GDPR Quali i rischi per le imprese

Per

L’ambito di applicazione

Sfera

privata

DATI

PERSONALI

Sicurezza

Libertà

La protezione dei dati

personali riguarda la libertà

individuale nonché la

sicurezza delle persone, delle

comunità e dei sistemi

economici e, solo di riflesso,

la privacy ovvero il diritto alla

riservatezza nella propria

sfera privata.

Il regolamento

Il GDPR, General Data Protection Regulation (2016/679) dovrà essere

applicato dai soggetti pubblici e privati entro il 25 maggio 2018, in tutti

gli Stati appartenenti all’Unione Europea.

La L.163/17 permetterà al Governo di modificare e riorganizzare il D.Lgs.

196/03 e altre normative per renderle compatibili con il GDPR (diritti e

protezione delle persone fisiche; trattamento dei dati personali; libera

circolazione dei dati personali; ecc…).

LeanCompliance®

Come funziona

GDPR

In vigore dal

25.05.2018

Penalità

notevoli

Applicazione

mondiale

Tool per

garantire la

conformità con

GDPR

Segnalazione

degli

incidenti

Diritti

PENALITÀ - fino a 20 mil di euro o

il 4% del fatturato mondiale annuo

APPLICABILE IN TUTTO IL MONDO

- affinchè l'organizzazione

immagazzini i dati personali del cittadino dell'UE

DIRITTI DELL’INTERESSATO - diritto migliorato

all'informazione, diritto all'oblio

RAPPORTO DI VIOLAZIONE DEI DATI

- entro 72 ore, gravi sanzioni per

mancata segnalazione

I principi generali del trattamento

Liceità, correttezza e trasparenza

Limitazione della finalità

Minimizzazione dei dati

Integrità e riservatezza

Limitazione della

conservazione

Esattezza

Le novità introdotte

Privacy by Default

Consenso

Dati personali

Valutazione di impatto

Sicurezza Diritti degli interessati

Privacy by Design

Data Breach Notification

Data Protection Officer

I diritti sui dati sensibili

GDPR

diritto di proteggere la propria sfera

privata

diritto di controllare l’uso e la

circolazione dei propri dati personali

• Razza

• Origine etnica

• Opinioni politiche

• Religione

• Convinzioni personali

• Appartenenza sindacale

• Dati genetici o relativi alla salute o alla vita sessuale

• Condanne penali o misure di sicurezza

I diritti degli interessati

diritto alla

portabilità

dei dati

diritto

all’opposizione

e all’accesso

di notifica delle

violazioni dei

dati

diritto

all’oblio

diritto di

rettifica

Procedura

Il consenso

Il consenso dell’interessato deve essere

Effettivo

Inequivocabile

Esso comprende qualsiasi forma di volontà libera, specifica ed informata

e può essere formulato mediante dichiarazione scritta, anche attraverso

mezzi elettronici, o verbale o in presenza di un’azione positiva.

Non costituisce consenso il silenzio assenso, l’inattività o la preselezione di

caselle apposite tramite web.

La sicurezza

Il titolare ha l’obbligo di effettuare l’analisi dei rischi e la valutazione

dell’adeguatezza delle misure di tutela poste in essere.

Per individuare: - Tutti i trattamenti effettuati (con definizione precisa delle finalità e delle modalità,

delle categorie degli interessati, dei destinatari e degli eventuali trasferimenti verso paesi terzi, con individuazione del criterio legittimante per ognuno di essi);

- Le misure di sicurezza tecniche ed organizzative adottate; - Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di

dati;

- La “filiera” dei trattamenti esternalizzati a soggetti terzi, con precisa identificazione degli accordi, su base contrattuale, che governano il trattamento stesso.

Potrebbe risultare utile l’adesione a sistemi di certificazione e codici di condotta.

In casi specifici, quali ad esempio il ricorso a tecnologie a rischio per i diritti della

persona, il trattamento dei dati deve essere testato con la c.d. «Valutazione

d’impatto sulla protezione dei dati» (art. 35 del GDPR), seguita, se necessario, da una consultazione preventiva al Garante della Privacy

La valutazione d’impatto

Consultazione

preventiva

Valutazione

di

impatto

Progettazione di sistemi ed applicativi

sulla base di un uso minimo e

indispensabile dei dati personali.

Può prevedere l’eventuale

individuazione di appropriate misure

correttive, quale ad esempio la

pseudoanonimizzazione.

Privacy by Design

Progettazione di misure e sistemi che abbiano come impostazione predefinita

l’uso dei soli dati necessari per una certa finalità e per il periodo strettamente

necessario a tali fini.

Privacy by Design e Privacy by Default obbligano le imprese a predisporre una

valutazione di impatto ogni volta che avviano un progetto che prevede un

trattamento di dati, garantendo la non eccessività dei dati raccolti.

Privacy by Default

Il Responsabile della protezione dei dati personali è una nuova figura di riferimento per le Imprese e la Pubblica Amministrazione, sia per gli utenti che i

clienti ed è l’interfaccia per l’Autorità Garante (esclusi i Tribunali).

Deve essere nominato se:

Data Protection Officer

Il trattamento sia effettuato da un’autorità pubblica

Il “core business” consiste in un’attività che richiedono il

monitoraggio regolare e sistematico di dati “su larga scala”.

(Monitoraggio regolare: Continuo, ripetuto, svolto

costantemente/ripetutamente; Monitoraggio sistematico: Preorganizzato, parte di una strategia ben precisa

Il “core business” dell’azienda consista nel trattamento “su

larga scala” di dati “sensibili” e “giudiziari”. (Numero di persone; Volume di dati; Durata delle operazioni di

trattamento; Estensione geografica delle attività.)

I compiti del DPO

DPO

CONSULENZA informare e consigliare il Data

Controller, il Data Processor e i

dipendenti in merito agli obblighi

del GDPR

VIGILANZA sorvegliare l’osservanza

del GDPR

CONTATTO per l’Autorità di controllo e gli

interessati

FORNIRE UN PARERE in merito alla valutazione

d'impatto sulla protezione dei

dati e sorvegliarne lo

svolgimento

COOPERAZIONE con l’Autorità di controllo

Data Breach Notification

Violazioni

Data Breach Obbligo di notifica delle violazioni entro 72 ore all’Autorità di controllo.

Violazioni della sicurezza che comportano anche

accidentalmente la distruzione, la perdita, la

modifica, la rivelazione non autorizzata o l’accesso ai

dati personali trasmessi, memorizzati o elaborati.

In qualunque luogo è il trattamento effettuato.

L’applicazione del GDPR ai trattamenti eseguiti in uno

Stato extra UE è garantita solo laddove i trattamenti

riguardino l’offerta di beni o servizi a cittadini UE o tali

da consentire il monitoraggio dei comportamenti di

cittadini UE.

Il punto di vista organizzativo

Adeguamento

25

ma

gg

io 2

018

Analisi di rischio

Contromisure Valutazioni

Formazione

Registrazioni Responsabilità

e Processi

I ruoli previsti

. COTITOLARE

DEL TRATTAMENTO

TITOLARE DEL TRATTAMENTO Determina le finalità e i mezzi del trattamento tenuto conto di natura,

ambito di applicazione, contesto e finalità del trattamento

INCARICATO DEL TRATTAMENTO

AMMINISTRATORE DI SISTEMA

RESPONSABILE DEL TRATTAMENTO

Elabora i dati personali

DATA PROTECTION OFFICER

RAPPRESENTANTE

Nominato se il titolare ha sedi fuori dall’UE

Dal punto di vista sanzionatorio

Il punto di vista informatico

Back-up

Sistemi di

sicurezza

Data Breach

LeanCompliance®

Identificazione delle esigenze del cliente e

delle parti interessate

Analisi dei processi e

valutazione del rischio

Consulenza

alla

Direzione

Implementazione

e

formazione

Audit

e

miglioramento

Lean

Compliance®

Intervento che prescinde dalla conoscenza dell’organizzazione dell’azienda; da una

robusta analisi dei rischi; dallo studio di possibili contromisure per mitigare, trasferire,

accettare o non esporsi al rischio; dall’assumere decisioni sulle contromisure e sulla loro

attuazione; dal formare le persone; dal verificare la bontà degli interventi posti in

essere; dall’attuare processi di miglioramento.

info@pkconsulting.it - 02.43994010