20180426 presentation to-personnel-v3.pptx
0 likes136 views
Il documento tratta del Regolamento Europeo sulla Protezione dei Dati (GDPR) e della necessità di adeguare la normativa italiana. Viene discussa la definizione di dati personali, i compiti dei titolari e dei responsabili del trattamento, e l'importanza della trasparenza nel trattamento dei dati. Infine, viene descritto il processo di notifica in caso di violazioni della sicurezza dei dati.
![Roberto Scarafia
5. Dove è avvenuta la violazione dei dati? (Specificare se sia avvenuta a seguito di smarrimento di dispositivi o
di supporti portatili)
6. Modalità di esposizione al rischio:
a. tipo di violazione:
a.1. lettura (presumibilmente i dati non sono stati copiati)
a.2. copia (i dati sono ancora presenti sui sistemi del titolare)
a.3. alterazione (i dati sono presenti sui sistemi ma sono stati alterati)
a.4. cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppure l'autore della violazione)
a.5. furto (i dati non sono più sui sistemi del titolare e li ha l'autore della violazione)
a.6. altro [specificare]
b. dispositivo oggetto della violazione:
b.1. computer
b.2. dispositivo mobile
b.3. documento cartaceo
b.4. file o parte di un file
b.5. strumento di backup
b.6. rete
b.7. altro [specificare](https://image.slidesharecdn.com/20180426presentation-to-personnel-v3-180426104021/85/20180426-presentation-to-personnel-v3-pptx-40-320.jpg)
![Roberto Scarafia
7. Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione:
8. Quante persone sono state colpite dalla violazione di dati personali?
a. [numero esatto] persone
b. Circa [numero] persone
c. Un numero (ancora) sconosciuto di persone
9. Che tipo di dati sono coinvolti nella violazione?
a. Dati anagrafici
b. Numeri di telefono (fisso o mobile)
c. Indirizzi di posta elettronica
d. Dati di accesso e di identificazione (user name, password, customer ID, altro)
e. Dati di pagamento (numero di conto corrente, dettagli della carta di credito, altro)
f. Altri dati personali (sesso, data di nascita/età, …), dati sensibili e giudiziari
g. Ancora sconosciuto
h. Altro [specificare]
10. Livello di gravità della violazione di dati personali (secondo le valutazioni del titolare):
a. Basso/trascurabile
b. Medio
c. Alto
d. Molto alto
11. Misure tecniche e organizzative applicate ai dati colpiti dalla violazione:](https://image.slidesharecdn.com/20180426presentation-to-personnel-v3-180426104021/85/20180426-presentation-to-personnel-v3-pptx-41-320.jpg)
![Roberto Scarafia
12. La violazione è stata comunicata anche a contraenti (o ad altre persone interessate)?
a. Sì, è stata comunicata il ….
b. No, perché [specificare]
13.Qual è il contenuto della comunicazione ai contraenti (o alle altre persone interessate)? [riportare il testo
della notificazione]
14. Quale canale è utilizzato per la comunicazione ai contraenti (o alle altre persone interessate)?
15. Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e
prevenire simili violazioni future?
16. La violazione coinvolge contraenti (o altre persone interessate) che si trovano in altri Paesi EU?
a. No
b. Si
17. La comunicazione è stata effettuata alle competenti autorità di altri Paesi EU?
a. No
b. Si [specificare]](https://image.slidesharecdn.com/20180426presentation-to-personnel-v3-180426104021/85/20180426-presentation-to-personnel-v3-pptx-42-320.jpg)
More Related Content
Similar to 20180426 presentation to-personnel-v3.pptx (20)
20180426 presentation to-personnel-v3.pptx
- 3. “i dati personali idonei a rivelare origine razziale ed etnica, le convinzioni religiose, filosofiche (...) le opinioni politiche, l'adesione a partiti, sindacati, (...),lo stato di salute e la vita sessuale” qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; Roberto Scarafia
- 4. IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO DI GESTIONE DEL DATO CHE CONSENTA DI: Rispettare i principi per il trattamento dati Fornire la prova Roberto Scarafia
- 7. I titolari (comma 1) ed i responsabili (comma 2) del trattamento tengono un registro delle attività̀ di trattamento. La tenuta del registro dei trattamenti è un obbligo da cui sono esentate solo le imprese od organizzazioni con meno di 250 dipendenti, sempre che esse: • NON effettuino trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, • Il trattamento sia occasionale, • Il trattamento NON includa categorie particolari di dati di cui all’art. 9 par. 1 (dati sensibili) o dati personali relativi a condanne penali o a reati di cui all’art. 10. Roberto Scarafia
- 8. a. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b. le finalità del trattamento; c. una descrizione delle categorie di interessati e delle categorie di dati Personali; d. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 Roberto Scarafia
- 10. Roberto Scarafia
- 11. la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità̀ e i mezzi del trattamento di dati personali; quando le finalità̀ e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri Roberto Scarafia
- 14. Il Privacy Officer, definito anche Chief Privacy Officer (nelle strutture di grandi dimensioni), è un dirigente oppure un funzionario di alto livello all’interno di un’azienda o organizzazione, responsabile fondamentalmente della gestione dei rischi e dell’impatto della normativa e delle politiche privacy sulle attività concernenti il core business. Roberto Scarafia
- 15. Il responsabile della protezione dei dati, può̀ essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi (Art. 37, c5 e WP 243) Autonomia e indipendenza (Art. 38) Roberto Scarafia
- 16. Oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando o svolgendo valutazioni di impatto e audit in materia di protezione dei dati), i DPO fungono da interfaccia fra i soggetti coinvolti: autorità̀ di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente (art. 39) Roberto Scarafia
- 17. • Sorvegliare l’osservanza del Regolamento • Ruolo nella Valutazione di Impatto sulla protezione dei dati • Cooperazione con l’autorità̀ di controllo e funzione di punto di contatto • Approccio basato sul rischio • Ruolo nella tenuta dei registri Roberto Scarafia
- 18. I DPO non rispondono personalmente in caso di inosservanza del GDPR. Quest’ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (art. 24, primo paragrafo). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare o sul responsabile Roberto Scarafia
- 19. Roberto Scarafia
- 20. Soggetti che, come attività̀ principale, effettuino un monitoraggio regolare e sistematico e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. (dati sensibili). Roberto Scarafia
- 22. • nomina del responsabile: contratto o atto giuridico • i sub-responsabili • gli adempimenti: registro dei trattamenti, la sicurezza dei dati, segnalazione di una violazione dei dati (Data Breach), nomina del DPO (Data Protection Officer) • gli audit e i controlli sul responsabile Roberto Scarafia
- 23. Questo fornitore tratta DATI di cui sono titolare? • NO … Non devo fare niente. • SI … Devo regolamentare il rapporto in essere. • Come viene trattato il DATO • Il DATO viene dato al fornitore? • Se il DATO viene dato al fornitore: dove viene conservato, con quali misure di sicurezza, in che modo garantisco il controllo, etc. … • Quanto scritto nel contratto, corrisponde a ll realtà? • Se viene fornito un software o un’applicazione: Ho verificato il rispetto della Privacy by design? Roberto Scarafia
- 26. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE IDENTITA’ E CONTATTI TITOLARE (13.1.A) ✔ = 14.1.A ✔ IDENTITA’ E CONTATTI DPO (13.1.B) ✔ = 14.1.B ✔ FINALITA’ DEL TRATTAMENTO (13.1.C) NUOVA FINALITA’ (13 .3) = 14.1.C NUOVA FINALITA’ (14.4) BASE GIURIDICA (13.1.C) ✔ = 14.1.C ✔ SE LA BASE GIURIDICA E’ IL LEGITTIMO INTERESSE EX ART 6.1.F VA SPECIFICATO (13.1.D) ✔ = 14.1.B INTERESSE LEGITTIMO (14.4) COMUNICAZIONE DEI DATI (13.1.E) ✔ = 14.1.E ✔ EVENTIUALE CIRCOLAZIONE EXTRA UE INDICANDO LE GARANZIE (13.1.F) ✔ = 14.1.F ✔ Roberto Scarafia
- 27. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE DURATA DEL TRATTAMENTO (13.2.A) = 13.3 = 14.1.a = 14.4 DIRITTI INTERESSATO: accesso/rettifica integrazione cancellazione limitazione opposizione portabilità (13.2.B) = 13.3 = 14.1.c = 14.4 DIRITTI INTERESSATO: revoca del consenso nei casi ex art 6.1.a (13.1.c) = 13.3 = 14.2.d = 14.4 DIRITTI INTERESSATO: reclamo ad Autorità Garante (13.2.d) = 13.3 = 14.2.e = 14.4 Se la comunicazione è un obbligo di legge o contrattuale (13.2.e) = 13.3 NO NO Roberto Scarafia
- 28. DIRETTA ULTERIORE SUCCESSIVA ULTERIORE Eventuale logica utilizzata per il trattamento automatizzato e conseguenze per l’interessato (13.2.f) = 13.3 = 14.1.g ✔ ✔ ✔ Origine dei dati e se provenienti da fonti pubbliche (14.2.f) = 14.4 ✔ ✔ Categorie di dati personali (14.1.d) ✔ Roberto Scarafia
- 29. PRESUPPOSTO INDICAZIONI CONSENSO PER UNA O PIU’ SPECIFICHE FINALITA’ CONTRATTO NECESSITA’ DI ESECUZIONE DEL CONTRATTO O MISURE PRECONTRATTUALI OBBLIGO LEGALE POSSIBILITA’ DI INTEGRAZIONE LEGISLAZIONE NAZIONALE SALVAGUARDIA INTERESSI VITALI DELL’INTERESSATO O DI ALTRA PERSONA FISICA COMPITO DI INTERESSE PUBBLICO POSSIBILITA’ DI INTEGRAZIONE LEGISLAZIONE NAZIONALE LEGITTIMO INTERESSE DEL TITOLARE SE NON PREVALGONO INTERESSI, DIRITTI E LIBERTA’ FONDAMENTALI DELL’INTERESSATO Roberto Scarafia
- 30. « Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano” IL TITOLARE DEVE ESSERE IN GRADO DI DIMOSTRARE CHE L’INTERESSATO HA PRESTATO UN CONSENSO Per i minori è valido a partire da 16 anni, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci Roberto Scarafia
- 33. “VIOLAZIONE DI SICUREZZA CHE COMPORTA ACCIDENTALMENTE O IN MODO ILLECITO LA DISTRUZIONE, LA PERDITA, LA MODIFICA, LA RIVELAZIONE NON AUTORIZZATA O L’ACCESSO AI DATI PERSONALI TRASMESSI, MEMORIZZATI O COMUNQUE ELABORATI” Roberto Scarafia
- 35. A • Impostare un buon controllo e monitoraggio dei sistemi e dei dati B • Implementare un sistema per la rilevazione di un DATA BREACH C • Disegnare in anticipo il flusso di come dovrà avvenire l’eventuale notifica di un DATA BREACH D • Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica E • Attenzione alla gestione dei rapporti con i responsabili Roberto Scarafia
- 37. D • Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica Roberto Scarafia Notifica Art. 33 p.3 GDPR A. Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione. B. Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni. C. Descrivere le probabili conseguenze della violazione dei dati personali. D. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
- 38. D • Al fine di accelerare i tempi è consigliabile inserire nella procedura di “BREACH” un facsimile di notifica al Garante così da avere una traccia degli elementi da inserire nella notifica Roberto Scarafia Comunicazione Art. 34 p.2 GDPR A. Descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali. B. Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni. C. Descrivere le probabili conseguenze della violazione dei dati personali. D. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.