Un aiuto per adeguarsi al GDPR: I codici di condotta

Lorenzo ChiriattiDirettore Affari Legali Gruppo DADA e

Presidente del Gruppo di lavoro tecnico del CISPE

Parliamo di● ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?

● I CODICI DI CONDOTTA, COSA SONO E PERCHE’ SONO UTILI

● CERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO

● INTERESSANTE, MA COME POSSIAMO CREARNE UNO?

● PARLIAMO DELL’ESPERIENZA DEL CISPE

● CONCLUSIONI

Un aiuto per adeguarsi al

GDPR: I codici di condotta

Un breve quadro d’insieme

• Cos’è il GDPR?

ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?

• Chi è coinvolto?

• Quando diverrà pienamente applicabile?

Ma… Siamo pronti?

«Io sono nato pronto!»

Dove siamo:ENTRA IN VIGORE IL GDPR. COS’È? SIAMO PRONTI?

57%Le aziende che stanno lavorando allo sviluppo di piani di conformità.

(sondaggio Marsh, ottobre 2017)

11% Delle imprese ha risposto di non aver intrapreso alcuna azione in questo senso.

(sondaggio Marsh, ottobre 2017)

78% La percentuale dei responsabili IT delle aziende coinvolte che non comprende l’impatto della nuova normativa, oppure che non ne è proprio a conoscenza.

(ricerca eset idc, novembre 2016)

19% Delle imprese con un fatturato annuo inferiore ai 50 milioni di euro ha risposto di non aver intrapreso alcuna azione in questo senso.

(sondaggio Marsh, ottobre 2017)

Un’opportunità da cogliere ma…occhio alle spine

ENTRA IN VIGORE IL GDPR. COS’È ? SIAMO PRONTI ?

il GDPR è una norma «aperta»

Un fattore di partecipazione e responsabilizzazione degli attori, ma anche una complessità in più da gestire

Ci sono strumenti per aiutare le

aziende e i cittadini?

I codici di condotta, un vestito su misura, più semplice da indossare

I codici di condotta, un vestito su misura, più semplice da indossare

I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI

Art. 40 GDPR

● L’Unione e gli Stati membri incoraggiano l'elaborazione di codici di

condotta

● Sono strumento per la corretta applicazione e per precisare il GDPR

● Adeguano il codice alle specificità dei vari settori di trattamento e

delle esigenze specifiche delle micro, piccole e medie imprese

Quindi le aziende potranno, a loro

piacimento, riscrivere il GDPR?

I codici di condotta, un vestito su misura, più semplice da indossare

Tramite i codici si apre il dialogo e si porta trasparenza tra imprese e cittadini

I CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI

Considerando 99 GDPR

occorre consultare gli interessati, e tener conto delle

osservazioni ricevute e delle opinioni espresse

Nei codici si trova il corretto bilanciamento degli interessi

di cittadini e aziende

I codici di condotta, un vestito su misura, più semplice da indossare

… con effetti positivi in caso di sanzioniI CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI

Art. 83 co. 2 GDPR

Al momento di decidere se infliggere una sanzione

amministrativa pecuniaria e di fissare l'ammontare della stessa si

tiene debito conto dell'adesione ai codici di condotta

I codici di condotta, un vestito su misura, più semplice da indossare

Uno strumento per avere regole certe e chiareI CODICI DI CONDOTTA. COSA SONO E PERCHÉ SONO UTILI

Art. 40, co. 9 GDPR

La Commissione può decidere che un codice di condotta ha

validità generale all'interno dell'Unione»

Ok, ma come funzionano

concretamente?

Google e HTTPSIl Web cambia faccia

I legittimi interessi di imprese e cittadiniCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO

Art. 40 GDPR«Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o

responsabili del trattamento possono elaborare i codici di condotta…allo scopo di precisare

l'applicazione del presente regolamento, ad esempio relativamente a:

a) il trattamento corretto e trasparente dei dati;

b) i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;»

Google e HTTPSIl Web cambia faccia

I nuovi diritti dei cittadiniCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO

Continua l’ Art. 40 GDPR

«c) la raccolta dei dati personali;

d) la pseudonimizzazione dei dati personali;

e) l'informazione fornita al pubblico e agli interessati;

f) l'esercizio dei diritti degli interessati;»

Google e HTTPSIl Web cambia faccia

Privacy by default, privacy by design e sicurezzaCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO

Continua l’ Art. 40 GDPR

«g) l'informazione fornita e la protezione del minore e le modalità con cui è

ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;

h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a

garantire la sicurezza del trattamento di cui all'articolo 32;»

Considerando 98 : i codici calibrano gli obblighi di titolare e responsabile in

funzione di data protection.

Google e HTTPSIl Web cambia faccia

Data breach e trasferimenti dati all’esteroCERCHIAMO DI CAPIRE IL LORO FUNZIONAMENTO

Continua l’ Art. 40 GDPR

«i) la notifica di una violazione dei dati personali alle autorità di

controllo e la comunicazione di tali violazioni dei dati personali

all'interessato;

j) il trasferimento di dati personali verso paesi terzi o

organizzazioni internazionali; …»

Interessante…ma come possiamo

crearne uno?

Google e HTTPSIl Web cambia faccia

Un solo stato membro… «facile»!

INTERESSANTE…MA COME POSSIAMO CREARNE UNO?

Se il codice di condotta si riferisce a attività di

trattamento in un solo Stato membro

Art. 40 co 5 GDPR

Autorità di controllo competente ai sensi dell'articolo 55

parere sulla conformità al GDPR del progetto di codice

e verifica se esso offre garanzie adeguate

Google e HTTPSIl Web cambia faccia

Un codice valido in tutta Europa?

INTERESSANTE…MA COME POSSIAMO CREARNE UNO?

Se il codice di condotta si riferisce a attività di trattamento in più Stati membri

Art. 40 co 7, 8 e 9 GDPR

● Autorità di controllo competente ai sensi dell'articolo 55

● Comitato Europeo per la Protezione dei Dati, per il parere sulla conformità

al GDPR del progetto di codice e verifica delle garanzie adeguate

● il Comitato trasmette il suo parere alla Commissione.

● La Commissione può dare al codice validità generale all'interno

dell'Unione

E se non ho voglia di scrivere un

codice?

Più semplicemente, si può aderire ad un codice già esistente

;-)

L’ESPERIENZA DEL CISPE

Google e HTTPSIl Web cambia faccia

Il codice di condotta del CISPE: un caso concreto

PARLIAMO DELL’ESPERIENZA DEL CISPE

● Cos’è il CISPE?

● Perché è nato?

Google e HTTPSIl Web cambia faccia

Lo scopo del codice di condotta del CISPEPARLIAMO DELL’ESPERIENZA DEL CISPE

● Dedicato al mondo degli IaaS (infrastructure

as a service) provider europei

● Offrire ai clienti la possibilità di avvalersi di

responsabili del trattamento certificati

Google e HTTPSIl Web cambia faccia

Prima di tutto, la sicurezza

Google e HTTPSIl Web cambia faccia

Prima di tutto, di nuovo, la trasparenzaPARLIAMO DELL’ESPERIENZA DEL CISPE

Trasparenza tra provider e cliente

● Giugno 2017, incontro a Firenze con i clienti

italiani

● il codice apre un canale di informazione tra

provider e cliente

● information security management system

Google e HTTPSIl Web cambia faccia

Qualità certificata e trasparentePARLIAMO DELL’ESPERIENZA DEL CISPE

Sistema per l’adesione al Codice

● Self-assesment e certificazione terza e indipendente

● Sigilli di qualità diversificati

Google e HTTPSIl Web cambia faccia

Gli europei e l’Europa al centroPARLIAMO DELL’ESPERIENZA DEL CISPE

Governance e compliance

● un ruolo centrale alle piccole e medie imprese europee

● L’impegno degli aderenti di trattare i dati solo in Europa

● Sistema di enforcement a garanzia del rispetto del codice

Interessante… ma a che punto

siamo?

Concludendo…

Un aiuto a cittadini e imprese per

capire ed applicare il GDPR…

…riducendo i rischi e cogliendo tutte le opportunità della

nuova norma!

Grazie a tutti!

Ci vediamo in un codice!

Un aiuto per adeguarsi al GDPR: I codici di condotta

Q&A