luciano corino - sicurezza e protezione dei dati personali: verso il regolamento europeo - digital...
TRANSCRIPT
16/05/2013
1
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Ex manager di alcune importanti aziende italiane, si occupa di Privacy, Modello organizzativoe Web protection.Per formazione è un informatico, ma non ha mai scritto una riga di software.Ha lavorato per 25 anni in ambito marketing in Toro Assicurazioni, Seat Pagine Gialle, GruppoFormula, Bassani Finanziaria, Dylog, IBM S.I.Nel 1996 entra in Chiocciola S.r.l., società di consulenza direzionale specializzata in directmarketing, e-mail marketing, ricerche di mercato.Nel 2001, insieme con alcuni partners, fonda Applicando S.r.l..Ha frequentato i corsi di specializzazione del Garante della Privacy, del colonnello Umberto
Luciano Corino
Rapetto, del prof. Giovanni Ziccardi e del dottor Gerardo Costabile, nonché i corsi diformazione per Privacy Officer ottenendo la certificazione TUV.Membro del Comitato Scientifico di FederPrivacy, è referente provinciale per dettaassociazione.E’ coautore, con l’avvocato Valentina Corino, del manuale “Codice in materia di protezione deidati personali D.lgs. 30 giugno 2003, n° 196 - Gli articoli da sapere, le norme e i comportamentida rispettare”.Con Giuseppe Izzinosa e Claudio Pasqua ha scritto il libro “Internet per l'artigianato e lapiccola impresa”, curando la sezione "Privacy and security sul web".E’ relatore in convegni su Privacy, Sicurezza sui luoghi di lavoro, Risk Management. E'docente ai corsi di formazione di Eurofins Modulo Uno.E’ consulente di imprese, enti locali e associazioni di categoria.
16/05/2013
2
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Verso il Regolamento EuropeoVerso il Regolamento EuropeoSicurezza e protezione dei dati personali
16/05/2013
3
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Misure e accorgimenti prescritti ai titolari dei trattamentirelativamente alle attribuzioni delle funzioni di
amministratore di sistema
Semplificazione delle misure di sicurezza contenute neldisciplinare tecnico di cui all'Allegato B)
Dati persone giuridiche non personaliAbolizione del DPS
Nuove disposizioni in materia di videosorveglianza
Nuove regole per il marketingRegistro delle opposizioni e Opt-ou
Linee guida in materia di trattamento di dati personali dei lavoratoriper finalità di gestione del rapporto di lavoro alle dipendenze di datori
di lavoro privati
Lavoro: linee guida del Garante per posta elettronica einternet
Videosorveglianza - Provvedimento generale
d.lgs. 196/2003 Codice in materia diprotezione di dati personali
16/05/2013
4
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Quale futuro ?
16/05/2013
5
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Il 25 gennaio 2012 la Commissione europea hapresentato ufficialmente le proposte relative al nuovoquadro giuridico europeo in materia di protezione deidati. Si tratta di un Regolamento, quindi di effettoimmediato.
16/05/2013
6
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
• restano ferme le definizioni fondamentali, ma con alcunesignificative aggiunte (dato genetico, dato biometrico);
• viene introdotto il principio dell'applicazione del diritto UE ancheai trattamenti di dati personali non svolti nell'UE, se relativiall'offerta di beni o servizi a cittadini UE o tali da consentire ilmonitoraggio dei comportamenti di cittadini UE;
• si stabilisce il diritto degli interessati alla "portabilità del dato"• si stabilisce il diritto degli interessati alla "portabilità del dato"(ad. es. nel caso in cui si intendesse trasferire i propri dati da unsocial network ad un altro) ma anche il "diritto all’oblio", ossia didecidere quali informazioni possano continuare a circolare (inparticolare nel mondo online) dopo un determinato periodo ditempo, fatte salve specifiche esigenze (ad esempio, perrispettare obblighi di legge, per garantire l’esercizio della libertàdi espressione, per consentire la ricerca storica);
16/05/2013
7
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
• scompare l'obbligo per i titolari di notificare i trattamenti di datipersonali, sostituito da quello di nominare un "data protection officer" pertutti i soggetti pubblici e per quelli privati al di sopra di un certo numero didipendenti o appartenenti a determinati settori di attività;
• viene introdotto il requisito del "privacy impact assessment"(valutazione dell'impatto-privacy) oltre al principio generale detto "privacyby design" (cioè la previsione di misure a protezione dei dati già almomento della progettazione di un prodotto o di un software);momento della progettazione di un prodotto o di un software);
• si stabilisce l'obbligo per tutti i titolari di notificare all'autoritàcompetente le violazioni dei dati personali ("personal data breaches");
• si fissano più specificamente poteri (anche sanzionatori) e requisiti diindipendenza delle autorità nazionali di controllo, il cui parere saràindispensabile qualora si intendano adottare strumenti normativi,comprese le leggi, che impattino sulla protezione dei dati personali.
16/05/2013
8
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
16/05/2013
9
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Articolo 28 – Documentazione
1. Ogni responsabile del trattamento, incaricato del trattamento ed eventualerappresentante del responsabile del trattamento conserva la documentazione di tutti itrattamenti effettuati sotto la propria responsabilità.
3. Il responsabile del trattamento, l’incaricato del trattamento e l’eventualerappresentante del responsabile del trattamento mettono la documentazione adisposizione dell’autorità di controllo, su richiesta.
Articolo 31 - Notificazione di una violazione dei dati personali all’autorità di controllo
4. Il responsabile del trattamento documenta la violazione dei dati personali, incluse lecircostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvirimedio. La documentazione deve consentire all’autorità di controllo di verificare il rispettodel presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.
Articolo 79 - Sanzioni amministrative
5. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500.000 EUR o,per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:(f) omette di conservare o non conserva in modo sufficiente la documentazione di cuiall’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;
16/05/2013
10
contromisure fisiche, tecniche, procedurali
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
contromisure
riduzione Priduzione G
16/05/2013
11
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
15%
5%
eventi indesiderati
comportamento comportamento + fattori esterni fattori esterni
80%
16/05/2013
12
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
le contromisure procedurali …. non modificano i comportamenti
le contromisure fisiche e tecniche …. riducono errori e violazioniinvolontari, ma tendono ainvolontari, ma tendono a
perdere efficacia con il tempo
le contromisure fisiche e tecniche …. riducono per un brevissimotempo errori e violazioni
volontari
16/05/2013
13
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
adottare idonee contromisure fare in modo che i lavoratoripossano assumerecomportamenti sicuri
AR
EA
INT
ER
VE
NT
Ofare formazione fare in modo che i lavoratorisappiano assumerecomportamenti sicuri
motivazione, leadership, premi fare in modo che i lavoratorivogliano assumerecomportamenti sicuri
AR
EA
INT
ER
VE
NT
OA
RE
AN
ON
INT
ER
VE
NT
O
16/05/2013
14
qualche buona ragione per prepararsi in tempo
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
eventi indesiderati con conseguenze
eventi indesiderati con conseguenze
1
10
AREA DI INTERVENTO
eventi indesiderati con conseguenze
eventi indesiderati mancati
comportamenti pericolosi
10
100
?
AREA DI NON INTERVENTO
16/05/2013
15
qualche buona ragione per prepararsi in tempo
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
prevenire la commissione di illeciti e di reati
individuare responsabilità
comminare provvedimenti disciplinari e sanzioni
ragionigiuridiche
comminare provvedimenti disciplinari e sanzionigiuridiche
prevenire e ridurre le inefficienze
ridurre gli errori, le violazioni, gli eventi indesiderati
prevenire i furti (dati, brevetti, identità …)
ragioni managerialied economiche
16/05/2013
16
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
Grazie per l’attenzioneSicurezza e protezione dei dati personali: verso il Regolamento Europeo