Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolamento Europeo - Digital for Business

16/05/2013

1

www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com

Ex manager di alcune importanti aziende italiane, si occupa di Privacy, Modello organizzativoe Web protection.Per formazione è un informatico, ma non ha mai scritto una riga di software.Ha lavorato per 25 anni in ambito marketing in Toro Assicurazioni, Seat Pagine Gialle, GruppoFormula, Bassani Finanziaria, Dylog, IBM S.I.Nel 1996 entra in Chiocciola S.r.l., società di consulenza direzionale specializzata in directmarketing, e-mail marketing, ricerche di mercato.Nel 2001, insieme con alcuni partners, fonda Applicando S.r.l..Ha frequentato i corsi di specializzazione del Garante della Privacy, del colonnello Umberto

Luciano Corino

Rapetto, del prof. Giovanni Ziccardi e del dottor Gerardo Costabile, nonché i corsi diformazione per Privacy Officer ottenendo la certificazione TUV.Membro del Comitato Scientifico di FederPrivacy, è referente provinciale per dettaassociazione.E’ coautore, con l’avvocato Valentina Corino, del manuale “Codice in materia di protezione deidati personali D.lgs. 30 giugno 2003, n° 196 - Gli articoli da sapere, le norme e i comportamentida rispettare”.Con Giuseppe Izzinosa e Claudio Pasqua ha scritto il libro “Internet per l'artigianato e lapiccola impresa”, curando la sezione "Privacy and security sul web".E’ relatore in convegni su Privacy, Sicurezza sui luoghi di lavoro, Risk Management. E'docente ai corsi di formazione di Eurofins Modulo Uno.E’ consulente di imprese, enti locali e associazioni di categoria.

16/05/2013

2


Verso il Regolamento EuropeoVerso il Regolamento EuropeoSicurezza e protezione dei dati personali

16/05/2013

3


Misure e accorgimenti prescritti ai titolari dei trattamentirelativamente alle attribuzioni delle funzioni di

amministratore di sistema

Semplificazione delle misure di sicurezza contenute neldisciplinare tecnico di cui all'Allegato B)

Dati persone giuridiche non personaliAbolizione del DPS

Nuove disposizioni in materia di videosorveglianza

Nuove regole per il marketingRegistro delle opposizioni e Opt-ou

Linee guida in materia di trattamento di dati personali dei lavoratoriper finalità di gestione del rapporto di lavoro alle dipendenze di datori

di lavoro privati

Lavoro: linee guida del Garante per posta elettronica einternet

Videosorveglianza - Provvedimento generale

d.lgs. 196/2003 Codice in materia diprotezione di dati personali

16/05/2013

4


Quale futuro ?

16/05/2013

5


Il 25 gennaio 2012 la Commissione europea hapresentato ufficialmente le proposte relative al nuovoquadro giuridico europeo in materia di protezione deidati. Si tratta di un Regolamento, quindi di effettoimmediato.

16/05/2013

6


• restano ferme le definizioni fondamentali, ma con alcunesignificative aggiunte (dato genetico, dato biometrico);

• viene introdotto il principio dell'applicazione del diritto UE ancheai trattamenti di dati personali non svolti nell'UE, se relativiall'offerta di beni o servizi a cittadini UE o tali da consentire ilmonitoraggio dei comportamenti di cittadini UE;

• si stabilisce il diritto degli interessati alla "portabilità del dato"• si stabilisce il diritto degli interessati alla "portabilità del dato"(ad. es. nel caso in cui si intendesse trasferire i propri dati da unsocial network ad un altro) ma anche il "diritto all’oblio", ossia didecidere quali informazioni possano continuare a circolare (inparticolare nel mondo online) dopo un determinato periodo ditempo, fatte salve specifiche esigenze (ad esempio, perrispettare obblighi di legge, per garantire l’esercizio della libertàdi espressione, per consentire la ricerca storica);

16/05/2013

7


• scompare l'obbligo per i titolari di notificare i trattamenti di datipersonali, sostituito da quello di nominare un "data protection officer" pertutti i soggetti pubblici e per quelli privati al di sopra di un certo numero didipendenti o appartenenti a determinati settori di attività;

• viene introdotto il requisito del "privacy impact assessment"(valutazione dell'impatto-privacy) oltre al principio generale detto "privacyby design" (cioè la previsione di misure a protezione dei dati già almomento della progettazione di un prodotto o di un software);momento della progettazione di un prodotto o di un software);

• si stabilisce l'obbligo per tutti i titolari di notificare all'autoritàcompetente le violazioni dei dati personali ("personal data breaches");

• si fissano più specificamente poteri (anche sanzionatori) e requisiti diindipendenza delle autorità nazionali di controllo, il cui parere saràindispensabile qualora si intendano adottare strumenti normativi,comprese le leggi, che impattino sulla protezione dei dati personali.

16/05/2013

8


16/05/2013

9


Articolo 28 – Documentazione

1. Ogni responsabile del trattamento, incaricato del trattamento ed eventualerappresentante del responsabile del trattamento conserva la documentazione di tutti itrattamenti effettuati sotto la propria responsabilità.

3. Il responsabile del trattamento, l’incaricato del trattamento e l’eventualerappresentante del responsabile del trattamento mettono la documentazione adisposizione dell’autorità di controllo, su richiesta.

Articolo 31 - Notificazione di una violazione dei dati personali all’autorità di controllo

4. Il responsabile del trattamento documenta la violazione dei dati personali, incluse lecircostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvirimedio. La documentazione deve consentire all’autorità di controllo di verificare il rispettodel presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.

Articolo 79 - Sanzioni amministrative

5. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500.000 EUR o,per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:(f) omette di conservare o non conserva in modo sufficiente la documentazione di cuiall’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;

16/05/2013

10

contromisure fisiche, tecniche, procedurali


contromisure

riduzione Priduzione G

16/05/2013

11

…... e i comportamenti ?


15%

5%

eventi indesiderati

comportamento comportamento + fattori esterni fattori esterni

80%

16/05/2013

12



le contromisure procedurali …. non modificano i comportamenti

le contromisure fisiche e tecniche …. riducono errori e violazioniinvolontari, ma tendono ainvolontari, ma tendono a

perdere efficacia con il tempo

le contromisure fisiche e tecniche …. riducono per un brevissimotempo errori e violazioni

volontari

16/05/2013

13



adottare idonee contromisure fare in modo che i lavoratoripossano assumerecomportamenti sicuri

AR

EA

INT

ER

VE

NT

Ofare formazione fare in modo che i lavoratorisappiano assumerecomportamenti sicuri

motivazione, leadership, premi fare in modo che i lavoratorivogliano assumerecomportamenti sicuri

AR

EA

INT

ER

VE

NT

OA

RE

AN

ON

INT

ER

VE

NT

O

16/05/2013

14

qualche buona ragione per prepararsi in tempo


eventi indesiderati con conseguenze


1

10

AREA DI INTERVENTO


eventi indesiderati mancati

comportamenti pericolosi

10

100

?

AREA DI NON INTERVENTO

16/05/2013

15

qualche buona ragione per prepararsi in tempo


prevenire la commissione di illeciti e di reati

individuare responsabilità

comminare provvedimenti disciplinari e sanzioni

ragionigiuridiche

comminare provvedimenti disciplinari e sanzionigiuridiche

prevenire e ridurre le inefficienze

ridurre gli errori, le violazioni, gli eventi indesiderati

prevenire i furti (dati, brevetti, identità …)

ragioni managerialied economiche

16/05/2013

16


Grazie per l’attenzioneSicurezza e protezione dei dati personali: verso il Regolamento Europeo