Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr ... · Sinergia Srl Avv. Francesco...

Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna

La Privacy è un diritto tutelato nel sistema Civile e Penale .


Time Line Normativa


Direttiva Europea N°95/46/CE

Legge 675/96 Privacy

D.Lgs 196/2003 Codice della Privacy

Regolamento EU 679/2016 GDPR

EVOLUZIONE DEL CONCETTO DI «PRIVACY»


Dal diritto ad «essere lasciatisoli nella propria sfera privata»(definizione tradizionale diWarren e Brandies)……al«diritto di sapere comevengono trattati i propri datipersonali».

Alla definizione incentrata suuna dimensione meramentepersonale se ne affianca unache comprende anche ladimensione economica ecommerciale derivante dallosfruttamento del dato.

GDPR 679/2016 I nuovi Imperativi


Il Regolamento costituisce la normativaprimaria in materia di protezione dati. IlGDPR è valido in tutti i paesi membridell’Unione Europea.

Non si rendono necessarie perl'applicabilità del GDRP leggi nazionali direcepimento come avviene per le direttiveeuropee.

Il decreto legislativo n. 101/2018 dimodifica del Codice Privacy opera unadeguamento ed un coordinamento dellanormativa italiana a quella europea cheresta la legislazione di riferimento.

1) Tratta meno dati che puoi (minimizzazione)

2) Distribuisci le responsabilità e documenta i trattamenti (accountability)

3) Favorisci l’anonimizzazione e la pseudonimizzazione.

4) Adotta regole organizzative

5) Crea meccanismi di tracciabilità dei dati

Il Regolamento Generale sulla protezione dei Dati

Adeguare la normativa alcontesto tecnologicoattuale, con riferimento airischi legati alla reteinformatica ed allacircolazione dei dati chequesta ha scatenato.

Unificarela normativa in

tutta l’UE

Fortificare i diritti dellepersone: • Garantire che i datipersonali siano raccolti e gestitisolo nei casi e negli ambitidavvero necessari;• Garantire che i dati sianosempre protetti con adeguatisistemi di sicurezza.


Obiettivi del GDPR

La Nuova «Privacy» in sintesi


Nuove Garanzie per i cittadini di tutta Europa.

Si definiscono i limiti ad ogni trattamento automatizzato dei dati personali

Introduzione di nuovi criteri per il trasferimento dei dati e per i casi di data breach

Nuove regole, più chiare inmateria di informativa econsenso.

Dato Informazione


Singola unità informativa codificata o meno

Definizioni Termini e significati

Insieme di dati correlati tra di loro

CHE COS’È?


Qualsiasi informazione riguardante una persona fisica identificata o identificabile con particolare riferimento a un identificativo come:

il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online uno o più elementi caratteristici della sua identità

fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

DATO PERSONALE

- nome e cognome

- indirizzo di casa

- indirizzo email

- numero identificativo nazionale

- numero di passaporto

- indirizzo IP (quando collegato ad altri dati)

- numero di targa del veicolo

- numero di patente

- volto, impronte digitali o calligrafia

- numeri di carta di credito

- identità digitale

- data di nascita

- luogo di nascita

- informazioni genetiche

- numero di telefono

- account name o nickname.

Dati identificativi

Le informazioni di identificazione personale (PII, Personally

identifiable information) sono dati che consentono l'identificazione

diretta dell'interessato. Secondo la definizione utilizzata

dall'Istituto nazionale degli standard e della tecnologia (NIST)

DATI PARTICOLARICaratteristici della personalità, inclinazioni


Sono i dati personali idonei a rivelare

l'origine razziale ed etnica,

le convinzioni religiose,

filosofiche o di altro genere,

le opinioni politiche,

l'adesione a partiti,

Sindacati

Associazioni od organizzazioni a caratterereligioso,

filosofico, politico o sindacale,

nonché i dati personali idonei a rivelare lo statodi salute e la vita sessuale;

Genetici, biometrici, condanne

art. 4

INTERESSATI Proprietari dei dati


le persone fisiche cui siriferiscono i dati personalioggetto del trattamento;

art. 4: definizioni

DATI GIUDIZIARI TRATTAMENTO


Che riguardano la sfera giudiziaria personale.

Definizioni

Qualsiasi operazione di :

Raccolta

Registrazione

Organizzazione

Strutturazione

Conservazione

adattamento o la modifica,

l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione

TITOLARE DEL

TRATTAMENTO

RESPONSABILE DEL

TRATTAMENTO


Chi determina le finalità e i mezzi del trattamento di dati personali (utilizzatore del dato)

Definizioni

Chi tratta dati personali per conto del titolare del trattamento

AUTORIZZATO AL

TRATTAMENTODESTINATARIO


Il soggetto autorizzato a trattare i dati personali sotto l’autorità diretta del titolare o del responsabile del trattamento

Definizioni

Chi riceve comunicazione di dati personali

Che ruolo ricopre l’installatore di un impianto di videosorveglianza?

L’installatore è allo stesso tempo:1. Titolare del trattamento,

nell’esecuzione dell’incarico;

2. Responsabile del trattamento,quando ha accesso alle immaginicontenute nel database/server o alsistema del cliente (ad esempio perimpostare i termini di cancellazionedelle immagini);

3. Amministratore di sistema (seamministra la rete, gli apparati disicurezza, generazioni dellecredenziali).

Nel secondo caso, deve essereobbligatoriamente nominato con uncontratto.


IL CONTENUTO SPECIFICO DELLA NOMINA A

RESPONSABILE

IL CONTRATTO DEVE

PREVEDERE CHE IL

RESPONSABILE DEL

TRATTAMENTO:

TRATTI I DATI

PERSONALI SOLTANTO

SU ISTRUZIONE

DOCUMENTATA DEL

TITOLARE

GARANTISCA CHE LE

PERSONE AUTORIZZATE

AL TRATTAMENTO

ABBIANO SOTTOSCRITTO

UN OBBLIGO DI

RISERVATEZZA

ADOTTI LE MISURE DI

SICUREZZA PREVISTE

DALL’ART. 32 GDPR

ASSISTA IL TITOLARE NEL

GARANTIRE IL RISPETTO

DEGLI OBBLIGHI DI

SICUREZZA, DPIA E DATA

BREACH

RISPETTI LE CONDIZIONI

PREVISTE DAL

REGOLAMENTO PER IL

RICORSO AI

SUBRESPONSABILI

ASSISTA IL TITOLARE PER

PERMETTERE AGLI

INTERESSATI L’ESERCIZIO

DEI LORO DIRITTI

SU SCELTA DEL

TITOLARE, CANCELLI O

RESTITUISCA I DATI

TRATTATI PER SUO

CONTO AL TERMINE

DELL’INCARICO

CONTRIBUISCA ALLE

ATTIVITÀ DI VERIFICA DEL

TITOLARE, COMPRESE LE

ISPEZIONI, REALIZZATE

DAL TITOLARE STESSO O

DA SUO INCARICATO

Liceità, correttezza e

trasparenzaLimitazione della finalità


Il titolare deve trattare i dati nelrispetto delle norme di legge fornendoagli interessati informazioni utili,chiare e comprensibili sul trattamentosvolto

Principi art. 5

I dati raccolti devono essere trattatisecondo finalità esplicite, e legittimeche il titolare ha esposto all’interessato

Minimizzazione dei dati Principio di esattezza


Trattare soltanto i dati necessari alperseguimento delle finalità

Principi art. 5

I dati devono essere trattati in modo da

garantire la loro accuratezza, il loro

aggiornamento ed il diritto di rettifica

dell’interessato

Limitazione della conservazione


I dati devono essere conservati in una forma che consenta l’identificazione degli

interessati per il tempo necessario al conseguimento delle finalità per le quali sono

trattati

Principi art 5

Integrità e riservatezza


• Il trattamento deve garantire un’adeguata sicurezza dei dati personali datrattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da dannoaccidentali

Principi art 5

LOGICA DELLA “SCATOLA NERA”


Il titolare deve essere in grado di:

1) adottare le misure tecnico-organizzativeadeguate a garantire il rispetto del GDPR;

2) dimostrare documentalmente le ragioni delleproprie scelte di adeguamento al GDPR;

3) e di adeguare costantemente le misure inrelazione allecircostanze esterne che possono incidere suitrattamenti e sui diritti degli interessati

Accountability o Responsabilizzazione art. 24

Da una concezione statica ad una

dinamica di adeguamento.

(aggiornamento costante) → differenza con

la precedente versione del codice privacy.

L E G I T T I M A Z I O N E D E L T R A T T A M E N T O

Ma quali sono le basi Giuridiche per fare un Trattamento

www.sinergia360.it

DATI «COMUNI»: ART. 6 GDPR


• Consenso, espresso per una o più specifiche finalità (lett. a);

• esecuzione di un contratto o di misure precontrattuali (lett. b);

• adempimento di un obbligo di legge cui è soggetto il titolare (lett. c);

• necessità di salvaguardare gli interessi vitali dell’interessato o di altra persona fisica(lett. d);

• esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblicipoteri di cui è investito il titolare del trattamento (lett. e);

• legittimo interesse del titolare, a condizione che non prevalgano i dirittidell’interessato (lett. f).

DATI «PARTICOLARI»: art. 9 GDPR


• Esplicito consenso dell’interessato, prestato per una o più finalità specifiche(lett. a);

• Assolvimento degli obblighi ed esercizio dei diritti previsti in materia di dirittodel lavoro, sicurezza e protezione sociale (lett. b);

• Trattamento necessario per la tutela di un interesse vitale dell’interessato(lett. c);

• Trattamento effettuato, nell’ambito delle sue legittime attività e con adeguategaranzie, da una fondazione, associazione o altro organismo senza scopo dilucro che persegua finalità politiche, filosofiche, religiose o sindacali,(lett. d);

…DATI «PARTICOLARI»: art. 9 GDPR…


• Trattamento riguardante dati personali resi manifestamente pubblici

dall’interessato (lett. e);

• Trattamento necessario per accertare, esercitare o difendere un diritto in sede

giudiziaria (lett. f);

• Trattamento necessario per motivi di interesse pubblico (lett. g);

• Trattamento necessario per finalità di medicina preventiva o di medicina del lavoro,

(lett. h). Precisazione: i dati possono essere trattati solo dal professionista

soggetto al segreto professionale;

• Trattamento necessario per motivi di interesse pubblico nel settore della sanità

pubblica (lett. i): in questo caso il trattamento è legittimo solo se prevede misure

appropriate e specifiche per proteggere i diritti fondamentali e gli interessi

dell’interessato;

• Trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca

scientifica o storica o a fini statistici (lett. j).

ART. 25: Privacy by design

Si tratta dell’esplicitazione del principio dell’incorporazione della privacy fin

dalla progettazione del processo aziendale e degli applicativi informatici di

supporto.

I Titolari del trattamento dovranno, pertanto, prevedere meccanismi di

protezione dei dati fin dalla progettazione delle attività e per l'intera gestione

del ciclo di vita dei dati - dalla raccolta alla cancellazione - incentrandosi

sistematicamente sulle garanzie procedurali in merito all'esattezza, alla

riservatezza, all'integrità, alla sicurezza fisica ed alla cancellazione dei dati.


I 7 FONDAMENTI DELLA PRIVACY BY DESIGN

Sinergia Srl Avv. Francesco Giunti , Ing Marco

Cecchi , Dr. Massimiliano La Bruna

1- comportamento proattivo, non reattivo;

2- privacy come impostazione di default;

3- privacy parte della progettazione per ogni trattamento;

4- massima funzionalità;

5- sicurezza fino alla fine;

6- visibilità e trasparenza;

7- rispetto della privacy dell’utente.

SINTETIZZANDO


• RIDURRE RISCHI E QUANTITA’ DI DATI TRATTATI;

• EVOLUZIONE DELLA DATA PROTECTION: DA

REQUISITO DI LEGGE A FULCRO DEI PROCESSI;

• LA DATA PROTECTION NON È PIÙ L’ULTIMO STEP DI

QUALUNQUE PROCESSO, MA IL PRIMO.

ESEMPIO DI APPLICAZIONE DEL PRINCIPIO NELL’INSTALLAZIONE

DI UN SISTEMA DI VIDEOSORVEGLIANZA


IN FASE PROGETTUALE, A SEGUITO DI UNA VALUTAZIONE

PRELIMINARE SI RILEVA LA PRESENZA DI UN EDIFICIO -

DESTINATO AD USO RESIDENZIALE -CHE SAREBBE

INQUADRATO DA UNA DELLE TELECAMERE

PER COPRIRE TUTTE LE AREE DA SORVEGLIARE NON E’

POSSIBILE ORIENTARE LA CAMERA IN MODO DIVERSO

VIENE PREDISPOSTO QUINDI UN SISTEMA SOFTWARE DI

OSCURAMENTO «LIVE» DELLE AREE A TUTELA DELLA VITA

QUOTIDIANA DEI RESIDENTI POTENZIALMENTE

INQUADRABILI

Privacy by default


IL TITOLARE DEL TRATTAMENTO METTE IN ATTO MISURE TECNICHE E

ORGANIZZATIVE ADEGUATE PER GARANTIRE CHE SIANO TRATTATI

PER IMPOSTAZIONE PREDEFINITA

SOLO I DATI PERSONALI NECESSARI PER OGNI FINALITÀ, CON RIFERIMENTO A

PRECISI PARAMETRI

QUANTITÀ DI DATI RACCOLTI

PORTATA DEL TRATTAMENTO

PERIODO DI CONSERVAZIONE

ACCESSIBILITÀ

DETTE MISURE GARANTISCONO CHE, PER IMPOSTAZIONE PREDEFINITA, NON SONO

RESI ACCESSIBILI DATI PERSONALI A UN NUMERO INDEFINITO DI PERSONE FISICHE.

ESEMPI DI APPLICAZIONE DEL PRINCIPIO


• CONFIGURAZIONE DI STRUMENTI DI LAVORO PER I DIPENDENTI

IN MODO DA TRACCIARE LO STRETTO NECESSARIO;

• CONFIGURAZIONE DEI SERVIZI ONLINE SUL LIVELLO DI PRIVACY

PIÙ RESTRITTIVO;

• DEFINIZIONE MOLTO RIGOROSA DEI PROFILI DI

AUTORIZZAZIONE.

Registro di trattamento del titolare

L’art. 30 del GDPR impone a ciascun Titolare la tenuta in modalità

telematica non modificabile (ai fini della opponibilità a terzi) o in

cartaceo di un registro delle attività di trattamento che indichi quanto

previsto dal par.1.


CONTENUTO DEL REGISTRO DEL TITOLARE (art. 30 I° par.)

• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del

trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati

(anagrafica);

• le finalità del trattamento;

• una descrizione delle categorie di interessati e delle categorie di dati personali;

• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari

di Paesi terzi od organizzazioni internazionali;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione

internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i

trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

• laddove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

• laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui

all’articolo 32, paragrafo 1.


Registro di trattamento del

responsabile

Il par. 2 dell’art. 30 del GDPR stabilisce che anche i responsabili debbono tenere un registro simile in relazione

alle attività svolte per conto di un titolare del trattamento.

CONTENUTO

• il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento

per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o

del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale,

compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al

secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo

32, paragrafo 1.


Art. 30 - Obbligatorietà del Registro di

trattamento

È obbligatoria la loro tenuta quando (art. 30 par. 5):

• l’impresa ha più di 250 dipendenti;

• il trattamento presenta un rischio per i diritti e le libertà

dell’interessato, il trattamento non è occasionale o include categorie

particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali

relativi a condanne penali e a reati di cui all’articolo 10 .”


...Art. 30 - Obbligatorietà del Registro di trattamento…


Schematizzando, la tenuta del registro è obbligatoria quando:

- il trattamento presenta un rischio per i diritti e le libertà dell’interessato;

- il trattamento non è occasionale;

- il trattamento include categorie particolari di dati o i dati personali relativi a condanne

penali e a reati.

Quale registro deve tenere l’installatore?

Come detto, rivestendo il duplice ruolo di titolare e responsabile deve tenere entrambi i registri.

N.B.: il responsabile deve mettere a disposizione del titolare (cliente) il registro.

L’opposizione non è legittima!!!

Contenuto dell’informativa (art. 13 e 14 GDPR)


Il titolare deve fornire all’interessato in maniera comprensibile ed accessibile

tutte le informazioni relative al trattamento dei suoi dati (contenuto minimo):

1. tipo di dati trattati

2. basi giuridiche

3. finalità

4. eventuali destinatari

5. periodi di conservazione

6. dati di contatto di titolare e responsabili

7. se trasferimento dei dati all’estero

8. diritti che il GDPR riconosce all’interessato (ad esempio accesso, rettifica,

cancellazione, revoca del consenso, reclamo all’autorità)

9. se la comunicazione dei dati è obbligatoria

10. esistenza di un processo di profilazione.

...Cambiano le modalità di rilascio del consenso

Si aprono spazi maggiori per la raccolta di un consenso manifestato

attraverso i comportamenti positivi dell’interessato.

Sono in ogni caso illegittimi i consensi raccolti con caselle

prebarrate.


Valutazione d’impatto sulla protezione dei dati

(art. 35 GDPR)

È una procedura finalizzata a descrivere l’impatto che un trattamento

può avere sui diritti e le libertà delle persone fisiche in relazione ai

rischi.

I Titolari dovranno effettuare una Valutazione degli impatti

privacy (Data Protection Impact Assessment – DPIA) fin dal

momento della progettazione del processo aziendale e degli

applicativi informatici di supporto, nei casi in cui il trattamento alla

base degli stessi, per sua natura, oggetto o finalità, presenti

rischi specifici per i diritti e le libertà degli interessati.


La DPIA andrà realizzata, dunque, per trattamenti potenzialmente

rischiosi. La video sorveglianza può essere un trattamento rischioso?

Occorrerà, preliminarmente:

1.Condurre l’analisi dei rischi

2.Definire i Gap rispetto alla corretta gestione dei rischi

3.Stabilire un Action Plan per colmare questi Gap

4.Controllare annualmente gli interventi effettuati per ridurre i

rischi


Casi di obbligatorietà:

• valutazione sistematica e globale di aspetti personali relativi apersone fisiche, basata su un trattamento automatizzato, compresa laprofilazione, e sulla quale si fondano decisioni che hanno effettigiuridici o incidono in modo analogo e significativo su dette personefisiche;

• il trattamento, su larga scala, di categorie particolari di dati personalidi cui all’articolo 9, paragrafo 1 o di dati relativi a condanne penali oreati di cui all’art. 10;

• la sorveglianza sistematica su larga scala di una zonaaccessibile al pubblico

• il Garante può redigere un elenco di trattamenti che ritiene o nonritiene soggetti a DPIA.


ELENCO DEI TRATTAMENTI OBBLIGATORIAMENTE SOGGETTI ALLA DPIA A

SEGUITO DEL PROVVEDIMENTO DEL GPDP DELL’11 OTTOBRE 2018


1.Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che

comportano la profilazione degli interessati nonché lo svolgimento di attività

predittive effettuate anche on-line o attraverso app, relativi ad “aspetti

riguardanti il rendimento professionale, la situazione economica, la salute, le

preferenze o gli interessi personali, l'affidabilità o il comportamento,

l'ubicazione o gli spostamenti dell'interessato”.

2.Trattamenti automatizzati finalizzati ad assumere decisioni che producono

“effetti giuridici” oppure che incidono “in modo analogo significativamente”

sull’interessato, comprese le decisioni che impediscono di esercitare un diritto

o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un

contratto in essere (ad es. screening dei clienti di una banca attraverso

l’utilizzo di dati registrati in una centrale rischi).

3.Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il

monitoraggio o il controllo degli interessati, compresa la raccolta di dati

attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di

identificativi univoci in grado di identificare gli utenti di servizi della società

dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini

d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione

anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc.

effettuati non soltanto per profilazione, ma più in generale per ragioni

organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti,

offerta di servizi antifrode, antispam, sicurezza etc.

4.Trattamenti su larga scala di dati aventi carattere estremamente personale: si

fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati

relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza),

o che incidono sull’esercizio di un diritto fondamentale (quali i dati

sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la

cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato

(quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in

materia di pagamenti).


5.Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi

tecnologici (anche con riguardo ai sistemi di videosorveglianza e di

geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a

distanza dell’attività dei dipendenti.

6.Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori,

disabili, anziani, infermi di mente, pazienti, richiedenti asilo).

7.Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con

particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza

artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e

testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di

prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un

altro dei criteri individuati nel WP 248, rev. 01.


Trattamenti nell'ambito del raporto di lavoro

8.Trattamenti che comportano lo scambio tra diversi titolari di dati su larga

scala con modalità telematiche.

9.Trattamenti di dati personali effettuati mediante interconnessione,

combinazione o raffronto di informazioni, compresi i trattamenti che

prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento

(es. mobile payment).

10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati

relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati

personali raccolti per finalità diverse.


11. Trattamenti sistematici di dati biometrici, tenendo conto, in

particolare, del volume dei dati, della durata, ovvero della persistenza,

dell’attività di trattamento.

12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del

volume dei dati, della durata, ovvero della persistenza, dell’attività di

trattamento.


Concetto di «larga scala»

- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

- la durata, ovvero la persistenza, dell'attività di trattamento;

- la portata geografica dell'attività di trattamento.

Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La

Bruna

Funzione della DPIA

È una misura importante in termini di responsabilizzazione

(accountability) del titolare, perché ha la funzione di attestare

l’adozione di tutte le misure idonee a proteggere i dati personali ed i

diritti dell’interessato, in pratica la conformità del trattamento al GDPR.

Contenuto

• descrizione dei trattamenti e delle finalità;

• valutazione della necessità e proporzionalità del trattamento

rispetto alle finalità;

• valutazione dei rischi per i diritti e le libertà degli interessati;

• misure previste per affrontare i rischi.

Consultazione preventiva al Garante

Esempio: raccolta dei rifiuti speciali (contenitore con tappo arancione).



I criteri indicativi indicati dai Garanti Europei (WP29) per valutare la rischiosità di un

trattamento

1. Assegnazione di punteggio derivante da profilazione o previsione(test genetici sull’aspettativa di vita o sulle malattie genetiche)

2. Processo decisionale automatizzato avente effetti giuridici (softwareche «decide» se intervenire o no su un paziente: cieca fiducia neglialgoritmi)

3. Monitoraggio sistematico (istituti di ricerca; dispositivi dimonitoraggio della frequenza cardiaca)

4. Dati sensibili o estremamente personali5. Trattamento su larga scala6. Interpolazione dati o estrazione informazione nascosta7. Interessi vulnerabili (situazioni in cui vi è uno squilibrio di posizione

tra titolare ed interessati: anziani, malati, dipendenti…)8. Nuove tecnologie9. Trattamento che determina l’esclusione o impedisce di esercitare un

diritto.

ESEMPI DI TRATTAMENTO CRITERI PERTINENTI DPIA NECESSARIA?

Trattamento di dati personali sensibili da parte di un singolo medico

_______________________

Ospedale che tratta i dati sanitari dei propri pazienti

_______________________

Azienda che conserva dati personali sanitari cifrati di interessati vulnerabili coinvolti in progetti di ricerca o sperimentazioni cliniche

_______________________

1. Assegnazione dipunteggio derivante daprofilazione o previsione

2. Processo decisionaleautomatizzato aventeeffetti giuridici

3. Monitoraggio sistematico4. Dati sensibili o

estremamente personali5. Trattamento su larga

scala6. Interpolazione dati o

estrazione informazionenascosta

7. Interessi vulnerabili8. Nuove tecnologie9. Trattamento che

determina l’esclusione oimpedisce di esercitareun diritto.

4 – 7 (ma vd. considerando91 sul concetto di larga scala)

_______________________

4 – 5 – 7

_______________________

4 – 5 – 9

_______________________

USARE I 9 CRITERI - ESEMPI


Il responsabile della protezione dati (data

protection officer o DPO)

Il Regolamento introduce la figura del “Responsabile per la protezione dei

dati” o Data Privacy Officer (DPO). Non è un semplice responsabile del

trattamento, è il manager del trattamento dei dati.


...IL DPO…

Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La

Bruna

Chi è?

Il DPO è la figura di riferimento per tutto ciò che attiene alla privacy, sia

all'interno dell'organizzazione che all’esterno di essa per la gestione dei

rapporti con le Autorità di controllo e con gli interessati (ruolo consulenziale).

Caratteristiche:

• autonomia dal titolare o dal responsabile (no istruzioni);

• competenza e professionalità;

• assenza di conflitto di interessi;

• mandato revocabile (quadriennale?).

...IL DPO

Compiti

- deve garantire l’osservanza al GDPR all’interno del contesto in cui opera;

- deve essere coinvolto in tutte le decisioni che riguardano i dati personali trattati e, più in generale, la privacy;

- deve essere il punto di contatto con il Garante.

Obbligatorietà della nomina quando:

- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;

- le attività principali del titolare del trattamento o del responsabile deltrattamento consistono in trattamenti che, per loro natura, ambito diapplicazione e/o finalità, richiedono il monitoraggio regolare e sistematicodegli interessati su larga scala;

- attività principale consiste nel trattamento, su larga scala, di categorieparticolari di dati personali di cui all'articolo 9 o di dati relativi a condannepenali e a reati di cui all’articolo 10.


Le misure di sicurezza (art. 32 GDPR)


PRINCIPI E GARANZIE



Sicurezza dei dati significa:

• Riservatezza (l’accesso ai dati è consentito solo ai

soggetti legittimati;

• Integrità (prevenzione contro la perdita o la

manipolazione dei dati)

• Disponibilità (accessibilità ai dati quando è richiesto e

con continuità)

• Autenticità (attendibilità della fonte dei dati)

POTENZIALI CRITICITÀ SULLA SICUREZZA DEI

DATI


•comportamenti errati

•organizzazione carente

• logistica inadatta

•errori del software

•vulnerabilità hw e sw

Le diverse tipologie delle misure di sicurezza


• misure di tipo organizzativo (es. designazione dei

responsabili e incaricati, formazione, linee guida, .

ingressi controllati dei locali di custodia degli archivi e

dei server);

• misure di tipo tecnico(es. sistema di autenticazione e

di autorizzazione, antivirus, firewall, cifratura dei dati).

Sicurezza del trattamento


Il titolare e il responsabile del trattamento, tenuto conto

dello stato dell’arte e

dei costi d’attuazione

della natura,

dell’oggetto, del

contesto e delle finalità

perseguite con il

trattamento

dei rischi di varia

probabilità e gravità

per i diritti e le libertà

delle persone fisiche

mettono in atto misure tecniche e organizzative adeguate per garantire un

livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se

del caso:

• la pseudonimizzazione e la cifratura dei dati personali;

• la capacità di assicurare su base permanente la riservatezza, l’integrità, la

disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati

personali in caso di incidente fisico o tecnico;

• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure

tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La violazione (Data Breach) – ART. 33 E 34

GDPR

DEFINIZIONE EX ART. 4 GDPR

Con la nozione di violazione dei dati personali (c.d. “personal data

breaches”), si intende: la distruzione, la perdita, la modifica, la rivelazione

non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali

trasmessi, memorizzati o comunque elaborati.


• In caso di data breach il titolare deve:

- notificare la violazione, ove possibile, entro 72 ore dalla stessa

- o comunque senza ingiustificato ritardo all’autorità competente dalmomento della scoperta (Garante Privacy);

- documentare ogni violazione di dati personali, le conseguenze ed iprovvedimenti adottati per rimediare.

• È obbligatorio comunicare la violazione all’interessato quando questapuò presentare un rischio elevato per i suoi diritti e libertà.

• Non scatta l’obbligo della notifica quando la violazione dei datipersonali non pregiudica in alcun modo i diritti e le libertà degliinteressati (ad esempio perché sono state prese adeguate misure disicurezza).


I rischi per i diritti e le libertà degli interessati possono essere

considerati “elevati” quando la violazione può, a titolo di esempio:

coinvolgere un rilevante quantitativo di dati personali e/o di soggetti

interessati;

riguardare categorie particolari di dati personali;

comprendere dati che possono accrescere ulteriormente i potenziali

rischi (es. dati di localizzazione, finanziari, relativi alle abitudini e

preferenze);

comportare rischi imminenti e con un’elevata probabilità di

accadimento (es. rischio di perdita finanziaria in caso di furto di dati

relativi a carte di credito);

impattare su soggetti che possono essere considerati vulnerabili

per le loro condizioni (es. pazienti, minori, soggetti indagati).


65

I NUOVI DIRITTI

I. Diritto di accesso (art. 15): ottenere la conferma che ci sia un trattamento dei propri

dati.

II. Diritto di rettifica (art. 16): ottenere la rettifica dei dati senza ingiustificato ritardo.

III. Diritto all’oblio (art. 17): ottenere la cancellazione del dato.

IV. Diritto alla limitazione del trattamento (art. 18).

V. Diritto alla portabilità dei dati (art. 20): ricevere in un formato strutturato, di uso comune

e leggibile da dispositivo automatico, i dati personali e trasmetterli a un altro titolare del

trattamento, senza impedimenti da parte del titolare del trattamento cui li ha forniti.

VI. Diritto di opposizione al trattamento (art. 21).

VII. Diritto a ricevere la comunicazione di una violazione (art. 34).

VIII. Diritto alla revoca del consenso (artt. 7 e 13).

IX. Diritto di opporsi ad un processo automatizzato, compresa la profilazione, che incida

sui suoi diritti (art. 22).


66

Diritto alla portabilità (art. 20 GDPR)

Si tratta del diritto dell’interessato

• di trasferire i propri dati da un sistema di trattamento elettronico di

un titolare ad un altro;

• di ottenere gli stessi dati in un formato elettronico strutturato e di

uso comune che consenta di farne ulteriore uso.


Condizioni per l’esercizio del diritto alla portabilità


Il trattamento deve essere:

•basato sul consenso (art. 6 lett.a) GDPR o art. 9 II° comma

lett. a) GDPR) o sul contratto (art. 6 lett. b) GDPR);

•effettuato con mezzi automatizzati.

Al ricorrere di entrambe le condizioni, la trasmissione dei dati

da un titolare all’altro può, inoltre, avvenire se tecnicamente

fattibile sistemi di trattamento dati

tecnicamente compatibili.

Si tratta di una disposizione particolarmente importante per le

società installatrici di impianti di videosorveglianza.

Diritto all’oblio


Si tratta del diritto riconosciuto dal Regolamento all’interessato di ottenere lacancellazione dei suoi dati ed arrestare il trattamento quando:

• i dati trattati non sono necessari alle finalità per le quali sono stati raccolti;

• l’interessato ha revocato il consenso e non esiste altra base giuridica chegiustifichi il trattamento;

• l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo perprocedere al trattamento;

• il trattamento è illecito;

• i dati devono essere cancellati per adempiere ad un obbligo legale.

Eccezioni alla cancellazione:

• adempimento di un obbligo legale per l’esecuzione di un compito svolto nelpubblico interesse o nell’esercizio di pubblici poteri;

• trattamento necessario per motivi di interesse pubblico nel settore dellasanità pubblica o di ricerca scientifica.

La profilazione


• Definizione: qualsiasi forma di trattamento automatizzato dei datifinalizzato a valutare determinati aspetti personali di un soggettoe, in particolare, ad analizzare o a prevedere, ad esempio, aspettiriguardanti la salute e/o le preferenze dell’interessato.

• Si tratta di un vero e proprio monitoraggio dell’interessato.

• L’art. 22 vieta, in linea generale, la profilazione e, al contempo,prevede il diritto dell’interessato a non essere sottoposto adecisioni basate unicamente su trattamenti del genere chepossono produrre effetti giuridici sulla sua persona.

DIRITTO AL RISARCIMENTO E RESPONSABILITÀ –

ART. 82


Qualunque interessato al trattamento che subisce un

danno materiale o immateriale – patrimoniale o non

patrimoniale – per violazione del GDPR ha diritto di

richiedere il risarcimento del danno dal titolare o dal

responsabile del trattamento.

Il responsabile risponde del danno se non ha adempiuto

agli obblighi del Regolamento che lo riguardano o ha

disatteso alle istruzioni del titolare.

IL DANNO DI IMMAGINE

Profilo importante da considerare in caso di violazione del GDPR è anche il c.d.

danno di immagine:

- la violazione del regolamento può comportare, ove la notizia si diffonda, una

grave compromissione della reputazione professionale con conseguente

perdita di fiducia dei clienti e fornitori;

- un data breach determina nel contesto sociale crea una cattiva reputazione

che appare non attenta al rispetto di normative di grande rilievo;

- lo stesso dicasi nel caso di richieste di risarcimento danni da parte degli

interessati.

- -


LE SANZIONI (ART. 83)

Diventano molto più pesanti e viene introdotta una doppia fascia

PRIMA FASCIA: fino a 10.000.000,00, o fino al 2 % del fatturato mondiale

totale annuo dell’esercizio precedente, se superiore per le seguenti violazioni:

• consenso dei minori,

• privacy by design e by default,

• contitolarità,

• rapporti tra titolare e responsabile anche sul contenuto del contratto,

• redazione del registro,

• notificazione delle violazioni,

• DPIA e DPO.




SECONDA FASCIA: fino a € 20.000.000,00 o, per le

imprese, fino al 4% del fatturato mondiale totale

annuo dell’esercizio precedente, se superiore per le

seguenti violazioni:

• violazione dei diritti degli interessati,

• violazione dei principi fondamentali (consenso, base

giuridica, trattamenti dati particolari),

• violazione delle norme in materia di trasferimento

dei dati Extra UE.

LE SANZIONI NON PECUNIARIE

Principio base del sistema sanzionatorio del GDPR è la scalabilità ovvero una

discrezionalità dell’Autorità di controllo nell'adozione delle misure.

“BLANDE” – come l’avvertimento, rivolto al titolare o al responsabile, sul fatto

che i trattamenti previsti possano violare il regolamento.

“SEVERE” – come la limitazione del trattamento o la sospensione dei flussi dei

dati verso paesi extra UE o (ma questo è noto) l’irrogazione di sanzioni

amministrative pecuniarie.


FATTISPECIE PENALI


- violazioni delle disposizioni in materia di trattamento e misure diprotezione dei dati particolari: fino a 3 anni di reclusione (art. 167codice privacy);

- comunicazione o diffusione illecita di dati oggetto di trattamento sularga scala: reclusione da uno a sei anni (art. 167-bis codiceprivacy);

- falsità nelle dichiarazioni rese al Garante e interruzione dei compiti odell’esercizio dei poteri del Garante: reclusione da sei mesi a un anno(art. 168 codice privacy);

- inosservanza dei provvedimenti del Garante: reclusione da tre mesia due anni (art. 170 codice privacy).

LA VIDEOSORVEGLIANZA



La ripresa e la registrazione di immagini di persone costituiscono dati personali che, come tali, devono rispettare la disciplina sulla privacy.

FONTI

GDPR

Linee Guida 3/2019 EDPB (Comitato Europeo per la Protezione dei Dati) del 29 gennaio 2020

Provvedimento Generale del Garante 8 aprile 2010

Rapporti tra Linee Guida e Provvedimento Generale


Le linee guida EDPB non vanno ad abrogare ilprovvedimento del 2010 del Garante, che deve quindiservire per integrare le stesse.

Le linee guida, a loro volta, pur non essendo un atto convalenza normativa, costituiscono una base autorevole perspecificare i principi del GDPR nel contesto particolaredella videosorveglianza.

Ambito di applicazione


L’art. 2 dispone che il GDPR non si applica nel caso ditrattamenti di dati personali effettuati da una persona fisicaper l’esercizio di attività che hanno carattere esclusivamentepersonale o domestico.

Secondo le Linee Guida, l’esenzione domestica deve essereinterpretata restrittivamente, per cui non godono dellastessa, ad esempio:

- le telecamere per il parcheggio assistito che raccolgonoinformazioni su persone fisiche (ad es. numeri di targa);

- gli impianti a tutela del domicilio che riprendono anche spazipubblici.

Rileva, quindi, il luogo fisico piuttosto che la finalità(diversamente da quanto dispone il Provvedimento Generale delGPDP del 2010).

Legittimità del trattamento


Il trattamento di videosorveglianza trova la sua base giuridica nell’art. 6 GDPR:

- lett. e) – esecuzione di un compito di interesse pubblico;

- lett. f) – legittimo interesse del titolare.

Il consenso costituisce una base giuridica eccezionale eresiduale.

Le Linee Guida (art. 3) impongono al titolare l’adozione di unasorta di “documento delle scelte” che, in linea con ilprincipio di «accountability», deve documentarepreventivamente finalità e modalità del trattamento.

Cosa deve contenere il «documento delle scelte»?

Il documento deve giustificare l’installazione delle telecamere documentando per iscritto:

l’ubicazione delle telecamere

la finalità di trattamento perseguita da ciascuna di esse;

le modalità di trattamento;

le misure di sicurezza;

i soggetti interessati al trattamento;

se fondata su interesse legittimo, la prova del bilanciamento;

le modalità di esercizio dei loro diritti.

N.B.: indicare che la videosorveglianza persegue lo scopo di “sicurezza” odi “propria sicurezza” non è sufficientemente specifico.

Esecuzione di un compito di interesse pubblico


Decreto sblocca cantieri, D.L. 32/2019 convertito con la Legge55/2019 pubblicata sul Gazzetta Ufficiale n. 140 del 17 giugno 2019(al momento fermo al Senato):

obbligo di installazione dell’impianto di videosorveglianza in asilinido e scuole dell’infanzia, pubbliche e private, strutturesocio-assistenziali per anziani, disabili e minori in situazione didisagio;

installazione entro 3 mesi dall’entrata in vigore e, per i privati,obbligo di comunicazione alle amministrazioni comunali;

immagini custodite in server locali non collegati a internet;

immagini cifrate già al momento della raccolta, acquisibili soltantodalle forze dell’ordine previa formale denuncia;

obbligo di DPIA e di autorizzazione dell’INL o accordo sindacale nelcaso siano ripresi lavoratori.

Interesse legittimo


Deve avere reale consistenza:

opportunità di documentare gli eventi lesivi a persone o cose;

evidenze relative alla zona in cui si trova il bene da tutelare;

attività intrinsecamente pericolose;

difesa di un diritto;

art. 4 Statuto dei Lavoratori (L. 300/1970): esigenzeorganizzative, produttive, di sicurezza del lavoro o di tutela delpatrimonio aziendale.

BILANCIAMENTO


L’interesse legittimo impone sempre la necessità di unadeguato bilanciamento con i diritti degli interessati coinvoltinella ripresa.

Ragionevole aspettativa dell’interessato circa il fatto che in undeterminato luogo possa essere soggetto a ripresa (ad es.gioielleria, banca rispetto a strutture per il fitness);

Videoripresa che avvantaggia titolare ed interessati (ad es.impianto di videosorveglianza in un parcheggio in cui laprevenzione di furti o l’individuazione dei responsabili sonoattività che vanno a vantaggio anche degli utenti).

Divulgazione a terzi


La divulgazione delle immagini a terzi costituisce un trattamento a sé.

Terzi - forze di polizia:

se il bene leso appartiene al titolare, la consegna delleregistrazioni è legittima (tutela del diritto del titolare);

se il bene è di un terzo, la consegna del materiale alla poliziapotrebbe essere priva di legittimità qualora il reato non siaperseguibile d’ufficio.

Informativa nella videosorveglianza – doppio livello


L’informativa costituisce uno dei presupposti di liceità del trattamento.Nel caso in esame, essa deve essere fornita su due livelli.

I° livello – Informativa semplificata:

dati del titolare;

finalità del sistema di videosorveglianza;

base giuridica;

estremi del DPO;

richiamo ai diritti dell’interessato;

eventuale trasferimento di dati extra-UE e periodo di conservazionedelle immagini

sistema per accedere all’informativa estesa (QR-code, link del sito).

II° livello – informativa estesa

Misure tecniche e organizzative


Obbligo di installare prodotti che nelle specifiche tecniche includonorequisiti di privacy by design.

Previsione di un organigramma di gestione del trattamento con procedurespecifiche di funzionamento.

Richiamo agli standard internazionali sulla sicurezza dei sistemimultimediali (IEC TS 62045) e dei sistemi IT in generale (ISO/IEC27000).

Trasmissione dei dati con canali sicuri.

Adozione di misure tese ad impedire l’accesso abusivo ai sistemi (art. 615-ter c.p.).

Obbligo di DPIA (si veda anche il Provvedimento del GPDP del 18ottobre 2018, che ha imposto la DPIA quando la videosorveglianzariguarda i luoghi di lavoro).

Periodo di conservazione delle immagini


Il Comitato non indica limiti di tempo predefiniti di conservazione delleimmagini, lasciando il titolare libero nella scelta che dovrà comunque essereispirata ai principi di necessità e proporzionalità.

Il periodo di conservazione dovrà essere chiaramente definito e impostatoindividualmente per ciascuna finalità (quindi più telecamere che assolvonofinalità diverse dovranno lavorare su tempi di conservazione diversi oppureil database che raccoglie le immagine di una sola telecamera che perseguefinalità differenti deve prevedere accessi diversificati ai dati in base aidiversi periodi di conservazione).

Il Provvedimento Generale del GPDP 8.4.2010 prevede limiti temporali di24/48 h, al massimo una settimana in caso di particolari esigenze.

La DPIA costituisce lo strumento per giustificare i tempi di conservazione

Diritti degli interessati


Tutti i diritti previsti agli artt. 15-22 GDPR trovano applicazione anche nel caso della videosorveglianza.

Diritto di accesso:

- non può essere negato sul fatto che le immagini riprendonoaltri soggetti quando questi possono essere oscurati;

- il diritto deve essere circoscritto al periodo ed alle aree oggettodi ripresa (indicazioni da fornire nell’informativa).

Diritto di opposizione:

necessità di bilanciare il diritto del titolare con quellodell’istante.

Riprese di dati biometrici


I dati biometrici sono elaborati "allo scopo di identificare in modounivoco una persona fisica".

Base giuridica: consenso (art. 9 II° comma lett. a) GDPR);

agli interessati deve essere fornita un’alternativa al trattamento didati biometrici rispetto al servizio offerto, quando lo stesso èutilizzato per finalità di autenticazione;

cifratura dei dati e dei modelli biometrici;

garantire l’efficacia della cancellazione dei dati grezzi.

I c.d. controlli indiretti dei lavorati (art. 4 Stat.Lav.)


Gli impianti audiovisivi che possono comportare il controllo adistanza del lavoratore possono essere installati se:

- sussistono esigenze organizzative, produttive, di sicurezza dellavoro o di tutela del patrimonio aziendale;

sia stato raggiunto un accordo collettivo con la RSU o la RSA o,in mancanza, ci sia l’autorizzazione dell’INL;

sia fornita ai dipendenti l’informativa sul trattamento.

N.B.: le regole predette devono essere rispettate in tutti i casi in cuile telecamere riprendono aree in cui i lavoratori possonopotenzialmente accedervi.

DATA PROTECTION E SEGRETI COMMERCIALI



DEFINIZIONE DI «SEGRETO COMMERCIALE»


Per «segreto commerciale» (art. 98 c.p.i.) s’intendono “le informazioniaziendali e le esperienze tecnico-industriali, comprese quelle commerciali,soggette al legittimo controllo del detentore” che risultano:

- segrete, nel senso che non sono note o accessibili agli esperti o aglioperatori del settore;

- di valore economico in quanto segrete;

- sottoposte a misure da ritenersi ragionevolmente adeguate amantenerle segrete.

I segreti commerciali comprendono tre categorie di informazioni:

1. le informazioni tecniche relative a prodotti e procedimenti (know-how,brevetti);

2. le informazioni commerciali o storiche (liste clienti e fornitori, datipersonali);

3. le informazioni amministrative (certificazioni e procedure amministrativeinterne).

SEGRETEZZA


Il requisito deve essere inteso in senso relativo. Le informazioni sono segrete se:

non sono note o non facilmente accessibili agli operatori di settore;

possono essere acquisite da terzi mediante processi di reverse engineering (ingegneria inversa) risultanti da sforzi significativi;

VALORE COMMERCIALE


Il requisito non riguarda la suscettibilità delle informazioni diessere valorizzate in bilancio.

Le informazioni hanno valore commerciale se il loro possessoattribuisce all’impresa che le detiene:

un vantaggio concorrenziale sul mercato;

un’utilità pratica sfruttabile in chiave economica.

MISURE RAGIONEVOLMENTE ADEGUATE

Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna Sinergia Partner

La «ragionevolezza» deve essere valutata caso per caso, tenendo conto:

del settore di riferimento;

del valore delle informazioni da proteggere

del rapporto tra il costo delle misure in astratto possibili, l’efficacia delle stesse, la loro importanza e l’evoluzione tecnologica dei sistemi di protezione.

Suddivisione delle misure protettive

Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr. Massimiliano La Bruna Sinergia Partner

Misure eso-aziendali

Operano contro gli attacchi provenienti dall’esterno

Misure endo-aziendali

Sono dirette a prevenire violazioni provenienti dall’interno

Costituisce autorevole parametro per individuarle l’art. 32GDPR.

Grazie per l'attenzione

GDPR

Legal GDPR

Cyber & IT

Business Process


Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr ... · Sinergia Srl Avv. Francesco...

Documents

Transcript of Sinergia Srl Avv. Francesco Giunti , Ing Marco Cecchi , Dr ... · Sinergia Srl Avv. Francesco...