Novità, cambiamenti e attività da intraprendere
COME METTERE A NORMA L’AZIENDA IN BASE AL NUOVO
REGOLAMENTO EUROPEO SUI DATI PERSONALI
Webinar 21 Febbraio 2018
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Che cos’è il GDPR ?
GDPR è l’acronimo di General Data Protection Regulation
E’ entrato in vigore il 25/05/2016 con un’applicazione differita di due anni al 25/05/2018
Perché era necessaria una nuova normativa?
l’evoluzione tecnologia ha cambiato tutto
un fronte comune europeo sia interno che esterno
oggi i dati sono sicuramente FONTE di nuovi Business : sono il Nuovo “petrolio”
e…..come il petrolio grezzo, i dati per avere un vero valore devono essere raffinati !
Quali sono i punti principali?
Possiamo parlare di normativa 2.0 è cambiato l’approccio fino ad oggi
al centro della normativa Privacy è stata posta la persona,
con la nuova normativa
Il dato acquista un valore in se’ e viene tutelato per ciò che è
Il Nuovo Regolamento trasforma la protezione dei dati personali da puro
strumento giuridico in tema strategico per la nuova economia dei dati.
1
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Che cosa comporta il GDPR per le Aziende?
Tutti trattano dati personali, (clienti, fornitori, dipendenti, prospect)
Finora la Privacy è stata trattata come un adempimento
Con il GDPR cambia tutto: la privacy diventa un processo aziendale
I dati sono il “petrolio dell’era digitale” perché oggi servono a:
1. Creare prodotti innovativi (capendo I bisogni)
2. Formulare offerte mirate ai consumatori, convertendo sconosciuti in clienti
fidelizzati (marketing)
3. Garantire sicurezza e migliorare l’efficienza aziendale (internet delle cose)
4. Controllare, profilare e analizzare (comportamentale)
2
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
È solo un problema di approccio il Nuovo GDPR ?
oppure ci sono dei cambiamenti reali e concreti ? di fatto cambia tutto
1. cambia l’informativa che diventa breve, priva di riferimenti normativi, deve essere
comprensibile anche ai minori e contenere nuovi elementi, come l’origine dei dati
e il tempo di conservazione previsto.
2. cambia il consenso al trattamento che cessa di essere necessariamente espresso
e diventa un consenso inequivocabile e quindi desumibile in base ai
comportamenti degli interessati.
3. viene introdotta la figura del Data Privacy Officer
(il responsabile per la protezione dei dati personali)
4. sparisce l’obbligo di notificazione al Garante e si introduce il Registro dei
Trattamenti
5. sparisce il DPS e nasce il Documento di valutazione di impatto del trattamento dei
dati.
6. vengono introdotti nuovi diritti, come quello alla portabilità dei dati,
7. diventa essenziale progettare la tutela dei dati personali e documentare
l’attenzione verso l’analisi dei rischi connessi al trattamento dei dati personali.
3
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Un nuovo modello organizzativo
Con il nuovo regolamento, il titolare ha un ruolo più proattivo e soprattutto obblighi
più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche
all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la
conformità effettiva dei trattamenti, anche sotto il profilo della sicurezza.
La vecchia normativa (DLgs 196/2003) si basava sui diritti dell’interessato,
La nuova normativa è incentrata sui doveri e sulla responsabilizzazione
(accountability) del titolare del trattamento.
La vecchia normative (DLgs 196/2003) indicava ai titolari del trattamento un
elenco di misure minime di sicurezza da adottare, senza le quali erano previste
sanzioni.
La nuova normativa sposta la scelta e la responsabilità su quali misure tecniche
ed organizzative sia opportune adottare, direttamente sul titolare del trattamento
insomma……..
chi tratta dati DEVE
predisporre dei processi di valutazione di impatto del trattamento dei dati personali
4
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Come cambia l’informativa
L’informativa diventa finalmente uno strumento di informazione, cessando di essere
un adempimento.
Il titolare deve fornire all’interessato tutte le informazioni relative al trattamento in
forma concisa, trasparente, intelligibile e facilmente accessibile, con un
linguaggio semplice, chiaro e senza riferimenti normativi
Come raccogliere il consenso al trattamento
Fino ad oggi il consenso era FORMALE ( consenso espresso)
adesso diventa NON EQUIVOCO
Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è
quello reso quando, visualizzando un banner che ci informa che il sito che stiamo
visitando utilizza cookies, continuiamo a navigare …..
di fatto accettando l’uso dei cookies.
5
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Un esempio di check list per verificare la completezza di una
informativa. SI NO
L’identità e i dati di contatto del titolare del trattamento (o del suo rappresentante)
I dati di contatto del responsabile della protezione dei dati, (DPO se previsto)
Le finalità del trattamento cui sono destinati i dati personali
Se il trattamento è necessario per il perseguimento del legittimo interesse (P.A.) del
titolare o di terzi,
Gli eventuali destinatari/ categorie di destinatari dei dati personali
Eventuale
- trasferimento dei dati personali a un paese terzo o ad altra organizzazione
- profilazione
- diffusione
Il periodo di conservazione dei dati personali
L’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso
ai dati personali / la rettifica /la cancellazione /la limitazione / di opporsi /diritto alla
portabilità dei dati
L’esistenza del diritto di revocare il consenso in qualsiasi momento senza
pregiudicare la liceità del trattamento basata sul consenso prestato prima della
revoca
Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un
requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo
di fornire i dati personali nonché le possibili conseguenze della mancata
comunicazione di tali dati
6
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
L’analisi del rischio: cos’è e come si crea
Per anni siamo stati abituati a gestire un adempimento formale denominato
Documento Programmatico sulla Sicurezza (DPS),
Il nuovo regolamento europeo propone un nuovo strumento:
il Data Protection Impact Assessment (DPIA)
ovvero il Documento di Valutazione di Impatto del Trattamento dei Dati
(rif. Slide 5)
Questo processo prevede tre distinte fasi da svolgersi periodicamente con
cadenza almeno annuale:
1. Analisi dei rischi
2. Definizione della lista delle criticità
3. Definizione del programma di intervento
Come cambiano i rapporti con il Garante
Fino ad a oggi, chi effettuava alcune tipologie di trattamenti (ad esempio
geolocalizzazione, ricerca genetica, profilazione ) era tenuto a effettuare un
adempimento preventivo: la notificazione al Garante per la protezione dei dati
personali.
Con il GDPR dal 2018 cambia tutto:
viene abolito l’obbligo di Notificazione di specifici trattamenti all’Autorità
7
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Il Data Privacy Officer (DPO)
Privacy by design e Privacy by default
Violazione dei dati :
quando avviene e cosa fare
Portabilità, oblio
8
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Cosa fare per arrivare pronti al GDPR
Rispetto alle norme vigenti in Italia, i campi di maggiore
rilevanza introdotti dal GDPR sono:
Obbligo di definire i tempi di conservazione dei dati
Obbligo di indicare la provenienza dei dati in caso di utilizzo
Obbligo di predisporre il Documento di Valutazione di
Impatto del Trattamento dei Dati
Obbligo di gestire la responsabilizzazione (accountability)
(prevalentemente mediante il Data Privacy Officer)
Obbligo di comunicare tempestivamente al Garante violazioni dei
propri database
9
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Cosa deve fare l’Azienda,
in pratica,
per adeguarsi alle novità?
1. Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
2. Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti
3. Attribuire correttamente i ruoli
4. Tenere un registro delle attività di trattamento svolte..
5. Adottare misure appropriate per fornire l’informativa all’interessato:
Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole
Definire le nuove regole di acquisizione e documentazione del consenso
Verificare se si trattano dati di minori in grado di dimostrare che l’interessato ha concesso il proprio benestare.
10
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Cosa deve fare l’Azienda,
in pratica,
per adeguarsi alle novità? 7. Mettere in atto misure organizzative per garantire che siano trattati solo i dati
necessari alle specifiche finalità del trattamento.
8. Garantire la conformità al Regolamento.
9. Per essere esonerata dalla responsabilità, essere in grado di dimostrare che
l’evento dannoso non gli è in alcun modo imputabile.
11
Tutte queste attività devono essere oggetto di verifica
periodica, da documentare con cadenza almeno annuale.
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Ulteriori PASSI DA INTRAPRENDERE In funzione della tipologia di dati che vengono trattati ed anche in funzione della
tipologia di azienda si potrebbero/dovrebbero tenere in considerazione anche i
seguenti punti :
1. Aderire ai codici di condotta o a un meccanismo di certificazione per
dimostrare il rispetto degli obblighi del titolare.
2. Valutare l’opportunità di utilizzare un meccanismo di certificazione
approvato per dimostrare la conformità ai requisiti.
3. In caso di violazione, notificarla all’autorità di controllo senza ingiustificato
ritardo (ove possibile, entro 72 ore dalla scoperta) documentando il tutto
4. Designare sistematicamente un Data Protection Officer (DPO) quando
necessario.
5. Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele
organizzative per evitare impatti gravi sulla stabilità dei database aziendali.
12
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
ANALISI
Obiettivo:
↳ Quali dati personali possiede l’Azienda
↳ Come sono trattati
Output:
↳ Lista di processi Aziendali che trattano dati
personali
13
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Registro dei trattamenti – in cosa consiste?
Consiste nel mappare/fotografare lo stato della gestione in
azienda dei dati personali.
Informazioni da raccogliere:
↳ Categorie di dati e di soggetti interessati coinvolti
↳ Finalità del trattamento
↳ Inquadramento giuridico
↳ Rapporti con terze parti
↳ Flussi esteri di dati (eventuali)
↳ Gestione informativa e consenso
↳ Gestione diritti interessati
↳ Tempi di conservazione
↳ Misure di sicurezza
14
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Primi Passi
Prima occorre identificare i principali «uffici» coinvolti nel
trattamento dei dati personali (possibilmente partendo da un
organigramma della società)
Per ogni «ufficio» individuare le principali attività che
trattano dati personali
Per ogni attività definire:
↳ Finalità, categorie di dati e soggetti interessati coinvolti
↳ Flussi esteri di dati e rapporti con terze parti
15
© 2018 NetPrivacy
GDPR & dati personali
Dott. Adelio Luraghi: Privacy
Officer Certified e Consulente
della Privacy | CDP_143 TÜV
ITALIA ISO/IEC 17024:2012
Un esempio pratico
Categorie di soggetti interessati: dipendenti
Categorie di dati: dati anagrafici, dati economici, dati sanitari, ecc.
Finalità del trattamento: gestione rapporto di lavoro
Inquadramento giuridico: obbligo contrattuale
Ruoli data protection azienda: titolare
Rapporti con terze parti: agenzia di collocamento (responsabile del
trattamento), compagnia di assicurazione (resp. tratt.), ecc.
Flussi esteri di dati: Ufficio risorse umane casa madre estera
Gestione informativa e consenso: informativa nel contratto
Gestione diritti interessati: policy aziendale e email di contatto
Tempi di conservazione: come per legge
Misure di sicurezza: tecniche, organizzative, certificati
16
G R A Z I E
per la Vostra partecipazione
Buon Lavoro
NetOrange S.r.l.
Servizi IT – Web – Marketing - Privacy
Webinar 28 Ottobre 2018
Top Related