Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

GDPR Countdown: da qui al maggio 2018
Cosa fare. Come fare. Gli scenari.

pittogramma Zerouno

Speciale

GDPR Countdown: da qui al maggio 2018
Cosa fare. Come fare. Gli scenari.

19 Apr 2018

di P4I - Partners4Innovation

ZeroUno e gli esperti di P4I ti accompagnano, con una serie di articoli, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea, il Regolamento UE 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Cosa cambia nelle aziende con il GDPR? Quale il significato della nuova normativa? Cosa fare per mettersi in regola?

ZeroUno e gli esperti legali di Partners4Innovation stanno accompagnando le organizzazioni, con una serie di articoli si questo tema. Essi verranno pubblicati fino al 25 maggio 2018 (data in cui sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea, il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) e oltre, perché, come si vedrà il vero significato del testo del GDPR sta nel rappresentare una opportunità imperdibile per fare innovazione in modo sicuro, un processo, dunque, in continua evoluzione.

Tutto quel che c’è da sapere sul GDPR: gli argomenti trattati e i link agli articoli pubblicati

Indice degli argomenti:

E inoltre:

Video

Articoli in programmazione

• La stretta relazione tra GDPR e innovazione digitale

L’obiettivo del legislatore scrivendo il testo del Regolamento UE 2016/679, noto come GDPR (il significato dell’acronimo è General Data Protection Regulation), era quello di proteggere le persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La normativa interviene quindi nel rapporto fra innovazione digitale, da un lato, e diritti e libertà delle persone, dall’altro, responsabilizzando il Titolare del trattamento dei dati, definendo nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende. Tra questi ultimi quelli che vanno sotto il nome di “Data Protection by design” e di “Data protection impact assessment” (ossia veri e propri filtri attraverso cui l’innovazione deve passare) di cui si occupa questo articolo.

• GDPR: un percorso strutturato e sostenibile per essere compliant

Cosa fare per essere conformi al Regolamento europeo sulla Data privacy? Quali azioni compiere per mettersi in regola? La Normativa promuove un cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio un elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali. Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.

In questo articolo sono illustrati i 7 principali passi da compiere per adeguarsi.

• GDPR e il Registro dei Trattamenti: un’opportunità da cogliere

Tra le novità di maggior rilievo introdotte dalla normativa vi è sicuramente l’obbligo della tenuta del Registro dei Trattamenti. La sua predisposizione non deve essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR. Difatti, come si vedrà, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità.

Ma chi è obbligato a tenere il Registro dei trattamenti? E come si costruisce questo Registro? Tutte le risposte nell’articolo.

• GDPR: l’Analisi del Rischio

Nel testo del GDPR l’analisi del rischio privacy ha un ruolo fondamentale: diventa lo strumento atto a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati. Soprattutto per le aziende italiane questa è una grande novità in termini di approccio: abituati alle leggi basate su diritto latino, siamo assuefatti da anni a prescrizioni puntuali, alle checklist, per esempio, della cosiddetta “Legge Privacy” italiana, il D.lgs. 196/2003. Il GDPR, invece, non indica puntualmente le linee guida per proteggere le informazioni, ma chiede di essere in grado di dimostrare di averle protette in modo adeguato.

In questo articolo viene suggerito un percorso logico, che dimostri come si sono protette le informazioni gestite e quali rischi corrono gli interessati che autorizzano a trattare i loro dati.

• Il Data Protection Officer nel GDPR: quando è obbligatorio

La normativa europea introduce una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, il Responsabile della protezione dei dati (RPD). Ma quando è obbligatorio nominare un Data Protection Officer? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un soggetto esterno? Quali sono le conseguenze se non è nominato?

Queste sono solo alcune delle tante domande che si stanno ponendo aziende ed enti pubblici a cui si darà risposta, in questo articolo, anche tramite esemplificazioni pratiche.

• Compiti, esperienze, collocazione, responsabilità del DPO delineati nel GDPR

Il Responsabile della protezione dei dati (DPO) è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del GDPR, facilitarne l’osservanza e minimizzare il rischio di violazioni, informare e consigliare le pubbliche amministrazioni e le imprese, fungere da interfaccia fra i diversi soggetti coinvolti (autorità di controllo, interessati e diverse business unit aziendali). Nell’articolo si leggerà nello specifico qual è il ruolo di questa figura in azienda e le sue responsabilità.

• Il diritto all’oblio: cosa prevede il GDPR e quali gli avanzamenti della giurisprudenza

Il GDPR prevede espressamente, per la prima volta, nell’ordinamento europeo, il cosiddetto “diritto all’oblio”. Il testo prevede che l’interessato ha il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati che lo riguardano in 6 casi specificamente individuati che verranno spiegati nell’articolo. In questo stesso approfondimento viene inoltre illustrato come la giurisprudenza e la prassi applicativa delle Autorità Nazionali per la Protezione dei dati hanno riconosciuto progressivamente l’esigibilità del diritto all’oblio.

• Informativa e consenso: i punti da chiarire

Il GDPR interviene sul tema dell’informativa e del consenso al trattamento dei dati. Accanto all’indicazione della procedura corretta da svolgere, vengono però sollevati alcuni dubbi e, in particolare come si vedrà, sono 2 le questioni sulle quali Partners4Innovation ha chiesto chiarimenti al WP29, organo consultivo istituito con la Direttiva 95/46/CE sulla protezione dei dati personali.

• GDPR e sicurezza dei dati e dei trattamenti: analisi dei rischi, misure adeguate e data masking

Tra le misure previste dal GDPR per garantire un livello di sicurezza adeguato al rischio vi è la pseudonimizzazione dei dati, ossia la conservazione di informazioni di profilazione dell’utente in modo tale da impedirne l’identificazione; d’altra parte, con il processo di Data Masking, operato tramite software specifici, è possibile trasformare i dati degli interessati in modo semplice, trasparente e irreversibile, così da garantire il principio di minimizzazione dei dati perché i dati stessi trattati siano limitati rispetto alla finalità. Protagoniste di questo articolo sono proprio le tecnologie utilizzate per compiere questi processi.

• GDPR – La gestione dei Data Breach: notifica all’Autorità e comunicazione agli interessati

Una strategia di sicurezza deve essere onnicomprensiva; deve riguardare, cioè, la prevenzione, la capacità di rilevare le violazioni ma anche, infine, la reazione di contrasto dell’attacco e di mitigazione degli effetti. In questo articolo si parlerà proprio della gestione dei Data Breach secondo il GDPR e si risponderà a domande quali quando notificare l’accaduto? Oppure quando è possibile effettuare una valutazione discrezionale che consente di evitare un eccesso di notifica che rischierebbe di vanificare la norma?

• Il GDPR e il trasferimento di dati personali extra UE: alcuni spunti di riflessione

Il GDPR prevede che deve essere garantito il medesimo livello di protezione in caso di trasferimento di dati personali in Paesi al di fuori della Unione Europea utilizzando servizi cloud. In linea generale (tralasciando quindi ipotesi più residuali) vi sono diversi casi possibili. Nell’articolo verranno perciò approfondite le varie possibilità e si dice quando, invece, questo non è permesso.

Video

Articoli in programmazione

  • La certificazione di conformità al GDPR
  • Le sanzioni e l’esposizione a contenziosi
P4I - Partners4Innovation

Partners4Innovation offre a imprese e Pubbliche Amministrazioni servizi di Advisory e Coaching per sostenerle e affiancarle nel percorso di Trasformazione Digitale e Innovazione Imprenditoriale.

Argomenti trattati

Approfondimenti

G
GDPR
GDPR Countdown

Articolo 1 di 5