Si è concluso il ciclo di sei seminari, organizzati da SI.net Servizi Informatici sul territorio italiano, inerenti al tema della sicurezza e protezione dei dati alla luce del Nuovo Regolamento Europeo sulla privacy (GDPR), in vista della sua piena attuazione e obbligatorietà il prossimo 25 maggio. |
Ringraziamo i partecipanti per l’interesse dimostrato nei confronti dei nostri seminari che si sono tenuti a Milano, Chivasso (TO), Salerno, Roma, Città Sant’Angelo (PE) e Pietra Ligure (SV).
Il tema è molto sentito in quanto il prossimo 25 maggio il Regolamento Europeo per la Protezione dei Dati Personali (Regolamento EU 2016/679 – GDPR) entrerà nella fase di piena attuazione rendendo obbligatorio, per tutte le organizzazioni private e le PA, l’adeguamento ai relativi adempimenti.
Nel corso del Seminario sono state approfondite le novità introdotte ponendo l’accento sul loro impatto pratico e sul percorso che gli enti e le aziende devono sostenere in questi mesi per adeguarsi alla normativa.
Sono stati illustrati gli strumenti previsti dalla norma, dal consenso all’informativa, così come i principi ed i nuovi ruoli. Tra questi ultimi, particolare spazio occuperà la figura del Responsabile della protezione dei dati (Data Protection Officer).
Si è parlato dei cambiamenti richiesti dal Regolamento UE, anche alla luce delle indicazioni fornite dal Garante Privacy italiano, approfondendo al contempo, attraverso l’interazione con i partecipanti, l’analisi di casi pratici e delle questioni poste.
Il tema della conformità al nuovo Regolamento Europeo rappresenta il maggiore tra gli adempimenti imposti dalla legge alle organizzazioni pubbliche e private in questo 2018. Come è noto, essendo un regolamento UE, non saranno richieste normative locali per il suo recepimento, essendo divenuto immediatamente esecutivo nella data della sua entrata in vigore.
La complessità della struttura della norma, costituita da 99 articoli racchiusi in 11 capitoli, è resa necessaria dall’obiettivo che essa si pone. Nello specifico il GDPR, diversamente da quanto previsto dalla direttiva precedente 95/45/CE e dal decreto legislativo 196 del 2003 (il Codice della privacy), non può essere ridotto ad una serie di adempimenti. Esso impone un vero e proprio modello di governance della privacy nelle organizzazioni che si traduce operativamente nella necessità di impostare un Sistema di Gestione.
Non sono infatti previste misure di prevenzione esplicitamente citate nel testo, ma saranno i titolari a dover definire un insieme coerente di strumenti, ruoli e controlli sulla base dei rischi individuati per ogni trattamento effettuato (principio dell’accountability).
A tal fine occorrerà individuare tutti i trattamenti e mapparli in un apposito registro. In casi specifici per i privati, ma per ogni trattamento per le PA, dovranno essere indicate le misure di sicurezza implementate volte a ridurre i rischi di sottrazione dei dati registrati e, per i nuovi trattamenti, dovrà essere compiuta una valutazione dell’impatto privacy del trattamento stesso.
Ex ante, il titolare dovrà minimizzare l’uso e la richiesta dei dati personali e prevederne la protezione già nella fase di progettazione.
Nella realizzazione del sistema indicato, il Regolamento UE prevede che il titolare sia supportato da un nuovo ruolo, quello del DPO. Esso sarà obbligatorio per tutte le PA e per diverse categorie di privati, potrà operare sulla base di un contratto di servizio purché ne venga riconosciuta la piena indipendenza e l’assenza di conflitti di interesse. Il DPO dovrà svolgere il ruolo di consigliere del titolare per tutto ciò che attiene alla privacy, verificando la corretta attuazione della norma e fungendo da interfaccia verso il Garante e da riferimento per gli interessati.
Accanto a ciò è doveroso menzionare come, per le pubbliche amministrazioni, il lavoro compiuto in relazione alle misure minime per la sicurezza ICT, con l’attestazione sottoscritta entro il 31 dicembre 2017, dovrà intendersi come il primo passo verso il continuo aggiornamento di un sistema di protezione dei dati.
Questi, in particolare, gli argomenti che sono stati trattati:
- Il regolamento UE 679/2016: i ruoli, le tipologie di dato e gli strumenti previsti dalla norma;
- La figura del Data Protection Officer, le certificazioni e i codici di condotta;
- I diritti degli interessati e le sanzioni per la loro violazione;
- La documentazione da predisporre: i registri del trattamento, le informative e il consenso;
- Il sistema di gestione della privacy e l’approccio alla sicurezza;
- Accountability, privacy by design e privacy by default e la proporzionalità delle misure di sicurezza;
- Misure minime di sicurezza ICT per la PA e GDPR, come correlarli;
- Data protection, Data breach e obbligo di notifica in caso di violazione dei dati.
Relatori
- Ing. Aldo Lupi: Privacy Officer certificato TÜV e IT manager presso SI.net Servizi Informatici s.r.l.
- Dott. Paolo Tiberi: Project manager presso SI.net Servizi Informatici s.r.l. e Docente a Contratto di Organizzazione Aziendale per la Pubblica Amministrazione presso l’Università degli Studi di Milano.
Condividiamo con voi alcune foto scattate nel corso dei Seminari:
_______________________________________________________
Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube e LinkedIn
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva
Salva