Novità, cambiamenti e attività da intraprendere COME ... · Novità, cambiamenti e attività da...

Novità, cambiamenti e attività da intraprendere

COME METTERE A NORMA L’AZIENDA IN BASE AL NUOVO

REGOLAMENTO EUROPEO SUI DATI PERSONALI

Webinar 21 Febbraio 2018

© 2018 NetPrivacy

GDPR & dati personali

Dott. Adelio Luraghi: Privacy

Officer Certified e Consulente

della Privacy | CDP_143 TÜV

ITALIA ISO/IEC 17024:2012

Che cos’è il GDPR ?

GDPR è l’acronimo di General Data Protection Regulation

E’ entrato in vigore il 25/05/2016 con un’applicazione differita di due anni al 25/05/2018

Perché era necessaria una nuova normativa?

l’evoluzione tecnologia ha cambiato tutto

un fronte comune europeo sia interno che esterno

oggi i dati sono sicuramente FONTE di nuovi Business : sono il Nuovo “petrolio”

e…..come il petrolio grezzo, i dati per avere un vero valore devono essere raffinati !

Quali sono i punti principali?

Possiamo parlare di normativa 2.0 è cambiato l’approccio fino ad oggi

al centro della normativa Privacy è stata posta la persona,

con la nuova normativa

Il dato acquista un valore in se’ e viene tutelato per ciò che è

Il Nuovo Regolamento trasforma la protezione dei dati personali da puro

strumento giuridico in tema strategico per la nuova economia dei dati.

1

© 2018 NetPrivacy






Che cosa comporta il GDPR per le Aziende?

Tutti trattano dati personali, (clienti, fornitori, dipendenti, prospect)

Finora la Privacy è stata trattata come un adempimento

Con il GDPR cambia tutto: la privacy diventa un processo aziendale

I dati sono il “petrolio dell’era digitale” perché oggi servono a:

1. Creare prodotti innovativi (capendo I bisogni)

2. Formulare offerte mirate ai consumatori, convertendo sconosciuti in clienti

fidelizzati (marketing)

3. Garantire sicurezza e migliorare l’efficienza aziendale (internet delle cose)

4. Controllare, profilare e analizzare (comportamentale)

2

© 2018 NetPrivacy






È solo un problema di approccio il Nuovo GDPR ?

oppure ci sono dei cambiamenti reali e concreti ? di fatto cambia tutto

1. cambia l’informativa che diventa breve, priva di riferimenti normativi, deve essere

comprensibile anche ai minori e contenere nuovi elementi, come l’origine dei dati

e il tempo di conservazione previsto.

2. cambia il consenso al trattamento che cessa di essere necessariamente espresso

e diventa un consenso inequivocabile e quindi desumibile in base ai

comportamenti degli interessati.

3. viene introdotta la figura del Data Privacy Officer

(il responsabile per la protezione dei dati personali)

4. sparisce l’obbligo di notificazione al Garante e si introduce il Registro dei

Trattamenti

5. sparisce il DPS e nasce il Documento di valutazione di impatto del trattamento dei

dati.

6. vengono introdotti nuovi diritti, come quello alla portabilità dei dati,

7. diventa essenziale progettare la tutela dei dati personali e documentare

l’attenzione verso l’analisi dei rischi connessi al trattamento dei dati personali.

3

© 2018 NetPrivacy






Un nuovo modello organizzativo

Con il nuovo regolamento, il titolare ha un ruolo più proattivo e soprattutto obblighi

più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche

all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la

conformità effettiva dei trattamenti, anche sotto il profilo della sicurezza.

La vecchia normativa (DLgs 196/2003) si basava sui diritti dell’interessato,

La nuova normativa è incentrata sui doveri e sulla responsabilizzazione

(accountability) del titolare del trattamento.

La vecchia normative (DLgs 196/2003) indicava ai titolari del trattamento un

elenco di misure minime di sicurezza da adottare, senza le quali erano previste

sanzioni.

La nuova normativa sposta la scelta e la responsabilità su quali misure tecniche

ed organizzative sia opportune adottare, direttamente sul titolare del trattamento

insomma……..

chi tratta dati DEVE

predisporre dei processi di valutazione di impatto del trattamento dei dati personali

4

© 2018 NetPrivacy






Come cambia l’informativa

L’informativa diventa finalmente uno strumento di informazione, cessando di essere

un adempimento.

Il titolare deve fornire all’interessato tutte le informazioni relative al trattamento in

forma concisa, trasparente, intelligibile e facilmente accessibile, con un

linguaggio semplice, chiaro e senza riferimenti normativi

Come raccogliere il consenso al trattamento

Fino ad oggi il consenso era FORMALE ( consenso espresso)

adesso diventa NON EQUIVOCO

Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è

quello reso quando, visualizzando un banner che ci informa che il sito che stiamo

visitando utilizza cookies, continuiamo a navigare …..

di fatto accettando l’uso dei cookies.

5

© 2018 NetPrivacy






Un esempio di check list per verificare la completezza di una

informativa. SI NO

L’identità e i dati di contatto del titolare del trattamento (o del suo rappresentante)

I dati di contatto del responsabile della protezione dei dati, (DPO se previsto)

Le finalità del trattamento cui sono destinati i dati personali

Se il trattamento è necessario per il perseguimento del legittimo interesse (P.A.) del

titolare o di terzi,

Gli eventuali destinatari/ categorie di destinatari dei dati personali

Eventuale

- trasferimento dei dati personali a un paese terzo o ad altra organizzazione

- profilazione

- diffusione

Il periodo di conservazione dei dati personali

L’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso

ai dati personali / la rettifica /la cancellazione /la limitazione / di opporsi /diritto alla

portabilità dei dati

L’esistenza del diritto di revocare il consenso in qualsiasi momento senza

pregiudicare la liceità del trattamento basata sul consenso prestato prima della

revoca

Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un

requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo

di fornire i dati personali nonché le possibili conseguenze della mancata

comunicazione di tali dati

6

© 2018 NetPrivacy






L’analisi del rischio: cos’è e come si crea

Per anni siamo stati abituati a gestire un adempimento formale denominato

Documento Programmatico sulla Sicurezza (DPS),

Il nuovo regolamento europeo propone un nuovo strumento:

il Data Protection Impact Assessment (DPIA)

ovvero il Documento di Valutazione di Impatto del Trattamento dei Dati

(rif. Slide 5)

Questo processo prevede tre distinte fasi da svolgersi periodicamente con

cadenza almeno annuale:

1. Analisi dei rischi

2. Definizione della lista delle criticità

3. Definizione del programma di intervento

Come cambiano i rapporti con il Garante

Fino ad a oggi, chi effettuava alcune tipologie di trattamenti (ad esempio

geolocalizzazione, ricerca genetica, profilazione ) era tenuto a effettuare un

adempimento preventivo: la notificazione al Garante per la protezione dei dati

personali.

Con il GDPR dal 2018 cambia tutto:

viene abolito l’obbligo di Notificazione di specifici trattamenti all’Autorità

7

© 2018 NetPrivacy






Il Data Privacy Officer (DPO)

Privacy by design e Privacy by default

Violazione dei dati :

quando avviene e cosa fare

Portabilità, oblio

8

© 2018 NetPrivacy






Cosa fare per arrivare pronti al GDPR

Rispetto alle norme vigenti in Italia, i campi di maggiore

rilevanza introdotti dal GDPR sono:

Obbligo di definire i tempi di conservazione dei dati

Obbligo di indicare la provenienza dei dati in caso di utilizzo

Obbligo di predisporre il Documento di Valutazione di

Impatto del Trattamento dei Dati

Obbligo di gestire la responsabilizzazione (accountability)

(prevalentemente mediante il Data Privacy Officer)

Obbligo di comunicare tempestivamente al Garante violazioni dei

propri database

9

© 2018 NetPrivacy






Cosa deve fare l’Azienda,

in pratica,

per adeguarsi alle novità?

1. Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.

2. Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti

3. Attribuire correttamente i ruoli

4. Tenere un registro delle attività di trattamento svolte..

5. Adottare misure appropriate per fornire l’informativa all’interessato:

Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole

Definire le nuove regole di acquisizione e documentazione del consenso

Verificare se si trattano dati di minori in grado di dimostrare che l’interessato ha concesso il proprio benestare.

10

© 2018 NetPrivacy






Cosa deve fare l’Azienda,

in pratica,

per adeguarsi alle novità? 7. Mettere in atto misure organizzative per garantire che siano trattati solo i dati

necessari alle specifiche finalità del trattamento.

8. Garantire la conformità al Regolamento.

9. Per essere esonerata dalla responsabilità, essere in grado di dimostrare che

l’evento dannoso non gli è in alcun modo imputabile.

11

Tutte queste attività devono essere oggetto di verifica

periodica, da documentare con cadenza almeno annuale.

© 2018 NetPrivacy






Ulteriori PASSI DA INTRAPRENDERE In funzione della tipologia di dati che vengono trattati ed anche in funzione della

tipologia di azienda si potrebbero/dovrebbero tenere in considerazione anche i

seguenti punti :

1. Aderire ai codici di condotta o a un meccanismo di certificazione per

dimostrare il rispetto degli obblighi del titolare.

2. Valutare l’opportunità di utilizzare un meccanismo di certificazione

approvato per dimostrare la conformità ai requisiti.

3. In caso di violazione, notificarla all’autorità di controllo senza ingiustificato

ritardo (ove possibile, entro 72 ore dalla scoperta) documentando il tutto

4. Designare sistematicamente un Data Protection Officer (DPO) quando

necessario.

5. Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele

organizzative per evitare impatti gravi sulla stabilità dei database aziendali.

12

© 2018 NetPrivacy






ANALISI

Obiettivo:

↳ Quali dati personali possiede l’Azienda

↳ Come sono trattati

Output:

↳ Lista di processi Aziendali che trattano dati

personali

13

© 2018 NetPrivacy






Registro dei trattamenti – in cosa consiste?

Consiste nel mappare/fotografare lo stato della gestione in

azienda dei dati personali.

Informazioni da raccogliere:

↳ Categorie di dati e di soggetti interessati coinvolti

↳ Finalità del trattamento

↳ Inquadramento giuridico

↳ Rapporti con terze parti

↳ Flussi esteri di dati (eventuali)

↳ Gestione informativa e consenso

↳ Gestione diritti interessati

↳ Tempi di conservazione

↳ Misure di sicurezza

14

© 2018 NetPrivacy






Primi Passi

Prima occorre identificare i principali «uffici» coinvolti nel

trattamento dei dati personali (possibilmente partendo da un

organigramma della società)

Per ogni «ufficio» individuare le principali attività che

trattano dati personali

Per ogni attività definire:

↳ Finalità, categorie di dati e soggetti interessati coinvolti

↳ Flussi esteri di dati e rapporti con terze parti

15

© 2018 NetPrivacy






Un esempio pratico

Categorie di soggetti interessati: dipendenti

Categorie di dati: dati anagrafici, dati economici, dati sanitari, ecc.

Finalità del trattamento: gestione rapporto di lavoro

Inquadramento giuridico: obbligo contrattuale

Ruoli data protection azienda: titolare

Rapporti con terze parti: agenzia di collocamento (responsabile del

trattamento), compagnia di assicurazione (resp. tratt.), ecc.

Flussi esteri di dati: Ufficio risorse umane casa madre estera

Gestione informativa e consenso: informativa nel contratto

Gestione diritti interessati: policy aziendale e email di contatto

Tempi di conservazione: come per legge

Misure di sicurezza: tecniche, organizzative, certificati

16

G R A Z I E

per la Vostra partecipazione

Buon Lavoro

NetOrange S.r.l.

Servizi IT – Web – Marketing - Privacy

Webinar 28 Ottobre 2018

Novità, cambiamenti e attività da intraprendere COME ... · Novità, cambiamenti e attività da...

Documents

Transcript of Novità, cambiamenti e attività da intraprendere COME ... · Novità, cambiamenti e attività da...