Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

Transcript

1 Adempimenti Privacy/Data Protection Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

2 Cosa cambia: Dal dlg.196/03 al GDPR La disciplina della privacy è stata regolamentata sinora dal dlg. 196/03 e s.m.i. gestita dal Garante della Privacy. Gli adempimenti da effettuare erano quelli di una corretta gestione all interno della propria organizzazione per quanto riguarda gli aspetti relativi ai dati personali: identificativi, sensibili e giudiziari. La disciplina della privacy è stata regolamentata sinora dal dlg. 196/03 e s.m.i. gestita dal Garante della Privacy. La nuova normativa prevedere sensibili modifiche alla situazione attuale. Pertanto, a seguito della pubblicazione in Gazzetta Ufficiale, è necessario definire un piano di adeguamento interno per soddisfare i requisiti derivanti dall evoluzione normativa.

3 Il Nuovo Regolamento Generale Europeo sulla protezione dei Dati personali Il Nuovo Regolamento Generale Europeo sulla protezione dei dati Personali (General Data Protection Regulation GDPR) è stato pubblicato nella Gazzetta Ufficiale dell Unione Europea il 4 maggio Entrato in vigore il 24 maggio Sarà applicato a partire dal 25 maggio 2018! Per le aziende è fondamentale avviare prontamente il processo di revisione e adeguamento alle nuove misure necessarie, al fine di operare in conformità al Regolamento e porsi così al riparo dal pesante regime sanzionatorio previsto in caso di violazioni.

4 Il Nuovo Regolamento Generale Europeo sulla protezione dei Dati personali Il nuovo Regolamento affronta temi innovativi come: L obbligo della designazione di un Responsabile per la protezione dei dati personali (DPO - Data Protection Officer): sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all interno di un azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative. Valutazione d'impatto sulla protezione dei dati [PIA _Privacy Impact Assessment] valutazione di impatto e dei rischi prima di iniziare trattamenti delicati (es. profilazione) e definizione delle misure di mitigazione dei rischi e Comunicazione al Garante in caso di rischi elevati. Misure per assicurare i nuovi diritti delle persone in merito al trattamento dei loro dati (diritto all oblio, Portability, limiti sul Profiling, ricorso al cosiddetto one-stop shop per far valere i diritti in caso di problemi con i trattamenti effettuati da aziende internazionali, etc.) Privacy by design e by default Adozione di misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati fin dalla fase di progettazione del trattamento. Adozione di misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

5 Ambito di applicabilità del GDPR Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi da parte di aziende/imprese pubbliche e private. Nonché da tutti i soggetti (titolari o responsabili) stabiliti fuori dall Unione Europea nel caso in cui il trattamento riguardi l offerta di beni o servizi nell Unione Europea, indipendentemente dalla obbligatorietà del pagamento, o il monitoraggio di comportamenti che hanno luogo nell Unione.

6 Quadro Sanzionatorio Sanzioni fino ad un massimo di 10 milioni di euro [in caso di imprese fino al 2% del fatturato se superiore a 10 milioni di euro] per violazioni come: La mancanza di un Privacy Impact Assessment Inserimento di un Data Protection Officer (DPO) Sanzioni fino ad un massimo di 20 milioni di euro [in caso di imprese fino al 4%del fatturato se superiore a 20 milioni di euro] per violazioni come: La mancanza di regole per raccolta e documentazione del Consenso Mancata notificazione di un Data Breach all autorità di controllo.

7 Ecobyte Ecobyte ha maturato significative competenze in ambito Privacy/Data Protection e dispone di personale certificato DPO. Fornisce servizi di consulenza con l obbiettivo di supportare le imprese e le pubbliche amministrazioni nelle fasi di impostazione e realizzazione audit in ambito Privacy e Data Protection. Ecobyte ha realizzato progetti di privacy conformi al d.lgs 196/03 fornendo servizi di: consulenza, formazione e audit. GDPR VALUE PROPOSITION Affiancare le Organizzazioni per essere aderenti alla nuova normativa GDPR RISORSE Consulenti certificati DPO con conoscenza ed esperienza approfondita degli aspetti organizzativi, gestionali e legali connessi alla tematica Privacy/Data Protection PROGETTI Progetti di PIA (Privacy Impact Assessment) Procedure interne (es. Data Breach, ) Gestione DPO (Data Privacy Officer) Gestione end to end Progetti GDPR

8 Il Percorso per l implementazione di un Manuale Data Protection DESIGN EXECUTION IMPLEMENTATION Assessment iniziale Piano di Progetto Costituzione Gruppi di Lavoro Processi Impact Analysis Definizione procedure Incident, Data Breach, Privacy By Design Adeguamento organizzativo Norme DPO Formazione Definizione controlli Attivazione procedure Privacy Redazione Manuale Data Protection Verifiche interne Definizione azioni correttive e chiusura

9 GRAZIE PER L ATTENZIONE Ecobyte Technology S.r.l.