GDPR: azioni raccomandate dal legale

Documenti analoghi
Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

Convegno Annuale AISIS

CONSULENTE DELLA PRIVACY

PIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

Offerta di servizi in outsourcing e di consulenza e assistenza in materia di controlli interni

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

Milano, 13 ottobre 2016

Prot. N 3CXXX Bologna, XX Maggio 2017

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

MEMO. Regolamento UE 2016/679 Privacy

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Incontri di formazione

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Indice. Lo scenario. GDPR: La norma. La compliance in 5 punti. Tutto quello che c è da sapere - Infografica

DATA PROTECTION & GDPR Misure di sicurezza informatiche ed assicurative nel trattamento dei dati personali

IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Il Professionista Europeo della Privacy

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

MASTER DI SPECIALIZZAZIONE PER RESPONSABILI DELLA PROTEZIONE DEI DATI PERSONALI Privacy Officer - Data Security Officer

Compliance in Banks 2011

Tra diritto del paziente alla riservatezza ed utilità della condivisione del dato sanitario

Convegno Annuale AISIS

Valutazione d impatto e gestione integrata dei rischi

Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Sanità 2.0: quali strumenti per le Strutture Sanitarie?

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Il nuovo Regolamento europeo sulla protezione dei dati e il suo impatto specie in ambito sanitario. Milano 9 novembre 2017 Chiara Romano

La Security in relazione alla normativa Data Protection

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

IL SISTEMA PER LA GESTIONE DEI DATI PERSONALI, IN CONFORMITA AI REQUISITI DEL REGOLAMENTO (UE) n. 679/2016,

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

INDICE. Auditor 231 in sanità... 2 Componente dell Organismo di Vigilanza 231 in sanità... 3 Consulente 231 in sanità... 5

Sistemi informativi in ambito sanitario e protezione dei dati personali

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Modello Organizzativo D.Lgs 231/01. di Poste Italiane

POLITICA AZIENDALE DESTRI S.R.L.

Dott. Filippo Lorè Consulente Privacy

Giudizio di conformità sugli adempimenti richiesti BOZZA

Revisione delle norme ISO 9001:2015 e ISO 14001:2015

Sezione 1 - Gestione e governance della protezione dei dati

Privacy e Cybersecurity nella sanità

ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO

LA STRUTTURA DELL ISO 9001:2015

L'impatto del GDPR sulle strategie ICT

Il nuovo Regolamento europeo sulla privacy. Avv. Prof. Stefano Aterno

introduzione Sandro Storelli CNA Padova, 4 maggio 2016

GDPR: NUOVA PRIVACY LA CONFORMITÀ SU MISURA. Giancarlo Butti - Alberto Piamonte. Prefazione a cura di Maria Roberta Perugini

AREA C: SISTEMI INTEGRATI

ORDINE DEGLI ATTUARI

ISO 9001:2015 LA STRUTTURA DELLA NORMA

1. Formazione Qualità 2. Formazione Formazione Privacy 4. Audit

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

HR SOFTWARE. Controllare, misurare e ridurre i rischi professionali per migliorare la qualità della vita al lavoro. accilineplus.ayming.

I Professionisti della digitalizzazione documentale e della privacy

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

Operations Management Team

DATA PROTECTION OFFICER - PRIVACY SPECIALIST NUOVA PROFESSIONE PER L EUROPA. Corso di Alta Formazione Manageriale

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

Cybersecurity per la PA: approccio multicompliance Sogei

Descrizione del tipo di attività Variabili che Influenzano il prezzo Agevolazioni PiùBorsa

La metodologia di progettazione: accenni al Project Cycle Management (Gestione del ciclo del progetto)

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

I REGISTRI DELLE ATTIVI TA DI TRATTAMENTO, il fulcro del sistema gestionale privacy nel sistema sanitario

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

con il contributo incondizionato di

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Novità e scadenze nel recepimento della Direttiva Seveso III

IL DIRITTO DEI SOCIAL NETWORK ( ) Prof. Ugo Pagallo

Gestione del Rischio Informatico

Privacy e attività bancaria: evoluzione normativa, sicurezza e innovazione

L attuazione del GDPR in Italia: sfide e opportunità

AXXEA INNOVATION, TECHNOLOGY & BUSINESS

Revisione delle norme ISO 9001:2015 e ISO 14001:2015

Corso di qualifica per Auditor 231, componente OdV 231 ed Specialista 231

Colin & Partners. Business Unit e Servizi

GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI G U I D E L I N E S, R E G O L E, I M PAT T I E SANZIONI

XIX CONVEGNO NAZIONALE DI INFORMATION SYSTEMS AUDITING

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

MONITORAGGIO COOPERATIVE, SUBAPPALTATORI E FORNITORI

Corso di qualifica per Auditor 231, componente OdV 231 ed Esperto 231

ESPERIENZA NEI SISTEMI DI CONTROLLO DELLA POLITICA AGRICOLA COMUNE

SOMMARIO. Capitolo 1 Passato, presente, e futuro del Privacy Officer. Capitolo 2 Il Privacy Officer: ruolo, compiti e responsabilità

BIG DATA E CYBER SECURITY TRA PRIVACY E TUTELA DEL CONSUMATORE

DRONI E DIRITTO. di Valentina Luisalba Filippini IMPORTANTE

Il D.Lgs. 231/2001 e l esperienza di Confindustria Bergamo. Stefano Lania Servizio Fiscale e Societario 13 Novembre 2013

Il Regolamento Europeo Data Protection: opportunità di una adozione proattiva. Incontro Club TI del 24 settembre 2012 Claudio Copelli

Offerta di servizi consulenziali alle società di calcio professionistico Labet Srl. All rights reserved.

Transcript:

GDPR: azioni raccomandate dal legale avv. Luca Bolognini, Founding Partner ICT Legal Consulting & Presidente dell Istituto Italiano per la Privacy e la Valorizzazione dei Dati luca.bolognini@ictlegalconsulting.com - www.ictlegalconsulting.com l.bolognini@istitutoprivacy.it - http://www.istitutoitalianoprivacy.it Follow @lucabolognini ICTLC www.ictlegalconsulting.com

Manca meno di un anno alla scadenza del termine ultimo per mettersi in regola con il nuovo Reg. 679/2016(UE) (http://eurlex.europa.eu/legal-content/it/txt/?uri=celex%3a32016r0679). Dati i numerosi e significativi cambiamenti imposti da questa rivoluzionaria normativa privacy, entrata in vigore nel maggio 2016, ha senso impostare il lavoro di adeguamento con approccio proattivo ed efficiente.

1. Due Diligence & Gap Analysis privacy, audit tecnologico misure di sicurezza e piano strategico di transizione e compliance, alla luce della nuova disciplina. La Due Diligence & Gap Analysis è finalizzata all individuazione delle possibili azioni correttive ex Reg. 679/2016 con riferimento all attuale/corrente sistema privacy adottato nell organizzazione Titolare o Responsabile del trattamento, allo scopo di prepararsi consapevolmente anche in termini di valutazione del potenziale rischio sanzionatorio connesso all inadempimento all avvento della nuova normativa. Il risultato della Due Diligence & Gap Analysis sarà un Report pratico e dettagliato in cui si indicheranno: trattamento censito, obblighi, adempimento/inadempimento, livello di priorità (secondo criteri di rischiosanzione), azione raccomandata. Questo documento costituirà l indispensabile strumento di orientamento per i passi di compliance privacy successivi.

2. Alla Due Diligence segue la stesura del Piano di transizione dalla compliance ex D.Lgs. 196/2003 Direttiva 95/46/CE all applicazione del Reg. 679/2016. E inoltre raccomandata un analisi strategica, per le imprese con sedi in più Paesi, relativa all applicabilità delle leggi e alla competenza giurisdizionale privacy a seconda dei trattamenti e degli stabilimenti del Titolare/Responsabile.

3. Organizzazione del nuovo Data Protection Office(r) aziendale/dell ente, anche esternalizzato. Necessario un team con competenze privacy e di IT security ( Data Protection Office ) a supporto dell operatività quotidiana della nuova figura di Responsabile della protezione dei dati personali, Data Protection Officer, (obbligatoria per chi faccia monitoraggio o tratti dati sensibili/giudiziari su larga scala e per tutti gli enti pubblici). 4. Designazione del Data Protection Officer che, supportato dal team di cui sopra, svolgerà in maniera proattiva e il più possibile autonoma le necessarie attività privacy per conto dell azienda/ente.

5. Data Protection Impact Assessment (Valutazione d impatto privacy) per i trattamenti di dati che presentano rischi specifici per i diritti degli interessati, da operarsi dopo avere individuato tali trattamenti in fase di due diligence/gap analysis. Tale analisi può essere svolta anche a mezzo dell adozione di sistemi software di analisi dei rischi privacy (possibilmente combinati con ISO27001).

6. Eventuale preparazione di verifiche/consultazioni preliminari innanzi al Garante in caso di trattamenti di dati che non presentino sufficienti misure di mitigazione dei rischi di impatto, a norma dell art. 17 Cod. Privacy e, in futuro, del nuovo Reg. 679/2016.

7. Revisione dei testi delle informative e dei consensi per il trattamento di dati personali, on line e off line, rendendoli già compatibili con i requisiti di cui al Reg. 679/2016. 8. Revisione dei testi degli incarichi, delle nomine e dei data processing agreements necessari per i soggetti che trattano dati personali, per renderli già conformi ai requisiti previsti dal Reg. 679/2016.

9. Impostazione e redazione delle nuove documentazioni obbligatorie, con armonizzazione delle vecchie documentazioni presenti nella struttura del Titolare/Responsabile del trattamento e loro trasformazione nei Registri di cui ai nuovi artt. 30 e ss. del Reg. 679/2016; la realizzazione e successiva tenuta dei registri obbligatori possono essere svolte anche attraverso un software di gestione documentale privacy, disegnato in ossequio ai requisiti di cui al Reg. 679/2016.

10. Data Breach (Notification/Communication) Management (Gestone della violazione dei dati personali e relativa notifica all Autorità e comunicazione agli interessati). Assistenza volta alla predisposizione di una dettagliata procedura per gestire le eventuali violazioni dei dati personali al fine di individuarne prontamente le cause, mitigarne gli effetti, valutare la necessità di notifica all Autorità e di comunicazione agli interessati nonché svolgere correttamente tali adempimenti -> ruolo forensics essenziale.

11. Predisposizione di procedure per facilitare i diritti dell interessato (ad es. nel caso di diritto alla portabilità ex art. 20.1 e del diritto all oblio ex art. 17.2). 12. Formazione degli incaricati sulla nuova disciplina privacy europea, ex Reg. 679/2016.

13. Designazione dei Data Protection Designer. Professionisti in grado di assistere e guidare l applicazione dei principi di data protection by design e data protection by default nella progettazione di nuovi processi, prodotti e servizi, a norma degli artt. 24 e ss. del Reg. 679/2016.

14. Corretta integrazione fra adempimenti settoriali (ancora di competenza nazionale, es. privacy e Jobs Act, privacy sanitaria, ecc.) e nuova compliance generale europea. Attenzione alle sanzioni.

15. Presidio continuativo legale e tecnologico di tutti gli aspetti di compliance GDPR: chi si ferma, è perduto. 3 PAROLE-CHIAVE: DOCUMENTARE, DOCUMENTARE, DOCUMENTARE

16. Last but not least anzi da sviluppare e far evolvere sin dall inizio del percorso realizzare un Piano di Sicurezza dei Dati che garantisca un livello di sicurezza adeguato al rischio, avendo la capacità di: a) cifrare, pseudonimizzare o anonimizzare i dati a seconda dei casi; b) assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

A voler pensare male Dulcis in fundo: stipulare una polizza intendo una polizza assicurativa contro il cyber-risk (nessuno è perfetto)

Grazie dell attenzione Q&A avv. Luca Bolognini, Founding Partner ICT Legal Consulting & Presidente dell Istituto Italiano per la Privacy e la Valorizzazione dei Dati luca.bolognini@ictlegalconsulting.com - www.ictlegalconsulting.com lucabolognini@istitutoprivacy.it - http://www.istitutoitalianoprivacy.it ICTLC www.ictlegalconsulting.com 31

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back