il nuovo regolamento europeo sulla protezione dei dati personali
TRANSCRIPT
11
2 dicembre 2016
Hotel NH Padova Via Tommaseo, 61- 35131 Padova PD
In collaborazione con
Il nuovo regolamento Europeo sulla Protezione dei Dati personali
– Impatti aziendali
3ISACA VENICE Chapter
Come noto, lo scorso 24 maggio 2016, il Regolamento Europeo per laprotezione dei dati personali (Regolamento UE 2016/679) è entratoformalmente in vigore e diverrà pienamente applicabile a decorrere dal25 maggio 2018, secondo quanto previsto dall’art. 99 delle disposizionifinali del medesimo.
Il Regolamento approvato va ad abrogare integralmente la Direttiva95/46/CE, rimasta in vigore per oltre venti anni, e dunque anche tutte leleggi nazionali di recepimento, tra cui il d.lgs. 196/2003 (Codice Privacy).
Aspetti introduttivi
4ISACA VENICE Chapter
Aspetti introduttivi
Nonostante le organizzazioni abbiano a disposizione circa due anniprima della piena applicabilità del Regolamento, è opportunosottolineare che alcune delle novità introdotte, impongono una attentae preventiva pianificazione, potendo comportare modificheorganizzative significative e, in alcuni casi, investimenti di naturatecnologica.
Tali interventi presuppongono quindi attività di valutazione ed analisiper le quali è più che opportuno sfruttare il tempo a disposizione pernon farsi trovare impreparati.
6ISACA VENICE Chapter
Responsabile della protezione dei dati
Registro dei trattamenti
Protezione sin dalla progettazione
Figura indipendente nominata dal titolare e dal responsabile del trattamento.Svolge le seguenti funzioni: informare e consigliare il Titolare o ilResponsabile in merito agli obblighi del Regolamento, verificarnel’applicazione e l’attuazione, fornire pareri, fungere da punto di contattatosia con gli interessati che con il Garante.
Contenente i dati del/dei titolare/i e degli eventuali responsabili, le finalitàdel trattamento, una descrizione delle categorie di interessati e dei datipersonali, i destinatari, gli eventuali trasferimenti verso Paesi terzi ed unadescrizione generale delle misure di sicurezza. Tali documenti devono esseremessi a disposizione del Garante e manutenuti sia dal titolare che daglieventuali responsabili. I registri di cui sono tenuti in forma scritta.
Le misure a protezione di dati devono essere adottate già al momento dellaprogettazione di un prodotto o software.Il titolare del trattamento deve mettere in atto misure tecniche eorganizzative adeguate per garantire in ogni caso che siano trattati solo i datinecessari per ogni specifica finalità.
Responsabilità del titolare
Tenuto conto della natura, dell'ambito di applicazione, del contesto e dellefinalità del trattamento, nonché dei rischi aventi probabilità e gravità diverseper i diritti e le libertà delle persone fisiche, il titolare del trattamento mettein atto misure tecniche e organizzative adeguate per garantire, ed essere ingrado di dimostrare, che il trattamento è effettuato conformemente alpresente regolamento. Dette misure sono riesaminate e aggiornate qualoranecessario.
ACCOUNTABILITY
DPO
PRIVACY BY DESIGN
Eccezione per imprese con meno di 250 dipendenti
7ISACA VENICE Chapter
Responsabilità solidale di
titolare e responsabile
Il Titolare e il Responsabile del trattamento sono responsabili in solido neiconfronti dell’interessato, per un eventuale danno causato dal trattamento.
Violazione di dati Nel caso si verifichino violazioni di dati personali, il Titolare ne deve darecomunicazione all’Autorità di Controllo e, nei casi più gravi, anche agliinteressati (attualmente ciò avviene solo per violazione di dati biometrici).
Sicurezza
viene meno il concetto di misure minime di sicurezza, attualmente previstodalla nostra legislazione. Infatti, nel Regolamento si fa riferimentoesclusivamente a qualunque tipo di misura che possa garantire un adeguatolivello di sicurezza, tenendo conto dei costi di attuazione, della natura, delcampo di applicazione, del contesto, delle finalità del trattamento, oltre chedei rischi esistenti nel caso concreto.
DATA BREACH
Allorché due o più titolari del trattamento determinano congiuntamente lefinalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essideterminano in modo trasparente, mediante un accordo interno, le rispettiveresponsabilità.
Responsabilità dei contitolari
8ISACA VENICE Chapter
Eliminazione dell’obbligo di notifica
Viene eliminato l’obbligo generale di notificare all’autorità di controllo per iltrattamento di dati personali, da sostituire con meccanismi e procedureefficaci che si concentrino piuttosto su quei trattamenti che potenzialmentepresentano un rischio elevato per i diritti e le libertà delle persone fisiche
Valutazione d’impattoSostituisce la notificazione. È la valutazione preliminare degli impatti a cuiandrebbe incontro un processo qualora dovessero essere violate le misure diprotezione dei dati. Necessita di alcune attività come la mappatura dei dati edei trattamenti, la pianificazione degli interventi tecnologici e organizzativi diprotezione dei dati con una valutazione complessiva di riduzione dello stato dirischio
CertificazioniRichiesta volta ad ottenere il riconoscimento della conformità alRegolamento delle operazioni di trattamento dei dati.
Diritto all’oblio
PRIVACY IMPACT ASSESSMENT
Diritto di ottenere la cancellazione dei dati che lo riguardano purché nonsussistano motivi legittimi per conservarli.
Limitazione del trattamento
L’interessato può richiedere la limitazione del trattamento qualora contestil’esattezza dei dati nel periodo necessario al Titolare per verificare lacorrettezza, trattamento illecito, qualora i dati non siano più necessari alTitolare, ma l’interessato debba utilizzarli in sede giudiziaria, l’interessato si èopposto al trattamento in attesa di verifica.
10ISACA VENICE Chapter
L’accountability come elemento fondamentale
Con il Regolamento UE 2016/679 definito il Legislatore europeo harovesciato la prospettiva della disciplina di riferimento concependoun quadro normativo tutto incentrato sui doveri e laresponsabilizzazione del titolare del trattamento (“accountability”).
Il testo del RGPD si sviluppa essenzialmente su processi, attività,misure tecniche e organizzative, sanzioni e obblighi rivolti a titolare (eresponsabile) del trattamento, mentre la Direttiva 95/46 eraprevalentemente incentrata sui diritti dell’interessato.
11ISACA VENICE Chapter
Il concetto di accountability
trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità,
correttezza e trasparenza»);
raccolti per finalità determinate, esplicite e legittime, e
successivamente trattati in modo che non sia incompatibile con tali
finalità («limitazione della finalità»);
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»);
esatti e, se necessario, aggiornati; devono essere adottate tutte le
misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità
per le quali sono trattati («esattezza»);
conservati in una forma che consenta l'identificazione degli
interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati; («limitazione della
conservazione»);
trattati in maniera da garantire un'adeguata sicurezza dei dati
personali, («integrità e riservatezza»).
I DATI PERSONALI DEVONO ESSERE:
Il titolare del trattamento è competente per il rispetto dei suddetti principi e in grado di comprovarlo
(«responsabilizzazione»).
12ISACA VENICE Chapter
Il concetto di accountability
Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire,
ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al
regolamentoDette misure sono riesaminate e aggiornate
qualora necessario.
Art. 24GDPR
13ISACA VENICE Chapter
Cosa significa per i Titolari del trattamento?
Considerare la data protection
sin dal momento della
progettazione
Attribuire ruoli e responsabilità in materia di data
protection
Prevedere un insieme di
regolamenti e procedure per la
gestione della data protection
Formalizzare la documentazione di adempimento
ai singoli obblighi
normativi
Verificare l’effettiva
applicazione delle misure
adottate
Mantenere aggiornate nel
tempo le regole e quanto
prodotto nel loro rispetto
IL S
ISEM
A D
I GES
TIO
NE
DEL
LA D
ATA
PR
OTE
CTI
ON
AC
CO
UN
TAB
ILITY
Audit Interni
Audit Esterni
DPO
Certificazioni
14ISACA VENICE Chapter
Cosa significa per i Titolari del trattamento?
Il GDPR lascia maggiore discrezionalità ai titolari didecidere, quali soggetti che determinano le finalità ei mezzi del trattamento di dati personali, le modalitàattraverso le quali conformarsi alle sue disposizioni,ma tale maggiore libertà è gravata dall’onere diessere in grado di dimostrare le ragioni che hannoportato a tali decisioni e le motivazioni per cui siritiene che le medesime abbiano consentito diraggiungere la conformità normativa.
Sarà, per esempio, necessario per i titolari essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un “data breach” e di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla “data protection by design”.
15ISACA VENICE Chapter
CONCLUSIONI
Questo cambiamento di prospettivapotrebbe ripercuotersi anche suglistrumenti che i titolari utilizzerannoper rispettare il principio in esame egarantirsi la possibilità di comprovarela conformità al GDPR
E’ possibile presagire che l’attualeprocesso di digitalizzazione delleimprese possa abbracciare ancheaspetti legati alla gestione degliadempimenti connessi alla protezionedei dati, sia nell’otticadell’informatizzazione dei processisottostanti che di documentabilitàdelle scelte effettuate e dei controllieffettuati.
16ISACA VENICE Chapter
Grazie per l’attenzione
+39.3288452911