Smau Roma 2013 Valentina Frediani

Titolo della presentazioneRelatore: Avvocato Valentina Frediani

Regolamento

Europeo, fornitori e sicurezza informatica: cosa cambierà

Titolo della presentazione

ONERE DI DIMOSTRAZIONE CHE IL TRATTAMENTO E’ EFFETTUATO IN

MODO CONFORME RISPETTO AL REGOLAMENTO

ATTENZIONE Il responsabile del trattamento deve essere in grado di dimostrare l'efficacia delle misure di cui ai paragrafi 1 e 2.

Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà

Obblighi generali del Responsabile


(a) la conservazione della documentazione

(b) l’attuazione dei requisiti di sicurezza dei dati

(c) l’esecuzione della valutazione d’impatto sulla protezione dei dati

(d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell'autorità di controllo e del responsabile della protezione

dei dati ai sensi dell'articolo 34, paragrafi 1 e 2

(e) la designazione di un responsabile della protezione dei dati

(e-bis) la definizione di informazioni e comunicazioni trasparenti da fornire

all'interessato ai sensi dell'articolo 11.

Regolamento Europeo, fornitori e sicurezza informatica: cosa cambierà

Le misure


Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il

responsabile del trattamento e l’incaricato del trattamento

mettono in atto misure tecniche e organizzative adeguate per

garantire un livello di sicurezza appropriato, in relazione ai rischi

che il trattamento comporta e alla natura dei dati personali da

proteggere.


Sicurezza del trattamento


Notificazione della violazione all’autorità di controllo senza

ritardo

Entro le 72 ore dal momento della conoscenza

Successivamente solo con giustificazione motivata

Obbligo di allerta da parte dell’incaricato del trattamento

Comunicazione della violazione all’interessato


Notificazione della violazione dei dati:

obblighi del Responsabile e dell’Incaricato –

REGISTRO AUTORITA’ DI CONTROLLO


a) Descrizione natura violazione dei dati personali, compresi le

categorie e il numero di interessati in questione e le categorie

e il numero di registrazioni dei dati in questione

b) Indicazione identità e coordinate di contatto del responsabile

della protezione dei dati

c) Elencazione misure raccomandate per attenuare i possibili

effetti pregiudizievoli della violazione dei dati personali

d) Descrizione conseguenze della violazione dei dati personali

e) Descrizione misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati

personali


I contenuti minimi della notificazione


In linea con la nuova direttiva relativa agli attacchi contro i

sistemi di informazione, è opportuno mantenere una

panoramica consolidata delle tipologie di violazioni al fine di

informare il pubblico in merito alle tipologie e agli importi

delle violazioni dei dati.

Ratio della norma



• la valutazione sistematica e globale di aspetti della personalitàdell’interessato o volta ad analizzarne o prevederne in particolarela situazione economica, l’ubicazione, lo stato di salute, lepreferenze personali, l’affidabilità o il comportamento, basata suun trattamento automatizzato e da cui discendono misure chehanno effetti giuridici o significativamente incidonosull’interessato

• il trattamento di informazioni concernenti la vita sessuale, lo statodi salute, la razza e l’origine etnica o destinate alla prestazione diservizi sanitari o a ricerche epidemiologiche o indagini sumalattie mentali o infettive qualora i dati siano trattati perprendere misure o decisioni su larga scala riguardanti personespecifiche

Valutazione d’impatto sulla protezione dei dati: i trattamenti



• la sorveglianza di zone accessibili al pubblico, in particolare seeffettuata mediante dispositivi ottico-elettronici o altri dispositivisensori

• il trattamento di categorie particolari di dati di cui all'articolo 9,paragrafo 1, dati relativi all'ubicazione, dati biometrici o datiriguardanti minori

• i dati personali resi accessibili a un vasto numero di persone o grossequantità di dati personali concernenti l'interessato trattati o aggregaticon altri dati;

• qualunque altro trattamento che richiede la consultazione delresponsabile della protezione dei dati o dell'autorità di controllo

Valutazione d’impatto sulla protezione

dei dati



Designazione da parte del Responsabile e dell’incaricato per almeno 4

anni quando:

• il trattamento è effettuato da un’autorità pubblica o da un

organismo pubblico oppure

• il trattamento è effettuato da una persona giuridica e riguarda oltre

500 interessati l'anno, oppure

• le attività principali del responsabile del trattamento o

dell’incaricato del trattamento consistono in trattamenti che, per la

loro natura, il loro oggetto o le loro finalità, richiedono il controllo

regolare e sistematico degli interessati

La figura del Responsabile della

protezione dei dati



informare e consigliare il responsabile o in merito agli obblighi

derivanti dal presente regolamento, per quanto attiene alle misure e

procedure tecniche e organizzative, e conservare la

documentazione e le risposte ricevute;

sorvegliare l’attuazione e l’applicazione delle politiche del

responsabile del trattamento o dell’incaricato

sorvegliare l’attuazione e l’applicazione del regolamento, con

particolare riguardo ai requisiti concernenti la protezione fin dalla

progettazione, la protezione di default, la sicurezza dei dati,

l’informazione dell’interessato e le richieste degli interessati di

esercitare i diritti riconosciuti

garantire la conservazione della documentazione

Compiti del Responsabile della

protezione dei dati



controllare che le violazioni dei dati personali siano documentate,

notificate e comunicate

controllare che il responsabile del trattamento o l’incaricato del

trattamento effettui la valutazione d’impatto sulla protezione dei dati

e richieda l’autorizzazione preventiva o la consultazione preventiva

controllare che sia dato seguito alle richieste dell’autorità di controllo

e, nell’ambito delle sue competenze, cooperare con l’autorità di

controllo di propria iniziativa o su sua richiesta;

fungere da punto di contatto per l’autorità di controllo per questioni

connesse al trattamento e, se del caso, consultare l’autorità di

controllo

Segue …



Se il responsabile del trattamento determina le finalità, le condizioni

e i mezzi del trattamento dei dati personali insieme ad altri, i

corresponsabili del trattamento determinano, mediante accordi

interni scritti, le rispettive responsabilità in merito al rispetto degli

obblighi derivanti dal presente regolamento, con particolare

riguardo alle procedure e ai meccanismi per l'esercizio dei diritti

dell'interessato. Qualora tale determinazione manchi o non sia

sufficientemente chiara, l'interessato può esercitare i propri diritti nei

confronti di uno qualunque dei responsabili del trattamento, che

sono solidalmente responsabili.

I corresponsabili



Sono altresì corresponsabili …

• ATTENZIONE:

• Art. 27 1 bis. Se l'incaricato del trattamento è o diventa parte determinante per quanto concerne le finalità, i mezzi o i

metodi di trattamento dei dati o non agisce soltanto su

istruzione del responsabile del trattamento, è considerato corresponsabile del trattamento ai sensi dell'articolo 24.



L’esecuzione dei trattamenti su commissione deve essere

disciplinata da un contratto o altro atto giuridico che vincoli

l’incaricato del trattamento al responsabile del trattamento e

che preveda segnatamente tutti gli obblighi elencati dall’art.

26

L’esecuzione trattamenti su commissione



a) agisca soltanto su istruzione del responsabile del trattamento

b) impieghi soltanto personale che si sia impegnato alla riservatezza o abbia

l’obbligo legale di riservatezza;

c) prenda tutte le misure richieste ai sensi dell’articolo 30;

d) ricorra ad un altro incaricato del trattamento solo previa autorizzazione del

responsabile del trattamento;

e) crei d’intesa con il responsabile del trattamento le condizioni tecniche e organizzative necessarie per riscontro esercizio dei diritti dell’interessato;

Gli obblighi



f) aiuti il responsabile del trattamento a garantire il rispetto degli obblighi sanciti;

g) ultimato il trattamento, trasmetta tutti i risultati al responsabile del trattamento

e si astenga dal trattare altrimenti i dati personali;

h) metta a disposizione del responsabile del trattamento e dell’autorità di controllo tutte le informazioni necessarie per

controllare il rispetto degli obblighi di cui al presente articolo.

h-bis) tenga in considerazione il principio della protezione dei dati fin dalla progettazione e della protezione di default

Segue …



• Avv. Valentina Frediani

[email protected]


www.consulentelegaleinformatico.it

mailto:[email protected]

http://www.consulentelegaleinformatico.it/

Smau Roma 2013 Valentina Frediani

Technology

Transcript of Smau Roma 2013 Valentina Frediani