20180426 presentation to-personnel-v3.pptx
0 likes18 views
Il documento descrive il Regolamento UE 679/2016 sulla protezione dei dati personali, il quale stabilisce principi e obblighi per i titolari e i responsabili del trattamento. Esso implica la gestione e la registrazione dei trattamenti di dati personali, l'importanza di garantire il consenso degli interessati, e le procedure in caso di violazioni dei dati. Infine, vengono delineati i ruoli e le responsabilità, inclusa la figura del Data Protection Officer, per assicurare la conformità alle normative privacy.
![Roberto Scarafia
5. Dove è avvenuta la violazione dei dati? (Specificare se sia avvenuta a seguito di smarrimento di dispositivi o
di supporti portatili)
6. Modalità di esposizione al rischio:
a. tipo di violazione:
a.1. lettura (presumibilmente i dati non sono stati copiati)
a.2. copia (i dati sono ancora presenti sui sistemi del titolare)
a.3. alterazione (i dati sono presenti sui sistemi ma sono stati alterati)
a.4. cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppure l'autore della violazione)
a.5. furto (i dati non sono più sui sistemi del titolare e li ha l'autore della violazione)
a.6. altro [specificare]
b. dispositivo oggetto della violazione:
b.1. computer
b.2. dispositivo mobile
b.3. documento cartaceo
b.4. file o parte di un file
b.5. strumento di backup
b.6. rete
b.7. altro [specificare](https://image.slidesharecdn.com/20180426presentation-to-personnel-v3-180521080842/85/20180426-presentation-to-personnel-v3-pptx-40-320.jpg)
![Roberto Scarafia
7. Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione:
8. Quante persone sono state colpite dalla violazione di dati personali?
a. [numero esatto] persone
b. Circa [numero] persone
c. Un numero (ancora) sconosciuto di persone
9. Che tipo di dati sono coinvolti nella violazione?
a. Dati anagrafici
b. Numeri di telefono (fisso o mobile)
c. Indirizzi di posta elettronica
d. Dati di accesso e di identificazione (user name, password, customer ID, altro)
e. Dati di pagamento (numero di conto corrente, dettagli della carta di credito, altro)
f. Altri dati personali (sesso, data di nascita/età, …), dati sensibili e giudiziari
g. Ancora sconosciuto
h. Altro [specificare]
10. Livello di gravità della violazione di dati personali (secondo le valutazioni del titolare):
a. Basso/trascurabile
b. Medio
c. Alto
d. Molto alto
11. Misure tecniche e organizzative applicate ai dati colpiti dalla violazione:](https://image.slidesharecdn.com/20180426presentation-to-personnel-v3-180521080842/85/20180426-presentation-to-personnel-v3-pptx-41-320.jpg)
![Roberto Scarafia
12. La violazione è stata comunicata anche a contraenti (o ad altre persone interessate)?
a. Sì, è stata comunicata il ….
b. No, perché [specificare]
13.Qual è il contenuto della comunicazione ai contraenti (o alle altre persone interessate)? [riportare il testo
della notificazione]
14. Quale canale è utilizzato per la comunicazione ai contraenti (o alle altre persone interessate)?
15. Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e
prevenire simili violazioni future?
16. La violazione coinvolge contraenti (o altre persone interessate) che si trovano in altri Paesi EU?
a. No
b. Si
17. La comunicazione è stata effettuata alle competenti autorità di altri Paesi EU?
a. No
b. Si [specificare]](https://image.slidesharecdn.com/20180426presentation-to-personnel-v3-180521080842/85/20180426-presentation-to-personnel-v3-pptx-42-320.jpg)
More Related Content
Similar to 20180426 presentation to-personnel-v3.pptx (20)
20180426 presentation to-personnel-v3.pptx
- 3. “i dati personali idonei a rivelare origine razziale ed etnica, le convinzioni religiose, filosofiche (...) le opinioni politiche, l'adesione a partiti, sindacati, (...),lo stato di salute e la vita sessuale” qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; Roberto Scarafia
- 7. I titolari (comma 1) ed i responsabili (comma 2) del trattamento tengono un registro delle attività̀ di trattamento. La tenuta del registro dei trattamenti è un obbligo da cui sono esentate solo le imprese od organizzazioni con meno di 250 dipendenti, sempre che esse: • NON effettuino trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, • Il trattamento sia occasionale, • Il trattamento NON includa categorie particolari di dati di cui all’art. 9 par. 1 (dati sensibili) o dati personali relativi a condanne penali o a reati di cui all’art. 10. Roberto Scarafia
- 8. a. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b. le finalità̀ del trattamento; c. una descrizione delle categorie di interessati e delle categorie di dati Personali; d. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 Roberto Scarafia
- 10. Roberto Scarafia
- 11. la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità̀ e i mezzi del trattamento di dati personali; quando le finalità̀ e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri Roberto Scarafia
- 14. Il Privacy Officer, definito anche Chief Privacy Officer (nelle strutture di grandi dimensioni), è un dirigente oppure un funzionario di alto livello all’interno di un’azienda o organizzazione, responsabile fondamentalmente della gestione dei rischi e dell’impatto della normativa e delle politiche privacy sulle attività concernenti il core business. Roberto Scarafia
- 15. Il responsabile della protezione dei dati, può̀ essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi (Art. 37, c5 e WP 243) Autonomia e indipendenza (Art. 38) Roberto Scarafia
- 16. Oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando o svolgendo valutazioni di impatto e audit in materia di protezione dei dati), i DPO fungono da interfaccia fra i soggetti coinvolti: autorità̀ di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente (art. 39) Roberto Scarafia
- 17. • Sorvegliare l’osservanza del Regolamento • Ruolo nella Valutazione di Impatto sulla protezione dei dati • Cooperazione con l’autorità̀ di controllo e funzione di punto di contatto • Approccio basato sul rischio • Ruolo nella tenuta dei registri Roberto Scarafia
- 18. I DPO non rispondono personalmente in caso di inosservanza del GDPR. Quest’ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (art. 24, primo paragrafo). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare o sul responsabile Roberto Scarafia
- 19. Roberto Scarafia
- 20. Soggetti che, come attività̀ principale, effettuino un monitoraggio regolare e sistematico e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. (dati sensibili). Roberto Scarafia
- 22. • nomina del responsabile: contratto o atto giuridico • i sub-responsabili • gli adempimenti: registro dei trattamenti, la sicurezza dei dati, segnalazione di una violazione dei dati (Data Breach), nomina del DPO (Data Protection Officer) • gli audit e i controlli sul responsabile Roberto Scarafia
- 23. Questo fornitore tratta DATI di cui sono titolare? • NO … Non devo fare niente. • SI … Devo regolamentare il rapporto in essere. • Come viene trattato il DATO • Il DATO viene dato al fornitore? • Se il DATO viene dato al fornitore: dove viene conservato, con quali misure di sicurezza, in che modo garantisco il controllo, etc. … • Quanto scritto nel contratto, corrisponde a ll realtà? • Se viene fornito un software o un’applicazione: Ho verificato il rispetto della Privacy by design? Roberto Scarafia
- 26. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE IDENTITA’ E CONTATTI TITOLARE (13.1.A) ✔ = 14.1.A ✔ IDENTITA’ E CONTATTI DPO (13.1.B) ✔ = 14.1.B ✔ FINALITA’ DEL TRATTAMENTO (13.1.C) NUOVA FINALITA’ (13.3) = 14.1.C NUOVA FINALITA’ (14.4) BASE GIURIDICA (13.1.C) ✔ = 14.1.C ✔ SE LA BASE GIURIDICA E’ IL LEGITTIMO INTERESSE EX ART 6.1.F VA SPECIFICATO (13.1.D) ✔ = 14.1.B INTERESSE LEGITTIMO (14.4) COMUNICAZIONE DEI DATI (13.1.E) ✔ = 14.1.E ✔ EVENTIUALE CIRCOLAZIONE EXTRA UE INDICANDO LE GARANZIE (13.1.F) ✔ = 14.1.F ✔ Roberto Scarafia
- 27. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE DURATA DEL TRATTAMENTO (13.2.A) = 13.3 = 14.1.a = 14.4 DIRITTI INTERESSATO: accesso/rettifica integrazione cancellazione limitazione opposizione portabilità (13.2.B) = 13.3 = 14.1.c = 14.4 DIRITTI INTERESSATO: revoca del consenso nei casi ex art 6.1.a (13.1.c) = 13.3 = 14.2.d = 14.4 DIRITTI INTERESSATO: reclamo ad Autorità Garante (13.2.d) = 13.3 = 14.2.e = 14.4 Se la comunicazione è un obbligo di legge o contrattuale (13.2.e) = 13.3 NO NO Roberto Scarafia
- 28. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE Eventuale logica utilizzata per il trattamento automatizzato e conseguenze per l’interessato (13.2.f) = 13.3 = 14.1.g ✔ ✔ ✔ Origine dei dati e se provenienti da fonti pubbliche (14.2.f) = 14.4 ✔ ✔ Categorie di dati personali (14.1.d) ✔ Roberto Scarafia
- 29. PRESUPPOSTO INDICAZIONI CONSENSO PER UNA O PIU’ SPECIFICHE FINALITA’ CONTRATTO NECESSITA’ DI ESECUZIONE DEL CONTRATTO O MISURE PRECONTRATTUALI OBBLIGO LEGALE POSSIBILITA’ DI INTEGRAZIONE LEGISLAZIONE NAZIONALE SALVAGUARDIA INTERESSI VITALI DELL’INTERESSATO O DI ALTRA PERSONA FISICA COMPITO DI INTERESSE PUBBLICO POSSIBILITA’ DI INTEGRAZIONE LEGISLAZIONE NAZIONALE LEGITTIMO INTERESSE DEL TITOLARE SE NON PREVALGONO INTERESSI, DIRITTI E LIBERTA’ FONDAMENTALI DELL’INTERESSATO Roberto Scarafia
- 30. « Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano” IL TITOLARE DEVE ESSERE IN GRADO DI DIMOSTRARE CHE L’INTERESSATO HA PRESTATO UN CONSENSO Per i minori è valido a partire da 16 anni, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci Roberto Scarafia
- 33. “VIOLAZIONE DI SICUREZZA CHE COMPORTA ACCIDENTALMENTE O IN MODO ILLECITO LA DISTRUZIONE, LA PERDITA, LA MODIFICA, LA RIVELAZIONE NON AUTORIZZATA O L’ACCESSO AI DATI PERSONALI TRASMESSI, MEMORIZZATI O COMUNQUE ELABORATI” Roberto Scarafia
- 35. A • Impostare un buon controllo e monitoraggio dei sistemi e dei dati B • Implementare un sistema per la rilevazione di un DATA BREACH C • Disegnare in anticipo il flusso di come dovrà avvenire l’eventuale notifica di un DATA BREACH D • Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica E • Attenzione alla gestione dei rapporti con i responsabili Roberto Scarafia
- 37. D • Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica Roberto Scarafia Notifica Art. 33 p.3 GDPR A. Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione. B. Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni. C. Descrivere le probabili conseguenze della violazione dei dati personali. D. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
- 38. D • Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica Roberto Scarafia Comunicazione Art. 34 p.2 GDPR A. Descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali. B. Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni. C. Descrivere le probabili conseguenze della violazione dei dati personali. D. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
- 45. Roberto Scarafia TOMA, quale titolare del trattamento subisce un attacco ransomware che causa la crittografia di tutti i dati. Nessun back-up è disponibile e i dati non possono essere ripristinati. Al momento dell’indagine, risulta evidente che l’unico scopo del ransomware era quello di crittografare i dati e che nessun altro malware veniva rilevato nel sistema. Comunicazione al Garante: la notifica è necessaria in caso di potenziali danni ai soggetti interessati visto che questo attacco comporta una perdita di disponibilità dei dati Comunicazione agli Interessati: la notifica dipende dalla natura dei dati violati e dal possibile effetto della perdita di disponibilità dei dati, così come altre probabili conseguenze. Commento: Se fosse disponibile un backup e se i dati potessero essere ripristinati in tempo utile, non sarebbe necessario segnalare al Garante o agli interessati poiché non ci sarebbe stata perdita permanente di disponibilità o riservatezza. Tuttavia, il Garante potrebbe considerare di verificare la conformità dei requisiti di sicurezza più ampi previsti dall’art. 32.
- 46. Roberto Scarafia Un interessato denuncia alla segreteria della TOMA una violazione di dati. Il soggetto ha ricevuto un referto di un altro paziente. Il titolare del trattamento intraprende una breve indagine (che va completata entro 24 ore) e stabilisce con ragionevole certezza che si è verificata una violazione dei dati personali e stabilisce anche se ciò è stato causato da un difetto sistemico che comporti il potenziale interessamento di altri soggetti … Comunicazione al Garante: la notifica è necessaria in caso di potenziali danni ai soggetti interessati visto che questo attacco comporta una perdita di disponibilità dei dati Comunicazione agli Interessati: Vengono notificati i soggetti interessati solo se esiste un rischio elevato ed è chiaro che altri soggetti non sono stati coinvolti. Commento: Se, dopo ulteriori indagini, si è stabilito che sono interessati più soggetti, sarà necessario aggiornare il Garante ed il titolare del trattamento dovrà intraprendere, come azione supplementare, la notifica ad altri soggetti, in caso di loro rischio elevato
- 48. Roberto Scarafia Una e-mail di “marketing diretto” viene inviata ai destinatari nel campo “a:” o “cc:”, consentendo così a ciascun destinatario di visualizzare l’indirizzo di posta elettronica di altri destinatari … Comunicazione al Garante: la notifica all’autorità di vigilanza può essere obbligatoria se è coinvolto un numero elevato di soggetti, se vengono rivelati dati sensibili (ad esempio una mailing list di un pazienti con particolari patologie) o se altri fattori presentano rischi elevati (ad esempio, la mail contiene le password iniziali di accesso ad aree riservate) Comunicazione agli Interessati: la notifica è necessaria ai soggetti interessati, a seconda del tipo dei dati personali coinvolti e della gravità delle possibili conseguenze Commento: la notifica potrebbe non essere necessaria, se non vengono rivelati dati sensibili o se viene rivelato solo un numero ristretto di indirizzi di posta elettronica.