SlideShare uma empresa Scribd logo

GDPR -nuova normativa privacy pt

CentoCinquanta srl
CentoCinquanta srl

Vite d'impresa 2018 - I workshop di CentoCinquanta. Privacy, come cambia la regolamentazione della materia con il nuovo GDPR A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018. Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali. Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso. Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro. L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.

Economia e finanças
1 de 42
Baixar para ler offline
Privacy: come cambia la regolamentazione della materia con il nuovo GDPR Avv. Fabio U. Ferrara 1
Contesto di riferimento e Data Breach 2016: peggiore anno per la sicurezza dei dati, con una considerevole crescita dei problemi e degli incidenti di sicurezza in campo tecnologico e informatico. 1050: numero di incidenti noti, rilevati nel corso del 2016, classificati come gravi (Rapporto Clusit 2017). Per incidenti gravi si intendono quelli con conseguenze significative per le vittime in termini di danno economico, di reputazione o di diffusione di dati sensibili.in termini di danno economico, di reputazione o di diffusione di dati sensibili. Attenzione: si tratta di incidenti noti, cioè resi di pubblico dominio o per obblighi di divulgazione o per dimensione tale da non poter passare inosservati. Vi è un’enorme quantità di incidenti e problemi di sicurezza che non vengono divulgati pubblicamente. Il dato è sufficiente per comprendere la criticità della situazione. 2
Data breach 2017 PRIMO SEMESTRE 2017 ✓ 918 violazioni ✓ 1,9 miliardi di record compromessi in tutto il mondo ✓ rispetto agli ultimi 3 ✓ rispetto agli ultimi sei mesi del 2016, il numero di record rubati o compromessi è aumentato del 164% Ci si aspetta che l’entrata in vigore del Regolamento GDPR e il conseguente obbligo di notifica dei data breach faranno aumentare sensibilmente i numeri Fonte: Gemalto’s Breach Level Index
Caso 1 | Perdita di dati aziendali • Società di consulenza • gestione di grosse moli di dati di terzi Cos’è successo?  attacco informatico con blocco dell’accesso al server e ai computer collegati  l’attaccante chiede che siano versati dei soldi per riottenere l’accesso ai dati (attacco con riscatto - ransomware) Perché è successo?  Insufficiente valutazione dei rischi  Mancanza di adeguata protezione contro accessi illeciti 4
Caso 2 | Perdita di dati aziendali • Azienda produttiva con sedi anche all’estero • Sistema informatico gestito da personale interno con frequente turnover Una mattina…  il server di posta non risponde più  il file server non risponde più  Il gestionale non risponde più  i file locali spariscono  il backup risulta inutilizzabile 5
Caso 1 | Perdita di dati aziendali Com’è successo? Un ex dipendente (reparto IT) si è introdotto illecitamente sul server di una delle sedi aziendali e: • è entrato nel centro stella • ha fermato e cancellato le virtual machine • ha cifrato il backup• ha cifrato il backup • ha causato la cancellazione di tutti i documenti su tutti i pc che si collegavano in rete Perché è successo? • password amministrative mai modificate • sistemi di monitoraggio assenti • sistemi di sicurezza non adeguati 6
Contesto La diffusione di trattamenti dei dati che per natura, oggetto o finalità possono presentare rischi per i diritti e le libertà degli interessati ha reso necessaria la riforma di una normativa basata sulla Direttiva CE 95/46 di oltre 20 anni fa, scritta per un’epoca in cui la maggioranza degli scambi avveniva per corrispondenza con fax e francobolli. Le nuove regole mirano ad adeguare le norme di protezione ai cambiamentiLe nuove regole mirano ad adeguare le norme di protezione ai cambiamenti determinati dall’evoluzione delle tecnologie e dal mutamento degli scenari sociali ed economici: ✓dato personale come asset con valore economico ✓ dati personali oggetto di trattamento con nuove tecnologie per differenti finalità ✓ evoluzione tecnologica dirompente con Big Data, Cloud, Geolocalizzazione, Social, Videosorveglianza, Biometria,etc. 7
Regolamento 2016/679 (GDPR) ✓ Abroga la Direttiva 95/46/CE ✓ Direttamente applicabile negli Stati Membri senza bisogno di recepimento da parte dei singoli ordinamenti nazionali ✓ «Standardizza» ed unifica il quadro normativo della data protection a«Standardizza» ed unifica il quadro normativo della data protection a livello comunitario, eliminando asimmetrie e “barriere” create nel tempo da normative nazionali frammentarie e diverse tra loro, con ostacolo alla circolazione dei dati tra un paese e l’altro ✓ Entra in vigore il 25 maggio 2018 per tutte le organizzazioni che operano nel mercato UE e che nell’ambito del loro business trattano dati personali
Ambito di applicazione Il Regolamento si applica: • alle imprese che abbiano un proprio stabilimento nell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione Europea; • al trattamento di dati personali di interessati che si trovano nell’UE• al trattamento di dati personali di interessati che si trovano nell’UE anche se effettuato da imprese che non hanno uno stabilimento nell’UE nel caso in cui offrono beni o servizi nell’Unione o monitorano i comportamenti di interessati all’interno dell’Unione. 9
Principali novità per le imprese Radicale ribaltamento di prospettiva • Codice della Privacy (D.Lgs. 196/2003): elenco delle misure minime di sicurezza (allegato B del Codice) - principio “si è sicuri se si è conformi” • GDPR: spariscono le misure minime - tocca all’ente determinare quale sia il corretto livello di sicurezza da adottare per essere conforme al Regolamento - principio “si è conformi se si è sicuri” Si passa da una conformità statica a una conformità dinamica. 10
Principali novità per le imprese Radicale ribaltamento di prospettiva Al Titolare (e al Responsabile) del trattamento è richiesto: • di pensare il trattamento di dati personali in un’ottica che ne preveda• di pensare il trattamento di dati personali in un’ottica che ne preveda una protezione fin dalla progettazione (data protection by design e by default); • di dimostrare e, quindi, documentare con evidenze oggettive in ogni momento, la propria conformità al Regolamento (accountability). 11
Principali novità per le imprese Data protection by design Data protection by defaultData protection by default Accountability 12
Privacy by design «Protezione dei dati fin dalla fase di progettazione»: quando un tipo di trattamento, considerati la natura, l'oggetto, il contesto, le finalità e l'uso di nuove tecnologie, può presentare un rischio per i diritti e le libertà degli interessati, il Titolare del trattamento, sia nella scelta dei mezzi del trattamento sia all'atto del trattamento stesso, adotta misure tecniche e organizzativesia all'atto del trattamento stesso, adotta misure tecniche e organizzative adeguate per ridurre al minimo i rischi del trattamento: ✓ Fase di Progettazione ✓ Software Selection ✓ Risk Assessment ✓ Processi 13
Privacy by Default «Protezione dei dati per impostazione predefinita»: il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (principi di minimizzazione, necessità e pertinenza). Ciò vale per:Ciò vale per: ✓ la quantità dei dati raccolti (deve essere coerente con le finalità del trattamento) ✓ il periodo di conservazione (deve essere impostato a monte in funzione delle finalità) ✓ l’accessibilità (non deve consentirsi l’accesso a un numero indefinito di persone) 14
Accountability (Responsabilizzazione) ✓ Assicura, dimostra, comprova è richiesto a Titolare e Responsabile di adottare un apparato di misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformità al Regolamento ed essere in grado di dimostrarlo e comprovarlo. ✓ Onere della prova della compliance normativa in capo al Titolare Il Titolare deve precostituire un apparato documentale per dimostrare di avere adottatoIl Titolare deve precostituire un apparato documentale per dimostrare di avere adottato gli adempimenti, le procedure e le misure opportune per eliminare o ridurre al minimo i rischi. L’adesione a codici di condotta o meccanismi di certificazione aiuta -ma non basta- a dimostrare la conformità. ✓ Conservazione della documentazione Il Titolare ha l’obbligo di conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità. 15
Adeguarsi al GDPR: i 7 passi da fare 1. Identificare i principali rischi a cui è esposta l’organizzazione, in relazione alla tipologia di dati trattati ed alle tipologie di trattamenti svolti; 2. individuare i gap dei processi di gestione aziendali rispetto ai requisiti previsti dalla normativa; 3. programmare un piano di intervento mirato per attuare processi e misure di gestione della Privacy;misure di gestione della Privacy; 4. adeguare la struttura organizzativa interna e i rapporti con i soggetti esterni (contitolari o responsabili del trattamento dati) ai requisiti privacy del Regolamento; 5. predisporre la documentazione per dimostrare la propria conformità alle regole; 6. predisporre o adeguare la modulistica con i clienti/utenti; 7. formare il personale.
Come fare per mettersi in regola: gli adempimentigli adempimenti 17
Creare il Dossier Privacy 18 Costituisce il “corpo” dell’adeguamento: contiene -in un contesto sistematico- la documentazione delle scelte a carico del Titolare (o del Responsabile) del trattamento.
Predisporre il Registro dei Trattamenti Documento che contiene la mappatura dei trattamenti cui sono sottoposti i dati gestiti dall’ente. Sono obbligati a tenere ed aggiornare il Registro tutti i Titolari/Responsabili del trattamento: • che abbiano più di 250 dipendenti, • con meno di 250 dipendenti, il cui trattamento presenti rischi per i diritti e le libertà degli interessati, non sia occasionale o riguardi speciali categorie di dati (dati sensibili e biometrici). La tenuta del Registro è obbligatoria anche per i Responsabili, i quali dovranno avere un impegno contrattuale con il Titolare ai fini dell’accountability. 19
Registro dei trattamenti Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante. Raccomandazioni del GaranteRaccomandazioni del Garante “Si invitano tutti i Titolari e i Responsabili dei trattamenti, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale Registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche” 20
Strutturare la sicurezza del trattamento (art. 32 GDPR) La sicurezza privacy ha l’obiettivo di garantire l’integrità dei dati e la difesa degli stessi da attacchi esterni: obiettivo non fine a se stesso ma strumentale alla finalità ultima di protezione della persona fisica. 21 strumentale alla finalità ultima di protezione della persona fisica. La sicurezza privacy è un adempimento composto da molti sub adempimenti, che riguardano la parte legale, la parte organizzativa, la parte informatica.
Sicurezza del trattamento Documenti da produrre Azioni Documento Valutazione dei Rischi • Compilare e tenere aggiornato il documento valutazione rischi • Esecuzione misure tecniche e organizzative inserite nel documento • Verificare obbligo di compilazione • Chiedere parere DPO 22 Documento di Valutazione Impatto Privacy • Chiedere parere DPO • Compilare e tenere aggiornato il documento VIP • Esecuzione misure tecniche e organizzative inserite nel documento Procedura data breach • Individuazione ufficio responsabile • Compilazione protocollo di azioni • Esecuzione misure tecniche e organizzative inserite nel documento • Verifica sussistenza cause di esonero • Compilare e tenere aggiornato il registro della violazione dei dati
Elenco di alcuni rischi / classificazione del GDPR Distruzione Perdita Sicurezza del trattamento 23 Perdita Modifica Divulgazione non autorizzata Accesso accidentale o illegale
Sicurezza del trattamento Rischi Comportamenti degli operatori • sottrazione di credenziali di autenticazione • carenza di consapevolezza, disattenzione o incuria • comportamenti sleali o fraudolenti • errore materiale • altro evento Eventi relativi agli • virus informatici o programmi suscettibili di recare danno • spamming o tecniche di sabotaggioEventi relativi agli strumenti • spamming o tecniche di sabotaggio • malfunzionamento, indisponibilità o degrado degli strumenti • accessi esterni non autorizzati • intercettazione di informazioni in rete • altro evento Eventi relativi al contesto • accessi non autorizzati a locali/reparti ad accesso ristretto • sottrazione di strumenti contenenti dati • eventi distruttivi, naturali o artificiali (terremoti, incendi, allagamenti) nonché dolosi, accidentali o dovuti a incuria • guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) • errori umani nella gestione della sicurezza fisica • altro evento 24
Documento Valutazione Rischi Devono fare la valutazione dei rischi tutte le organizzazioni pubbliche e private. Analisi dei rischi: operazione in cinque mosse 1) Individuare il rischio n. 1 (ad es. perdita del dato) 2) Descrivere lo stato dell’arte 25 3) Valutare le varie misure astrattamente adottabili per evitare o ridurre al minimo il rischio 4) Identificare e adottare la misura tecnica e organizzativa 5) Fare monitoraggio e manutenzione delle misure adottate Poi si ricomincia il giro con il rischio n. 2 e così via.
Misure di sicurezza Si deve ricorrere sia a misure tecniche sia a misure organizzative • Pseudonimizzazione e cifratura dei dati personali • Capacità di assicurare in modo permanente la riservatezza, l‘integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento • Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: ilpersonali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: il Regolamento non fissa un termine esatto per il ripristino, limitandosi a dire che deve essere tempestivo. Nella valutazione dei rischi bisogna indicare un periodo preciso e brevissimo, non si può restare sul generico • Procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento 26
Valutazione di Impatto Privacy - VIP (Privacy Impact Assessment) “Valutazione dei Rischi” e “Valutazione di Impatto” sono istituti diversi • La “Valutazione dei Rischi” è sempre necessaria (individua le misure di• La “Valutazione dei Rischi” è sempre necessaria (individua le misure di sicurezza “adeguate”); • la Valutazione di Impatto è attività riservata alla gestione dei rischi elevati per i diritti e le libertà fondamentali degli interessati. 27
Valutazione di Impatto Privacy - VIP Casi in cui la Valutazione di Impatto Privacy è obbligatoria (art. 35 GDPR e Linee Guida Gruppo Articolo 29): • Trattamenti valutativi o di scoring, compresa la profilazione • Trattamenti di dati personali su “larga scala” • Sorveglianza sistematica su larga di zona accessibile al pubblico (es.• Sorveglianza sistematica su larga di zona accessibile al pubblico (es. videosorveglianza di zone accessibili al pubblico) • Decisioni automatizzate che producono significativi effetti giuridici (es. concessione di prestiti, stipula di assicurazioni, ecc.) • Trattamenti su categorie particolari di dati (es. sensibili, biometrici, giudiziari) • Trattamento effettuato con nuove soluzioni tecnologiche (es. riconoscimento facciale, device IoT, ecc.) • Altre ipotesi che saranno elencate e pubblicate dall’Autorità Garante 28
Valutazione di Impatto Privacy - VIP Requisiti minimi della VIP La valutazione d’impatto, previo parere del DPO se nominato, deve contenere: ✓ Una descrizione sistematica del trattamento previsto ✓ Una valutazione dei rischi per i diritti e le libertà degli interessati ✓ una valutazione della necessità e proporzionalità del trattamento in relazione alle finalitàfinalità ✓ Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento Consultazione preventiva. Se dalla valutazione di impatto emerge che il rischio non possa essere ragionevolmente minimizzato mediante le tecnologie disponibili o per gli elevati costi di attuazione, il Titolare del trattamento, prima di procedere al trattamento, consulta l‘Autorità di controllo. 29
Procedura Data Breach La violazione della sicurezza dei dati personali riguarda le ipotesi in cui si verifica, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso non autorizzato ai dati personali. Obblighi • tutti i Titolari devono notificare la violazione all’Autorità Garante entro 72 ore, a meno che appaia improbabile che da tale violazione derivi un rischio per i diritti e le libertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazionelibertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazione motivata) • il Responsabile deve avvisare senza ritardo il Titolare • il Titolare dovrà informare della violazione anche gli interessati se può causare un “rischio elevato” per i diritti e le libertà degli stessi senza ingiustificato ritardo • tutti i Titolari devono in ogni caso documentare le violazioni subite, anche in mancanza di obbligo di notificazione, nonché le conseguenze e i provvedimenti adottati (dovere di esibire la documentazione, su richiesta, al Garante in caso di accertamenti). 30
Rapporti con gli interessati Trasparenza I dati personali devono essere trattati in modo trasparente nei confronti dell’interessato: 31 • fornitura di informazioni all’interessato prima del trattamento e, su sua richiesta, nel corso del trattamento; • disclosure sull’identità dei soggetti che trattano i dati personali; • disclosure sui mezzi utilizzati.
Rapporti con gli interessati Documenti da produrre Azioni Informativa •E’ obbligatoria per tutti gli enti •verifica informative esistenti 32 •adeguamento ai nuovi contenuti e adempimenti Raccolta consensi • verifica consensi esistenti • allineamento ai nuovi contenuti e adempimenti
Rapporti con gli interessati Il Consenso • E’ una delle basi giuridiche che giustifica e rende legittimo il trattamento • Tutti gli enti sono tenuti a redigere la formula del consenso conforme agli standard normativistandard normativi • L’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei suoi dati per scopi specifici incombe sul titolare del trattamento • La richiesta di consenso deve essere in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro • Il consenso può essere revocato in qualsiasi momento e per la revoca deve essere garantita la medesima facilità con la quale è stato prestato • Necessità di consensi separati per marketing, profilazione, cessione dati a terzi 33
34
Responsabile della Protezione dei Dati (Data Protection Officer) Ha una funzione di consulenza, sorveglianza e collegamento con il Garante e con gli interessati. Il DPO è obbligatorio se: • il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;• il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; • le attività principali del Titolare o del Responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; • le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di dati sensibili o di dati relativi a condanne penali e reati. 35
Responsabile della Protezione dei Dati (Data Protection Officer) • Il ruolo può essere svolto da soggetti interni o esterni all’ente, purché non si trovi in situazione di conflitto di interessi (Responsabile IT, Responsabile risorse umane, Responsabile sanitario nelle strutture medico-sanitarie non può essere nominato DPO perché in conflitto di interessi)può essere nominato DPO perché in conflitto di interessi) • se esterno, può essere persona fisica o giuridica (con opportuni contratti di erogazione servizi). Può essere nominato dalle organizzazioni su base volontaria. 36
Ruoli del DPO • Informa i suoi referenti e fornisce pareri consulenziali in merito agli obblighi derivanti dal regolamento GDPR e dalle normative correlate • Sorveglia l'osservanza della normativa, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo • Deve essere consultato per realizzare la valutazione d'impatto e se richiesto• Deve essere consultato per realizzare la valutazione d'impatto e se richiesto fornire pareri in merito • Coopera con l’Autorità Garante e funge da punto di contatto con questa per tutte le questioni connesse al trattamento di dati personali • Svolge o collabora alla raccolta di informazioni per individuare i trattamenti svolti • Effettua l’analisi e la verifica dei trattamenti in termini di conformità 37
Cosa si rischia a non mettere in atto le prescrizioni del Regolamento? 38
Responsabilità e regime sanzionatorio Il sistema delle responsabilità è articolato in: 1. Sanzioni amministrative 2. Responsabilità civile per danni 39
Responsabilità e regime sanzionatorio Sanzioni amministrative Distinte in due gruppi: a) sanzioni fino a 20 milioni di € o al 4% del fatturato mondiale totale annuo dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale) in caso di violazione di: ✓ principi relativi al trattamento e al consenso ✓ disposizioni relative ai diritti dell’interessato ✓ disposizioni in materia di trasferimento dati ✓ ordine di cessazione del trattamento b) sanzioni fino a 10 milioni di € o al 2% del fatturato mondiale totale annuo dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale) in caso di violazione di: ✓ adempimenti in capo al Titolare e al Responsabile 40
Responsabilità e regime sanzionatorio Responsabilità civile per danni • Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento; • onere della prova a carico del presunto autore della violazione: per l’esonero da responsabilità Titolare o Responsabile devono dare prova che l’evento dannosoresponsabilità Titolare o Responsabile devono dare prova che l’evento dannoso non gli è in alcun modo imputabile (avere adottato tutte le misure idonee ad evitare il danno); • la responsabilità di Titolare e Responsabile del trattamento è solidale: rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo all’interessato (salva rivalsa interna nei limiti della quota di responsabilità). 41
Grazie per l’attenzione e buon adeguamento avv. Fabio Ferrara cell. 349 3840528

Recomendados

La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 

Recomendados

La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksRoberto Stefanetti
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 

Mais conteúdo relacionado

Mais procurados

GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksRoberto Stefanetti
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 

Mais procurados (19)

GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & Links
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 

Semelhante a GDPR -nuova normativa privacy pt

Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziEurosystem S.p.A.
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...GELLIFY
 
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetApp
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetAppNetApp Webinar: 100 Days to GDPR: La guida pratica di NetApp
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetAppNetApp
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPDaniele Fittabile
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRStefania Tromba
 

Semelhante a GDPR -nuova normativa privacy pt (20)

Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016m
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...
 
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetApp
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetAppNetApp Webinar: 100 Days to GDPR: La guida pratica di NetApp
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetApp
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca NobiliniPMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
PMexpo17 - Il Project Management & il GDPR - Francesca Nobilini
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Preparsi al GDPR
Preparsi al GDPRPreparsi al GDPR
Preparsi al GDPR
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPR
 

Mais de CentoCinquanta srl

Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016
Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016
Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016CentoCinquanta srl
 
Strategia aziendale come definirla e monitorarla
Strategia aziendale come definirla e monitorarlaStrategia aziendale come definirla e monitorarla
Strategia aziendale come definirla e monitorarlaCentoCinquanta srl
 
Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...CentoCinquanta srl
 
Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...CentoCinquanta srl
 
Liquidità. crescita e dipendenza finanziaria
Liquidità. crescita e dipendenza finanziariaLiquidità. crescita e dipendenza finanziaria
Liquidità. crescita e dipendenza finanziariaCentoCinquanta srl
 
Come avviare l'organizzazione di un'azienda più flessibile
Come avviare l'organizzazione di un'azienda più flessibileCome avviare l'organizzazione di un'azienda più flessibile
Come avviare l'organizzazione di un'azienda più flessibileCentoCinquanta srl
 
Le basi della pianificazione: budget di previsione e analisi degli scostamenti
Le basi della pianificazione: budget di previsione e analisi degli scostamentiLe basi della pianificazione: budget di previsione e analisi degli scostamenti
Le basi della pianificazione: budget di previsione e analisi degli scostamentiCentoCinquanta srl
 
Creazione e monitoraggio delle strategie aziendali
Creazione e monitoraggio delle strategie aziendaliCreazione e monitoraggio delle strategie aziendali
Creazione e monitoraggio delle strategie aziendaliCentoCinquanta srl
 
Controllo di gestione e pianificazione finanziaria
Controllo di gestione e pianificazione finanziariaControllo di gestione e pianificazione finanziaria
Controllo di gestione e pianificazione finanziariaCentoCinquanta srl
 
Creare il budget e monitorarlo
Creare il budget e monitorarloCreare il budget e monitorarlo
Creare il budget e monitorarloCentoCinquanta srl
 
Composizione e quantificazione del fabbisogno finanziario juvara
Composizione e quantificazione del fabbisogno finanziario juvaraComposizione e quantificazione del fabbisogno finanziario juvara
Composizione e quantificazione del fabbisogno finanziario juvaraCentoCinquanta srl
 
Migliorare la produttività revisionando le procecdure
Migliorare la produttività revisionando le procecdureMigliorare la produttività revisionando le procecdure
Migliorare la produttività revisionando le procecdureCentoCinquanta srl
 
Simulazioni e risk managment. CentoCinquanta
Simulazioni e risk managment. CentoCinquantaSimulazioni e risk managment. CentoCinquanta
Simulazioni e risk managment. CentoCinquantaCentoCinquanta srl
 
Gestire il cambiamento e accrescere la produttività
Gestire il cambiamento e accrescere la produttivitàGestire il cambiamento e accrescere la produttività
Gestire il cambiamento e accrescere la produttivitàCentoCinquanta srl
 
La mappa strategica: la creazione delle strategie di crescita e il loro monit...
La mappa strategica: la creazione delle strategie di crescita e il loro monit...La mappa strategica: la creazione delle strategie di crescita e il loro monit...
La mappa strategica: la creazione delle strategie di crescita e il loro monit...CentoCinquanta srl
 
Rassegna stampa - CentoCinquanta 07.2013
Rassegna stampa - CentoCinquanta 07.2013Rassegna stampa - CentoCinquanta 07.2013
Rassegna stampa - CentoCinquanta 07.2013CentoCinquanta srl
 

Mais de CentoCinquanta srl (20)

Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016
Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016
Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016
 
Strategia aziendale come definirla e monitorarla
Strategia aziendale come definirla e monitorarlaStrategia aziendale come definirla e monitorarla
Strategia aziendale come definirla e monitorarla
 
Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...
 
Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...Creare o distruggere valore per i portatori di interesse e analisi dei proces...
Creare o distruggere valore per i portatori di interesse e analisi dei proces...
 
Liquidità. crescita e dipendenza finanziaria
Liquidità. crescita e dipendenza finanziariaLiquidità. crescita e dipendenza finanziaria
Liquidità. crescita e dipendenza finanziaria
 
Come avviare l'organizzazione di un'azienda più flessibile
Come avviare l'organizzazione di un'azienda più flessibileCome avviare l'organizzazione di un'azienda più flessibile
Come avviare l'organizzazione di un'azienda più flessibile
 
Le basi della pianificazione: budget di previsione e analisi degli scostamenti
Le basi della pianificazione: budget di previsione e analisi degli scostamentiLe basi della pianificazione: budget di previsione e analisi degli scostamenti
Le basi della pianificazione: budget di previsione e analisi degli scostamenti
 
Creazione e monitoraggio delle strategie aziendali
Creazione e monitoraggio delle strategie aziendaliCreazione e monitoraggio delle strategie aziendali
Creazione e monitoraggio delle strategie aziendali
 
Controllo di gestione e pianificazione finanziaria
Controllo di gestione e pianificazione finanziariaControllo di gestione e pianificazione finanziaria
Controllo di gestione e pianificazione finanziaria
 
Creare il budget e monitorarlo
Creare il budget e monitorarloCreare il budget e monitorarlo
Creare il budget e monitorarlo
 
Fondo italiano d'investimento
Fondo italiano d'investimentoFondo italiano d'investimento
Fondo italiano d'investimento
 
Borsa italiana Elite
Borsa italiana EliteBorsa italiana Elite
Borsa italiana Elite
 
Composizione e quantificazione del fabbisogno finanziario juvara
Composizione e quantificazione del fabbisogno finanziario juvaraComposizione e quantificazione del fabbisogno finanziario juvara
Composizione e quantificazione del fabbisogno finanziario juvara
 
Migliorare la produttività revisionando le procecdure
Migliorare la produttività revisionando le procecdureMigliorare la produttività revisionando le procecdure
Migliorare la produttività revisionando le procecdure
 
Simulazioni e risk managment. CentoCinquanta
Simulazioni e risk managment. CentoCinquantaSimulazioni e risk managment. CentoCinquanta
Simulazioni e risk managment. CentoCinquanta
 
Press e presences 07.11.2013
Press e presences 07.11.2013Press e presences 07.11.2013
Press e presences 07.11.2013
 
Gestire il cambiamento e accrescere la produttività
Gestire il cambiamento e accrescere la produttivitàGestire il cambiamento e accrescere la produttività
Gestire il cambiamento e accrescere la produttività
 
La mappa strategica: la creazione delle strategie di crescita e il loro monit...
La mappa strategica: la creazione delle strategie di crescita e il loro monit...La mappa strategica: la creazione delle strategie di crescita e il loro monit...
La mappa strategica: la creazione delle strategie di crescita e il loro monit...
 
Rassegna stampa - CentoCinquanta 07.2013
Rassegna stampa - CentoCinquanta 07.2013Rassegna stampa - CentoCinquanta 07.2013
Rassegna stampa - CentoCinquanta 07.2013
 
Budget preventivo
Budget preventivoBudget preventivo
Budget preventivo
 

GDPR -nuova normativa privacy pt

  • 1. Privacy: come cambia la regolamentazione della materia con il nuovo GDPR Avv. Fabio U. Ferrara 1
  • 2. Contesto di riferimento e Data Breach 2016: peggiore anno per la sicurezza dei dati, con una considerevole crescita dei problemi e degli incidenti di sicurezza in campo tecnologico e informatico. 1050: numero di incidenti noti, rilevati nel corso del 2016, classificati come gravi (Rapporto Clusit 2017). Per incidenti gravi si intendono quelli con conseguenze significative per le vittime in termini di danno economico, di reputazione o di diffusione di dati sensibili.in termini di danno economico, di reputazione o di diffusione di dati sensibili. Attenzione: si tratta di incidenti noti, cioè resi di pubblico dominio o per obblighi di divulgazione o per dimensione tale da non poter passare inosservati. Vi è un’enorme quantità di incidenti e problemi di sicurezza che non vengono divulgati pubblicamente. Il dato è sufficiente per comprendere la criticità della situazione. 2
  • 3. Data breach 2017 PRIMO SEMESTRE 2017 ✓ 918 violazioni ✓ 1,9 miliardi di record compromessi in tutto il mondo ✓ rispetto agli ultimi 3 ✓ rispetto agli ultimi sei mesi del 2016, il numero di record rubati o compromessi è aumentato del 164% Ci si aspetta che l’entrata in vigore del Regolamento GDPR e il conseguente obbligo di notifica dei data breach faranno aumentare sensibilmente i numeri Fonte: Gemalto’s Breach Level Index
  • 4. Caso 1 | Perdita di dati aziendali • Società di consulenza • gestione di grosse moli di dati di terzi Cos’è successo?  attacco informatico con blocco dell’accesso al server e ai computer collegati  l’attaccante chiede che siano versati dei soldi per riottenere l’accesso ai dati (attacco con riscatto - ransomware) Perché è successo?  Insufficiente valutazione dei rischi  Mancanza di adeguata protezione contro accessi illeciti 4
  • 5. Caso 2 | Perdita di dati aziendali • Azienda produttiva con sedi anche all’estero • Sistema informatico gestito da personale interno con frequente turnover Una mattina…  il server di posta non risponde più  il file server non risponde più  Il gestionale non risponde più  i file locali spariscono  il backup risulta inutilizzabile 5
  • 6. Caso 1 | Perdita di dati aziendali Com’è successo? Un ex dipendente (reparto IT) si è introdotto illecitamente sul server di una delle sedi aziendali e: • è entrato nel centro stella • ha fermato e cancellato le virtual machine • ha cifrato il backup• ha cifrato il backup • ha causato la cancellazione di tutti i documenti su tutti i pc che si collegavano in rete Perché è successo? • password amministrative mai modificate • sistemi di monitoraggio assenti • sistemi di sicurezza non adeguati 6
  • 7. Contesto La diffusione di trattamenti dei dati che per natura, oggetto o finalità possono presentare rischi per i diritti e le libertà degli interessati ha reso necessaria la riforma di una normativa basata sulla Direttiva CE 95/46 di oltre 20 anni fa, scritta per un’epoca in cui la maggioranza degli scambi avveniva per corrispondenza con fax e francobolli. Le nuove regole mirano ad adeguare le norme di protezione ai cambiamentiLe nuove regole mirano ad adeguare le norme di protezione ai cambiamenti determinati dall’evoluzione delle tecnologie e dal mutamento degli scenari sociali ed economici: ✓dato personale come asset con valore economico ✓ dati personali oggetto di trattamento con nuove tecnologie per differenti finalità ✓ evoluzione tecnologica dirompente con Big Data, Cloud, Geolocalizzazione, Social, Videosorveglianza, Biometria,etc. 7
  • 8. Regolamento 2016/679 (GDPR) ✓ Abroga la Direttiva 95/46/CE ✓ Direttamente applicabile negli Stati Membri senza bisogno di recepimento da parte dei singoli ordinamenti nazionali ✓ «Standardizza» ed unifica il quadro normativo della data protection a«Standardizza» ed unifica il quadro normativo della data protection a livello comunitario, eliminando asimmetrie e “barriere” create nel tempo da normative nazionali frammentarie e diverse tra loro, con ostacolo alla circolazione dei dati tra un paese e l’altro ✓ Entra in vigore il 25 maggio 2018 per tutte le organizzazioni che operano nel mercato UE e che nell’ambito del loro business trattano dati personali
  • 9. Ambito di applicazione Il Regolamento si applica: • alle imprese che abbiano un proprio stabilimento nell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione Europea; • al trattamento di dati personali di interessati che si trovano nell’UE• al trattamento di dati personali di interessati che si trovano nell’UE anche se effettuato da imprese che non hanno uno stabilimento nell’UE nel caso in cui offrono beni o servizi nell’Unione o monitorano i comportamenti di interessati all’interno dell’Unione. 9
  • 10. Principali novità per le imprese Radicale ribaltamento di prospettiva • Codice della Privacy (D.Lgs. 196/2003): elenco delle misure minime di sicurezza (allegato B del Codice) - principio “si è sicuri se si è conformi” • GDPR: spariscono le misure minime - tocca all’ente determinare quale sia il corretto livello di sicurezza da adottare per essere conforme al Regolamento - principio “si è conformi se si è sicuri” Si passa da una conformità statica a una conformità dinamica. 10
  • 11. Principali novità per le imprese Radicale ribaltamento di prospettiva Al Titolare (e al Responsabile) del trattamento è richiesto: • di pensare il trattamento di dati personali in un’ottica che ne preveda• di pensare il trattamento di dati personali in un’ottica che ne preveda una protezione fin dalla progettazione (data protection by design e by default); • di dimostrare e, quindi, documentare con evidenze oggettive in ogni momento, la propria conformità al Regolamento (accountability). 11
  • 12. Principali novità per le imprese Data protection by design Data protection by defaultData protection by default Accountability 12
  • 13. Privacy by design «Protezione dei dati fin dalla fase di progettazione»: quando un tipo di trattamento, considerati la natura, l'oggetto, il contesto, le finalità e l'uso di nuove tecnologie, può presentare un rischio per i diritti e le libertà degli interessati, il Titolare del trattamento, sia nella scelta dei mezzi del trattamento sia all'atto del trattamento stesso, adotta misure tecniche e organizzativesia all'atto del trattamento stesso, adotta misure tecniche e organizzative adeguate per ridurre al minimo i rischi del trattamento: ✓ Fase di Progettazione ✓ Software Selection ✓ Risk Assessment ✓ Processi 13
  • 14. Privacy by Default «Protezione dei dati per impostazione predefinita»: il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (principi di minimizzazione, necessità e pertinenza). Ciò vale per:Ciò vale per: ✓ la quantità dei dati raccolti (deve essere coerente con le finalità del trattamento) ✓ il periodo di conservazione (deve essere impostato a monte in funzione delle finalità) ✓ l’accessibilità (non deve consentirsi l’accesso a un numero indefinito di persone) 14
  • 15. Accountability (Responsabilizzazione) ✓ Assicura, dimostra, comprova è richiesto a Titolare e Responsabile di adottare un apparato di misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformità al Regolamento ed essere in grado di dimostrarlo e comprovarlo. ✓ Onere della prova della compliance normativa in capo al Titolare Il Titolare deve precostituire un apparato documentale per dimostrare di avere adottatoIl Titolare deve precostituire un apparato documentale per dimostrare di avere adottato gli adempimenti, le procedure e le misure opportune per eliminare o ridurre al minimo i rischi. L’adesione a codici di condotta o meccanismi di certificazione aiuta -ma non basta- a dimostrare la conformità. ✓ Conservazione della documentazione Il Titolare ha l’obbligo di conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità. 15
  • 16. Adeguarsi al GDPR: i 7 passi da fare 1. Identificare i principali rischi a cui è esposta l’organizzazione, in relazione alla tipologia di dati trattati ed alle tipologie di trattamenti svolti; 2. individuare i gap dei processi di gestione aziendali rispetto ai requisiti previsti dalla normativa; 3. programmare un piano di intervento mirato per attuare processi e misure di gestione della Privacy;misure di gestione della Privacy; 4. adeguare la struttura organizzativa interna e i rapporti con i soggetti esterni (contitolari o responsabili del trattamento dati) ai requisiti privacy del Regolamento; 5. predisporre la documentazione per dimostrare la propria conformità alle regole; 6. predisporre o adeguare la modulistica con i clienti/utenti; 7. formare il personale.
  • 17. Come fare per mettersi in regola: gli adempimentigli adempimenti 17
  • 18. Creare il Dossier Privacy 18 Costituisce il “corpo” dell’adeguamento: contiene -in un contesto sistematico- la documentazione delle scelte a carico del Titolare (o del Responsabile) del trattamento.
  • 19. Predisporre il Registro dei Trattamenti Documento che contiene la mappatura dei trattamenti cui sono sottoposti i dati gestiti dall’ente. Sono obbligati a tenere ed aggiornare il Registro tutti i Titolari/Responsabili del trattamento: • che abbiano più di 250 dipendenti, • con meno di 250 dipendenti, il cui trattamento presenti rischi per i diritti e le libertà degli interessati, non sia occasionale o riguardi speciali categorie di dati (dati sensibili e biometrici). La tenuta del Registro è obbligatoria anche per i Responsabili, i quali dovranno avere un impegno contrattuale con il Titolare ai fini dell’accountability. 19
  • 20. Registro dei trattamenti Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante. Raccomandazioni del GaranteRaccomandazioni del Garante “Si invitano tutti i Titolari e i Responsabili dei trattamenti, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale Registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche” 20
  • 21. Strutturare la sicurezza del trattamento (art. 32 GDPR) La sicurezza privacy ha l’obiettivo di garantire l’integrità dei dati e la difesa degli stessi da attacchi esterni: obiettivo non fine a se stesso ma strumentale alla finalità ultima di protezione della persona fisica. 21 strumentale alla finalità ultima di protezione della persona fisica. La sicurezza privacy è un adempimento composto da molti sub adempimenti, che riguardano la parte legale, la parte organizzativa, la parte informatica.
  • 22. Sicurezza del trattamento Documenti da produrre Azioni Documento Valutazione dei Rischi • Compilare e tenere aggiornato il documento valutazione rischi • Esecuzione misure tecniche e organizzative inserite nel documento • Verificare obbligo di compilazione • Chiedere parere DPO 22 Documento di Valutazione Impatto Privacy • Chiedere parere DPO • Compilare e tenere aggiornato il documento VIP • Esecuzione misure tecniche e organizzative inserite nel documento Procedura data breach • Individuazione ufficio responsabile • Compilazione protocollo di azioni • Esecuzione misure tecniche e organizzative inserite nel documento • Verifica sussistenza cause di esonero • Compilare e tenere aggiornato il registro della violazione dei dati
  • 23. Elenco di alcuni rischi / classificazione del GDPR Distruzione Perdita Sicurezza del trattamento 23 Perdita Modifica Divulgazione non autorizzata Accesso accidentale o illegale
  • 24. Sicurezza del trattamento Rischi Comportamenti degli operatori • sottrazione di credenziali di autenticazione • carenza di consapevolezza, disattenzione o incuria • comportamenti sleali o fraudolenti • errore materiale • altro evento Eventi relativi agli • virus informatici o programmi suscettibili di recare danno • spamming o tecniche di sabotaggioEventi relativi agli strumenti • spamming o tecniche di sabotaggio • malfunzionamento, indisponibilità o degrado degli strumenti • accessi esterni non autorizzati • intercettazione di informazioni in rete • altro evento Eventi relativi al contesto • accessi non autorizzati a locali/reparti ad accesso ristretto • sottrazione di strumenti contenenti dati • eventi distruttivi, naturali o artificiali (terremoti, incendi, allagamenti) nonché dolosi, accidentali o dovuti a incuria • guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) • errori umani nella gestione della sicurezza fisica • altro evento 24
  • 25. Documento Valutazione Rischi Devono fare la valutazione dei rischi tutte le organizzazioni pubbliche e private. Analisi dei rischi: operazione in cinque mosse 1) Individuare il rischio n. 1 (ad es. perdita del dato) 2) Descrivere lo stato dell’arte 25 3) Valutare le varie misure astrattamente adottabili per evitare o ridurre al minimo il rischio 4) Identificare e adottare la misura tecnica e organizzativa 5) Fare monitoraggio e manutenzione delle misure adottate Poi si ricomincia il giro con il rischio n. 2 e così via.
  • 26. Misure di sicurezza Si deve ricorrere sia a misure tecniche sia a misure organizzative • Pseudonimizzazione e cifratura dei dati personali • Capacità di assicurare in modo permanente la riservatezza, l‘integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento • Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: ilpersonali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: il Regolamento non fissa un termine esatto per il ripristino, limitandosi a dire che deve essere tempestivo. Nella valutazione dei rischi bisogna indicare un periodo preciso e brevissimo, non si può restare sul generico • Procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento 26
  • 27. Valutazione di Impatto Privacy - VIP (Privacy Impact Assessment) “Valutazione dei Rischi” e “Valutazione di Impatto” sono istituti diversi • La “Valutazione dei Rischi” è sempre necessaria (individua le misure di• La “Valutazione dei Rischi” è sempre necessaria (individua le misure di sicurezza “adeguate”); • la Valutazione di Impatto è attività riservata alla gestione dei rischi elevati per i diritti e le libertà fondamentali degli interessati. 27
  • 28. Valutazione di Impatto Privacy - VIP Casi in cui la Valutazione di Impatto Privacy è obbligatoria (art. 35 GDPR e Linee Guida Gruppo Articolo 29): • Trattamenti valutativi o di scoring, compresa la profilazione • Trattamenti di dati personali su “larga scala” • Sorveglianza sistematica su larga di zona accessibile al pubblico (es.• Sorveglianza sistematica su larga di zona accessibile al pubblico (es. videosorveglianza di zone accessibili al pubblico) • Decisioni automatizzate che producono significativi effetti giuridici (es. concessione di prestiti, stipula di assicurazioni, ecc.) • Trattamenti su categorie particolari di dati (es. sensibili, biometrici, giudiziari) • Trattamento effettuato con nuove soluzioni tecnologiche (es. riconoscimento facciale, device IoT, ecc.) • Altre ipotesi che saranno elencate e pubblicate dall’Autorità Garante 28
  • 29. Valutazione di Impatto Privacy - VIP Requisiti minimi della VIP La valutazione d’impatto, previo parere del DPO se nominato, deve contenere: ✓ Una descrizione sistematica del trattamento previsto ✓ Una valutazione dei rischi per i diritti e le libertà degli interessati ✓ una valutazione della necessità e proporzionalità del trattamento in relazione alle finalitàfinalità ✓ Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento Consultazione preventiva. Se dalla valutazione di impatto emerge che il rischio non possa essere ragionevolmente minimizzato mediante le tecnologie disponibili o per gli elevati costi di attuazione, il Titolare del trattamento, prima di procedere al trattamento, consulta l‘Autorità di controllo. 29
  • 30. Procedura Data Breach La violazione della sicurezza dei dati personali riguarda le ipotesi in cui si verifica, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso non autorizzato ai dati personali. Obblighi • tutti i Titolari devono notificare la violazione all’Autorità Garante entro 72 ore, a meno che appaia improbabile che da tale violazione derivi un rischio per i diritti e le libertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazionelibertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazione motivata) • il Responsabile deve avvisare senza ritardo il Titolare • il Titolare dovrà informare della violazione anche gli interessati se può causare un “rischio elevato” per i diritti e le libertà degli stessi senza ingiustificato ritardo • tutti i Titolari devono in ogni caso documentare le violazioni subite, anche in mancanza di obbligo di notificazione, nonché le conseguenze e i provvedimenti adottati (dovere di esibire la documentazione, su richiesta, al Garante in caso di accertamenti). 30
  • 31. Rapporti con gli interessati Trasparenza I dati personali devono essere trattati in modo trasparente nei confronti dell’interessato: 31 • fornitura di informazioni all’interessato prima del trattamento e, su sua richiesta, nel corso del trattamento; • disclosure sull’identità dei soggetti che trattano i dati personali; • disclosure sui mezzi utilizzati.
  • 32. Rapporti con gli interessati Documenti da produrre Azioni Informativa •E’ obbligatoria per tutti gli enti •verifica informative esistenti 32 •adeguamento ai nuovi contenuti e adempimenti Raccolta consensi • verifica consensi esistenti • allineamento ai nuovi contenuti e adempimenti
  • 33. Rapporti con gli interessati Il Consenso • E’ una delle basi giuridiche che giustifica e rende legittimo il trattamento • Tutti gli enti sono tenuti a redigere la formula del consenso conforme agli standard normativistandard normativi • L’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei suoi dati per scopi specifici incombe sul titolare del trattamento • La richiesta di consenso deve essere in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro • Il consenso può essere revocato in qualsiasi momento e per la revoca deve essere garantita la medesima facilità con la quale è stato prestato • Necessità di consensi separati per marketing, profilazione, cessione dati a terzi 33
  • 34. 34
  • 35. Responsabile della Protezione dei Dati (Data Protection Officer) Ha una funzione di consulenza, sorveglianza e collegamento con il Garante e con gli interessati. Il DPO è obbligatorio se: • il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;• il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; • le attività principali del Titolare o del Responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; • le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di dati sensibili o di dati relativi a condanne penali e reati. 35
  • 36. Responsabile della Protezione dei Dati (Data Protection Officer) • Il ruolo può essere svolto da soggetti interni o esterni all’ente, purché non si trovi in situazione di conflitto di interessi (Responsabile IT, Responsabile risorse umane, Responsabile sanitario nelle strutture medico-sanitarie non può essere nominato DPO perché in conflitto di interessi)può essere nominato DPO perché in conflitto di interessi) • se esterno, può essere persona fisica o giuridica (con opportuni contratti di erogazione servizi). Può essere nominato dalle organizzazioni su base volontaria. 36
  • 37. Ruoli del DPO • Informa i suoi referenti e fornisce pareri consulenziali in merito agli obblighi derivanti dal regolamento GDPR e dalle normative correlate • Sorveglia l'osservanza della normativa, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo • Deve essere consultato per realizzare la valutazione d'impatto e se richiesto• Deve essere consultato per realizzare la valutazione d'impatto e se richiesto fornire pareri in merito • Coopera con l’Autorità Garante e funge da punto di contatto con questa per tutte le questioni connesse al trattamento di dati personali • Svolge o collabora alla raccolta di informazioni per individuare i trattamenti svolti • Effettua l’analisi e la verifica dei trattamenti in termini di conformità 37
  • 38. Cosa si rischia a non mettere in atto le prescrizioni del Regolamento? 38
  • 39. Responsabilità e regime sanzionatorio Il sistema delle responsabilità è articolato in: 1. Sanzioni amministrative 2. Responsabilità civile per danni 39
  • 40. Responsabilità e regime sanzionatorio Sanzioni amministrative Distinte in due gruppi: a) sanzioni fino a 20 milioni di € o al 4% del fatturato mondiale totale annuo dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale) in caso di violazione di: ✓ principi relativi al trattamento e al consenso ✓ disposizioni relative ai diritti dell’interessato ✓ disposizioni in materia di trasferimento dati ✓ ordine di cessazione del trattamento b) sanzioni fino a 10 milioni di € o al 2% del fatturato mondiale totale annuo dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale) in caso di violazione di: ✓ adempimenti in capo al Titolare e al Responsabile 40
  • 41. Responsabilità e regime sanzionatorio Responsabilità civile per danni • Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento; • onere della prova a carico del presunto autore della violazione: per l’esonero da responsabilità Titolare o Responsabile devono dare prova che l’evento dannosoresponsabilità Titolare o Responsabile devono dare prova che l’evento dannoso non gli è in alcun modo imputabile (avere adottato tutte le misure idonee ad evitare il danno); • la responsabilità di Titolare e Responsabile del trattamento è solidale: rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo all’interessato (salva rivalsa interna nei limiti della quota di responsabilità). 41
  • 42. Grazie per l’attenzione e buon adeguamento avv. Fabio Ferrara cell. 349 3840528