Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva Schema generale del corso GLI ADEMPIMENTI diapositiva successiva SICUREZZA DEL TRATTAMENTO Nozione (art. 24 GDPR) Non poteva, ovviamente, mancare nel Regolamento un chiaro riferimento alle misure di sicurezza che già vengono menzionate nell’art. 24. Quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). diapositiva successiva Nozione (art. 32 GDPR) Più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento. Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Tali misure comprendono: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. diapositiva successiva PSEUDONIMIZZAZIONE (art. 4 GDPR) Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. diapositiva successiva Sicurezza del trattamento Cifratura L’insieme delle teorie e delle tecniche (manuali, meccaniche o elettroniche) che permettono di cifrare un testo in chiaro, cioè di ottenerne un crittogramma, impiegando una chiave di cifratura, e di decifrare un crittogramma impiegando una chiave di decifratura, integrata, nei sistemi complessi, da una sequenza di numeri. diapositiva successiva Resilienza La capacità intrinseca di un sistema di modificare il proprio funzionamento prima, durante e in seguito ad un cambiamento o ad una perturbazione, in modo da poter continuare le operazioni necessarie sia in condizioni previste che in condizioni impreviste. diapositiva successiva DATA BREACH Nozione (art. 33 GDPR) L’art. 33 del Regolamento dispone che in caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo competente ai sensi dell’articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora non sia effettuata entro 72 ore, la notifica all’autorità di controllo è corredata di una giustificazione motivata. diapositiva successiva Elementi della notifica Tale notifica deve come minimo: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. diapositiva successiva COMUNICAZIONE AGLI INTERESSATI Nozione (art. 34 GDPR) L’art. 34, invece, prevede un’altra importante incombenza collegata alla precedente e cioè la comunicazione di una violazione dei dati personali all’interessato. Difatti, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La predetta comunicazione descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e non è richiesta se: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. diapositiva successiva DPIA Data Protecion Impact Assessment (Valutazione d'impatto della protezione dei dati) Nozione (art. 35 GDPR) L’art. 35 del Regolamento parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. diapositiva successiva • Descrizione del trattamento previsto • Valutazione della necessità e della proporzionalità • Misure previste per dimostrare la compliance • Valutazione dei rischi ai diritti e alle libertà • Misure previste per affrontare i rischi • Documentazione • Monitoraggio e revisione La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. diapositiva successiva Valutazione di impatto sulla protezione dei dati (DPIA). Quando effettuarla? Vediamo lo schema sulla diapositiva Inoltre la valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; c) la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.