Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Nächste SlideShare
What to Upload to SlideShare
Weiter
Herunterladen, um offline zu lesen und im Vollbildmodus anzuzeigen.

0

Teilen

Il GDPR nelle startup

Herunterladen, um offline zu lesen

In occasione dell'incontro con l'Unione Industriale, insieme alla Dottoressa Ambra Nipote Bellan e all'avvocato Savino Figurati abbiamo snocciolato i capisaldi del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Cosa cambierà a partire dal 25 maggio 2018, quando il regolamento sarà direttamente applicabile in tutti gli Stati membri dell'Unione Europea?

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Ähnliche Hörbücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen
  • Gehören Sie zu den Ersten, denen das gefällt!

Il GDPR nelle startup

  1. 1. D O T T. S S A A M B R A N I P O T E B E L L A N U F F I C I O L E G A L E U N I O N E I N D U S T R I A L E T O R I N O 2 M A G G I O 2 0 1 8
  2. 2. ACCOUNTABILITY - RESPONSABILIZZAZIONE • Ottica anglosassone, bottom-up, pro-innovazione • Il Titolare del trattamento (società nella persona del suo legale rappresentante) deve inquadrare il proprio livello di rischio e adottare tutte le misure ad esso adeguate • Privacy by design e by default • Diversi livelli di rischio a seconda delle realtà aziendali (attività, trattamenti, organizzazione) • Sistema privacy organizzato, documentato, costantemente aggiornato • NO formalismi e standard imposti ex lege A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  3. 3. PERCORSO DI ADEGUAMENTO • Mappare i propri dati • Intervistare i dipendenti che trattano dati personali • Individuare le proprie banche dati cartacee e informatiche (trattamenti, finalità, base giuridica, tipologia di dato…) • Evidenziare i flussi di dati all’esterno per impostare la filiera privacy (responsabili esterni del trattamento, clausole di outsourcing, titolari autonomi, gruppo) • Attenzione alle comunicazioni extra UE • Analisi dei rischi ex art. 32, poi eventuale DPIA ex art. 35 A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  4. 4. CONSENSO • «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» • Ergo: possibilità di diniego, trattamenti ben individuati con finalità puntuali (no consenso a base generale) e deve essere acquisito in base ad un’informativa adeguata (qualità dell’informazione, accessibilità e visibilità). Inequivocabile e liberamente revocabile. • Attenzione all’acquisto di liste di marketing: sincerarsi che i consensi alla base siano validi e informare i clienti del subentro con un’informativa che indichi l’origine dei dati • Se già clienti no consenso per comunicazioni elettroniche su servizi analoghi a condizione che non sia intervenuto rifiuto ma ragionevolezza temporale e interpretazione restrittiva • Consenso dei minori valido a partire dai 16 anni A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  5. 5. CONTENUTI INFORMATIVA • Identità e dati di contatto del titolare e del responsabile • I dati di contatti del DPO (se presente) • Finalitàle base giuridica del trattamento (se del caso specificare quale legittimo interesse) • Eventuali destinatari • Se trasferisce i dati personali in Paesi terzi • Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo • Il diritto di presentare un reclamo all’autorità di controllo • Se il trattamento comporta processi decisionali automatizzati A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  6. 6. ORGANIGRAMMA PRIVACY • Titolare  nel caso di CDA delega privacy • Referente privacy con o senza procura • Dipendenti autorizzati e istruiti al trattamento • Incaricati «particolari» come amministratore di sistema (provv. Del Garante del 27/11/2008), rspp, addetto videosorveglianza • DPO per privati ex art. 37 quando il titolare (o il responsabile del trattamento) svolgono come principali attività trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala O trattamenti su larga scala di categorie particolari di dati personali o di dati giudiziari. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  7. 7. DATA PROTECTION OFFICER (DPO) O RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RPD) ART. 37 • LG WP29 cita come es. di trattamenti su «larga scala»: app che tracciano la posizione, dispositivi connessi come automobili intelligenti, assistenti domotici, app che monitorano il benessere psicofisico ecc... • Tra gli esempi di soggetti tenuti alla sua nomina il Garante cita le «società che forniscono servizi informatici», ma successivamente esclude le piccole e medie imprese «con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti»  sembrano escluse le start-up società informatiche del b2b, ma quelle del b2c? • Nei casi dubbi nominarlo • Figura consulenziale esterna nelle piccole realtà • Adeguata formazione e no conflitti di interesse • Solo eventuale responsabilità professionale, ma culpa in eligendo per il titolare A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  8. 8. DOCUMENTAZIONE • Rivedere le informative, attenzione al consenso • Policy interne ad es. sull’utilizzo degli strumenti informatici • Registro delle attività di trattamento sempre consigliabile anche se non obbligatorio • Rivedere contratti con i terzi cui comunico dati personali • Se contitolari (es. portale con marketing condiviso) accordo interno che disciplina le rispettive responsabilità circa gli obblighi del GDPR. Il contenuto dell’accordo deve essere a disposizione degli interessati, diritti esercitabili contro tutti i contitolari. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  9. 9. NOMINA RESPONSABILI ESTERNI • Es: call center, società di elaborazione paghe, società che gestisce in outsourcing la contabilità, società che gestisce totalmente il sistema informatico con server presso di sé, agenti di commercio, attività di service infragruppo… • Art. 28 c. 1: «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  10. 10. CONTRATTO DEVE PREVEDERE CHE IL RESPONSABILE: • Tratti i dati soltanto su istruzione documentata del Titolare • Garantisca che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale alla riservatezza • Adotti tutte le misure di sicurezza adeguate • Rispetti le condizioni previste per ricorrere ad un sub-responsabile • Assista il Titolare al fine di soddisfare l’obbligo del Titolare di dar seguito alle richieste per l’esercizio dei diritti dell’interessato • Assista il Titolare nel garantire il rispetto degli obblighi di cui agli art. da 32 a 36 (sicurezza dei dati personali), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile • Su scelta del Titolare, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che la legge preveda la conservazione dei dati • Metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal Titolare A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  11. 11. MISURE DI SICUREZZA ADEGUATE • Informatiche ma anche organizzative • No elenco tassativo come vecchio allegato B ma Linee guida ENISA cfr ISO 27001 • Art. 32 c. 1: «Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  12. 12. COSA FARE • Minimizzazione: trattare solo i dati personali necessari alla propria attività • Determinare la durata della conservazione per ciascuna categoria di dati (es. spesso obbligo di legge 10 anni per dati ufficiali) • Organizzare e mettere in sicurezza fisica, logica e soprattutto informatica i dati personali • Sicurezza informatica: integrità e riservatezza, analisi dei rischi • Responsabilizzazione, quindi rendicontazione • Eventuali adempimenti che dovessero rivelarsi necessari, es DPIA o comunicazione DATA BREACH al Garante (e anche agli interessati se il rischio per gli stessi è elevato oltre che probabile) A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  13. 13. DATA BREACH ART. 33 «In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4.Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  14. 14. DIRITTI DEGLI INTERESSATI • Obbligo di dare riscontro all’interessato entro 1 mese (o 3 in casi di particolare difficoltà) rispetto a una serie di diritti. • Diritto di accesso (art. 15) comprende il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. • Diritto alla cancellazione dei propri dati personali (art. 17). Obbligo per i titolari (se hanno “reso pubblici” i dati personali, ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano quei dati personali, compresi “qualsiasi link, copia o riproduzione”. Ha un campo di applicazione più esteso di quello dell’attuale Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  15. 15. • Diritto di limitazione del trattamento (art. 18)  è esercitabile anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante). • Diritto alla portabilità dei dati (art. 20)  Applicabile solo se trattamenti automatizzati e dati trattati con il consenso dell’interessato o sulla base di un contratto, e comunque solo relativamente ai dati che siano stati “forniti” dall’interessato al titolare. Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  16. 16. TRASFERIMENTO DATI EXTRA UE • Ogni trasferimento dati da un titolare o da un responsabile può avvenire solo sulla base di: a) una decisione di adeguatezza della Commissione UE cfr quel Paese b) cd. garanzie adeguate (come le clausole tipo di protezione approvate dalla Commissione; i codici di condotta; certificazioni; clausole contrattuali autorizzate dal Garante) c) cd. Binding corporate rules approvate dal Garante a condizione che Siano giuridicamente vincolanti e conferiscano espressamente agli interessati diritti azionabili A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  17. 17. DEROGHE EX ART. 49 • Consenso esplicito dell’interessato allo specifico trasferimento • Trasferimento necessario ad esecuzione di un contratto, per importanti motivi di interesse pubblico, per accertare un diritto davanti al giudice, per interessi vitali dell’interessato o di altre persone (se il medesimo interessato è incapace). • Trasferimento sia effettuato a partire da un registro A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  18. 18. SISTEMA PRIVACY ORGANIZZATO • Opportunità per migliorare la gestione della propria organizzazione • Ottimo biglietto da visita per l’impresa, probabilmente sarà presto previsto anche nei bandi pubblici • Sanzioni amministrative fino a 20.000.000€ o al 4% del fatturato mondiale A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  19. 19. PIANO ISPETTIVO DEL GARANTE PER IL 1° SEMESTRE 2018 (NEWSLETTER N. 438 FEBBRAIO 2018) • «L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza … riguarderà innanzitutto i trattamenti di dati effettuati dalle ASL e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, il rilascio dell’identità digitale ai cittadini italiani (Spid), l’attività delle società che si occupano di valutare il rischio e la solvibilità delle imprese, il telemarketing, il Sistema integrato di Microdati dell’Istat • I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull’informativa e il consenso, la durata della conservazione A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  20. 20. OLTRE ALLE ISPEZIONI • Il Garante monitora i mass media continuativamente • Segnalazione dei singoli che può aprire un procedimento del Garante • Sempre possibile che l’interessato agisca in giudizio per il risarcimento del danno o con un’azione inibitoria • Danno di immagine per l’azienda A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  21. 21. RESPONSABILITÀ SOLIDALE • Chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile • Il Titolare risponde per il danno cagionato dal suo trattamento che violi il GDPR. • Il Responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme e contrario rispetto alle istruzioni del Titolare • Il Titolare o il Responsabile è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile • Qualora più Titolari o Responsabili oppure entrambi il Titolare e il responsabile siano coinvolti nello stesso trattamento e siano responsabili dell’evento dannoso causato dal trattamento, ogni Titolare o Responsabile è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato • Diritto di rivalsa A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  22. 22. GRAZIE PER L’ATTENZIONE! Dott.ssa Ambra Nipote Bellan Ufficio Legale Unione Industriale a.nipote@ui.torino.it A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O

In occasione dell'incontro con l'Unione Industriale, insieme alla Dottoressa Ambra Nipote Bellan e all'avvocato Savino Figurati abbiamo snocciolato i capisaldi del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Cosa cambierà a partire dal 25 maggio 2018, quando il regolamento sarà direttamente applicabile in tutti gli Stati membri dell'Unione Europea?

Aufrufe

Aufrufe insgesamt

567

Auf Slideshare

0

Aus Einbettungen

0

Anzahl der Einbettungen

158

Befehle

Downloads

14

Geteilt

0

Kommentare

0

Likes

0

×