IL GDPR
Il testo del Nuovo Regolamento sul Trattamento dei Dati è contenuto nel Regolamento Europeo Privacy UE 2017/679, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. La nuova Direttiva 2018 troverà applicazione a partire dal 25 Maggio 2018, data in cui le imprese e le pubbliche amministrazioni avranno il dovere di mettersi in regola.
Il nuovo Regolamento per la Protezione dei Dati definisce i requisiti per il rispetto del Codice della Privacy: nuovi organi di controllo applicheranno le misure necessarie per far sì che il trattamento e la protezione dei Dati Personali siano conformi a quanto scritto nel documento del GDPR 2018.
Il nuovo Regolamento descrive in che maniera i dati personali vadano protetti (“data protection”) e trattati in conformità con le Normative vigenti.
La sicurezza informatica (ICT-SEC) nel nuovo Regolamento Europeo per la Protezione dei Dati verrà presa in considerazione per il Trattamento e la Protezione dei Dati Personali. Nuovi principi vengono introdotti dal General Data Protection Regulation in vigore dal 25 Maggio 2018: i dati vanno trattati seguendo nuovi principi di applicazione, e il trattamento deve seguire un ciclo progettato, riconosciuto come “trattamento by design”.
I diritti degli interessati devono essere gestibili in qualunque fase del ciclo di trattamento dei Dati Personali su Internet e nei sistemi informatici:
il Diritto alla Cancellazione del Dato Personale, il Diritto all’Oblio del Dato Personale sui motori di ricerca su Internet, e il Diretto al Blocco del Trattamento del Dato Personale. Vengono introdotti nuovi obblighi, come il DPIA – Data Protection Impact Assesment, che prevede il monitoraggio sistematico del Trattamento dei Dati Personali sensibili e ad alto rischio.
DPO (Data Protection Officer)
Il GDPR prevede una figura particolare e molto importante, che si aggiunge a quelle “classiche privatistiche” quali titolare e responsabile del trattamento: quella del Data Protection Officer (DPO). Una persona fisica, una sorta di figura ibrida fra il ruolo di vigilanza dei processi interni alla struttura (del titolare e del responsabile, che lo devono nominare, obbligatoriamente in taluni casi previsti per legge), ed il ruolo di consulenza; funge inoltre da “ponte di contatto” e super partes con l’Autorità Garante nazionale.
Quali sono i requisiti?
Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà:
- possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
- adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
- operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.
Casi di nomina obbligatoria del DPO
In base al Regolamento, il DPO dovrebbe essere nominato quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico
La sua attività dovrebbe coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).
- I compiti del DPO
- Informazione e consiglio
- Verifica attuazione ed applicazione del Regolamento
- Pareri sulla valutazione d’impatto
- Punto di contatto per gli interessati
- Punto di contatto per il Garante
- Trasferimenti di dati personali
- Presupposti e condizioni
- Le norme vincolanti d’impresa – Binding corporate rules (Bcr)
- Architetture IT e sicurezza dei dati
- Le architetture IT per conservazione ed accesso ai dati
- Le qualità dell’accesso ai dati
- Cosa è l’accesso sicuro ai dati
- Tecniche di pseudoanonimizzazione
- La cifratura
- Misurare la “forza” della cifratura
- Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
- Il ripristino dei dati in caso di incidente fisico o tecnico
- Architetture e framework standard internazionali (COBIT 5 e ITIL v3).
- Sicurezza e data breach
- Cosa si intende per data breach
- Riconoscere la natura del data breach
- Documentazione del data breach
- L’importanza della cifratura ai fini della notifica del data breach
- Simulare il data breach: penetration test
- Normative tecniche internazionali sulla sicurezza
- Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems;
- Concetti di base
- Analisi dei rischi delle informazioni
- Pianificazione degli obbiettivi della sicurezza
- Procedure di controllo operativo
- Riesame periodico delle attività
- Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems
- Come Pianificare e gestire un audit
- Concetti di Non conformità
- Concetti di azione correttive
- La valutazione d’impatto sulla protezione dei dati
- Quando farla
- Come farla
- Valutazione di impatto: introduzione al testing e alle verifiche sul campo
- Normative tecniche internazionali su testing e gestione di soluzioni IT
- Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking)
- Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A)
- Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002)
- Direttiva UE 2016/680
- I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione
- Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016)
- Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante
- Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione
- Data protection by design and by default
- Definzione e inquadramento
- La Privacy by Design (PbD)
- Lo scenario internazionale sulla Privacy by Design (PbD)
- Architetture per paradigmi Privacy-by-Design e Security-by-Design
- Protezione dei dati personali e trasparenza PA
- Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano
- Il D.Lgs. 33/2013 e l’accessibilità totale
- Accesso civico e accesso civico generalizzato (FOIA)
- Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC
- Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali
- Mezzi di ricorso, responsabilità e sanzioni
- Il reclamo a un’autorità di controllo
- Il ricorso giurisdizionale effettivo
- Nei confronti dell’autorità di controllo
- Nei confronti del titolare o del responsabile del trattamento
- Il procedimento
- L’azione di responsabilità
- Condizioni generali per le sanzioni
- Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems;
Outsourcing del DPO
L’incarico di DPO può essere ricoperto anche da un soggetto esterno dotato di congrui requisiti.
ARCA SERVIZI vi offre la possibilità di esternalizzare la figura e i compiti del DPO sgravandovi delle incombenze previste.
Affidandovi ad ARCA SERVIZI potrete contare sul contributo di un team di legali e di esperti con competenze specifiche in materia.
Il DPO di ARCA SERVIZI
- monitora la conformità dei trattamenti;
- partecipa alla valutazione di impatto sulla protezione dei dati;
- partecipa all’analisi dei rischi e alla scelta delle misure mitigative;
- gestisce il registro dei trattamenti;
- gestisce i rapporti con gli interessati al trattamento;
- predispone la documentazione necessari per adempiere agli obblighi normativi;
Per maggiori informazioni contattaci