Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019

28 Aufrufe

Veröffentlicht am

Meet Forum 2019 | Mediterranean European Economic Tourism Forum

Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica
Forte Village, in Sardegna | Sabato 5 ottobre
Banco di Sardegna Hall | 16.45 : 17.25
https://www.meetforum.it/programma-2019/

Privacy e compliance GDPR settore turistico alberghiero

Massimo Simbula
Founder Studio Legale Simbola
https://www.meetforum.it/speaker/massimo-simbula/

Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo.
https://www.meetforum.it

Veröffentlicht in: Recht
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019

  1. 1. PRIVACY COMPLIANCE GDPR SETTORE TURISTICO ALBERGHIERO Adeguamento alla nuova normativa Europea in materia di trattamento dati personali di cui al GDPR UE n.679/2016 (GDPR)
  2. 2. LA PRIVACY E IL SETTORE TURISTICO ALBERGHIERO La privacy nel settore turistico-alberghiero è da tempo un tema di particolare sensibilità tra gli operatori del settore, non solo in considerazione delle normative rilevanti in materia di tutela dei dati personali ma anche, e soprattutto, per la reputazione delle strutture ricettive e per l’importanza di proteggere le informazioni riservate e confidenziali dei loro ospiti soprattutto alla luce dell’utilizzo di nuove tecnologie. Accessi abusivi a sistemi informatici possono, naturalmente, arrecare non solo danni diretti conseguenti l’acquisizione di informazioni sensibili o clonazione carte di credito ma anche danni indiretti conseguenti, ad esempio, le obbligatorie comunicazioni ai clienti nelle ipotesi di cosiddetto “data breach”. COMPLIANCE GDPR
  3. 3. LA PRIVACY E IL SETTORE TURISTICO L’avvento del nuovo Regolamento Europeo sulla Protezione dei Dati Personali meglio descritto più avanti rappresenta non solo un obbligo di legge ma una opportunità per le aziende di affrontare in maniera strutturata le politiche connesse alla riservatezza e alla confidenzialità delle informazioni in relazione all’organizzazione aziendale che effettua trattamenti di dati personali in stretta connessione con le applicazioni e con il personale dei fornitori esterni che effettuano trattamenti di clienti dell’operatore turistico. In tal senso, oltre alla gestione dei processi autorizzativi interni, le aziende – con particolare riferimento a quelle del settore turistico/alberghiero – dovranno verificare che i loro processi di gestione della sicurezza siano calibrati sull’effettivo rischio connesso al trattamento dei dati personali dei clienti e considerando l’impatto sui diritti e le libertà di ciascuno di essi.
  4. 4. LA PRIVACY E IL SETTORE TURISTICO In tal senso, oltre alla gestione dei processi autorizzativi interni che ruotano intorno al sistema gestionale di PMS (Property Management System), le aziende del settore turistico e alberghiero dovranno verificare che i loro processi di sicurezza (gestione delle presenze, ingresso nelle camere, videosorveglianza, sistemi di geo-localizzazione, sistemi di rilevazione biometrica ecc.) siano effettivamente in linea con la nuova normativa. L’utilizzo di sistemi di promozione e prenotazione on line dovrà tenere in debita considerazione i criteri di sicurezza imposti dal nuovo Regolamento Europeo con particolare riferimento alle attività di profilazione eventualmente attuate anche per il tramite di sistemi di gestione dell’email marketing per il tramite di strumenti di invio massivo offerti da soggetti terzi.
  5. 5. LA PRIVACY E IL SETTORE TURISTICO La profilazione automatica attuata su vasta scala o la gestione di particolari categorie di dati (ad es. informazioni sulla salute del cliente) sempre su vasta scala, può comportare la necessaria nomina di un cosiddetto data protection officer (DPO). L’azienda, inoltre, dovrà strutturare una adeguata policy interna volta alla gestione del rischio informatico, la gestione degli incidenti, il piano di formazione e di tutta una serie di processi legati anche alla dimostrazione dell’attuazione delle misure di sicurezza.
  6. 6. QUANDO è applicabile la nuova normativa Il GDPR Generale sulla Protezione dei Dati dell'Unione Europea (GDPR) entra in vigore a maggio 2016 ed è direttamente applicabile in tutti gli Stati Membri a decorrere dal 25 maggio 2018. La direttiva segna il cambiamento normativo più significativo in materia di protezione dei dati avvenuto nell'Unione Europea negli ultimi 20 anni e trasforma il modo in cui le aziende gestiscono e proteggono i dati personali.
  7. 7. QUANDO è applicabile la nuova normativa IL GDPR introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (DATA BREACH).
  8. 8. IL CONSENSO dell'interessato Per i dati “sensibili” (si veda art. 9 GDPR) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22 GDPR) NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1 GDPR) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
  9. 9. IL CONSENSO dell'interessato Il consenso dei minori è valido, a livello europeo, a partire dai 16/14 anni ma per poter effettuare una prenotazione in Italia è comunque richiesta la maggiore età (18 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). DEVE essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del GDPR).
  10. 10. Il GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del GDPR e coincidono, in linea di massima, con quelli previsti attualmente dal Codice Privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). LICEITÀ del trattamento
  11. 11. I CONTENUTI dell'informativa I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del GDPR e in parte sono più ampi rispetto al Codice Privacy. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
  12. 12. I CONTENUTI dell'informativa Il GDPR prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.
  13. 13. MODALITÀ dell'informativa Il GDPR specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice,e per i minori occorre prevedere informative idonee. L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online, anche se sono ammessi “altri mezzi”), quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra. Il GDPR ammette, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo “in combinazione”con l'informativa estesa.
  14. 14. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il GDPR, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2 GDPR), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2 GDPR). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali. I CONSENSI RACCOLTI prima del 25 maggio 2018
  15. 15. Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego. Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12.5 GDPR), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice Privacy, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3 GDPR); in quest'ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità; può essere dato oralmente solo se così richiede l'interessato stesso (art. 12, paragrafo 1 GDPR; si veda anche art. 15, paragrafo 3 GDPR). DIRITTI degli interessati
  16. 16. Il GDPR: l  disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente; l  fissa più dettagliatamente (rispetto all'art. 29 del Codice Privacy) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell';art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel GDPR; TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
  17. 17. l  consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso “non gli è in alcun modo imputabile”(si veda art.82,paragrafo 1 e paragrafo 3); l  prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 GDPR); la designazione di un RPD-DPO, nei casi previsti dal GDPR o dal diritto nazionale (si veda art. 37 del GDPR). Si ricorda, inoltre, che anche il responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art. 27,paragrafo 3,del GDPR –diversamente da quanto prevede oggi l'art.5,comma 2,del Codice Privacy. TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
  18. 18. Il GDPR pone con forza l'accento sulla “responsabilizzazione” (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del GDPR (si vedano artt. 23-25, in particolare, e l'intero Capo IV del GDPR). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel GDPR. ACCOUNTABILITY
  19. 19. ACCOUNTABILITY Il primo fra tali criteri è sintetizzato dall'espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili “al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso”, secondo quanto afferma l'art. 25(1) del GDPR) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
  20. 20. ACCOUNTABILITY Dunque, l'intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l';abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia. Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l'erede dell'attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
  21. 21. La valutazione d'impatto (PIA – Privacy Impact Assessment) è fondamentale per proteggere la privacy e la conformità dei processi e servizi al GDPR. Lo scopo della valutazione d'impatto è quello di produrre una descrizione sistematica delle attività di trattamento dei dati previste e di determinare la base giuridica per il trattamento. Le valutazioni di impatto dovrebbero descrivere l'approccio che un'azienda adotterà per attenuare i rischi. L'esecuzione delle valutazioni d'impatto non deve essere un'attività di compliance isolata, ma incorporata nei processi esistenti in modo che i rischi potenziali e i costi riferiti alle correzioni siano chiari in fase di decisione e approvazione. LA VALUTAZIONE d'impatto
  22. 22. Il GDPR talvolta richiede un'attività specifica di valutazione d'impatto denominata valutazione d'impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment). Il GDPR prevede l'esecuzione di valutazioni d'impatto sulla protezione dei dati per i trattamenti di dati che potenzialmente presentano un rischio elevato per i diritti e le libertà degli interessati, in particolare quando si implementano nuove tecnologie o nei casi di trattamento su larga scala di categorie particolari di dati personali. Le valutazioni d'impatto sulla protezione dei dati devono valutare la necessità e la proporzionalità del trattamento per identificare i rischi per i diritti e le libertà degli interessati. Per soddisfare i requisiti di una valutazione d'impatto sulla protezione dei dati è possibile effettuare una valutazione d'impatto più generale. LA VALUTAZIONE d'impatto
  23. 23. Il primo passo da compiere è esaminare a fondo il GDPR e sensibilizzare l'organizzazione rispetto ai cambiamenti imminenti. Per adeguarsi correttamente al GDPR è essenziale ottenere l'appoggio della dirigenza e coinvolgere adeguatamente tutti gli stakeholder chiave. Solo con il coinvolgimento degli stakeholder chiave sarà possibile iniziare a identificare le aree più critiche per la conformità. Occorre quindi documentare quali dati personali sono in possesso dell'azienda, da dove provengono e con chi vengono condivisi. È importante identificare e classificare tutti i dati personali che l'azienda raccoglie, tratta e archivia. Una volta chiarito quali dati personali vengono trattati, dove, da chi e in che modo, il passo successivo consiste nell'identificare il grado di completezza delle misure di conformità attuali. Anche questa analisi delle lacune dovrebbe iniziare dalla visione strategica dei dati personali. ROADMAP GDPR
  24. 24. DATABREACH Una violazione della sicurezza che comporta “la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali”. Il nuovo regolamento prevede che il titolare del trattamento notifichi ogni violazione all'autorità di controllo competente entro 24 ore dall'individuazione.
  25. 25. SULLE ATTIVITÀ dello STUDIO LEGALE
  26. 26. SULLE ATTIVITÀ dello Studio legale FASE DI ADEGUAMENTO LEGALE,DOCUMENTALE,ORGANIZZATIVO E DI GESTIONE DEI PROCESSI. DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ: redazione di un mandato privacy infra-gruppo alla luce dell’obbligo del GDPR UE per individuare con contratto gli ambiti di competenza tra eventuali contitolari del trattamento; individuazione e redazione personalizzata degli atti di nomina a Responsabile interno del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal GDPR) e strutturazione della procedura interna di conferimento delle nomine; l’attività include altresì la strutturazione del Registro delle attività del trattamento, nuovo adempimento documentale previsto dal GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile interno o esterno del trattamento;
  27. 27. SULLE ATTIVITÀ dello Studio legale individuazione e redazione personalizzata degli atti di nomina a Responsabile esterno del trattamento, in base ai contratti in essere vigenti; l’attività include altresì la strutturazione del  Registro delle attività del trattamento per i responsabili esterni del trattamento; individuazione e redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del GDPR UE – di quelli che la normativa italiana ha fino ad oggi definito “incaricati del trattamento”; il GDPR non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal GDPR UE); PACCHETTO PRIVACY -COMPLIANCE GDPR
  28. 28. SULLE ATTIVITÀ dello Studio legale assistenza organizzativa in merito alla definizione e nomina della nuova figura del c.d. Data Protection Officer (DPO), ossia una figura prevista dall’art. 37 del GDPR, interna o esterna all’azienda, e del tutto diversa dal responsabile del trattamento previsto dal Codice Privacy. Si tratta difatti di una figura estremamente specializzata nel settore della data protection, dotato di completa autonomia (ivi incluso il potere di spesa) che sovrintende, valuta ed organizza la gestione e protezione dei dati nell’ambito del trattamento svolto. L’obbligo di nomina del DPO non è generale ma relativo a titolari del trattamento pubblici e a titolari del trattamento privati le cui attività principali comportino su larga scala trattamenti di dati sensibili, sanitari, genetici o biometrici o trattamenti di dati personali che, in forza della loro natura, ambito di applicazione e/o finalità, richiedano un monitoraggio sistematico su larga scala degli interessati; si segnala che il recente Parere del Gruppo dei Garanti UE del 16 Dicembre 2016 sull’obbligo di nomina del DPO ha dato chiarimenti in merito alle situazioni ed ai trattamenti che si pongono quali presupposto dell’obbligo di nomina del DPO (ad es., il Parere menziona a titolo di esempio l’esistenza di contratti di fornitura attivi con un elevato numero di utenti); PACCHETTO PRIVACY -COMPLIANCE GDPR
  29. 29. SULLE ATTIVITÀ dello Studio legale revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art.13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi); adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del GDPR a tutela degli interessati; revisione e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi non appartenenti alla Unione Europea,ove necessari); PACCHETTO PRIVACY -COMPLIANCE GDPR
  30. 30. SULLE ATTIVITÀ dello Studio legale implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione dei dati” (Privacy Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documentazione; va specificato che tale nuova procedura è del tutto interna e obbliga il Titolare a rivolgersi al Garante (che risponde con parere motivato nelle 8 settimane successive) esclusivamente ove all’esito della valutazione il Titolare ritenga che le misure intraprese non eliminino i rischi; solo a quel punto scatta una interlocuzione con il Garante che ricorda l’attuale prior checking (l’interpello preventivo dell’art. 17 del Codice della privacy), che come tale è invece del tutto abrogato come obbligo dal nuovo GDPR UE; in ogni caso si attenderà il provvedimento del Garante che elenca i casi di PIA obbligatoria (o anche i casi contrari di PIA non obbligatoria); PACCHETTO PRIVACY -COMPLIANCE GDPR
  31. 31. SULLE ATTIVITÀ dello Studio legale implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita,solo i dati personali necessari per ogni specifica finalità del trattamento; implementazione dei processi e della documentazione volti a garantire il nuovo di-ritto alla portabilità dei dati; monitoraggio dei siti web ufficiale del Cliente ai fini della verifica dei contenuti legali privacy (informative,consensi,privacy policies e operatività dei cookies in conformità al relativo Provvedimento Generale del Garante) implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal GDPR. PACCHETTO PRIVACY -COMPLIANCE GDPR
  32. 32. DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ,PREVIO SPECIFICO AUDIT TECNICO-INFRASTRUTTURALE DI CONCERTO CON IL RESPONSABILE INFORMATION TECHNOLOGY DEL CLIENTE: FASE DI ADEGUAMENTO tecnico informatico e infrastrutturale Adeguamenti tecnici, infrastrutturali, informatici, di implementazione delle politiche tecniche di sicurezza come richiesti dall’art. 32 del GDPR UE (ivi inclusi i nuovi processi di limitazione del trattamento e di pseudonimizzazione dei trattamenti); PACCHETTO PRIVACY -COMPLIANCE GDPR Implementazione di un sistema di c.d. data breach  su reti e infrastrutture del Cliente volta a dare attuazione agli obblighi – anche documentali – di notifica al Garante e/o agli interessati, ove sia del caso applicabile l’art. 34 del GDPR UE – delle violazioni di dati personali ai sensi dell’art.33 del GDPR UE; Tutte le eventuali attività di certificazione e/o di adesione a codici di condotta che il Cliente vorrà implementare ai sensi di quanto previsto dal nuovo GDPR UE.
  33. 33. INFO@STUDIOLEGALESIMBULA.COM FACEBOOK.COM/MASSIMOSIMBULA CONTACT US TWITTER.COM/MASSIMOSIMBULA www.studiolegalesimbula.com LINKEDIN.COM/IN/MASSIMOSIMBULA CAGLIARI: Viale La Plaia,15 –09123 MILANO: Via Vitruvio,1 –20124 www.lt42.it

×