2017 © Defenx.

All Rights Reserved #1

 «GDPR- Il Nuovo quadro normativo»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #2

 «GDPR- Privacy by Design»

ART. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

a) il titolare del trattamento mette in atto misure tecniche e organizzative

adeguate, volte ad attuare in modo efficace i principi di protezione dei
dati

b) Il titolare del trattamento mette in atto misure tecniche e organizzative

adeguate per garantire che siano trattati, per impostazione predefinita,
solo i dati personali necessari per ogni specifica finalitàdel trattamento.

c) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può

essere utilizzato come elemento per dimostrare la conformitàai requisiti

2017 © Defenx. All Rights Reserved #3

 «GDPR- Il Nuovo quadro normativo»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #4

 «GDPR- Analisi dei Rischi»

2017 © Defenx. All Rights Reserved #5

 «GDPR- Il Nuovo quadro normativo»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #6

 «GDPR- registri»

2017 © Defenx. All Rights Reserved #7

 «GDPR- registri»

▪Registri delle attivitàdi trattamento

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle
attivitàdi trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti
informazioni:

a) il nome e i dati di contatto del titolare del trattamento

b) le finalitàdel trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali per
comunicazione e o diffusione
d) ove applicabile, i trasferimenti di dati personali verso un paese terzo
e) ove possibile, i termini ultimi previsti per la cancellazione
f) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all'articolo 32

2017 © Defenx. All Rights Reserved #8

 «GDPR- ICT e GDPR oneri ed onori»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #9

 «GDPR- DPIA»

2017 © Defenx. All Rights Reserved #10

2017 © Defenx. All Rights Reserved #11
 «GDPR- DPIA»

• occorre verificare di quali dati parliamo e della loro natura,

• occorre verificarne le finalità al trattamento e le modalità,
• chi sono le figure che internamente possono trattarno queste
informazioni e con quali autorizzazioni,
• se i dati vengono comunicati a terzi oppure vengono diffusi.
• Inoltre occorre verificare la reale ubicazione dei dati: se sono fuori dalla
Comunità Europea si deve verificare che lo Stato ospitante abbia le
carte in regola con la normativa Europea.
• Una volta verificati i dispositivi ospitanti il titolare al trattamento
deve verificarne la messa in sicurezza, andando in modo puntuale a
verificarne gli aspetti tecnici ed organizzativi.

DOPO analisi dei rischi che possono incombere su questi dati e solo a
questo punto potrà arrivare alla corretta decisione “del se e del come”
trattare i dati.

2017 © Defenx. All Rights Reserved #12

 «GDPR- DPIA»

2017 © Defenx. All Rights Reserved #13

 «GDPR- ICT e GDPR oneri ed onori»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #14

 «GDPR- addetti»

Articolo 28
Definizioni Art 4

2017 © Defenx. All Rights Reserved #15

 «GDPR- responsabili»

Quando prendiamo un dato personale e lo comunichiamo a

qualcun altro stiamo facendo un trattamento
Se facciamo un trattamento dobbiamo applicare tutte le
misure fisiche ed organizzative per far si che al dato non
succeda nulla di male
La scelta dell’intermediario a cui comunichiamo fa parte di
questo processo ed è sotto la responsabilità del Titolare

2017 © Defenx. All Rights Reserved #16

 «GDPR- ICT e GDPR oneri ed onori»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #17

 «GDPR- contromisure»

Il grado di sicurezza si valuta attraverso le contromisure che

si sono applicate per proteggere i dati personali dalle
minacce individuate
▪Le misure di sicurezza da implementare devono essere
dimensionate in funzione delle minacce.
▪L’organizzazione determina le proprie misure di sicurezza in
relazione al fattore di rischio residuo che intende sostenere.
▪I criteri adottati possono essere:
➢Bilanciare il costo di sicurezza contro il valore dei beni da
proteggere e gli obblighi di legge
➢Bilanciare i bisogni di sicurezza contro i bisogni del business
➢Bilanciare probabilità contro possibilità

2017 © Defenx. All Rights Reserved #18

 «GDPR- Responsabili al trattamento la figura che diventa
obbligatoria»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #19

 «GDPR- responsabili e trattamenti esterni»

Art 28
Deve operare con Contrattualizzazione
Responsabile deve garantire misure tecniche
Istruzioni documentate
Garanzia sugli addetti/incaricati alla riservatezza
Adotti misure di sicurezza (Art. 32)

2017 © Defenx. All Rights Reserved #20

 «GDPR- Responsabili al trattamento la figura che diventa
obbligatoria»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #21

 «GDPR- DPO»

Sarà obbligatorio nella pubblica amministrazione e sarà fortemente consigliato

nel privato.

Nel settore privato, tuttavia, sarà obbligatorio nominare un DPO qualora i

trattamenti coinvolti saranno su larga scala e monitorati sistematicamente o nel
caso di trattamenti effettuati su larga scala di dati sensibili. Accanto al concetto
di larga scala occorre far riferimento al core business aziendale per
determinarne l’obbligatorietà o meno:

le aziende ospedaliere,
le aziende che offrono servizi proprietari in cloud,
le aziende che offrono servizi di sorveglianza,

2017 © Defenx. All Rights Reserved #22

 «GDPR- DPO»

 informare e fornire consulenza al titolare del trattamento o al responsabile del

trattamento nonchéai dipendenti che eseguono il trattamento in merito agli obblighi
derivanti dal presente regolamento nonchéda altre disposizioni dell'Unione o degli Stati
membri relative alla protezione dei dati;

 sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o

degli Stati membri relative alla protezione dei dati nonchédelle politiche del titolare del
trattamento o del responsabile del trattamento in materia di protezione dei dati
personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione
del personale che partecipa ai trattamenti e alle connesse attivitàdi controllo;
 fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione
dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

 cooperare con l'autoritàdi controllo;

 fungere da punto di contatto per l'autoritàdi controllo per questioni connesse al

trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del
caso, consultazioni relativamente a qualunque altra questione.

Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente
i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del
contesto e delle finalitàdel medesimo.

2017 © Defenx. All Rights Reserved #23

 «GDPR- DPO»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #24

 «GDPR- Data Breach»

Comunicazione di una violazione dei dati personali all’interessato

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le
libertà delle persone fisiche, il titolare del trattamento comunica la viola- zione all’interessato senza
ingiustificato ritardo

SI PUO’ EVITARE SE :
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di
protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in
particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia
autorizzato ad accedervi, quali la cifratura

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il soprag-giungere

di un rischio elevato per i diritti e le libertà degli interessati

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una
comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con
analoga efficacia.

2017 © Defenx. All Rights Reserved #25

 «GDPR- DPO»

1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #26

 «GDPR- informativa e diritti»

Regolamento Europeo
Art. 13

La definizione base non cambia, diventano tuttavia necessari elementi diversi e più dettagliati:

(i)identificazione precisa del titolare e del suo rappresentante (titolare extra-UE);

(ii)eventuali contatti DPO;
(iii)finalità trattamento e base giuridica;
(iv)eventuali legittimi interessi del titolare;
(v)destinatari o categorie di destinatari;
(vi)trasferimenti dati e garanzie di tutela.

NB: viene inoltre richiesta anche una serie di ulteriori specifiche a garanzia di correttezza e
trasparenza del trattamento (art. 13, comma 2).

2017 © Defenx. All Rights Reserved #27

 1. Privacy by Design
2. Analisi dei rischi
3. Registri dei trattamenti
4. DPIA Data Privacy Impact Assesment
5. Nomina di tutti gli addetti (incaricati, responsabili)
6. Adottare le misure di sicurezza al fine di evitare rischi che incombono sui dati
7. Verifica dei trattamenti esterni
8. Nomina del DPO/RPD – Data Protection officer, Responsabile Protezione Dati
9. Data Breach
10. Gestione dei diritti degli interessati
11. Informative e gestione del consenso

2017 © Defenx. All Rights Reserved #28