smau roma 2013 valentina frediani
DESCRIPTION
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambieràTRANSCRIPT
Titolo della presentazioneRelatore: Avvocato Valentina Frediani
Regolamento
Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
ONERE DI DIMOSTRAZIONE CHE IL TRATTAMENTO E’ EFFETTUATO IN
MODO CONFORME RISPETTO AL REGOLAMENTO
ATTENZIONE Il responsabile del trattamento deve essere in grado di dimostrare l'efficacia delle misure di cui ai paragrafi 1 e 2.
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Obblighi generali del Responsabile
Titolo della presentazione
(a) la conservazione della documentazione
(b) l’attuazione dei requisiti di sicurezza dei dati
(c) l’esecuzione della valutazione d’impatto sulla protezione dei dati
(d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell'autorità di controllo e del responsabile della protezione
dei dati ai sensi dell'articolo 34, paragrafi 1 e 2
(e) la designazione di un responsabile della protezione dei dati
(e-bis) la definizione di informazioni e comunicazioni trasparenti da fornire
all'interessato ai sensi dell'articolo 11.
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Le misure
Titolo della presentazione
Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il
responsabile del trattamento e l’incaricato del trattamento
mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza appropriato, in relazione ai rischi
che il trattamento comporta e alla natura dei dati personali da
proteggere.
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Sicurezza del trattamento
Titolo della presentazione
Notificazione della violazione all’autorità di controllo senza
ritardo
Entro le 72 ore dal momento della conoscenza
Successivamente solo con giustificazione motivata
Obbligo di allerta da parte dell’incaricato del trattamento
Comunicazione della violazione all’interessato
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Notificazione della violazione dei dati:
obblighi del Responsabile e dell’Incaricato –
REGISTRO AUTORITA’ DI CONTROLLO
Titolo della presentazione
a) Descrizione natura violazione dei dati personali, compresi le
categorie e il numero di interessati in questione e le categorie
e il numero di registrazioni dei dati in questione
b) Indicazione identità e coordinate di contatto del responsabile
della protezione dei dati
c) Elencazione misure raccomandate per attenuare i possibili
effetti pregiudizievoli della violazione dei dati personali
d) Descrizione conseguenze della violazione dei dati personali
e) Descrizione misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati
personali
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
I contenuti minimi della notificazione
Titolo della presentazione
In linea con la nuova direttiva relativa agli attacchi contro i
sistemi di informazione, è opportuno mantenere una
panoramica consolidata delle tipologie di violazioni al fine di
informare il pubblico in merito alle tipologie e agli importi
delle violazioni dei dati.
Ratio della norma
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
• la valutazione sistematica e globale di aspetti della personalitàdell’interessato o volta ad analizzarne o prevederne in particolarela situazione economica, l’ubicazione, lo stato di salute, lepreferenze personali, l’affidabilità o il comportamento, basata suun trattamento automatizzato e da cui discendono misure chehanno effetti giuridici o significativamente incidonosull’interessato
• il trattamento di informazioni concernenti la vita sessuale, lo statodi salute, la razza e l’origine etnica o destinate alla prestazione diservizi sanitari o a ricerche epidemiologiche o indagini sumalattie mentali o infettive qualora i dati siano trattati perprendere misure o decisioni su larga scala riguardanti personespecifiche
Valutazione d’impatto sulla protezione dei dati: i trattamenti
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
• la sorveglianza di zone accessibili al pubblico, in particolare seeffettuata mediante dispositivi ottico-elettronici o altri dispositivisensori
• il trattamento di categorie particolari di dati di cui all'articolo 9,paragrafo 1, dati relativi all'ubicazione, dati biometrici o datiriguardanti minori
• i dati personali resi accessibili a un vasto numero di persone o grossequantità di dati personali concernenti l'interessato trattati o aggregaticon altri dati;
• qualunque altro trattamento che richiede la consultazione delresponsabile della protezione dei dati o dell'autorità di controllo
Valutazione d’impatto sulla protezione
dei dati
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
Designazione da parte del Responsabile e dell’incaricato per almeno 4
anni quando:
• il trattamento è effettuato da un’autorità pubblica o da un
organismo pubblico oppure
• il trattamento è effettuato da una persona giuridica e riguarda oltre
500 interessati l'anno, oppure
• le attività principali del responsabile del trattamento o
dell’incaricato del trattamento consistono in trattamenti che, per la
loro natura, il loro oggetto o le loro finalità, richiedono il controllo
regolare e sistematico degli interessati
La figura del Responsabile della
protezione dei dati
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
informare e consigliare il responsabile o in merito agli obblighi
derivanti dal presente regolamento, per quanto attiene alle misure e
procedure tecniche e organizzative, e conservare la
documentazione e le risposte ricevute;
sorvegliare l’attuazione e l’applicazione delle politiche del
responsabile del trattamento o dell’incaricato
sorvegliare l’attuazione e l’applicazione del regolamento, con
particolare riguardo ai requisiti concernenti la protezione fin dalla
progettazione, la protezione di default, la sicurezza dei dati,
l’informazione dell’interessato e le richieste degli interessati di
esercitare i diritti riconosciuti
garantire la conservazione della documentazione
Compiti del Responsabile della
protezione dei dati
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
controllare che le violazioni dei dati personali siano documentate,
notificate e comunicate
controllare che il responsabile del trattamento o l’incaricato del
trattamento effettui la valutazione d’impatto sulla protezione dei dati
e richieda l’autorizzazione preventiva o la consultazione preventiva
controllare che sia dato seguito alle richieste dell’autorità di controllo
e, nell’ambito delle sue competenze, cooperare con l’autorità di
controllo di propria iniziativa o su sua richiesta;
fungere da punto di contatto per l’autorità di controllo per questioni
connesse al trattamento e, se del caso, consultare l’autorità di
controllo
Segue …
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
Se il responsabile del trattamento determina le finalità, le condizioni
e i mezzi del trattamento dei dati personali insieme ad altri, i
corresponsabili del trattamento determinano, mediante accordi
interni scritti, le rispettive responsabilità in merito al rispetto degli
obblighi derivanti dal presente regolamento, con particolare
riguardo alle procedure e ai meccanismi per l'esercizio dei diritti
dell'interessato. Qualora tale determinazione manchi o non sia
sufficientemente chiara, l'interessato può esercitare i propri diritti nei
confronti di uno qualunque dei responsabili del trattamento, che
sono solidalmente responsabili.
I corresponsabili
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
Sono altresì corresponsabili …
• ATTENZIONE:
• Art. 27 1 bis. Se l'incaricato del trattamento è o diventa parte determinante per quanto concerne le finalità, i mezzi o i
metodi di trattamento dei dati o non agisce soltanto su
istruzione del responsabile del trattamento, è considerato corresponsabile del trattamento ai sensi dell'articolo 24.
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
L’esecuzione dei trattamenti su commissione deve essere
disciplinata da un contratto o altro atto giuridico che vincoli
l’incaricato del trattamento al responsabile del trattamento e
che preveda segnatamente tutti gli obblighi elencati dall’art.
26
L’esecuzione trattamenti su commissione
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
a) agisca soltanto su istruzione del responsabile del trattamento
b) impieghi soltanto personale che si sia impegnato alla riservatezza o abbia
l’obbligo legale di riservatezza;
c) prenda tutte le misure richieste ai sensi dell’articolo 30;
d) ricorra ad un altro incaricato del trattamento solo previa autorizzazione del
responsabile del trattamento;
e) crei d’intesa con il responsabile del trattamento le condizioni tecniche e organizzative necessarie per riscontro esercizio dei diritti dell’interessato;
Gli obblighi
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
f) aiuti il responsabile del trattamento a garantire il rispetto degli obblighi sanciti;
g) ultimato il trattamento, trasmetta tutti i risultati al responsabile del trattamento
e si astenga dal trattare altrimenti i dati personali;
h) metta a disposizione del responsabile del trattamento e dell’autorità di controllo tutte le informazioni necessarie per
controllare il rispetto degli obblighi di cui al presente articolo.
h-bis) tenga in considerazione il principio della protezione dei dati fin dalla progettazione e della protezione di default
Segue …
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
Titolo della presentazione
• Avv. Valentina Frediani
Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà
www.consulentelegaleinformatico.it