SlideShare a Scribd company logo

Il GDPR nelle startup

Download as PPTX, PDF
I3P
I3P

In occasione dell'incontro con l'Unione Industriale, insieme alla Dottoressa Ambra Nipote Bellan e all'avvocato Savino Figurati abbiamo snocciolato i capisaldi del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Cosa cambierà a partire dal 25 maggio 2018, quando il regolamento sarà direttamente applicabile in tutti gli Stati membri dell'Unione Europea?

Business
1 of 23
D O T T. S S A A M B R A N I P O T E B E L L A N U F F I C I O L E G A L E U N I O N E I N D U S T R I A L E T O R I N O 2 M A G G I O 2 0 1 8
ACCOUNTABILITY - RESPONSABILIZZAZIONE • Ottica anglosassone, bottom-up, pro-innovazione • Il Titolare del trattamento (società nella persona del suo legale rappresentante) deve inquadrare il proprio livello di rischio e adottare tutte le misure ad esso adeguate • Privacy by design e by default • Diversi livelli di rischio a seconda delle realtà aziendali (attività, trattamenti, organizzazione) • Sistema privacy organizzato, documentato, costantemente aggiornato • NO formalismi e standard imposti ex lege A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
PERCORSO DI ADEGUAMENTO • Mappare i propri dati • Intervistare i dipendenti che trattano dati personali • Individuare le proprie banche dati cartacee e informatiche (trattamenti, finalità, base giuridica, tipologia di dato…) • Evidenziare i flussi di dati all’esterno per impostare la filiera privacy (responsabili esterni del trattamento, clausole di outsourcing, titolari autonomi, gruppo) • Attenzione alle comunicazioni extra UE • Analisi dei rischi ex art. 32, poi eventuale DPIA ex art. 35 A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
CONSENSO • «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» • Ergo: possibilità di diniego, trattamenti ben individuati con finalità puntuali (no consenso a base generale) e deve essere acquisito in base ad un’informativa adeguata (qualità dell’informazione, accessibilità e visibilità). Inequivocabile e liberamente revocabile. • Attenzione all’acquisto di liste di marketing: sincerarsi che i consensi alla base siano validi e informare i clienti del subentro con un’informativa che indichi l’origine dei dati • Se già clienti no consenso per comunicazioni elettroniche su servizi analoghi a condizione che non sia intervenuto rifiuto ma ragionevolezza temporale e interpretazione restrittiva • Consenso dei minori valido a partire dai 16 anni A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
CONTENUTI INFORMATIVA • Identità e dati di contatto del titolare e del responsabile • I dati di contatti del DPO (se presente) • Finalitàle base giuridica del trattamento (se del caso specificare quale legittimo interesse) • Eventuali destinatari • Se trasferisce i dati personali in Paesi terzi • Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo • Il diritto di presentare un reclamo all’autorità di controllo • Se il trattamento comporta processi decisionali automatizzati A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
ORGANIGRAMMA PRIVACY • Titolare  nel caso di CDA delega privacy • Referente privacy con o senza procura • Dipendenti autorizzati e istruiti al trattamento • Incaricati «particolari» come amministratore di sistema (provv. Del Garante del 27/11/2008), rspp, addetto videosorveglianza • DPO per privati ex art. 37 quando il titolare (o il responsabile del trattamento) svolgono come principali attività trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala O trattamenti su larga scala di categorie particolari di dati personali o di dati giudiziari. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
DATA PROTECTION OFFICER (DPO) O RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RPD) ART. 37 • LG WP29 cita come es. di trattamenti su «larga scala»: app che tracciano la posizione, dispositivi connessi come automobili intelligenti, assistenti domotici, app che monitorano il benessere psicofisico ecc... • Tra gli esempi di soggetti tenuti alla sua nomina il Garante cita le «società che forniscono servizi informatici», ma successivamente esclude le piccole e medie imprese «con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti»  sembrano escluse le start-up società informatiche del b2b, ma quelle del b2c? • Nei casi dubbi nominarlo • Figura consulenziale esterna nelle piccole realtà • Adeguata formazione e no conflitti di interesse • Solo eventuale responsabilità professionale, ma culpa in eligendo per il titolare A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
DOCUMENTAZIONE • Rivedere le informative, attenzione al consenso • Policy interne ad es. sull’utilizzo degli strumenti informatici • Registro delle attività di trattamento sempre consigliabile anche se non obbligatorio • Rivedere contratti con i terzi cui comunico dati personali • Se contitolari (es. portale con marketing condiviso) accordo interno che disciplina le rispettive responsabilità circa gli obblighi del GDPR. Il contenuto dell’accordo deve essere a disposizione degli interessati, diritti esercitabili contro tutti i contitolari. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
NOMINA RESPONSABILI ESTERNI • Es: call center, società di elaborazione paghe, società che gestisce in outsourcing la contabilità, società che gestisce totalmente il sistema informatico con server presso di sé, agenti di commercio, attività di service infragruppo… • Art. 28 c. 1: «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
CONTRATTO DEVE PREVEDERE CHE IL RESPONSABILE: • Tratti i dati soltanto su istruzione documentata del Titolare • Garantisca che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale alla riservatezza • Adotti tutte le misure di sicurezza adeguate • Rispetti le condizioni previste per ricorrere ad un sub-responsabile • Assista il Titolare al fine di soddisfare l’obbligo del Titolare di dar seguito alle richieste per l’esercizio dei diritti dell’interessato • Assista il Titolare nel garantire il rispetto degli obblighi di cui agli art. da 32 a 36 (sicurezza dei dati personali), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile • Su scelta del Titolare, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che la legge preveda la conservazione dei dati • Metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal Titolare A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
MISURE DI SICUREZZA ADEGUATE • Informatiche ma anche organizzative • No elenco tassativo come vecchio allegato B ma Linee guida ENISA cfr ISO 27001 • Art. 32 c. 1: «Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
COSA FARE • Minimizzazione: trattare solo i dati personali necessari alla propria attività • Determinare la durata della conservazione per ciascuna categoria di dati (es. spesso obbligo di legge 10 anni per dati ufficiali) • Organizzare e mettere in sicurezza fisica, logica e soprattutto informatica i dati personali • Sicurezza informatica: integrità e riservatezza, analisi dei rischi • Responsabilizzazione, quindi rendicontazione • Eventuali adempimenti che dovessero rivelarsi necessari, es DPIA o comunicazione DATA BREACH al Garante (e anche agli interessati se il rischio per gli stessi è elevato oltre che probabile) A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
DATA BREACH ART. 33 «In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4.Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
DIRITTI DEGLI INTERESSATI • Obbligo di dare riscontro all’interessato entro 1 mese (o 3 in casi di particolare difficoltà) rispetto a una serie di diritti. • Diritto di accesso (art. 15) comprende il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. • Diritto alla cancellazione dei propri dati personali (art. 17). Obbligo per i titolari (se hanno “reso pubblici” i dati personali, ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano quei dati personali, compresi “qualsiasi link, copia o riproduzione”. Ha un campo di applicazione più esteso di quello dell’attuale Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
• Diritto di limitazione del trattamento (art. 18)  è esercitabile anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante). • Diritto alla portabilità dei dati (art. 20)  Applicabile solo se trattamenti automatizzati e dati trattati con il consenso dell’interessato o sulla base di un contratto, e comunque solo relativamente ai dati che siano stati “forniti” dall’interessato al titolare. Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
TRASFERIMENTO DATI EXTRA UE • Ogni trasferimento dati da un titolare o da un responsabile può avvenire solo sulla base di: a) una decisione di adeguatezza della Commissione UE cfr quel Paese b) cd. garanzie adeguate (come le clausole tipo di protezione approvate dalla Commissione; i codici di condotta; certificazioni; clausole contrattuali autorizzate dal Garante) c) cd. Binding corporate rules approvate dal Garante a condizione che Siano giuridicamente vincolanti e conferiscano espressamente agli interessati diritti azionabili A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
DEROGHE EX ART. 49 • Consenso esplicito dell’interessato allo specifico trasferimento • Trasferimento necessario ad esecuzione di un contratto, per importanti motivi di interesse pubblico, per accertare un diritto davanti al giudice, per interessi vitali dell’interessato o di altre persone (se il medesimo interessato è incapace). • Trasferimento sia effettuato a partire da un registro A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
SISTEMA PRIVACY ORGANIZZATO • Opportunità per migliorare la gestione della propria organizzazione • Ottimo biglietto da visita per l’impresa, probabilmente sarà presto previsto anche nei bandi pubblici • Sanzioni amministrative fino a 20.000.000€ o al 4% del fatturato mondiale A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
PIANO ISPETTIVO DEL GARANTE PER IL 1° SEMESTRE 2018 (NEWSLETTER N. 438 FEBBRAIO 2018) • «L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza … riguarderà innanzitutto i trattamenti di dati effettuati dalle ASL e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, il rilascio dell’identità digitale ai cittadini italiani (Spid), l’attività delle società che si occupano di valutare il rischio e la solvibilità delle imprese, il telemarketing, il Sistema integrato di Microdati dell’Istat • I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull’informativa e il consenso, la durata della conservazione A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
OLTRE ALLE ISPEZIONI • Il Garante monitora i mass media continuativamente • Segnalazione dei singoli che può aprire un procedimento del Garante • Sempre possibile che l’interessato agisca in giudizio per il risarcimento del danno o con un’azione inibitoria • Danno di immagine per l’azienda A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
RESPONSABILITÀ SOLIDALE • Chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile • Il Titolare risponde per il danno cagionato dal suo trattamento che violi il GDPR. • Il Responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme e contrario rispetto alle istruzioni del Titolare • Il Titolare o il Responsabile è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile • Qualora più Titolari o Responsabili oppure entrambi il Titolare e il responsabile siano coinvolti nello stesso trattamento e siano responsabili dell’evento dannoso causato dal trattamento, ogni Titolare o Responsabile è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato • Diritto di rivalsa A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
GRAZIE PER L’ATTENZIONE! Dott.ssa Ambra Nipote Bellan Ufficio Legale Unione Industriale a.nipote@ui.torino.it A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O

Recommended

Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 

Recommended

Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...MOCA Interactive
 
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...MOCA Interactive
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...Mentine
 

More Related Content

What's hot

Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 

What's hot (19)

Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACH
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 

Similar to Il GDPR nelle startup

Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...MOCA Interactive
 
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...MOCA Interactive
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...Mentine
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!39Marketing
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei DatiGDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei DatiConsulthinkspa
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Digital Building Blocks
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 

Similar to Il GDPR nelle startup (20)

Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
Come Raccogliere e Conservare i Dati Raccolti: Profili Giuridici e Rischi Con...
 
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
Come raccogliere e conservare i dati raccolti: profili giuridici e rischi con...
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei DatiGDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
LA PRIVACY- Focus strutture odontoiatriche - formazione operatori MAGGIO 2023...
LA PRIVACY- Focus strutture odontoiatriche - formazione operatori MAGGIO 2023...LA PRIVACY- Focus strutture odontoiatriche - formazione operatori MAGGIO 2023...
LA PRIVACY- Focus strutture odontoiatriche - formazione operatori MAGGIO 2023...
 

More from I3P

Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoI3P
 
Bitcoin & blockchain
Bitcoin & blockchainBitcoin & blockchain
Bitcoin & blockchainI3P
 
Blockchain Academy
Blockchain Academy Blockchain Academy
Blockchain Academy I3P
 
Facebook ADs like a PRO: tool e strategie per campagne di successo
Facebook ADs like a PRO: tool e strategie per campagne di successoFacebook ADs like a PRO: tool e strategie per campagne di successo
Facebook ADs like a PRO: tool e strategie per campagne di successoI3P
 
Il GDPR nel diritto del lavoro
Il GDPR nel diritto del lavoroIl GDPR nel diritto del lavoro
Il GDPR nel diritto del lavoroI3P
 
Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...
Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...
Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...I3P
 
Come comunicare a giornalisti e influencer
Come comunicare a giornalisti e influencerCome comunicare a giornalisti e influencer
Come comunicare a giornalisti e influencerI3P
 
Influencer Marketing: dai top influencer agli smart influencer
Influencer Marketing: dai top influencer agli smart influencerInfluencer Marketing: dai top influencer agli smart influencer
Influencer Marketing: dai top influencer agli smart influencerI3P
 
Dal Corporate Storytelling al Racconto Transmediale
Dal Corporate Storytelling al Racconto TransmedialeDal Corporate Storytelling al Racconto Transmediale
Dal Corporate Storytelling al Racconto TransmedialeI3P
 
Dalla Pubblicita alle Partnership
Dalla Pubblicita alle PartnershipDalla Pubblicita alle Partnership
Dalla Pubblicita alle PartnershipI3P
 
Storytelling: istruzioni per l'uso.
Storytelling: istruzioni per l'uso.Storytelling: istruzioni per l'uso.
Storytelling: istruzioni per l'uso.I3P
 
Commercio online con Bitcoin
Commercio online con Bitcoin Commercio online con Bitcoin
Commercio online con Bitcoin I3P
 
Presentazione del mining Bitcoin
Presentazione del mining BitcoinPresentazione del mining Bitcoin
Presentazione del mining BitcoinI3P
 
L'industria dei videogiochi in Italia @ Turin Jam Today
L'industria dei videogiochi in Italia @ Turin Jam TodayL'industria dei videogiochi in Italia @ Turin Jam Today
L'industria dei videogiochi in Italia @ Turin Jam TodayI3P
 
Branding vita e conflitti del marchio: il punto di vista legale
Branding vita e conflitti del marchio: il punto di vista legaleBranding vita e conflitti del marchio: il punto di vista legale
Branding vita e conflitti del marchio: il punto di vista legaleI3P
 
Lean uxforstartup
Lean uxforstartupLean uxforstartup
Lean uxforstartupI3P
 
Dal naming all'immagine coordinata. Come costruire il brand di una startup
Dal naming all'immagine coordinata. Come costruire il brand di una startup Dal naming all'immagine coordinata. Come costruire il brand di una startup
Dal naming all'immagine coordinata. Come costruire il brand di una startup I3P
 
Ottenere visibilità sulla stampa
Ottenere visibilità sulla stampaOttenere visibilità sulla stampa
Ottenere visibilità sulla stampaI3P
 
Business model canvas
Business model canvasBusiness model canvas
Business model canvasI3P
 
Marketing get real
Marketing get realMarketing get real
Marketing get realI3P
 

More from I3P (20)

Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativo
 
Bitcoin & blockchain
Bitcoin & blockchainBitcoin & blockchain
Bitcoin & blockchain
 
Blockchain Academy
Blockchain Academy Blockchain Academy
Blockchain Academy
 
Facebook ADs like a PRO: tool e strategie per campagne di successo
Facebook ADs like a PRO: tool e strategie per campagne di successoFacebook ADs like a PRO: tool e strategie per campagne di successo
Facebook ADs like a PRO: tool e strategie per campagne di successo
 
Il GDPR nel diritto del lavoro
Il GDPR nel diritto del lavoroIl GDPR nel diritto del lavoro
Il GDPR nel diritto del lavoro
 
Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...
Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...
Il funnel perfetto per il web marketing: tutto sulle landing page fino alle c...
 
Come comunicare a giornalisti e influencer
Come comunicare a giornalisti e influencerCome comunicare a giornalisti e influencer
Come comunicare a giornalisti e influencer
 
Influencer Marketing: dai top influencer agli smart influencer
Influencer Marketing: dai top influencer agli smart influencerInfluencer Marketing: dai top influencer agli smart influencer
Influencer Marketing: dai top influencer agli smart influencer
 
Dal Corporate Storytelling al Racconto Transmediale
Dal Corporate Storytelling al Racconto TransmedialeDal Corporate Storytelling al Racconto Transmediale
Dal Corporate Storytelling al Racconto Transmediale
 
Dalla Pubblicita alle Partnership
Dalla Pubblicita alle PartnershipDalla Pubblicita alle Partnership
Dalla Pubblicita alle Partnership
 
Storytelling: istruzioni per l'uso.
Storytelling: istruzioni per l'uso.Storytelling: istruzioni per l'uso.
Storytelling: istruzioni per l'uso.
 
Commercio online con Bitcoin
Commercio online con Bitcoin Commercio online con Bitcoin
Commercio online con Bitcoin
 
Presentazione del mining Bitcoin
Presentazione del mining BitcoinPresentazione del mining Bitcoin
Presentazione del mining Bitcoin
 
L'industria dei videogiochi in Italia @ Turin Jam Today
L'industria dei videogiochi in Italia @ Turin Jam TodayL'industria dei videogiochi in Italia @ Turin Jam Today
L'industria dei videogiochi in Italia @ Turin Jam Today
 
Branding vita e conflitti del marchio: il punto di vista legale
Branding vita e conflitti del marchio: il punto di vista legaleBranding vita e conflitti del marchio: il punto di vista legale
Branding vita e conflitti del marchio: il punto di vista legale
 
Lean uxforstartup
Lean uxforstartupLean uxforstartup
Lean uxforstartup
 
Dal naming all'immagine coordinata. Come costruire il brand di una startup
Dal naming all'immagine coordinata. Come costruire il brand di una startup Dal naming all'immagine coordinata. Come costruire il brand di una startup
Dal naming all'immagine coordinata. Come costruire il brand di una startup
 
Ottenere visibilità sulla stampa
Ottenere visibilità sulla stampaOttenere visibilità sulla stampa
Ottenere visibilità sulla stampa
 
Business model canvas
Business model canvasBusiness model canvas
Business model canvas
 
Marketing get real
Marketing get realMarketing get real
Marketing get real
 

Il GDPR nelle startup

  • 1. D O T T. S S A A M B R A N I P O T E B E L L A N U F F I C I O L E G A L E U N I O N E I N D U S T R I A L E T O R I N O 2 M A G G I O 2 0 1 8
  • 2. ACCOUNTABILITY - RESPONSABILIZZAZIONE • Ottica anglosassone, bottom-up, pro-innovazione • Il Titolare del trattamento (società nella persona del suo legale rappresentante) deve inquadrare il proprio livello di rischio e adottare tutte le misure ad esso adeguate • Privacy by design e by default • Diversi livelli di rischio a seconda delle realtà aziendali (attività, trattamenti, organizzazione) • Sistema privacy organizzato, documentato, costantemente aggiornato • NO formalismi e standard imposti ex lege A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 3. PERCORSO DI ADEGUAMENTO • Mappare i propri dati • Intervistare i dipendenti che trattano dati personali • Individuare le proprie banche dati cartacee e informatiche (trattamenti, finalità, base giuridica, tipologia di dato…) • Evidenziare i flussi di dati all’esterno per impostare la filiera privacy (responsabili esterni del trattamento, clausole di outsourcing, titolari autonomi, gruppo) • Attenzione alle comunicazioni extra UE • Analisi dei rischi ex art. 32, poi eventuale DPIA ex art. 35 A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 4.
  • 5. CONSENSO • «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» • Ergo: possibilità di diniego, trattamenti ben individuati con finalità puntuali (no consenso a base generale) e deve essere acquisito in base ad un’informativa adeguata (qualità dell’informazione, accessibilità e visibilità). Inequivocabile e liberamente revocabile. • Attenzione all’acquisto di liste di marketing: sincerarsi che i consensi alla base siano validi e informare i clienti del subentro con un’informativa che indichi l’origine dei dati • Se già clienti no consenso per comunicazioni elettroniche su servizi analoghi a condizione che non sia intervenuto rifiuto ma ragionevolezza temporale e interpretazione restrittiva • Consenso dei minori valido a partire dai 16 anni A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 6. CONTENUTI INFORMATIVA • Identità e dati di contatto del titolare e del responsabile • I dati di contatti del DPO (se presente) • Finalitàle base giuridica del trattamento (se del caso specificare quale legittimo interesse) • Eventuali destinatari • Se trasferisce i dati personali in Paesi terzi • Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo • Il diritto di presentare un reclamo all’autorità di controllo • Se il trattamento comporta processi decisionali automatizzati A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 7. ORGANIGRAMMA PRIVACY • Titolare  nel caso di CDA delega privacy • Referente privacy con o senza procura • Dipendenti autorizzati e istruiti al trattamento • Incaricati «particolari» come amministratore di sistema (provv. Del Garante del 27/11/2008), rspp, addetto videosorveglianza • DPO per privati ex art. 37 quando il titolare (o il responsabile del trattamento) svolgono come principali attività trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala O trattamenti su larga scala di categorie particolari di dati personali o di dati giudiziari. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 8. DATA PROTECTION OFFICER (DPO) O RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RPD) ART. 37 • LG WP29 cita come es. di trattamenti su «larga scala»: app che tracciano la posizione, dispositivi connessi come automobili intelligenti, assistenti domotici, app che monitorano il benessere psicofisico ecc... • Tra gli esempi di soggetti tenuti alla sua nomina il Garante cita le «società che forniscono servizi informatici», ma successivamente esclude le piccole e medie imprese «con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti»  sembrano escluse le start-up società informatiche del b2b, ma quelle del b2c? • Nei casi dubbi nominarlo • Figura consulenziale esterna nelle piccole realtà • Adeguata formazione e no conflitti di interesse • Solo eventuale responsabilità professionale, ma culpa in eligendo per il titolare A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 9. DOCUMENTAZIONE • Rivedere le informative, attenzione al consenso • Policy interne ad es. sull’utilizzo degli strumenti informatici • Registro delle attività di trattamento sempre consigliabile anche se non obbligatorio • Rivedere contratti con i terzi cui comunico dati personali • Se contitolari (es. portale con marketing condiviso) accordo interno che disciplina le rispettive responsabilità circa gli obblighi del GDPR. Il contenuto dell’accordo deve essere a disposizione degli interessati, diritti esercitabili contro tutti i contitolari. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 10. NOMINA RESPONSABILI ESTERNI • Es: call center, società di elaborazione paghe, società che gestisce in outsourcing la contabilità, società che gestisce totalmente il sistema informatico con server presso di sé, agenti di commercio, attività di service infragruppo… • Art. 28 c. 1: «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 11. CONTRATTO DEVE PREVEDERE CHE IL RESPONSABILE: • Tratti i dati soltanto su istruzione documentata del Titolare • Garantisca che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale alla riservatezza • Adotti tutte le misure di sicurezza adeguate • Rispetti le condizioni previste per ricorrere ad un sub-responsabile • Assista il Titolare al fine di soddisfare l’obbligo del Titolare di dar seguito alle richieste per l’esercizio dei diritti dell’interessato • Assista il Titolare nel garantire il rispetto degli obblighi di cui agli art. da 32 a 36 (sicurezza dei dati personali), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile • Su scelta del Titolare, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che la legge preveda la conservazione dei dati • Metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal Titolare A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 12. MISURE DI SICUREZZA ADEGUATE • Informatiche ma anche organizzative • No elenco tassativo come vecchio allegato B ma Linee guida ENISA cfr ISO 27001 • Art. 32 c. 1: «Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 13. COSA FARE • Minimizzazione: trattare solo i dati personali necessari alla propria attività • Determinare la durata della conservazione per ciascuna categoria di dati (es. spesso obbligo di legge 10 anni per dati ufficiali) • Organizzare e mettere in sicurezza fisica, logica e soprattutto informatica i dati personali • Sicurezza informatica: integrità e riservatezza, analisi dei rischi • Responsabilizzazione, quindi rendicontazione • Eventuali adempimenti che dovessero rivelarsi necessari, es DPIA o comunicazione DATA BREACH al Garante (e anche agli interessati se il rischio per gli stessi è elevato oltre che probabile) A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 14. DATA BREACH ART. 33 «In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4.Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.» A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 15. DIRITTI DEGLI INTERESSATI • Obbligo di dare riscontro all’interessato entro 1 mese (o 3 in casi di particolare difficoltà) rispetto a una serie di diritti. • Diritto di accesso (art. 15) comprende il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. • Diritto alla cancellazione dei propri dati personali (art. 17). Obbligo per i titolari (se hanno “reso pubblici” i dati personali, ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano quei dati personali, compresi “qualsiasi link, copia o riproduzione”. Ha un campo di applicazione più esteso di quello dell’attuale Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 16. • Diritto di limitazione del trattamento (art. 18)  è esercitabile anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante). • Diritto alla portabilità dei dati (art. 20)  Applicabile solo se trattamenti automatizzati e dati trattati con il consenso dell’interessato o sulla base di un contratto, e comunque solo relativamente ai dati che siano stati “forniti” dall’interessato al titolare. Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile. A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 17. TRASFERIMENTO DATI EXTRA UE • Ogni trasferimento dati da un titolare o da un responsabile può avvenire solo sulla base di: a) una decisione di adeguatezza della Commissione UE cfr quel Paese b) cd. garanzie adeguate (come le clausole tipo di protezione approvate dalla Commissione; i codici di condotta; certificazioni; clausole contrattuali autorizzate dal Garante) c) cd. Binding corporate rules approvate dal Garante a condizione che Siano giuridicamente vincolanti e conferiscano espressamente agli interessati diritti azionabili A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 18. DEROGHE EX ART. 49 • Consenso esplicito dell’interessato allo specifico trasferimento • Trasferimento necessario ad esecuzione di un contratto, per importanti motivi di interesse pubblico, per accertare un diritto davanti al giudice, per interessi vitali dell’interessato o di altre persone (se il medesimo interessato è incapace). • Trasferimento sia effettuato a partire da un registro A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 19. SISTEMA PRIVACY ORGANIZZATO • Opportunità per migliorare la gestione della propria organizzazione • Ottimo biglietto da visita per l’impresa, probabilmente sarà presto previsto anche nei bandi pubblici • Sanzioni amministrative fino a 20.000.000€ o al 4% del fatturato mondiale A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 20. PIANO ISPETTIVO DEL GARANTE PER IL 1° SEMESTRE 2018 (NEWSLETTER N. 438 FEBBRAIO 2018) • «L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza … riguarderà innanzitutto i trattamenti di dati effettuati dalle ASL e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, il rilascio dell’identità digitale ai cittadini italiani (Spid), l’attività delle società che si occupano di valutare il rischio e la solvibilità delle imprese, il telemarketing, il Sistema integrato di Microdati dell’Istat • I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull’informativa e il consenso, la durata della conservazione A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 21. OLTRE ALLE ISPEZIONI • Il Garante monitora i mass media continuativamente • Segnalazione dei singoli che può aprire un procedimento del Garante • Sempre possibile che l’interessato agisca in giudizio per il risarcimento del danno o con un’azione inibitoria • Danno di immagine per l’azienda A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 22. RESPONSABILITÀ SOLIDALE • Chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile • Il Titolare risponde per il danno cagionato dal suo trattamento che violi il GDPR. • Il Responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme e contrario rispetto alle istruzioni del Titolare • Il Titolare o il Responsabile è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile • Qualora più Titolari o Responsabili oppure entrambi il Titolare e il responsabile siano coinvolti nello stesso trattamento e siano responsabili dell’evento dannoso causato dal trattamento, ogni Titolare o Responsabile è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato • Diritto di rivalsa A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O
  • 23. GRAZIE PER L’ATTENZIONE! Dott.ssa Ambra Nipote Bellan Ufficio Legale Unione Industriale a.nipote@ui.torino.it A M B R A N I P O T E B E L L A N U N I O N E I N D U S T R I A L E T O R I N O