GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

Transcript

1 presenta GDPR Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy? Pierfrancesco Maistrello - CISA/Lead Auditor ISO/IEC 27001/ITIL Foundation, Consulente della Privacy TÜV Italia n CDP_023

2 Mancano poco più di sei mesi alla nuova privacy ed è già iniziata la battaglia degli acronimi GDPR/RGPD DPO/RPD PbD&D DPIA/PIA E non finisce qui

3 «L informazione non è conoscenza»

4 Avevate mai visto prima di oggi la pubblicità di un browser che rispetta la vostra privacy?

5 1. Come cambia il contesto da Legge nazionale a Regolamento Europeo (GDPR) 2. Qual è l impatto sui principi generali e le regole per il trattamento dei dati Di cosa parleremo oggi 3. Registro delle Attività di trattamento Come funziona la tenuta? 4. Misure di sicurezza Come cambiano e come valutare le più adeguate alla propria attività 5. DPIA, DPO, PbD&D Conosci gli acronimi per non subirli 6. Pianificare per tempo gli adeguamenti richiesti per evitare affanni (e sanzioni)

6 Come cambia il contesto Percezione della vecchia privacy Troppo difficile e complessa («non si capisce bene cosa bisogna fare» opp. «non riguarda noi») + Limitante nei confronti del business («non si può! C è la privacy») + Poco rischiosa («non è così pericolosa a livello penale» «le sanzioni non sono elevate») = «la privacy» è stata relegata ai margini del perimetro dei processi aziendali (quando non al di fuori).

7 Come cambia il contesto Elementi del vecchio contesto Direttiva UE del 1995 Legge Nazionale Autorità di controllo nazionale Pochi processi, in ambito nazionale Rischio sanzionatorio reale: Sanzioni Amministrative previste nel codice privacy e regolate dalla L.689/81

8 Come cambia il contesto Perché serve una nuova privacy? NUOVA PRIVACY VECCHIA PRIVACY

9 Come cambia il contesto Elementi del nuovo contesto Regolamento UE + Leggi per deroghe nazionali = il da farsi Resterà la 196/03, armonizzata Board dei Garanti + Autorità di controllo nazionale = punti di riferimento (checklist, strumenti, pareri e nuovo «metro» per le sanzioni) Il Garante cambia modalità operativa

10 principi e regole per il trattamento dei dati Elementi principali Uno degli effetti è l aumento delle fonti informative. Passando da 1 a 28 «sportelli» informativi il tasso informativo medio dovrebbe migliorare

11 principi e regole per il trattamento dei dati Principali differenze Cessano: - Notificazione telematica del trattamento - Nomina responsabile interno Cambiano: - Misure minime di sicurezza Entrano: - DPIA, - DPO, - Data Breach Notification Cambiano: - Titolarità/Responsabilità - Registro dei trattamenti - Analisi dei rischi (e PbD&D) - Informative e consensi (POCO!)

12 principi e regole per il trattamento dei dati Diritti dell interessato rafforzati Accesso Portabilità Limitazione

13 principi e regole per il trattamento dei dati Come funziona la scadenza? 1 25 maggio 2018 Piena applicazione del Regolamento UE 679/2016 revisione della 196/03 (per armonizzare gli elementi di tipicità nazionale es. stabilire sanzioni penali) + Rischio sanzionatorio? Probabilmente avremo qualche certezza in più di adesso

14 principi e regole per il trattamento dei dati Come funziona la scadenza? 2 25 maggio 2018 Piena applicazione del Regolamento UE 679/ /03 non armonizzata, cioè uguale ad oggi + Rischio sanzionatorio?

15 Registro delle Attività di trattamento Ruolo centrale nella nuova privacy - Informativa (+consenso) - Nomine - DPIA - DPO - Data Breach Notification + Rispondere alle richieste Adempimenti specifici Che Titolare sei? Misure di sicurezza adeguate Che Dati hai? Registro dei trattamenti Privacy by Design Privacy by Default

16 Registro delle Attività di trattamento Cosa deve contenere (art.30 GDPR) a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un organizzazione internazionale, compresa l identificazione del paese terzo o dell organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell articolo 49, la documentazione delle garanzie adeguate; f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all articolo 32, paragrafo 1.

17 Misure di sicurezza come sono cambiate Le misure previste dalla normativa sono esattamente le stesse: «appropriate technical and organizational measures» Quello che cambia è il modo di applicarle: - Accountability (tradotto male con «responsabilizzazione») del titolare - Risk: i trattamenti, una volta mappati, vanno analizzati in relazione ai rischi cui possono essere soggetti. Le misure quindi vanno individuate in relazione ai rischi cui sono soggetti i dati (es.

18 Misure di sicurezza cosa dice la norma 1. Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

19 Misure di sicurezza quali competenze/strumenti? Classificare il dato personale Inventario degli strumenti utilizzati Valutare la rischiosità del dato Individuare misure di sicurezza adeguate Documentare le misure adottate (sostanza, non forma) Poter contare su specialisti, quando necessario

20 Misure di sicurezza Errori da non commettere 1. Delegare il problema a qualcuno, chiunque sia 2. Pensare che tanto, se succede, ingaggiamo un legale e ci penserà lui. Traduco con un esempio: la 231/01 prevede un modello riparatore. Il GDPR no.

21 DPIA, DPO, PbD&D Basta conoscerne uno per comprenderli tutti

22 Pianificare gli adeguamenti Da dove si comincia? Mappatura dei trattamenti! - Necessaria per definire le misure di sicurezza - Necessaria per individuare adempimenti obbligatori - Necessaria per revisionare i testi delle informative -. - Necessaria per poter dire: «tenuto conto dei seguenti trattamenti dichiaro che non.»

23 Pianificare gli adeguamenti Es. 1 - rapporti con i fornitori - old Azienda = Titolare Responsabile/i (?!) Fornitore = Responsabile Esterno Dipendenti/collaboratori = Incaricati Base Dati Fornitore = Titolare Autonomo - Nomina scritta con istruzioni - Clausole contrattuali - Sottoscrizione di contratti tipo del fornitore Fornitore =?

24 Pianificare gli adeguamenti Es. 1 - rapporti con i fornitori - NEW Azienda = Titolare Responsabile/i (?!) Dipendenti/collaboratori = Incaricati Atto giuridico Fornitore = Responsabile Esterno Base Dati - Nomina scritta con istruzioni - Clausole contrattuali specifiche - Sottoscrizione di contratti tipo del fornitore Fornitore = Contitolare

25 Pianificare gli adeguamenti Es. 2 - Data Breach Notification Azienda = Titolare Responsabile (da prevedere con opportune clausole) Base Dati Perdita di: Riservatezza Integrità Disponibilità 1. Tenere un registro interno di tutte le violazioni accertate 2. Notificare al Garante solo quelle che possono comportare un «rischio elevato per i diritti e le libertà delle persone fisiche»

26 sanzioni Sanzione Normale Attenuata Aggravata Quadruplo Minimo Massimo Minimo Massimo Minimo Massimo Art Art.162 Comma Comma c. 2-bis c. 2-ter c. 2-quater Art.162-bis Art Art Art.164 comma

27 Grazie! Seguici su via A. Dominutti, 2 - Verona tel