Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

Documenti analoghi
Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

Cos è il GDPR? General Data Protection Regulation

GDPR: il nuovo regolamento Privacy

Regolamento UE 2016/679 in materia di protezione dei dati personali

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

Sezione Trattamento Dati

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

OBBLIGHI E SANZIONI DEL GDPR: COSA FARE ENTRO IL 25 MAGGIO 2018 E DOPO

regolamento UE 679/16

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

La corretta gestione dei processi informatici del nuovo GDPR

Cybersecurity e Hardware: che cosa prevede il GDPR

FAQ - PRIVACY (Regolamento Europeo 679/ in vigore dal 25 maggio 2018)

Alessandro Gaspari Data Center Specialist

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

GDPR: azioni raccomandate dal legale

Regolamento UE 2016/679by 2018

LE PRINCIPALI NOVITÀ DEL NUOVO REGOLAMENTO EUROPEO IN TEMA DI PRIVACY

Processi, Tool, Servizi Professionali

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Circolare n. 16 del 2 Febbraio 2018

Diventa Data Protection Officer

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

General Data Protection Regulation (GDPR) started are you ready? 25 MAGGIO 2018

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

General Data Protection Regulation

INDICE CAPITOLO I EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

Protezione dei dati, privacy e sicurezza informatica

Il nuovo regolamento privacy e la sua applicazione nel settore pubblico e privato

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

Crime Risk Insurance System

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Procedure di adeguamento al GDPR (Regolamento UE 679/2016)

General Data Protection Regulation UE 2016/679

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Il nuovo regolamento privacy dell Unione Europea:

CORSO PRIVACY CERTIFICATO PER PRIVACY OFFICER

L allestimento e tenuta del registro dei trattamenti. Predisporre il documento di verifica della protezione del trattamento fin dalla progettazione

La normativa Europea sulla privacy

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Privacy. Seminario informativo Estratto materiale. Il nuovo Regolamento Europeo 679/2016 IL NUOVO REGOLAMENTO EUROPEO 679/2016.

CORSO DI PERFEZIONAMENTO UNIVERSITARIO E AGGIORNAMENTO PROFESSIONALE IN

Proteggi il tuo business Introduzione al GDPR e sicurezza dei sistemi

La Privacy nell amministrazione del personale

Colin & Partners. LaaS - Legal as a Service. Marketing & Communication. Think Factory. Privacy e tutela delle informazioni. Diritto informatico

LE NOVITÀ DEL GDPR E GLI IMPATTI PER LE AZIENDE

CONSULENTE DELLA PRIVACY

Il nuovo modello di gestione della privacy Davide Grassano

LA NUOVA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

La privacy per lo studio legale

Regolamento Europeo 2016/679

A TUTTI I CLIENTI LORO SEDI. Circolare n /04/2018. Oggetto: Tutela dei dati personali Nuova disciplina della privacy

Il nuovo Regolamento europeo sulla privacy. Avv. Prof. Stefano Aterno

Regolamento Europeo sulla protezione dei dati personali

Regolamento (UE) 679/2016 Affrontare il GDPR come un Sistema di Gestione

Le figure previste dal GDPR: ruoli e responsabilità

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

PROFESSIONISTI AZIENDALI ASSOCIATI SAS STP I PROFESSIONISTI PER L AZIENDA

Guida all applicazione del Regolamento europeo in materia di protezione dei dati personali (prima parte)

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

Come adeguare il tuo sito web e la tua attività alle normative

-99 al GDPR 2016/679

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

Blumatica GDPR (Multiaziendale)

PERCORSO DI ALTA FORMAZIONE E QUALIFICA GDPR (REG. UE 2016/679) RICONOSCIUTO AICQ SICEV

3 Maggio Treviso. GDPR Come arrivare preparati alla scadenza del 25 maggio 2018

NORMATIVA COMUNITARIA E

Ordine dei Dottori Commercialisti ed Esperti Contabili di. LINEE GUIDA IN MATERIA DI PRIVACY E PROTEZIONE DEI DATI PERSONALI Maggio 2018

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

Privacy e Protezione dei dati

Il Professionista Europeo della Privacy

GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

Privacy in azienda: Il GDPR e l impatto sulle aziende

Scelta del DPO e valutazione d impatto organizzativo

E POSSIBILE SEGUIRE LE LEZIONI, OLTRE CHE IN AULA, ANCHE IN MODALITA E.LEARNING ON.LINE.

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

DESCRIZIONE DEL RUOLO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Regolamento generale sulla protezione dei dati personali 2016/679. Antonio Caselli

PRESENTAZIONE DEL CORSO DI ALTA FORMAZIONE MANAGERIALE DATA PROTECTION OFFICER ( RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI)

Transcript:

www.pwc.com Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa Luca Saglione TLS Avvocati e Commercialisti Brescia, 16 marzo 2018 luca.saglione@pwc.com

Il nuovo Regolamento sulla Privacy Visione d insieme dei requisiti Perimetro La riforma coinvolge tutti gli Stati UE (sostituendo le singole legislazioni nazionali) e chiunque tratti dati di cittadini europei (a prescindere dalla localizzazione sede legale del titolare del trattamento) Responsabilità Viene disciplinato in modo più dettagliato il ruolo di responsabile del trattamento, il contenuto del contratto di nomina e le relative responsabilità, anche dirette nei confronti degli interessati Accountability Il principio introdotto dalla riforma prevede l adozione di misure tecniche ed organizzative «adeguate» a dimostrare la compliance con il Regolamento del trattamento dei dati effettuato Informative chiare Viene rafforzato l obbligo di fornire informative semplici e chiare al fine di permettere il controllo da parte degli interessati rispetto al trattamento dei propri dati personali Diritto all oblio La riforma introduce il diritto dell interessato ad ottenere dal titolare del trattamento la cancellazione dei dati personali al ricorrere di determinate specifiche ipotesi 1 2 3 4 Perimetro Responsabilità Accountability Informative 12 11 5 6 7 Data portability Viene introdotto il diritto alla portabilità del dato che permette all interessato di ricevere i propri dati su un formato strutturato e leggibile e/o di farli trasmettere da un titolare all altro Privacy by design & by default Il titolare deve implementare le misure a protezione dei dati già dal momento della progettazione di un prodotto o di un applicativo informatico di supporto (privacy by design) e mettere in atto opportune misure per garantire che siano trattati di default solo i dati personali necessari per ogni specifica finalità del trattamento (privacy by default) Sanzioni La riforma ha incrementato in modo molto significativo le sanzioni derivanti dall inosservanza delle disposizioni in tema di privacy, sino ad un massimo di 20.000.000 o al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore Registri del trattamento Il regolamento introduce l obbligo per il titolare e il responsabile del trattamento di conservare, anche in formato elettronico, un registro dei trattamenti effettuati, contenente alcuni specifici dettagli 10 9 Data Protection Officer Viene introdotta la figura del Data Protection Officer (DPO) che ha i compiti di sorvegliare l osservanza delle disposizioni privacy, fornire consulenza e pareri e fungere da contatto con il Garante o gli interessati 8 Privacy Impact Assessment Viene introdotto l obbligo per ciascun titolare di svolgere, e di conseguenza documentare, una autovalutazione del rischio derivante dai trattamenti effettuati e, sulla base degli esiti delle analisi, di effettuare una consultazione preventiva con l Autorità garante Data breach notification Viene previsto che determinate violazioni di dati debbano essere segnalate sia al Garante che agli interessati senza ritardo e, in alcuni casi, entro 72 ore dalla violazione 2

Il «conto alla rovescia» verso il 25 maggio GAP Analysis & Assesment of the AS IS situation Short-term Implementation Assessment & Gap Analysis Medium term Setup Struttura organizzativa Review Long term DPO Informative e consensi Registro dei trattamenti Assessment su Sistemi Informativi e Sicurezza Informatica 3

I prossimi passi GAP Analysis & Assessment (1 di 4) IL RISCHIO INFORMATICO Nel contesto del GDPR Possibile verificarsi Con una certa probabilità! di eventi rilevanti che possono produrre impatti negativi sulla protezione dei dati personali 4

I prossimi passi GAP Analysis & Assessment (2 di 4) LA VALUTAZIONE DEL RISCHIO Nel contesto del GDPR Natura dell impatto Probabilità del verificarsi dell evento GRAVITA DEL RISCHIO Trattamento Elaborazione e trasmissione Buste Paga Tipo di rischio Modalità di condivisione Probabilità Basso Medio Alto Impatto tecnologico Basso Medio Alto Impatto di business Basso Medio Alto Livello di gravità Basso Medio Alto [ ] [ ] [ ] [ ] [ ] [ ] Titolari / Responsabili / Consulenti legali / Consulenti di processo e Consulenti IT Consulenti IT e Consulenti Security Titolari / Responsabili / Consulenti legali / Consulenti di processo 5

I prossimi passi GAP Analysis & Assessment (3 di 4) LA PIANIFICAZIONE DEI CONTROLLI Nel contesto del GDPR Lista delle possibili misure di sicurezza aggiuntive volte ad abbattere del RISCHIO livello di «probabilità e «impatto tecnologico» 6

I prossimi passi GAP Analysis & Assesment (4 di 4) Il CICLO di DEMING o Modello «Plan - Do - Check - Act» Analisi del rischio Definizione delle misure Plan Do Implementazione Miglioramenti in base ai risultati della fase di Check Act Check Monitoraggio Audit Incident management 7

I prossimi passi GAP Analysis & Assessment: Output (1 di 2) Documento di Gap analysis del disegno del sistema di controllo interno rispetto alle indicazioni contenute nel Nuovo Regolamento Privacy, inclusivo dei suggerimenti propedeutici alla definizione del Piano di Implementazione rispetto ai contenuti nel Nuovo Regolamento Privacy # Articolo Previsione normativa GAP Livello di gravità 1 Articolo 7 Condizioni per il consenso 2 Articolo 30 Registri delle attività di trattamento Ottenimento del consenso da parte dell interessato Consenso prestato in maniera chiara e precisa Capacità di revoca del consenso da parte dell interessato Creazione e mantenimento di un registro delle attività dei trattamenti dei dati personali. Non è esplicitato procedimento di raccolta del consenso da parte dell interessato Richieste di revoca gestite e trattata regolarmente Manca un formale Documento contente l elenco delle attività relative al trattamento dei dati 3 Articolo 33 Notifica di una violazione dei dati personali all autorità di controllo Definizione di un processo di notifica alle autorità in caso di violazione di dati personali. Assenza di un processo di gestione di eventuali data breach 4 [ ] [ ] [ ] 8

I prossimi passi GAP Analysis & Assessment: Output (2 di 2) Documento di roadmap con relativa priorità di risoluzione (che recepisce le linee guida di applicazione delle sanzioni emesso dal WP ex art. 29 gruppo dei Garanti Privacy Europei) Priorità Alta Priorità Media Priorità Bassa 9

I prossimi passi Setup della struttura organizzativa Privacy Incaricato del Trattamento: (ai sensi di quanto previsto dal Codice privacy) la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo - che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate e che, sotto l'autorità diretta del titolare o del responsabile, può effettuare le operazioni di trattamento dei dati. Non espressamente prevista dal Nuovo Regolamento Titolare del trattamento («data controller»): la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali Responsabile del trattamento («data processor»): la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento «Data Protection Officer» (DPO): nuova figura del responsabile della protezione dei dati (DPO), obbligatoria in presenza di determinati requisiti aziendali, che dovrà essere designato dal Titolare e dal Responsabile del trattamento. Il DPO può essere un dipendente del proponente o un soggetto esterno vincolato da un contratto di servizi, che sia (i) esperto nella protezione dei dati e (ii) idoneo a progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo con i sistemi di gestione aziendali, per curare l'adozione di misure minime di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge 10

Il responsabile della protezione dei dati DATA PROTECTION OFFICER Il titolare e il responsabile del trattamento sono tenuti a nominare un DPO se: a) il trattamento è effettuato da un autorità pubblica o da un organismo pubblico; b) il trattamento, per la sua natura, il suo scopo o le sue finalità, implica il regolare o sistematico monitoraggio degli interessati su larga scala; c) l attività del titolare ha prevalentemente ad oggetto il trattamento, su larga scala, di dati sensibili (i.e. relativi alla salute o alla vita sessuale, genetici, giudiziari, biometrici); Il DPO è incaricato delle seguenti funzioni: informare il Titolare o il Responsabile del Trattamento sugli adempimenti richiesti dalla normativa; verificare la conformità del trattamento con le disposizioni del Regolamento; fornire supporto per l impact assessment; cooperare con l Autorità di controllo. Il DPO dovrà avere le seguenti caratteristiche: essere designato in funzione delle sue qualità professionali (i.e. conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e della capacità di adempiere ai compiti di cui esso è responsabile); agire in totale indipendenza; avere accesso a risorse umane e finanziarie necessarie ad adempiere ai propri compiti; riportare direttamente ai superiori gerarchici del titolare o del responsabile del trattamento (i.e. il CEO). Un gruppo di imprese può nominare un unico responsabile della protezione dei dati purché questo sia facilmente raggiungibile da ciascuno stabilimento 11

Tenuta dei registri del trattamento TENUTA DEI REGISTRI DEL TRATTAMENTO Il Regolamento introduce l obbligo per titolare e responsabile del trattamento di registrare e conservare, anche su formato elettronico, la documentazione relativa ai trattamenti effettuati. Tale adempimento sostituisce la figura della notifica al Garante previsto dalla normativa italiana fino ad oggi in vigore. Devono tenere il registro i titolari ed i responsabili: a) che effettuano il trattamento nell ambito di imprese o organizzazioni con più di 250 dipendenti; b) che effettuano trattamenti che possano presentare rischi per i diritti e le libertà degli interessati; c) che effettuano trattamenti non occasionali di categorie particolari di dati (sensibili, biometrici, ecc.) PRINCIPIO DI ACCOUNTABILITY Il titolare del trattamento è tenuto a porre in essere misure tecniche ed organizzative idonee a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto previsto dal regolamento. 12

I prossimi passi (1 di 2) PRIVACY IMPACT ASSESSMENT Quando il trattamento, in particolare se effettuato per mezzo delle nuove tecnologie, per la sua natura, il suo oggetto, o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati Il trattamento non presenta un alto grado di rischi specifici Privacy Impact Assessment Descrizione generale del trattamento Assessment della necessità e proporzionalità del trattamento in relazione alle finalità Valutazione dei rischi e le misure previste per affrontarli (ISO31000, ISO27005:12, ecc) Le misure di sicurezza e i meccanismi per garantire la protezione dei dati (anonimizzazoine e psuedominizzazione)! Il trattamento presenta alto grado di rischi specifici Le autorità di controllo dovranno rendere pubblico un elenco delle tipologie di trattamento che richiedono un privacy impact assessment, nonché un elenco di trattamenti che, al contrario, non richiedono tale verifica. Al momento qualunque tipo di formulazione circa i trattamenti che potrebbero ricadere nell ambito di applicazione è prematura. Il responsabile prima di procedere al trattamento consulta l autorità di controllo, la quale deve pronunciarsi entro un termine predeterminato. 13

I prossimi passi (2 di 2) ASSESSMENT MISURE DI SICUREZZA Punto di attenzione: le «Misure di sicurezza» non sono definite Articolo 32 : «Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento». 14

Principi fondamentali in materia di protezione dei dati (D. Lgs. n. 196/03 e GDPR) Principio di liceità Principio di finalità Principio di pertinenza, adeguatezza e non eccedenza Principio di esattezza Principio di correttezza Principio si responsabilità 15

Punti di attenzione Art. 4 Statuto Lavoratori (come modificato da D.Lgs. n. 151/15 Solo Lavoratori dipendenti Possibilità di controllo a distanza dell attività dei lavoratori per esigenze: di tutela del patrimonio aziendale organizzative e produttive di sicurezza del lavoro Controlli non finalizzati a verificare l esatto adempimento delle obbligazioni scaturenti dal rapporto di lavoro. Utilizzabilità delle informazioni ricavabili dagli strumenti utilizzati per rendere la prestazione lavorativa «a tutti i fini connessi al rapporto di lavoro», previa adeguata informativa ai dipendenti sulle modalità di utilizzo di tali informazioni. Lavoratori autonomi Possibilità di controllo dei collaboratori e/o lavoratori autonomi nel rispetto dei soli limiti di garanzia imposti dal D. Lgs. n. 196/03. Provvedimento Garante Privacy n. 136/15: in merito alla liceità dei controlli riferiti a comunicazioni tramite account di posta aziendali, i principi di necessità, correttezza, pertinenza e non eccedenza «risultano applicabili anche con riferimento a relazioni professionali che, pur non caratterizzate da una relazione di dipendenza, attribuiscono comunque al titolare del trattamento un ampio potere organizzativo, sia interno che esterno, elemento da ritenersi sussistente anche nel caso di specie, sulla base della regolamentazione interna costituita nel disciplinare». 16

Il 25 maggio 2018 è alle porte, siete pronti? Grazie! Avv.to Luca Saglione - TLS Avvocati e Commercialisti Mobile: +39 340 2718251 Email: luca.saglione@pwc.com www.pwc.com/it/ 17

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back