SlideShare a Scribd company logo

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019

BTO Educational
BTO Educational

Meet Forum 2019 | Mediterranean European Economic Tourism Forum Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica Forte Village, in Sardegna | Sabato 5 ottobre Banco di Sardegna Hall | 16.45 : 17.25 https://www.meetforum.it/programma-2019/ Privacy e compliance GDPR settore turistico alberghiero Massimo Simbula Founder Studio Legale Simbola https://www.meetforum.it/speaker/massimo-simbula/ Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo. https://www.meetforum.it

Law
1 of 34
Download to read offline
PRIVACY COMPLIANCE GDPR SETTORE TURISTICO ALBERGHIERO Adeguamento alla nuova normativa Europea in materia di trattamento dati personali di cui al GDPR UE n.679/2016 (GDPR)
LA PRIVACY E IL SETTORE TURISTICO ALBERGHIERO La privacy nel settore turistico-alberghiero è da tempo un tema di particolare sensibilità tra gli operatori del settore, non solo in considerazione delle normative rilevanti in materia di tutela dei dati personali ma anche, e soprattutto, per la reputazione delle strutture ricettive e per l’importanza di proteggere le informazioni riservate e confidenziali dei loro ospiti soprattutto alla luce dell’utilizzo di nuove tecnologie. Accessi abusivi a sistemi informatici possono, naturalmente, arrecare non solo danni diretti conseguenti l’acquisizione di informazioni sensibili o clonazione carte di credito ma anche danni indiretti conseguenti, ad esempio, le obbligatorie comunicazioni ai clienti nelle ipotesi di cosiddetto “data breach”. COMPLIANCE GDPR
LA PRIVACY E IL SETTORE TURISTICO L’avvento del nuovo Regolamento Europeo sulla Protezione dei Dati Personali meglio descritto più avanti rappresenta non solo un obbligo di legge ma una opportunità per le aziende di affrontare in maniera strutturata le politiche connesse alla riservatezza e alla confidenzialità delle informazioni in relazione all’organizzazione aziendale che effettua trattamenti di dati personali in stretta connessione con le applicazioni e con il personale dei fornitori esterni che effettuano trattamenti di clienti dell’operatore turistico. In tal senso, oltre alla gestione dei processi autorizzativi interni, le aziende – con particolare riferimento a quelle del settore turistico/alberghiero – dovranno verificare che i loro processi di gestione della sicurezza siano calibrati sull’effettivo rischio connesso al trattamento dei dati personali dei clienti e considerando l’impatto sui diritti e le libertà di ciascuno di essi.
LA PRIVACY E IL SETTORE TURISTICO In tal senso, oltre alla gestione dei processi autorizzativi interni che ruotano intorno al sistema gestionale di PMS (Property Management System), le aziende del settore turistico e alberghiero dovranno verificare che i loro processi di sicurezza (gestione delle presenze, ingresso nelle camere, videosorveglianza, sistemi di geo-localizzazione, sistemi di rilevazione biometrica ecc.) siano effettivamente in linea con la nuova normativa. L’utilizzo di sistemi di promozione e prenotazione on line dovrà tenere in debita considerazione i criteri di sicurezza imposti dal nuovo Regolamento Europeo con particolare riferimento alle attività di profilazione eventualmente attuate anche per il tramite di sistemi di gestione dell’email marketing per il tramite di strumenti di invio massivo offerti da soggetti terzi.
LA PRIVACY E IL SETTORE TURISTICO La profilazione automatica attuata su vasta scala o la gestione di particolari categorie di dati (ad es. informazioni sulla salute del cliente) sempre su vasta scala, può comportare la necessaria nomina di un cosiddetto data protection officer (DPO). L’azienda, inoltre, dovrà strutturare una adeguata policy interna volta alla gestione del rischio informatico, la gestione degli incidenti, il piano di formazione e di tutta una serie di processi legati anche alla dimostrazione dell’attuazione delle misure di sicurezza.
QUANDO è applicabile la nuova normativa Il GDPR Generale sulla Protezione dei Dati dell'Unione Europea (GDPR) entra in vigore a maggio 2016 ed è direttamente applicabile in tutti gli Stati Membri a decorrere dal 25 maggio 2018. La direttiva segna il cambiamento normativo più significativo in materia di protezione dei dati avvenuto nell'Unione Europea negli ultimi 20 anni e trasforma il modo in cui le aziende gestiscono e proteggono i dati personali.
QUANDO è applicabile la nuova normativa IL GDPR introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (DATA BREACH).
IL CONSENSO dell'interessato Per i dati “sensibili” (si veda art. 9 GDPR) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22 GDPR) NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1 GDPR) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
IL CONSENSO dell'interessato Il consenso dei minori è valido, a livello europeo, a partire dai 16/14 anni ma per poter effettuare una prenotazione in Italia è comunque richiesta la maggiore età (18 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). DEVE essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del GDPR).
Il GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del GDPR e coincidono, in linea di massima, con quelli previsti attualmente dal Codice Privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). LICEITÀ del trattamento
I CONTENUTI dell'informativa I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del GDPR e in parte sono più ampi rispetto al Codice Privacy. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
I CONTENUTI dell'informativa Il GDPR prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.
MODALITÀ dell'informativa Il GDPR specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice,e per i minori occorre prevedere informative idonee. L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online, anche se sono ammessi “altri mezzi”), quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra. Il GDPR ammette, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo “in combinazione”con l'informativa estesa.
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il GDPR, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2 GDPR), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2 GDPR). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali. I CONSENSI RACCOLTI prima del 25 maggio 2018
Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego. Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12.5 GDPR), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice Privacy, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3 GDPR); in quest'ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità; può essere dato oralmente solo se così richiede l'interessato stesso (art. 12, paragrafo 1 GDPR; si veda anche art. 15, paragrafo 3 GDPR). DIRITTI degli interessati
Il GDPR: l  disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente; l  fissa più dettagliatamente (rispetto all'art. 29 del Codice Privacy) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell';art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel GDPR; TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
l  consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso “non gli è in alcun modo imputabile”(si veda art.82,paragrafo 1 e paragrafo 3); l  prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 GDPR); la designazione di un RPD-DPO, nei casi previsti dal GDPR o dal diritto nazionale (si veda art. 37 del GDPR). Si ricorda, inoltre, che anche il responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art. 27,paragrafo 3,del GDPR –diversamente da quanto prevede oggi l'art.5,comma 2,del Codice Privacy. TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
Il GDPR pone con forza l'accento sulla “responsabilizzazione” (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del GDPR (si vedano artt. 23-25, in particolare, e l'intero Capo IV del GDPR). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel GDPR. ACCOUNTABILITY
ACCOUNTABILITY Il primo fra tali criteri è sintetizzato dall'espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili “al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso”, secondo quanto afferma l'art. 25(1) del GDPR) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
ACCOUNTABILITY Dunque, l'intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l';abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia. Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l'erede dell'attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
La valutazione d'impatto (PIA – Privacy Impact Assessment) è fondamentale per proteggere la privacy e la conformità dei processi e servizi al GDPR. Lo scopo della valutazione d'impatto è quello di produrre una descrizione sistematica delle attività di trattamento dei dati previste e di determinare la base giuridica per il trattamento. Le valutazioni di impatto dovrebbero descrivere l'approccio che un'azienda adotterà per attenuare i rischi. L'esecuzione delle valutazioni d'impatto non deve essere un'attività di compliance isolata, ma incorporata nei processi esistenti in modo che i rischi potenziali e i costi riferiti alle correzioni siano chiari in fase di decisione e approvazione. LA VALUTAZIONE d'impatto
Il GDPR talvolta richiede un'attività specifica di valutazione d'impatto denominata valutazione d'impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment). Il GDPR prevede l'esecuzione di valutazioni d'impatto sulla protezione dei dati per i trattamenti di dati che potenzialmente presentano un rischio elevato per i diritti e le libertà degli interessati, in particolare quando si implementano nuove tecnologie o nei casi di trattamento su larga scala di categorie particolari di dati personali. Le valutazioni d'impatto sulla protezione dei dati devono valutare la necessità e la proporzionalità del trattamento per identificare i rischi per i diritti e le libertà degli interessati. Per soddisfare i requisiti di una valutazione d'impatto sulla protezione dei dati è possibile effettuare una valutazione d'impatto più generale. LA VALUTAZIONE d'impatto
Il primo passo da compiere è esaminare a fondo il GDPR e sensibilizzare l'organizzazione rispetto ai cambiamenti imminenti. Per adeguarsi correttamente al GDPR è essenziale ottenere l'appoggio della dirigenza e coinvolgere adeguatamente tutti gli stakeholder chiave. Solo con il coinvolgimento degli stakeholder chiave sarà possibile iniziare a identificare le aree più critiche per la conformità. Occorre quindi documentare quali dati personali sono in possesso dell'azienda, da dove provengono e con chi vengono condivisi. È importante identificare e classificare tutti i dati personali che l'azienda raccoglie, tratta e archivia. Una volta chiarito quali dati personali vengono trattati, dove, da chi e in che modo, il passo successivo consiste nell'identificare il grado di completezza delle misure di conformità attuali. Anche questa analisi delle lacune dovrebbe iniziare dalla visione strategica dei dati personali. ROADMAP GDPR
DATABREACH Una violazione della sicurezza che comporta “la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali”. Il nuovo regolamento prevede che il titolare del trattamento notifichi ogni violazione all'autorità di controllo competente entro 24 ore dall'individuazione.
SULLE ATTIVITÀ dello STUDIO LEGALE
SULLE ATTIVITÀ dello Studio legale FASE DI ADEGUAMENTO LEGALE,DOCUMENTALE,ORGANIZZATIVO E DI GESTIONE DEI PROCESSI. DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ: redazione di un mandato privacy infra-gruppo alla luce dell’obbligo del GDPR UE per individuare con contratto gli ambiti di competenza tra eventuali contitolari del trattamento; individuazione e redazione personalizzata degli atti di nomina a Responsabile interno del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal GDPR) e strutturazione della procedura interna di conferimento delle nomine; l’attività include altresì la strutturazione del Registro delle attività del trattamento, nuovo adempimento documentale previsto dal GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile interno o esterno del trattamento;
SULLE ATTIVITÀ dello Studio legale individuazione e redazione personalizzata degli atti di nomina a Responsabile esterno del trattamento, in base ai contratti in essere vigenti; l’attività include altresì la strutturazione del  Registro delle attività del trattamento per i responsabili esterni del trattamento; individuazione e redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del GDPR UE – di quelli che la normativa italiana ha fino ad oggi definito “incaricati del trattamento”; il GDPR non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal GDPR UE); PACCHETTO PRIVACY -COMPLIANCE GDPR
SULLE ATTIVITÀ dello Studio legale assistenza organizzativa in merito alla definizione e nomina della nuova figura del c.d. Data Protection Officer (DPO), ossia una figura prevista dall’art. 37 del GDPR, interna o esterna all’azienda, e del tutto diversa dal responsabile del trattamento previsto dal Codice Privacy. Si tratta difatti di una figura estremamente specializzata nel settore della data protection, dotato di completa autonomia (ivi incluso il potere di spesa) che sovrintende, valuta ed organizza la gestione e protezione dei dati nell’ambito del trattamento svolto. L’obbligo di nomina del DPO non è generale ma relativo a titolari del trattamento pubblici e a titolari del trattamento privati le cui attività principali comportino su larga scala trattamenti di dati sensibili, sanitari, genetici o biometrici o trattamenti di dati personali che, in forza della loro natura, ambito di applicazione e/o finalità, richiedano un monitoraggio sistematico su larga scala degli interessati; si segnala che il recente Parere del Gruppo dei Garanti UE del 16 Dicembre 2016 sull’obbligo di nomina del DPO ha dato chiarimenti in merito alle situazioni ed ai trattamenti che si pongono quali presupposto dell’obbligo di nomina del DPO (ad es., il Parere menziona a titolo di esempio l’esistenza di contratti di fornitura attivi con un elevato numero di utenti); PACCHETTO PRIVACY -COMPLIANCE GDPR
SULLE ATTIVITÀ dello Studio legale revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art.13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi); adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del GDPR a tutela degli interessati; revisione e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi non appartenenti alla Unione Europea,ove necessari); PACCHETTO PRIVACY -COMPLIANCE GDPR
SULLE ATTIVITÀ dello Studio legale implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione dei dati” (Privacy Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documentazione; va specificato che tale nuova procedura è del tutto interna e obbliga il Titolare a rivolgersi al Garante (che risponde con parere motivato nelle 8 settimane successive) esclusivamente ove all’esito della valutazione il Titolare ritenga che le misure intraprese non eliminino i rischi; solo a quel punto scatta una interlocuzione con il Garante che ricorda l’attuale prior checking (l’interpello preventivo dell’art. 17 del Codice della privacy), che come tale è invece del tutto abrogato come obbligo dal nuovo GDPR UE; in ogni caso si attenderà il provvedimento del Garante che elenca i casi di PIA obbligatoria (o anche i casi contrari di PIA non obbligatoria); PACCHETTO PRIVACY -COMPLIANCE GDPR
SULLE ATTIVITÀ dello Studio legale implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita,solo i dati personali necessari per ogni specifica finalità del trattamento; implementazione dei processi e della documentazione volti a garantire il nuovo di-ritto alla portabilità dei dati; monitoraggio dei siti web ufficiale del Cliente ai fini della verifica dei contenuti legali privacy (informative,consensi,privacy policies e operatività dei cookies in conformità al relativo Provvedimento Generale del Garante) implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal GDPR. PACCHETTO PRIVACY -COMPLIANCE GDPR
DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ,PREVIO SPECIFICO AUDIT TECNICO-INFRASTRUTTURALE DI CONCERTO CON IL RESPONSABILE INFORMATION TECHNOLOGY DEL CLIENTE: FASE DI ADEGUAMENTO tecnico informatico e infrastrutturale Adeguamenti tecnici, infrastrutturali, informatici, di implementazione delle politiche tecniche di sicurezza come richiesti dall’art. 32 del GDPR UE (ivi inclusi i nuovi processi di limitazione del trattamento e di pseudonimizzazione dei trattamenti); PACCHETTO PRIVACY -COMPLIANCE GDPR Implementazione di un sistema di c.d. data breach  su reti e infrastrutture del Cliente volta a dare attuazione agli obblighi – anche documentali – di notifica al Garante e/o agli interessati, ove sia del caso applicabile l’art. 34 del GDPR UE – delle violazioni di dati personali ai sensi dell’art.33 del GDPR UE; Tutte le eventuali attività di certificazione e/o di adesione a codici di condotta che il Cliente vorrà implementare ai sensi di quanto previsto dal nuovo GDPR UE.
INFO@STUDIOLEGALESIMBULA.COM FACEBOOK.COM/MASSIMOSIMBULA CONTACT US TWITTER.COM/MASSIMOSIMBULA www.studiolegalesimbula.com LINKEDIN.COM/IN/MASSIMOSIMBULA CAGLIARI: Viale La Plaia,15 –09123 MILANO: Via Vitruvio,1 –20124 www.lt42.it

Recommended

Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Linee guida in materia di trattamento di dati personali per profilazione on l...
Linee guida in materia di trattamento di dati personali per profilazione on l...Linee guida in materia di trattamento di dati personali per profilazione on l...
Linee guida in materia di trattamento di dati personali per profilazione on l...Salomone & Travaglia Studio Legale
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
GDPR e PDS2
GDPR e PDS2GDPR e PDS2
GDPR e PDS2PietroBilotta
 
Le regole sulla trasparenza degli incarichi nelle società partecipate
Le regole sulla trasparenza degli incarichi nelle società partecipateLe regole sulla trasparenza degli incarichi nelle società partecipate
Le regole sulla trasparenza degli incarichi nelle società partecipateSalomone & Travaglia Studio Legale
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Smau Milano 2011 Gabriele Faggioli
Smau Milano 2011 Gabriele FaggioliSmau Milano 2011 Gabriele Faggioli
Smau Milano 2011 Gabriele FaggioliSMAU
 

Recommended

Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...
Il ruolo del Garante per la protezione dei dati personali alla luce dell'evol...Salomone & Travaglia Studio Legale
 
Linee guida in materia di trattamento di dati personali per profilazione on l...
Linee guida in materia di trattamento di dati personali per profilazione on l...Linee guida in materia di trattamento di dati personali per profilazione on l...
Linee guida in materia di trattamento di dati personali per profilazione on l...Salomone & Travaglia Studio Legale
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
GDPR e PDS2
GDPR e PDS2GDPR e PDS2
GDPR e PDS2PietroBilotta
 
Le regole sulla trasparenza degli incarichi nelle società partecipate
Le regole sulla trasparenza degli incarichi nelle società partecipateLe regole sulla trasparenza degli incarichi nelle società partecipate
Le regole sulla trasparenza degli incarichi nelle società partecipateSalomone & Travaglia Studio Legale
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Smau Milano 2011 Gabriele Faggioli
Smau Milano 2011 Gabriele FaggioliSmau Milano 2011 Gabriele Faggioli
Smau Milano 2011 Gabriele FaggioliSMAU
 
I dati personali in ambito bancario
I dati personali in ambito bancarioI dati personali in ambito bancario
I dati personali in ambito bancarioPietroBilotta
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketingBrioWeb
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroIl commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONEACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONEPino Ciampolillo
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018Stefano Versace
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiQuotidiano Piemontese
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
Guida GDPR
Guida GDPRGuida GDPR
Guida GDPREdoardo Giancarlini
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 

More Related Content

What's hot

I dati personali in ambito bancario
I dati personali in ambito bancarioI dati personali in ambito bancario
I dati personali in ambito bancarioPietroBilotta
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketingBrioWeb
 
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONEACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONEPino Ciampolillo
 

What's hot (7)

I dati personali in ambito bancario
I dati personali in ambito bancarioI dati personali in ambito bancario
I dati personali in ambito bancario
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketing
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
 
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroIl commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
 
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONEACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
ACCESSO AGLI ATTI PREVENZIONE E CORRUZIONE
 

Similar to MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiQuotidiano Piemontese
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiRoberto Tuninetti
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’EuropaAlan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’EuropaMeet Magento Italy
 
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazionefestival ICT 2016
 

Similar to MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019 (20)

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
Guida GDPR
Guida GDPRGuida GDPR
Guida GDPR
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’EuropaAlan Rhode - GDPR: la nuova normativa privacy per l’Europa
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
 
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
 

More from BTO Educational

Stati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdf
Stati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdfStati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdf
Stati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdfBTO Educational
 
Sentiero Calabria, il progetto
Sentiero Calabria, il progettoSentiero Calabria, il progetto
Sentiero Calabria, il progettoBTO Educational
 
Sentiero Calabria, il piano di comunicazione
Sentiero Calabria, il piano di comunicazioneSentiero Calabria, il piano di comunicazione
Sentiero Calabria, il piano di comunicazioneBTO Educational
 
Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...
Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...
Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...BTO Educational
 
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Report
Valutazione di Palermo Capitale Italiana della Cultura 2018 | ReportValutazione di Palermo Capitale Italiana della Cultura 2018 | Report
Valutazione di Palermo Capitale Italiana della Cultura 2018 | ReportBTO Educational
 
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Executive Summary
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Executive SummaryValutazione di Palermo Capitale Italiana della Cultura 2018 | Executive Summary
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Executive SummaryBTO Educational
 
AROUNDHELP | FactorYmpresa Turismo | Accessibile
AROUNDHELP | FactorYmpresa Turismo | AccessibileAROUNDHELP | FactorYmpresa Turismo | Accessibile
AROUNDHELP | FactorYmpresa Turismo | AccessibileBTO Educational
 
WEMOVEON | FactorYmpresa Turismo | Accessibile
WEMOVEON | FactorYmpresa Turismo | AccessibileWEMOVEON | FactorYmpresa Turismo | Accessibile
WEMOVEON | FactorYmpresa Turismo | AccessibileBTO Educational
 
TRAVELLY | FactorYmpresa Turismo | Accessibile
TRAVELLY | FactorYmpresa Turismo | AccessibileTRAVELLY | FactorYmpresa Turismo | Accessibile
TRAVELLY | FactorYmpresa Turismo | AccessibileBTO Educational
 
NICO | FactorYmpresa Turismo | Accessibile
NICO | FactorYmpresa Turismo | AccessibileNICO | FactorYmpresa Turismo | Accessibile
NICO | FactorYmpresa Turismo | AccessibileBTO Educational
 
MONUGRAM | FactorYmpresa Turismo | Accessibile
MONUGRAM | FactorYmpresa Turismo | AccessibileMONUGRAM | FactorYmpresa Turismo | Accessibile
MONUGRAM | FactorYmpresa Turismo | AccessibileBTO Educational
 
EUROPASS | FactorYmpresa Turismo | Accessibile
EUROPASS | FactorYmpresa Turismo | AccessibileEUROPASS | FactorYmpresa Turismo | Accessibile
EUROPASS | FactorYmpresa Turismo | AccessibileBTO Educational
 
DUPLICART | FactorYmpresa Turismo | Accessibile
DUPLICART | FactorYmpresa Turismo | AccessibileDUPLICART | FactorYmpresa Turismo | Accessibile
DUPLICART | FactorYmpresa Turismo | AccessibileBTO Educational
 
BOOKINGBILITY | FactorYmpresa Turismo | Accessibile
BOOKINGBILITY | FactorYmpresa Turismo | AccessibileBOOKINGBILITY | FactorYmpresa Turismo | Accessibile
BOOKINGBILITY | FactorYmpresa Turismo | AccessibileBTO Educational
 
DISHCOVERY | FactorYmpresa Turismo | Accessibile
DISHCOVERY | FactorYmpresa Turismo | AccessibileDISHCOVERY | FactorYmpresa Turismo | Accessibile
DISHCOVERY | FactorYmpresa Turismo | AccessibileBTO Educational
 
BABAIOLA | FactorYmpresa Turismo | Accessibile
BABAIOLA | FactorYmpresa Turismo | AccessibileBABAIOLA | FactorYmpresa Turismo | Accessibile
BABAIOLA | FactorYmpresa Turismo | AccessibileBTO Educational
 
ARTPLACE MUSEUM | FactorYmpresa Turismo | Accessibile
ARTPLACE MUSEUM | FactorYmpresa Turismo | AccessibileARTPLACE MUSEUM | FactorYmpresa Turismo | Accessibile
ARTPLACE MUSEUM | FactorYmpresa Turismo | AccessibileBTO Educational
 
PRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCO
PRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCOPRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCO
PRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCOBTO Educational
 
PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019
PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019
PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019BTO Educational
 
RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019
RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019
RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019BTO Educational
 

More from BTO Educational (20)

Stati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdf
Stati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdfStati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdf
Stati Generali del Turismo 2022 | Chianciano 28_29 ottobre 2022 | Programma.pdf
 
Sentiero Calabria, il progetto
Sentiero Calabria, il progettoSentiero Calabria, il progetto
Sentiero Calabria, il progetto
 
Sentiero Calabria, il piano di comunicazione
Sentiero Calabria, il piano di comunicazioneSentiero Calabria, il piano di comunicazione
Sentiero Calabria, il piano di comunicazione
 
Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...
Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...
Report di monitoraggio di Matera Capitale Europea della Cultura 2019 | Gennai...
 
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Report
Valutazione di Palermo Capitale Italiana della Cultura 2018 | ReportValutazione di Palermo Capitale Italiana della Cultura 2018 | Report
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Report
 
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Executive Summary
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Executive SummaryValutazione di Palermo Capitale Italiana della Cultura 2018 | Executive Summary
Valutazione di Palermo Capitale Italiana della Cultura 2018 | Executive Summary
 
AROUNDHELP | FactorYmpresa Turismo | Accessibile
AROUNDHELP | FactorYmpresa Turismo | AccessibileAROUNDHELP | FactorYmpresa Turismo | Accessibile
AROUNDHELP | FactorYmpresa Turismo | Accessibile
 
WEMOVEON | FactorYmpresa Turismo | Accessibile
WEMOVEON | FactorYmpresa Turismo | AccessibileWEMOVEON | FactorYmpresa Turismo | Accessibile
WEMOVEON | FactorYmpresa Turismo | Accessibile
 
TRAVELLY | FactorYmpresa Turismo | Accessibile
TRAVELLY | FactorYmpresa Turismo | AccessibileTRAVELLY | FactorYmpresa Turismo | Accessibile
TRAVELLY | FactorYmpresa Turismo | Accessibile
 
NICO | FactorYmpresa Turismo | Accessibile
NICO | FactorYmpresa Turismo | AccessibileNICO | FactorYmpresa Turismo | Accessibile
NICO | FactorYmpresa Turismo | Accessibile
 
MONUGRAM | FactorYmpresa Turismo | Accessibile
MONUGRAM | FactorYmpresa Turismo | AccessibileMONUGRAM | FactorYmpresa Turismo | Accessibile
MONUGRAM | FactorYmpresa Turismo | Accessibile
 
EUROPASS | FactorYmpresa Turismo | Accessibile
EUROPASS | FactorYmpresa Turismo | AccessibileEUROPASS | FactorYmpresa Turismo | Accessibile
EUROPASS | FactorYmpresa Turismo | Accessibile
 
DUPLICART | FactorYmpresa Turismo | Accessibile
DUPLICART | FactorYmpresa Turismo | AccessibileDUPLICART | FactorYmpresa Turismo | Accessibile
DUPLICART | FactorYmpresa Turismo | Accessibile
 
BOOKINGBILITY | FactorYmpresa Turismo | Accessibile
BOOKINGBILITY | FactorYmpresa Turismo | AccessibileBOOKINGBILITY | FactorYmpresa Turismo | Accessibile
BOOKINGBILITY | FactorYmpresa Turismo | Accessibile
 
DISHCOVERY | FactorYmpresa Turismo | Accessibile
DISHCOVERY | FactorYmpresa Turismo | AccessibileDISHCOVERY | FactorYmpresa Turismo | Accessibile
DISHCOVERY | FactorYmpresa Turismo | Accessibile
 
BABAIOLA | FactorYmpresa Turismo | Accessibile
BABAIOLA | FactorYmpresa Turismo | AccessibileBABAIOLA | FactorYmpresa Turismo | Accessibile
BABAIOLA | FactorYmpresa Turismo | Accessibile
 
ARTPLACE MUSEUM | FactorYmpresa Turismo | Accessibile
ARTPLACE MUSEUM | FactorYmpresa Turismo | AccessibileARTPLACE MUSEUM | FactorYmpresa Turismo | Accessibile
ARTPLACE MUSEUM | FactorYmpresa Turismo | Accessibile
 
PRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCO
PRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCOPRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCO
PRAIANO NATURARTE | Roberto Pontecorvo | Focus UNESCO
 
PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019
PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019
PAOLA CASAGRANDE | Piemonte UNESCO | Settembre 2019
 
RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019
RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019
RENATO LAVARINI | Ivrea Citta industriale del XX secolo | UNESCO 2019
 

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019

  • 1. PRIVACY COMPLIANCE GDPR SETTORE TURISTICO ALBERGHIERO Adeguamento alla nuova normativa Europea in materia di trattamento dati personali di cui al GDPR UE n.679/2016 (GDPR)
  • 2.
  • 3. LA PRIVACY E IL SETTORE TURISTICO ALBERGHIERO La privacy nel settore turistico-alberghiero è da tempo un tema di particolare sensibilità tra gli operatori del settore, non solo in considerazione delle normative rilevanti in materia di tutela dei dati personali ma anche, e soprattutto, per la reputazione delle strutture ricettive e per l’importanza di proteggere le informazioni riservate e confidenziali dei loro ospiti soprattutto alla luce dell’utilizzo di nuove tecnologie. Accessi abusivi a sistemi informatici possono, naturalmente, arrecare non solo danni diretti conseguenti l’acquisizione di informazioni sensibili o clonazione carte di credito ma anche danni indiretti conseguenti, ad esempio, le obbligatorie comunicazioni ai clienti nelle ipotesi di cosiddetto “data breach”. COMPLIANCE GDPR
  • 4. LA PRIVACY E IL SETTORE TURISTICO L’avvento del nuovo Regolamento Europeo sulla Protezione dei Dati Personali meglio descritto più avanti rappresenta non solo un obbligo di legge ma una opportunità per le aziende di affrontare in maniera strutturata le politiche connesse alla riservatezza e alla confidenzialità delle informazioni in relazione all’organizzazione aziendale che effettua trattamenti di dati personali in stretta connessione con le applicazioni e con il personale dei fornitori esterni che effettuano trattamenti di clienti dell’operatore turistico. In tal senso, oltre alla gestione dei processi autorizzativi interni, le aziende – con particolare riferimento a quelle del settore turistico/alberghiero – dovranno verificare che i loro processi di gestione della sicurezza siano calibrati sull’effettivo rischio connesso al trattamento dei dati personali dei clienti e considerando l’impatto sui diritti e le libertà di ciascuno di essi.
  • 5. LA PRIVACY E IL SETTORE TURISTICO In tal senso, oltre alla gestione dei processi autorizzativi interni che ruotano intorno al sistema gestionale di PMS (Property Management System), le aziende del settore turistico e alberghiero dovranno verificare che i loro processi di sicurezza (gestione delle presenze, ingresso nelle camere, videosorveglianza, sistemi di geo-localizzazione, sistemi di rilevazione biometrica ecc.) siano effettivamente in linea con la nuova normativa. L’utilizzo di sistemi di promozione e prenotazione on line dovrà tenere in debita considerazione i criteri di sicurezza imposti dal nuovo Regolamento Europeo con particolare riferimento alle attività di profilazione eventualmente attuate anche per il tramite di sistemi di gestione dell’email marketing per il tramite di strumenti di invio massivo offerti da soggetti terzi.
  • 6. LA PRIVACY E IL SETTORE TURISTICO La profilazione automatica attuata su vasta scala o la gestione di particolari categorie di dati (ad es. informazioni sulla salute del cliente) sempre su vasta scala, può comportare la necessaria nomina di un cosiddetto data protection officer (DPO). L’azienda, inoltre, dovrà strutturare una adeguata policy interna volta alla gestione del rischio informatico, la gestione degli incidenti, il piano di formazione e di tutta una serie di processi legati anche alla dimostrazione dell’attuazione delle misure di sicurezza.
  • 7. QUANDO è applicabile la nuova normativa Il GDPR Generale sulla Protezione dei Dati dell'Unione Europea (GDPR) entra in vigore a maggio 2016 ed è direttamente applicabile in tutti gli Stati Membri a decorrere dal 25 maggio 2018. La direttiva segna il cambiamento normativo più significativo in materia di protezione dei dati avvenuto nell'Unione Europea negli ultimi 20 anni e trasforma il modo in cui le aziende gestiscono e proteggono i dati personali.
  • 8. QUANDO è applicabile la nuova normativa IL GDPR introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (DATA BREACH).
  • 9. IL CONSENSO dell'interessato Per i dati “sensibili” (si veda art. 9 GDPR) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22 GDPR) NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1 GDPR) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
  • 10. IL CONSENSO dell'interessato Il consenso dei minori è valido, a livello europeo, a partire dai 16/14 anni ma per poter effettuare una prenotazione in Italia è comunque richiesta la maggiore età (18 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). DEVE essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del GDPR).
  • 11. Il GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del GDPR e coincidono, in linea di massima, con quelli previsti attualmente dal Codice Privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). LICEITÀ del trattamento
  • 12. I CONTENUTI dell'informativa I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del GDPR e in parte sono più ampi rispetto al Codice Privacy. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
  • 13. I CONTENUTI dell'informativa Il GDPR prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.
  • 14. MODALITÀ dell'informativa Il GDPR specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice,e per i minori occorre prevedere informative idonee. L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online, anche se sono ammessi “altri mezzi”), quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra. Il GDPR ammette, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo “in combinazione”con l'informativa estesa.
  • 15. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il GDPR, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2 GDPR), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2 GDPR). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali. I CONSENSI RACCOLTI prima del 25 maggio 2018
  • 16. Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego. Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12.5 GDPR), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice Privacy, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3 GDPR); in quest'ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità; può essere dato oralmente solo se così richiede l'interessato stesso (art. 12, paragrafo 1 GDPR; si veda anche art. 15, paragrafo 3 GDPR). DIRITTI degli interessati
  • 17. Il GDPR: l  disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente; l  fissa più dettagliatamente (rispetto all'art. 29 del Codice Privacy) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell';art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel GDPR; TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
  • 18. l  consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso “non gli è in alcun modo imputabile”(si veda art.82,paragrafo 1 e paragrafo 3); l  prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 GDPR); la designazione di un RPD-DPO, nei casi previsti dal GDPR o dal diritto nazionale (si veda art. 37 del GDPR). Si ricorda, inoltre, che anche il responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art. 27,paragrafo 3,del GDPR –diversamente da quanto prevede oggi l'art.5,comma 2,del Codice Privacy. TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
  • 19. Il GDPR pone con forza l'accento sulla “responsabilizzazione” (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del GDPR (si vedano artt. 23-25, in particolare, e l'intero Capo IV del GDPR). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel GDPR. ACCOUNTABILITY
  • 20. ACCOUNTABILITY Il primo fra tali criteri è sintetizzato dall'espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili “al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso”, secondo quanto afferma l'art. 25(1) del GDPR) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
  • 21. ACCOUNTABILITY Dunque, l'intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l';abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia. Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l'erede dell'attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
  • 22. La valutazione d'impatto (PIA – Privacy Impact Assessment) è fondamentale per proteggere la privacy e la conformità dei processi e servizi al GDPR. Lo scopo della valutazione d'impatto è quello di produrre una descrizione sistematica delle attività di trattamento dei dati previste e di determinare la base giuridica per il trattamento. Le valutazioni di impatto dovrebbero descrivere l'approccio che un'azienda adotterà per attenuare i rischi. L'esecuzione delle valutazioni d'impatto non deve essere un'attività di compliance isolata, ma incorporata nei processi esistenti in modo che i rischi potenziali e i costi riferiti alle correzioni siano chiari in fase di decisione e approvazione. LA VALUTAZIONE d'impatto
  • 23. Il GDPR talvolta richiede un'attività specifica di valutazione d'impatto denominata valutazione d'impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment). Il GDPR prevede l'esecuzione di valutazioni d'impatto sulla protezione dei dati per i trattamenti di dati che potenzialmente presentano un rischio elevato per i diritti e le libertà degli interessati, in particolare quando si implementano nuove tecnologie o nei casi di trattamento su larga scala di categorie particolari di dati personali. Le valutazioni d'impatto sulla protezione dei dati devono valutare la necessità e la proporzionalità del trattamento per identificare i rischi per i diritti e le libertà degli interessati. Per soddisfare i requisiti di una valutazione d'impatto sulla protezione dei dati è possibile effettuare una valutazione d'impatto più generale. LA VALUTAZIONE d'impatto
  • 24. Il primo passo da compiere è esaminare a fondo il GDPR e sensibilizzare l'organizzazione rispetto ai cambiamenti imminenti. Per adeguarsi correttamente al GDPR è essenziale ottenere l'appoggio della dirigenza e coinvolgere adeguatamente tutti gli stakeholder chiave. Solo con il coinvolgimento degli stakeholder chiave sarà possibile iniziare a identificare le aree più critiche per la conformità. Occorre quindi documentare quali dati personali sono in possesso dell'azienda, da dove provengono e con chi vengono condivisi. È importante identificare e classificare tutti i dati personali che l'azienda raccoglie, tratta e archivia. Una volta chiarito quali dati personali vengono trattati, dove, da chi e in che modo, il passo successivo consiste nell'identificare il grado di completezza delle misure di conformità attuali. Anche questa analisi delle lacune dovrebbe iniziare dalla visione strategica dei dati personali. ROADMAP GDPR
  • 25. DATABREACH Una violazione della sicurezza che comporta “la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali”. Il nuovo regolamento prevede che il titolare del trattamento notifichi ogni violazione all'autorità di controllo competente entro 24 ore dall'individuazione.
  • 27. SULLE ATTIVITÀ dello Studio legale FASE DI ADEGUAMENTO LEGALE,DOCUMENTALE,ORGANIZZATIVO E DI GESTIONE DEI PROCESSI. DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ: redazione di un mandato privacy infra-gruppo alla luce dell’obbligo del GDPR UE per individuare con contratto gli ambiti di competenza tra eventuali contitolari del trattamento; individuazione e redazione personalizzata degli atti di nomina a Responsabile interno del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal GDPR) e strutturazione della procedura interna di conferimento delle nomine; l’attività include altresì la strutturazione del Registro delle attività del trattamento, nuovo adempimento documentale previsto dal GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile interno o esterno del trattamento;
  • 28. SULLE ATTIVITÀ dello Studio legale individuazione e redazione personalizzata degli atti di nomina a Responsabile esterno del trattamento, in base ai contratti in essere vigenti; l’attività include altresì la strutturazione del  Registro delle attività del trattamento per i responsabili esterni del trattamento; individuazione e redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del GDPR UE – di quelli che la normativa italiana ha fino ad oggi definito “incaricati del trattamento”; il GDPR non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal GDPR UE); PACCHETTO PRIVACY -COMPLIANCE GDPR
  • 29. SULLE ATTIVITÀ dello Studio legale assistenza organizzativa in merito alla definizione e nomina della nuova figura del c.d. Data Protection Officer (DPO), ossia una figura prevista dall’art. 37 del GDPR, interna o esterna all’azienda, e del tutto diversa dal responsabile del trattamento previsto dal Codice Privacy. Si tratta difatti di una figura estremamente specializzata nel settore della data protection, dotato di completa autonomia (ivi incluso il potere di spesa) che sovrintende, valuta ed organizza la gestione e protezione dei dati nell’ambito del trattamento svolto. L’obbligo di nomina del DPO non è generale ma relativo a titolari del trattamento pubblici e a titolari del trattamento privati le cui attività principali comportino su larga scala trattamenti di dati sensibili, sanitari, genetici o biometrici o trattamenti di dati personali che, in forza della loro natura, ambito di applicazione e/o finalità, richiedano un monitoraggio sistematico su larga scala degli interessati; si segnala che il recente Parere del Gruppo dei Garanti UE del 16 Dicembre 2016 sull’obbligo di nomina del DPO ha dato chiarimenti in merito alle situazioni ed ai trattamenti che si pongono quali presupposto dell’obbligo di nomina del DPO (ad es., il Parere menziona a titolo di esempio l’esistenza di contratti di fornitura attivi con un elevato numero di utenti); PACCHETTO PRIVACY -COMPLIANCE GDPR
  • 30. SULLE ATTIVITÀ dello Studio legale revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art.13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi); adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del GDPR a tutela degli interessati; revisione e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi non appartenenti alla Unione Europea,ove necessari); PACCHETTO PRIVACY -COMPLIANCE GDPR
  • 31. SULLE ATTIVITÀ dello Studio legale implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione dei dati” (Privacy Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documentazione; va specificato che tale nuova procedura è del tutto interna e obbliga il Titolare a rivolgersi al Garante (che risponde con parere motivato nelle 8 settimane successive) esclusivamente ove all’esito della valutazione il Titolare ritenga che le misure intraprese non eliminino i rischi; solo a quel punto scatta una interlocuzione con il Garante che ricorda l’attuale prior checking (l’interpello preventivo dell’art. 17 del Codice della privacy), che come tale è invece del tutto abrogato come obbligo dal nuovo GDPR UE; in ogni caso si attenderà il provvedimento del Garante che elenca i casi di PIA obbligatoria (o anche i casi contrari di PIA non obbligatoria); PACCHETTO PRIVACY -COMPLIANCE GDPR
  • 32. SULLE ATTIVITÀ dello Studio legale implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita,solo i dati personali necessari per ogni specifica finalità del trattamento; implementazione dei processi e della documentazione volti a garantire il nuovo di-ritto alla portabilità dei dati; monitoraggio dei siti web ufficiale del Cliente ai fini della verifica dei contenuti legali privacy (informative,consensi,privacy policies e operatività dei cookies in conformità al relativo Provvedimento Generale del Garante) implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal GDPR. PACCHETTO PRIVACY -COMPLIANCE GDPR
  • 33. DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ,PREVIO SPECIFICO AUDIT TECNICO-INFRASTRUTTURALE DI CONCERTO CON IL RESPONSABILE INFORMATION TECHNOLOGY DEL CLIENTE: FASE DI ADEGUAMENTO tecnico informatico e infrastrutturale Adeguamenti tecnici, infrastrutturali, informatici, di implementazione delle politiche tecniche di sicurezza come richiesti dall’art. 32 del GDPR UE (ivi inclusi i nuovi processi di limitazione del trattamento e di pseudonimizzazione dei trattamenti); PACCHETTO PRIVACY -COMPLIANCE GDPR Implementazione di un sistema di c.d. data breach  su reti e infrastrutture del Cliente volta a dare attuazione agli obblighi – anche documentali – di notifica al Garante e/o agli interessati, ove sia del caso applicabile l’art. 34 del GDPR UE – delle violazioni di dati personali ai sensi dell’art.33 del GDPR UE; Tutte le eventuali attività di certificazione e/o di adesione a codici di condotta che il Cliente vorrà implementare ai sensi di quanto previsto dal nuovo GDPR UE.