Il nuovo Regolamento GDPR UE 2016/679: cosa cambia rispetto al Codice Privacy oggi in vigore e che cosa occorre fare per adeguarsi
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il nuovo Regolamento GDPR UE 2016/679:
cosa cambia rispetto al Codice Privacy
oggi in vigore e che cosa occorre fare per adeguarsi
Lucca, 17 maggio 2018 Dr. Sandro La FerlaUna data di riferimento: 25 maggio 2018
Non essendo necessarie leggi nazionali di
recepimento come di solito avviene per le
direttive, questa data sicuramente non verrà
prorogata.PERCHÉ IL GDPR? ØPer generare consapevolezza sul valore dei dati personali ma anche sui rischi che tale trattamento comporta; ØPer bilanciare l’interesse delle imprese ad utilizzare i dati personali e l’interesse delle persone fisiche a mantenere il controllo sui loro dati; ØPer ridurre gli adempimenti meramente formali e burocratici e generare consapevolezza e responsabilizzazione in capo ai soggetti che trattano dati personali; ØPer permettere un uso maggiore ma più consapevole e responsabile dei dati; ØPer uniformare la normativa nel Mercato Unico Europeo; E’ molto probabile che in futuro vi possa essere un vantaggio concorrenziale per i soggetti che saranno conformi alle normative, che si dotano di certificazioni etc., mentre resteranno fuori dal mercato i soggetti che non sono in grado di dimostrare la loro conformità.
COS’È UN DATO PERSONALE ? Il dato è personale se contiene informazioni idonee a ricondurlo ad una persona fisica identificata o identificabile ØInformazione: qualsiasi informazione (es. la posizione, un acquisto, un interesse, l’indirizzo e-mail, l’età etc.) ØPersona fisica: non sono dati personali i dati delle persone giuridiche, né delle persone decedute ØIdentificata: non sono dati personali i dati anonimi ØIdentificabile: quando si può risalire all’identità della persona combinando diverse informazioni, che il titolare può procurarsi con un sforzo non sproporzionato in termini di costi e tempo, tecnologia disponibile e tenendo conto delle finalità del trattamento
TIPOLOGIE DI DATO PERSONALE Dati comuni Tutti i dati ad esclusione di quelli sensibili e giudiziari (es. nome, indirizzo, telefono, e- mail, posizione etc.); Dati sensibili (o categorie particolari di dati personali) Salute; vita ed orientamento sessuale; origine razziale o etnica; opinioni politiche; convinzioni religiose o filosofiche; appartenenza sindacale; dati genetici; dati biometrici; per il trattamento di questi dati occorre uno specifico consenso da parte degli interessati; Dati giudiziari I dati relativi a condanne penali e ai reati o a connesse misure di sicurezza;
COS’È UN TRATTAMENTO ? Trattamento è qualsiasi operazione effettuata su un dato personale o su un insieme di dati personali, sia con mezzi automatizzati che manualmente; Esempi di trattamento: la raccolta, la conservazione, l’organizzazione, l’archiviazione, la cancellazione, la comunicazione, l’utilizzo etc.
L’INFORMATIVA ØIndipendentemente dalla necessità del consenso, l’informativa deve essere sempre data all’interessato ØL’informativa deve contenere: l’identità ed i contatti del titolare e dei rappresentanti; le finalità del trattamento; i destinatari; il trasferimento extra UE; il periodo di conservazione od i criteri per determinarlo; i diritti dell’interessato (accesso, rettifica, cancellazione, opposizione, portabilità etc.); il diritto di revoca del consenso; il diritto di proporre reclamo; se la comunicazione dei dati è obbligatoria o no e quali sono le conseguenze della mancata comunicazione; l’esistenza di un processo decisionale automatizzato (es. profilazione)
IL PRINCIPIO DELL’ACCOUNTABILITY Il concetto di accountability comprende in sé due elementi: ØResponsabilizzazione ØCapacità di dimostrazione Non sono più sufficienti meri adempimenti burocratici, quali la notificazione al Garante (ove richiesta), il rilascio dell’informativa agli interessati od il rispetto di misure minime di sicurezza, come in precedenza. Si devono invece mettere in atto delle misure di protezione adeguate valutando autonomamente ciò che si ritiene necessario fare sulla base del rischio. E soprattutto si deve essere in grado di giustificare la decisione presa, documentando il processo decisionale, nonché di dimostrare di aver posto in essere le misure ritenute adeguate. Il soggetto titolare viene quindi responsabilizzato.
ESEMPI DI ACCOUNTABILITY Øtenere un registro dei trattamenti o documentare le ragioni per cui si è deciso di non adottarlo Øadottare una «privacy policy» dello Studio Øadottare codici di condotta o munirsi di certificazioni o strumenti informatici Øassegnare e documentare i ruoli della privacy all’interno dello Studio Øfar fare corsi di formazione al personale e documentarli Øeffettuare una DPIA (Valutazione dei Rischi) sui trattamenti Øadottare in generale misure di sicurezza adeguate e documentarle Øeffettuare controlli periodici per verificare il rispetto delle norme privacy
PRIVACY BY DESIGN E BY DEFAULT Privacy by Design: la tutela della privacy deve essere tenuta in considerazione sin dalla fase di progettazione di un nuovo trattamento così come di una nuova tecnologia e durante tutto il trattamento, al fine di mettere in atto misure tecniche ed organizzative adeguate Es. nel progettare un nuovo applicativo, una software house dovrebbe prevedere misure di minimizzazione dei dati, pseudonimizzazione, registrazione degli accessi, log-out automatico dopo un determinato periodo di non utilizzazione etc. Privacy by Default: ogni tecnologia deve prevedere come impostazione di default il trattamento meno invasivo possibile Es. quando mi iscrivo ad un social network, le impostazioni della privacy preimpostate devono essere le più protettive possibili e non costringermi a modificarle; i consensi privacy non devono essere preimpostati;
COSA SONO I DATA BREACH ? ØUn data breach è una violazione della sicurezza dei dati che può consistere nella loro distruzione, perdita, alterazione, pubblicazione o accessi non autorizzati ØIn caso di violazione dei dati personali, il titolare notifica il data breach al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza, se non è improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà degli interessati ØI data breach devono comunque essere sempre registrati e devono essere descritti i provvedimenti adottati per porvi rimedio ØSe vi è un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare comunica il data breach anche ai soggetti interessati
E’ importante quindi analizzate i dati che abbiamo, e chiedersi: Quali sono i nostri dati strategici? Dove si trovano? Se e come li stiamo proteggendo? Chi può accedere ai nostri dati? Che valore hanno? > definizione di un budget e roadmap delle attività
VEDIAMO IN PRATICA COSA FARE • Dati in formato elettronico • Dati in formato analogico
L’utilizzo di un software
per gestire tutti gli adempimenti
Lucca, 17 maggio 2018 Dr. Sandro La FerlaQuali sono i vantaggi di una soluzione in cloud ? - non è richiesta alcuna installazione - non c’è alcun costo di infrastruttura - l’accesso può avvenire da qualunque luogo e in qualsiasi momento - gli aggiornamenti sono automatici e non ci si deve preoccupare di backup e perdite di dati.
UNA SOLUZIONE CHE TI GUIDI PASSO PER PASSO L’applicativo deve presentare un’interfaccia immediata, facile da utilizzare, basata su un percorso guidato che accompagna passo dopo passo in tutte le attività. E’ preferibile avere tutte le scadenze sempre sotto controllo così si è sicuri di rispettare sempre tutti gli obblighi.
SCEGLIERE UNA SOLUZIONE SCALABILE Sono quelle in cui è possibile effettuare upgrade di abbonamento secondo i ritmi di crescita della propria struttura. I Professionisti devono poter scegliere il pacchetto più idoneo in base alle caratteristiche della propria struttura.
UN CRUSCOTTO PER AVERE
SEMPRE TUTTO SOTTO CONTROLLO
Una dashboard facile ed intuitiva che
permetta di avere tutte le informazioni sempre
in primo piano.
E’ importante che vengano subito evidenziate
le scadenze di trattamenti e audit, oltre al log
dei “data breach” (le violazioni dei dati) con le
relative azioni correttive intraprese.ORGANIZZAZIONE LOGICA SECONDO IL FLUSSO OPERATIVO Accounts e Ruoli: per identificare le risorse coinvolte nei trattamenti (DPO, Titolare dei Trattamenti, ecc.). Trattamenti gestibili in modo molto semplice e guidato. Analisi dei rischi e implementazione delle misure di sicurezza per ogni asset aziendale. Il Registro dei Consensi, raccolti in un archivio e crittografati
ORGANIZZAZIONE LOGICA
SECONDO IL FLUSSO OPERATIVO
Audit: sott’occhio tutte le scadenze di Trattamenti,
Revoche degli Incarichi, Misure di Sicurezza e definizione del
piano degli audit.
Data Breach, per comunicare in modo veloce e
organizzato al Garante della Privacy le eventuali violazioni
o perdite di dati.
Normativa: possibilità di consultare la disciplina sulla privacy,
attraverso selezioni mirate e ricerche per visualizzare o
stampare gli articoli correlati.Grazie per l’attenzione !
WWW. GARANTEPRIVACY.IT
Grazie per l’attenzione !Puoi anche leggere
