il nuovo regolamento europeo sulla protezione dei dati · circolazione dei dati (regolamento...

www.datasecurity.it

1 Information Security & Privacy

Il nuovo Regolamento Europeo

sulla Protezione dei Dati

Polo Tecnologico di Pordenone, 26 giugno 2014Relatore: dott. Giancarlo Favero

www.datasecurity.it


• Presente da circa 20 anni sul mercato della sicurezza

• Nata come ramo d’azienda di DataService, società

quotata al nuovo mercato, operante nel settore dei

servizi bancari

• Forti legami con il mondo accademico e della ricerca

Le origini

www.datasecurity.it


• Possiede al proprio interno competenze e conoscenze

relative alle normative e alle tecnologie

• Focalizzazione su specifici settori

• Elevata specializzazione e possibilità di “prevedere” i

problemi

• Offerta formativa ricca ed articolata

Le competenze

www.datasecurity.it


• Pubblica Amministrazione

• Polizia Locale

• Sanità Pubblica e Privata

• Grandi gruppi industriali e grande distribuzione

• Formazione

Il mercato

www.datasecurity.it


I clienti

www.datasecurity.it


Altri clienti

• Gruppo Morellato (Bluespirit)

• Sebiro – Finalba (Gruppo Percassi - grande

distribuzione all’interno di centri commerciali ed outlet)

• Circa 60 Comuni nell’area Nord-Est Milanese

www.datasecurity.it


Le partnership

• SANS Institute – Bethesda, Maryland -

USA

• Qualys - Vulnerability Assessment di

livello industriale

www.datasecurity.it


Le sedi

Headquarter:

• Pordenone

Sedi operative:

• Milano

• Gaggiano

• Treviglio

www.datasecurity.it


L’evento di oggi


sulla Protezione dei Dati

www.datasecurity.it


Quadro legislativo comune ed

omogeneo in materia di

protezione dei dati personali e

di libera circolazione dei dati

Attualmente vi sono 27

differenti normative in materia

di protezione dei dati personali

=> quadro normativo

estremamente disomogeneo e

frammentato


www.datasecurity.it


Trattandosi di Regolamento e

non di Direttiva, non sarà

soggetto a recepimento, quindi

gli stati membri non potranno

“adattare” (modificare”) il

quadro normativo, che sarà

quindi omogeneo e consistente


www.datasecurity.it


“Regolamento del parlamento europeo e del consiglio concernente la tutela

delle persone fisiche con riguardo al trattamento dei dati personali e la libera

circolazione dei dati (regolamento generale sulla protezione dei dati)”

Due anni di “gestazione”

Emendamenti, contrasti, lobbying

Comporterà l’abrogazione della direttiva 95/46/CE

Trattandosi di regolamento, non è soggetto a recepimento e quindi

entrerà in vigore contemporaneamente all’interno dei 27 paesi membri

dell’UE

Il nuovo Regolamento europeo

Direttiva

95/46/CE

L. 675/96 D.Lgs.

196/2003

1995 1996 2003

Regolamento

2014

www.datasecurity.it


Si stima che unificando il quadro

normativo in materia di protezione dei

dati personali, si potrebbero

risparmiare

2,3 MILIARDI di Euro / Anno

in termini di semplificazione degli

oneri amministrativi e degli

adempimenti, più 130 Milioni di Euro /

anno derivanti dall’onere di notificare i

trattamenti


www.datasecurity.it


Un altro vantaggio derivante

dall’unificazione del contesto

normativo: le aziende con sedi sparse

in Europa potranno rivolgersi ad

un’unica Authority (quella nella quale è

stabilita la casa madre)


www.datasecurity.it


“Regolamento del parlamento europeo e del consiglio concernente la tutela

delle persone fisiche con riguardo al trattamento dei dati personali e la libera

circolazione dei dati (regolamento generale sulla protezione dei dati)”

Due anni di “gestazione”

Emendamenti, contrasti, lobbying

Comporterà l’abrogazione della direttiva 95/46/CE

Trattandosi di regolamento, non è soggetto a recepimento e quindi

entrerà in vigore contemporaneamente all’interno dei 27 paesi membri

dell’UE

Il nuovo Regolamento europeo

Direttiva

95/46/CE

L. 675/96 D.Lgs.

196/2003

1995 1996 2003

Regolamento

2014

www.datasecurity.it


Che cosa è successo negli ultimi 10 anni

Esplosione dei dati generati, raccolti, trattati

www.datasecurity.it


Le conseguenze dei big data

Dati conservati per periodi indefiniti, molto lunghi, spesso “per sempre”

Dati acquisiti e poi successivamente utilizzati per finalità completamente differenti da quelle dichiarate

Art. 5 lett. a): I dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato

Art. 5 lett. b): devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità

www.datasecurity.it



Dati conservati per periodi indefiniti, molto lunghi, spesso “per sempre”

Dati acquisiti e poi successivamente utilizzati per finalità completamente differenti da quelle dichiarate



Centrale rischi della Banca

d’Italia, che detiene

informazioni fondamentali

per decidere (ad. esempio)

se concedere un mutuo o un

finanziamento

www.datasecurity.it


Dati relativi a ritardi nei pagamenti detenuti dalla

Centrale Rischi della Banca d’Italia o dal CRIF o

da una finanziaria

Esami di laboratorio

Certificazioni

Dichiarazioni

Livello di sicurezza

Livello di rischio

Rapporto tra tempo e validità del dato

www.datasecurity.it



Sanzione da 54.000 Euro comminata dal Garante per le protezione dei dati personali a GS Supermercati

Dati acquisiti teoricamente per gestire i premi a catalogo e gli sconti su prodotti …

… in realtà profilazione“occulta” del cliente per campagne mirate di marketing selvaggio

www.datasecurity.it



70% dei cittadini europei sono preoccupati del fatto che i loro dati possano essere utilizzati per finalità differenti da quelle per le quali sono stati inizialmente acquisiti



www.datasecurity.it


Il valore dei dati – Dati come il petrolio

Si stima che i dati personali dei 500 milioni di cittadini UE valgano circa l’8% del PIL Europeo

Lotta per accaparrarsi i dati dei cittadini

Compressione/violazione della privacy per ottenere dati personali (“petrolio”)

www.datasecurity.it


Tecnologie sempre più invasive e pervasive o “pericolose”

Geolocalizzazione

(Progetti Smart

City)Wi-Fi

SmartphoneRfid

Bluetooth

Near Location

Communication

Videosorveglianza

Biometria

Behaviour

Control

Cloud

computing

www.datasecurity.it


Tecnologie sempre più invasive e pervasive o “pericolose”

Geolocalizzazione

(Progetti Smart

City)

Wi-Fi

SmartphoneRfid

Bluetooth

Near Location

Communication

Videosorveglianza

BiometriaBehaviour

Control

Cloud

computing

Telemedicina

Fascicolo

Sanitario

Elettronico

Dossier

Sanitario

Spam e mail

marketing

selvaggio

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3152119




www.datasecurity.it


Tecnologie sempre più invasive e pervasive

I sistemi di videosorveglianza per la rilevazione targhe

Possono ricostruire gli spostamenti di cittadini “innocenti”

Spesso i dati sono conservati indefinitamente, o per periodi molto lunghi

Vi possono essere problematiche di “esattezza” dei dati (es. accesso database veicoli rubati, database ANIA) e quindi di azioni che possono fortemente limitare la libertà dei cittadini

www.datasecurity.it


I dati devono essere esatti e aggiornati:

facile a dirsi ….

Videosorveglianza: uno dei casi in cui è

necessario effettuare la Valutazione

d’impatto sulla protezione dei dati

(novità introdotta dall’art. 33)

Dati esatti e aggiornati

www.datasecurity.it


Quando il trattamento, per la sua natura, il

suo oggetto, o le sue finalità, presenta rischi

specifici per i diritti e le libertà degli

interessati, il titolare del trattamento effettua

una valutazione d’impatto del trattamento

previsto sulla protezione dei dati personali

Presentano rischi specifici ai sensi del punto

precedente i seguenti trattamenti:

Art. 33 – Valutazione d’impatto sulla protezione dei dati

www.datasecurity.it


Il trattamento di informazioni concernenti la vita

sessuale, lo stato di salute, la razza e l’origine etnica

oppure destinato alla prestazione di servizi sanitari o

a ricerche epidemiologiche o indagini su malattie

mentali o infettive

…

La sorveglianza di zone accessibili al pubblico, in

particolare se effettuata mediante dispositivi ottico-

elettronici (videosorveglianza) su larga scala


www.datasecurity.it


Minacce sempre più frequenti alla sicurezza e alla privacy

Perdita di fiducia e “diffidenza” nelle nuove tecnologie

Freno alla diffusione dell’economia digitale

Sanzioni estremamente frequenti, pesanti e numerose comminate degli organi di controllo

Veri e propri abusi, con grave violazione della privacy e della sicurezza

Perdite economiche (risarcimenti danni)

Danni di immagine

Conseguenze e altri fenomeni

www.datasecurity.it


C’è qualcosa che non funziona

Scandalo Datagate:

tutti intercettati

www.datasecurity.it


Disponibile anche

gratuitamente

online

www.datasecurity.it


Risarcimento danni di 500.000 Euro (circa 1

miliardo di lire) che una Struttura Sanitaria ha

dovito risarcire per non aver custodito

adeguatamente la documentazione relativa allo

stato di salute di un cittadino, sia in formato

cartaceo che elettronico

www.datasecurity.it


Susanna Fiorini, 49 anni, cambiava i risultati degli esami e li

spediva, sbagliati, ai clienti

Tra le ipotesi sul movente, la rappresaglia contro la Asl o per non dover

richiamare i pazienti

Manometteva i referti oncologici

Ai domiciliari infermiera di Livorno

LIVORNO - Manometteva i referti del Corat di Livorno, il centro di raccolta degli

esami oncologici della Asl, e poi li spediva ai pazienti. E' l'accusa per la quale

un'infermiera è stata arrestata, in esecuzione di ordinanza di custodia cautelare

ai domiciliari. I referti manomessi sarebbero stati più di 400, 33 pap test e 368

al colon retto, e questo avrebbe provocato ritardi nella diagnosi di 18 casi di

tumore al colon.

www.datasecurity.it


Cartelle cliniche perse per strada

Un passante notò due grossi sacchi di plastica azzurra abbandonati in mezzo

alla via. Incuriosito, si avvicinò e si rese conto che in essi si trovavano cartelle

cliniche di un ospedale.

Nel corso del trasporto da una sede all’altra, l’autista del furgone non aveva

fissato solidamente i sacchi contenenti le cartelle cliniche, per cui nel trasporto

due di questi erano caduti a terra, senza che egli se ne accorgesse. Il Garante

ha sanzionato sia l’Ospedale sia l’autista, in quanto egli operava sotto la

responsabilità dell’ente ospedaliero.

www.datasecurity.it


Cartelle cliniche ai giardinetti

Sacchi di cartelle cliniche abbandonati in mezzo ai giardini.

Nelle vicinanze si trovava un capannone, utilizzato come archivio per le

cartelle cliniche da parte di una Casa di Cura

A causa di un principio d’incendio, il personale aveva spostato alcuni

sacchi di cartelle cliniche in una zona non coinvolta dall’incendio, per

poi “dimenticarsene” per circa una settimana.

L’Autorità Garante ha comminato sanzioni severe per non aver protetto

adeguatamente i dati sensibili (relativi allo stato di salute dei pazienti).

www.datasecurity.it


Il nuovo Regolamento

Quali concetti e strumenti chiave introdurrà il nuovo Regolamento

per risolvere le criticità evidenziate in precedenza ?

Lungo quali “dimensioni” interverrà il Regolamento ?

Quale cambiamento radicale introdurrà il Regolamento nel modo

concreto di gestire la sicurezza e la privacy ?

Passaggio da una dimensione “compilativa” ad una dimensione di

“Responsabilità”, che comporta la responsabilizzazione nella

verifica periodica dell’efficacia degli strumenti messi in atto

Il Regolamento costringerà a modificare i comportamenti

Che cosa dovremo fare in pratica ?

www.datasecurity.it



Misura di sicurezza: “abbiamo predisposto una

procedura operativa che prevede di disabilitare un utente

all’atto delle dimissioni”

Qualcuno la mette in atto questa procedura operativa ?

Con che frequenza ?

E’ stato individuato chi precisamente deve disabilitare gli utenti ?

C’è qualcuno che comunica a chi di dovere quali utenti hanno dato le

dimissioni ?

Viene prodotto un resoconto/certificazione delle operazioni effettuate ?

Come si procede in caso di assenza/indisponibilità di chi deve

disabilitare ?

www.datasecurity.it



Misura di sicurezza: “abbiamo installato un firewall”

Il firewall offre un livello adeguato di protezione perimetrale ?

Vengono effettuati periodicamente dei “Security Test” per valutare

l’adeguatezza della protezione perimetrale ?

Qualcuno analizza periodicamente i file di log ?

Che azioni vengono intraprese a fronte dell’analisi dei file di log ?

Le regole del firewall sono tenute aggiornate ?

Il firewall è collegato ?

Il comportamento del firewall è diverso da un filo di rame ?

www.datasecurity.it


CAPO 1 – DISPOSIZIONI GENERALI

Art. 1 –Oggetto e finalità

Art. 2 – Campo di applicazione materiale

Art. 3 – Campo di applicazione territoriale

CAPO 2 - PRINCIPI

Art. 4 – Definizioni

Art. 5 – Principi applicabili al trattamento di dati personali

Art. 6 – Liceità del trattamento

Art. 7 – Condizioni per il consenso

Art. 8 – Trattamento dei dati personali dei minori

Art. 9 – Trattamento di categorie particolari di dati personali

Art. 10 – Trattamento che non consente identificazione

CAPO 3 – DIRITTI DELL’INTERESSATO

SEZIONE 1 – TRASPARENZA E MODALITA’

Art. 11 – Informazioni e comunicazioni trasparenti

Art. 12 – Procedure e meccanismi per l’esercizio dei diritti dell’interessato

Art. 13 – Diritti relativi ai destinatari

La struttura del Regolamento

www.datasecurity.it


SEZIONE 2 – INFORMAZIONI E ACCESSO AI DATI

Art. 14 – Informazioni all’interessato

Art. 15 – Diritto do accesso dell’interessato

SEZIONE 3 – RETTIFICA E CANCELLAZIONE

Art. 16 – Diritto di rettifica

Art. 17 – Diritto all’oblio e alla cancellazione

Art. 18 – Diritto alla portabilità dei dati

SEZIONE 4 – DIRITTO DI OPPOSIZIONE E PROFILAZIONE

Art. 19 – Diritto di opposizione

Art. 20 – Misure basate sulla profilazione

SEZIONE 5 – LIMITAZIONI

Art. 21 – Limitazioni

CAPO IV – RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL

TRATTAMENTO

SEZIONE 1 – OBBLIGHI GENERALI

Art. 22 – Responsabilità del Responsabile del trattamento

Art. 23 – Protezione fin dalla progettazione e protezione di default

Art. 24 – Corresponsabili del trattamento


www.datasecurity.it


Art. 25 – Rappresentanti di responsabili del trattamento non stabiliti

nell’unione

Art. 26 – Incaricato del trattamento

Art. 27 – Trattamento sotto l’autorità del responsabile del trattamento e

dell’incaricato del trattamento

Art. 28 – Documentazione

Art. 29 – Cooperazione con l’autorità di controllo

SEZIONE 2 – SICUREZZA DEI DATI

Art. 30 – Sicurezza del trattamento

Art. 31 – Notificazione di una violazione dei dati personali all’autorità di

controllo

Art. 32 – Comunicazione di una violazione dei dati personali all’interessato

SEZIONE 3 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

E AUTORIZZAZIONE PREVENTIVA


Art. 34 – Autorizzazione preventiva e consultazione preventiva

SEZIONE 4 – RESPONSABILE DELLA PROTEZIONE DEI DATI

Art. 35 – Designazione del responsabile della protezione dei dati


www.datasecurity.it


Art. 36 – Posizione del responsabile del trattamento dei dati

Art. 26 – Compiti del responsabile della protezione dei dati

Art. 27 – SEZIONE 5 – CODICI DI CONDOTTA E CERTIFICAZIONE

Art. 38 – Codici di condotta

Art. 39 – Certificazione

CAPO V _ TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI

O ORGANIZZAZIONI INTERNAZIONALI

Art. 40 – Principio generale per il trasferimento

Art. 41 – Trasferimento previa decisione di adeguatezza

Art. 42 – Trasferimento in presenza di garanzie adeguate

Art. 43 – Trasferimento in presenza di norme vincolanti d’impresa

Art. 44 – Deroghe

Art. 45 – Cooperazione internazionale per la protezione dei dati personali

CAPO VI _ AUTORITA’ DI CONTROLLO INDIPENDENTI

SEZIONE 1 – INDIPENDENZA

Art. 47- Indipendenza

Art. 48 – Condizioni generali per i membri dell’autorità di controllo

Art. 49 – Norme sull’istituzione dell’autorità di controllo


www.datasecurity.it


Art. 50 – Segreto professionale

SEZIONE 2 – FUNZIONI E POTERI

Art. 52 – Funzioni

Art. 53 – Poteri

Art. 54 – Relazione di attività

CAPO VII – COOPERAZIONE E COERENZA

SEZIONE 1 – COOPERAZIONE

Art. 55 – Assistenza reciproca

Art. 56 – Operazioni congiunte delle autorità di controllo

SEZIONE 2 – COERENZA

Art. 57 – Meccanismo di coerenza

Art. 58 – Parere del Comitato Europeo per la protezione dei dati

Art. 59 – Parere della commissione

Art. 60 – Sospensione di un progetto di misura

Procedura d’urgenza

Art. 62 – Atti di esecuzione

Art. 63 – Esecuzione

SEZIONE 3 – COMITATO EUROPEO PER LA PROTEZIONE DEI DATI


www.datasecurity.it


Art. 64 – Comitato europeo per la protezione dei dati

Art. 65 – Indipendenza

Art. 66 – Compiti del Comitato europeo per la protezione dei dati

Art. 67 – Relazioni

Art. 68 – Procedura

Art. 69 – Presidenza

Art. 70 – Compiti del Presidente

Art. 71 – Segreteria

Art. 72 – Riservatezza

CAPO VII – RICORSI, RESPONSABILITA’ – SANZIONI

Art. 73 – Diritto di proporre reclamo all’autorità di controllo

Art. 74 – Diritto a un ricorso giurisdizionale contro l’autorità di controllo

Art. 75 – Diritto a un ricorso giurisdizionale contro il responsabile del

trattamento o l’incaricato del trattamento

Art. 76 – Norme comuni per i procedimenti giurisdizionali

Art. 77 – Diritto al risarcimento e responsabilità

Art. 78 – Sanzioni

Art. 79 – Sanzioni Amministrative


www.datasecurity.it


CAPO IX _ DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI

TRATTAMENTO DEI DATI

Art. 80 – Trattamento di dati personali e libertà di espressione

Art. 81 – Trattamento dei dati personali relativi alla salute

Art. 82 – Trattamento dei dati nei rapporti di lavoro

Art. 83 – Trattamento per finalità storiche, statistiche e di ricerca scientifica

Art. 84 – Obblighi si segretezza

Art. 85 – Norme di protezione dei dati vigenti presso chiese e associazioni

religiose

CAPO X – ATTI DELEGATI E ATTI DI ESECUZIONE

Art. 86 – Esercizio della delega

Art. 87 – Procedura di comitato

CAPO XI – Disposizioni finali

Art. 88 – Abrogazione della direttiva 95/46/CE

Art. 89 – Rapporto con la direttiva 95/46/CE e sue modifiche

Art. 90 – Valutazione

Art. 91 – Entrata in vigore e applicazione


www.datasecurity.it


Molte meno definizioni rispetto al D.Lgs. 196/2003 (conteneva 37 definizioni, mentre il regolamento ne contiene solo 19)

“Dati personali”: qualsiasi informazione concernente l’interessato

“Consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento

“Dati genetici”: tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale

“Dati biometrici”: i dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici

Art. 4 - Definizioni

www.datasecurity.it


“Dati relativi alla salute”: qualsiasi informazione attinente alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona

“Responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’unione o dal diritto di uno stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’unione o dal diritto dello stato membro

“Incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento


www.datasecurity.it


A livello di definizioni il Regolamento presenta una clamorosa lacuna

Lacuna che è presente anche nelle definizioni dell’attuale D.Lgs. 196/2003

Non viene definito un concetto di importanza fondamentale

Non viene definito il concetto di ….


www.datasecurity.it


NON VIENE DEFINITO IL CONCETTO DI

S I C U R E Z Z A


www.datasecurity.it


Sicurezza

Riservatezza: accessibile solo a chi è

autorizzato, non accessibile a chi

non è autorizzato

Integrità: la risorsa deve essere corretto,

aggiornato, non corrotto o

“falsificato”

Disponibilità: la risorsa deve essere sempre

agevolmente disponibile a chi

vi può lecitamente accedere

Definizione di “Sicurezza”

www.datasecurity.it


Competenza territoriale

Trasparenza

Facilitazione dell’esercizio dei diritti dell’interessato

Diritto all’oblio

Portabilità dei dati

Principio di resposabilità

Obbligo della documentazione

Privacy by design

Privacy by default

Sanzioni

Le dimensioni di intervento del Regolamento

www.datasecurity.it


Saranno soggetti al regolamento non solo i soggetti stabiliti all’interno

dell’UE, ma anche i soggetti stabiliti fuori dall’UE, che offrono prodotti

e servizi all’interno dell’UE

Caso reale: servizio UBER per la prenotazione dei taxi

Caso reale: servizi forniti da Google

Sarà possibile rivolgersi

all’autorità di controllo di qualsiasi

stato UE


www.datasecurity.it



Trasparenza


Diritto all’oblio


Responsabilità


Privacy by design

Privacy by default

Sanzioni


www.datasecurity.it


Trasparenza

INTERESSATO

TITOLARE

DATI PERSONALI

Dati personali

TRATTAMENTI

3

4

1

2Informativa

Consenso

Finalità

5

6

7

Diritto di accesso ai dati personali

8Riscontro alle richieste dell'interessato

www.datasecurity.it


Informativa rappresenta le “regole del gioco” del trattamento dei

dati

Deve sempre essere fornita

Deve essere fornita “previamente” all’interessato

Un’informativa corretta e completa è presupposto fondamentale

per la validità del consenso

Posso avere un’informativa senza consenso

Posso avere informativa e consenso

NON posso avere un consenso che non sia preceduto da idonea

informativa

Attenzione a non confondere informativa con consenso

www.datasecurity.it


L’onere di dimostrare che l’interessato ha espresso il consenso al

trattamento dei suoi dati personali per scopi specifici incombe sul

titolare del trattamento

Se il consenso dell’interessato deve essere fornito nel contesto di

una dichiarazione scritta che riguarda anche altre materie,

l’obbligo di prestare il consenso deve essere presentato in forma

distinguibile dalle altre materie

Non sono valide formule del tipo “aderendo alla presente iniziativa

Lei fornisce implicitamente il consenso al trattamento dei dati”

Il consenso può essere revocato in qualsiasi momento (senza

dover fornire una motivazione). La revoca del consenso non

pregiudica la liceità del trattamento basata sul consenso prima

della revoca.

Art. 7: La nuova disciplina del consenso

www.datasecurity.it


Esplicitare nelle informative i tempi di conservazione dei dati personali

Obbligo di comunicare i tempi di conservazione su richiesta

dell’interessato

I tempi di conservazione potranno essere utilizzati per far valere la

richiesta di cancellazione (diritto all’oblio)

Esplicitare nelle informative il diritto di proporre reclamo all’autorità di

controllo e le coordinate di controllo di detta autorità

Esplicitare nelle informative il Responsabile della protezione dei dati

Obbligo di notificare una violazione dei dati all’Autorità Garante

Obbligo di comunicare una violazione dei dati agli interessati

Obbligo di comunicare il Responsabile della protezione dei dati

all’Autorità Garante

Trasparenza

www.datasecurity.it


Trasparenza – Impatti sull’informativa

Informativa relativa al

trattamento dei dati personali

Informativa relativa al trattamento

dei dati personali

Tempi di conservazione

Responsabile della

sicurezza dei dati

Possibilità di proporre

reclamo all’autorità di

controllo e relative

coordinate

www.datasecurity.it


Commisurati e non eccedenti rispetto alle finalità

Tenere conto di eventuali prescrizioni di legge

Tempo di conservazione delle cartelle cliniche: illimitato

Tempi di conservazione dei dati relativi alla geolocalizzazione

utilizzati dai social network e dalle applicazioni “di prossimità” ?


dei veicoli utilizzati per la raccolta dei rifiuti urbani ? (pone

problemi di controllo a distanza e tutela dei lavoratori )


tramite GPS installato a bordo delle auto e delle moto degli

agenti di Polizia Locale ?

Tempi di conservazione dei dati personali

www.datasecurity.it


Tempi di conservazione delle immagini registrate dalle

telecamere installate a bordo dei veicoli utilizzati da Carabinieri e

Polizia di Stato

Tempi di conservazione delle nostre query da parte di Google ?

Tempi di conservazione dei curricula ?

Tempi di conservazione dei files di log relativi alla navigazione

internet ?

Tempi di conservazione delle cartelle sanitarie e di rischio da

parte del datore di lavoro ?

Tempi di conservazione relativamente alle telecamera per la

rilevazione delle targhe ?

Tempi di conservazione dei dati personali

www.datasecurity.it


Trasparenza – Notificazione - Comunicazione

INTERESSATO

TITOLARE

Violazione

Autorità di controllo

“Violazione di sicurezza che comporta accidentalmente o in

modo illecito la distruzione, la perdita, la modifica, la

rivelazione non autorizzata o l’accesso ai dati personali

trasmessi, memorizzati o comunque elaborati “

ALTRO

TITOLARE

Controllo da parte del

Responsabile della

protezione dei dati

www.datasecurity.it


Definizione di violazione dei dati personali




trasmessi, memorizzati o comunque elaborati”

Non necessariamente la violazione deve essere effettuata

dall’esterno

Qualcuno potrebbe non avere interesse a rendere nota la

violazione

www.datasecurity.it



www.datasecurity.it








dall’esterno


violazione

“biggest data breaches”

www.datasecurity.it








dall’esterno


violazione

www.datasecurity.it








dall’esterno


violazioneCome conseguenza della

violazione, l’amministratore

delegato dell’azienda ha

dovuto dare le dimissioni

Spesa di 7 milioni di dollari

per avvertire gli interessati

e per mettere ulteriormente

in sicurezza il sistema

www.datasecurity.it


Trasparenza – Notificazione - Comunicazione

INTERESSATO

TITOLARE

Violazione

Autorità di controllo




trasmessi, memorizzati o comunque elaborati “

ALTRO

TITOLARE

Controllo da parte del

Responsabile della

protezione dei dati

Sanzione fino a

1.000.000 di Euro o fino

al 2% del fatturato

mondiale

www.datasecurity.it


Perdita di dati

Furto di dati (non necessariamente in formato elettronico: possono essere anche in formato cartaceo)

Alterazione di cartelle cliniche

Alterazione di cartelle esattoriali

Alterazione di verbali relativi al Codice della Strada

Invio di dati all’esterno

Intercettazione di dati

Accesso abusivo al sistema

Esempi di violazioni

www.datasecurity.it


Perdita di dati

Furto di dati (non necessariamente in formato elettronico: possono essere anche in formato cartaceo)

Alterazione di cartelle cliniche

Alterazione di cartelle esattoriali

Alterazione di verbali relativi al Codice della Strada

Invio di dati all'esterno

Intercettazione di dati

Accesso abusivo al sistema

Invio di dati all’esterno


www.datasecurity.it


Notificazione di violazione all’autorità di controllo

In caso di violazione dei dati personali, il titolare notifica la

violazione all’autorità di controllo senza ritardo, ove possibile

entro le 24 ore dal momento in cui ne è venuto a conoscenza

www.datasecurity.it


Contenuto minimo della notificazione

La notificazione deve come minimo:

• Descrivere la natura della violazione dei dati personali, compresi le categorie e

il numero di interessati in questione e le categorie e il numero di registrazioni

dei dati in questione

• Indicare l’identità e le coordinate di contatto del Privacy Officer o di altro punto

di contatto

• Elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli

delle violazioni dei dati personali

• Descrivere le conseguenze della violazione dei dati personali

• Descrivere le misure proposte o adottate dal titolare del trattamento per porre

rimedio alla violazione dei dati personali

www.datasecurity.it


Comunicazione di una violazione di dati personali all’interessato

Quando la violazione di dati personali rischia di pregiudicare i dati

personali dell’interessato, il titolare del trattamento, dopo aver

provveduto alla notificazione di cui al punto precedente, comunica la

violazione all’interessato senza ingiustificato ritardo.

La comunicazione all’interessato descrive la natura della violazione

dei dati e contiene almeno le coordinate di contatto del responsabile

della protezione dei dati e le misure raccomandate per attenuare i

possibili effetti pregiudizievoli della violazione dei dati personali

www.datasecurity.it



Trasparenza


Diritto all’oblio


Principio di responsabilità


Privacy by design

Privacy by default

Sanzioni


www.datasecurity.it


Lo scenario

INTERESSATO

TITOLARE

DATI PERSONALI

Dati personali

TRATTAMENTI

3

4

1

2Informativa

Consenso

Finalità

5

6

7

Diritto di accesso ai dati personali

8Riscontro alle richieste dell'interessato

www.datasecurity.it


CRITICITA’

Alle richieste di accesso ai dati personali ai sensi dell’art. 7 del D.Lgs. 196/2003, non viene dato riscontro in circa l’80% dei casi

Attualmente il mancato o incompleto o tardivo riscontro non viene sanzionato

Con il nuovo Regolamento, il mancato o tardivo o incompleto riscontro sarà punito con la

SANZIONE FINO A 250.000 EURO OPPURE FINO ALLO 0,5 % DEL FATTURATO MONDIALE


www.datasecurity.it


PUNTI DI ATTENZIONE’

Per esercitare i diritti di accesso previsti dall’art. 7 del

D.Lgs. 196/2003 (e dal futuro art. 15 del Regolamento),

l’interessato non deve specificare una motivazione

Spesso l’accesso di cui sopra viene confuso con

l’accesso agli atti e ai documenti amministrativi, per il

quale deve essere fornita una motivazione …

… e l’interessato deve dimostrare di avere un interesse

diretto, concreto e attuale


www.datasecurity.it


Il titolare del trattamento stabilisce le procedure secondo le quali

fornire l’informativa e le procedure per gestire le richieste di

esercizio dei diritti dell’interessato

Qualora i dati siano trattati con modalità automatizzate, il

responsabile del trattamento predispone altresì i mezzi per inoltrare

le richieste per via elettronica

Se l’interessato presenta la richiesta in forma elettronica, le

informazioni sono fornite in formato elettronico, salvo diversa

indicazione dell’interessato

Il titolare deve dare riscontro alla richiesta al massimo entro un

mese


www.datasecurity.it


Il titolare del trattamento stabilisce le procedure

secondo le quali fornire l’informativa e le

procedure per gestire le richieste di esercizio dei

diritti dell’interessato

Qualora i dati siano trattati con modalità

automatizzate, il responsabile del trattamento

predispone altresì i mezzi per inoltrare le richieste

per via elettronica

Se l’interessato presenta la richiesta in forma

elettronica, le informazioni sono fornite in

formato elettronico, salvo diversa indicazione

dell’interessato

Il titolare deve dare riscontro alla richiesta al

massimo entro un mese


Sanzione fino a 250.000 Euro oppure

fino allo 0,5 del fatturato mondiale

annuo



annuo



annuo



annuo

www.datasecurity.it


Il titolare del trattamento stabilisce le procedure

secondo le quali fornire l’informativa e le

procedure per gestire le richieste di esercizio dei


Qualora i dati siano trattati con modalità

automatizzate, il responsabile del trattamento

predispone altresì i mezzi per inoltrare le richieste

per via elettronica

Se l’interessato presenta la richiesta in forma

elettronica, le informazioni sono fornite in

formato elettronico, salvo diversa indicazione

dell’interessato

Il titolare deve dare riscontro alla richiesta al

massimo entro un mese




annuo



annuo



annuo

Viene introdotta la sanzione per

punire il mancato o inidoneo

riscontro alle richieste

dell’interessato, attualmente

non sanzionata

Attualmente non viene dato

riscontro alle richieste

dell’interessato in circa

l’80% dei casi

www.datasecurity.it



Trasparenza


Diritto all’oblio


Accountability


Privacy by design

Privacy by default

Sanzioni


www.datasecurity.it


Errate interpretazioni

Aspettative troppo elevate

Moltissimi casi nei quali non può essere concessa la cancellazione dei dati

Affermazione: “In qualsiasi momento l’interessato può richiedere ed ottenere la cancellazione dei propri dati personali” è completamente falsa

Richiesta ad un ospedale di cancellare la propria cartella clinica

Richiesta ad una banca con la quale non intrattengo più rapporti di cancellare tutti i dati personali

Richiesta ad un datore di lavoro di cancellare il mio fascicolo personale

Diritto all’oblio

www.datasecurity.it


I dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati

Il periodo di conservazione è scaduto e non sussiste altro motivo legittimo per trattare i dati

Quando il trattamento non è conforme al regolamento

Vi sono numerose casistiche nelle quali:

Il responsabile può non procedere alla cancellazione dei dati (es. per l’esercizio di un diritto di cronaca)

al posto di effettuare una cancellazione, il titolare può mettere in atto la c.d. “limitazione”

Casi nei quali si può essere presa in considerazione la cancellazione

www.datasecurity.it


Quando ha reso pubblici dati personali, il responsabile del

trattamento prende tutte le misure ragionevoli, anche tecniche,

in relazione ai dati della cui pubblicazione è responsabile per

informare i terzi che stanno trattando tali dati, della richiesta

dell’interessato di cancellare qualsiasi link, copia o

riproduzione dei suoi dati personali. Se ha autorizzato un terzo

a pubblicare dati personali, il responsabile del trattamento è

ritenuto responsabile della pubblicazione


www.datasecurity.it


www.datasecurity.it


Il diritto all’oblio si applicherà soprattutto nei casi di

dati pubblicati online, che risulteranno essere falsi,

non corretti, offensivi o diffamatori, o non più

necessari o non più rilevanti


www.datasecurity.it



Trasparenza


Diritto all’oblio


Accountability


Privacy by design

Privacy by default

Sanzioni


www.datasecurity.it


Portabilità dei dati: lo scenario

SISTEMA

SORGENTE

A’

SISTEMA

DESTINAZIONE

B

A B’

www.datasecurity.it


“Ingresso e uscita dai social network” … ma non solo

L’interessato ha il diritto, ove i dati personali siano trattati con mezzi

elettronici e in formato strutturato e di uso comune, di ottenere dal

responsabile del trattamento copia dei dati trattati in un formato

elettronico e strutturato che sia di uso comune e gli consenta di

farne ulteriore uso


www.datasecurity.it


“Ingresso e uscita dai social network”: ma non solo

Se ha fornito i dati personali e il trattamento si basa sul consenso o

su un contratto, l’interessato ha il diritto di trasmettere tali dati

personali e ogni altra informazione fornita e conservata in un

sistema di trattamento automatizzato ad un altro sistema in un

formato elettronico di uso comune, senza impedimenti da parte del

responsabile del trattamento da cui sono richiamati i dati


Viene introdotta la sanzione per

punire chi impedisce

l’esportazione dei dati dal

sistema “sorgente”

Sanzione fino a 500.000 Euro o

fino allo 0,5 % del fatturato

annuo, per le imprese

www.datasecurity.it



Trasparenza


Diritto all’oblio




Privacy by design

Privacy by default

Sanzioni


www.datasecurity.it


Art. 5 lett f): I dati personali devono essere trattati sotto la

responsabilità del titolare del trattamento, che assicura e

comprova, per ciascuna operazione, la conformità al

Regolamento

Art. 22 c. 1: Il titolare del trattamento adotta politiche e attua

misure adeguate per garantire di essere in grado di dimostrare

che il trattamento dei dati personali è conforme al presente

regolamento

Art. 22 c. 3: Il titolare del trattamento mette in atto meccanismi

per assicurare la verifica dell’efficacia delle misure di sicurezza

di cui all’art. 30. Qualora ciò sia proporzionato, la verifica è

effettuata da revisori interni o esterni indipendenti


www.datasecurity.it


Il titolare del trattamento deve:


ASSICURARE

COMPROVARE

ESSERE IN GRADO DI DIMOSTRARE

ASSICURARE L’EFFICACIA

ASSICURARE LA VERIFICA

www.datasecurity.it


Il titolare del trattamento deve:

Assicurare che le cartelle cliniche non potranno essere alterate ?

Assicurare che un determinato sito web di commercio elettronico è sufficientemente protetto da attacchi esterni ?

Assicurare che i dati personali siano trattati in

Assicurare che i dati sono esatti ?

Assicurare che tutte la violazioni siano tempestivamente notificate ?

Assicurare che le misure di sicurezza siano efficaci ?


www.datasecurity.it


Un nuovo modello di gestione della sicurezza

In qualche modo

individuo le

misure di

sicurezza

Me ne dimentico,

tanto nessuno

controlla, oppure

se controlla lo fa

superficialmente

www.datasecurity.it


Sicurezza

Riservatezza: accessibile solo a chi è

autorizzato, non accessibile a chi

non è autorizzato

Integrità: la risorsa deve essere corretto,

aggiornato, non corrotto o

“falsificato”

Disponibilità: la risorsa deve essere sempre

agevolmente disponibile a chi

vi può lecitamente accedere

Definizione di “Sicurezza”

www.datasecurity.it


Riservatezza:

accessibile solo a chi è autorizzato, non accessibile

a chi non è autorizzato

Integrità:

il dato deve essere corretto, aggiornato, non

corrotto o “falsificato”

Disponibilità:

il dato deve essere sempre agevolmente

disponibile a chi ne può lecitamente accedere

Rottura di un hard disk

Virus

Assenza di password

Profili mal configurati

Perdita di chiavetta USB

Furto di PC

Assenza dell’incaricato

Comunicazione di password

Modifica di doc. protocollato

Furto di documenti

Pubbl. illecita su Internet

Accesso a dati giudiziari

perdita di

perdita di

perdita di

EVENTICONSEGUENZE

www.datasecurity.it


Riservatezza:

accessibile solo a chi è autorizzato, non accessibile

a chi non è autorizzato

Integrità:

il dato deve essere corretto, aggiornato, non

corrotto o “falsificato”

Disponibilità:

il dato deve essere sempre agevolmente

disponibile a chi ne può lecitamente accedere

Sostituzione di un PC

Dimissioni di un dipendente

Introduzione di un nuovo

server

Attivazione di collegamento

remoto

Introduzione di un nuovo

programma applicativo

Nuova normativa

Violazione di dati

Nuova vulnerabilità

Nuova release di S.O.

perdita di

perdita di

perdita di

EVENTICONSEGUENZE

www.datasecurity.it



Risk

Assessment

Controlli periodici

Verifica efficacia misure di sicurezza

Verifica corretta applicazione norme e misure

Definizione nuove misure di sicurezza

Gestione degli eventi

Rilevazione “incidenti” e non conformità

Gestione “incidenti” e non confomità

Misure di

sicurezzaProcessi e

Qualità

www.datasecurity.it



Trasparenza


Diritto all’oblio


Accountability


Privacy by design

Privacy by default


www.datasecurity.it



Gestione della documentazione

Art. 28: Ogni titolare del trattamento conserva la

documentazione di tutti i trattamenti effettuati sotto la propria

responsabilità

Finalità del trattamento, categorie di interessati, categorie di dati personali,

ambito di comunicazione dei dati, soggetti esterni coinvolti nel trattamento,

tempi di conservazione, analisi dei rischi e degli impatti, misure di sicurezza

adottate, meccanismi per assicurare la verifica dell’efficacia delle misure di

sicurezza, eventuale indicazione dei trasferimenti verso un paese terzo

www.datasecurity.it



Trasparenza


Diritto all’oblio


Accountability


Privacy by design

Privacy by default

Sanzioni

Privacy by design

www.datasecurity.it


Privacy by design

Art. 23: Al momento di determinare i mezzi del trattamento e

all’atto del trattamento stesso, il titolare mette in atto adeguate

misure e procedure tecniche e organizzative tali da assicurare

la conformità al presente regolamento e assicuri la tutela dei


www.datasecurity.it


Il titolare che adotta misure minime di sicurezza

avvalendosi di soggetti esterni alla propria struttura,

riceve dall’installatore una descrizione scritta

dell’intervento effettuato che ne attesta la conformità

alle disposizioni del presente disciplinare tecnico

La situazione attuale

www.datasecurity.it


Privacy by design

Progettazione

Capitolato

Software selection

Qualità - Processi

Risk Assessment

Qualità – Audit e rilevazione

non conformità

www.datasecurity.it


Esempi

Sistema di videosorveglianza e

rilevazione targhe

Sistema di gestione della

refertazione clinica

www.datasecurity.it



Trasparenza


Diritto all’oblio


Accountability


Privacy by design

Privacy by default

Privacy by default

www.datasecurity.it


Art. 23: Il titolare del trattamento mette in atto meccanismi per

garantire che siano trattati, di default, solo i dati personali

necessari per ciascuna finalità specifica del trattamento e che,

in particolare, la quantità di dati e la durata della loro

conservazione non vadano oltre il minimo necessario per le

finalità perseguite. In particolare, detti meccanismi

garantiscono che, di default, non siano resi accessibili dati

personali a un numero indefinito di persone

Privacy (“Protection”) by default

www.datasecurity.it


Risk Assessment, Qualità e Misure di Sicurezza

Privacy Impact Assessment

Compiti del titolare

Il Responsabile della protezione dei dati

Sanzioni


www.datasecurity.it


Art. 30 c. 1: Tenuto conto dell’evoluzione tecnica e dei costi di

attuazione, il responsabile e il titolare mettono in atto misure

tecniche e organizzative adeguate per garantire un livello di

sicurezza appropriato, in relazione ai rischi che il trattamento

comporta e alla natura dei dati personali da proteggere

Art. 30 c. 2: Previa valutazione dei rischi, il titolare del trattamento

prende le misure di cui al paragrafo 1 per proteggere i dati personali

dalla distruzione accidentale o illegale o dalla perdita accidentale e

per impedire qualsiasi forma illegittima di trattamento, in particolare

la comunicazione, la divulgazione o l’accesso non autorizzato o la

modifica dei dati personali


www.datasecurity.it



Risk

AssessmentMisure di sicurezza

assicurazione periodica efficacia a cura del

titolare (Art. 22 c. 3). Verifiche periodiche da

parte di revisori interni od esterni

ISO/IEC 27001:2013

www.datasecurity.it



Risk


Regolamento per la protezione dei dati

Sistema completo per la gestione della

sicurezza nella tecnologia dell’informazione

secondo quanto previsto dagli standard

ISO/IEC 27001:2013 coerente con la norma

iso 9001

http://en.wikipedia.org/wiki/ISO/IEC_27001:2013

www.datasecurity.it



Risk


L’organizzazione potrà proteggersi dai

rischi connessi alla commissione di reati ,

con riferimento alla responsabilità

amministrativa , relativamente a delitti

informatici e trattamento illecito di dati ai

sensi dell’art. 24 bis del D.Lgs. 231/2001

www.datasecurity.it


La certificazione

Chi garantisce/certifica il livello di sicurezza e di protezione

dei dati ?

Art. 37: è esplicitamente prevista l’istituzione di meccanismi di

certificazione del livello di sicurezza e di protezione dei dati

personali effettivamente messo in atto, con marchi e sigilli che

consentano agli interessati di valutare rapidamente il livello di

protezione dei dati garantito dal titolare.

Saranno successivamente precisati i criteri e i requisiti

concernenti i meccanismi di certificazione, compresi i

meccanismi di rilascio e ritiro

ISO/IEC 27001:2013

www.datasecurity.it






Sanzioni


www.datasecurity.it


Quando il trattamento, per la sua natura, il

suo oggetto, o le sue finalità, presenta rischi

specifici per i diritti e le libertà degli

interessati, il titolare del trattamento effettua

una valutazione d’impatto del trattamento

previsto sulla protezione dei dati personali

Presentano rischi specifici ai sensi del punto

precedente i seguenti trattamenti:

Art. 33 – Privacy impact assessment

www.datasecurity.it


La valutazione sistematica e globale di aspetti della personalità

dell’interessato o volta ad analizzarne o prevederne in particolare

la situazione economica, l’ubicazione, lo stato di salute, le

preferenze personali, l’affidabilità o il comportamento, basata su

un trattamento automatizzato e da cui discendo misure che hanno

effetti giuridici o significativamente incidono sull’interessato

Il trattamento di informazioni concernenti la vita sessuale, lo stato

di salute, la razza e l’origine etnica oppure destinato alla

prestazione di servizi sanitari o a ricerche epidemiologiche o

indagini su malattie mentali o infettive

Art. 33 – Privacy Impact Assessment

www.datasecurity.it


La sorveglianza di zone accessibili al pubblico, in particolare se

effettuata mediante dispositivi ottico-elettronici

(videosorveglianza) su larga scala;

Il trattamento di informazioni concernenti la vita sessuale, lo stato

di salute, la razza e l’origine etnica oppure destinato alla

prestazione di servizi sanitari o a ricerche epidemiologiche o

indagini su malattie mentali o infettive

Il trattamento di dati personali in archivi su larga scala riguardanti

minori, dati genetici o dati biometrici

Qualunque altro trattamento che richiede la consultazione

dell’autorità di controllo ai sensi dell’art. 34

Art. 33 – Privacy Impact Assessment

www.datasecurity.it



La valutazione contiene almeno:

Una descrizione generale del trattamento previsto

Una valutazione dei rischi per i diritti e le libertà degli

interessati

Le misure previste per affrontare i rischi

Le garanzie, le misure di sicurezza e i meccanismi per

garantire la protezione dei dati personali e dimostrare la

conformità del presente Regolamento, tenuto conto dei diritti

e dei legittimi interessi degli interessati e delle altre persone

in questione

La valutazione d’impatto deve essere trasmessa all’autorità di

controllo

www.datasecurity.it






Sanzioni


www.datasecurity.it


Compiti del titolare del trattamento

Criticità attuale: la normativa attuale non specifica minimamente i

compiti del titolare del trattamento

1. Il titolare del trattamento adotta politiche e attua misure adeguate per

garantire di essere in grado di dimostrare che il trattamento dei dati

personali effettuato è conforme al regolamento.

2. Le misure di cui al punto precedente comprendono:

- la conservazione della documentazione di cui all’articolo 28

- l’attuazione delle misure di sicurezza dei dati di cui all’articolo 30

- l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 33

- la designazione di un responsabile della protezione dei dati (Privacy Officer)

www.datasecurity.it


Compiti del titolare del trattamento

3. Il Titolare del trattamento mette in atto i meccanismi per assicurare la

verifica dell’efficacia delle misure di cui ai punti precedenti. La verifica

può essere effettuata da revisori interni o esterni indipendenti

4. Il titolare del trattamento si assicura che il responsabile della

protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le

questioni riguardanti le protezione dei dati personali

5. Il titolare si assicura che il responsabile della protezione dei dati

adempia alle funzioni in piena indipendenza e non riceva alcuna

istruzione o condizionamento per quanto riguarda il loro esercizio

www.datasecurity.it


Criticità

Criticità

Criticità attuale N. 1: non viene effettuato nessun controllo

Criticità attuale N. 2: chi (raramente) controlla non possiede le competenze per effettuare un controllo efficace

www.datasecurity.it






Sanzioni


www.datasecurity.it


Il Responsabile della protezione dei dati (“Privacy Officer”)

E’ un soggetto che deve possedere adeguata esperienza, conoscenze

della problematica e capacità di effettuare audit approfonditi

E’ un soggetto che agisce in totale indipendenza ed autonomia, che si

interfaccia direttamente con i vertici aziendali, per un periodo minimo

di 4 anni, con mandato rinnovabile

E’ per certi versi l’equivalente dell’Organismo di vigilanza previsto dal

D.Lgs. 231/2001

Può essere un soggetto interno alla struttura, oppure un soggetto

esterno assunto in base ad un contratto di servizi

www.datasecurity.it



COMPITI

Informare e consigliare il titolare o il responsabile in merito agli

obblighi del Regolamento e conservare la documentazione relativa a

tale attività ed alle risposte ricevute

Sorvegliare e supervisionare l’attuazione e l’applicazione delle policy

(atti di nomina, mansionari, regolamenti) . Condurre verifiche e audit

periodici

Controllare l’attuazione del regolamento con particolare riguardo alla

privacy by design, alla protezione di default, alla sicurezza dei dati,

l’informativa all’interessato e le richieste degli interessati : Effettuare

audit e verifiche periodiche e rilevare e gestire le non conformità

www.datasecurity.it



COMPITI

Conservare la documentazione di cui all’art. 28

Controllare che le violazioni ai dati personali siano documentate,

notificate e comunicate ai sensi degli art. 31 e 32

Supervisionare il processo di valutazione d’impatto

Controllare che sia dato seguito alle richieste dell’autorità di controllo

Fungere da punto di contatto per l’autorità di controllo per questioni

connesse al trattamento e, se del caso, consultare l’autorità di

controllo di propria iniziativa

www.datasecurity.it





Compiti del Responsabile della protezione dei dati

Sanzioni

Sanzioni

www.datasecurity.it


La sanzione deve essere efficace, proporzionata e dissuasiva

L’ammontare è determinato tenuto conto:

della natura

della gravità

della durata della violazione

del carattere doloso o colposo dell’illecito

del grado di responsabilità della persona fisica o giuridica

delle precedenti violazioni commesse

delle misure e procedure tecniche ed organizzative messe in atto dell’art. 23 (Privacy by design e Privacy by default)

del grado di cooperazione con l’autorità di controllo

Sanzioni (Art. 79)

www.datasecurity.it


Sanzione amministrativa pecuniaria fino a

250.000 Euro o, per le imprese, fino allo 0,5%

del fatturato annuo


500.000 Euro o, per le imprese, fino allo 1%

del fatturato annuo


1.000.000 Euro o, per le imprese, fino al 2%

del fatturato annuo

Sanzioni (Art. 79)

www.datasecurity.it


Sanzione amministrativa pecuniaria fino a 250.000

Euro o, per le imprese, fino allo 0,5% del fatturato

annuo

Sanzioni (Art. 79)

Non predispone i meccanismi per consentire all’interessato di presentare

richieste o non risponde all’interessato prontamente o nella forma dovuta, in

violazione dell’art. 12, paragrafi 1 e 2

Fa pagare un contributo spese per le informazioni o le risposte alle richieste

dell’interessato, in violazione dell’art. 12, paragrafo 4

www.datasecurity.it



Euro o, per le imprese, fino allo 1% del fatturato

annuo

Sanzioni (Art. 79)

Non fornisce le informazioni, fornisce informazioni incomplete o non fornisce le

informazioni in modo sufficientemente trasparente all’interessato, in violazione

dell’art. 11, dell’art. 12, par. 3 e dell’art. 14

Non dà l’accesso all’interessato o non rettifica i dati personali, in violazione degli

articoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti, in

violazione dell’art. 13

Non rispetta il diritto all’oblio o alla cancellazione, omette di predisporre

meccanismi che garantiscono il rispetto dei termini, o non prende tutte le misure

necessarie per informare i terzi della richiesta dell’interessato do cancellare tutti i

link verso i dati personali, copiare tali dati o riprodurli, in violazione dell’art. 17

www.datasecurity.it




annuo

Sanzioni (Art. 79)

Non fornisce copia dei dati personali in formato elettronico oppure impedisce

all’interessato di trasmettere i dati personali a un’altra applicazione, in violazione

dell’art. 18

Omette di determinare o non determina in modo sufficiente le rispettive

responsabilità dei corresponsabili del trattamento, in violazione dell’art. 24

Omette di conservare o non conserva in modo sufficiente la documentazione di cui

all’art. 28, all’art. 31, par. 4, e all’art. 44, par. 3

www.datasecurity.it


Sanzione amministrativa pecuniaria fino a 1.000.000


annuo

Sanzioni (Art. 79)

Tratta dati personali senza una base giuridica o una base giuridica insufficiente a

tal fine o non rispetta le condizioni relative al consenso, in violazione degli articoli

6, 7 e 8

Tratta categorie particolari di dati, in violazione degli art. 9 e 81

Non rispetta il diritto all’opposizione o l’obbligo di cui all’art. 19

Non rispetta le misure basate sulla profilazione di cui all’art. 20

Non adotta politiche interne o non attua misure adeguate per garantire di

dimostrare la conformità del trattamento, in violazione degli art. 22, 23 e 30

Non designa un rappresentante, in violazione dell’art. 25

Omette di allertare o notificare all’autorità di controllo o all’interessato una

violazione di dati personali, oppure non la notifica tempestivamente o

integralmente, in violazione degli art. 31 e 34

www.datasecurity.it


Sanzione amministrativa pecuniaria fino a 1.000.000


annuo

Sanzioni (Art. 79)

Non effettua una valutazione d’impatto sulla protezione dei dati o tratta dati

personali senza l’autorizzazione preventiva o la consultazione preventiva

dell’autorità di controllo, in violazione degli art. 33 e 34

Non designa un responsabile della protezione dei dati o non garantisce le

condizioni per l’adempimento del responsabile della protezione dei dati, in

violazione degli art. 35, 36 e 37

Fa un uso illecito di un sigillo o marchio sulla protezione dei dati di cui all’art.

39

Non si conforma all’obbligo di prestare assistenza, rispondere o fornire

informazioni utili o l’accesso ai locali all’autorità di controllo

Non si conforma alle norme di salvaguardia del segreto professionale di cui

all’art. 48

www.datasecurity.it


Conclusioni, impressioni, prime riflessioni, consigli

“Buona legge”, che fornirà strumenti molto efficaci all’interessato per

conoscere, controllare e intervenire sul destino dei propri dati

Ristabilirà un clima di fiducia verso aziende e istituzioni, facilitando gli

scambi, gli investimenti e l’economia digitale

Modificherà profondamente l’attuale modo di operare, obbligando a

passare da un approccio “compilativo” ad un approccio basato sulla

responsabilità e sulla verifica dell’efficacia

www.datasecurity.it



Fondamentale l’introduzione del Risk Assessment , del Privacy Impact

Assessment e della Protection by design

Importante l’introduzione di meccanismi di trasparenza, come

l’obbligo di notifica della violazione o la comunicazione agli

interessati

Fondamentale l’introduzione del Responsabile della protezione dei

dati come:

soggetto dotato di adeguate competenze e conoscenze

punto/meccanismo di controllo/verifica periodica competente ed

indipendente

www.datasecurity.it




Vivere il Regolamento non come una serie di “adempimenti”,

ma come una serie di strumenti e di “tutele” a vantaggio di

chi tratta i dati

Non solo privacy, ma anche sicurezza

Tutela non solo dei dati personali, ma anche dei dati (es.

progetti, brevetti, clienti, preventivi) e quindi del patrimonio

aziendale

Tutela dell’immagine e della credibilità istituzionale ed

aziendale

www.datasecurity.it


www.datasecurity.it

Informazioni di contatto:

dott. Romano Favero

direttore DataSecurity

[email protected]

Piazza del Cristo 12 – 33170 Pordenone

Tel. 0434 1851428

mailto:[email protected]

il nuovo regolamento europeo sulla protezione dei dati · circolazione dei dati (regolamento...

Documents