11

2 dicembre 2016

Hotel NH Padova Via Tommaseo, 61- 35131 Padova PD

In collaborazione con

Il nuovo regolamento Europeo sulla Protezione dei Dati personali

– Impatti aziendali

2ISACA VENICE Chapter

Aspetti introduttivi

3ISACA VENICE Chapter

Come noto, lo scorso 24 maggio 2016, il Regolamento Europeo per laprotezione dei dati personali (Regolamento UE 2016/679) è entratoformalmente in vigore e diverrà pienamente applicabile a decorrere dal25 maggio 2018, secondo quanto previsto dall’art. 99 delle disposizionifinali del medesimo.

Il Regolamento approvato va ad abrogare integralmente la Direttiva95/46/CE, rimasta in vigore per oltre venti anni, e dunque anche tutte leleggi nazionali di recepimento, tra cui il d.lgs. 196/2003 (Codice Privacy).

Aspetti introduttivi

4ISACA VENICE Chapter

Aspetti introduttivi

Nonostante le organizzazioni abbiano a disposizione circa due anniprima della piena applicabilità del Regolamento, è opportunosottolineare che alcune delle novità introdotte, impongono una attentae preventiva pianificazione, potendo comportare modificheorganizzative significative e, in alcuni casi, investimenti di naturatecnologica.

Tali interventi presuppongono quindi attività di valutazione ed analisiper le quali è più che opportuno sfruttare il tempo a disposizione pernon farsi trovare impreparati.

5ISACA VENICE Chapter

Le novità del GDPR

6ISACA VENICE Chapter

Responsabile della protezione dei dati

Registro dei trattamenti

Protezione sin dalla progettazione

Figura indipendente nominata dal titolare e dal responsabile del trattamento.Svolge le seguenti funzioni: informare e consigliare il Titolare o ilResponsabile in merito agli obblighi del Regolamento, verificarnel’applicazione e l’attuazione, fornire pareri, fungere da punto di contattatosia con gli interessati che con il Garante.

Contenente i dati del/dei titolare/i e degli eventuali responsabili, le finalitàdel trattamento, una descrizione delle categorie di interessati e dei datipersonali, i destinatari, gli eventuali trasferimenti verso Paesi terzi ed unadescrizione generale delle misure di sicurezza. Tali documenti devono esseremessi a disposizione del Garante e manutenuti sia dal titolare che daglieventuali responsabili. I registri di cui sono tenuti in forma scritta.

Le misure a protezione di dati devono essere adottate già al momento dellaprogettazione di un prodotto o software.Il titolare del trattamento deve mettere in atto misure tecniche eorganizzative adeguate per garantire in ogni caso che siano trattati solo i datinecessari per ogni specifica finalità.

Responsabilità del titolare

Tenuto conto della natura, dell'ambito di applicazione, del contesto e dellefinalità del trattamento, nonché dei rischi aventi probabilità e gravità diverseper i diritti e le libertà delle persone fisiche, il titolare del trattamento mettein atto misure tecniche e organizzative adeguate per garantire, ed essere ingrado di dimostrare, che il trattamento è effettuato conformemente alpresente regolamento. Dette misure sono riesaminate e aggiornate qualoranecessario.

ACCOUNTABILITY

DPO

PRIVACY BY DESIGN

Eccezione per imprese con meno di 250 dipendenti

7ISACA VENICE Chapter

Responsabilità solidale di

titolare e responsabile

Il Titolare e il Responsabile del trattamento sono responsabili in solido neiconfronti dell’interessato, per un eventuale danno causato dal trattamento.

Violazione di dati Nel caso si verifichino violazioni di dati personali, il Titolare ne deve darecomunicazione all’Autorità di Controllo e, nei casi più gravi, anche agliinteressati (attualmente ciò avviene solo per violazione di dati biometrici).

Sicurezza

viene meno il concetto di misure minime di sicurezza, attualmente previstodalla nostra legislazione. Infatti, nel Regolamento si fa riferimentoesclusivamente a qualunque tipo di misura che possa garantire un adeguatolivello di sicurezza, tenendo conto dei costi di attuazione, della natura, delcampo di applicazione, del contesto, delle finalità del trattamento, oltre chedei rischi esistenti nel caso concreto.

DATA BREACH

Allorché due o più titolari del trattamento determinano congiuntamente lefinalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essideterminano in modo trasparente, mediante un accordo interno, le rispettiveresponsabilità.

Responsabilità dei contitolari

8ISACA VENICE Chapter

Eliminazione dell’obbligo di notifica

Viene eliminato l’obbligo generale di notificare all’autorità di controllo per iltrattamento di dati personali, da sostituire con meccanismi e procedureefficaci che si concentrino piuttosto su quei trattamenti che potenzialmentepresentano un rischio elevato per i diritti e le libertà delle persone fisiche

Valutazione d’impattoSostituisce la notificazione. È la valutazione preliminare degli impatti a cuiandrebbe incontro un processo qualora dovessero essere violate le misure diprotezione dei dati. Necessita di alcune attività come la mappatura dei dati edei trattamenti, la pianificazione degli interventi tecnologici e organizzativi diprotezione dei dati con una valutazione complessiva di riduzione dello stato dirischio

CertificazioniRichiesta volta ad ottenere il riconoscimento della conformità alRegolamento delle operazioni di trattamento dei dati.

Diritto all’oblio

PRIVACY IMPACT ASSESSMENT

Diritto di ottenere la cancellazione dei dati che lo riguardano purché nonsussistano motivi legittimi per conservarli.

Limitazione del trattamento

L’interessato può richiedere la limitazione del trattamento qualora contestil’esattezza dei dati nel periodo necessario al Titolare per verificare lacorrettezza, trattamento illecito, qualora i dati non siano più necessari alTitolare, ma l’interessato debba utilizzarli in sede giudiziaria, l’interessato si èopposto al trattamento in attesa di verifica.

9ISACA VENICE Chapter

L’impatto del GDPR sulle organizzazioni

10ISACA VENICE Chapter

L’accountability come elemento fondamentale

Con il Regolamento UE 2016/679 definito il Legislatore europeo harovesciato la prospettiva della disciplina di riferimento concependoun quadro normativo tutto incentrato sui doveri e laresponsabilizzazione del titolare del trattamento (“accountability”).

Il testo del RGPD si sviluppa essenzialmente su processi, attività,misure tecniche e organizzative, sanzioni e obblighi rivolti a titolare (eresponsabile) del trattamento, mentre la Direttiva 95/46 eraprevalentemente incentrata sui diritti dell’interessato.

11ISACA VENICE Chapter

Il concetto di accountability

trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità,

correttezza e trasparenza»);

raccolti per finalità determinate, esplicite e legittime, e

successivamente trattati in modo che non sia incompatibile con tali

finalità («limitazione della finalità»);

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati

(«minimizzazione dei dati»);

esatti e, se necessario, aggiornati; devono essere adottate tutte le

misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità

per le quali sono trattati («esattezza»);

conservati in una forma che consenta l'identificazione degli

interessati per un arco di tempo non superiore al conseguimento

delle finalità per le quali sono trattati; («limitazione della

conservazione»);

trattati in maniera da garantire un'adeguata sicurezza dei dati

personali, («integrità e riservatezza»).

I DATI PERSONALI DEVONO ESSERE:

Il titolare del trattamento è competente per il rispetto dei suddetti principi e in grado di comprovarlo

(«responsabilizzazione»).

12ISACA VENICE Chapter

Il concetto di accountability

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del

trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle

persone fisiche il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire,

ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al

regolamentoDette misure sono riesaminate e aggiornate

qualora necessario.

Art. 24GDPR

13ISACA VENICE Chapter

Cosa significa per i Titolari del trattamento?

Considerare la data protection

sin dal momento della

progettazione

Attribuire ruoli e responsabilità in materia di data

protection

Prevedere un insieme di

regolamenti e procedure per la

gestione della data protection

Formalizzare la documentazione di adempimento

ai singoli obblighi

normativi

Verificare l’effettiva

applicazione delle misure

adottate

Mantenere aggiornate nel

tempo le regole e quanto

prodotto nel loro rispetto

IL S

ISEM

A D

I GES

TIO

NE

DEL

LA D

ATA

PR

OTE

CTI

ON

AC

CO

UN

TAB

ILITY

Audit Interni

Audit Esterni

DPO

Certificazioni

14ISACA VENICE Chapter

Cosa significa per i Titolari del trattamento?

Il GDPR lascia maggiore discrezionalità ai titolari didecidere, quali soggetti che determinano le finalità ei mezzi del trattamento di dati personali, le modalitàattraverso le quali conformarsi alle sue disposizioni,ma tale maggiore libertà è gravata dall’onere diessere in grado di dimostrare le ragioni che hannoportato a tali decisioni e le motivazioni per cui siritiene che le medesime abbiano consentito diraggiungere la conformità normativa.

Sarà, per esempio, necessario per i titolari essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un “data breach” e di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla “data protection by design”.

15ISACA VENICE Chapter

CONCLUSIONI

Questo cambiamento di prospettivapotrebbe ripercuotersi anche suglistrumenti che i titolari utilizzerannoper rispettare il principio in esame egarantirsi la possibilità di comprovarela conformità al GDPR

E’ possibile presagire che l’attualeprocesso di digitalizzazione delleimprese possa abbracciare ancheaspetti legati alla gestione degliadempimenti connessi alla protezionedei dati, sia nell’otticadell’informatizzazione dei processisottostanti che di documentabilitàdelle scelte effettuate e dei controllieffettuati.

16ISACA VENICE Chapter

Grazie per l’attenzione

andrea.reghelin@p4i.it

+39.3288452911