Novità, cambiamenti e attività da intraprendere

Documenti analoghi
Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Novità, cambiamenti e attività da intraprendere

Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA L AZIENDA IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI

Sezione Trattamento Dati

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

Mamma, ho perso il GDPR

REG. EU 2016/679 1) Impatto normativo 2) Come fare per mettersi in regola 3) Sanzioni. A cura dello Studio Legale Faccin Santolin

Cos è il GDPR? General Data Protection Regulation

GDPR: cosa devono fare le aziende per mettersi in regola?

Regolamento UE 2016/679 in materia di protezione dei dati personali

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

2 giorni 25 MAGGIO 2018

Informativa per la clientela di studio

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Il regolamento UE 679/2016 sulla protezione dei dati personali Principali novità

FAQ - PRIVACY (Regolamento Europeo 679/ in vigore dal 25 maggio 2018)

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

BIANCA MARIA BARON & VALERIA ANDRETTA

3 Maggio Treviso. GDPR Come arrivare preparati alla scadenza del 25 maggio 2018

Come adeguare il tuo sito web e la tua attività alle normative

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI RAVENNA. Le novità introdotte dal Regolamento UE

regolamento UE 679/16

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Impatti del GDPR 2016 Progetto di verifica dell adeguatezza delle banche dati di un impresa. Milano, gennaio 2019

6 cose da sapere sul GDPR

Crime Risk Insurance System

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

CORSO PRIVACY CERTIFICATO PER PRIVACY OFFICER

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

GDPR: COSA DEVE FARE L IMPRESA?

CHECK LIST ADEGUAMENTO NUOVO REGOLAMENTO PRIVACY DENOMINAZIONE CODICE FISCALE P. IVA ANNOTAZIONI DOCUMENTAZIONE ALLEGATA:

GDPR 679/2016 A un anno dall entrata in vigore del Nuovo Regolamento Privacy

Prot.488/2018 Le Novità introdotte dal GDPR (Regolamento EU Privacy) Responsabilizzazione Titolare interessati

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

Allegato. Checklist di base per GLI STUDI PROFESSIONALI

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

Ordine CdL Napoli Convegno privacy 23 Maggio Relatori: Francesco Capaccio e Pietro Di Nono

ENTRATA IN VIGORE DEL GDPR L ADEGUAMENTO DEL CONDOMINIO

NUOVE REGOLE PER LE SOCIETÀ IN TEMA DI PRIVACY. Regolamento Europeo 679 del 27 aprile 2016

STUDIO MIGLIETTA ASSOCIAZIONE PROFESSIONALE STUDIO COMMERCIALISTA REVISIONE CONTABILE

GDPR General Data Protection Regulation /679/UE

NORME RELATIVE ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI E LA LORO LIBERA CIRCOLAZIONE

GENERAL DATA PROTECTION REGULATION VADEMECUM PER GLI PSICOLOGI

IL NUOVO REGOLAMENTO PRIVACY

Atto di DESIGNAZIONE. Titolare del trattamento DPO (RPD) Responsabile esterno. Atto di NOMINA

A TUTTI I CLIENTI LORO SEDI. Circolare n /04/2018. Oggetto: Tutela dei dati personali Nuova disciplina della privacy

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

Multidisciplinarietà, forte integrazione delle competenze, specializzazione.

A cura dell Avv. Federica Spuri Nisi

ATTO DI INFORMAZIONE

Il nuovo regolamento privacy dell Unione Europea:

EX ART. 13 GDPR UFFICIO PRIVACY TITOLO DEL DOCUMENTO INFORMATIVA CLIENTI

MIL-QOD /MGadg. Agyo Privacy. Overview

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR REG. UE 2016/679)

Il sole pratictionere e lo studio. Il associato: gli adempimenti nella pratica Bologna, 30 maggio 2018

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

IL NUOVO GDPR COME ARRIVARE PREPARATI AL 25 MAGGIO 2018

PARTE PRIMA PRIVACY NEL WEB. 1. Privacy e web: normativa di riferimento e ambito di applicazione...» 21

Proposta Adeguamento GDPR rev Servizi & Prezzi Compliance GDPR EU 2016/679

General Data Protection Regulation UE 2016/679

Policy sulla conservazione dei Dati Personali

Linee guida GDPR per i Club. Data Protection Regulation)

Gdpr: cosa c è da sapere sulla guida applicativa del Garante privacy

Informativa per il trattamento dei dati personali

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

Nuovo Regolamento Europeo sulla Privacy: da sempre Fulcri in prima linea. 25 novembre PharmExpo

Regolamento Privacy G.D.P.R. 679/2016. Cosa cambia? Daniele Maggiolo senior management consultant

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

CERTIND ITALIA. G-SAFE S.r.l.

Diventa Data Protection Officer

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

FOCUS SUI PRINCIPALI ISTITUTI IN MATERIA DI TRATTAMENTO DEI DATI ALLA LUCE DEL GDPR REGOLAMENTO UE 2016/679

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

Circolare n. 78 del 30 Maggio 2018

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

POLITICA PER LA PROTEZIONE DEI DATI

IL DIRITTO ALLA PRIVACY

INFORMATIVA FORNITORI

Promozione adeguamento GDPR - 19/05/2018. Servizi & Prezzi Compliance GDPR EU 2016/679

Informativa ai sensi del Regolamento UE 2016/679 ( GDPR ) - Studio Ambiente

BILETTA MAZZOTTI CERIOLI & ASSOCIATI

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

Finalità obbligatorie per le quali il trattamento non richiede il Suo consenso

Programma. in collaborazione con

Transcript:

Novità, cambiamenti e attività da intraprendere COME METTERE A NORMA lo STUDIO, l AZIENDA, l ORGANIZZAZIONE IN BASE AL NUOVO REGOLAMENTO EUROPEO SUI DATI PERSONALI 14 Marzo 2018

Schema protezione dati personali 1

Che cos è il GDPR? è l acronimo di General Data Protection Regulation in vigore il 25/05/2016 con un applicazione differita di due anni al 25/05/2018 Perché era necessaria una nuova normativa? l evoluzione tecnologia ha cambiato tutto un fronte comune europeo sia interno che esterno oggi i dati sono sicuramente FONTE di nuovi Business sono il Nuovo petrolio e come il petrolio grezzo, i dati per avere un vero valore devono essere raffinati! 2

Che cos è il GDPR? Qual è la novità principale? Cambia l approccio al tema PRIVACY fino ad oggi al centro della normativa Privacy è stata posta la persona, con la nuova normativa Il dato acquista un valore in sé e viene tutelato per ciò che è Il Nuovo Regolamento trasforma la protezione dei dati personali da puro strumento giuridico in tema strategico (per la nuova economia dei dati) Si potrebbe riassumere questo concetto La legge non deve essere citata ma chiede di essere rispettata 3

Che cosa comporta il GDPR per lo Studio, l Azienda, l Organizzazione Tutti trattano dati personali, (clienti, fornitori, dipendenti, prospect) Finora la Privacy è stata trattata come un adempimento Con il GDPR cambia tutto: la privacy diventa un processo aziendale I dati sono il petrolio dell era digitale perché oggi servono a: 1. Creare prodotti innovativi (capendo i bisogni) 2. Formulare offerte mirate ai consumatori, convertendo sconosciuti in clienti fidelizzati (marketing) 3. Garantire sicurezza e migliorare l efficienza aziendale (internet delle cose) 4. Controllare, profilare e analizzare (comportamentale) 4

È solo un problema di approccio il Nuovo GDPR? Oppure ci sono dei cambiamenti reali e concreti? di fatto cambia tutto 1. cambia l informativa che diventa breve, priva di riferimenti normativi, deve essere comprensibile anche ai minori e contenere nuovi elementi, come l origine dei dati e il tempo di conservazione previsto 2. cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati 3. viene introdotta la figura del Data Protection Officer (DPO) (il responsabile per la protezione dei dati personali) 5

È solo un problema di approccio il Nuovo GDPR? Oppure ci sono dei cambiamenti reali e concreti? di fatto cambia tutto 4. sparisce l obbligo di notificazione al Garante e si introduce il Registro dei Trattamenti 5. sparisce il DPS e nasce il Documento di valutazione di impatto del trattamento dei dati 6. vengono introdotti nuovi diritti, come quello alla portabilità dei dati 7. diventa essenziale progettare la tutela dei dati personali e documentare l attenzione verso l analisi dei rischi connessi al trattamento dei dati personali 6

Un nuovo modello organizzativo La vecchia normativa (DLgs 196/2003) si basava sui diritti dell interessato. La nuova normativa è incentrata sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento. La vecchia normativa (DLgs 196/2003) indicava ai titolari del trattamento un elenco di misure minime di sicurezza da adottare, senza le quali erano previste sanzioni. La nuova normativa sposta la scelta e la responsabilità su quali misure tecniche ed organizzative sia opportune adottare, direttamente sul titolare del trattamento insomma chi tratta dati DEVE predisporre dei processi di valutazione di impatto del trattamento dei dati personali 7

Come cambia l informativa L informativa diventa finalmente uno strumento di informazione, cessando di essere un adempimento. Il titolare deve fornire all interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice, chiaro e senza riferimenti normativi Come raccogliere il consenso al trattamento Fino ad oggi il consenso era FORMALE (consenso espresso) adesso diventa NON EQUIVOCO Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è quello reso quando, visualizzando un banner che ci informa che il sito che stiamo visitando utilizza cookies, continuiamo a navigare di fatto accettando l uso dei cookies. 8

Un esempio di check list per verificare la completezza di una informativa. L identità e i dati di contatto del titolare del trattamento (o del suo rappresentante) I dati di contatto del responsabile della protezione dei dati, (DPO se previsto) Le finalità del trattamento cui sono destinati i dati personali Se il trattamento è necessario per il perseguimento del legittimo interesse (P.A.) del titolare o di terzi, Gli eventuali destinatari/ categorie di destinatari dei dati personali Eventuale - trasferimento dei dati personali a un paese terzo o ad altra organizzazione - profilazione - diffusione SI NO Il periodo di conservazione dei dati personali L esistenza del diritto dell interessato di chiedere al titolare del trattamento l accesso ai dati personali / la rettifica /la cancellazione /la limitazione / di opporsi /diritto alla portabilità dei dati L esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l interessato ha l obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati 9

L analisi del rischio: cos è e come si crea Per anni siamo stati abituati a gestire un adempimento formale denominato Documento Programmatico sulla Sicurezza (DPS) Il nuovo regolamento europeo propone un nuovo strumento: il Data Protection Impact Assessment (DPIA) ovvero il Documento di Valutazione di Impatto del Trattamento dei Dati Questo processo prevede tre distinte fasi da svolgersi periodicamente con cadenza almeno annuale: 1. Analisi dei rischi 2. Definizione della lista delle criticità 3. Definizione del programma di intervento 10

Come cambiano i rapporti con il Garante Fino ad a oggi, chi effettuava alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione) era tenuto a effettuare un adempimento preventivo: la notificazione al Garante per la protezione dei dati personali. Con il GDPR dal 2018 cambia tutto: viene abolito l obbligo di Notificazione di specifici trattamenti all Autorità 11

Principi Fondamentali 12

Diritti dell Interessato L interessato è la persona fisica alla quale i dati personali si riferiscono Diritto di accesso Diritto alla rettifica Diritto aggiornamento Diritto cancellazione con il GDPR abbiamo Oblio Portabilità 13

Il Data Protection Officer (DPO) Chi deve dotarsi di un DPO - tutte le P.A, - chi tratta dati su larga scala (sensibili) Quali requisiti sono richiesti al DPO - adeguata conoscenza - operare in autonomia - senza conflitti d interesse 14

Il Data Protection Officer Ideale Secondo gli esperti, il profilo ideale è quello di un professionista che sia: Esterno all azienda Dotato delle necessarie competenze giuridiche (per poter interpretare in modo corretto le norme) ed informatiche (per potersi interfacciare in modo adeguato con i responsabili dei sistemi informativi) Capace di realizzare una completa analisi dei rischi e una valutazione delle interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione delle informazioni Il DPO dunque ha il compito di sorvegliare che siano rispettati sia il Regolamento Ue sia le specifiche prescrizioni delle autorità nazionali, che vi sia cooperazione con l autorità di controllo, che chi gestisce il trattamento dei dati sia informato e consigliato rispetto all eventuale non conformità di scelte adottate 15

Cosa fare per arrivare pronti al GDPR Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal GDPR sono: Obbligo di definire i tempi di conservazione dei dati Obbligo di indicare la provenienza dei dati in caso di utilizzo Obbligo di predisporre il Documento di Valutazione di Impatto del Trattamento dei Dati Obbligo di gestire la responsabilizzazione (accountability) (prevalentemente mediante il Data Protection Officer) Obbligo di comunicare tempestivamente al Garante violazioni dei propri database 16

Cosa deve fare lo Studio, l Azienda, l Organizzazione in pratica, per adeguarsi alle novità? 1. Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati 2. Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti* 3. Attribuire correttamente i ruoli 4. Tenere un registro delle attività di trattamento svolte 5. Adottare misure appropriate per fornire l informativa all interessato: Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole Definire le nuove regole di acquisizione e documentazione del consenso Verificare se si trattano dati di minori in grado di dimostrare che l interessato ha concesso il proprio benestare *non è una «sponsorizzazione» personale ma un invito a valutare con attenzione una scelta strategica: consulente, prezzo, software, faccio tutto io o lo faccio fare da un mio collaboratore, etc. 17

Cosa deve fara lo Studio, l Azienda, L Organizzazione in pratica, per adeguarsi alle novità? 6. Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento. 7. Garantire la conformità al Regolamento. 8. Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l evento dannoso non mi è in alcun modo imputabile. Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale*. *vale l annotazione fatta in precedenza Primi Passi 18

ANALISI Obiettivo: Quali dati personali possiede l Azienda Come sono trattati Output: Lista di processi Aziendali che trattano dati personali 19

Registro dei trattamenti in cosa consiste? Consiste nel mappare/fotografare lo stato della gestione in azienda dei dati personali. Informazioni da raccogliere: Categorie di dati e di soggetti interessati coinvolti Finalità del trattamento Inquadramento giuridico Rapporti con terze parti Flussi esteri di dati (eventuali) Gestione informativa e consenso Gestione diritti interessati Tempi di conservazione Misure di sicurezza 20

Primi Passi Prima occorre identificare i principali «uffici» coinvolti nel trattamento dei dati personali (possibilmente partendo da un organigramma della società) Per ogni «ufficio» individuare le principali attività che trattano dati personali Per ogni attività definire: Finalità, categorie di dati e soggetti interessati coinvolti Flussi esteri di dati e rapporti con terze parti 21

Un esempio pratico Categorie di soggetti interessati: dipendenti Categorie di dati: dati anagrafici, dati economici, dati sanitari, ecc. Finalità del trattamento: gestione rapporto di lavoro Inquadramento giuridico: obbligo contrattuale Ruoli data protection azienda: titolare Rapporti con terze parti: agenzia di collocamento (responsabile del trattamento), compagnia di assicurazione (resp. tratt.), ecc. Flussi esteri di dati: Ufficio risorse umane casa madre estera Gestione informativa e consenso: informativa nel contratto Gestione diritti interessati: policy aziendale e email di contatto Tempi di conservazione: come per legge Misure di sicurezza: tecniche, organizzative, certificati 22

Senza DIMENTICARE di Predisporre una corretta informativa per i Dipendenti Disporre di una Policy Aziendale corretta ed esplicativa Attivare una corretta gestione delle passwords Aver fatto una corretta formazione a tutti i «collaboratori» Aver predisposto tutte le nomine di Responsabili Esterni Aver controllato le varie Responsabilità a «cascata» 23

Ulteriori PASSI DA INTRAPRENDERE In funzione della tipologia di dati che vengono trattati ed anche in funzione della tipologia di azienda si potrebbero/dovrebbero tenere in considerazione anche i seguenti punti: 1. Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare 2. Valutare l opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti 3. In caso di violazione, notificarla all autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta) documentando il tutto 4. Designare sistematicamente un Data Protection Officer (DPO) quando necessario 5. Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei database aziendali 24

SANZIONI Amministrative (omessa o non idonea informativa, trattamento illecito dei dati, videosorveglianza) Penali (diffusione dati sensibili, controllo lavoratori) fino al 4% del fatturato mondiale devono essere in concreto effettive, proporzionali e dissuasive 25

G R A Z I E per la Vostra partecipazione www.netorange.it NetOrange S.r.l. Servizi IT Web Marketing Privacyt 14 Marzo 2018

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back