SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau milano 2013 valentina frediani
1. L’impatto del nuovo
Regolamento europeo
sull’ICT.
Nuove norme, nuove responsabilità?
Avv. Valentina Frediani
Titolo della presentazione
2. Obblighi generali del Responsabile
ONERE DI DIMOSTRAZIONE CHE IL TRATTAMENTO E’
EFFETTUATO IN MODO CONFORME RISPETTO AL
REGOLAMENTO
ATTENZIONE Il responsabile del trattamento deve essere in
grado di dimostrare l'efficacia delle misure di cui ai paragrafi
1 e 2.
L’impatto del nuovo Regolamento europeo sull’ICT.
Titolo della presentazione
3. Le misure
(a) la conservazione della documentazione
(b) l’attuazione dei requisiti di sicurezza dei dati
(c) l’esecuzione della valutazione d’impatto sulla protezione dei dati
(d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione
preventiva dell'autorità di controllo e del responsabile della protezione
dei dati ai sensi dell'articolo 34, paragrafi 1 e 2
(e) la designazione di un responsabile della protezione dei dati
(e-bis) la definizione di informazioni e comunicazioni trasparenti da fornire
all'interessato ai sensi dell'articolo 11.
L’impatto del nuovo Regolamento europeo sull’ICT.
Titolo della presentazione
4. Sicurezza del trattamento
Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il
responsabile del trattamento e l’incaricato del trattamento mettono in atto
misure tecniche e organizzative adeguate per garantire un livello di sicurezza
appropriato, in relazione ai rischi che il trattamento comporta e alla natura
dei dati personali da proteggere.
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
5. Notificazione della violazione dei dati: obblighi del
Responsabile e dell’Incaricato – REGISTRO AUTORITA’ DI
CONTROLLO
•
•
•
•
•
Notificazione della violazione all’autorità di controllo senza ritardo
Entro le 72 ore dal momento della conoscenza
Successivamente solo con giustificazione motivata
Obbligo di allerta da parte dell’incaricato del trattamento
Comunicazione della violazione all’interessato
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
6. I contenuti minimi della notificazione
a) Descrizione natura violazione dei dati personali, compresi le categorie e il
numero di interessati in questione e le categorie e il numero di
registrazioni dei dati in questione
b) Indicazione identità e coordinate di contatto del responsabile della
protezione dei dati
c) Elencazione misure raccomandate per attenuare i possibili effetti
pregiudizievoli della violazione dei dati personali
d) Descrizione conseguenze della violazione dei dati personali
e) Descrizione misure proposte o adottate dal responsabile del trattamento
per porre rimedio alla violazione dei dati personali
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
7. Ratio della norma
In linea con la nuova direttiva relativa agli attacchi contro i sistemi di
informazione, è opportuno mantenere una panoramica consolidata delle
tipologie di violazioni al fine di informare il pubblico in merito alle tipologie
e agli importi delle violazioni dei dati.
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
8. Valutazione d’impatto sulla protezione dei dati: i trattamenti
• la valutazione sistematica e globale di aspetti della personalità
dell’interessato o volta ad analizzarne o prevederne in particolare la
situazione economica, l’ubicazione, lo stato di salute, le preferenze
personali, l’affidabilità o il comportamento, basata su un trattamento
automatizzato e da cui discendono misure che hanno effetti giuridici o
significativamente incidono sull’interessato
• il trattamento di informazioni concernenti la vita sessuale, lo stato di
salute, la razza e l’origine etnica o destinate alla prestazione di servizi
sanitari o a ricerche epidemiologiche o indagini su malattie mentali o
infettive qualora i dati siano trattati per prendere misure o decisioni su
larga scala riguardanti persone specifiche
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
9. Valutazione d’impatto sulla protezione dei dati
• la sorveglianza di zone accessibili al pubblico, in particolare se effettuata
mediante dispositivi ottico-elettronici o altri dispositivi sensori
• il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo
1, dati relativi all'ubicazione, dati biometrici o dati riguardanti minori
• i dati personali resi accessibili a un vasto numero di persone o grosse
quantità di dati personali concernenti l'interessato trattati o aggregati
con altri dati;
• qualunque altro trattamento che richiede la consultazione del
responsabile della protezione dei dati o dell'autorità di controllo
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
10. La figura del Responsabile della protezione dei dati
Designazione da parte del Responsabile e dell’incaricato per almeno 4 anni
quando:
• il trattamento è effettuato da un’autorità pubblica o da un organismo
pubblico oppure
• il trattamento è effettuato da una persona giuridica e riguarda oltre
500 interessati l'anno, oppure
• le attività principali del responsabile del trattamento o dell’incaricato del
trattamento consistono in trattamenti che, per la loro natura, il loro
oggetto o le loro finalità, richiedono il controllo regolare e sistematico
degli interessati
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
11. Compiti del Responsabile della protezione dei dati
• informare e consigliare il responsabile o in merito agli obblighi derivanti
dal presente regolamento, per quanto attiene alle misure e procedure
tecniche e organizzative, e conservare la documentazione e le risposte
ricevute;
• sorvegliare l’attuazione e l’applicazione delle politiche del responsabile
del trattamento o dell’incaricato
• sorvegliare l’attuazione e l’applicazione del regolamento, con
• particolare riguardo ai requisiti concernenti la protezione fin dalla
progettazione, la protezione di default, la sicurezza dei dati, l’informazione
dell’interessato e le richieste degli interessati di esercitare i diritti
riconosciuti
• garantire la conservazione della documentazione
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
12. Segue …
• controllare che le violazioni dei dati personali siano documentate,
notificate e comunicate
• controllare che il responsabile del trattamento o l’incaricato del
trattamento effettui la valutazione d’impatto sulla protezione dei dati e
richieda l’autorizzazione preventiva o la consultazione preventiva
• controllare che sia dato seguito alle richieste dell’autorità di controllo e,
nell’ambito delle sue competenze, cooperare con l’autorità di controllo di
propria iniziativa o su sua richiesta;
• fungere da punto di contatto per l’autorità di controllo per questioni
connesse al trattamento e, se del caso, consultare l’autorità di controllo
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
13. I corresponsabili
Se il responsabile del trattamento determina le finalità, le condizioni e i
mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili
del trattamento determinano, mediante accordi interni scritti, le rispettive
responsabilità in merito al rispetto degli obblighi derivanti dal presente
regolamento, con particolare riguardo alle procedure e ai meccanismi per
l'esercizio dei diritti dell'interessato. Qualora tale determinazione manchi o
non sia sufficientemente chiara, l'interessato può esercitare i propri diritti
nei confronti di uno qualunque dei responsabili del trattamento, che sono
solidalmente responsabili.
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
14. Sono altresì corresponsabili …
ATTENZIONE:
Art. 27 1 bis. Se l'incaricato del trattamento è o diventa parte determinante
per quanto concerne le finalità, i mezzi o i metodi di trattamento dei dati o
non agisce soltanto su istruzione del responsabile del trattamento, è
considerato corresponsabile del trattamento ai sensi dell'articolo 24.
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
15. L’esecuzione trattamenti su commissione
L’esecuzione dei trattamenti su commissione deve essere
disciplinata da un contratto o altro atto giuridico che vincoli
l’incaricato del trattamento al responsabile del trattamento e
che preveda segnatamente tutti gli obblighi elencati dall’art. 26
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
16. Gli obblighi
a) agisca soltanto su istruzione del responsabile del trattamento
b) impieghi soltanto personale che si sia impegnato alla riservatezza o abbia
l’obbligo legale di riservatezza;
c) prenda tutte le misure richieste ai sensi dell’articolo 30;
d) ricorra ad un altro incaricato del trattamento solo previa autorizzazione
del responsabile del trattamento;
e) crei d’intesa con il responsabile del trattamento le condizioni tecniche e
organizzative necessarie per riscontro esercizio dei diritti dell’interessato;
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.
17. Segue …
f) aiuti il responsabile del trattamento a garantire il rispetto degli obblighi
sanciti;
g) ultimato il trattamento, trasmetta tutti i risultati al responsabile del
trattamento e si astenga dal trattare altrimenti i dati personali;
h) metta a disposizione del responsabile del trattamento e dell’autorità di
controllo tutte le informazioni necessarie per controllare il rispetto degli
obblighi di cui al presente articolo.
h-bis) tenga in considerazione il principio della protezione dei dati fin dalla
progettazione e della protezione di default
Titolo della presentazione
L’impatto del nuovo Regolamento europeo sull’ICT.