Regolamento (UE) 679/2016 Affrontare il GDPR come un Sistema di Gestione

Documenti analoghi
Regolamento UE 2016/679 in materia di protezione dei dati personali

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

Sezione Trattamento Dati

Cos è il GDPR? General Data Protection Regulation

OBBLIGHI E SANZIONI DEL GDPR: COSA FARE ENTRO IL 25 MAGGIO 2018 E DOPO

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

ORGANIZZAZIONE, ADEMPIMENTI E ATTORI DEL NUOVO REGOLAMENTO. Michela Massimi

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Sguang informatica srl

2 giorni 25 MAGGIO 2018

BIANCA MARIA BARON & VALERIA ANDRETTA

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

regolamento UE 679/16

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

A TUTTI I CLIENTI LORO SEDI. Circolare n /04/2018. Oggetto: Tutela dei dati personali Nuova disciplina della privacy

GDPR: il nuovo regolamento Privacy

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

REG. EU 2016/679 1) Impatto normativo 2) Come fare per mettersi in regola 3) Sanzioni. A cura dello Studio Legale Faccin Santolin

Crime Risk Insurance System

Procedure di adeguamento al GDPR (Regolamento UE 679/2016)

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

ENTRATA IN VIGORE DEL GDPR L ADEGUAMENTO DEL CONDOMINIO

FAQ - PRIVACY (Regolamento Europeo 679/ in vigore dal 25 maggio 2018)

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

General Data Protection Regulation (GDPR) started are you ready? 25 MAGGIO 2018

Circolare n. 78 del 30 Maggio 2018

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

GDPR: COSA DEVE FARE L IMPRESA?

Ruoli e responsabilità nel sistema GDPR. 25 luglio dott. Simone Chiarelli

IL NUOVO REGOLAMENTO PRIVACY

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

Privacy. Seminario informativo Estratto materiale. Il nuovo Regolamento Europeo 679/2016 IL NUOVO REGOLAMENTO EUROPEO 679/2016.

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

Rete di Comunicazione FSE Roma, 20 novembre 2018

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI RAVENNA. Le novità introdotte dal Regolamento UE

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

IL TRATTAMENTO DEI DATI PERSONALI TRA CODICE DELLA PRIVACY E GDPR. Avv. Marco Giuri

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

Le figure previste dal GDPR: ruoli e responsabilità

Proteggi il tuo business Introduzione al GDPR e sicurezza dei sistemi

Il Professionista Europeo della Privacy

Regolamento UE 2016/679by 2018

PROFESSIONISTI AZIENDALI ASSOCIATI SAS STP I PROFESSIONISTI PER L AZIENDA

Come adeguare il tuo sito web e la tua attività alle normative

IN REGOLA CON IL (GDPR) UE 679/2016 REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI

CERTIND ITALIA. G-SAFE S.r.l.

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Il sole pratictionere e lo studio. Il associato: gli adempimenti nella pratica Bologna, 30 maggio 2018

CORSO PRIVACY CERTIFICATO PER PRIVACY OFFICER

General Data Protection Regulation UE 2016/679

Ciclo di incontro formativi Lezioni di aggiornamento anno 2019

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

GDPR: cosa devono fare le aziende per mettersi in regola?

Data Privacy Officer

DESIGNAZIONE del Responsabile della Protezione dei Dati R.P.D.

Proposta Adeguamento GDPR rev Servizi & Prezzi Compliance GDPR EU 2016/679

OGGETTO: Adeguamento al regolamento 2016/679/UE - programmazione attività.

Politica Protezione dei Dati Personali

Il responsabile della protezione dei dati DATA PROTECTION OFFICER (DPO)

Scelta del DPO e valutazione d impatto organizzativo

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

MIL-QOD /MGadg. Agyo Privacy. Overview

PRIVACY E PUBBLICA AMMINISTRAZIONE, LA NUOVA SFIDA

Multidisciplinarietà, forte integrazione delle competenze, specializzazione.

LE PRINCIPALI NOVITÀ DEL NUOVO REGOLAMENTO EUROPEO IN TEMA DI PRIVACY

Diventa Data Protection Officer

3 Maggio Treviso. GDPR Come arrivare preparati alla scadenza del 25 maggio 2018

GDPR 679/2016 A un anno dall entrata in vigore del Nuovo Regolamento Privacy

IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI GDPR UE 2016/679

CIRCOLARE N. 135 Il Regolamento Europeo in materia di tutela della privacy.

NORMATIVA COMUNITARIA E

Privacy e Protezione dei dati

Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

PERCORSO DI ALTA FORMAZIONE E QUALIFICA GDPR (REG. UE 2016/679) RICONOSCIUTO AICQ SICEV

Nuovo Regolamento Europeo sulla Privacy: da sempre Fulcri in prima linea. 25 novembre PharmExpo

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Dott. Filippo Lorè Consulente Privacy

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

G DP R - Cy b e r - Li fe P rotection

6 cose da sapere sul GDPR

Circolare n. 16 del 2 Febbraio 2018

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

DATA PROTECTION IMPACT ASSESSMENT. Tra obbligo e opportunità

Tutela dei dati personali - La nuova disciplina della privacy prevista dal regolamento UE 679/2016. TS Bassano Srl - 26 MARZO

Transcript:

Regolamento (UE) 679/2016 Ing. Stefania Pusateri e Ing. Massimo Giambarresi

3 Questo intervento nasce: Dalle personali esperienze di Consulenti di sistemi di gestione, di RSPP e di OdV; Dal ricordo, durante le attività lavorative, della difficoltà di dialogo che può venirsi a creare tra OdV, RSPP, Consulenti di Gestione e la Governance aziendale sotto forma di linguaggio, obiettivi e loro modalità di ottenimento

4 La mancanza di rapporto comporta una serie di problematiche che si riversano sulla qualità dell attività lavorativa (comprensiva dei risultati) e sui rapporti interpersonali, con evidente nocumento per tutti gli attori partecipanti

5 Il consulente lavora male e rende peggio; Il cliente non ottiene quanto auspicato o (ancora peggio) si convince (fino a reale necessità) di essere coperto dal punto di vista legislativo/normativo

6 Principio fondamentale che deve avere il cliente, per ottenere reale beneficio dalle attività di consulenza è La Consapevolezza = condizione di chi è consapevole. L'avere conoscenza, il rendersi conto di qualcosa.

7 1. Consapevolezza da parte del cliente 2. Competenza da parte del consulente 3. Comunicazione da parte del consulente 4. Coinvolgimento da parte del cliente 5. Miglioramento Organizzativo da parte del cliente 6. Raggiungimento dell Obiettivo da parte del cliente

8 Il REG. N.679/16, per sua costituzione, risente molto di questo tipo di approccio.

9 In un contesto di questo tipo, nasce la necessità che il concetto di Consapevolezza collettiva all interno dell organizzazione sia sempre più praticato.

10 Cosa ci chiede di fare il GDPR (Regolamento UE 2016/679)? Chiede di fare un sistema di gestione dei dati (similare a quelli normati come la ISO 9001 o di legislazione come richiesto dal DLgs 231/01)

11 Cosa ci chiede di fare il GDPR (Regolamento UE 2016/679)?

12 Cosa ci chiede di fare il GDPR (Regolamento UE 2016/679)?

13 Cosa ci chiede di fare il GDPR (Regolamento UE 2016/679)?

14 Principali Denominazioni e Concetti del GDPR Interessato al Trattamento: la persona fisica oggetto del trattamento dati Titolare del Trattamento: la persona fisica o giuridica (azienda/ente) titolare del trattamento

15 Principali Denominazioni e Concetti del GDPR Responsabile del Trattamento: la persona fisica o giuridica responsabile di un determinato trattamento. Autorizzato al Trattamento: la persona fisica che tratta(es: raccolta, distruzione,ecc) materialmente il dato

16 Il Principio di RESPONSABILITÀ nel GDPR Il GDPR pone l accento sui concetti di Responsabilizzazione (Accountability) e di Misure Adeguate in quanto, il Titolare del trattamento deve garantire ed essere sempre in grado di dimostrare di rispettare i principi del Regolamento nonché, di aver messo in atto le misure ritenute idonee dal Titolare stesso

17 Il Principio di RESPONSABILITÀ nel GDPR Nel GDPR (in cui sparisce il concetto di Misure Minime, presente nel D.lgs 196/2003), si possono prevedere un minimo insieme di azioni per soddisfare le esigenze di Accountability come: 1. Assessment: valutazione iniziale legale, organizzativa, storica e informatica 2. Registro dei Trattamenti: non obbligatorio fino a 250 dipendenti, a meno di particolarità, ma consigliato

18 Il Principio di RESPONSABILITÀ nel GDPR 3. Funzionigramma privacy: definizione Ruoli e Compiti ed impostazione flussi di informazione evitando conflitti di interesse 4. Risk Assessment: valutazione del rischio sui dati da trattare

19 Il Principio di RESPONSABILITÀ nel GDPR 5. Privacy Impact Assessment: distinte valutazioni sull impatto privacy relative a particolari processi, servizi, prodotti, sistemi che il Titolare può adottare, installare o fornire (ad es: installazione di impianti di videosorveglianza; raccolta punti per marketing; ecc.) 6. Gestione: mediante monitoraggio (es:audit periodici di controllo; analisi di obiettivi e risultati raggiunti)

20 Privacy by design e privacy by default Per definizione: Il principio di privacy by design è volto a tutelare il dato protetto "sin dal momento della progettazione"; Il principio di privacy by default è volto a tutelare la vita privata per "impostazione predefinita"

21 Diritto all oblio Il regolamento n. 679/2016 (GDPR) in materia di trattamento di dati personali ha introdotto un nuovo diritto a favore degli interessati del trattamento, ovvero dei soggetti proprietari dei dati trattati. Si tratta in estrema sintesi del diritto ad ottenere la cancellazione definitiva e completa dei propri dati trattati da un titolare del trattamento

22 Il registro dei trattamenti dei dati E un documento cartaceo/informatico che permette di avere un quadro aggiornato dei trattamenti in essere all interno di un azienda o di un soggetto pubblico al fine di effettuare un monitoraggio, con relativa valutazione, dei rischi

23 Il registro dei trattamenti dei dati Cosa deve contenere il registro dei trattamenti L art. 30 del GDPR fornisce anche una lista di contenuti obbligatori

24 Il registro dei trattamenti dei dati A cosa serve il registro dei trattamenti E uno strumento attraverso il quale si ha la possibilità di beneficiare di una più efficace gestione della data protection

25 la Valutazione d impatto: DPIA E la procedura per la valutazione di impatto sulla protezione dei dati personali trattati dalle aziende,

26 diritto alla portabilità dei dati personali L art. 20 del GDPR riporta che ogni soggetto potrà chiedere ad un'organizzazione di ricevere i propri dati personali forniti in precedenza in un formato di uso comune e leggibile e di ottenerne la trasmissione da un titolare del trattamento a un altro se non sono presenti particolari impedimenti tecnologici.

27 la verifica dei diritti Tra i cosiddetti diritti individuali, infatti, il General Data Protection Regulation include i seguenti: Il diritto a essere Informati; Il diritto all accesso; Il diritto alla correzione; Il diritto alla cancellazione; Il diritto alla limitazione del trattamento; Il diritto alla portabilità dei dati; Il diritto all'obiezione; Il diritto a non essere oggetto di scelte automatizzate (inclusa la profilazione).

28 Il DPO Il GDPR prevede l inserimento di un nuovo ruolo nell organigramma: il Responsabile della Protezione Dati o meglio conosciuto come DPO (Data Protection Officer)

29 Principali Denominazioni e Concetti del GDPR DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati): è la nuova figura introdotta nel 2016 dal GDPR.

30 Il DPO Viene nominato dal Titolare del Trattamento e, il suo compito, è quello di supportare il Titolare nell applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di Controllo e i diretti interessati. La nomina ed il suo incaricato devono essere comunicati al garante della Privacy che lo collega (dandogli anche responsabilità) con la vita dei dati dell organizzazione che lo ha nominato

31 Il DPO Viene nominato dal Titolare del Trattamento e, il suo compito, è quello di supportare il Titolare nell applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di Controllo e i diretti interessati. La nomina ed il suo incaricato devono essere comunicati al garante della Privacy che lo collega (dandogli anche responsabilità) con la vita dei dati dell organizzazione che lo ha nominato

32 I COMPITI del DPO Informare e fornire consulenza al titolare del trattamento nonché ai dipendenti; Sorvegliare l osservanza del Regolamento GDPR; Fornire, se richiesto, un parere in merito alla valutazione d impatto sulla protezione dei dati; Cooperare con l Autorità di controllo (il Garante Privacy); Fungere da punto di contatto per l Autorità di controllo per questioni connesse al trattamento

33 QUANDO devo nominare un DPO Regolamento (art. 37), la nomina del DPO è obbligatoria: a) Se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali; b) Se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; c) Se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati

34 QUANDO devo nominare un DPO Si lascia all organizzazione la responsabilità dell idoneità professionale e/o formativa e/o operativa della risorsa scelta come DPO Il DPO assume un ruolo fondamentale, in caso di violazione dei dati (Data Breach) da parte di entità esterne, come interfaccia con le Autorità di Controllo

35 QUANDO devo nominare un DPO Nelle ipotesi sub lettere b) e c) dell'art. 37, paragrafo 1 del Regolamento risulta dirimente, al fine di valutare se sussista o meno l'obbligo di nomina di un DPO, è che il trattamento avvenga su "larga scala".

36 QUANDO devo nominare un DPO Anche il concetto di "monitoraggio regolare e sistematico degli interessati" non trova definizione nel Regolamento; tale nozione include non solo tutti i vari strumenti di tracciatura elettronica e profilazione on line, ma anche qualsiasi forma di tracciatura in un ambiente off-line

37 INQUADRAMENTO del DPO Il DPO può essere: un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi

38 AREE e RUOLI di un PIANO PRIVACY

39 COME PROCEDERE per un piano Privacy GDPR La Fase Iniziale

40 OBBLIGO di NOTIFICA o DATA BREACH NOTIFICATION

41 Costo della perdita dei Dati

42 FOIA E REG. 679 la trasparenza totale e la privacy. La prima, il cosiddetto Foia italiano, è stata introdotta dal decreto 97/2016, di riforma del decreto 33/2013, e prescrive che ogni atto o documento detenuto dalla PA sia accessibile a chiunque ne faccia richiesta, indipendentemente dagli obblighi di pubblicazione e da interessi specifici del richiedente (accesso generalizzato), e salvo un rigoroso elenco di esclusioni e limiti da interpretare peraltro in modo restrittivo.

43 FOIA E REG. 679 Si potrebbe prefigurare, in definitiva, un conflitto concettuale e operativo fra due direzioni di marcia inconciliabili: la Pa-casa di vetro e la Pa che interviene in modo organico per bloccare la pubblicazione e la produzione di informazioni che possano, anche solo potenzialmente, provocare violazioni nel trattamento dei dati personali.

44 Sanzioni Di seguito sono riportate tutte le sanzioni (c.d. multe) previste dal Regolamento Europeo che, ai sensi dell art. 83 del Reg. UE/2016/679 devono avere carattere di effettività, proporzionalità e dissuasività. Le Sanzioni Amministrative pecuniarie possono essere integrative, oppure completamente sostitutive delle Sanzioni Correttive.

45 SANZIONI DI CARATTERE ECONOMICO Nel caso di: Inosservanza degli obblighi del titolare e del responsabile del trattamento; Inosservanza degli obblighi dell organismo di certificazione (secondo la EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente ai sensi degli articoli 55 o 56); Inosservanza degli obblighi dell organismo di controllo: fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell esercizio precedente.

46 SANZIONI CORRETTIVE Essi consistono nel: Rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare il GDPR; Rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR;

47 SANZIONI CORRETTIVE Essi consistono nel: Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell interessato di esercitare i relativi diritti; Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine;

48 In conclusione Alla luce di quanto sin qui visto, Le PA, così come le aziende, per loro natura intrinseca, non possono non avere dati o non trattarli; Esse, e chi le rappresenta, non possono non applicare quanto previsto dal Regolamento 679/2016, nella misura più idonea alla propria struttura, in funzione delle proprie peculiarità; Ecco che il GDPR (General Data Protection Regulation) si profila, più di ogni altro sistema di gestione, estremamente simbiotico con la PA così come con l azienda e con i processi e attività che esse definiscono.

49 GRAZIE PER L ATTENZIONE Ing. Stefania Pusateri e Ing. Massimo Giambarresi

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back