Come adeguarsi al Regolamento Europeo 2016/679. Bologna, 9 Novembre 2017 Avv. Melissa Marchese

Transcript

1 Come adeguarsi al Regolamento Europeo 2016/679 Bologna, 9 Novembre 2017 Avv. Melissa Marchese

2 Familiarizzare con il Regolamento 1 Regolamento vs 28 leggi nazionali= maggiore uniformità applicativa (sarà vero??) + maggiore certezza Obblighi diretti per i Titolari ed i Responsabili del trattamento Nuovi concetti (pseudoanonimi zzazione) Più trasparenza e più responsabilizza zione (interna e tra i soggetti che collaborano al trattamento)

3 Ambiti di intervento prioritari 1/3 1. Assessment: as is analysis (identificazione dei trattamenti macro) 2. Privacy Governance: decisioni chiave su organizzazione privacy (nomine) 3. Presupposti giuridici dei trattamenti (es. Consenso, obblighi legali e legittimo interesse) 4. Registro dei trattamenti 5. Analisi dei rischi

4 Ambiti di intervento prioritari 2/3 6. Diritti dell interessato (accesso, accuratezza, portabilità, dirittoall oblio) 7. Focus su Data retention per i diversi trattamenti 8. Breach Notification Processes 9. Fornitori (identificazione Responsabili): revisione documentazione contrattuale e revisione di Linee Guida, Policy e Procedure di Audit

5 Ambiti di intervento prioritari 3/3 10. Privacy by Design: processo di produzione (policy su PbD) 11. PIA: identificazione a valle Dei trattamenti «a rischio» sui quali eseguire la PIA 12. Misure di sicurezza (es. pseudoanonimizzazione): verifica e adozione 13. Policies/ Group policies, istruzioni (a processors interni, persone autorizzate) 14. Formazione

6

7 Prossimi steps Assessment Verifica documentale Analisi dei processi esistenti («as is») Analisi dei progetti futuri Piano di Governance Individuazione soggetti interni Individuazione/nomina DPO

8 Governance: la nomina del DPO Data Protection Officer Obbligatorio Volontario? Interno Esterno? Uno o più DPO anche per più enti?

9 Principali Compiti del DPO Informare consigliare Fornire pareri sulla valutazione di impatto Verificare l applicazione del Regolamento, delle norme a impatto privacy e delle policies interne Cooperare con l autorità e essere punto di contatto con le autorità e gli interessati

10 Prossimi steps Piano Compliance Revisione documentale Redazione nuovi documenti Definizione Procedure Segnalazioni Data breach Diritti dell interessato Conservazione Legittimo interesse

11 Prossimi steps Definizione misure di sicurezza Pseudoanonimizz azione Criptazione sistema di autorizzazione / autenticazione Disaster recovery / business continuity Audit / penetration test Registro dei trattamenti Individuazione team Compilazione Regole di aggiornamento

12 Prossimi steps Privacy By design Individuazione aree Definizione criteri privacy Identificazione adempimenti Valutazione di impatto Individuazione aree specifiche Definizione Team + DPO Aggiornamento

13 Come adeguarsi al Regolamento

14 Sanzioni Sanzioni penali Sanzioni pecuniarie (efficaci, proporzionate e dissuasive) Fino a Euro 10 milioni o 2% fatturato se superiore Es. Violazione obblighi per consenso minori, misure di sicurezza Es. Violazione obblighi data breach Fino a Euro 20 milioni o 4% fatturato se superiore Es. Violazioni concernenti diritti degli interessati, il consenso Es. Violazioni di ordini dell autorità

15 Le nostre Sedi In Italia Roma Milano Bologna Padova Torino Via delle Quattro Fontane, Roma Tel Fax Piazza Belgioioso, Milano Tel Fax Via Massimo D'Azeglio, Bologna Tel Fax Piazza Eremitani, Padova Tel Fax C.so Vittorio Emanuele II, Torino Tel Fax e all estero Abu Dhabi Brussels Hong Kong London New York Penthouse 2102 CI Tower - 32nd St. P.O. Box Abu Dhabi Tel Fax , Avenue Molière B-1050 Brussels Tel Fax Unit 208-2nd Floor St. George s Building 2 Ice House Street Central - Hong Kong Tel Fax Tokenhouse Yard London EC2R 7AS Tel Fax Avenue of the Americas - 42nd Floor New York, NY Tel Fax

16 Grazie per l attenzione Il presente documento è stato elaborato da Gianni, Origoni, Grippo, Cappelli & Partners e reso disponibile a mero scopo informativo. Il presente documento è aggiornato alla data indicata sulla prima pagina. Le informazioni contenute nel presente documento, di cui non si garantisce la completezza, non costituiscono né un parere legale, né un esame esaustivo della materia, né possono sostituirsi a un parere rilasciato su specifiche questioni concrete. Gianni, Origoni, Grippo, Cappelli & Partners non può essere ritenuto responsabile per eventuali danni, diretti o indiretti, derivanti dall utilizzo improprio del presente documento o del suo contenuto o comunque connessi al suo utilizzo. Il presente documento non può essere riprodotto, distribuito o pubblicato in tutto o in parte, per qualsiasi scopo, senza l espressa autorizzazione da parte di Gianni, Origoni, Grippo, Cappelli & Partners. Per qualsiasi ulteriore chiarimento si prega di contattare Gianni, Origoni, Grippo, Cappelli & Partners.