Garante pregressi A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto Art. 22 Codice deontologico SIC Entro sei mesi da 19 settembre 2018 nuove regole Art. 20 Autorizzazioni generali Garante 4. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2 -quater e 2 -septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti, per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 2 e le pertinenti prescrizioni individuate con il provvedimento di cui al comma 1. Art. 21 Introduzione sanzioni penali Trattamento illecito dei dati, comunicazione, diffusione e acquisizione fraudolenta dati personali su trattamento su larga scala, inosservanza provvedimenti del garante, falsità nelle dichiarazioni del garante, violazioni delle disposizioni in materia di controlli a distanza e indagini su opinioni dei lavoratori Art. 15 Applicabilità adempimenti GDPR Semplificazioni da adottare da parte del Garante per PMI: (Modifica art. 154 Codice privacy) “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a) , modalità semplificate di adempimento degli obblighi del titolare del trattamento”. Art. 14 Trattamento dati biometrici Il decreto di armonizzazione (d.lgs. 101/2018) all’Art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) prescrive che “1. In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo” nonché all’art. 22 «Le disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il Regolamento (UE) 2016/679, sino all’adozione delle corrispondenti misure di garanzia di cui all’articolo 2 -septies del citato codice, introdotto dall’articolo 2, comma 1, lett. e) del presente decreto. Art. 2 septies e art. 22 Comunicazioni elettroniche Modifiche alla parte II Titolo X del Codice privacy che contiene l’art. 130 “Comunicazioni indesiderate” Art. 11 Versione:

16 Provvedimenti applicabili in tutte le aziende
Titolo presentazione Provvedimenti applicabili in tutte le aziende 16/02/2019 Lavoro: le linee guida del Garante per posta elettronica e internet Gazzetta Ufficiale n. 58 del 10 marzo 2007 (doc. web ) Linee guida in materia di trattamento di dati personali di lavoratori per finalità di  gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati – 23 novembre 2006 (doc. web ) Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (doc. web ) meglio noto come “Garante 1” Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre (doc. web ) Provvedimento in materia di videosorveglianza – 8 aprile 2010 (doc. web ) Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni - 19 gennaio 2011(doc. web n ) Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 (doc. web n ) Cloud Computing - Vademecum del Garante privacy “Proteggere i dati per non cadere dalle nuvole” (doc. web n ) Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 (doc. web n ) Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali - 15/6/2011 in G. U. n. 153 del 4 luglio 2011 (doc. web n ) Provvedimento generale prescrittivo in tema di biometria (doc. web n ) e Linee guida in materia di riconoscimento biometrico e firma grafometrica (doc. web n ) Comunicato stampa del Garante “Le Autorità per la privacy europee adottano un parere sulle app” (doc. web n ) Versione:

17 Provvedimenti applicabili di settore (es. banche)
Titolo presentazione Provvedimenti applicabili di settore (es. banche) 16/02/2019 Linee guida per trattamenti dati relativi al rapporto banca-clientela 25 ottobre 2007 G.U. n. 273 del 23 novembre 2007 (doc. web ) Prescrizione del Garante “Liceità, correttezza e pertinenza nell’attività di recupero crediti – 30 novembre 2005” (doc. web ) Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie maggio 2011 (doc. web ) meglio noto come “Garante 2” Cessione in blocco e cartolarizzazione dei crediti - 18 gennaio 2007(doc. web n ) Provvedimenti del Garante (art. 22 d.lgs. 101/2018): a decorrere dal 25 maggio 2018, continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del d.lgs. 101/2018. Versione:

18 Titolo presentazione Codici deontologici 16/02/2019 Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti(doc. web ) Codice deontologico SIC (art. 20 d.lgs. 101/2018) : continua a produrre effetti, sino alla definizione della procedura di approvazione cui alla sotto riportata lettera b) , a condizione che si verifichino congiuntamente le seguenti condizioni: a) entro sei mesi dalla data di entrata in vigore del d.lgs. 101/2018 (19 settembre) le associazioni e gli altri organismi rappresentanti le categorie interessate sottopongano all’approvazione del Garante privacy, a norma dell’articolo 40 del GDPR, i codici di condotta elaborati a norma del paragrafo 2 del predetto articolo; b) la procedura di approvazione si concluda entro sei mesi dalla sottoposizione del codice di condotta all’esame del Garante privacy. Il mancato rispetto di uno dei termini sopra riportati comporterà la cessazione di efficacia delle disposizioni del codice deontologico SIC a decorrere dalla scadenza del termine violato. Versione:

19 Autorizzazioni generali (dati sensibili e giudiziari)
Titolo presentazione Autorizzazioni generali (dati sensibili e giudiziari) 16/02/2019 Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici Autorizzazione generale n. 8/2016 al trattamento dei dati genetici Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica Autorizzazioni generali del Garante privacy (art. 21 d.lgs. 101/2018) : Il Garante privacy con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del d.lgs. 101/2018 (19 settembre 2018), individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) (obblighi di legge) ed e) (esecuzione compiti di interesse pubblico) , 9, comma 2, lettera b) (trattamento dati particolari per diritto del lavoro e sicurezza sociale e protezione sociale autorizzati da legge o contratto collettivo) e 4 (trattamento dati genetici biometrici e relativi alla salute), nonché al Capo IX del GDPR (disposizioni relative a specifiche situazioni di trattamento quali trattamento dati nell’ambito del rapporto di lavoro), che risultano compatibili con le disposizioni del GDPR e del d.lgs. 101/2018 e, ove occorre, provvede al loro aggiornamento. Questo provvedimento è adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica. A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari», ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all’articolo 9 del GDPR e ai dati di cui all’articolo 10 del GDPR (art. 22 comma 2 d.lgs. 101/2018) Versione:

20 Agenda Presentazione relatore GDPR: gli adempimenti in sintesi
Titolo presentazione Agenda 16/02/2019 Presentazione relatore GDPR: gli adempimenti in sintesi Linee guida, decreto di armonizzazione, provvedimenti pregressi Bibliografia & sitografia Q&A Versione:

21 Titolo presentazione Bibliografia 16/02/2019 «Il Regolamento Privacy Europeo – Commentario alla nuova disciplina sulla protezione dei dati personali» di Luca Bolognini, Enrico Pelino, Camilla Bistolfi – Giuffrè Editore «Privacy e il diritto europeo alla protezione dei dati personali – Il Regolamento europeo 2016/679 (volume secondo)» di Francesco Pizzetti - G. Giappichelli Editore – 2016 «Privacy e Regolamento europeo» di Antonio Ciccia Messina e Nicola Bernardi – Wolters Kluwer – 2016 «Il responsabile della protezione dei dati (Data Protection Officer-DPO)» di Stefano Comellini – Maggioli Editore – 2018 “Privacy by design – The 7 Foundamental Principles” di Ann Cavoukian , che è alla base della “Resolution on Privacy by design” adottata alla 32^ Conferenza internazionale dei Garanti privacy svoltasi a Gerusalemme nel 2010 27_jerusalem_resolutionon_privacybydesign_en.pdf “Privacy and Data Protection by Design” pubblicato da ENISA e scaricabile gratuitamente da Versione:

22 Sitografia Titolo presentazione 16/02/2019 Versione:
Guida applicativa del Garante privacy ( Linee guida EDPB (ex WP29) ( ) Download GDPR con considerando ( ) Download Codice Privacy novellato ( ) Download decreto armonizzazione d.lgs. 101/2018 Versione:

23 Agenda Presentazione relatore GDPR: gli adempimenti in sintesi
Titolo presentazione Agenda 16/02/2019 Presentazione relatore GDPR: gli adempimenti in sintesi Linee guida, decreto di armonizzazione, provvedimenti pregressi Bibliografia & sitografia Q&A Versione:

24 Titolo presentazione Q&A 16/02/2019 Versione:

25 Contatti Grazie...

26 Portabilità dei dati (scheda Garante privacy)

27 Informazioni da fornire per raccolta presso interessato (art. 13)
Capo III Informazioni che Titolare fornisce all’atto raccolta (in caso di raccolta presso interessato): identità/coordinate contatto del Titolare e se designati Rappresentante e Data Protection Officer (DPO) finalità trattamento per le quali sono destinati i dati nonché le basi giuridiche del trattamento il legittimo interesse del Titolare o di terzi (art. 6 c. 1 f) i destinatari o le categorie di destinatari dei dati personali dove applicabile l’intenzione di trasferire i dati in Paesi terzi e l’esistenza/assenza di decisioni adeguatezza o in caso di altri tipi di trasferimenti (art. 46, 47 o 49 c. 2) le garanzie e i mezzi per ottenerne copia o dove sono state rese disponibili Inoltre occorre fornire periodo di conservazione dei dati, o criterio usato per determinarlo esistenza diritto di richiedere accesso e rettificare/cancellare dati o limitazioni di trattamento o opporsi trattamento di tali dati nonché diritto alla portabilità di essi in caso di dati art. 6 c. 1a e art. 9 c. 2a l’esistenza del diritto di revocare il consenso in qualsiasi momento senza conseguenze su legittimità trattamento prima della revoca diritto a presentare reclamo all’Autorità di controllo se la comunicazione di dati è requisito imposto da legge o contrattuale, o necessario per stipula contratto nonché se interessato è obbligato a fornire i dati e conseguenze rifiuto esistenza di decisioni automatizzate, inclusa profilazione, (art. 22 c.1 e c.4), e almeno in quei casi informazioni comprensibili intorno alla logica usata nonché importanza/conseguenze previste per interessato Se Titolare intende procedere a ulteriori trattamenti informa interessato prima di iniziarli dando informazioni su ulteriori finalità Quanto sopra non si applica se l’Interessato ha già le informazioni

28 Data Protection Officer
Aziende DPO Banche Banca 1 Interno (compliance) Banca 2 Banca 3 Interno (organizzazione) Banca 4 Interno (controlli interni) Banca 5 Esterno (Primae srl) Banca 6 Banca 7 Di gruppo (compliance) Banca 8 Banca 9 Finanziarie Finanziaria 1 Interno (risk management) Finanziaria 2 Compagnie assicurazione/riassicurazione Compagnia 1 Rappresentanza 1 Rappresentanza 2 Di Gruppo (compliance) Fondi Pensione Fondo pensioni 1 Di gruppo territoriale (compliance) Real Estate Gruppo RE 1

29 Meccanismo dello «sportello unico»
Adempimenti Nel GDPR è previsto un maggior coordinamento tra Autorità di controllo con il meccanismo dello sportello unico/Autorità capofila. Infatti nei casi transfrontalieri importanti in cui sono coinvolte diverse autorità di controllo nazionali, si adotterà una decisione di controllo unica. In base a questo principio, noto appunto come »sportello unico», una società con controllate in diversi Stati membri dovrà interagire solo con l‘Autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale (Autorità di controllo capofila), o il centro decisionale sui trattamenti, che collaborerà con le altre Autorità di controllo interessate. E’ prevista altresì la creazione del Comitato Europeo per la Protezione dei Dati (ex WP29), con i rappresentanti di tutti i Garanti UE, EDPS e Commissione UE. Su tali aspetti è stata emanata una linea guida(1) . Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento ( )

30 Capo IV Violazione dati personali nel Regolamento: notificazione ad Autorità (art. 33) In caso di violazione dei dati personali, il Titolare, senza ritardo ingiustificato, e dove possibile, non più tardi di 72 ore dopo averne preso atto notifica la violazione all‘Autorità di controllo competente (art. 55), a meno sia improbabile che comporti un rischio per diritti/libertà delle persone fisiche Qualora non sia effettuata entro 72 ore, la notifica è corredata di una giustificazione motivata. Responsabile deve informare il Titolare senza ritardo ingiustificato dopo avere preso atto della violazione La notifica contiene almeno: descrizione della natura della violazione includendo se possibile le categorie e il numero approssimativo dei soggetti interessati nonché categorie e numero approssimativo di registrazioni di dati relativi alla violazione i riferimenti DPO o altro punto di contatto ove ottenere informazioni descrizione conseguenze probabili della violazione la descrizione misure adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla violazione incluso dove possibile di attenuare i possibili effetti negativi Ove e nella misura in cui non sia possibile fornire le informazioni nello stesso momento esse possono essere fornite in diverse fasi senza ulteriore ingiustificato ritardo Il Titolare documenta ogni violazione di dati personali incluse le circostanze, le conseguenze, le misure di rimedio prese. Tale documentazione deve essere resa disponibile all’Autorità di controllo per consentire la verifica del rispetto del Regolamento

31 Violazione dati personali nel Regolamento: comunicazione a Interessato
Capo IV Violazione dati personali nel Regolamento: comunicazione a Interessato In caso di violazione dei dati personali suscettibile di presentare un rischio elevato per diritti/libertà delle persone fisiche, il Titolare deve comunicare violazione all‘Interessato senza ingiustificato ritardo La comunicazione descrive con un linguaggio semplice e chiaro la natura della violazione di dati personali e contiene almeno i punti b), c) e d) della slide precedente La comunicazione non è richiesta se: Il Titolare aveva adottato opportune misure tecniche/organizzative di protezione e tali misure erano state applicate ai dati oggetto di violazione in particolare quelle destinate a rendere i dati incomprensibili (cifratura) a chiunque non sia autorizzato ad accedervi , o Il Titolare ha adottato successivamente misure atte a scongiurare il sopraggiungere di un rischio elevato per diritti/libertà degli interessati, o Implica un impegno sproporzionato (es. per l’alto numero dei soggetti interessati) e si procede per comunicazioni pubbliche o misure similari tali da assicurare una efficace comunicazione a detti soggetti Se il Titolare non ha effettuato la comunicazione all’interessato, l’Autorità di controllo, considerando la probabilità della violazione di comportare un alto rischio, può richiedere che vi provveda o può decidere che una delle condizioni sopra descritte sia soddisfatta

32 Registro del Responsabile/sub-Responsabile

33 Legittimo interesse & direct marketing

34 Capo V Trasferimenti di dati all’estero: principio generale e garanzie (art. 44/45/46/47) Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compreso il trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, è ammesso soltanto se il Titolare/Responsabile, fatte salve le altre disposizioni, rispettano le seguenti condizioni: Conformità alle decisioni di adeguatezza della Commissione UE Adozione di garanzie adeguate quali: strumento vincolante giuridicamente tra Autorità/Enti pubblici norme vincolanti d’impresa (art. 47), approvate dall’Autorità di controllo competente clausole tipo di protezione dei dati adottate dalla Commissione UE (art 93) clausole tipo di protezione dei dati adottate da Autorità di controllo e approvate dalla Commissione UE (art . 93) un codice di condotta approvato (art. 40) insieme a un impegno vincolante ed esecutivo da parte Titolare/Responsabile ad applicare opportune garanzie comprese quelle relative a diritti interessati un meccanismo di certificazione approvato (art. 42) insieme a un impegno vincolante ed esecutivo da parte Titolare/Responsabile ad applicare opportune garanzie comprese quelle relative a diritti interessati Salvo l’autorizzazione dell’Autorità di controllo competente possono costituire garanzie adeguate: Clausole contrattuali tra Titolare/Responsabile e Titolare/Responsabile/Destinatario in paese terzo; Disposizioni in accordi amministrativi tra autorità pubbliche con diritti effettivi/azionabili degli Interessati 34 34

35 Il software PIA del CNIL

36 Il modello di registro dei trattamenti del Garante (PMI)

37 I rischi per l’interessato
I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati. 37 37

38 Analisi dei rischi e misure di sicurezza
Sintesi adempimenti Nel GDPR il Titolare del trattamento, tenuto conto di stato dell’arte e costi attuazione nonché natura, oggetto, contesto, finalità e rischio per i diritti/libertà delle persone fisiche, mette in atto misure tecniche/organizzative adeguate (che comprendono se del caso: pseudonimizzazione(1), cifratura, garanzia di riservatezza/integrità/disponibilità/resilienza, rispristino tempestivo disponibilità/accesso dati, procedura per testare/verificare/valutare regolarmente efficacia misure tecniche/organizzative) per garantire un livello di sicurezza adeguato ai rischi (che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati). Secondo il Garante « … non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento … « Problematiche emerse & linea d’azione L’analisi del rischio è stata predisposta secondo le metodologie in uso nelle aziende Occorre verificare l’approccio prescelto per la predisposizione dell’analisi dei rischi tenendo conto degli standard utilizzabili. Di utilità appaiono gli standard ISO: ISO/IEC Privacy Impact Assessment ISO – Privacy Framework ISO Code of practice for Personally Identified Information protection ISO 27001/2 Information Security Management System ISO 31000:2009, Risk management — Principles and guidelines nonchè “Guidelines for SMEs on the security of personal data processing” di ENISA (2) (dicembre 2016). Inoltre a fronte della valutazione dei rischi, individuare le misure di sicurezza adeguate (quali la crittografia) anche in relazione alla probabilità di violazione (vedi punto successivo). Sono in corso cantieri con outsourcer. il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile ( )

39 Responsabile del trattamento: obblighi contrattuali (art.28) nel GDPR
Capo IV L’esecuzione dei trattamenti su commissione svolti da un Responsabile è disciplinato da contratto/accordo di diritto Ue/Stati membri contenente materia disciplinata, durata, natura, finalità del trattamento, tipo di dati e categorie di interessati e i diritti/obblighi del Titolare e che prevede che il Responsabile: tratti i dati solo su istruzione documentata del Titolare incluso il trasferimento verso Paesi terzi/organizzazioni internazionali, a meno che non sia previsto dalla legge; in tal caso il Responsabile deve informare il Titolare a meno che la legge lo proibisca (interesse pubblico) impieghi solo personale che si sia impegnato alla riservatezza (o ne abbia obbligo legale) prenda tutte le misure di sicurezza prescritte (art. 32) rispetti le condizioni per il ricorso ad altri Responsabili tenendo conto natura trattamento assista il Titolare, con idonee misure tecniche/organizzative, a dare seguito a richieste di esercizio diritti degli Interessati (capo III) assista il Titolare nel garantire il rispetto delle misure di sicurezza (art. da 32 a 36), tenendo conto natura trattamento e info a disposizione a scelta del Titolare, restituisca/cancelli i dati personali, previsti nel contratto, e cancelli le copie esistenti, al cessare della prestazione di servizio salvo obblighi di legge metta a disposizione le informazioni idonee a dimostrare il rispetto degli obblighi del Regolamento e collabori con gli audit , incluse le ispezioni, del Titolare, o di altro auditor inviato dal Titolare informi immediatamente il Titolare qualora a suo giudizio qualche istruzioni violi il Regolamento o altre disposizioni nazionali/UE

40 Quali consensi sono gestiti

41 Quali informative sono rese e in quale modo

42 Necessità PbD & DPIA Necessità PbD Necessità DPIA (almeno due)
Elenco delle tipologie di trattamenti (soggetti a meccanismo di coerenza) in obbligo DPIA

Scaricare ppt "Il progetto GDPR: dalla teoria alla pratica"

Presentazioni simili

La nuova Classificazione dei rifiuti Seminario DPT Politiche Ambientali 30 luglio 2015.

La nuova Classificazione dei rifiuti Seminario DPT Politiche Ambientali 30 luglio 2015.
Disposizioni Sanzionatorie Antiriciclaggio disposizioni 3 direttiva.

Disposizioni Sanzionatorie Antiriciclaggio disposizioni 3 direttiva.
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
LEGGE 68/2015: AMPLIAMENTO DEI CASI DI RESPONSABILITA’ DEGLI ENTI EX D.LGS. 231 DEL 2001 PER I REATI AMBIENTALI Ambiente, Sicurezza e Responsabilità.

LEGGE 68/2015: AMPLIAMENTO DEI CASI DI RESPONSABILITA’ DEGLI ENTI EX D.LGS. 231 DEL 2001 PER I REATI AMBIENTALI Ambiente, Sicurezza e Responsabilità.
Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.

Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.

Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
La Direttiva Bolkestein

La Direttiva Bolkestein
Il contratto di lavoro intermittente

Il contratto di lavoro intermittente
Sciopero nei servizi pubblici essenziali

Sciopero nei servizi pubblici essenziali
Il Data Breach, adempimenti per le aziende Centro Ingressi Frentani

"Il Data Breach, adempimenti per le aziende Centro Ingressi Frentani
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D

SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
RISARCIMENTO e DATA PROTECTION:

RISARCIMENTO e DATA PROTECTION:
Assemblea dei Presidenti

Assemblea dei Presidenti
Assemblea dei Presidenti

Assemblea dei Presidenti
Il Regolamento Europeo n. 679/2016: evoluzione

Il Regolamento Europeo n. 679/2016: evoluzione
aggiornato alla L. n. 49 del 20 aprile 2017

aggiornato alla L. n. 49 del 20 aprile 2017
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi

LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)

CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
Silenzio assenso fra P.A. Servizi tecnici

Silenzio assenso fra P.A. Servizi tecnici
Riordino della legislazione sulla trasparenza

Riordino della legislazione sulla trasparenza

Presentazioni simili

Annunci Google