SlideShare une entreprise Scribd logo

wp2privacy slides Gdpr

Andrea Gandini
Andrea Gandini

Slides a disposizione dei partecipanti ai corsi di formazione GDPR. Formazione circa il quadro normativo della protezione dei dati e privacy. (GDPR, leggi e decreti successivi. Slides realizzate da wp2privacy (Dottoressa Marinzia Pagliaro e Dottor Andrea Gandini). Ultimo aggiornamento: 8giu2023

Droit
1  sur  27
Télécharger pour lire hors ligne
Privacy e GDPR in azienda Relatori: Dottoressa Marinzia Pagliaro (consulente privacy e DPO) Dottor Andrea Gandini (consulente informatico/giuridico e protezione dati) Formazione by www.wp2privacy.net Sono consentite la copia integrale (non parziale) e diffusione delle presenti slides senza scopo di lucro e senza apportare modifiche. Le slides sono a scopo esclusivamente informativo, nessuno p
Disciplina il trattamento dei dati personali delle persone fisiche GDPR General Data Protection Regulation (Regolamento EU 2016/679) In vigore dal 24maggio 2016 e applicabile dal 25 maggio 2018. E’ stato adeguato all’ordinamento giuridico italiano con il D.Lgs 101/2018. Formazione by www.wp2privacy.net
Artt. 1-2-3 Regolamento EU 2016/679 A chi si applica il GDPR? Il Regolamento si applica al trattamento (automatizzato e non) ed alla circolazione dei dati personali delle persone fisiche all’interno dell’Unione Europea. Il presente regolamento NON si applica ai dati personali delle persone giuridiche (considerando 14 GDPR) e NON si applica al trattamento di dati personali effettuato da una persona fisica a carattere esclusivamente personale o domestico e, quindi, senza una connessione con una attività commerciale o professionale (considerando 18 GDPR). Formazione by www.wp2privacy.net
I dati particolari (in passato detti “sensibili”, art.9, par.1GDPR) sono: dati genetici; biometrici; appartenenza a partiti, religioni o sindacati; preferenze sessuali. Si distingue poi la categoria dei dati giudiziari (Direttiva polizia, 680/2016). Quando un dato è personale? Un dato è personale quando permetta di identificare, direttamente o indirettamente, da solo o combinato con altri, inequivocabilmente una persona fisica (art.4 par1 GDPR). Esempi: nome, indirizzo, codice fiscale, email, IP. Formazione by www.wp2privacy.net
Il trattamento può avvenire su supporto informatico, cartaceo, ecc. Cosa si intende per trattamento di dato personale? Trattamento è qualsiasi operazione (automatizzata e non) di raccolta dati, cancellazione,modifica, uso, aggiornamento, consultazione, elaborazione, estrazione, raffronto, ecc (art.4, par2) Si distingue la profilazione che è un trattamento automatizzato con cui si elaborano i dati dell’interessato per costruirne un profilo al fine di analizzare o prevedere determinati aspetti della sua persona (interessi, preferenze, comportamento, etc.) (art.4 par.4 GDPR). Il trattamento è ispirato a criteri di liceità, correttezza, trasparenza,minimizzazione e per finalità esplicite, legittime e limitate nel tempo al perseguimento dello scopo da raggiungere (considerando 39, art.5 GDPR). Formazione by www.wp2privacy.net
Il responsabile del trattamento è figura esterna (esempio: commercialista) Titolare, interessato, responsabile ed incaricato Interessato: persona i cui dati sono trattati. Titolare del trattamento: persona fisica/giuridica che definisce modalità e finalità del trattamento (art.4, par.7 e art.24 GDPR) Responsabile del trattamento: persona fisica/giuridica (delegata), che tratta i dati personali per conto del titolare(art4.par8 e art.28 GDPR) Incaricato: persona che operativamente tratta i dati (esempio: data entry) Formazione by www.wp2privacy.net
Il titolare del trattamento deve adempiere alla richiesta entro 1 mese(considerando 59). Diritti degli interessati Di accesso, rettifica, opposizione (per trattamenti di marketing non è necessario addurre motivazione alla richiesta), limitazione del trattamento, portabilità dei dati e cancellazione (detto oblio, considerando 65, è negabile per interesse pubblico o sanitario, considerando 52 e 53) (artt.15 e ss.). Formazione by www.wp2privacy.net
Fra i due valori viene scelto quello più gravoso Sanzioni Sanzioni fino a €20,000,000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, par.5 GDPR) Formazione by www.wp2privacy.net
Art. 5 Gdpr, considerando 39, considerando 58. Principi GDPR (ACCOUNTABILITY) Liceità, correttezza e trasparenza Limitazione della finalità (i dati vanno raccolti solo per scopi precisi, espliciti e legittimi) Minimizzazione dei dati (i dati vanno trattati solo se strettamente necessari) Esattezza e aggiornamento Limitazione della conservazione Integrità e riservatezza Formazione by www.wp2privacy.net
Si sconsiglia vivamente il fai da te, l’utilizzo di fac-simili recuperati dal web, il seguire spicci consigli di tuttologi. Sintesi adempimenti del titolare Tenuta del registro dei trattamenti (considerando 82 e art.30); divulgazione informativa; raccolta del consenso; formazione obbligatoria Gdpr per il personale addetto al tattamento; mantenimento degli standard adeguati (considerando 71, 74 e 78 e art.32GDPR) di sicurezza del dato, a livello fisico, organizzativo e informatico; eventuale nomina DPO; eventuale DPIA(considerando 84 e 90); notifica di un eventuale data breach(considerando 85 e 87 e artt. 33 e 34 par.4 gdpr) ; nomina incaricati al trattamento. Formazione by www.wp2privacy.net
Nomina obbligatoria in caso di: trattamento effettuato da enti pubblici; monitoraggio su larga scala; trattamento di dati particolari o relativi a condanne penali (considerando 97). DPO = Data Protection Officer (RPD, ossia responsabile protezione dati). Art.37 Gdpr Sorveglia l’osservanza del GDPR, valutando i rischi di ogni trattamento. Fornisce consigli a livello normativo/informatico. Deve poter agire con indipendenza. Formazione by www.wp2privacy.net
La terminologia per l’informativa deve essere chiara e facilmente comprensibile; l’eventuale consenso deve essere granulare. Informativa (art.13 GDPR) Con tale adempimento il titolare del trattamento rende edotto l’interessato di come i suoi dati personali saranno trattati, per quali scopi, con quale impatto sulla sua privacy, con quali tempi e limiti. Inoltre fornisce informazioni afferenti i diritti degli interessati e come esercitarli. Formazione by www.wp2privacy.net
Il Gdpr permette di esprimere il consenso agli ultrasedicenni. In Italia, il D.Lgs 101/2018 lo consente agli ultraquattordicenni. BASI GIURIDICHE DEL TRATTAMENTO: Contratto, Obbligo legale, CONSENSO. (art.6 GDPR) Il consenso è una delle basi giuridiche necessarie per trattare i dati personali in maniera legittima (a meno che il trattamento non sia fondato su un obbligo di legge-considerando 45; art.6 par.1, lett.c- o su un contratto azionato su richiesta dello stesso interessato- considerando 44; art1, par.b-). Il trattamento è altresì lecito quando necessario a proteggere un interesse vitale dell’interessato o altra persona fisica (considerando 46).Il consenso deve essere libero, informato, inequivocabile e granulare (considerando 32, 40, art.4, par.11 e art.7 par.2). Per i minori (considerando 38) di anni 14 il consenso è esprimibile dai genitori. Il Gdpr non prevede la forma scritta per il consenso ma la consigliamo fortemente perché l’onere della prova è in capo al titolare (considerando 42 e art.5, par.2). Vietate check box preselezionate. Formazione by www.wp2privacy.net
Art. 6 Gdpr Basi giuridiche del trattamento Necessità contrattuali; L’utente ha prestato consenso per specifiche finalità; Tutela di interessi vitali per l’utente; Trattamento necessario per adempiere ad un obbligo di legge; Pubblico interesse; Interesse legittimo del titolare del trattamento. Formazione by www.wp2privacy.net
Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD). Registro delle attività di trattamento (considerando 82 e art.30) Reca almeno le seguenti informazioni: il nome ed i dati di contatto del Titolare; eventuale Contitolare del trattamento; DPO/RPD; le finalità del trattamento; sintetica descrizione delle categorie di interessati (utenti, dipendenti, altro); categorie di dati personali (dati identificativi, dati genetici, dati biometrici, dati afferenti alla salute); categorie di destinatari a cui i dati personali vengono comunicati; eventuale trasferimento di dati personali all’estero; i termini ultimi previsti per la cancellazione delle diverse categorie di dati; riferimento alle misure di sicurezza tecniche ed organizzative del trattamento adottate. Formazione by www.wp2privacy.net
A seguito di valutazione di impatto, può non essere necessaria la comunicazione (necessaria attenta valutazione fatta da esperti). Data breach Il data breach è una violazione dei dati che determina la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali. Il data breach deve essere notificato dal titolare al Garante per la protezione dei dati. La notifica deve avvenire entro e non oltre 72 ore dalla scoperta della violazione. Esempio: email con in CC anziché BCC (copia nascosta) un grosso elenco di indirizzi email di persone che non si conoscono e non devono venir a conoscenza di altrui indirizzo). Formazione by www.wp2privacy.net
Articoli 35 e 36 Gdpr e considerando 75, 76, 77, 78 e 90. DPIA = data protection impact assessment Documento complesso, finalizzato all’analisi del rischio, dell’impatto dei trattamenti sulle libertà e diritti delle persone fisiche. Da effettuare in tre ipotesi. a) trattamento automatizzato per la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sugli intressati; b) trattamento, su larga scala, di dati particolari o giudiziari; c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Formazione by www.wp2privacy.net
Riferimenti importanti: art 44 Gdpr e sentenza Schrems 2. Trasferimento dati all’estero la circolazione dei dati all'interno della UE è libera (art. 12 Convenzione 108), i trasferimenti fuori dai Paesi membri sono generalmente vietati, a meno che non intervengano specifiche garanzie. Formazione by www.wp2privacy.net
* Fonte: www.garanteprivacy.it/faq/videosorveglianza come da accesso del 7dic2020. Videocamere Non occorre una autorizzazione da parte del Garante per installare le telecamere; Le persone che transitano nelle aree videosorvegliate devono essere informate della presenza delle telecamere mediante apposito cartello; spetta al titolare del trattamento individuare i tempi di conservazione delle immagini; quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione; Ad esempio, generalmente, il titolare di un piccolo esercizio commerciale si accorge della perpetrazione di eventuali atti vandalici il giorno stesso in cui si verificano. Un periodo di conservazione di 24 ore sarebbe quindi sufficiente al raggiungimento dello scopo. Diversamente, la chiusura dell’esercizio durante i fine settimana o in periodi festivi più lunghi potrebbe altrimenti giustificare un tempo di conservazione più lungo. * Formazione by www.wp2privacy.net
D.Lgs 101/2018 Altro dal D.Lgs 101/2018: a) Aggiunge 2 nuove fattispecie di reato: comunicazione e diffusione illecita di dati personali; acquisizione fraudolenta di dati personali. b) Non necessario il consenso al trattamento dei dati forniti spontaneamente inviando un curriculum (il titolare dovrà fornire una informativa solo in caso di primo contatto utile con l’interessato. c) I diritti di persona deceduta possono essere esercitati da chi abbia interesse proprio o agisca a tutela dell’interessato o quale mandatario o per ragioni familiari meritevoli di protezione. Formazione by www.wp2privacy.net
Email: info@wp2privacy.net Grazie per l’attenzione. Il materiale didattico è disponibile sul sito: Www.wp2privacy.net Www.dottorgandini.it Www.slideshare.net Formazione by www.wp2privacy.net
WWW.WP2PRIVACY.NET Ulteriori informazioni e contatti: Dottor Andrea Gandini: consulente informatico-giuridico e privacy, formatore e autore di manuali e saggi. Master di secondo livello in Data Protection (tesi su privacy by design per blockchain), laurea in giurisprudenza con tesi inerente la digitalizzazione della P.A., diploma di perito informatico. Esperto di web privacy, digital HR e software amministrativi. Maggiori dettagli su www.dottorgandini.it Dottoressa Marinzia Pagliaro: consulente privacy e DPO. Laureatasi in giurisprudenza, ha, poi, conseguito un master di secondo livello in “data protection“. Esperta in privacy del sistema sanitario -pubblico e privato- e compliance di piccole e medie imprese, collabora, quale autrice, con la rivista scientifica “Diritto, Economia e Tecnologie della Privacy. Formazione by www.wp2privacy.net
wp2privacy slides Gdpr
wp2privacy slides Gdpr
wp2privacy slides Gdpr
wp2privacy slides Gdpr
wp2privacy slides Gdpr

Recommandé

Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRMassimiliano Tavella
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 

Recommandé

Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRMassimiliano Tavella
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR Cosa fare per WordPress (e per tutti i siti web)
GDPR Cosa fare per WordPress (e per tutti i siti web)GDPR Cosa fare per WordPress (e per tutti i siti web)
GDPR Cosa fare per WordPress (e per tutti i siti web)Fabrizio Puce
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12Giovanni Maria Riccio
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guidaOrdine Ingegneri Lecco
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 

Contenu connexe

Similaire à wp2privacy slides Gdpr

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Pietro Calorio
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR Cosa fare per WordPress (e per tutti i siti web)
GDPR Cosa fare per WordPress (e per tutti i siti web)GDPR Cosa fare per WordPress (e per tutti i siti web)
GDPR Cosa fare per WordPress (e per tutti i siti web)Fabrizio Puce
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 

Similaire à wp2privacy slides Gdpr (20)

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR Cosa fare per WordPress (e per tutti i siti web)
GDPR Cosa fare per WordPress (e per tutti i siti web)GDPR Cosa fare per WordPress (e per tutti i siti web)
GDPR Cosa fare per WordPress (e per tutti i siti web)
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
Axioma privacy 29.2.12
Axioma privacy 29.2.12Axioma privacy 29.2.12
Axioma privacy 29.2.12
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 

wp2privacy slides Gdpr

  • 1. Privacy e GDPR in azienda Relatori: Dottoressa Marinzia Pagliaro (consulente privacy e DPO) Dottor Andrea Gandini (consulente informatico/giuridico e protezione dati) Formazione by www.wp2privacy.net Sono consentite la copia integrale (non parziale) e diffusione delle presenti slides senza scopo di lucro e senza apportare modifiche. Le slides sono a scopo esclusivamente informativo, nessuno p
  • 2. Disciplina il trattamento dei dati personali delle persone fisiche GDPR General Data Protection Regulation (Regolamento EU 2016/679) In vigore dal 24maggio 2016 e applicabile dal 25 maggio 2018. E’ stato adeguato all’ordinamento giuridico italiano con il D.Lgs 101/2018. Formazione by www.wp2privacy.net
  • 3. Artt. 1-2-3 Regolamento EU 2016/679 A chi si applica il GDPR? Il Regolamento si applica al trattamento (automatizzato e non) ed alla circolazione dei dati personali delle persone fisiche all’interno dell’Unione Europea. Il presente regolamento NON si applica ai dati personali delle persone giuridiche (considerando 14 GDPR) e NON si applica al trattamento di dati personali effettuato da una persona fisica a carattere esclusivamente personale o domestico e, quindi, senza una connessione con una attività commerciale o professionale (considerando 18 GDPR). Formazione by www.wp2privacy.net
  • 4. I dati particolari (in passato detti “sensibili”, art.9, par.1GDPR) sono: dati genetici; biometrici; appartenenza a partiti, religioni o sindacati; preferenze sessuali. Si distingue poi la categoria dei dati giudiziari (Direttiva polizia, 680/2016). Quando un dato è personale? Un dato è personale quando permetta di identificare, direttamente o indirettamente, da solo o combinato con altri, inequivocabilmente una persona fisica (art.4 par1 GDPR). Esempi: nome, indirizzo, codice fiscale, email, IP. Formazione by www.wp2privacy.net
  • 5. Il trattamento può avvenire su supporto informatico, cartaceo, ecc. Cosa si intende per trattamento di dato personale? Trattamento è qualsiasi operazione (automatizzata e non) di raccolta dati, cancellazione,modifica, uso, aggiornamento, consultazione, elaborazione, estrazione, raffronto, ecc (art.4, par2) Si distingue la profilazione che è un trattamento automatizzato con cui si elaborano i dati dell’interessato per costruirne un profilo al fine di analizzare o prevedere determinati aspetti della sua persona (interessi, preferenze, comportamento, etc.) (art.4 par.4 GDPR). Il trattamento è ispirato a criteri di liceità, correttezza, trasparenza,minimizzazione e per finalità esplicite, legittime e limitate nel tempo al perseguimento dello scopo da raggiungere (considerando 39, art.5 GDPR). Formazione by www.wp2privacy.net
  • 6. Il responsabile del trattamento è figura esterna (esempio: commercialista) Titolare, interessato, responsabile ed incaricato Interessato: persona i cui dati sono trattati. Titolare del trattamento: persona fisica/giuridica che definisce modalità e finalità del trattamento (art.4, par.7 e art.24 GDPR) Responsabile del trattamento: persona fisica/giuridica (delegata), che tratta i dati personali per conto del titolare(art4.par8 e art.28 GDPR) Incaricato: persona che operativamente tratta i dati (esempio: data entry) Formazione by www.wp2privacy.net
  • 7. Il titolare del trattamento deve adempiere alla richiesta entro 1 mese(considerando 59). Diritti degli interessati Di accesso, rettifica, opposizione (per trattamenti di marketing non è necessario addurre motivazione alla richiesta), limitazione del trattamento, portabilità dei dati e cancellazione (detto oblio, considerando 65, è negabile per interesse pubblico o sanitario, considerando 52 e 53) (artt.15 e ss.). Formazione by www.wp2privacy.net
  • 8. Fra i due valori viene scelto quello più gravoso Sanzioni Sanzioni fino a €20,000,000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, par.5 GDPR) Formazione by www.wp2privacy.net
  • 9. Art. 5 Gdpr, considerando 39, considerando 58. Principi GDPR (ACCOUNTABILITY) Liceità, correttezza e trasparenza Limitazione della finalità (i dati vanno raccolti solo per scopi precisi, espliciti e legittimi) Minimizzazione dei dati (i dati vanno trattati solo se strettamente necessari) Esattezza e aggiornamento Limitazione della conservazione Integrità e riservatezza Formazione by www.wp2privacy.net
  • 10. Si sconsiglia vivamente il fai da te, l’utilizzo di fac-simili recuperati dal web, il seguire spicci consigli di tuttologi. Sintesi adempimenti del titolare Tenuta del registro dei trattamenti (considerando 82 e art.30); divulgazione informativa; raccolta del consenso; formazione obbligatoria Gdpr per il personale addetto al tattamento; mantenimento degli standard adeguati (considerando 71, 74 e 78 e art.32GDPR) di sicurezza del dato, a livello fisico, organizzativo e informatico; eventuale nomina DPO; eventuale DPIA(considerando 84 e 90); notifica di un eventuale data breach(considerando 85 e 87 e artt. 33 e 34 par.4 gdpr) ; nomina incaricati al trattamento. Formazione by www.wp2privacy.net
  • 11. Nomina obbligatoria in caso di: trattamento effettuato da enti pubblici; monitoraggio su larga scala; trattamento di dati particolari o relativi a condanne penali (considerando 97). DPO = Data Protection Officer (RPD, ossia responsabile protezione dati). Art.37 Gdpr Sorveglia l’osservanza del GDPR, valutando i rischi di ogni trattamento. Fornisce consigli a livello normativo/informatico. Deve poter agire con indipendenza. Formazione by www.wp2privacy.net
  • 12. La terminologia per l’informativa deve essere chiara e facilmente comprensibile; l’eventuale consenso deve essere granulare. Informativa (art.13 GDPR) Con tale adempimento il titolare del trattamento rende edotto l’interessato di come i suoi dati personali saranno trattati, per quali scopi, con quale impatto sulla sua privacy, con quali tempi e limiti. Inoltre fornisce informazioni afferenti i diritti degli interessati e come esercitarli. Formazione by www.wp2privacy.net
  • 13. Il Gdpr permette di esprimere il consenso agli ultrasedicenni. In Italia, il D.Lgs 101/2018 lo consente agli ultraquattordicenni. BASI GIURIDICHE DEL TRATTAMENTO: Contratto, Obbligo legale, CONSENSO. (art.6 GDPR) Il consenso è una delle basi giuridiche necessarie per trattare i dati personali in maniera legittima (a meno che il trattamento non sia fondato su un obbligo di legge-considerando 45; art.6 par.1, lett.c- o su un contratto azionato su richiesta dello stesso interessato- considerando 44; art1, par.b-). Il trattamento è altresì lecito quando necessario a proteggere un interesse vitale dell’interessato o altra persona fisica (considerando 46).Il consenso deve essere libero, informato, inequivocabile e granulare (considerando 32, 40, art.4, par.11 e art.7 par.2). Per i minori (considerando 38) di anni 14 il consenso è esprimibile dai genitori. Il Gdpr non prevede la forma scritta per il consenso ma la consigliamo fortemente perché l’onere della prova è in capo al titolare (considerando 42 e art.5, par.2). Vietate check box preselezionate. Formazione by www.wp2privacy.net
  • 14. Art. 6 Gdpr Basi giuridiche del trattamento Necessità contrattuali; L’utente ha prestato consenso per specifiche finalità; Tutela di interessi vitali per l’utente; Trattamento necessario per adempiere ad un obbligo di legge; Pubblico interesse; Interesse legittimo del titolare del trattamento. Formazione by www.wp2privacy.net
  • 15. Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD). Registro delle attività di trattamento (considerando 82 e art.30) Reca almeno le seguenti informazioni: il nome ed i dati di contatto del Titolare; eventuale Contitolare del trattamento; DPO/RPD; le finalità del trattamento; sintetica descrizione delle categorie di interessati (utenti, dipendenti, altro); categorie di dati personali (dati identificativi, dati genetici, dati biometrici, dati afferenti alla salute); categorie di destinatari a cui i dati personali vengono comunicati; eventuale trasferimento di dati personali all’estero; i termini ultimi previsti per la cancellazione delle diverse categorie di dati; riferimento alle misure di sicurezza tecniche ed organizzative del trattamento adottate. Formazione by www.wp2privacy.net
  • 16. A seguito di valutazione di impatto, può non essere necessaria la comunicazione (necessaria attenta valutazione fatta da esperti). Data breach Il data breach è una violazione dei dati che determina la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali. Il data breach deve essere notificato dal titolare al Garante per la protezione dei dati. La notifica deve avvenire entro e non oltre 72 ore dalla scoperta della violazione. Esempio: email con in CC anziché BCC (copia nascosta) un grosso elenco di indirizzi email di persone che non si conoscono e non devono venir a conoscenza di altrui indirizzo). Formazione by www.wp2privacy.net
  • 17. Articoli 35 e 36 Gdpr e considerando 75, 76, 77, 78 e 90. DPIA = data protection impact assessment Documento complesso, finalizzato all’analisi del rischio, dell’impatto dei trattamenti sulle libertà e diritti delle persone fisiche. Da effettuare in tre ipotesi. a) trattamento automatizzato per la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sugli intressati; b) trattamento, su larga scala, di dati particolari o giudiziari; c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Formazione by www.wp2privacy.net
  • 18. Riferimenti importanti: art 44 Gdpr e sentenza Schrems 2. Trasferimento dati all’estero la circolazione dei dati all'interno della UE è libera (art. 12 Convenzione 108), i trasferimenti fuori dai Paesi membri sono generalmente vietati, a meno che non intervengano specifiche garanzie. Formazione by www.wp2privacy.net
  • 19. * Fonte: www.garanteprivacy.it/faq/videosorveglianza come da accesso del 7dic2020. Videocamere Non occorre una autorizzazione da parte del Garante per installare le telecamere; Le persone che transitano nelle aree videosorvegliate devono essere informate della presenza delle telecamere mediante apposito cartello; spetta al titolare del trattamento individuare i tempi di conservazione delle immagini; quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione; Ad esempio, generalmente, il titolare di un piccolo esercizio commerciale si accorge della perpetrazione di eventuali atti vandalici il giorno stesso in cui si verificano. Un periodo di conservazione di 24 ore sarebbe quindi sufficiente al raggiungimento dello scopo. Diversamente, la chiusura dell’esercizio durante i fine settimana o in periodi festivi più lunghi potrebbe altrimenti giustificare un tempo di conservazione più lungo. * Formazione by www.wp2privacy.net
  • 20. D.Lgs 101/2018 Altro dal D.Lgs 101/2018: a) Aggiunge 2 nuove fattispecie di reato: comunicazione e diffusione illecita di dati personali; acquisizione fraudolenta di dati personali. b) Non necessario il consenso al trattamento dei dati forniti spontaneamente inviando un curriculum (il titolare dovrà fornire una informativa solo in caso di primo contatto utile con l’interessato. c) I diritti di persona deceduta possono essere esercitati da chi abbia interesse proprio o agisca a tutela dell’interessato o quale mandatario o per ragioni familiari meritevoli di protezione. Formazione by www.wp2privacy.net
  • 21. Email: info@wp2privacy.net Grazie per l’attenzione. Il materiale didattico è disponibile sul sito: Www.wp2privacy.net Www.dottorgandini.it Www.slideshare.net Formazione by www.wp2privacy.net
  • 22. WWW.WP2PRIVACY.NET Ulteriori informazioni e contatti: Dottor Andrea Gandini: consulente informatico-giuridico e privacy, formatore e autore di manuali e saggi. Master di secondo livello in Data Protection (tesi su privacy by design per blockchain), laurea in giurisprudenza con tesi inerente la digitalizzazione della P.A., diploma di perito informatico. Esperto di web privacy, digital HR e software amministrativi. Maggiori dettagli su www.dottorgandini.it Dottoressa Marinzia Pagliaro: consulente privacy e DPO. Laureatasi in giurisprudenza, ha, poi, conseguito un master di secondo livello in “data protection“. Esperta in privacy del sistema sanitario -pubblico e privato- e compliance di piccole e medie imprese, collabora, quale autrice, con la rivista scientifica “Diritto, Economia e Tecnologie della Privacy. Formazione by www.wp2privacy.net