Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoCesare Davide Riccio Modificato 5 anni fa
1
Il nuovo Regolamento europeo e la Trasparenza totale
Privacy - Il GDPR Il nuovo Regolamento europeo e la Trasparenza totale Catanzaro, 18 luglio 2018 Sergio Talamo Docente in comunicazione pubblica e trasparenza Direttore Comunicazione Editoria Trasparenza Relazioni Esterne e Resp. Privacy FORMEZ PA Giornalista professionista - Collaboratore Sole 24 Ore (Quotidiano enti locali e PA e PA24)
2
Fra Codice e GDPR in attesa dei decreti...
C’era il rischio di arrivare al maggio 2018 senza armonizzare Codice Privacy e GDPR ... e si è verificato Attuare il GDPR ma tenendo d’occhio le indicazioni del Garante I punti-chiave della Relazione del 10 luglio 2018
4
Il Codice Privacy Decreto 196 del 30-6-2003
- dopo direttiva 95/46 e legge 675/96 Il Codice Privacy Garantisce che il Trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
5
Definizioni: i dati personali comuni
ogni informazione, relativa a persona fisica o giuridica, che ne consenta, direttamente o indirettamente, l’identificazione. Es: il nome, il cognome l’indirizzo il numero di telefono il codice fiscale, la partita IVA
6
Definizioni: i dati sensibili
le informazioni che riguardano: l’origine razziale ed etnica le convinzioni religiose/filosofiche le opinioni politiche, l’adesione a partiti, sindacati, associazioni lo stato di salute la vita sessuale
7
Definizioni: i dati giudiziari
idonei a rivelare: i provvedimenti iscrivibili nel casellario giudiziale, ad esempio: provvedimenti giudiziari penali di condanna definitivi provvedimenti giudiziari che riguardano le misure alternative alla detenzione o alla liberazione condizionale provvedimenti di espulsione o di ricorso verso questi, come prescritto nel D.P.R. 313/2002 “Testo Unico delle disposizioni … in materia di casellario giudiziale ... e dei relativi carichi pendenti; la qualità di imputato o di indagato in un procedimento penale, come previsto dagli artt. 60 e 61 del codice di procedura penale.
8
Formazione obbligatoria
Necessario programmare interventi formativi per gli incaricati del trattamento, per renderli edotti: sui rischi che incombono sui dati sulle misure disponibili per prevenire eventi dannosi sui profili della disciplina più rilevanti rispetto alle attività svolte sulle responsabilità che ne derivano
9
Dal 25 maggio 2018: GDPR Regolamento 679/ General Data Protection Regulation pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016, entrato in vigore il 25 maggio 2016, efficacia il 25 maggio 2018 99 articoli e 173 «considerando» obiettivi: restituire ai cittadini il controllo dei propri dati personali e rendere omogenea la normativa privacy dentro l'UE a differenza di una direttiva, GDPR non richiede alcuna forma di legislazione applicativa da parte degli Stati membri dal 25 maggio 2018 il GDPR andrà a sostituire la direttiva sulla protezione dei dati 95/46 del 1995 e abrogherà norme Codice Privacy incompatibili si attende normativa italiana "di raccordo" Codice-Regolamento il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali")
10
Dal 25 maggio 2018: GDPR - 1 Principi-base
Regolare la tutela dei dati rispetto all’evoluzione tecnologica Responsabilità – Flessibilità: spetta al Titolare del trattamento assicurare il rispetto delle misure protettive ed essere in grado di comprovarlo Non certo semplificazione ma maggiore impegno nel modellare misure in base a maggiore o minore rischiosità del trattamento ---- DPO
11
Novità sui Provider il GDPR non si applica ai trattamenti “effettuati da una persona fisica per l’esercizio di attività esclusivamente privata” (art. 2, paragrafo 2, lettera c) Ma v. il Considerando n. 18: esso “si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”, in cui sono espressamente comprese “la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”. QUINDI: chi fornisce i mezzi per trattare i dati personali, come ad esempio un internet service provider (ISP), deve rispettare il GDPR
12
Definizioni. I dati personali
qualunque informazione relativa a un individuo, collegata alla sua vita sia privata sia professionale: nomi, foto, indirizzi , dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer ... «Uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» Art. 22 «L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona».
13
Definizioni. La profilazione
Articolo 4 punto 4 qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica
14
Definizioni: l’articolo 4 e la salute
13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; 14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; 15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute
15
Definizioni. Il trattamento
qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione
16
Altre definizioni rilevanti - a
5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; 6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; 7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; 8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
17
Altre definizioni rilevanti - b
9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati .... conformemente al diritto dell'Unione ... non sono considerate destinatari 10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile; 11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
18
Come si tratta il dato personale? - 1
Art 5 trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza» – art. 6 condizioni della liceità) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); esatti e, se necessario, aggiornati
19
Come si tratta il dato personale - 2
conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; ... periodi più lunghi solo a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici ma con misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»); trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
20
Il consenso Il consenso deve essere: libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto. Per i dati “sensibili” (art. 9) e per trattamenti automatizzati (art.22) il consenso deve essere «esplicito» Il consenso non deve essere necessariamente “documentato per iscritto” anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” ; inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, necessario raccogliere nuovamente il consenso degli interessati
21
Due criteri di «Privacy trasparente»
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione») «Informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro»
22
Accountability come regola-base
Rafforzamento diritti individuali Confermato metodo: analisi del rischio ex ante e in concreto Responsabilizzazione delle imprese: per le PA forte cambio di passo (es. «informative», che diventano «informazioni») Sanzioni che possono raggiungere il 4% del volume globale di affari Inversione onere della prova: per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre provare di aver fatto tutto il possibile per evitarlo
23
Nomina DPO (Data Protection Officer) o RPD - 1
Artt 37-39 Oltre Titolare trattamento e Responsabile trattamento, il Responsabile della protezione dati Nomina obbligatoria per le PA: interno o esterno Deve assistere colui che controlla o gestisce i dati al fine di verificare l'osservanza interna al regolamento: «informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento» Tipologia simile a Odv (organismo di vigilanza) della legge n. 231/2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzione: -----autonomia, indipendenza e assenza di conflitti di interesse I suoi dati di contatto vanno comunicati ad autorità di controllo
24
Nomina DPO (Data Protection Officer) - 2
«Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti... «Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento» Da soft law (linee-guida) Garante Privacy e Garanti europei: DPO figura centrale che a) possiede forte competenza in privacy PA, b) non ha conflitti di interesse (es. resp ICT o Sistemi informativi), c) può essere «in comune» per pa di piccole dimensioni, d) dovrà dotarsi di un suo team perché da un lato «collabora con» - va coinvolto da titolare e responsabile trattamento in ogni questione rilevante! - ma dall’altro «è indipendente da» chi lo ha assunto NB - Se si ricorre all’esterno, l’Avviso per selezione DPO e il relativo contratto vanno redatti con molta attenzione
25
DPO in strutture sanitarie – 3
Da Linee guida Garante: «Gli esperti individuati dalle aziende ospedaliere ... in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti»
26
I Codici di condotta Artt 40-41
«allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a...» il trattamento corretto e trasparente dei dati i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici; la raccolta dei dati personali; la pseudonimizzazione dei dati personali; l'informazione fornita al pubblico e agli interessati; l'esercizio dei diritti degli interessati; ..... (anche qui analogie con il Regolamento FOIA)
27
Valutazione impatto Privacy (Privacy impact assessment) - 1
Artt 35-36 Riguarda i comportamenti più rischiosi in rapporto all’impatto sugli interessati (diritti e libertà), «allorché un tipo di trattamento prevede in particolare l'uso di nuove tecnologie» Previo parere DPO Si traduce in una relazione che contiene la descrizione del tipo di trattamenti e delle relative finalità Necessità e proporzionalità dei trattamenti Valutazione rischi per libertà interessati Misure tecniche e organizzative NB – PIA richiesto insieme ad approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto su protezione dati
28
Valutazione impatto Privacy (Privacy impact assessment) - 2
Es di casi in cui interviene la PIA: «una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione» «Nonostante il paragrafo 1 (semplice consultazione autorità di controllo, ndr), il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica»
30
Privacy by design by default nel Codice Privacy 2003
Art 3 - Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.
31
Privacy by design by default in GDPR
Articolo 25 La PA deve garantire (ogni titolare trattamento) tutte le misure organizzative atte a mettere in sicurezza i dati sin dal momento della progettazione del servizio o del processo (es pseudonimizzazione o minimizzazione) in modo da prevenire, anziché correggere una possibile violazione. Privacy by default: le imprese dovranno trattare i dati personali nella misura necessaria e sufficiente per le finalità perseguite e per il periodo strettamente necessario a tali finalità. Monitoraggio dei trattamenti effettuati + procedura interna che preveda e disciplini le modalità di acquisizione, trattamento, accessi, protezione, misure di sicurezza e modalità di diffusione.
32
Privacy by design by default in GDPR – 2
«Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica» Privacy by design per nuovi apparati, nuovi servizi web o prodotti tecnologici. Nella progettazione delle banche dati rendere minimo il dato personale utilizzato concentrandolo in chiaro in componenti limitate e protette applicando nel resto del progetto la pseudonimizzazione.
33
Privacy by design by default in GDPR - 3
Rapporti con soggetti esterni contratti di servizio: inserimento delle misure di sicurezza ad esempio nei software e nelle soluzioni informatiche rivedere contratti in essere: fornitore si sta adeguando a GDPR?
34
Il Registro dei Trattamenti
Articolo 30 RT prerequisito valido per dimostrare congruità trattamento. Fra le informazioni contenute nel RT: 1) nome e dati titolare trattamento e DPO 2) finalità del trattamento 3) descrizione categorie di interessati e categorie di dati personali 4) ove possibile, termini ultimi previsti per la cancellazione delle diverse categorie di dati v. analogie con Registro degli Accessi FOIA
35
Come si esercitano i diritti dell’interessato?
Artt. 11 e 12 Il termine per la risposta all’interessato è di 1 mese, estendibile fino a 3 mesi in casi di particolare complessità (v. analogie con accesso civico). L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, salvo il caso di richieste infondate, eccessive o ripetitive per cui può essere previsto un contributo economico. Nell’ambito del trattamento dei propri dati personali gli Interessati hanno i seguenti diritti: Diritto di accesso; Diritto alla rettifica; Diritto all’oblio (cancellazione); Diritto alla limitazione del trattamento; Diritto alla portabilità dei dati; Diritto di opposizione.
36
Accesso, rettifica, opposizione
Diritto di accesso (art. 15): il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. Diritto di rettifica (art. 16): diritto di ottenere la rettifica e l’integrazione dei propri dati personali. Diritto di opposizione (art. 21): diritto di opporsi al trattamento per motivi derivanti dalla situazione particolare dell’interessato. Diritto di opporsi, in qualsiasi momento, al trattamento effettuato per finalità di telemarketing, compresa la profilazione.
37
Il diritto all’oblio Art 17 (che rimanda al 21)
L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali... se sussiste uno dei motivi seguenti: 1) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati b) l'interessato revoca il consenso e se non sussiste altro fondamento giuridico per il trattamento c) l'interessato si oppone al trattamento ai sensi dell'articolo 21 (per motivi connessi alla sua situazione particolare ... salvo che il titolare dimostri l’esistenza di motivi legittimi cogenti) d) i dati personali sono stati trattati illecitamente ...
38
Diritto di limitazione del trattamento
Diritto di limitazione del trattamento (art. 18): si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare).
39
Diritto alla portabilità dei dati
Diritto alla portabilità dei dati (art. 20): diritto di nuova introduzione che consente all’interessato di ricevere dal Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e ha il diritto e di trasferirli ad altro Titolare, a condizione che: il trattamento si basi sul consenso o su un contratto; il trattamento sia eseguito con mezzi automatizzati (no cartaceo); il trattamento abbia ad oggetto dati “forniti” dall’Interessato. Il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile. Poiché la trasmissione dei dati da un titolare all’altro prevede che si utilizzino formati interoperabili, i titolari che ricadono nel campo di applicazione di questo diritto dovrebbero adottare sin da ora le misure necessarie a produrre i dati richiesti in un formato interoperabile
40
I cambiamenti organizzativi
Oggi si legge ancora ... Ai sensi della legge 675/1996! Atti organizzativi valore giuridico alle procedure: Oltre il generico Privacy Officer del passato Formazione per tutti i soggetti incaricati delle operazioni Obbligo di denunciare al Garante Privacy le violazioni entro le 72 ore – Data breach notification Revisione delle Informative e dei consensi --- no al burocratese!
41
Scheda Informativa Garante alle pa
maggio 2017 Cardine del Regolamento è principio di responsabilizzazione (cd. Accountability - art. 5) Nuovi adempimenti e un'intensa attività di adeguamento, preliminare al 25 maggio 2018, per rendere conformi i trattamenti già in corso al nuovo quadro Avviare, con assoluta priorità 3 cose -----
42
1. Designazione del DPO (RPD)
Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di "responsabilizzazione". Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l'esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate)
43
2. Registro attività di Trattamento
Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche – «mappa dei trattamenti» (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro. NB - La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171)
44
3. Notifica violazioni dati personali
Fondamentale appare anche, nell'attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni
45
Privacy non solo norma ma habitus
Come trasparenza totale, valutazione performance, comunicazione, interazione con gli utenti e citizen satisfaction legata agli standard di servizio ... ... non set di regole ma nuovo modo di essere «pubblico» e parlare al «pubblico»
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.