GDPR GENERAL DATA PROTECTION REGULATION

Milano, 25/10/2017

The White Swan

CREDE

• nella continuità operativa delle aziende, quale fattore distintivo rispetto ai

competitors e portatori di interesse

AIUTA

• le aziende a monitorare nel tempo l’impatto delle singole scelte sulle diverse aree aziendali e a valutarne i benefici sulla base di informazioni condivise disponibili o reperibili nel contesto di riferimento

AFFIANCA

• il management nella gestione del rischio insito in queste scelte portandolo entro limiti accettabili e fornendo ragionevole sicurezza nel conseguimento degli obiettivi aziendali definiti

2

GDPR

GDPR (GENERAL DATA PROTECTION REGULATION) o Regolamento UE n. 2016/679: ad oggi è già entrato formalmente in vigore, il 25 maggio 2018 scadrà il termine ultimo per la sua applicazione. Riguarda tutti i paesi membri dell’unione europea e regolamenta il trattamento dei dati relativi alle sole persone fisiche:

IDENTIFICATIVI

SENSIBILI

GIUDIZIARI

In generale sono esclusi soltanto quei dati che riguardano società, enti e associazioni.

3

GDPR cosa si intende con i principi di PRIVACY BY DESIGN e PRIVACY BY DEFAULT?

Dal momento che lo scopo è prevenire piuttosto che correggere si richiede di introdurre il tema della privacy sempre (BY DEFAULT) sin dal principio della progettazione di un processo aziendale (BY DESIGN).

ASPETTI OPERATIVI: come cambia la raccolta e l’archiviazione del dato?

La nuova normativa funziona sulla volontà di condividere il dato espresso attraverso un CONSENSO CONSAPEVOLE (non più consenso esplicito, nè consenso assenso). QUANDO SI RACCOGLIE UN DATO SI DOVRA’: chiarire la finalità del trattamento e tutti i passaggi relativi alla sua fruizione.

4

COSA FARE?

“DATA PRIVACY PROGRAM” -> progettare il sistema per la nuova tipologia di raccolta dei dati:

Meccanismo di raccolta basato sul principio di “minimizzazione del dato”

Esplicitazione durata del consenso espresso = mantenimento del dato del database (limite stabilito arbitrariamente dall’azienda in base alle finalità della raccolta)

Informativa semplificata, che espliciti tutte le modalità di utilizzo di quei dati collegati alla persona e nuovi diritti del prestatore

Consenso consapevole della registrazione del dato da parte di chi lo presta (ad esempio inviare una mail di cortesia per richiedere il consenso prima

dell’ingresso nel database aziendale)

5

COME UTILIZZARE I DATI RACCOLTI FINO AD ORA?

• verifica di consistenza e provenienza del dato

ANALISI

PROGRAMMA DI PULIZIA

• informativa su come verranno utilizzati da ora in poi i dati seguendo i principi di INFORMATIVA SEMPLIFICATE e CONSENSO CONSAPEVOLE

I DATI RACCOLTI NON SI POTRANNO MANTENERE NEL DATABASE SENZA QUESTE ACCORTEZZE, PENA L’IMPUTABILITA’ STESSE

SANZIONI PREVISTE PER UN DATA BREACH

6

ASPETTI ORGANIZZATIVI E FORMAZIONE

RISPETTO AL

MANAGEMENT

sensibilizzazione su concetto di protezione del dato come “fattore abilitante per il business”: visione del dato come fulcro del il processo produttivo contemporaneo.

E sui possibile fattori di interruzione della business continuity

SANZIONI:

quelle previste per il GDPR possono essere ingenti per una piccola o media

impresa, senza contare i danni alla reputazione e all’ immagine.

BLOCCO ALL’ACCESSO DEI DATI:

in caso di data breach, che significa blocco dell’attività produttiva per diverse

tipologie di aziende.

RISPETTO AL PERSONALE STRETTAMENTE

INTERESSATO E NON (team IT, ufficio

compliance)

best practice in base all’assessment iniziale e al ruolo specifico dell’interessato nel trattamento dei dati mappati.

7

SANZIONI PREVISTE

Limite massimo raggiungibile Le sanzioni minime

Organizzazione singola

fino a 20 mln €

Organizzazione facente parte di un gruppo

% calcolata sul fatturato

globale (fino a 4%)

Vengono scelte dal Garante per la Privacy e legislatore

europeo (quindi non su base territoriale o imputabili alla società con meno fatturato

di un gruppo)

IN CASO DI DATA BREACH il Garante della Privacy verificherà il principio di accountability adoperato, quindi quanto l’azienda ha fatto per mettere i suoi dati in sicurezza e scongiurare la diffusione illecita

8

COME FARE?

Il DPIA è opportuno ed espressamente richiesto dal regolamento in quanto «è il documento, da presentare eventualmente al Garante delle Privacy, in grado di provare l’applicazione del principio di accountability che l’organizzazione sta applicando rispetto alla gestione dei dati».

9

10

IL TEAM

TWS mette a disposizione dei sui clienti un team multidisciplinare per affrontare il tema privacy e sicurezza delle informazioni in modo integrato attraverso competenze di tipo

11

Enterprise Risk Management

Normativo

Matematico-Statistico

Assicurativo

Legale e Informatico forense

Informatico

HR (Human Resources)

www.golinelli.eu

info@golinelli.eu

Tel. 04 55 90 400

Studio legale – Anwaltskanzlei

Dr. F. Golinelli & C./K. Berlin-Brixen-Milano-Verona