2. IL GDPR Dadove Perche ’
8. 8 PRINCIPI FONDAMENTALI DEL TRATTAMENTO (ART. 5) LICEITA’, CORRETTEZZA, TRASPARENZA. LIMITAZIONE DELLA FINALITA’ MINIMIZZAZIONE DEI DATI (TRATTARE DATI STRETTAMENTE NECESSARI ALLA FINALITA’) ESATTEZZA E AGGIORNAMENTO DEI DATI LIMITAZIONE DELLA CONSERVAZIONE INTEGRITA’ E RISERVATEZZA
13. 13 ALFABETICI ALCUNE TIPOLOGIE DI DATI CHE POSSONO ESSERE OGGETTO DI TRATTAMENTO IMMAGINI SUONI SISTEMI BIOMETRICI
14. 14 CONCERNENTE DATO DELL’ INTERESSATO RIGUARDANTE DIRETTAMENTE UNA PERSONA USATO PER VALUTARE UNA PERSONA, CONDIZIONARNE IL COMPORTAMENTO E IL RISULTATO IL SUO UTILIZZO COMPORTA UN I MPATTO S UI DIRITTI DELL’INTERESSATO
6. 6 In quale ambito ci muoviamo Il REGOLAMENTO EUROPEO è quella legge che tutela i diritti di un interessato (persona fisica ) durante un trattamento di dati personali da parte di una azienda o un ente (persona giuridica )
16. 16 LE TIPOLOGIE DI TRATTAMENTO DIRETTAMENTE ESPLICITATE - ART 4 Raccolta Registrazione Organizzazione Strutturazione Conservazione Adattamento Modifica Estrazione Consultazione Uso Comunicazione - trasmissione Comunicazione - diffusione Altre Messa a disposizione Interconnessione Limitazione Cancellazione Distruzione Raffronto Profilazione (part.) SE VI VIENE IN MENTE QUALCOS’ALTRO, PROBABILMENTE E’ UN TRATTAMENTO
17. 17 CONDIZIONI CONSENSO INTERESSATO - Artt. 7 e 8 Se necessario consenso, il titolare deve dimostrare che l’ interessato lo ha prestato, con possibilità di revoca (non sono più indispensabili firme, si possono usare altri metodi) . Se minore di anni 16 il trattamento dell’informazione è lecito solo con consenso genitori .
20. 20 L’ARCHIVIO DEI DATI Una diretta conseguenza della costruzione di un archivio di dati personali è legata all'attribuzione, ad ogni dato archiviato, di una classificazione specifica . Il Regolamento Europeo prevede che non tutti i dati debbano essere protetti allo stesso livello ma debbano essere protetti maggiormente quando siano particolarmente critici .
4. 4 Seriously, why? GDPR È la risposta europea ai danni che la società dell’informazione ha dimostrato di saper fare ai suoi membri . La “autoregolazione del mercato” ha dimostrato di essere un mito
15. 15 Trattamento il Tutte le operazioni che faccio “Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, e applicate a dati personali o insieme di dati personali”
10. 10 PRINCIPIO DI RESPONSABILIZZAZIONE (art.5) (ACCOUNTABILITY) Il titolare del trattamento ha l’obbligo giuridico di osservare il Regolamento e l’onere processuale dell’onere della prova di averlo fatto . La parola magica è comprovare . L’azienda, il titolare, devono avere la prova di adempiere al regolamento, altrimenti potrebbe trovarsi a rispondere al Garante italiano, internazionale, europeo o tribunale ordinario .
11. 11 COMPITI DEL DATA PROTECTION OFFICER (ART.39) Informare ed assistere il Titolare del trattamento e gli altri soggetti coinvolti nella corretta applicazione del Regolamento . Vigilare sulla corretta applicazione della disciplina privacy (politiche interne, attribuzione delle responsabilità, formazione del personale che tratta i dati) . Fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti . Essere un punto di contatto per gli interessati in merito a problematiche connesse al trattamento dei loro dati o all’esercizio dei loro diritti e gestire le richieste provenienti dall’Autorità Garante per la protezione dei dati personali e le istanze presentate dal Titolare del trattamento
18. 18 Contromisure Le Posso fare qualunque trattamento ... PURCHE’ IL RISCHIO RESIDUO SIA BASSO
21. 21 Data Breach IL Se qualcosa può andare storto lo farà Ma non è accettabile nasconderlo
19. 19 Archivi dei dati Gli Tutti i dati stanno da qualche parte più il dato è pericoloso più il “dove stanno ” è importante
23. 23 Cosa devo garantire sui dati ? • Riservatezza • Protezione dalla divulgazione non autorizzata • Protezione dall'accesso non autorizzato • Ripristino tempestivo • Evitare i rischi di distruzione, perdita, modifica • Sui dati più delicati, pseudoanominizzazione e cifratura
24. 24 Cosa devo garantire sui sistemi ? • Integrità • Disponibilità • Resilienza • Riservatezza • Rapido ripristino
3. 3 Seriously, why? GDPR È la risposta europea al ruolo pervasivo che la tecnologia, in particolare l’informatica, riveste nella nostra società e alla continua crescita degli attacchi che quest’ultima subisce . Danni stimati in MLD $ 500 10 Fonte: Rapporto Clusit Marzo 2018
5. 5 Ma chi te l’ha chiesto ? GDPR I dibattiti su questi diritti sono anni che vanno avanti tra gli informatici . Lo “scontro a distanza” tra Vint Cerf e Peter Fleischer sul diritto all’oblio va avanti dal 2006 , ma probabilmente andrebbe retrodatato al 1995 Le basi di Peter Fleischer • Se posto qualcosa sul web, ho poi il diritto di cancellarlo? • Se qualcuno copia il mio contenuto, ho il diritto di cancellarlo anche dall'altro sito? • Se qualcun altro posta qualcosa su di me, ho il diritto di cancellarlo? • Le piattaforme online hanno l'obbligo di cancellare le informazioni personali? Se si dopo quanto tempo? • Internet deve imparare a dimenticare? • Internet deve essere ripensato per essere più vicino alla mente umana? • Chi ha il compito di decidere cosa può essere ricordato e cosa deve essere dimenticato? • Chi ha il compito di decidere cosa può essere ricordato e cosa deve essere dimenticato?
1. 1 Controllare l’uso dei dati al tempo del GDPR: perchè salva vite ? GDPR principi fondamentali e aspetti pratici del RUE 2016/679 nel tentativo di capire di cosa si parla
9. 9 LE FIGURE IN GIOCO TITOLARE DEL TRATTAMENTO Legale rappresentante dell’azienda che per prima riceve i dati, responsabile diretto RESPONSABILE DEL TRATTAMENTO Persona fisica o giuridica (di solito un fornitore) è autonomo nel decidere come trattare i dati. Ha l’obbligo di assistere il titolare del trattamento laddove possibile INCARICATO DEL TRATTAMENTO Persona fisica (dipendente) NON è autonomo nel decidere come trattare i dati Deve essere formato dal titolare del trattamento prima di potere svolgere le sue mansioni COTITOLARE DEL TRATTAMENTO Nei rari casi in cui vi sia contemporaneità nell’accesso ai dati tra più aziende DATA PROTECTION OFFICIER - DPO Persona fisica o giuridica che assiste il titolare nel garantire il rispetto del GDPR, la soddisfazione dei diritti degli interessati e l’aderenza alle normative
7. 7 Consenso informato Accesso Correzione Cancellazione e Diritto All’Oblio Portabilità dei dati I Diritti dei cittadini per il GDPR Accesso Ho il diritto di accedere e chiedere conferma del modo in cui I miei dati sono trattati Correzione Ho il diritto di poter fare verifiche ed eventualmente modificare I dati che non sono accurati Cancellazione e Diritto All’Oblio Ho il diritto di richiedere la cancellazione dei miei dati Portabilità dei dati I dati devono poter essere trasmessi in un format di uso comune Consenso informato Deve essere accordato in modo esplicito e può essere ritirato in qualsiasi momento
22. 22 Sicurezza del trattamento Art 32 Tenendo conto dello stato dell'arte e dei costi di attuazione , nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del tratt ame nto e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio , che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale , a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia acc esso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento , salvo che lo richieda il diritto dell'Unione o degli Stati membri. 22
12. 12 DATI PERSONALI – Con la 196 e con il GDPR D.lgs.vo 196/2003 (Codice privacy) • Dati personali comuni • Dati personali sensibili idonei ad identificare l’origine razziale ed etnica, le convinzioni flosofiche , religiose, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni di carattere religioso, politico nonché i dati personali idonei a rilevare lo stato di salute e sessuale • Dati personali giudiziari dati personali relativi al casellario giudiziario, idonei a rivelare provvedimenti in materia di sanzioni amministrative dipendenti da reato o la qualità di indagato o imputato • Dati Personali (art. 4) • Dati Particolari (art. 9) idonei ad identificare : r Origine razziale ed etnica r Opinioni Politiche r Convinzioni filosofiche o religiose r Appartenenza a sindacati r Dati Genetici r Dati Biometrici r Dati relativi alla salute r Dati relativi alla vita sessuale o all’orientamento sessuale • Dati relativi a condanne penali e reati (art.10) Reg. U.E. 2016/679 GDPR