IL GDPR

Il testo del Nuovo Regolamento sul Trattamento dei Dati  è contenuto nel Regolamento Europeo Privacy UE 2017/679, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. La nuova Direttiva 2018 troverà applicazione a partire dal 25 Maggio 2018, data in cui le imprese e le pubbliche amministrazioni avranno il dovere di mettersi in regola.

Il nuovo Regolamento per la Protezione dei Dati definisce i requisiti per il rispetto del Codice della Privacy: nuovi organi di controllo applicheranno le misure necessarie per far sì che il trattamento e la protezione dei Dati Personali siano conformi a quanto scritto nel documento del GDPR 2018.

Il nuovo Regolamento descrive in che maniera i dati personali vadano protetti (“data protection”) e trattati in conformità con le Normative vigenti.

La sicurezza informatica (ICT-SEC) nel nuovo Regolamento Europeo per la Protezione dei Dati verrà presa in considerazione per il Trattamento e la Protezione dei Dati Personali. Nuovi principi vengono introdotti dal General Data Protection Regulation in vigore dal 25 Maggio 2018: i dati vanno trattati seguendo nuovi principi di applicazione, e il trattamento deve seguire un ciclo progettato, riconosciuto come “trattamento by design”.

I diritti degli interessati devono essere gestibili in qualunque fase del ciclo di trattamento dei Dati Personali su Internet e nei sistemi informatici:

il Diritto alla Cancellazione del Dato Personale, il Diritto all’Oblio del Dato Personale sui motori di ricerca su Internet, e il Diretto al Blocco del Trattamento del Dato Personale. Vengono introdotti nuovi obblighi, come il DPIA – Data Protection Impact Assesment, che prevede il monitoraggio sistematico del Trattamento dei Dati Personali sensibili e ad alto rischio.

DPO (Data Protection Officer)

Il GDPR prevede una figura particolare e molto importante, che si aggiunge a quelle “classiche privatistiche” quali titolare e responsabile del trattamento: quella del Data Protection Officer (DPO). Una persona fisica, una sorta di figura ibrida fra il ruolo di vigilanza dei processi interni alla struttura (del titolare e del responsabile, che lo devono nominare, obbligatoriamente in taluni casi previsti per legge), ed il ruolo di consulenza; funge inoltre da “ponte di contatto” e super partes con l’Autorità Garante nazionale.

 

Quali sono i requisiti?

Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà:

  1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
  2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
  3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

 

Casi di nomina obbligatoria del DPO

In base al Regolamento, il DPO dovrebbe essere nominato quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico

La sua attività dovrebbe coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).

  • I compiti del DPO
    • Informazione e consiglio
    • Verifica attuazione ed applicazione del Regolamento
    • Pareri sulla valutazione d’impatto
    • Punto di contatto per gli interessati
    • Punto di contatto per il Garante
  • Trasferimenti di dati personali
    • Presupposti e condizioni
    • Le norme vincolanti d’impresa – Binding corporate rules (Bcr)
  • Architetture IT e sicurezza dei dati
    • Le architetture IT per conservazione ed accesso ai dati
    • Le qualità dell’accesso ai dati
    • Cosa è l’accesso sicuro ai dati
    • Tecniche di pseudoanonimizzazione
    • La cifratura
    • Misurare la “forza” della cifratura
    • Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
    • Il ripristino dei dati in caso di incidente fisico o tecnico
    • Architetture e framework standard internazionali (COBIT 5 e ITIL v3).
  • Sicurezza e data breach
    • Cosa si intende per data breach
    • Riconoscere la natura del data breach
    • Documentazione del data breach
    • L’importanza della cifratura ai fini della notifica del data breach
    • Simulare il data breach: penetration test
  • Normative tecniche internazionali sulla sicurezza
    • Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems;
      • Concetti di base
      • Analisi dei rischi delle informazioni
      • Pianificazione degli obbiettivi della sicurezza
      • Procedure di controllo operativo
      • Riesame periodico delle attività
    • Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems
      • Come Pianificare e gestire un audit
      • Concetti di Non conformità
      • Concetti di azione correttive
    • La valutazione d’impatto sulla protezione dei dati
      • Quando farla
      • Come farla
      • Valutazione di impatto: introduzione al testing e alle verifiche sul campo
    • Normative tecniche internazionali su testing e gestione di soluzioni IT
      • Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking)
      • Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A)
      • Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002)
    • Direttiva UE 2016/680
      • I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione
      • Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016)
      • Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante
      • Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione
    • Data protection by design and by default
      • Definzione e inquadramento
      • La Privacy by Design (PbD)
      • Lo scenario internazionale sulla Privacy by Design (PbD)
      • Architetture per paradigmi Privacy-by-Design e Security-by-Design
    • Protezione dei dati personali e trasparenza PA
      • Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano
      • Il D.Lgs. 33/2013 e l’accessibilità totale
      • Accesso civico e accesso civico generalizzato (FOIA)
      • Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC
      • Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali
    • Mezzi di ricorso, responsabilità e sanzioni
      • Il reclamo a un’autorità di controllo
      • Il ricorso giurisdizionale effettivo
        • Nei confronti dell’autorità di controllo
        • Nei confronti del titolare o del responsabile del trattamento
        • Il procedimento
      • L’azione di responsabilità
      • Condizioni generali per le sanzioni

Outsourcing del DPO

L’incarico di DPO può essere ricoperto anche da un soggetto esterno dotato di congrui requisiti.
ARCA SERVIZI vi offre la possibilità di esternalizzare la figura e i compiti del DPO sgravandovi delle incombenze previste.
Affidandovi ad ARCA SERVIZI potrete contare sul contributo di un team di legali e di esperti con competenze specifiche in materia.

Il DPO di ARCA SERVIZI

  • monitora la conformità dei trattamenti;
  • partecipa alla valutazione di impatto sulla protezione dei dati;
  • partecipa all’analisi dei rischi e alla scelta delle misure mitigative;
  • gestisce il registro dei trattamenti;
  • gestisce i rapporti con gli interessati al trattamento;
  • predispone la documentazione necessari per adempiere agli obblighi normativi;

Per maggiori informazioni contattaci