Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Transcript

1 Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI Webinar 21 Febbraio 2018

2 Che cos è il GDPR? GDPR è l acronimo di General Data Protection Regulation E entrato in vigore il 25/05/2016 con un applicazione differita di due anni al 25/05/2018 Perché era necessaria una nuova normativa? l evoluzione tecnologia ha cambiato tutto un fronte comune europeo sia interno che esterno oggi i dati sono sicuramente FONTE di nuovi Business : sono il Nuovo petrolio e..come il petrolio grezzo, i dati per avere un vero valore devono essere raffinati! Quali sono i punti principali? Possiamo parlare di normativa 2.0 è cambiato l approccio fino ad oggi al centro della normativa Privacy è stata posta la persona, con la nuova normativa Il dato acquista un valore in se e viene tutelato per ciò che è Il Nuovo Regolamento trasforma la protezione dei dati personali da puro strumento giuridico in tema strategico per la nuova economia dei dati. 1

3 Che cosa comporta il GDPR per le Aziende? Tutti trattano dati personali, (clienti, fornitori, dipendenti, prospect) Finora la Privacy è stata trattata come un adempimento Con il GDPR cambia tutto: la privacy diventa un processo aziendale I dati sono il petrolio dell era digitale perché oggi servono a: 1. Creare prodotti innovativi (capendo I bisogni) 2. Formulare offerte mirate ai consumatori, convertendo sconosciuti in clienti fidelizzati (marketing) 3. Garantire sicurezza e migliorare l efficienza aziendale (internet delle cose) 4. Controllare, profilare e analizzare (comportamentale) 2

4 È solo un problema di approccio il Nuovo GDPR? oppure ci sono dei cambiamenti reali e concreti? di fatto cambia tutto 1. cambia l informativa che diventa breve, priva di riferimenti normativi, deve essere comprensibile anche ai minori e contenere nuovi elementi, come l origine dei dati e il tempo di conservazione previsto. 2. cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati. 3. viene introdotta la figura del Data Privacy Officer (il responsabile per la protezione dei dati personali) 4. sparisce l obbligo di notificazione al Garante e si introduce il Registro dei Trattamenti 5. sparisce il DPS e nasce il Documento di valutazione di impatto del trattamento dei dati. 6. vengono introdotti nuovi diritti, come quello alla portabilità dei dati, 7. diventa essenziale progettare la tutela dei dati personali e documentare l attenzione verso l analisi dei rischi connessi al trattamento dei dati personali. 3

5 Un nuovo modello organizzativo Con il nuovo regolamento, il titolare ha un ruolo più proattivo e soprattutto obblighi più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche all adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la conformità effettiva dei trattamenti, anche sotto il profilo della sicurezza. La vecchia normativa (DLgs 196/2003) si basava sui diritti dell interessato, La nuova normativa è incentrata sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento. La vecchia normative (DLgs 196/2003) indicava ai titolari del trattamento un elenco di misure minime di sicurezza da adottare, senza le quali erano previste sanzioni. La nuova normativa sposta la scelta e la responsabilità su quali misure tecniche ed organizzative sia opportune adottare, direttamente sul titolare del trattamento insomma.. chi tratta dati DEVE predisporre dei processi di valutazione di impatto del trattamento dei dati personali 4

6 Come cambia l informativa L informativa diventa finalmente uno strumento di informazione, cessando di essere un adempimento. Il titolare deve fornire all interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice, chiaro e senza riferimenti normativi Come raccogliere il consenso al trattamento Fino ad oggi il consenso era FORMALE ( consenso espresso) adesso diventa NON EQUIVOCO Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è quello reso quando, visualizzando un banner che ci informa che il sito che stiamo visitando utilizza cookies, continuiamo a navigare.. di fatto accettando l uso dei cookies. 5

7 Un esempio di check list per verificare la completezza di una informativa. L identità e i dati di contatto del titolare del trattamento (o del suo rappresentante) I dati di contatto del responsabile della protezione dei dati, (DPO se previsto) Le finalità del trattamento cui sono destinati i dati personali Se il trattamento è necessario per il perseguimento del legittimo interesse (P.A.) del titolare o di terzi, Gli eventuali destinatari/ categorie di destinatari dei dati personali Eventuale - trasferimento dei dati personali a un paese terzo o ad altra organizzazione - profilazione - diffusione SI NO Il periodo di conservazione dei dati personali L esistenza del diritto dell interessato di chiedere al titolare del trattamento l accesso ai dati personali / la rettifica /la cancellazione /la limitazione / di opporsi /diritto alla portabilità dei dati L esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l interessato ha l obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati 6

8 L analisi del rischio: cos è e come si crea Per anni siamo stati abituati a gestire un adempimento formale denominato Documento Programmatico sulla Sicurezza (DPS), Il nuovo regolamento europeo propone un nuovo strumento: il Data Protection Impact Assessment (DPIA) ovvero il Documento di Valutazione di Impatto del Trattamento dei Dati (rif. Slide 5) Questo processo prevede tre distinte fasi da svolgersi periodicamente con cadenza almeno annuale: 1. Analisi dei rischi 2. Definizione della lista delle criticità 3. Definizione del programma di intervento Come cambiano i rapporti con il Garante Fino ad a oggi, chi effettuava alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione ) era tenuto a effettuare un adempimento preventivo: la notificazione al Garante per la protezione dei dati personali. Con il GDPR dal 2018 cambia tutto: viene abolito l obbligo di Notificazione di specifici trattamenti all Autorità 7

9 Il Data Privacy Officer (DPO) Privacy by design e Privacy by default Violazione dei dati : quando avviene e cosa fare Portabilità, oblio 8

10 Cosa fare per arrivare pronti al GDPR Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal GDPR sono: Obbligo di definire i tempi di conservazione dei dati Obbligo di indicare la provenienza dei dati in caso di utilizzo Obbligo di predisporre il Documento di Valutazione di Impatto del Trattamento dei Dati Obbligo di gestire la responsabilizzazione (accountability) (prevalentemente mediante il Data Privacy Officer) Obbligo di comunicare tempestivamente al Garante violazioni dei propri database 9

11 Cosa deve fare l Azienda, in pratica, per adeguarsi alle novità? 1. Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati. 2. Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti 3. Attribuire correttamente i ruoli 4. Tenere un registro delle attività di trattamento svolte.. 5. Adottare misure appropriate per fornire l informativa all interessato: Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole Definire le nuove regole di acquisizione e documentazione del consenso Verificare se si trattano dati di minori in grado di dimostrare che l interessato ha concesso il proprio benestare. 10

12 Cosa deve fare l Azienda, in pratica, per adeguarsi alle novità? 7. Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento. 8. Garantire la conformità al Regolamento. 9. Per essere esonerata dalla responsabilità, essere in grado di dimostrare che l evento dannoso non gli è in alcun modo imputabile. Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale. 11

13 Ulteriori PASSI DA INTRAPRENDERE In funzione della tipologia di dati che vengono trattati ed anche in funzione della tipologia di azienda si potrebbero/dovrebbero tenere in considerazione anche i seguenti punti : 1. Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare. 2. Valutare l opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti. 3. In caso di violazione, notificarla all autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta) documentando il tutto 4. Designare sistematicamente un Data Protection Officer (DPO) quando necessario. 5. Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei database aziendali. 12

14 ANALISI Obiettivo: Quali dati personali possiede l Azienda Come sono trattati Output: Lista di processi Aziendali che trattano dati personali 13

15 Registro dei trattamenti in cosa consiste? Consiste nel mappare/fotografare lo stato della gestione in azienda dei dati personali. Informazioni da raccogliere: Categorie di dati e di soggetti interessati coinvolti Finalità del trattamento Inquadramento giuridico Rapporti con terze parti Flussi esteri di dati (eventuali) Gestione informativa e consenso Gestione diritti interessati Tempi di conservazione Misure di sicurezza 14

16 Primi Passi Prima occorre identificare i principali «uffici» coinvolti nel trattamento dei dati personali (possibilmente partendo da un organigramma della società) Per ogni «ufficio» individuare le principali attività che trattano dati personali Per ogni attività definire: Finalità, categorie di dati e soggetti interessati coinvolti Flussi esteri di dati e rapporti con terze parti 15

17 Un esempio pratico Categorie di soggetti interessati: dipendenti Categorie di dati: dati anagrafici, dati economici, dati sanitari, ecc. Finalità del trattamento: gestione rapporto di lavoro Inquadramento giuridico: obbligo contrattuale Ruoli data protection azienda: titolare Rapporti con terze parti: agenzia di collocamento (responsabile del trattamento), compagnia di assicurazione (resp. tratt.), ecc. Flussi esteri di dati: Ufficio risorse umane casa madre estera Gestione informativa e consenso: informativa nel contratto Gestione diritti interessati: policy aziendale e di contatto Tempi di conservazione: come per legge Misure di sicurezza: tecniche, organizzative, certificati 16

18 G R A Z I E per la Vostra partecipazione Buon Lavoro NetOrange S.r.l. Servizi IT Web Marketing - Privacy Webinar 28 Ottobre 2018