DATA PROTECTION IMPACT ASSESSMENT. Tra obbligo e opportunità

Documenti analoghi
Cos è il GDPR? General Data Protection Regulation

regolamento UE 679/16

OBBLIGHI E SANZIONI DEL GDPR: COSA FARE ENTRO IL 25 MAGGIO 2018 E DOPO

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

Il registro dei trattamenti e la DPIA (Data Protection Impact

Delibera del Garante Privacy e DPIA

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

Regolamento UE 2016/679 in materia di protezione dei dati personali

Checklist di base per prepararsi al regolamento generale sulla protezione dei dati

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

GDPR: il nuovo regolamento Privacy

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Privacy e Protezione dei dati

Valutazione d impatto e gestione integrata dei rischi

IL NUOVO MODELLO ORGANIZZATIVO PRIVACY

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

GDPR Il quadro normativo

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Sezione Trattamento Dati

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

GDPR 679/2016 A un anno dall entrata in vigore del Nuovo Regolamento Privacy

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

CORSO PRIVACY CERTIFICATO PER PRIVACY OFFICER

Privacy. Seminario informativo Estratto materiale. Il nuovo Regolamento Europeo 679/2016 IL NUOVO REGOLAMENTO EUROPEO 679/2016.

Blumatica GDPR (Multiaziendale)

Come adeguare il tuo sito web e la tua attività alle normative

Regolamento (UE) 679/2016 Affrontare il GDPR come un Sistema di Gestione

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

La privacy per lo studio legale

Giugno Carnelutti Studio Legale Associato

Il Regolamento europeo in materia di protezione dei dati personali n. 679/2016 (GDPR) Novità e operatività

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

MEMO. Regolamento UE 2016/679 Privacy

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Your Reliable IT Solution Partner.

I processi di innovazione e trasformazione digitale e il GDPR

LE PRINCIPALI NOVITÀ DEL NUOVO REGOLAMENTO EUROPEO IN TEMA DI PRIVACY

General Data Protection Regulation (GDPR) started are you ready? 25 MAGGIO 2018

A TUTTI I CLIENTI LORO SEDI. Circolare n /04/2018. Oggetto: Tutela dei dati personali Nuova disciplina della privacy

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

CHECK LIST ADEGUAMENTO NUOVO REGOLAMENTO PRIVACY DENOMINAZIONE CODICE FISCALE P. IVA ANNOTAZIONI DOCUMENTAZIONE ALLEGATA:

Valutazione d'impatto sulla protezione dei dati, in base alle previsioni del Regolamento (UE) 2016/679

Garante per la protezione dei dati personali. Delibera 11 ottobre 2018, n.467. Gazzetta Ufficiale Repubblica Italiana 19 novembre 2018, n.

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

Il nuovo Regolamento europeo sulla privacy. Avv. Prof. Stefano Aterno

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

IL REGOLAMENTO EUROPEO PRIVACY

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

Regolamento Europeo 2016/679 - GDPR

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Alitalia LA COMPLIANCE AL NUOVO REGOLAMENTO EUROPEO. I PASSI DI ALITALIA. Avv. Ada Fiaschi 22 marzo 2018

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

GENERAL DATA PROTECTION REGULATION REGOLAMENTO UE 679/2016

PRIVACY: il Regolamento 2016/679 (GDPR) in 10 punti

Procedura DPIA. Procedura DPIA. Data Protection Impact Assessment. Regolamento UE 679/2016

GDPR: cosa devono fare le aziende per mettersi in regola?

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

Indice. Prefazione. Nozione del dato personale e del trattamento dei dati. pag. di Franco Pizzetti. Capitolo Primo

Il responsabile della protezione dei dati DATA PROTECTION OFFICER (DPO)

Allegato. Checklist di base per GLI STUDI PROFESSIONALI

Sample test Informatica Giuridica modulo: Protezione dati personali: GDPR, Privacy e Sicurezza

Academy. Costo del corso: 4000,00 euro + IVA (sono previsti sconti o borse di studio per particolari situazioni meritevoli) Parte Generale

Il nuovo modello di gestione della privacy Davide Grassano

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Gdpr: cosa c è da sapere sulla guida applicativa del Garante privacy

Impatti del GDPR 2016 Progetto di verifica dell adeguatezza delle banche dati di un impresa. Milano, gennaio 2019

Crime Risk Insurance System

Diventa Data Protection Officer

2 giorni 25 MAGGIO 2018

La nuova Privacy Aspettative delle imprese

VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI

Privacy by Design: evoluzione e implicazioni

Proteggi il tuo business Introduzione al GDPR e sicurezza dei sistemi

Regolamento Europeo sulla protezione dei dati personali

FORMAZIONE TELEMATICA

PRIVACY E PUBBLICA AMMINISTRAZIONE, LA NUOVA SFIDA

FAQ - PRIVACY (Regolamento Europeo 679/ in vigore dal 25 maggio 2018)

Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Necessità di un approccio sistemico

Regolamento Privacy G.D.P.R. 679/2016. Cosa cambia? Daniele Maggiolo senior management consultant

STUDIO LE PERA C O M M E R C I A L I S T I A S S O C I A TI

Milano, 13 ottobre 2016

Rivoluzione GDPR. GDPR, comunicazione e attività di marketing: cosa cambia davvero in Italia. Istruzioni per l'uso

PRIVACY: LA RIVOLUZIONE GDPR

Tutela dei dati personali - La nuova disciplina della privacy prevista dal regolamento UE 679/2016. TS Bassano Srl - 26 MARZO

Transcript:

DATA PROTECTION IMPACT ASSESSMENT Tra obbligo e opportunità

DI COSA SI TRATTA? DPIA O valutazione d impatto o data protection impact assessment o semplicemente assessment: è una procedura di autovalutazione che il regolamento n.679/2016 in materia di trattamento dati personali impone di effettuare al titolare del trattamento e in alcuni casi anche al responsabile del trattamento, quando ricorrono determinate circostanze nel trattamento dei dati personali trattati

DPIA UN OPPORTUNITA ORGANIZZATIVA La DPIA in ogni caso non deve essere vista esclusivamente come un imposizione cui adeguarsi per evitare sanzioni e quindi un obbligo giuridico, ma come un opportunità organizzativa

PERCHE UNA DPIA Grazie a questa procedura un azienda potrà ripensare la propria struttura organizzativa, rendendola eticamente superiore e più trasparente, migliorando la propria immagine e la propria reputazione agli occhi del suo pubblico e degli stakeholders - di clienti, fornitori, partner commerciali, dipendenti, p.a., banche - in quanto una DPIA è un modo eccellente per dimostrare che un azienda tratta correttamente e in maniera sicura e accurata i dati personali.

VANTAGGI DPIA ESTERNI 1. MIGLIORAMENTO IMMAGINE AZIENDALE le persone risulteranno rassicurate sul fatto che l organizzazione che ha condotto una DPIA, usa di certo le informazioni secondo delle best practice. Un progetto, un processo, un app o un prodotto che sono stati oggetto di una DPIA sono sicuramente meno invasivi rispetto alla privacy e quindi vi saranno meno probabilità di influenzare negativamente i diritti e le libertà delle persone.

VANTAGGI DPIA ESTERNI 2. MAGGIORE TRASPARENZA una DPIA consente maggiore trasparenza sul modo in cui i dati personali vengono trattati, rendendo agli interessati più facile comprendere come e perché le loro informazioni vengono utilizzate da un organizzazione.

VANTAGGI DPIA INTERNI 3. MIGLIORAMENTO ORGANIZZATIVO Anche l impresa trarrà beneficio dal condurre una DPIA non solo da un punto di vista della brand reputation, ma anche da un punto di vista interno, in quanto avrà un organizzazione più preparata ad affrontare eventuali situazioni incresciose, come ad esempio una violazione sui dati personali, in quanto, grazie ad una valida ed efficace DPIA, avrà già preordinato come comportarsi in tali circostanze e potrà intervenire speditamente

VANTAGGI DPIA INTERNI Condurre una DPIA, infatti consente: a. di identificare un problema in anticipo e questo comporta generalmente una soluzione più semplice e meno costosa; b. ridurre i costi di un progetto in corso, minimizzando la quantità di informazioni che vengono raccolte o utilizzate laddove possibile ed elaborando processi più diretti per i dipendenti.

VANTAGGI DPIA INTERNI Più in generale, l'uso coerente delle DPIA aumenta la consapevolezza delle questioni relative alla privacy e alla protezione dei dati all'interno di un'organizzazione e garantisce che tutto il personale coinvolto nella realizzazione dei progetti rifletta sulla privacy già dalle prime fasi di ideazione, rispettando anche il principio della privacy by design e default

VANTAGGI DPIA ANCHE PER CHI NON E OBBLIGATO Da ciò si comprende che una DPIA potrebbe essere un valido supporto anche se non si rientra nei casi per i quali condurla è un obbligo di legge, essa infatti potrebbe essere applicata a qualsiasi progetto che includa un trattamento di dati personali.

CASI DI ESEMPIO IN CUI E OPPORTUNO CONDURRE UNA DPIA Si pensi all implementazione di un nuovo sistema di videosorveglianza (specialmente quello che monitora i membri del pubblico) o all'applicazione di una nuova tecnologia a un sistema esistente (ad esempio aggiungendo funzionalità di riconoscimento automatico della targa delle autovetture che entrano in un determinato luogo alle telecamere a circuito chiuso esistenti), oppure si pensi ad un nuovo database che riorganizza i dati personali secondo il comportamento d acquisto degli utenti.

DPIA. QUANDO E OBBLIGATORIA E l art. 35 punto 3 del regolamento che fissa le circostanze in cui è obbligatorio svolgere una valutazione d impatto sulla protezione dei dati trattati, stabilendo al comma 1 che: quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

DPIA. QUANDO E OBBLIGATORIA TRATTAMENTI CHE POSSONO PRESENTARE RISCHI ELEVATI PER I DIRITTI E LE LIBERTA DEGLI INTERESSATI. UNA SINGOLA DPIA PUO ESSERE SUFFICIENTE PER TRATTAMENTI SIMILI CHE PRESENTANO RISCHI ANALOGHI

DPIA. QUANDO E OBBLIGATORIA Più in dettaglio, la valutazione d'impatto sulla protezione dei dati personali è richiesta in particolare nei casi seguenti: trattamenti automatizzati, compresa la profilazione e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento); trattamenti, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1 (trattamento di dati cosiddetti sensibili), o di dati relativi a condanne penali e a reati di cui all'articolo 10 (trattamento di dati giudiziari); Videosorveglianza sistematica su larga scala di una zona accessibile al pubblico

TIPOLOGIE TRATTAMENTI DA SOTTOPORRE A DPIA Il Garante, anche nel rispetto di quanto stabilito dal GDPR sta lavorando per la redazione e la pubblicazione di un elenco di tipologie di trattamenti soggetti al requisito della DPIA, in quanto trattamenti basati sulle nuove tecnologie (es. trattamenti che utilizzano nuovi strumenti legati all industria 4.0 o trattamenti svolti attraverso l IoT), anche se la legge di bilancio 2018 ha imposto per tali tipologie di trattamento di mantenere la notifica preventiva al Garante quando il trattamento si basa sull interesse legittimo del titolare.