Please enable JavaScript.
Coggle requires JavaScript to display documents.
GDPR (General Data Protection Regulation - Regolamento (UE) n. 2016/679…
GDPR
General Data Protection Regulation - Regolamento (UE) n. 2016/679
Tappe
1995
Direttiva Europea
25 Gennaio 2012
Regolamento del Parlamento Europeo e del Consiglio
12 Marzo 2014
Il Parlamento approva in prima lettura il testo con alcuni emendamenti
15 Dicembre 2015
Trovato l'accordo sulla riforma della normativa sul trattamento dei dati personali
5 maggio 2016
Approvato il 679/2016 e pubblicato in Gazzetta Ufficiale il Regolamento Europeo
25 maggio 2018
Entrata in vigore
Definisce
caratteristiche soggettive
e
responsabilità
dei soggetti coinvolti nel trattamento dei dati
Titolare (Data controller)
Persona fisica, giuridica, pubblica amministrazione o ente che
decide il motivo e le modalità del trattamento
Risponde giuridicamente
dell'ottemperanza degli obblighi previsti dalla normativa in materia di protezione dei dati, sia nazionale che internazionale
Se più di uno si possono nominare i contitolari (Jointes controllers)
Incaricato
Persone addette al trattamento dei dati
Data Protection Officer (DPO)
Consulenza
Controllo
Raccordo con l'unità di controllo
Responsabile del trattamento (Data processor)
Persona fisica, giuridica, pubblica amministrazione o ente che
elabora i dati personali per conto del titolare del trattamento
La designazione deve avere forma di contratto o altro atto giuridico vincolante
Il responsabile del trattamento può nominare dei
sub-responsabili
. Il responsabile risponde al titolare dell'inadempimento di questi soggetti
Interessato
Ha diritto a chiedere al titolare se sia in corso un'attività di trattamento dei dati che lo riguarda
Diritto a conoscere
Finalità
del trattamento
Categorie di dati personali
in questione
Destinatari
o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
Periodo di conservazione
previsto
Esistenza del diritto dell'interessato a
revocare, limitare il trattamento o richiedere la cancellazione
dei propri dati
Diritto di proporre reclamo
ad una autorità di controllo
Esistenza di un
processo decisionale automatizzato
, compresa la profilazione
Diritto
Diritto alla
cancellazione
Diritto all'
oblio
Diritto alla
limitazione del trattamento
Informativa
#
Comunicazione all'interessato al fine di ottenere un valido consenso al trattamento dei dati
Identificare i soggetti ai quali si rivolge
Contatti del DPO
Trasferimento di dati personali in paesi terzi
Periodo di conservazione dei dati
Diritto a presentare un reclamo all'autorità di controllo
trattamento com porta processi decisionali automatizzati e/o profilazione
Base giuridica del trattamento
Consenso
L'interessato manifesta il consenso al trattamento dei propri dati personali
Deve essere acquisito prima del trattamento
Il titolare deve dimostrare di avere acquisito il consenso, che può essere revocato in qualsiasi momento
Non è ammesso il consenso tacito o presunto
Deve essere sempre richiesto per attività di marketing
Per dati sensibili il consenso deve essere scritto
Registro delle attività di trattamento
Mappa le attività di trattamento svolte dal titolare
Costituisce un obbligo di documentazione di conformità
Censimento delle banche dati
Dati di contatto di Titolare e DPO
Categorie di dati trattati
Categorie di destinatari terzi
Trasferimento verso Paesi terzi
Termini ultimi per la cancellazione delle diverse categorie di dati
Misure di sicurezza adottate
Valutazione dei rischi
Data Protection Impact Analysis (DPIA)
Descrive i rischi per i dati e le azioni intraprese per gestirli
Descrive il trattamento
Obbligatorio se il trattamento può rappresentare un rischio per i diritti e le libertà delle persone fisiche
Misure di sicurezza
Sistemi di autenticazione e autorizzazione
Sistemi di protezione
Misure antincendio
Sistemi di rilevazione di intrusione
Registrazione accessi
Porte, armadi e contenitori dotati di serrature e ignifughi
Sistemi di copiatura e conservazione di archivi elettronici
Privacy
Privacy by design
Si basa sulla valutazione del rischio (Risk Based Approach)
Determinare la misura di responsabilità del titolare e del responsabile del trattamento
Principi
Prevenire e non correggere
Privacy incorporata nel progetto
Massima funzionalità
Sicurezza durante tutto il ciclo del prodotto o servizio
Obbligo di avviare un progetto prevedendo fin da subito gli strumenti a tutela dei dati personali
Privacy by default
I dati devono essere utilizzati solo pèer le necessità e per i tempi previsti dalle finalità
Garantisce la non eccessività dei dati raccolti
Architettura di sicurezza
Dimostra le attività e i sistemi messi in atto per garantire la riservatezza, l'integrità e la portabilità dei dati
Funzioni di sicurezza
Identificazione e autenticazione degli utenti Controllo degli accessi ai dati e alle applicazione
Meccanismi di sicurezza
Hardware e software utilizzati
Processi di gestione
Oggetti di sicurezza
Conformità
la politica sulla protezione dei dati
il registro dei trattamenti
la valutazione dei rischi
i controlli interni (audit)
la mappatura dei responsabili esterni
la gestione delle informative, del consenso specifico e della revoca,
l’accesso e la manutenzione dei dati dell’interessato
la comunicazione agli interessati
la gestione degli incidenti
iltrasferimento dei dati all’estero
la formazione delle risorse
l’utilizzo della
strumentazione informatica
il sistema di videosorveglianza
Tutela dei dati è tutela delle
persone
Identità digitale
, dietro un
dato
c'è sempre una
persona
Se ci vengono affidati dei dati questi devono essere usati
esclusivamente
per quanto è stato indicato e opportunamente
protetti
La
violazione
dei dati aziendali spesso dipende dai
comportamenti delle persone
. Obiettivo: un buon grado di riservatezza
Il
Diritto alla privacy
è il diritto alla protezione delle informazioni che possono
indentificare noi e come viviamo
Trattamento dei dati
Ogni operazione compiuta manualmente o con strumenti elettronici sui dati di un individuo
Raccolta
Conservazione
Elaborazione
Modifica
Collegamento
Confronto
Comunicazione e distribuzione a terzi
Cancellazione
Distruzione
...
Dato personale
Informazione volta a identificare o rendere identificabile una persona fisica
Dettagli relativi a
Caratteristiche
Abitudini
Stili di vita
Relazioni personali
Stato di salute
Situazione economica
Tipi
Dati identificativi
Dati anagrafici
Fotografie
Dati sensibili
Origine razziale ed etnica
Convinzioni religiose, filosofiche, opinioni politiche, adesione a sindacati, associazioni e organizzazioni a carattere religioso, filosofico, politico, sindacale, stato di salute, vita sessuale, dati biometrici e genetici
Dati giudiziari
Provvedimenti penali definitivi
Divieto/obbligo di soggiorno
Condizionale
Misure alternative alla detenzione
Qualità di imputato o indagato