Marketing & Communication

Colin & Partners

Privacy e tutela delle

informazioni

Digitalizzazione

Sorveglianza e controllo

Modello 231 e reati

informatici

Intellectual property

Diritto informatico

Think Factory

LaaS - Legal as a Service

Verso la GDPR: i punti chiave della nuova cornice normativa

Bologna, 25 Maggio 2017 GDPR & GDPR , 365 giorni al via

Dott.ssa Gloria Ricci

Senior Consultant Colin & Partners

Verso il Regolamento Europeo …

Mappatura dei ruoli e dei trattamenti

Flusso dei dati, rilascio delle informative, gestione

del consenso

Analisi dei contratti infragruppo e conseguenti

proposte di integrazione/modifica in

base alle esigenze normative

Regolarizzazione del portale e degli altri spazi

web aziendali

Analisi dei rapporti con i soggetti esterni in

particolare PLA (Privacy Level Agreement) e SLA

(Service Level Agreement)

Analisi dei trasferimenti di dati all’estero e BCR

(Binding Corporate Rules)

Regolamenti Informatici (Interni, Fornitori, Pec...)

Policy di data retention

Alcuni Provvedimenti emanati dall’Autorità trasversali alle Aziende

Provvedimento sulla dismissione della spazzatura elettronica

Provvedimento in materia di amministratore di sistema

Provvedimento in materia di videosorveglianza

Provvedimento in tema di biometria

Condizioni generali per irrogare sanzioni amministrative

Sanzioni da € 10.000.000 a € 20.000.000 o dal 2% al 4% del fatturato mondiale nel caso in cui siano violati:

Si lascia agli stati membri il compito di disciplinare le regole e l’effettiva applicazione delle sanzioni amministrative.

Principi relativi al trattamento e al consenso

Disposizioni relative ai diritti dell’interessato

Disposizioni in materia di trasferimento dati

Ordine di cessazione del trattamento

Ambito di applicazione territoriale

Il Regolamento si applica al trattamento effettuato nell’ambito delle attività di uno stabilimento di un Titolare del trattamento o di un Responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

Il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un Titolare del trattamento o Responsabile del trattamento che non è stabilito nell’Unione quando le attività di trattamento riguardano:

• Offerta di beni o prestazione di servizi ai suddetti interessati nell’Unione;

• Il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione.

Il Regolamento si applica altresì per il trattamento effettuato da un Titolare non stabilito all’interno dell’Unione, ma in un luogo dove sia possibile l’applicazione della legge nazionale di uno Stato membro in virtù di altri accordi di natura internazionale (es. convenzioni, protocolli).

Titolare e misure di sicurezza

Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile Titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati è conforme al regolamento.

Tali misure sono riesaminate ed aggiornate qualora necessario.

Tali misure includono politiche adeguate in materia di protezione dei dati.

Responsabilità del Titolare

Nei compiti e responsabilità del Titolare si fa menzione degli obblighi già esistenti, aggiungendo:

Quando proporzionato al trattamento,

l’implementazione di policy relative alla

tutela dei dati personali (procedure).

La prova della compliance normativa attraverso l’adozione e il rispetto di codici di

condotta.

Quali misure di sicurezza cita espressamente il Regolamento?

Pseudonimizzazione e cifratura dei dati;

Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati;

Procedura per provare, verificare e valutare efficacia delle misure tecniche ed organizzative;

Data recovery.

Tutela dati personali by design

Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione,

del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità, sia al momento di determinare i mezzi del

trattamento sia all’atto del trattamento stesso, il Titolare mette

in atto misure tecniche ed organizzative adeguate quali la

pseudonimizzazione o la minimizzazione.

Tutela dati personali by default

Il Titolare mette in atto misure tecniche ed organizzative

adeguate per garantire che siano trattati di default solo i dati personali necessari per

ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti,

l’estensione del trattamento, il periodo di conservazione e

l’accessibilità.

Joint Controller: Committente e Fornitore

Gli obblighi che ne discendono:

• Stipula di un accordo interno che, in modo trasparente, determini le reciproche responsabilità in merito all’adempimento degli obblighi del Regolamento (es. esercizio dei diritti, obblighi informativi ecc…);

• Gli interessati devono aver contezza dei tratti generali dell’accordo stipulato.

• Le medesime considerazioni nei contratti per i servizi corporate.

Quando due o più Titolari determinano congiuntamente le

finalità e le modalità del trattamento

Contitolari

Il Titolare può ricorrere solo a Responsabili che assicurino misure tecniche ed organizzative idonee a soddisfare il rispetto del Regolamento.

L’esecuzione del trattamento su commissione deve essere disciplinato da un contratto che contempli, la durata del trattamento, la sua natura e finalità, le tipologie di dati e le categorie di interessati, i crismi di sicurezza e la relativa ripartizione (PLA), l’obbligo per il responsabile di rispettare i principi del Regolamento, la cancellazione e la restituzione dei dati, il data breach, audit e accountability a carico del Responsabile ecc…

In base alle decisioni assunte su finalità e modalità, c’è una valutazione effettiva della titolarità a prescindere da quanto formalizzato.

Il rapporto tra il Titolare, i Fornitori/Responsabili ed i sub-Fornitori/ sub-Responsabili

Casistiche D

i tal

i pre

visi

oni i

l Tit

olar

e de

ve t

ener

con

to:

Quando sviluppa un software o una App «in proprio».

Quando affida a terze parti lo sviluppo di un software o di una App (caratteristiche da indicare nel contratto di sviluppo software).

Quando ricorre a soluzioni applicative offerte e gestite da terze parti (es. licenze d’uso di software), qualora le terze parti svolgano attività che possano dar luogo ad un trattamento di dati personali in qualità di Responsabili esterni del trattamento (es. contratti di fornitura servizi informatici in modalità web application, in cui l’accesso al software avviene tramite collegamento via web ai server del fornitore, il quale fornisce servizi di manutenzione ed assistenza del software con possibilità di accedere al data base contenente dati personali).

Outsourcing.

Piuttosto che contratti dove sono presenti aspetti legati al trattamento di dati personali.

Ambito di applicazione per l’adozione della figura del DPO

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

• il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

La raggiungibilità del DPO

Da valutare sia sul fronte della raggiungibilità fisica che mediante appositi canali di comunicazione per una facilità di

interazione non solo rispetto a controlli esterni ma anche esigenze interne in

considerazione della tipologia di interventi di sua competenza.

Compiti d’informazione e

consultivi, in merito al

Regolamento e alla sua

applicazione

I compiti del DPO

Le interazioni con le direzioni aziendali

HR e formazione

ICT e progettazione

Marketing e attività

promozionali

Ufficio acquisti e contrattualistica

Compliance e audit

Legal e aspetti normativi specifici

Il Titolare deve conservare un Registro delle categorie di attività di trattamento dei dati personali all’interno del quale deve indicare:

• I propri riferimenti, quelli del corresponsabile e del DPO, effettuati sotto la propria responsabilità;

• Le finalità del trattamento, le categorie di interessati e le tipologie di dati;

• La comunicazione, la diffusione e i trasferimenti dei dati all’estero;

• Policy di sicurezza e policy di data retention.

Obbligo predisposizione Registro delle categorie, esteso anche a fornitori e sub-fornitori per i servizi esternalizzati conto terzi

Tale attività è obbligatoria anche per i Responsabili, i quali pertanto dovranno essere anche impegnati contrattualmente dal Titolare ai fini dell’accountability.

Restano esclusi da tali obblighi i soggetti con meno di 250 dipendenti, a meno che il trattamento non presenti rischi per gli interessati, non sia occasionale o riguardi speciali categorie di dati.

Obbligo di PIA quando il

trattamento:

Privacy Impact Assessment: i criteri di redazione

Sentito il DPO, il Titolare nella PIA deve tener conto degli impatti del trattamento sui diritti dell’interessato in un’ottica di adempimento agli obblighi del Regolamento anche relativamente all’operato dei fornitori e dei sub-fornitori, tenuto conto dei Pareri dei WP29.

Venga effettuato con nuove tecnologie

Presenta un rischio per i diritti e le libertà fondamentali dell’interessato

Riguardi la profilazione

Riguardi categorie particolari di dati (es. biometrci)

Riguardi la sorveglianza di zone accessibili al pubblico

Altre ipotesi decise e pubblicate dall’Autorità

Live Poll: "Come si comporterebbe lavostra azienda a fronte di un DATA BREACH?"

https://directpoll.com/r?XDbzPBdEt8j1rJ4Sa6TOG5aTd81TJYwb1aGgrVyX5

Notifica data breach ad Autorità competente/interessato

Gli obblighi di notifica seguente a data breach

vengono estesi a qualsiasi caso in cui vi siano rischi

di violazione dei dati personali.

Viene poi esteso l’obbligo di darne comunicazione

all’interessato nel caso in cui vi sia rischio elevato

per i diritti e le libertà dello stesso.

I tempi di comunicazione sono vaghi (undue delay).

Rimangono comunque esclusi:

Casi di esclusione

Termini temporali e modalità

Notifica ai soggetti interessati

Trasferimento dati fuori dai confini europei

Trasferimento previa decisione adeguatezza;

Binding Corporate Rules (a condizione che: siano giuridicamente vincolanti per tutte le società parti del Gruppo di impresa; conferiscano espressamente agli interessati i diritti in relazione al trattamento dei loro dati personali; soddisfino i requisiti relativi alle indicazioni sul contenuto minimo);

Sentenze;

Se l’interessato ha prestato il proprio consenso informato e specifico al trasferimento;

Se il trasferimento è funzionale all’adempimento di obblighi contrattuali tra Titolare e interessato ovvero per la conclusione di un contratto concluso nell’interesse dell’interessato;

Per ragioni di pubblico interesse, esercizio dei diritti di difesa.

Copyright

Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso od evento ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl.

Le informazioni contenute nel presente materiale sono da ritenersi esatte esclusivamente alla data di svolgimento del corso / evento e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti.

Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016

Tel. +39 0572 78166 Fax +39 0572 294540

Partita Iva e Codice Fiscale: 01651060475

Le nostre sedi: Montecatini Terme (PT), Milano

www.consulentelegaleinformatico.it

Per richieste progetti e preventivi: info@consulentelegaleinformatico.it

Per organizzare eventi: comunicazione@consulentelegaleinformatico.it

Per organizzare corsi di formazione: thinkfactory@consulentelegaleinformatico.it

Seguici su:

Dr.ssa Gloria Ricci

gricci@consulentelegaleinformatico.it

https://it.linkedin.com/in/gloria-ricci

Grazie!