/media/post/q74vlp8/g-796x512.jpg
Ferpi > News > GDPR, istruzioni per l'uso

GDPR, istruzioni per l'uso

25/05/2018

Teresella Consonni

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri dell'Unione Europea il Regolamento Ue 2016/679, noto come GDPR. Una nuova attenzione alla protezione del dato è destinata a incidere nel modo di lavorare. Ma cosa cambia per aziende e professionisti? Teresella Consonni ha stilato un utile vademecum, primo di una serie di approfondimenti sul tema, per chiunque abbia necessità di chiarirsi le idee.



GDPR - General Data Protection Regulation o Regolamento generale sulla protezione dei dati personali ovvero Regolamento Europeo 2016/679. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.

Obiettivo del GDPR è di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.

Il GDPR - Regolamento Generale europeo sulla Protezione dei Dati che entra in vigore nella Unione europea il 25 maggio 2018 intende, in primo luogo  promuovere  responsabilità e  trasparenza  nel processo di raccolta  e  nel trattamento dei dati personali, proteggendo  sia le informazioni sia i diritti delle persone. Quando una società  o un singolo professionista definiscono un proprio programma per essere adeguati (“compliant”) al nuovo Regolamento devono tenere  questi principi  al centro delle proprie azioni, in modo da  avere certezza che  le  proprie decisioni strategiche siano idonee a garantire questi obiettivi di fondo.

Il GDPR si applica quando:

  • la base operativa di una  organizzazione si trova nella Ue (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio Ue o meno);

  • un'organizzazione,  malgrado non abbia sede nella Ue, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche o di organizzazioni senza scopo di lucro;

  • un'organizzazione,  malgrado non abbia sede nella Ue, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all'interno del territorio Ue.


Un ambito di applicazione così ampio copre in pratica quasi tutte le attività,  pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che una organizzazione si trovi nella Ue.

La rivelazione di violazioni dei dati che si sono manifestate in alcune delle più grandi aziende globali ha focalizzato l’attenzione  sull'importanza della riservatezza e della sicurezza dei dati, ormai  elemento chiave per utenti, imprese e Paesi. Non è un caso se si parla dei dati come del vero “oro nero del futuro”  e se il tema  dell’adeguamento ai dettami normativi prescritti in area europea dal GDPR costringa  soggetti, che operano nel mercato globale e hanno sede fuori Ue,  a inviare e-mail di richiesta di fornire  di nuovo il consenso a trattare il dato personale fornito a suo tempo - in conformità alle prescrizioni del GDPR - a cittadini europei che si sono magari abbonati gratuitamente a una newsletter.

Che piaccia o no, resta il fatto che il Regolamento prescrive una serie di adeguamenti ai quali bisogna conformarsi, anche perché le sanzioni sono davvero severe. Ognuno dovrebbe, nel proprio ruolo, comunque cogliere questa opportunità  di porre attenzione alla centralità dei propri dati e riflettere alle implicazioni di pericolosità per ogni dato personale ceduto senza vera  attenzione  e non trattato con  rigore e  piena trasparenza del processo come il Regolamento prescrive.

Certo chi opera nell'ambito delle relazioni dovrebbe avere a cuore il tema  della protezione e salvaguardia, data la centralità dei dati nel proprio lavoro quotidiano e avere un'attenzione rigorosa  nella definizione di procedure codificate  per salvaguardare il dato e rendere la cancellazione  - su richiesta esplicita -  realizzata in tempi brevi come ormai prassi consolidata ed entrata in vigore con le regole imposte dalla Privacy e dalla cookies law. Sembrano davvero lontanissimi  i tempi nei quali incauti soggetti inviavano e-mail a plurimi destinatari lasciandoli in chiaro e innescando reazioni anche molto violente rispetto al fatto che  tutti i destinatari  fossero così in grado di entrare in possesso di indirizzi  prima ignoti. Eppure proprio nei giorni scorsi mi è capitato di ritrovarmi di fronte allo stesso tipo di trasmissione incauta di dati: l’attenzione, forse per la fretta, è venuta meno. Il Regolamento vuole riportare l’attenzione a un rigoroso rispetto delle norme e dei principi  che le hanno ispirate: principi che rappresentano un baluardo oltre che una salvaguardia per ognuno di noi come dimostrano  casi recenti che hanno avuto una evidenza clamorosa.

Da oggi il dato – quello personale - raccolto, trattato, trasmesso, archiviato in una banca dati, conservato in una nuvola, gestito da un fornitore extra Ue, affidato sul web senza pensarci troppo a un fornitore ignoto, scambiato a mano di persona con la consegna reciproca di un biglietto di visita  e così via ritorna al centro dell’attenzione e merita una vera riflessione sui processi dei quali è protagonista nel perimetro del lavoro quotidiano, inducendo a una migliore consapevolezza tutti noi.

E’ vero però che l’approfondimento sulle prescrizioni del GDPR, anche se è iniziato circa due anni fa, ha visto solo di recente intensificarsi anche nel mercato degli addetti ai lavori iniziative informative  e di chiarimento sulle norme da adottare e sugli adempimenti necessari.

Diventano  più stringenti, infatti, gli obblighi delle imprese nel trattamento dei dati aziendali, con l’entrata in vigore il 25 maggio 2018 del nuovo Regolamento europeo sulla Privacy.

Secondo il dettato del GDPR, l’azienda deve avere un responsabile della protezione dei dati, il quale ha una serie obblighi informativi nei confronti dell’interessato (ad esempio, il dipendente, il fornitore, il cliente). Obblighi che riguardano anche  standard di sicurezza e  rischi che derivano da una eventuale diffusione dei dati (dovuta a errori, malfunzionamenti, furti e così via).

Le PMI sotto la soglia  di 250 dipendenti hanno comunque meno obblighi rispetto alle grandi imprese, alle pubbliche amministrazioni o ad altri enti: non hanno l’obbligo di tenere il registro delle attività di trattamento dei dati personali che contiene informazioni dettagliate sulle policy aziendali in materia di privacy, sulle procedure e sugli standard di sicurezza adottati. Tuttavia  il registro  permette di avere sotto controllo il sistema  messo in atto  e di produrre, al bisogno, una documentazione accurata  di quanto predisposto in termini di adeguamento alle prescrizioni.

Le  regole sulla protezione dei dati sono comunque le stesse e devono prevedere: pseudonimizzazione e cifratura dei dati; capacità di assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento dei dati; capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative  così da garantire la sicurezza del trattamento.

E’ necessario fare particolare attenzione ai rischi presentati dal trattamento che derivano dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Nel caso in cui si verifichi una violazione di dati, di qualsiasi genere (anche  per la perdita di una chiavetta o dello smartphone che li contiene), un'organizzazione  deve  valutare  e informare “senza ingiustificato ritardo” sia l’autorità Garante della Privacy sia l’interessato, cioè la persona  il cui dato è a rischio. Senza giustificato ritardo significa entro 72 ore dal momento in cui  si viene a conoscenza del fatto (articolo 33). Nel caso in cui queste comunicazioni obbligatorie  siano effettuate al Garante oltre le 72 ore, il ritardo deve essere giustificato. L’unico caso in cui è possibile non effettuare queste comunicazioni, è quello  nel quale  la società ritenga improbabile che la perdita o la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

La comunicazione al Garante  deve contenere: natura della violazione e, se possibile, categorie e numeri degli interessati, nome e dati di contatto del responsabile della protezione dei dati, descrizione delle probabili conseguenze, misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e attenuarne i possibili effetti negativi. Queste informazioni possono anche essere comunicate in tempi diversi, cioè successivamente alla prima comunicazione che deve arrivare entro le 72 ore.

La comunicazione all’interessato  deve descrivere, con un linguaggio semplice e chiaro la natura della violazione dei dati personali e  deve contenere almeno le informazioni previste nei confronti del Garante della Privacy. La comunicazione all’interessato non è obbligatoria nei casi seguenti: se il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione: in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura. In pratica, se la violazione non mette a repentaglio la privacy dell’interessato grazie alle misure di sicurezza, quali la cifratura, che erano già state applicate ai dati la comunicazione all’interessato non è obbligatoria. Se il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.Se la comunicazione richiederebbe sforzi sproporzionati: in questo caso, si procede a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati siano informati con analoga efficacia.

Ci  anche sono misure specifiche che riguardano i gruppi imprenditoriali (le partecipate, le controllate e così via), che riguardano  trasmissione o disponibilità dei dati in  Paesi diversi. Il gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, che però deve essere facilmente raggiungibile da ogni sede.

Tutti ambiti i ai quali  fare attenzione. Ecco  che un numero significativo di imprese italiane rischia di incorrere in pesanti multe a seguito del proprio ritardo di preparazione in vista del Regolamento Generale europeo sulla Protezione dei Dati.

I risultati  di una ricerca promossa da Senzing  società californiana di software: “Finding The Missing Link in GDPR Compliance” basata sulle opinioni espresse da oltre 1.000 dirigenti di imprese con sede in Regno Unito, Francia, Germania, Spagna e Italia confermano che quasi la metà  del campione italiano (pari al 43 per cento)  afferma di essere  in situazione di allarme rispetto alla entrata in vigore del GDPR. Sempre  secondo la ricerca il 60% delle imprese europee è “a rischio” o “in difficoltà” in vista della entrata in vigore della nuova scadenza normativa.

Le aziende italiane sono preoccupate riguardo alla loro capacità di adempiere alle disposizioni del  GDPR. Le imprese ritengono di dovere fare fronte in media ogni mese a  89 richieste collegate al  nuovo Regolamento europeo sulla Privacy, per le quali  si dovranno effettuare ricerche in una media di 23 diverse banche dati e dedicare a ciascuna di esse circa 5 minuti. Su base mensile il tempo dedicato alla semplice ricerca di dati sarà di 172 ore, vale a dire oltre otto ore di ricerca per giorno lavorativo:  tempo lavoro equivalente a un impiegato dedicato a tempo pieno esclusivamente alle ricerche collegate al GDPR. Una stima che fa pensare. Il problema risulta particolarmente grave per le grandi aziende, per le quali c’è da attendersi una media di 246 richieste al mese, per le quali  si dovranno effettuare ricerche in una media di 43 diverse banche dati e dedicare a ciascuna di esse oltre 7 minuti.

I risultati della ricerca evidenziano  alcune dimensioni della sfida costituita dall'adempimento alle disposizioni. A soli quattro mesi dalla sua entrata in vigore, il fatto che il 43% delle imprese italiane  oggetto della indagine si dichiarino preoccupate in merito alla propria capacità di essere pronte ad adempiere al nuovo regolamento rappresenta un  segnale d’allarme. Non soltanto il management, ma anche gli azionisti  si possono innervosire davanti a simili cifre: per molte società quotate in borsa il rischio di multe salate è infatti elevato e la loro quotazione ne risentirebbe. Le grandi aziende italiane sembrano vulnerabili. Tanta preoccupazione, ma anche molta sottovalutazione della tematica.

Sulla base delle risposte ricevute, Senzing calcola che circa  un quarto (24%) delle imprese della Ue  sono “a rischio” di non potere adempiere alle disposizioni del GDPR, mentre un ulteriore 36% è “in difficoltà” e soltanto il 40% è classificabile come “pronto”.

Essere in grado di scoprire chi è chi e dove si trovano i relativi dati è il primo principio per adempiere alle disposizioni del GDPR. I risultati della ricerca indicano che un anello mancante è costituito dalla ricerca per soggetto singolo. Forse anche  alle imprese italiane sfugge quanto sia urgente la necessità di potere effettuare una ricerca efficiente per soggetto singolo in modo da scoprire rapidamente chi è chi nei propri dati.

Molte aziende italiane tuttavia  iniziano ad avere consapevolezza del compito di pianificazione in funzione dell’adeguamento alle nuove norme. Il 50 per cento del campione sta programmando una revisione dei propri sistemi di trattamento dei dati dei clienti, mentre il 16% intende impiegare un maggior numero di analisti per la raccolta dati e un ulteriore 10% progetta di affidare la gestione dei propri dati a terzi. Un preoccupante 13% dichiara tuttavia di “non sapere” quali azioni intraprendere e oltre un quarto (26%) ritiene di essere già a posto e di non dovere prendere alcuna misura. Soltanto il 29% delle imprese italiane appare consapevole del rischio di incorrere in multe molto severe, nel peggiore dei casi pari a 20 milioni di euro o al 4% del fatturato annuale. Un inquietante 24% ritiene che non subirà alcuna conseguenza da eventuali multe, mentre il 12% dichiara di “ignorarne” l’impatto.

Anche un recente studio di IDC per Microsoft ha indagato il livello di preparazione delle aziende al nuovo Regolamento Generale sulla Protezione dei Dati.

Secondo i dati della ricerca, è in alcuni settori strategici come il Finance e la Pubblica Amministrazione che si registra un maggior tasso di conformità, rispettivamente  per il 10 per cento  e l’8%, oltre che una maggiore presenza di roadmap già definite per l’adeguamento, nel 76% e 85% dei casi. Ma è in altri settori altrettanto strategici, come il Manufacturing e i Servizi, che è invece più alta la percentuale delle aziende che hanno da poco iniziato ad affrontare il problema, rispettivamente il 53% e il 60%. Un ritardo che si conferma anche tra le grandi aziende, quelle con più di 250 dipendenti:  un ritardo che non è solo italiano e che, secondo IDC, nella maggior parte dei casi è dovuto alla percezione di alcuni requisiti come  di vere e proprie sfide tecnologiche e organizzative. Infatti, se si guarda al mercato italiano, oltre la metà delle imprese segnala come particolarmente impegnativi i requisiti tecnici: quali l’obbligo di notifica dei data breach entro 72 ore (70%), la necessità di introdurre in modo sempre più strategico soluzioni di crittografia e/o anonimizzazione dei dati (60%) e la definizione di casi di uso specifici nella gestione del consenso (48%). Tra i processi organizzativi ritenuti più sfidanti appaiono  la classificazione di tutti i dati (67%), la sensibilizzazione dei dipendenti ai cambiamenti nelle policy di sicurezza (62%) e la eliminazione dei dati irrilevanti (62%).

Tutti i cambiamenti naturalmente comportano anche  costi. E oltre 2 imprese italiane su 3 concordano sulle tematiche che assorbono più investimenti: nuovi processi di documentazione (70%) insieme alle  attività di comunicazione interna e formazione (69%) sono considerati  voci  di spesa principali, ma è considerato significativo anche il peso di investimenti per soluzioni di Identity and Access Management (66%), per la mappatura dei dati (65%) e per l’aggiornamento dei processi di back-up (64%).

Anche questa ricerca  testimonia come  mancanza di risorse e di competenze possa rappresentare un effettivo ostacolo all’adattamento alla normativa richiesta dal GDPR.

In questo scenario di faticoso processo di adeguamento in corso  anche singoli professionisti e microimprese sono richiesti  di produrre uno sforzo per tradurre le nuove regole in una maggiore capacità  di comprensione del processo e  in un  livello d’intervento più consapevole. E allo scopo di rendere facilitato il necessario processo di adeguamento FERPI  ha stipulato una convenzione  scontata a favore dei propri soci, che prevede la possibilità di adottare un software specifico GDPR Navigator  (che all’occorrenza può  essere supportato  da un pacchetto orario di consulenza legale) per permettere in modo guidato e con abbondanza di esempi di costruirsi un abito su misura in funzione degli adempimenti richiesti.

GDPR: vademecum

In sintesi
Il nuovo regolamento rappresenta un traguardo per le normative sul trattamento dati.  Obiettivi: rafforzare i diritti esistenti e dare agli individui più poteri di controllo sui propri dati personali, creare opportunità di business e incoraggiare l’innovazione. La riforma si basa sull’Articolo 16 del Trattato sul funzionamento dell’Unione Europea –TFUE che permette di adottare  una normativa relativa alla protezione dell’individuo con riferimento alla elaborazione di dati personali a opera degli Stati membri  della Ue quando  siano impegnati nelle attività che rientrano nell’ambito del diritto comunitario. Inoltre,  è prevista l’adozione di una normativa riguardante il libero scambio di dati personali, con  inclusione dei dati personali elaborati dagli Stati membri  della Ue o da soggetti privati.

La riforma introduce due strumenti legislativi.

1. Il Regolamento generale sulla protezione dei dati personali, che si riferisce alla elaborazione dei dati personali e alla libera circolazione di tali dati: aspetti  a cui  imprese e consumatori sono maggiormente interessati. La Direttiva sulla protezione dei dati  che riguardano polizia e giustizia penale: i dati relativi a vittime, testimoni e individui sospettati di un crimine  devono essere protetti nel corso di una indagine o durante la esecuzione di una sanzione penale. Leggi più armonizzate intendono  facilitare la cooperazione tra  polizia e pubblici ministeri dei Paesi per combattere crimine e terrorismo  in modo più efficace nella Ue. Il Regolamento generale sulla protezione dei dati personali. il GDPR è un regolamento, e non una direttiva come la precedente Direttiva 95/46/EC. Questi due termini,  spesso usati come sinonimi, hanno un significato molto diverso: infatti, una direttiva è attuata tramite la legislazione dei singoli Paesi ( cioè recepita dal singolo stato e tramutata in legge ordinaria) invece un regolamento, quando adottato, è applicabile con immediatezza come legge in tutti gli stati Ue in contemporanea.

2. Rafforzamento dei diritti degli individui. Il regolamento  si riferisce  ai consumatori e alle imprese. Infatti, la nuova normativa serve  prima di tutto a rafforzare i diritti già esistenti e a  dare ai singoli  un livello di controllo  maggiore sui propri dati personali.

A titolo di esempio.

Accesso più semplice ai propri dati: le persone devono avere maggiori informazioni su come  e per quanto tempo i propri dati  siano processati.

Tali informazioni devono essere presentate in modo chiaro e comprensibile a chiunque.

Diritto alla trasferibilità dei dati: è più semplice trasferire i propri dati personali fra diversi fornitori di servizi.

Diritto all’oblio. Se una persona non vuole  che i propri dati siano trattati e dimostra che non c’è motivo per  doverli conservare, i suoi dati dovranno essere cancellati.

Trattamento dei dati personali del minore: sono  introdotte condizioni per la legittimità del trattamento dei dati personali di un  minore per  servizi di informazione che gli  siano offerti  in modo diretto.

Diritto di sapere quando i propri dati siano stati violati. Ad esempio, imprese e organizzazioni devono notificare il prima possibile  e comunque entro  72 ore dal fatto all’autorità nazionale di vigilanza le violazioni di dati personali più gravi (data breach), in modo tale gli utenti possano prendere misure adeguate.

Principi  per facilitare gli scambi.

Le normative europee in materia di protezione dei dati  tengono presente nelle intenzioni dei legislatori  la volontà di creare opportunità di business e di  favorire la innovazione.

Alcuni  dei nuovi principi.

Un continente, una legge: il regolamento stabilisce un insieme di regole per facilitare e rendere maggiormente economico alle imprese fare business nella Ue.

Una sola autorità di vigilanza: le imprese fanno capo a una singola autorità di vigilanza, con un risparmio stimato di 2.3 miliardi di euro all’anno.

Normativa europea su suolo europeo: le imprese extra-Ue devono applicare la normativa europea quando offrano servizi nella Ue.

Approccio basato sul rischio: la normativa non prevede  obblighi complessi e uguali per tutti, ma  si adatta ai rischi.

Normativa adatta alla innovazione: il regolamento garantisce che la salvaguardia della protezione dei dati personali sia integrata in prodotti e servizi  dalla fase iniziale del processo, cioè “Data protection by design”.

Le pratiche a tutela della privacy, come l’uso di pseudonimi, sono incoraggiate per  potere sfruttare i benefici dei big data, ma al contempo la privacy deve essere  protetta.

La riforma  intende tagliare costi e  burocrazia del commercio europeo, con una particolare attenzione alle Piccole e Medie Imprese -Pmi. La riforma della protezione dei dati  nella Ue  intende  aiutare le Pmi nell’affrontare  nuovi mercati. Grazie alla nuova normativa, le  Pmi  hanno  benefici derivanti da alcune semplificazioni nella burocrazia.

Le notifiche alle autorità di vigilanza sono una formalità che rappresenta un costo di 130 milioni di euro all’anno e la riforma intende eliminarle.

In caso di richieste di accesso ai dati eccessive o infondate, le Pmi possono richiedere una tariffa per fornire l’accesso al dato personale.

Valutazioni d’impatto: le Pmi non hanno l’obbligo di effettuare la valutazione d’impatto, a meno che non  sia un rischio elevato 

Codice Privacy – D.Lgs. 196/2003 
Punti salienti

Titolare, responsabile, incaricato.

Binomio consenso/trattamento.

Consenso informato, specifico, libero, revocabile, documentato per iscritto, sempre revocabile.

Nel contesto online: Privacy policy e cookie law.

GDPR
Punti salienti 

Consenso e prova del consenso.

Consenso secondo il GDPR: libero, specifico, informato, inequivocabile, sempre revocabile.

Il titolare del trattamento  ha l'onere di dimostrare di aver ottenuto il valido consenso dell'interessato secondo i requisiti di legge.

In particolare, il titolare deve essere in grado di dimostrare:

  • chi ha prestato il consenso (se online, è preferibile usare identificativi univoci e non indirizzi IP, come è attualmente prassi);

  • il momento in cui il consenso è stato prestato (alcune Autorità indicano come best practice l’uso di timestamp);

  • le modalità con cui il consenso è stato richiesto;

  • a quali trattamenti l'interessato ha prestato il proprio consenso, unitamente ai documenti (privacy/cookie policy) che ha accettato.


Portabilità del dato.

L'interessato ha diritto di ricevere i dati comunicati a un titolare in un formato elettronico di uso comune, leggibile e riutilizzabile per poterli conservare e/o trasferire ad altro titolare.

Il trasferimento può essere anche gestito direttamente tra i titolari coinvolti, se tecnicamente fattibile.

Il diritto alla portabilità riguarda esclusivamente i dati trattati con strumenti automatizzati il cui trattamento si basa sul consenso dell’interessato o su contratto, trasmessi direttamente dall’interessato ( e non i dati derivati, o “metadata”).

Accountability.

Valutazione basata sul rischio.

Registro dei trattamenti per aziende con più di 250 dipendenti.

Privacy by design e privacy by default

Il DPIA - Data Protection Impact Assesment è il processo interno all’organizzazione che permette al titolare:

  • di valutare i rischi inerenti ad una nuova attività di trattamento;

  • di rendere effettivi i principi di privacy by design e privacy by default.


Registro del trattamento.

Documento obbligatorio per organizzazioni con più di 250 dipendenti.

Deve riportare: quali dati sono trattati, finalità del trattamento, chi accede ai dati (all’interno e all’esterno di una organizzazione), se c’è trasferimento all’estero, termini di cancellazione dei dati (data retention) e misure di sicurezza adottate.

Il DPO - Data Protection Officer  è una persona fisica, gruppo di persone o persona giuridica che costituisce  punto di contatto privilegiato per la gestione delle problematiche collegate alla data protection all'interno di una organizzazione.

Si ha obbligo di nomina  di DPO:

  • quando il trattamento è effettuato da autorità o organismo pubblico,

  • quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “monitoraggio regolare e sistematico degli interessati su larga scala”,

  • quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.


Data breach o notifica di violazione dei dati personali.

L’Autorità va notificata entro 72 ore dal momento in cui il titolare è a conoscenza della violazione, solo se si ritiene probabile che da tale violazione derivino rischi per  diritti e  libertà degli interessati.

 




 

Oltre alle fonti citate le informazioni fanno riferimento a molte partecipazioni  di persona a incontri informativi, seminari e workshop sulla tematica e a molteplici newsletter e siti sia italiani sia stranieri di consultazione quotidiana. 

 



 
Eventi