Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Documenti analoghi
PRIVACY: COSA CAMBIA CON IL NUOVO REGOLAMENTO EUROPEO?

GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI G U I D E L I N E S, R E G O L E, I M PAT T I E SANZIONI

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Convegno Annuale AISIS

Il nuovo Regolamento europeo sulla protezione dei dati e il suo impatto specie in ambito sanitario. Milano 9 novembre 2017 Chiara Romano

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

L attuazione del GDPR in Italia: sfide e opportunità

Cittadini più garantiti

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

I REGISTRI DELLE ATTIVI TA DI TRATTAMENTO, il fulcro del sistema gestionale privacy nel sistema sanitario

Milano, 13 ottobre 2016

Incontri di formazione

Tabella delle concordanze: avamprogetto LPD/ riforma del Consiglio d Europa / riforma dell Unione europea

PRIVACY NUOVO REGOLAMENTO UE

Tra diritto del paziente alla riservatezza ed utilità della condivisione del dato sanitario

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Giugno Carnelutti Studio Legale Associato

GESTIRE I SOCIAL IN AZIENDA Social e web nel rapporto di lavoro: principi delle policy. Paola Borghi Direzione Sindacale e del Lavoro ABI

Sistemi informativi in ambito sanitario e protezione dei dati personali

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

Il Professionista Europeo della Privacy

DATA PROTECTION & GDPR Misure di sicurezza informatiche ed assicurative nel trattamento dei dati personali

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

CONSULENTE DELLA PRIVACY

Il nuovo Regolamento europeo sulla privacy. Avv. Prof. Stefano Aterno

Dott. Filippo Lorè Consulente Privacy

MEMO. Regolamento UE 2016/679 Privacy

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

Tecnologia e Management delle Aziende sanitarie, l'approccio organizzato alle misure del Regolamento 2016/679 UE FILOMENA POLITO -24 GIUGNO 2016

REPARTI SPECIALI DELLA GUARDIA DI FINANZA PROTEZIONE DATI PERSONALI

Privacy e attività bancaria: evoluzione normativa, sicurezza e innovazione

Videosorveglianza Decalogo e regole per la privacy

Valutazione d impatto e gestione integrata dei rischi

COS E IL GDPR GENERAL DATA PROTECTION REGULATION. Avv. Viviana Raisi

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

ISTAT DCRS. Impatto della normativa privacy sul processo di formazione del Programma statistico nazionale

PRIVACY DAY FORUM Roma, 13 ottobre 2016

Lodi, 31 maggio 2017

IL DIRITTO DEI SOCIAL NETWORK ( ) Prof. Ugo Pagallo

Le certificazioni nel nuovo regolamento UE sulla privacy

Politica sulla Privacy

PILLS n Privacy: il nuovo pacchetto di normativa europea per la. protezione dei dati personali

PROTEZIONE E TRATTAMENTO DEI DATI PERSONALI:UN NUOVO APPROCCIOA LIVELLO EUROPEO

Prot. N 3CXXX Bologna, XX Maggio 2017

Informativa e richiesta di consenso al trattamento dei dati personali ai sensi dell art. 13 del D.Lgs. 196/2003

Il diritto derivato o secondario. Definizione. Classificazione degli atti giuridici dell Unione

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Sezione 1 - Gestione e governance della protezione dei dati

GDRP 2016/679: Conformi entro il Il Nuovo Regolamento Europeo in materia di Protezione dei Dati Personali

L ORDINAMENTO GIURIDICO DELL UNIONE EUROPEA. IL SISTEMA DELLE FONTI. Il sistema delle fonti del diritto dell Unione europea

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

EVENTI CON PIANO B LINEE GUIDA. revisione 1.0

TRATTAMENTO DEI DATI PERSONALI Informativa ex art. 13 d. lgs. 30 giugno 2003 n. 196

IL REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI REG. (UE) n. 679/2016 DOVRA ESSERE ADOTTATO DALLE IMPRESE ENTRO IL

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA E DISPOSIZIONI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N. 679/2016.

DIPENDENTI Sussidi & Contributi anno in corso FONDO DI RICONVERSIONE O RISTRUTTURAZIONE AZIENDALE

IL SISTEMA PER LA GESTIONE DEI DATI PERSONALI, IN CONFORMITA AI REQUISITI DEL REGOLAMENTO (UE) n. 679/2016,

Regolamento UE 2016/679

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

2

COMMISSIONE DELLE COMUNITÀ EUROPEE. Progetto. REGOLAMENTO (UE) n. /2011 DELLA COMMISSIONE

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

1. Elaborazione dei presìdi in materia di governo e controllo del prodotto

IL SISTEMA DI GESTIONE AMBIENTALE SECONDO GLI STANDARD UNI EN ISO 14000

INFORMATIVA BENEFICIARI

Il/La sottoscritto/a M/F Codice fiscale... nato/a il a... Dirigente/Amministratore della Società

IL CONTROLLO A DISTANZA DEI LAVORATORI

INDICE. SAGGIO INTRODUTTIVO L evoluzione della disciplina giudiziaria nei paesi democratici di Giuseppe Di Federico... pag. XVII

PIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

Ordinanza sulle procedure di certificazione della protezione dei dati (OCPD)

Spett.le Consiglio direttivo. Il/La sottoscritto/a nato/a a il Residente in Via/Corso/Piazza n Comune CAP Provincia Tel Cell

INFORMATIVA AI SENSI DELL ART. 13 D. LGS.

REGOLAMENTO SUL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI E INDIVIDUAZIONE DELLE TIPOLOGIE DI DATI E DELLE OPERAZIONI SU DATI

L'impatto del GDPR sulle strategie ICT

LETTERA DI INCARICO PER IL TRATTAMENTO DI DATI PERSONALI

MODULO DI AMMISSIONE AL COLLEGIO UNIVERSITARIO LUIGI LUCCHINI

Informativa n. 1 ai sensi dell articolo 13 del Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali)

LA PRIVACY NELLA DIREZIONE RISORSE UMANE ALLA LUCE DEL NUOVO REGOLAMENTO UE

Università Popolare degli Studi di Milano INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

PARLAMENTO EUROPEO. Commissione per le petizioni COMUNICAZIONE AI MEMBRI

Maggio Gli istituti bancari al test del Regolamento privacy europeo

Privacy e protezione dei dati personali

Circolare per i Clienti del 22 febbraio 2012

ALLEGATO B (art. 12 del regolamento)

Notifica Attività libero-professionale

sulla valutazione del merito creditizio

Transcript:

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali In collaborazione con 2 dicembre 2016 Hotel NH Padova Via Tommaseo, 61-35131 Padova PD 1

Aspetti introduttivi 2

Aspetti introduttivi Come noto, lo scorso 24 maggio 2016, il Regolamento Europeo per la protezione dei dati personali (Regolamento UE 2016/679) è entrato formalmente in vigore e diverrà pienamente applicabile a decorrere dal 25 maggio 2018, secondo quanto previsto dall art. 99 delle disposizioni finali del medesimo. Il Regolamento approvato va ad abrogare integralmente la Direttiva 95/46/CE, rimasta in vigore per oltre venti anni, e dunque anche tutte le leggi nazionali di recepimento, tra cui il d.lgs. 196/2003 (Codice Privacy). 3

Aspetti introduttivi Nonostante le organizzazioni abbiano a disposizione circa due anni prima della piena applicabilità del Regolamento, è opportuno sottolineare che alcune delle novità introdotte, impongono una attenta e preventiva pianificazione, potendo comportare modifiche organizzative significative e, in alcuni casi, investimenti di natura tecnologica. Tali interventi presuppongono quindi attività di valutazione ed analisi per le quali è più che opportuno sfruttare il tempo a disposizione per non farsi trovare impreparati. 4

Le novità del GDPR 5

Responsabilità del titolare ACCOUNTABILITY Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Responsabile della protezione dei dati DPO Registro dei trattamenti Eccezione per imprese con meno di 250 dipendenti Figura indipendente nominata dal titolare e dal responsabile del trattamento. Svolge le seguenti funzioni: informare e consigliare il Titolare o il Responsabile in merito agli obblighi del Regolamento, verificarne l applicazione e l attuazione, fornire pareri, fungere da punto di contattato sia con gli interessati che con il Garante. Contenente i dati del/dei titolare/i e degli eventuali responsabili, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi ed una descrizione generale delle misure di sicurezza. Tali documenti devono essere messi a disposizione del Garante e manutenuti sia dal titolare che dagli eventuali responsabili. I registri di cui sono tenuti in forma scritta. Protezione sin dalla progettazione PRIVACY BY DESIGN Le misure a protezione di dati devono essere adottate già al momento della progettazione di un prodotto o software. Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire in ogni caso che siano trattati solo i dati necessari per ogni specifica finalità. 6

Responsabilità solidale di titolare e responsabile Il Titolare e il Responsabile del trattamento sono responsabili in solido nei confronti dell interessato, per un eventuale danno causato dal trattamento. Responsabilità dei contitolari Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità. Sicurezza viene meno il concetto di misure minime di sicurezza, attualmente previsto dalla nostra legislazione. Infatti, nel Regolamento si fa riferimento esclusivamente a qualunque tipo di misura che possa garantire un adeguato livello di sicurezza, tenendo conto dei costi di attuazione, della natura, del campo di applicazione, del contesto, delle finalità del trattamento, oltre che dei rischi esistenti nel caso concreto. Violazione di dati DATA BREACH Nel caso si verifichino violazioni di dati personali, il Titolare ne deve dare comunicazione all Autorità di Controllo e, nei casi più gravi, anche agli interessati (attualmente ciò avviene solo per violazione di dati biometrici). 7

Eliminazione dell obbligo di notifica Viene eliminato l obbligo generale di notificare all autorità di controllo per il trattamento di dati personali, da sostituire con meccanismi e procedure efficaci che si concentrino piuttosto su quei trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche Valutazione d impatto PRIVACY IMPACT ASSESSMENT Sostituisce la notificazione. È la valutazione preliminare degli impatti a cui andrebbe incontro un processo qualora dovessero essere violate le misure di protezione dei dati. Necessita di alcune attività come la mappatura dei dati e dei trattamenti, la pianificazione degli interventi tecnologici e organizzativi di protezione dei dati con una valutazione complessiva di riduzione dello stato di rischio Certificazioni Richiesta volta ad ottenere il riconoscimento della conformità al Regolamento delle operazioni di trattamento dei dati. Diritto all oblio Limitazione del trattamento Diritto di ottenere la cancellazione dei dati che lo riguardano purché non sussistano motivi legittimi per conservarli. L interessato può richiedere la limitazione del trattamento qualora contesti l esattezza dei dati nel periodo necessario al Titolare per verificare la correttezza, trattamento illecito, qualora i dati non siano più necessari al Titolare, ma l interessato debba utilizzarli in sede giudiziaria, l interessato si è opposto al trattamento in attesa di verifica. 8

L impatto del GDPR sulle organizzazioni 9

L accountability come elemento fondamentale Con il Regolamento UE 2016/679 definito il Legislatore europeo ha rovesciato la prospettiva della disciplina di riferimento concependo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del titolare del trattamento ( accountability ). Il testo del RGPD si sviluppa essenzialmente su processi, attività, misure tecniche e organizzative, sanzioni e obblighi rivolti a titolare (e responsabile) del trattamento, mentre la Direttiva 95/46 era prevalentemente incentrata sui diritti dell interessato. 10

Il concetto di accountability I DATI PERSONALI DEVONO ESSERE: trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»); adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; («limitazione della conservazione»); trattati in maniera da garantire un'adeguata sicurezza dei dati personali, («integrità e riservatezza»). Il titolare del trattamento è competente per il rispetto dei suddetti principi e in grado di comprovarlo («responsabilizzazione»). 11

Il concetto di accountability Art. 24 GDPR Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento Dette misure sono riesaminate e aggiornate qualora necessario. 12

IL SISEMA DI GESTIONE DELLA DATA PROTECTION Cosa significa per i Titolari del trattamento? Considerare la data protection sin dal momento della progettazione Mantenere aggiornate nel tempo le regole e quanto prodotto nel loro rispetto Verificare l effettiva applicazione delle misure adottate DPO Audit Interni Audit Esterni Certificazioni Attribuire ruoli e responsabilità in materia di data protection Prevedere un insieme di regolamenti e procedure per la gestione della data protection ACCOUNTABILITY Formalizzare la documentazione di adempimento ai singoli obblighi normativi 13

Cosa significa per i Titolari del trattamento? Il GDPR lascia maggiore discrezionalità ai titolari di decidere, quali soggetti che determinano le finalità e i mezzi del trattamento di dati personali, le modalità attraverso le quali conformarsi alle sue disposizioni, ma tale maggiore libertà è gravata dall onere di essere in grado di dimostrare le ragioni che hanno portato a tali decisioni e le motivazioni per cui si ritiene che le medesime abbiano consentito di raggiungere la conformità normativa. Sarà, per esempio, necessario per i titolari essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un data breach e di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla data protection by design. 14

CONCLUSIONI Questo cambiamento di prospettiva potrebbe ripercuotersi anche sugli strumenti che i titolari utilizzeranno per rispettare il principio in esame e garantirsi la possibilità di comprovare la conformità al GDPR E possibile presagire che l attuale processo di digitalizzazione delle imprese possa abbracciare anche aspetti legati alla gestione degli adempimenti connessi alla protezione dei dati, sia nell ottica dell informatizzazione dei processi sottostanti che di documentabilità delle scelte effettuate e dei controlli effettuati. 15

Grazie per l attenzione andrea.reghelin@p4i.it +39.3288452911 16

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back