Il nuovo Regolamento UE in materia di protezione dei dati personali. Il Garante incontra l'Amministrazione economico finanziaria

è la cultura della privacy necessaria per promuovere lo sviluppo economico e la libertà efficienza amministrativa e dignità della persona
Le pubbliche amministrazioni in quanto istituzioni al servizio della collettività devono avere nel loro codice genetico il valore e l'importanza della protezione dei dati personali come assett competitivo
Un investimento e non un costo non solo un obbligo giuridico quarant'
I canti siamo noi
Vi invito pertanto a diffondere trasmettere a tutti i vostri colleghi l'esigenza divenuto ormai imprescindibile di considerare la protezione dei dati personali
Comune elemento cardine essenziale a totale garanzia dei servizi che offriamo i cittadini
Nasce un quindi ha ora la parola l'amministratore delegato Andrea quei cibi rinnovando all'autorità garantire a tutti gli ospiti la nostra più ampia disponibilità e collaborazione grazie
Grazie presidente buongiorno a tutti
è motivo di orgoglio e grande soddisfazione essere qui con voi oggi poi l'incontro di studio approfondimento su un tema così attuale importante per tutti noi
Ringrazio Antonello Soro presidente dell'Autorità garante per la protezione dei dati personali e i suoi collaboratori che ci onorano della loro presenza del loro prezioso contributo apportando grandi elementi di valore a questa giornata
Un sentito ringraziamento anche al Meazza e a tutti i nostri clienti a tutte le nostre istituzioni presenti qui in presenti quel dedicato questo seminario formativo un momento esemplare di nuove proattiva condivisione collaborazione che vogliamo avviare con tutti voi
La protezione dei dati personali i processi e le soluzioni tecnologiche a tutela della RAI si sono centrale nella nostra attività
E rappresentano un driver di innovazione che condividiamo con i nostri autorevoli interlocutori con la massima serietà etica e accountability
Il valore della cantabili è per noi che gestiamo i dati delle persone un elemento imprescindibile
Il nostro impegno quotidiano è volta a tutelare con responsabilità e professionalità l'identità dei cittadini per uno scopo unico il bene del paese
Siamo ormai tutti consapevoli che nella società moderna la dimensione reale si intreccia con quella digitale che ibrida dagli algoritmi
E l'intelligenza artificiale sono diventate tecnologie abilitanti in grado di innovare il processo di digitalizzazione del settore pubblico
E privato e per questo che senza un'adeguata regolamentazione del trattamento dei tanti una costante attività di vigilanza e controllo sono le nostre stesse libertà ad essere a rischio
In tale contesto l'entrata in vigore del regolamento Rover presento una grande sfida ma anche l'opportunità di contribuire al mantenimento e allo sviluppo
Di tutti quei sistemi soluzioni organizzative e tecnologiche a tutela della nostra sicurezza
Consapevole di questa evoluzione anche noi ci siamo riorganizzati innovando l'organizzazione interna secondo nuovi sfidanti obiettivi e la nostra vision aziendale
Il nuovo modello organizzativo si basa sul potenziamento dei domini verticale di business volti a favorire una maggiore focalizzazione sui servizi corda nonché sulla gestione unitaria delle infrastrutture tecnologiche delle architetture applicative
E di sistema e delle operation in aderenza con quanto previsto dal piano triennale per l'informatica nella pubblica amministrazione
Il nuovo quadro normativo e regolamentare con l'azienda chiamata conformarsi costantemente ci impone di rafforzare sempre più il ruolo delle aree di supporto al business
In tale ambito abbiamo perciò creando una specifica direzione antico affidata alla governance del certe della Sai perseguibili e il preside di informazioni e tre sì
Tale direzione opera in stretta sinergia con la tecnologico il suo sarebbe fans club che governa la sicurezza informatica dalla fase di disegno architetturale fino alle soluzioni e all'esercizio effettivo dei servizi
Al fine di essere aderente a quanto indicato da Regolamento europeo il consiglio di amministrazione esogeni nella seduta del diciannove marzo due mila diciotto
Ha identificato e contestualmente nominato l'ingegner Fabio Lazzi IMI quale data Protection officer della società
Il processo di riorganizzazione che vi ho descritto e perfettamente integrato in un percorso il più ampio che chiamiamo astragga cambiamento e iniziato già da qualche anno e finalizzato ad un riorientamento del nostro approccio e al rinnovamento del nostro contributo alla comunità paese
Che serviamo da oltre quarant'anni con il massimo impegno e dedizione
Stiamo lavorando con le nostre persone per costruire una nuova cultura che oltre a riconoscere il valore del rispetto degli adempimenti promuove in maniera ancora più incisiva la condivisione l'agilità e l'innovazione continua
L'accountability e ovviamente la sicurezza
Lascio ora la parola al presidente Soro
Ringrazio di cuore tutti i partecipanti relatori e colgo l'occasione per ora per augurare a tutti voi alle vostre famiglie una Serena Pasqua
Buongiorno grazie al presidente e all'amministratore delegato e anche per noi con un grande piacere condividere commosso Geie valutazione formazione relative al nuovo quadro giuridico europeo che sarà ci accompagnerà diciamo in questa fase di transizione ponendoci interrogativi ieri
Io non nego ogni tanto anche sollevando qualche preoccupazione in tutti noi da entrambe le parti però credo che d'un mondo più giusto per affrontare questa passaggio sia quello del confronto della condivisione
E della disponibilità ad ascoltare ci da questo punto di vista io affido con la alla Sapienza dei dirigenti dal dottor Vodafone suoi collaboratori lo specifico del delle informazioni che noi volevamo e vogliamo portare mi mi limito
A fare due considerazioni la prima e la consapevolezza che noi abbiamo tutti
Che Sogei rappresenta la piattaforma più importante nella quale nel nostro Paese sono contenute le informazioni che riguardano tutti gli italiani
La vita di tutti gli italiani
E il luogo in cui i nostri dati sono conservati
Con maggiore sicurezza questa è un'affermazione che fa Sogei è un'affermazione
Che abbiamo fatto tante volte anche noi
Dicendo questo abbiamo speso la nostra credibilità nei confronti dei cittadini
E abbiamo impegnato insieme anche la credibilità delle istituzioni e dei governi davanti agli italiani e quindi è un impegno importante
E dovremmo sentirci ogni giorno impegnati a onorare
Queste parole si stese corno fiducia
Quell'insieme di informazione che riguardano la vita degli italiani
Se rese impropriamente disponibili
Se cedute impropriamente Hutter si possono rappresentare un motivo
Di grande danno per gli individui per tutti i cittadini italiani che avessero questa sorte ma possono rappresentare anche un problema vero per lo Stato per il nostro Paese per la comunità nazionale per la sua sicurezza quindi diciamo la sicurezza rappresenta un grande problema
Nell'ambito delle banche dati pubbliche è particolarmente di questa che è la più grande delle banche dati pubbliche del nostro Paese
Ma la missione di Sogei e anche noi lo sappiamo e ne siamo orgogliosi
Una missione di partecipazione alla innovazione della pubblica amministrazione del Paese alla modernizzazione del nostro Paese a quelle cambiamenti che rendono più efficiente il rapporto fra il governo il Parlamento le pubbliche amministrazioni locali e i cittadini
Quindi un passaggio straordinariamente rilevante perché riguarda la qualità della nostra Repubblica riguarda la qualità della nostra democrazia riguarda quel rapporto fiduciario di cui dicevo prima
Che passerà sempre di più attraverso il processo di trasformazione digitale
Abbandonando forme alle quali in qualche modo c'eravamo tutti abituati noi utenti due cittadini e noi amministratori quindi è un passaggio un grande impegno un grande onore ma è anche anche un fa grande responsabilità perso J essere protagonista di un cambiamento nel quale non ha solo la funzione di contenitore ma è l'interfaccia con la quale fanno i conti tutte le altre amministrazioni dello Stato con la quali fanno i conti
I soggetti che anche nella più lontano comune del Paese tutti i giorni sanno di avere un riferimento non solo diciamo di servizio ma anche di competenza tecnologica il patrimonio di competenze tecnologiche probabilmente più alto nel Paese quindi come dire questo onore questa grande responsabilità
Ci sono presenti noi abbiamo presente quello che significa per il Paese Sogei
Però vogliamo dire che sicurezza efficienza non sono alternative dovremmo assumere come un punto non discutibile che efficienza e sicurezza non sono alternativi
Per questo la scommessa
Che noi dobbiamo vincere
Passa non solo attraverso la nuova cornuti cornice giuridica
Europea
Ma nella consapevolezza che questa nuova cornice giuridica non è un impegno oneroso soltanto incerto e anche può essere anche in alcune fasi con impegno oneroso ma è una grandissima opportunità
Se sapremo usarla se riusciremo a incorporare in tutti i nuovi sistemi che tutti i giorni poi elaborate
Tutti gli elementi di compleanno sostenere il nuovo Regolamento europeo senza riusciremmo tutte le volte che viene approvata una nuova legge dal Parlamento hanno incedere alla tentazione di accelerare l'attivazione della legge piuttosto che implementare le misure di tutela per i dati personali
Queste sono le due grandi sfide che abbiamo e che avete davanti
Dovremo farci diciamo una bandiera dell'impegno di non disaccoppiare mai
In questa sede io lo dico in tutte le altre sedi ma in questa ha un valore ancora maggiore il binomio protezione dei dati efficienza questi sono le scommesse che abbiamo davanti e su questi temi ho il piacere di lasciare alla parola
Ai nostri al nostro dirigente dottor Francesco moda ferite
Che introdurrà la discussione generale e credo che sia questo il calendario ho sbagliato
Per il coso grazie al momento grazie
Che abbiamo appena inaugurato con interventi presidente Mazzotta del dottor Pacini amministratore delegato di Sogei e del presidente dell'Atac dell'Autorità garante per la protezione dei dati personali Antonello Soro che ringraziamo tutti
Per essere qui con noi per l'onore per l'attenzione che ci ha dedicato prosegue adesso con la seconda parte
Il seminario è articolato in due momenti innanzitutto una bene informazione intrighi servizio siamo in diretta streaming sul canale aiuto di sorgenti per dare l'opportunità a tutti coloro che non sono potuti venire qui oggi
Vista la capienza della sala limitata
E di poter seguire l'evento che è appunto è il proseguimento di una serie d'incontri che il garante l'Autorità garante per la protezione dei dati personali
Ha voluto inaugurare con la per con le pubbliche amministrazioni oggi l'evento di oggi è dedicato in particolare all'amministrazione economico-finanziaria tutte le sue articolazioni ai nostri clienti istituzionali
E a tutte le istituzioni con le quali lavoriamo
Avete e potuto ricevere della documentazione e vi chiederei cortesemente di compilare il modulo quesiti che è stato inserito nelle cartelline per poter dare la possibilità ai relatori di rispondere ad eventuali domande richieste di approfondimento sui temi che verranno svolti nel corso dell'incontro che vi chiedo gentilmente di consegnare all'inizio del coffee break sul desk che è qui in sala
Chiederei adesso
Lei presidente e all'amministratore delegato di accomodarsi cortesemente
Iniziamo con nell'intervento
E di Fabio Lancini
E l'ingegner Fabio latini responsabile sì criticare Nansen Data Protection & D. P. odi Sogei
Al quale e chiedo
Di iniziare la sua relazione
Seguiranno poi gli interventi di Francesco Modafferi
Una breve pausa per il coffee break e delle dottoresse Miriam Viggiano e Irene fa che nello grazie
Buongiorno a tutti anche da parte mia e benvenuti ringrazio innanzitutto il presidente dell'Autorità garante per la protezione dati personali cioè con lavoratori che ci onora oggi la loro presenza e tutti i partecipanti intervenuti
Desidero anche esprimere un sentito ringraziamento al consiglio d'amministrazione e in particolare all'amministratore delegato turco civili e l'attenzione costante verso le nostre attività di sicurezza e tra sì
Ed in particolare per la fiducia risposta alla mia persona segnando mi il ruolo il pio che mi accingo svolge al meglio proprio per la protezione nella gestione dei dati dei cittadini come ben sapete il venticinque maggio quindi fra poche settimane
Il nuovo Regolamento europeo sarà definitivamente applicabili a tutti gli stati membri
E si introduce un cambiamento di grande portata che trasforma radicalmente l'approccio attraverso definendo un nuovo paradigma che comprende si aspetti tecnologici normativi che procedurali
L'adozione di tale paradigma impone un nuovo modo di operare di affrontare da parte di tutti noi tutti voi le responsabilità connesse alla protezione dei dati personali
E dei diritti delle libertà degli interessati ritengo sia molto significativo oggi condividere con voi l'approccio che SOGEI ha voluto adottare per essere conforme al Regolamento europeo
Venendo incontro a richieste sia da parte della amministrazione titolare sia dei cittadini i servizi sempre più evoluti e intimamente connesse con la vita e le attività quotidiane
Nel garantire l'erogazione di questi servizi che pongono il cittadino e la pubblica amministrazione al centro dell'attenzione come mai fino ad ora ovviamente le banche dati digitali giocano un ruolo di grande importanza
Nel corso degli ultimi anni la raccolta e l'analisi dell'elaborazione massiva dei dati personali Allo sempre più ha presentato una componente strategica nell'evoluzione dell'economia digitale del sistema Paese
L'utilizzo così ampio delle banche dati digitali se da un lato rappresenta una grossa opportunità nero gare servizi sempre più efficienti e moderni
Potete immaginare come dall'alto acuti costituisce una fonte di rischio chiederà se non trascurabile che deve essere preso in considerazione da parte di tutti noi
Ciò impone alle aziende egli ha agli operatori del settore alla pubblica amministrazione di porre in essere tutte quelle misure necessarie a garantire il rispetto di quei parametri di riservatezza integrità e disponibilità
Che fanno parte diciamo della protezione delle banche dati in un percorso in cui la disciplina sulla protezione dei dati personali diventa un tutt'uno con i principi fondamentali della sicurezza delle informazioni
Questo connubio innesca del processo di miglioramento continuo necessario per garantire che i servizi erogati in modalità sicura nel pieno rispetto dei diritti dei cittadini Sogemi a pertanto definite implementato e migliorato nel tempo il proprio modello di sicurezza
Tale modello è costituito da un unico sistema di governo in cui il cesserò il vertice aziendale governa no monito nel controllo tutta la filiera della sicurezza
A tale filiera sono dedicati i diversi sistemi di gestione come la si queste le informazioni ovviamente la privacy la sicurezza fisica
E la sicurezza delle informazioni classificate volevo ricordare che in azienda è presente una segreteria principale di sicurezza omologata dal disse per trattarne informazioni fino a livello segreto ogni sistema di gestione è stato sviluppato secondo gli standard normative che ne regolano la materia al fine di analizzare i ogni Visco in ogni ambito definire necessario politiche di sicurezza e le relative contromisura
Tutte le strutture aziendali sono chiamate ad attuare consapevolmente le misure di sicurezza previste secondo il proprio ruolo e le proprie competenze
Uno la particolare rilevante svolto dal certa di soggetti al compito di coordinare supportare e monitorare le attività di prevenzione risposta e ripristino degli incidenti informatici
Abitando e coordinando le comunicazioni né esterne e trattando con la dovuta priorità possibilità capriccio con significativi impatti sui dati personali e sui diritti e libertà Dell'Atti interessati
Volevo ricordare di che nel qualche settimana fa si è completato l'iter di accreditamento all'uso del nostro marchio certa presso un'università americana
Che detiene i diritti internazionali del marchio certe per cui possiamo chiamarci a tutti gli effetti certe socio
A concreta garanzia della gestione integrata del rischio su cui poggia il modello di sicurezza di Sogei è stato sviluppato un policy framework che potete vedere chiamato forse Ca'
Che raccoglie di integra con un approccio multicomparto ANAS tutti i requisiti di sicurezza necessari e vincolanti derivati da norme linee guida standard
Di settore e le policy in materia di sicurezza delle informazioni e di protezione dati personali forse che che l'anno scorso è stato presentato anche all'evento del Forum PA è alla base del ciclo di vita disservizi Citti erogati da Sogei dalla progettazione fino a Lodi infatti messi sottomano piena concretezza tutti i principi di transilvani sane e tra essi impatto sazio
In tale contesto Sogea introdotto anche come accennava poc'anzi il tocco civile la figura del D.P. oche non si occupa solo di questioni attività interni all'azienda soggetti titolare sorgere scossa agile ma chi agisce da punto di contatto con il D. Pio nell'amministrazione titolari
Per far fronte alle tematiche Data Protection introdotti dal Regolamento abitando in questo modo la generazione la sinergia tra le amministrazioni finalizzata ad una gestione integrata delle tematiche i data Protection mi auspico
Che nel giro di qualche settimana si Possa quindi istituire un tavolo tecnico di lavoro fra tutti i tipi o dell'amministrazione finanziaria proprio per condividere queste tematiche e avere un canale anche unico nei confronti dell'autorità garante
L'obiettivo ambizioso che mi sto ponendo assieme a tutta la sua urgenza di fungere da catalizzatore delle esigenze delle problematiche che di volta in volta possono scaturire ha compresso ecosistema
Sogei amministrazione titolare cittadino al fino a ieri affine di accrescere la collaborazione lo scambio di informazioni tra le parti
E gli affrontare congiuntamente le sfide che si presenteranno nelle attività di sicurezza legata alla gestione e alla protezione dei dati personali
Sono sempre più convinto che solo attraverso la condivisione delle informazioni e la collaborazione tra responsabile esterno
Amministrazioni titolare del trattamento si hanno maggiori possibilità di intercettare e governare nel modo corretto i rischi che derivano sia dalla gestione di numerose tipologie di trattamento sia da un ecosistema complesso è soggetta ad una variegata normativa di riferimento come quella attuale
Basti pensare che sorge ai eroga per conto e gestisce per conto dell'amministrazione finanziaria centinaia di servizi Ict acquisto sottesi una variegata tipologia di dati
Il cambio culturale
Imposto da Regolamento europeo rappresenta un nuovo punto di svolta rispetto all'intera materia della Data Protection per la gestione di dati personali che non sarà più limitata esclusivamente al dover seguire in modo pedissequo
I requisiti puntuale di una norma o di una legge
Ma dovrà diventare un processo che coinvolgerà l'intera organizzazione titolare responsabile in un'ottica di responsabilizzazione dell'amministrazione titolari del trattamento come previsto dal principe già canta di che è uno dei cardini fondamentali del nuovo Regolamento europeo che i vari modulari in maniera stringente il rapporto tra titolare e responsabile
Infatti già da un primo esame d'architettura giuridica del principio di accountability appare evidente come il Regolamento struttura un sistema di regole che non esprime squisitamente obblighi
Ma fornisce un quadro di riferimento composto sia dagli obiettivi se degli strumenti
Adottabilità raggiungere
è compito dell'amministrazione i titolari definire il grado di adozione degli stessi assumendosi la responsabilità di individuare valutare
L'esistenza di rischi di violazione dei diritti degli interessati
Al fine di pene decisioni autonomi dimostra le motivazioni che hanno portato l'adozione di una determinata decisione soluzione ai documentari soprattutto le scelte effettuate Sogei sta pertanto provvedendo a formalizzare insieme con le amministrazioni titolari strumenti process condivisi che supportano efficace introduzione del Regolamento al proprio interno senza i quali l'attività di controllo dei rispettivi di Pio potrebbe risultare inefficace e non soddisfacente
Il percorso condiviso con l'amministrazione e articolato in quattro macroaree
Sicuramente la formalizzazione del registro dei trattamenti cioè il cuore cento di governo delle attività legate alla protezione dei dati personali
Immaginate sorge come responsabile al proprio registro i trattamenti ovvero lo anche come soggetti solare e il titolare quindi la missione finanziaria al proprio registro che ovviamente deve parlarci quindi interconnesso e collegato con il nostro interruzione e pervasiva nell'attività di business dei concetti di Praga si badi esanime default in particolare come elemento abilitante istintivo nei processi di sviluppo dei nostri servizi Ict
Definizione della metodologia di Data Protection Impact Assessment che consente di adottare
Un approccio condivisi siamo genio per la Rai del rischio privacy e per la definizione delle conseguenti misure di sicurezza questi tre elementi fanno parte del pacchetto cardine della condivisione di questo percorso con le amministrazioni titolare
Non da ultimo via l'integrazione dei processi di Salins intente handling con le amministrazioni titolari delle un'efficace gestione i possibili data Belice volta limitare prontamente impatti sull'organizzazione e sugli interessati
Per mettere in campo questa attività che gli ho descritte integrale del proprio contesto Sogei ha lavorato e molto al proprio interno con lo scoppio di di rendere pervasivi all'interno della propria organizzazione questi principi di privacy by design e by default e consentire agli stessi
Di entrare in piena sintonia con i corrispondenti medesimi principi della Security quindi sicurezza delle informazioni da show in quest'ottica è stato molto importante andare a rivisitare i nostri processi interni ponendo tritare precedenza verso la trance degli utenti cittadini
Sì a potenziare la comunicazione aziendali in Terna attraverso una formazione specifica affinché chiunque si trovi
In una posizione che implichi l'accesso a dati personali o a trattare i dati personali sappia correttamente entro quali limiti poté svolge la propria attività
Sia i nostri addetti applicativi che sistemisti sono incaricati opportunamente al trattamento dei dati e attraverso applicazioni automatiche che a seconda dello spostamento delle varie strutture determina l'incarico al servizi Ict corrispondente in questo modo siamo riusciti per usare le parole non mie presidente in quello che fino a poco tempo fa sembrava davvero molto difficile per certi versi lo è stato
Trasformare la protezione dei dati da un costo una risorsa per le aziende dalla fonte di preoccupazione a un fattore gli ha cresciuta competitività nell'Imperiese e di ulteriore legittimazione per tutta la Pubblica ministero quello che mi auguro e auspico è che Janis stazioni titolari possono attingere dalla nostra esperienza tramite la collaborazione che Regolamento caldeggia
Prego per il suo intervento è illustrato molto bene il nuovo i nuovi obiettivi sfidanti di SOGEI il suo percorso assolutamente impegnativo nell'ambito di questa nuova iniziativa collaborazione istituzionale chiedo a Francesco Modafferi dirigente per il Dipartimento modellati alza pubblica del Garante
Approfondire
Posto nella sua relazione l'iniziativa
Alla nuova dimensione della protezione dei dati nel settore pubblico immobiliare delle responsabile della protezione nel sistema dei trattamenti evoluti bianca
Allora
Buongiorno
Vorrei fare se mi permettete voi è stringere la mano all'ingegner Lazzi mi proferì in prima di iniziare
Sono mesi e mesi mesi che parliamo di questo responsabile della protezione dei dati che se venire eccetera quando ne posso toccare nessuno incardinato
L'alto per l'ingegner le azioni che ha un compito che fa tremare i polsi ma siamo sicuri che te lo porterà avanti bene
Siamo assurge
Ieri ho raccolto un po'le idee l'anagrafe tributaria
Questa documentazione di soggette società rende pubblica attraverso i siti nasce in un'epoca incredibile negli anni trenta del mille novecentotrentasei è stata fondata l'anagrafe tributaria certo non l'anagrafe tributaria che conosciamo ci ma l'idea di anagrafe tributaria
A una storia molto antica potremmo dire è uno dei trattamenti di dati personali più antichi per la pubblica amministrazione
Lite all'epoca il massimo della tecnologia era quel telefono in bachelite della Siemens ma che cosa quando l'anagrafe tributaria ha cominciato a diventare quella che noi oggi conosciamo essere anagrafe tributaria e c'è voluta la riforma tributaria degli anni settanta e l'esigenza dello Stato
Di riorganizzare la gestione del della riscossione della imposizione fiscale
Insieme alle opportunità che la tecnologia dell'epoca metteva a disposizione per immaginare pensare che si potesse finalmente gestire una e tributarie in maniera informatizzata e diciamo all'epoca nel mille novecento degli anni settanta la scarsità di risorse anche di competenze tecniche
Della pubblica amministrazione indusse a ritenere che per dare un giusto passo questo processo di innovazione fosse preferibile costituire una società ci affidano a società specializzate la gestione dei sistemi informativi della fiscalità
Negli anni Settanta nasceva veramente la
La
La l'anagrafe tributaria per come noi la conosciamo oggi se ne cominciavano a porre le premesse questo è il modo in cui sorge presenta se stessa oggi sul proprio sito
Dice
Da quarant'anni portiamo innovazione nel sistema Paese progettiamo e realizziamo soluzioni avanzate al servizio dell'Appia lavoriamo attivamente per la digitalizzazione del sistema Italia
E questo lo sappiamo noi lo sperimentiamo non voglio dire che associa il siamo di casa ma come dire abbiamo una intorno agli anni una certa frequentazione nel tempo l'autorità ha avuto sempre un altra attenzione verso questi sistemi informativi che sono come diceva prima il presidente è sicuramente una delle banche dati pubbliche più rilevanti del nostro paese sicuramente forse per dimensioni
La banca dati amministrativa più importante del Paese quindi evidentemente un'autorità di protezione dei dati
A mille occasioni di interazione con chi gestisce queste informazioni ecco si dice una Sogei al servizio dell'innovazione del paese ne ha parlato prima l'amministratore delegato anche il presidente un'innovazione quella diciamo della cosiddetta digitalizzazione della pubblica amministrazione che ha un forte impulso riceve un forte impulso in questi anni per tanti motivi perché la digitalizzazione offre opportunità di maggiore gestione di efficienza di risparmio di quindi intenti di contenimento dei costi ma anche va incontro all'esigenza di un di uno Stato che cambia il modo di rendere i servizi questa spinta questa sforzo forte spinta alla digitalizzazione e innovazione pubblica amministrazione però nel tempo non è stata sempre accompagnata da adeguata consapevolezza di tutti gli aspetti collegati e queste ero a qualcosa che
Come dire abbiamo avuto o occasione di rimarcare di anche in qualche modo vivere nella quotidianità di questo processo di innovazione dove spesso è mancata la consapevolezza degli aspetti che andavano oltre l'innovazione in quanto tale sì l'innovazione la digitalizzazione porta maggiore efficienza può diciamo rendere più o migliore il modo in cui gestiamo la cosa pubblica ma il uno sviluppo tecnologico che non sia accompagnato anche da una riflessione su tutti gli aspetti che sono quelli della sicurezza ma che sono anche quelli
Di tutte le possibili conseguenze che la concentrazione di quantità senza precedenti di dati può determinare sulle libertà delle persone anche quelle che ci stanno più a cuore
Quindi quella che sicuramente in questi anni è stata un po'troppo in controluce
è stata la una fissione più complessiva più consapevole di tutti gli aspetti legati innovazione e ha costretto l'autorità a giocare un ruolo in qualche modo talvolta anche fastidioso da grillo parlante nel ricordare nel puntualizzare ogni svolta non perché l'Autorità ovviamente sia contro di ostacolo rispetto a questi processi ma perché è importante considerare sempre tutti gli aspetti quando si fanno grandi salti in avanti
Diciamo che in questo contesto adesso con la presenza diffusa
Di persone come l'ingegner Lanzini nei nelle amministrazioni nei punti
Diciamo presso le grandi società
Uno dei vantaggi attesi quello che noi speriamo ecco che si diffonda maggiormente l'attenzione anche agli altri aspetti tra i quali quelli appunto della protezione dei dati del rispetto dei diritti delle persone
Proprio perché all'interno di tutti i soggetti pubblici a partire da quest'anno saranno presente presenti
Competenze specifiche che hanno questo taglio che se non ce l'hanno nel tempo lo acquisiranno quindi questo è sicuramente una delle cose ed è per questo che come autorità
Stiamo puntando molto su questa figure sul quello che oggi si chiama l'empowerment di questa figura che deve essere riconosciuta che deve essere diciamo riconosciuto il grado di autonomia che il Regolamento richiede deve avere le risorse per poter gestire una responsabilità così grande
E infatti è da maggio che noi abbiamo da maggio dell'anno scorso quindi un anno prima della fatidica scadenza del ventiquattro maggio di quest'anno noi abbiamo lanciato un'iniziativa coinvolgendo tutte le amministrazioni pubbliche
Per segnalare l'importanza ma anche l'urgenza di cominciare a riflettere che non si poteva aspettare di arrivare all'ultimo momento fare
Affrontare il tema del cambiamento imposto dal regolamento e nel fare questo abbiamo indicato tre priorità
Al sistema pubblico abbiamo detto è necessario procedere rapidamente
Alla designazione all'individuazione di un responsabile a protezione dei dati a mettere in piedi le procedure per effettuare il rapper per mettere in esercizio il regista dell'operazione trattamento e le procedure relative al dato il peggio
Diciamo come sempre
A fronte di queste priorità e anche degli incontri che abbiamo fatto a giugno presso la nostra autorità suoni referente delle pubbliche amministrazioni certamente la risposta non è stata come posso dire immediata rapidissima c'era stato bisogno di tempo forse anche un po'troppo tempo si è perso tempo prezioso ma comunque
Speriamo che questa attese che questa riflessione possa portare possa essere recuperata nei prossimi mesi proprio partendo da quello che uno dei protagonisti nuovi dell'attuazione di questa disciplina che è il responsabile protezione dei dati che per sensibilità per l'incarico per responsabilità potrà svolgere all'interno di ogni titolare del trattamento corresponsabile come in questo caso quel ruolo di catalizzatore i processi di attuazione di adeguamento al regolamento
Diciamo che il ritardo
Dei titolari del del del settore pubblico ma forse anche privato
A a questo ritardo non ha corrisposto un una maggiore celerità di decisioni da parte dei soggetti istituzionali il parlamento era chiamato ad adeguare il quadro normativo nazionale al nuovo Regolamento
Non unico perché non è un fatto esclusivo dei diciamo italiano perché anche in altri Paesi c'è questo ritardo però indubbiamente il fatto che non abbiamo ancora a disposizione
Il nuovo decreto legislativo che adatta alle norme nazionali al quadro del regolamento europeo non facilita l'opera di adeguamento
Un quadro normativo che può diciamo indichi individuare che può
Intervenire in specifici ambiti is indicati all'interno del Regolamento
E proprio nell'ambito pubblico nella nell'ambito del trattamento dei dati sensibili sono due degli ambiti nei quali il legislatore nazionale potrà dire la propria
E quindi
Sarà importante
Poter vedere il quadro finale
La legge delega al governo è stata data il governo ha elaborato ai istituito una commissione di esperti che hanno in questi in questi ultimi mesi
Prodotto un testo e proprio ventuno marzo il Consiglio dei ministri ha finalmente approvato questo schema di decreto
Legislativo che abrogherà il codice
Però sulla protezione dei dati personali
Io riporterà a quella parte
Che peraltro non sarà piccolissima direi quantitativamente per importanza quella parte di regolazione di protezione dati integrativa rispetto al Regolamento europeo ma che nella quale troveremo comunque molte disposizioni con le quali sulle quali ci dovremmo confrontare
Parallelamente al lavoro del legislatore che quindi speriamo il testo
Che venga diciamo reso pubblico quanto prima e che comunque prevede una sua approvazione se non erro il venticinque maggio quindi ad entrare entrata in vigore in contemporanea
Venerdì venticinque maggio ci sarà la tempesta perfetta il traffico il Regolamento entra in vigore il decreto legislativo speriamo da qui al venticinque maggio di esserci chiariti tutti i dubbi
Che riguardano questi ambiti però già la considero una buona notizia perché la cattiva notizia poteva essere che entrava in vigore solo il Regolamento e non non avevamo un decreto legislativo e questo era sicuramente sicuramente per
Parallelamente diceva al lavoro del legislatore un grande lavoro è viene fatto dalle autorità nazionali a Bruxelles in quello che oggi si chiama il gruppo articolo ventinove che sarà il venticinque maggio
Cambierà natura diventerà un'istituzione europea il comitato dei garanti europei
Per
Dare tutti quelli di atti di indirizzo su vari temi del Regolamento qui vedete riportati già il numeroso indù i numeri relativi a queste linee guida del gruppo articolo ventinove già approvate e altre che invece sono in corso di Cossu in consultazione quindi vedete anche dal da Bruxelles e questa è una dialettica spetta nella quale ci dovremmo abituare sempre di più oltre a interessarci dei quadri normativi del quadro normativo nazionale del Parlamento europeo dovremmo anche tenere in considerazione la voce che arriverà da Bruxelles attraverso il Comitato europea di protezione grida
Il garante in questi mesi a cercato di contribuire in questi in vario modo in vario modo in questo percorso di adeguamento per esempio con riferimento proprio al responsabile a protezione dei dati che era la prima priorità indicata già nell'anno scorso appena avevamo dato una serie di indicazioni sul responsabile protezione dati in ambito pubblico e in questi giorni sono usciti ulteriori
Ulteriori fatti ulteriori risposte a quesiti il più in generale sulla figura appunto del responsabile della protezione dei dati quindi
Quella che noi abbiamo vissute stiamo vivendo e la difficoltà di chi è costretto a operare non come dire potendosi permettere il lusso di fermare le macchine ma
In corsa con trattamenti che non è che si sono fermati
Tutto finisce il ventiquattro maggio ricomincia in una nuova dimensione anzitutto continua
E quindi la difficoltà di valutare c'è sia ciò che è in atto sia ciò che si andrà a fare ex immagino immagino questa difficoltà in un contesto come questo
Quanto appunto possa essere significativo in più con un quadro normativo e regolatorio ancora non completamente definito quindi una difficoltà straordinaria
Ora
Oggi affronteremo vari temi diciamo dalla valutazione di impatto privacy
Alla registra delle operazioni del trattamento ci sono vari aspetti che saranno approfonditi nelle relazioni che seguiranno
Io volevo diciamo puntare l'attenzione su uno dei cambiamenti di fondo del sistema che è quello della cosiddetta accountability il ne parlava prima l'amministratore delegato dottor qua civili
L'accountability questa sconosciuta o meglio è un una riproposizione nel contesto della protezione dei dati di concetti che ormai sono come dire proprio di una come flusso normativo continentale possiamo dire no non è che è una specialità per la protezione dei dati ma come si declina l'accountability nel tema della protezione dei dati
La cantabilità significa essere accanto cosa significa dare dimostrazione dare prova di ciò che
è stato fatto di ciò che si fa quindi non basta rispettare i principi non basta rispettare le regole Regolamento ma bisogna mettersi in condizione di poterlo rispettare nel momento in cui ovviamente qualcuno lo chieda
E questo qualcuno nella stragrande maggioranza dei casi sarà proprio l'autorità che rispetto a un processo di un procedimento di controllo chiederà al titolare o al responsabile di dimostrare come ha dato attuazione a questo o a quel principio
Ecco
In un contesto come quello di SOGEI di sistemi tecnologici particolarmente avanzati di banche dati che vengono continuamente aggiornate e modificate esigenze che cambia eccetera mi rendo conto per averlo vissuto più di una volta
La complessità che questo questa espressione che oggi è realizzata su una slide e poi concretamente può determinare e questa è proprio una delle sfide una de che diciamo richiede del resto si diceva prima se Sogei una fece probabilmente la società in house una le società in house più importanti per il Paese
Come dire si deve meritare questa fiducia non solo facendo le cose ma se dimostra dando dimostrazione di farla bene è una sfida in più mi rendo conto
Non è una cosa che è stata improvvisata già nel due mila dieci il gruppo lottare di gruppo articolo ventinove dei garanti europei scrisse un'opinione sul principio di responsabilizzazione dicendo che la disposizione mirava ad assoggettare il titolare del trattamento non tanto nuovi principi ma serve a garantire l'effettività dei principi generali che sono previsti dal codice verso nord
Quelli sì praticamente immutati tra la vecchia e la nuova disciplina
Essere accanto bollo non significa necessariamente che quello che sto facendo
Sarà giudicato conforme da parte dell'autorità ma significa però avere rispettato questa e aver atto aver fatto dei trattamenti rispettando quella disciplina che richiede il fatto che tutti gli aspetti del trattamento sono stati considerati che le decisioni sono state ponderate
Che l'impatto il del rischio connesso da al trattamento è stato considerato valutato
E e sono state adottate le conseguenti contromisure contro misure che in in concreto potrebbero alla fine anche essere giudicate non adeguate ma comunque questo processo perché c'è che descrivevo prima è stato fatto
Cosa in concreto come si articolerà come sa quale sarà la dinamica tra autorità e e titolari autorità responsabili dell'era del Regolamento ora possiamo provare a immaginarla guardando
In questa slide cioè rispetto a un caso che dovesse essere oggetto di attenzione da parte dell'autorità
Bisognerà verificare se le procedure interne sul trattamento dei dati erano conosciute applicate all'interno dell'organico
Simone esistono delle procedure il titolare del trattamento si è dato delle policy nella gestione del trattamento dei dati stessi
Queste Poli si erano conosciuti all'interno del Paese il titolare del trattamento
Il titolare e responsabile hanno implementato un livello appropriato di sicurezza
Il titolare del trattamento ha implementato misure organizzative attinente alla privacy by design e in tutti i livelli della sua organizzazione il titolare del trattamento ha implementato misure tecniche
Per tare corso a questa alla protezione BA e Desailly nel settore tutto questo è stato fatto quindi se io ho rispettato il principio di accanto al PGT
Ciò influirà comunque sia anche nel momento in cui alla fine il giudizio dell'Autorità non coincidesse con quello del titolare o del responsabile
Dovrà essere considerato dall'autorità in sede di applicazione di eventuali sanzioni ciò significa è possibile che io alla fine
Arrivi a considerare che tu non hai fatto tutto quello che dà al mio punto di vista avresti dovuto fare ma siccome però il Processo di accountability lo è rispettato
Come dire l'intensità della colpa è molto inferiore e quindi la sanzione
Che eventualmente dovesse essere applicata sarà una sanzione più lieve
Ecco quindi il framework diciamo logico nel quale ci dobbiamo calare
Ora
Tutto questo l'opera dell'ingegno illazioni in Sogei e degli altri responsabile trattamenti reati responsabile a protezione dei dati all'interno dei titolari e responsabili del trattamento
Non avrà nessuna chance di arrivare a confine se non attraverso un approccio sistemico una delle difficoltà ora l'ingegner Lazzi
Lo conosco perché appunto ci siamo conosciuti in varie occasioni è una persona che lavora in società tanto tempo che conosce questa struttura conosce il contesto conosce la realtà
In altri contesti pubblici dove ci si interroga su a chi ancora affiliare illustra funzione responsabile a protezione dati sia un soggetto interno se al soggetto esterno possibilità tutte ammesse dal Regolamento
Occorre tener presente che la conoscenza della macchina
Della macchina del ministero della Pubblica amministrazione è un elemento essenziale di lavoro per un futuro Tizio
Sì è vero il regolamento dice che deve essere una persona con una specifica preparazione in materia di protezione dati personali venti arresto di quello si deve occupare come potrebbe dire il contrario
Ma anche la conoscenza del contesto di differimento dell'attività del del mondo diciamo nel quale dovrà operare e anche vorrei dire delle persone con le quali dovrà operare che siano i vertici o siano i colleghi
è altrettanto importante per la buona riuscita di un lavoro che di una straordinaria complessità
Questo
Come dire e dalle slide dell'ingegner le aziende mi faceva piacere
Prima Henry rilevarlo richiederà un metodo un po'meglio bisogna chi diciamo svolgerà questa funzione si deve dare un metodo deve trovare un modo che sia possibilmente come dire
Oggi diremmo un algoritmo di gestione della propria attività una serie di fasi coordinate tra loro con scelte in modo tale che nel tempo
Si apprende da dagli eventuali errori commessi in precedenza e solo se tua quindi un metodo può pensare di migliorare se tu intervieni in maniera estemporanea non mi farai molta strada
La cantabilità è una Rete riguarda vari aspetti adesso non avrei diciamo vorrei recuperare un po'di tempo perché abbiamo siamo partiti un po'in ritardo vorrei andare sulle cose più essenziali a diciamo latte l'accountability è proprio una trama che lega tutti gli aspetti del Regolamento e quindi per questo è diciamo importante calarsi questa dimensione per quanto riguarda la sicurezza del trattamento
Essere accanto col vuol dire rispettare codici di condotta vuol dire rispettare certi avere sistemi certificato adottare certificazioni
Rispettare le linee guida del comitato e le indicazioni del responsabile della protezione dei dati
Bene se noi guardiamo oggi questa slide diciamo che tre quarti di quello che significa essere accanto può oggi ancora non c'è o meglio le linee guida del comitato in parte ci sono perché sono le linee guida del gruppo articolo ventinove
Le indicazioni del responsabile a protezione di dati ci sono dove questo responsabile ha già iniziato ad operare però diciamo le certificazioni siamo ancora all'avvio anche di questa tema della certificazione così come i codici di condotta ancora sono
Non ci sono almeno quelli del Regolamento e poi su questa parte dovremmo vedere
Il legislatore delegato
Che cosa prevederà nel senso soprattutto per l'ambito pubblico quali eventuali ulteriori strumenti di orientamento in Italia avevamo i provvedimenti generali dell'Autorità per esempio oppure avevamo i codici di deontologia che riguardavano specifici settori
Ecco una delle motivi per cui è importante conoscere quali sono le decisioni del legislatore vedere questo insieme di strumenti che noi c'eravamo abituati a consultare anche a interpretare ed applicare che fine fa
Rispetto al tema del regolamento
Privacy by default e Bari pesanti
In ambito pubblico questa la l'applicazione più importante che va fatta di questo concetto che bisogna considerare possibilmente sin dalla fase
Della acquisizione di un sistema di un software cioè la l'attività più lungimirante che la pubblica amministrazione può fare in questo ambito
Al proprio interno rispetto a ciò che già sta facendo ovviamente significa riprendere in considerazione terminate procedure
Ma ogniqualvolta oggi io bandi storie chiara o acquisisco un prodotto per trattare i dati io dovrei responsabilmente verificare che quel prodotto che mi viene offerto sia già stato concepito
Per trattare dati personali quindi possibilmente gli acquisti una soluzione che già orientata perché questo mi solleva da una serie di attività dopo con i connessi costi e questo mette in giro undici mette in in movimento un circolo virtuoso
Che si riflette anche sui fornitori dei servizi in modo tale che il fornitore sa il fornitore che offre servizi più qualificati e più orientati a questo tipo di esigenza
Possano avere un mercato maggiore
E degli altri il tema responsabile
Del trattamento titolare del trattamento
Due parole in più su questo tema siamo nella casa di uno dei responsabili del trattamento
Maggiori che c'è in Italia il più grosso ieri sera pensavo masse l'anagrafe tributaria è la madre di tutte le banche dati
Ingegner Sini potrebbe essere il padre di tutti i tipi io
Domanda interessante ce lo domanderemo da avete fatto la foto all'ingegnere l'ha fatta la foto perché è importante vedere com'era oggi
Perché la dinamica titolare responsabile io vorrei solo accentrare la vostra attenzione ed è bene qui perché ci sono tutti ci sono i titolari i titolari sparsi la la l'amministrazione finanziaria titolare
Il grande responsabili trattamento ora vediamo bene un attimo di capirci su questo punto
Quando qualcosa se tutto va bene va tutto bene siamo tutti felici ok quando qualcosa va male e può accadere quando si maneggiano cose come quelle qua situazioni come quelle che si sono qui dentro
E quali sono le conseguenze cosa dobbiamo aspettarci come ce la giochiamo questa partito il Regolamento rispetto al codice
è molto più chiaro su quali siano e come si ripartiscono le conseguenze quando qualcosa va storto
I regolamenti il codice non parlava mai del responsabile del trattamento a parte l'articolo ventinove del Codice che dice che è responsabile può essere designato non c'è un altro articolo del codice che partite responsabile del trattamento
Il Regolamento no il Regolamento invece nei confronti del responsabile il trattamento da compiti specifici atti da adempimenti che sono propri del responsabile del trattamento
Nello stesso tempo però il titolare del trattamento attraverso il contratto definisce il riparto di responsabilità i compiti quelle che noi chiamavamo le istruzioni per il responsabile del trattamento cioè gli dice che cosa deve fare come lo deve fare quali standard ed eventualmente rispettare
E allora quando qualcosa va male se non la guardiamo per esempio dal dal in controluce rispetta l'articolo ottantadue della responsabilità civile
Quando qualcosa va male il regolamento a cosa ci dice
Che il titolare del trattamento risponde per il danno che Augias Casu cagionato dal suo trattamento che violi il Regolamento cioè c'è una disposizione di responsabilità generale da parte del titolare trattamenti però dice anche che un responsabile del trattamento risponde per il danno causato dal trattamento
Se non a adempiuto agli obblighi del Regolamento specificamente all'UE di reti ho agito in modo difforme contrario rispetta le istruzioni legittimamente
Date dal titolare
Quindi non è più così vero o meglio diciamo in altri termini è detto chiaramente
Che se ho sbagliato io perché ti ho dato un'istruzione sbagliata rispondo io ma se io ti ho detto di fare una cosa e tu non l'hai fatta tu intendo responsabile del trattamento
Bene allora hai la tua quota di responsabilità ed è giusto permettetemi di dire questo
Perché non non giova a nessuno che ci sia il pensiero che tanto comunque vada paga qualcun altro invece è bene che siamo tutti sulla stessa barca e ognuno si gioca
La sua quota di responsabilità risponde lealmente ma anche serenamente e responsabilmente questo deve essere chiaro poiché ovviamente la il regolamento ci dice anche che dal punto di vista dell'interessato
Io mi posso rivalere dove dove dove voglio sia dal titolare la responsabile resta salva però la facoltà di rendere regresso da del titolare sul responsabile al momento in cui sia stato il cui a risarcire il danno
Anche l'attività anche dal punto di vista delle sanzioni amministrative il Regolamento
Indica specificamente chiama in causa tanto il titolare che usabile proprio perché responsabile Nerra nella logica del regolamento è destinatario di adempimenti specifici se non li rispetta
Eh eh tenuto nascente è soggetto alla potestà sanzionatoria
Quindi in questo senso capite che quello che fino a ieri era una sorta di gioco di società
La designazione al responsabile del trattamento no lo faccio io lo fa il teste
Ecco adesso assume un tono una situazione molto diversa quando si fa e si stabilisce attraverso un contratto chi fa che cosa tanti trovare responsabili si stanno ponendo le premesse per un domani
Quando ci sarà un problema per definire atti deve essere attribuita la responsabilità quanto ci fosse un problema
A meno che non cada su qualcosa che era di competenza diretta del responsabile l'autorità cosa farà chiederà il contratto e andrà a vedere che cosa è stato scritto lì dentro per attribuire la responsabilità insomma
Per stabilire a chi resta in mano il cerino
Va bene sul registro esso locazioni impatto e Società aperta frecce non non non entro perché tanto ci torneremo volevo dire due cose sulle competenze il tema delle competenze
Ora è chiaro che
Quello che interessa non è nei
Fare
Grandi formalità libri che restano chiusi nei cassetti quello che conta è cambiare i comportamenti delle persone
E questa è la cosa più complicata per chiunque si occupa di qualunque processa all'interno di di un contesto pubblico o privato che sia
Questo sarà diciamo una una un grosso impegno e quando parliamo di competenze in materie protezione dati saremmo
Non faremmo bene il nostro mestiere se pensassimo che queste debbano essere necessariamente annidate solo presso il responsabilità protezione dei dati o presso l'ufficio del responsabile perseguitati è una divisione non solo mio per ma si dimostrerà inefficace
Perché se il responsabile presentati è un grande esperto di protezione dei dati che parla i all'interno di una società o di un ente in cui i suoi interlocutori non sanno neanche di che cosa sta parlando
Questa grande innovazione diventerà solo un calvario per l'ingegner Lazzi
Nel senso che non sempre vibra da incompreso da persona scomoda
Invece è importante strategicamente importante anche per lui che
Riesca a far comprendere al così testo all'ambiente all'ecosistema come piace dire oggi all'ecosistema nel quale l'ingegner Razzini
Opera quali sono chi è quali sono i suoi compiti perché gli altri lo devono interpellare quando prendono delle nuove iniziative e quali sono i principi che devono essere rispettati quindi il tema delle competenze un tema diffuso non riguarda solo i terrazzini per questo noi danesi
Stiamo facendo questi incontri per sì per spiegare aspetti operativi ma più che altro per per cercare di canalizzare l'attenzione che in questo periodo è stata altissima al tema per regola per via del Regolamento della protezione dei dati in una direzione che non sia solo burocratica che non sia solo giuridica
O tecnologica ma che sia di capire il importanza e il valore delle cose che si fanno abbiamo fatto vari incontri il prossimo
Sarà al a Roma il CNR folle università aveva incontrato le grandi amministrazione abbiamo incontrato le Regioni e gli enti locali insomma
E oggi siamo qui da voi
Per questo noi pensiamo
Che quello del responsabile protezione dati sia un ruolo chiave all'interno di questo sistema perché è un ruolo che guarda attrezzi fronti
Da un lato il titolare del trattamento a cui fornisce consulenze che vuol dire il consiglio d'amministrazione che vuol dire l'amministratore delegato il che vuol dire il Presidente a seconda delle
Tipologie di organizzazione del all'interno dei quali opera e quindi è una persona che deve essere non solo immediatamente disponibile ma in grado di fornire di essere consultate fornire la consulenza richiesta sulla protezione dei dati ma anche il il soggetto di riferimento per tutti le persone esterne i così detti interessati che si rivolgono al titolare un responsabile per esercitare un qualche diritto e irresponsabile perseguitati
è il soggetto che deve intervenire valutare le questioni e decidere il da farsi ma è anche il soggetto di riferimento dell'autorità
è soggetta a riferimento l'autorità perché il regolamento dice proprio che del punto di contatto dell'autorità al quale l'autorità sempre di più si rivolgerà per
Chiedere come si sta a a si stanno attuando le cose poi vedremo insomma lo costruiremo di questo ne parleremo abbondantemente
Anche il ventiquattro maggio a Bologna dove abbiamo il nostro primo incontro con questi personale con mille duecento responsabile protezione dei dati sarà momento fantastico
Infantile vediamo
Quindi competenze giuridiche certo ingegnere Razzini non ha importanza se uno è dice ma lei si è laureata in giurisprudenza questa è stata una una lunga dia
Diatriba che non non porta da nessuna parte non ha importanza in che cosa mi sono laureato accerto deve essere una persona che però capisce perché deve applicare regole giuridiche deve capirne il contenuto e trovare le soluzioni
Ma deve essere anche da persone in grado di relazionarsi perché apra un grosso impegno nell'attività di relazione soprattutto in Terna
Sì avere una conoscenza specialistica ma anche una competenza di settore lo dicevamo prima delle
Essere una persona in grado finalmente di capire gli aspetti tecnici dice ma dove lo troviamo una persona così non c'è ma infatti non c'è non c'è
E allora anche quella de quella del responsabile protezione dati ideale
Una anche quella una perdita di tempo non esiste non non non c'è ben allora il punto vero è che ciascuno ciascun responsabilizzazione dei dati che scelto individui pre il prima possibile quali sono i propri punti di forza Hawks
E i propri punti di
Eventualmente minore forza o debolezza e lavori su quelli quindi serve più tecnico allora magari cerchi sì lo si affianchi con
Con qualcuno con qualche competenza giuridica il più ingrata Anto non sarà mai anche se lo indichiamo come una persona ma di fatto nelle grandi organizzazioni sarà un ufficio sarà uno staff non saranno uno una persona che può valutare tutto da solo
Quindi anche qui è un percorso che va fatto occorre un piano ma
E questa direi che è forse l'idea
Che più di tutte mi sta a cuore ci sta a cuore forme affidabilità
L'importo lo accennava prima entri nel sì invece io adesso vorrei rapportarmi con tutti i miei colleghi dell'amministrazione finanziaria cioè il responsabile protezione dati dei titolari è questa la strada
L'importante è che queste persone non non operino come delle monadi all'interno del proprio titolare del trattamento ma si colleghi no
Con tutti quelli che fanno lo stesso mestiere magari per area nel settore della sanità il settore della fiscalità e settore pubblico al settore privato si vedrà
Dialoghino tra di loro
Perché dialogando tra di loro prima di tutto possano individuare soluzioni
Molto più rapidamente perché se tu hai fatto una cosa che può andar bene anche per me è inutile che perdo tempo soprattutto in ambito pubblico dove non c'è un tema di concorrenza che può come dire su un po'
Essere inquinare questo tipo di logica in ambito pubblico tanto più gli deresponsabilizza i dati riusciranno a confrontarsi tra di loro e a trovare soluzioni tra di loro tanto meglio il Sistri sistema funzionerà
Appunto il ventiquattro maggio ci con volevo chiudere con questa riflessione questa è proprio la fine
Ho iniziato da Sogei
E e finisco a SOGEI questo è l'albero dei valori fare no l'albero della bellissima immagine grafica l'albero dei valori Sogei
Allora ladro rilevatori Sogei la carta dei valori di SOGEI dice una serie di cose che se le definiamo in ambito protezione dati vanno tutte benissimo
Si dice le modalità con cui si gesso J. opera sono espressamente connesse alle tre aree delineate lavorare nel rispetto della propria storia tradizione guardando al futuro evoluzione con competenza e senso di responsabilità persone
Be
Insomma tante volte andiamo a cercarne cose chissà dove ma ce li abbiamo sotto casa nel senso che fare lo l'opera venti io
All'interno di SOGEI significa interrati in altri modi dare attuazione a quelli che sono i valori che sorgesse date per questo io proponevo proporrei all'amministratore insieme a quelli degli slogan che abbiamo visto
All'inizio forse potremmo aggiungerne anche un altro i suoi dati personali con noi sono in buone mani ecco sì evoluzione si supporta la pubblica amministrazione ma anche protezione dei dati grazie
Clementi intervento efficace bellissimo
Molto lucido molto equilibrata grazie grazie infinite nel momento di Molfetta quindici possiamo accomodare in vitello di lasciare
Con il titolare non può fare né più nemmeno di quello che è previsto dalla dal contratto stesso quindi dal dalle regole che sono ci stavano
Come il titolare del trattamento assonanti responsabile potrà consentire l'accesso ai Chavo potrà consentire i trattamenti effettuati soltanto alle tessere autorizzate dallo stesso
Adottare e quali misure di sicurezza e che spetteranno se responsabile se sono doti nominato rispettare le condizioni che prevedono la possibilità o meno di nominare sub responsabili assistere il titolare nel quindi riscontro degli degli stessi dell'esercizio di diritti di interessati
E cosa importante cancellare o al sito irritati laddove il contratto Chelsea radure cessino i rapporti fra titolare irresponsabile e chiaramente mettere a disposizione del titolare le informazioni per dimostrare il rispetto di tutti gli obblighi previsti
E che abbiamo descritto
Altra domanda che ci è stata fatta spesso nei convegni che abbiamo tenuto in questo periodo quali pubblica amministrazione se esiste ancora la figura dell'incaricato del trattamento
Caricato che è un obbligo a attualmente previsto dal nostro dal Codice in materia di protezione di personale caricato e quelli che autorizzato a trattare i dati per conto del c'è all'interno della struttura del titolare o del responsabile
Lo vedevamo nell'articolo ventinove ma anche nell'articolo tre c'è soprattutto l'articolo trenta del Codice Privacy il la nomina degli incaricati del trattamento era è diciamo Caccaro è stato abrogato quest'obbligo una delle misure minime di sicurezza la mancata nomina era considerata violazione delle misure minime di sicurezza
Che succede con Regolamento e nella lettera però non prevede questa figura diciamo il supplì in maniera esplicita
Esistono però la serie di disposizioni che fanno i immaginare che indirettamente comunque una figura che contino assistere sono quelle disposizioni per esempio previste nell'articolo quattro paragrafo uno numero dieci scendere definizioni di soggetto
Diciamo di persona autorizzata che potrà per i dati e nella parte relativa al sicurezza del trattamento laddove si dice che il titolare e irresponsabile il trattamento fanno sì che chiunque che chiunque ripeto agisca sotto la progettualità diciamo deve essere istruito rispetto e trattamenti che dura effettuare è una misura dice diciamo è una delle regole per la sicurezza dei trattamenti di dati personali
Quali sono gli adempimenti riempimenti di titolari dei responsabili
Quindi vediamo solo alcuni sono diciamo è un elenco non non li possiamo trattare facciamo oggi nel nei loro dettagli daremo una serie di informazioni di base poi se c'è interesse siamo visti disponibile a rispondere a qualsiasi domando o dubbio o chiarimento
Adempimenti sono sicuramente l'obbligo della tenuto di registi del trattamento l'obbligo di effettuare laddove necessario ma di questo si parlerà la dottoressa paga nello la valutazione d'impatto e l'eventuale consultazione preventiva al Garante Lare la nomina del Dpa
Nell'adozione delle misure di sicurezza fra cui anche l'obbligo del di notifica delle violazioni doti personali il databili c'è anche questo lo vedremo tra un posto
Meno con ordine
Registi registra il trattamento è un obbligo analoghe io in come su tutti i titolari del trattamento e non solo sui titolari più che di registrazione dovremo di registri ritratta mi bis di trattamento
Che non sono però elenchi di trattamento ma sono i registri nelle attività di trattamento
Chi chi deve redigere questi registri dell'attività i trattamenti il titolare
O i contitolari e chiaramente tutti gli irresponsabile o o tutti i responsabili nominati dal titolare ognuno al suo registro delle attività di trattamento
è un obbligo ci sa dir il Regolamento prevede delle eccezioni previsto però per l'impresa e organizzazioni come noi di duecentocinquanta dipendenti con una serie di cessioni chiaramente questa è una trattandosi di imprese organizzazioni è un'eccezione che non si applica alle pubbliche amministrazioni che invece sono tutte tenute alla all'istituzione di questa particolare categoria di registri
Ma che servono i registi di l'attività di trattamento
Qual è la ratio il registro è una mappa è una mappa del sistema di protezione dei dati personali
Nella fase iniziale diciamo così laddove il trattamento nozze ancora iniziato la redazione del registro non è un inutile adempimento burocratico è un un utile strumento per gestire i trattamenti serve per costruire il sistema privacy delle pubbliche amministrazioni
è utile per capire quali misure di sicurezza a dotare e laddove necessario capire in e come effettuare le valutazioni di impatto necessarie la volta realizzato il registro fornisce il quadro generale al titolare del trattamento
Il quadro generale dei trattamenti effettuati che sarà anche utile per per il successivo monitoraggio l'attività di vigilanza svolta valga
A regime il registro avrà il registro il sistema di registri sono così avrà questa funzione la funzione di far sì che il chi tra il trattamento Koper in maniera efficace il collega perché sarà uno strumento per dimostrare la conformità al Regolamento nell'ottica della contabili che questa mattina abbiamo sentito parlare
E sarà chiaramente uno strumento per monitorare i trattamenti non soltanto da parte del Garante ma da parte proprio del titolare del trattamento stesso che poiché il soggetto su cui ricadono le varie le rispettive responsabilità
Entriamo nel merito che cosa deve contenere questo registro perché ci sostiene soffermiamo su questi elementi
Chiaramente i gli elementi sono indicati tutti nel nel regolamento sesso degli riscriviamo né in nelle loro caratteristiche generali
Ciò è evidente che debba contenere nominativi contatto del titolare del responsabile del di io
Del con indicazioni tutti quanti indirizzi recapiti tetti insomma sono le stesse informazioni che trovate anche nell'informativa che poi sarà messa a disposizione dei soggetti interessati
O è un'altra cosa importante che il registro debba indicare le finalità del trattamento chiaramente Filippi amministrazioni possano spero di persone per le finalità istituzionali
E devono essere indicate che cosa deve essere indicato tutte le finalità tutte le finalità perseguite laddove si tratti di finalità di rilevante interesse pubblico casa Trigoria cui siamo abituate abituati a ragionare su tutto per quattro Abbiati sensibili che ritroverebbe che ritroveremo anche con il nuovo decreto legislativo
Perché è previsto anche un nuovo decreto legislativo e quant'è utile indicare la base giuridica del trattamento cioè quali sono le norme in base al quale l'amministrazione può legittimamente trattare i dati personali
Il registro delle contenere l'indicazione delle categorie interessati e di dati non un elenco degli interessati ma delle categorie di interessati che vuol dire categoria qua ci sono alcuni esempi categorie vuol dire
Gruppi di Soggetti limiti cittadini dipendenti minori disabili pazienti titolario beneficiari di provvidenze economiche
E poiché valenza indicati rimaste descritte le categorie di dati qui non i dati ma le categorie per esempio le categorie di particolari dati personali quelli previsti articoli otto e nove
Sono esempi giusto per dare un'idea e quali sono queste particolari categorie dati genetici dati sulla salute dati biometrici tutte le pubbliche amministrazioni tratto andati sulla salute dei dipendenti bassi immaginare le assenze che spengono effettuate dei dipendenti per malattie
Son tutti quanti lati che devono essere indicati le categorie comizio in religiose reggere l'azione letti che direttamente sessuali usuale opinioni politiche appartenenza sindacale condanne penali e reati
Pensare di tali categorie destinatario che dati possono essere comunicati
Compensi dei diciamo nel nel caso in cui non lo vedremo dopo i dati possono essere trasferiti verso paesi terzi anche qui non validi indicati i destinatari ma le categorie e come si fa capire quali sono questi destinatari chiaramente se c'è una base giuridica del trattamento e deve esserci nel per le pubbliche amministrazioni Lella la stessa base indicherà anche quali sono i soggetti e qui dati possono essere comunicati
E vanno indicati
Il registro deve indicare la laddove post diciamo deve indicare se previsto ecco per la discussione o ove applicabile se previsto il trasferimento dei dati verso Paesi terzi o verso organizzazioni internazionali con i identificazione dei paesi o dell'organizzazione
E la documentazione che attesti la diciamo di essere conforme le garanzie previste dal regolamento in materia
C'è un'altra disposizione interessante è quella sulla cancellazione io registro dovrebbe indicare i tempi di cancellazione dei dati
Termini ultimi di cancellazione questa è una norma di difficile applicazione per le pubbliche amministrazioni perché nelle pubbliche amministrazioni diciamo non esiste il diritto all'oblio tra virgolette però e per questo che regolamento prevede la la la necessità che questa discuterebbe su questa questo elemento venne inserito da dire mi registico per ricattabile
Ci sono dei casi però in cui i termini per la cancellazione sono rivisti
Facciamo l'esempio molte amministrazioni fanno video sorveglianza per motivi di sicurezza
Il la regola che i dati e le immagini conservate ha per finalità di dire Sardegna sano alla pace lato dopo sette giorni quindi questi sono elementi che nei registri vanno indicate laddove non possano essere dica determina almeno i criteri utilizzati per identificati
Le misure di sicurezza anche questo elemento che vendicate stare a misure di sicurezza adottate dall'amministrazione un po'più sofisticate di quello indicato nella slide
Non è necessario indicare la misura di sicurezza ma sarebbe possibile né utile quella che va indicato una descrizione generale delle misure di sicurezza tecniche organizzative previste dall'articolo trentadue
Esempi solo sono faccio anche qui degli esempi per dare un input all'amministrazione ci sono state adottati sistemi come la cifratura salinizzazione una resistenza in semilibertà e così via
E fino allo Stato fino adesso abbiamo parlato del contenuto mini no essenziale c'è del contenuto che non può non esserci nei registri cioè di quel contenuto che il Garante laddove tacciano ispezione presso l'amministrazione va controllare il gatto non soltanto controlla se c'è il registro
Ma anche che cosa state indicate sei stato rispetti sono stati rispettati i contenuti minimi previsti dal Regolamento
Il titolare del trattamento però nell'ottica di diciamo così di una maggiore diciamo accolta diritti di aderenza regolamento potrebbe indicare anche di contenuti eventuali potrebbe essere utile i indicare nel registro
Degli elementi ulteriori rispetto a quelli previsti dal regolamento per esempio è stata fatta una valutazione d'impatto saper fatto una una richiesta una consultazione preventiva al Garante se c'è stata la visiera codici di condotta certificazioni
Potranno essere indicate le categorie di clienti di incaricati potrebbe essere utile indicare la data d'inizio del trattamento là dove si tratta di trattamenti non in corso
Faccio un esempio
La rivolta alle sette di registro
è stato redatto al Garante partendo dalle finalità del trattamento mai titolare del trattamento possono decidere di partire dagli elementi che desiderano che ritengono più utili ai fini della loro diciamo della gestione di di sistema di protezione personale della loro attività questa è la sua partita le finalità indicando la finalità diciamo tipo
La gestione del personale mettendo prendiamo per le varie categorie in casa dell'anno
L'impegno di contenuti le varie categorie quindi categorie interessati dipendenti collaboratori categorie i dati per sette dati sulla salute come detto che possano essere trattati
Categorie di destinatari enti previdenziali sono enti a cui possono essere comunicati anzi devono essere comunicati i dati relativi presente l'assenze per malattia
Dei dipendenti e così via Conti ulteriori come la valutazione d'impatto
E passiamo al gesto del responsabile finora abbiamo parlato di quello del titolare
Responsabile sotto non si registra i contenuti della registro il responsabile sono praticamente gli stessi di quelli del titolare con alcune eccezioni cioè ci sono dei limiti in meno quindi lo identificavo per difetto e qui sono indicati oltre siamo a evidenziare che non si tratta di un registro delicati delle diciamo così delle attività ma delle categorie che ti vista
Gli elementi che non vanno indicati rispetto a il registro e titolari sono le finalità e il trattamento perché non vanno indicate perché le finalità e il trattamento sono indicate dalla base giuridica di riferimento per legge o regolamento
La mania di Capri category vini di interessati i destinatari i termini cancellazione in atti che sono tutti elementi che decide il titolare del trattamento
Anche qui la slide riporto l'esempio di registro del responsabile vedi tempo più sintetico rispetto a quello del del titolare
Così dire questo registro regolamento ha delle regole precise registra forma scritta anche in formato elettronico
Registro era assistito Vito diciamo nei tempi di applicazione del del regolamento ma entro il venticinque maggio due mila diciotto l'amministrazione hanno questo obbligo inderogabile
E i registri dinamico Chiulli dinamico vuol dire che laddove mutino Igli elementi previsti diciamo nella fase iniziale i registrava aggiornato costantemente
Il registro non va pubblicato Maba messo a disposizione del Garante in sede di attività di vigilanza d'attività obiettiva per consentire il monitoraggio dei trattamenti stessi
Prato è un'altra la slide sugli adempimenti qui insomma mi avvio all'ultima parte della relazione che quella relativa data Brizio
Sulla sicurezza diciamo entriamo nell'ambito del della tematica della sicurezza dati personali insomma ci soffermeremo sull'obbligo di comunicazione al Garante dei costi diffidata Brizio e sono che cos'è questo tatuaggio dice
Dall'attrice disciplinato nella negli articoli trentatré e trentaquattro del regolamenta
Si tratta di un sistemati gli notifica al garante della relazione di dati personali e di una eventuale poi vedremo impiccarsi comunicazione anche ex al soggetto interessato e questa è una novità
Per approfondire questo argomento è utile la diciamo non soltanto la lettura ma lo studio approfondito delle linee guida il gruppo articolo ventinove che il gruppo europeo che riunisce autorità di protezione dei dati che approvato nell'ottobre del due mila diciassette le linee guida diciamo su questo argomento
Ma che cos'è il Dante Brizio il detentrice eh qualsiasi distruzione perdita modifica divulgazione non autorizzata accesso andati personali
Che avvenga non soltanto in maniera illecita ma anche in maniera accidentale e riguarda almeno per quanto ci riguarda spettro per per quanto riguarda i profili di competenza del Garante soltanto i i dati personali
Come può essere dette da che cosa fosse determinato da The Beach cui sono degli esempi un un accesso abusivo a sistemi informatici traumatici oppure sottrazione o perdita di dati
Contenuti su supporti di memorizzazione ma non ci sono soltanto esempi per capire di che cosa stiamo parlando
Vedete il concetto di rata Bridge anzi l'istituto è databile ce n'è
Nuovo meno assertivamente cioè non è stato istituito per la prima volta con il Regolamento innanzitutto già esisteva al livello europeo nella direttiva Telecom centotrentasei
Del due mila nove ma il garante ne aveva già introdotto l'obbligo di tutta una serie di di casi di un certo tipo innanzitutto compro provvedimento già prima del regolamento tutte le pubbliche amministrazioni
Avevano l'obbligo di notifica raggelanti data Brizio al trombi consisteva in materia di biometria TAC i trattamenti in caso di databili ci trattamenti di dati biometrici c'era un obbligo di pubblica di notifica della violazione al Garante
Ornamento stessi sobri vestirà ma insiste ancora Pirlo il dossier sanitario
Il nuovo regolamento la vita e che stende quest'obbligo tutti i trattamenti di dati personali in qualsiasi diciamo settore
Che cosa deve fare il titolare del trattamento la doveri diciamo ritenga di aver subito una violazione dei dati personali relazione secondo quello che vi ho visto prima perde distruzione l'accesso non autorizzato diffusione non consentita
Che cosa sa deve fare deve notificare ciò che è avvenuto c'è una violazione al Garante
Quando irregolari il regolamento dice senza ingiustificato ritardo è una clausola diciamo di salvaguardia ma dice che questo senza ingiustificato ritardo comunque non può essere superiore alle settantadue ore
Non dal momento in cui si verifica intatta Beach ma nel momento in cui mi ha mi ha avuta effettiva conoscenza perché si potrebbe avere conoscenza di una violazione dei dati anche nume eccessiva quelli cui si è verificato effettivamente c'è un'unica eccezione ha l'obbligo dire della notifica di questa tipologia di violazione i casi in cui si è improbabile che la violazione dei dati personali presenti un rischio per i diritti e di libertà delle persone fisiche
Ma che succede se alzi il dare il titolo al trattamento di notifica entro settantadue ore
Il data Brick al Garante il regolamento dice lo potrebbe fare anche dopo ma deve motivare c'è deve diciamo indicare quali sono i motivi del ritardo che poi saranno valutati dalla dal Garante stesso
Della violazione dei dati si potrebbe accorderemo il titolare ma responsabile perché magari il il la violazione c'è solo sui suoi sistemi anche in questo caso laddove si verifichi responsabile il trattamento devi formare il titolare senza ingiustificato ritardo
Dell'avvenuta conoscenza dell'aviazione ma che cosa bisogna comunicare al Garante
Bisogna comunicare bisogna anzitutto descrivere la natura della violazione che cosa è successo
E indicare anche qui cui possibile le categorie e il numero approssimativo dei soggetti interessati cioè di di soggetti cui dati personali violati son si riferiscono
Dovranno essere chiaramente dati i dati di contatto del di Pio o di soggetti cui fa riferimento in questo caso bisognerà descrivere qui insomma
La lite ciao diventa complicato bisogna descrivere le probabili conseguenze delle violazioni dei dati e le misure adottate o che si intende adottare
Da parte del titolare il trattamento per porre rimedio a ciò che è avvenuto alla violazione dei dati subito e questo perché per attenuare gli effetti negativi della violazione
Chiaramente sono tutte informazioni che non necessariamente il titolare il trattamento ha a disposizione laddove sia avvenuta subito laddove si avvenuta andata Brizio
Lamento questo lo capisce legislatore cioè consapevole quindi dice che tutte le informazioni che che abbiamo visto possono essere dati al titolare
Anche in fasi diverse ma senza sempre senza ritardo
E altre disposizioni importante che il titolare
Deve documentare qualsiasi violazione dati personali e le conseguenze relative c'è ci deve essere una specie di di raccordo di tutte le violazioni che titolare di tutti da tante ricette ci sono verificati e questo perché sempre nell'ottica del di consentire la verifica da parte dell'autorità di controllo e nell'ottica di a contabili del titolare del trattamento
E questa è la novità quella della comunicazione del derby Chan anche soggetti interessati cioè ci sono dei casi in cui non basta comunicare al titolare del trattamento l'avvenuto capricci ma è necessario e obbligatorio farlo anche nei confronti dei soggetti interessati questo quando
Nel caso in cui la violazione può presentare un rischio elevato per i diritti di libertà delle persone i tempi sono stati gli stessi senza ingiustificato motivo e bisogna rugby scrivere la natura della violazione dei dati personali le informazioni di Chiellini sure descritte
In questo caso il regolamento dice che con un linguaggio semplice chiaro perché perché evidentemente gli i soggetti interessati non sono tutti ingegneri informatici e potrebbero non comprendere la la descrizione della violazione subito
Ora ci sono dei casi in cui la comunicazione potrebbe non essere necessaria nelle cisterne Mennella se necessaria qui articolare che deve diciamo così valutarlo
E di regolamento dice che il titolare potrebbe non non comunicare l'avvenuto Tabriz cioè i soggetti interessati se messe in atto tutte le misure tecniche organizzative adeguate
E queste misure ero state già applicate adatti persone oggetto della violazione
E comunque e probabile diciamo i dati che poi sono stati comunicati o diffusi decisamente magari non erano comprensibili perché erano sì cifrati quindi diciamo così il rischio della reazione è minore
Analogamente il titolare non dare comunicare con dovrebbe comunicare la violazione al soggetto interessato laddove adottato successivamente al BAFTA British tutte le misure atte a scongiurare il sopraggiungere di un rischio elevato
In ogni caso il mondo dovrebbe comunicare non dare comunicare la violazione subito al sodo interessate laddove si tratti di un obbligo sproporzionato perché il numero di interessati talmente elevato che chiaramente sarebbe un un obbligo inesigibile
Però in questo caso dice il regolamento sarà comunque necessario effettuare una qualche forma di comunicazione
Magari insomma una comunicazione pubblica o secondo i gli strumenti che il titolare riterrà più i doni
Ora e se il titolare non ha effettuato la comunicazione associato interessato perché ritenuto non necessario
I lampi potrebbe una volta il nuovo ricevuta la notificazione del trattamento potrebbe ritenere comunque necessario che questa comunicazione venga fatta questa alla luce degli elementi diciamo di contesto del PD in cui si è verificato il dottor Britton stesso
Per concludere e questo giusto per diciamo per venire per tirare un po'le file di tutto quello che ci siamo detto senza necessariamente spaventare disorientamento
Quando parliamo di obblighi di parliamo di adempimenti necessari e quindi necessari vuol dire che laddove non vengano ad diciamo da dove non ci si conformi a regolamento sono previsti una serie di conseguenze tra cui anche quella di sanzioni amministrative quelle previste nel caso di mancata adozione nei termini previsti dal regolamento
Dei registi del titolare del tratto del responsabile laddove ci sia una violazione non soltanto dell'obbligo di là del del di data Bric di comunicazione al garante ma anche di comunicazione Teresa di sanzioni sono quelle che vedete nella slide prevista dall'articolo trentatré
Paragrafo un atto paragrafo quattro lettera su Marche sono di una certa entità
E su queste diciamo ultime considerazioni
Di Santo e vi ringrazio
Una splendida relazione ci arriviamo alla conclusione del nostro seminario di studio chiedo alla dottoressa Irene Baganello
Trascendere con la sua relazione grazie molte
Ci siamo allora buongiorno a tutti molti di voi li conosco già siamo visti spesso ma appunto oggi abbiamo l'occasione di parlare di un argomento che sicuramente sta a cuore a noi e a voi cioè in particolare la valutazione di impatto
E quindi trattamenti sottostanti la entrare la si perde Data Protection by default by design e la consultazione preventiva
Dico perché sta quale perché l'abbiamo fatto molte volte assieme una valutazione di impatto qui oppure in ufficio ma è una cosa che sicuramente tutti i titolari presenti in questo in questa sede hanno già affrontato da soli e poi col nostro aiuto in serie di parere su vari atti che ci avete sottoposto quindi per siamo invece ad analizzare cosa cambia con Regolamento rispetto a quanto fatto fino ad oggi
Quello che cambia è il concetto di rischio
Il concetto di rischio diciamo presidia tutte questi quattro agli istituti di cui parleremo adesso perché tutto il Regolamento si basa sull'approccio legato al rischio dei trattamenti
Il rischio viene definito nelle linee guida che il gruppo articolo ventinove ha fatto proprio sulla valutazione di impatto
Come uno scenario descrittivo di un evento e delle relative conseguenze che sono stimate in termini di gravità e probabilità per i diritti le libertà di chi degli interessati in questo caso delle persone quindi ritmi per da fondamentali non solo privacy ma proprio tutti i diritti le libertà fondamentali
Come si fa ad analizzare un rischio l'esistenza di un rischio bisogna prendere sicuramente in considerazione le fonti di rischio gli impatti potenziali di queste fonti di rischio sui diritti di libertà degli interessati
Sulla base delle minacce che possono esserci e stimare la probabilità che questo rischio si verifichi e la gravità quindi in questo caso partendo da un grado basso verso rischio elevato che entrato Massimo detti il rischio il rischio che cosa riguarda in questo caso parlando di rischio firme relativa ai trattamenti dati personali non riguarda solo i rischi di violazioni di sicurezza illustrate prima dalla collega di Giano
Ma riguarda proprio il trattamento nel suo complesso trattamento nel suo complesso che vediamo bene sappiamo bene che sicuramente deve essere presidiato dalle massime misure di sicurezza però può presentare divisi in quanto tale poi vedremo dopo anche nei casi in cui regolamento individua come necessaria risollevato
Un trattamento di dati personali non sono solo rischi legati alla sicurezza
E sarebbe riduttivo parlarne in questi termini soprattutto per chi come voi conosce bene dico cosa comporta progettare e tre definire un trattamento i dati personali di vasta portata come quelli che avevano fatto all'interno della pubblica amministrazione
Certamente la parte di SOGEI sicuramente però c'è il rischio di sicurezza informatica però per quanto riguarda i trattamenti fatti posti in essere dai titolari la sicurezza informatica ormai non può che essere come dire data per scontata da questo punto di vista il rischio di riavere come figura di riferimento l'individuo
Perché è l'individuo il soggetto cui dati personali si riferiscono
Il centro rispetto al quale dobbiamo valutare quali sono i possibili rischi che questo invito possa soffrire cioè la discriminazione il furto di identità le partite finanziarie danni fisici o psicologici
Per evitare il controllo dei propri dati personali altri svantaggi economici e sociali e improprio in gennaio l'impossibilità di esercitare i propri diritti
Quindi rispetto a questi rischi che cosa ma abbiamo prima elencato bisogna adottare delle misure le misure per la gestione dei rischi sono diciamo fanno un focus attorno al concetto di accountability perché laddove il titolare
Rispetti tutti i principi del Regolamento e possa dare dimostrazione di averli rispettati certamente vengono mitigati questi rischi proprio grazie a tutti gli istituti che ormai il legislatore europeo ha introdotto e poi vediamo ad esaminare mano mano durante la mia relazione
Quali sono però in concreto di misure che tutti voi conoscete ne conosciamo che possono presidiare questi rischi sono misure di tipo organizzativo definizione dei ruoli della governance le istruzioni la formazione del personale individuazione di procedure precisa all'interno dell'amministrazione
O ditte strumenti di controllo anche per gli interessati controllo sui trattamenti che l'amministrazione fa dei propri dati personali conoscerne i flussi
E si sia in grado così di essere più consapevoli dei rischi del trattamento da parte pubblica amministrazione e favorire un contatto tra gli interessati e l'amministrazione poi ci sono le misure tecnologiche la lipolisi sicurezza logiche fisiche non vengo certo adesso all'in Calle qui dove si è fisicamente voi maestri
In questa materia potete sicuramente essere anche come dire una figura di riferimento per tante altre pubbliche amministrazioni devono essere sicuramente usati strumenti aggiornati sia fisici che il software effettuati di teste di vulnerabilità il controllo sugli accessi tracciamento delle operazioni
Poi devono essere rispettati in primis i principi di minimizzazione dei dati cioè i dati pertinenti e non eccedenti quelli necessari distratta la funzione istituzionale che c'è stabilità
E associando anche tecnici pseudonimi Zazie organizzazioni la qualità dei dati i dati devono essere corretti esatti aggiornati
La non iniziazione stessa soprattutto una volta terminato il trattamento per cui era indispensabile conoscere identità degli interessati la minimizzazione sicuramente
Il presidio che può garantire meglio tutti quanti e la conservazione dei dati e la cifratura la cifratura perché come abbiamo visto la cifratura
Venne realizzata consente di come dire limitare se non annullare i danni in caso di violazioni di sicurezza relative al trattamento dati personali
Detto questo quindi partiamo con la disamina degli istituti che vogliamo ugual dare oggi la privacy by design cos'è la privacy by design Tatarella si by Design non è altro che assicurare la protezione di dati fin dalla progettazione del trattamento cosa vuol dire che il titolare
Deve mettere in atto misure tecniche organizzative adeguate per attuare i principi di protezione data integrando nel trattamento le garanzie per soddisfare Regolamento quindi cosa vuol dire che ogni trattamento dati personali che l'amministrazione decide di porre in essere deve essere pensato uno in un'ottica di protezione dati questo già molte amministrazioni lo fanno però chiaramente migliorare si può sempre e soprattutto è doveroso rispetto all'evolversi delle nuove tecnologie che fanno pensare come diceva dottor Modafferi prima di avere tutto
Sotto controllo tutto bello tutto è facile però non siamo sempre in grado di valutarne le conseguenze per gli interessati
Quindi il titolare del trattamento sulla base dello stato dell'arte dei costi attuazioni ha natura l'ambito di applicazione il contesto e le finalità del trattamento
Deve valutare i rischi prodotti col trattamento che avranno certamente probabilità diresse gravità diverse per i diritti e le libertà dell'interessato e adottare tutte le misure quando quando progetta al trattamento e poi chiaramente nel corso del trattamento perché trattamenti sono dinamici evolvono si può capire di aver sbagliato si può a capire addirittura di avere ceduto con le garanzie magari poteva essere
Bocchino più flessibile oppure invece doverne adottare delle altre quindi la vigilanza sui trattamenti e la privacy by design non si verifica solo al momento della progettazione chiaramente ma anche nel corso dell'attività amministrativa che presidiata
Quindi la valutazione dell'attualità delle misure tecniche organizzative adottate è una parte importante per quanto riguarda il compito tratta del del del titolare del trattamento e del responsabile
Invece la privacy balle folte è un altro principio diciamo che esplica quello che oggi noi conosciamo essendo nel Codice il principio di necessità cioè io devo assicurarmi che vengano trattati solo i dati necessari per ogni specifica finalità del trattamento questa deve essere l'impostazione predefinita
Che io dopo quando disegno trattamenti dati personali e come faccio a farlo adottando adeguate misure tecniche organizzative quindi questo si riverbera su che cosa sulla quantità i dati raccolti la portata del trattamento il periodo di conservazione e l'accessibilità da parte di soggetti autorizzati a trattarli quindi questa l'impostazione obbligatoria che sicuramente presidia già a come dire l'intento di qualsiasi informatico perché giustamente meno dati si tratta più si risparmiano ma comunque è anche il principio che acquisì con forma il tintinnare intangibili necessità del trattamento dei dati quindi non possono essere resi accessibili i dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica
Questa è la base del controllo sugli accessi ai dati logico che chiaramente ne parliamo adesso di un trattamento automatizzato però ecco questo riguarda un principio di privacy by default anche qualsiasi trattamento poste in essere dall'amministrazione
Questi due per il primo privacy by design e trame Sibari default quindi sono due istituti che il Regolamento a cristallizzato ma che erano già insiti nella disciplina in materia di protezione dati conosciuti da tutti quelli che fino ad oggi si sono cimentati
Con questa materia
E nel regolamento prevede che la certificazione nella Sensi l'articolo quarantadue possano essere un elemento utile per dimostrare la conformità nell'ottica dell'accountability a questi due principi
Non riduce la responsabilità del titolare del responsabile ma comunque può aiutare appunto a dimostrare la la la cosa la propria conformità al quadro normativo
Si è quindi privacy by the Bar by Design e privacy by default valgono per tutti i trattamenti posti in essere
In base alla natura l'ambito di applicazione il contesto le finalità del trattamento le fonti di rischio dobbiamo essere in grado di valutare appunto la gravità e la probabilità dei rischi che ha che può possono determinarsi col trattamento di dati questo perché perché il regolamento prevede che qualora un trattamento dei dati fatta questa analisi che deve essere fatta per ciascun trattamento
Si determini un rischio elevato per i diritti e le libertà delle persone fisiche è necessario effettuare la una valutazione di impatto questa valutazione di impatto appunto eh
Il un nuovo istituto introdotto dal Regolamento che uno strumento di gestione del rischio
La donna all'esito del procedimento di valutazione di impatto relativamente a trattamenti in particolare che presentano l'uso di nuove tecnologie oppure Palma particolare oggetto natura finalità il trattamento presente un rischio residuali elevato
è previsto che il titolare il trattamento consulti il garante attraverso la l'istituto della consultazione preventiva per ridurre eventualmente rischia livello accettabile e e sottoporre le misure adottate a un vaglio di autorità di garanzia
Quindi ricapitolando cos'è la valutazione di impatto è uno strumento di gestione del rischio elevato quindi ci si deve aggiungere alla però all'impostazione di privacy Barisani by default che devono considerare comunque i rischi insiti nel trattamento
E fare arrivare il titolare
A individuare misure meccanismi e garanzie per attuare la attenuare il rischio prodotto dal trattamento
Quindi come viene come come avviene la stella la turnazione del rischio assicurando la protezione dei dati dimostrando la conformità del Regolamento adottando le misure che abbiamo prima sempre diciamo delineato ma comunque adesso andiamo per fornire tutto questo si richiama nel quadro nella così detta appunto accountability
Quindi come facciamo a valutare il rischio ricapitolando che la prima si deve definire il contesto in cui avviene il trattamento poi bisogna valutare i rischi e successivamente del diciamo dobbiamo imparare a gestire questo rischio adottando le misure per la protezione dati personali
Come abbiamo prima ha detto ma quando bisogna farla quindi questa valutazione d'impatto chiaramente del resto ci sono dei trattamenti che presentano dei rischi elevati intuibile capirlo invece per altri trattamenti forse è necessario approfondire vediamo cosa dice il Regolamento il Regolamento
Da un elenco non tassativo dei casi in cui l'appalto Cheney impatto è obbligatoria
Cioè dice che quando c'è una valutazione sistematica globale di aspetti personali basata su un trattamento automatizzato sulla quale si fondano decisioni che hanno effetti giuridici o incidono significativamente sulle persone fisiche
è obbligatoria quindi insito un rischio elevato e quindi obbligatoria la valutazione d'impatto ad esempio la profilazione
Poi ci sono trattamenti su larga scala di particolari categorie di dati come genetici sulla salute biometrici
Convinzioni religiose il dati sensibili che ne conosciamo diciamo nel presenti nel codice opinione politica appartenenza sindacale condanne penali e reati quindi anche i dati giudiziari
Un altro caso Espresso di valutazioni di impatto obbligatoria e la sorveglianza sistematica su larga scala di una zona accessibile al pubblico
Quindi qualcosa dobbiamo più intuire che c'è un nuovo criterio il criterio del rischio elevato e di carattere generale il gruppo articolo ventinove redatto le linee guida di cui parlavamo prima che danno nove criteri per capire quando un trattamento presente poco presentare un rischio levati ai sensi del Regolamento
Quando ad esempio abbiamo un trattamento e valutativo Discoring che valuta magari l'affidabilità dell'interessato il sentimento oppure quando ci sono decisioni automatizzate che producono significativi affetti giuridici
O economici o analoghi sugli interessati come la discriminazione o attribuzione a meno di benefici
Quando c'è un monitoraggio sistematico dell'interessato che magari ne inconsapevole
Quando ci sono dati sensibili o dati comunque particolarmente delicati come quelli finanziari bancari la vita familiare dati relativi all'ubicazione
Quando ci sono trattamenti su larga scala con numero di interessati a molto vasto e un volume di dati molto ampio
Quando c'è una durata del trattamento molto lunga oppure un ambito geografico di riferimento nazionale o addirittura anche ex nazionale
Poi quando ci sono casi di combinazione o raffronto d'insieme di dati trattati per finalità diverse o addirittura da titolare diversi
Quando ci sono dati relativi a interessati vulnerabili come i minori pensiamo alle persone disabili dove c'è uno squilibrio tra il titolare e la forza del titolare e la di vulnerabilità dell'interessato
Quando ci sono utilizzi innovativi di nuove soluzioni tecnologiche organizzative del siamo anche appunto all'intelligenza artificiale o addirittura Masci il vengo comunque anche proprio trattamenti fisici biometrici durano un po'pensiamo invece magari potranno essere inventati
O trattamenti che di per sé impediscono di esercitare un diritto di avvalersi di un servizio di un contratto quindi potrebbero precludere
E all'interessato un'opportunità in questo caso quest'ci dice il gruppo articolo ventinove sono questi sono dei criteri che ci possano far capire quando un trattamento ha un rischio elevato
Quindi abbiamo detto sono questi qui relativi alla alla comunicazioni ai minori e alle anche esempio Nintendo Feng sicuramente
Vediamo per esempio che garante prima esisteva esiste ancora per poco l'istituto la notificazione al Garante dei trattamenti in base al Codice vediamo che rinviamo al per esempio per parametro al due mila sedici
Giare erano indù a individuati da questa norme i trattamenti particolarmente rischiosi erano stati fettine nuove notificazione due mila trecentosessantanove sono nel due mila sedici riguardavano proprio da quando si è costituito il Registro delle notificazioni dati genetici più metrici posizione geografica stato di salute vita sessuale e quindi vediamo che non è un istituto completamente nuovo di valutare il trattamento più rischiosa rispetto a un altro e quindi in cui è necessario creare un adempimento maggiore per essere sicuri di rispettare invio del quadro di protezione dati
Cosa succede se io il titolare ha un dubbio se debba essere fatta o meno a una valutazione d'impatto il gruppo suggerisce ma come suggerirebbe anche il buon senso di farla comunque nel senso che la mancata conduzione di una valutazione di impatto deve essere motivata e documentata con il parere del responsabile protezione dati che ha ritenuto conforma questa scelta del titolare al quadro normativo quindi nel dubbio
Una valutazione d'impatto atteso che già l'analisi dei rischi deve essere fatta suoni trattamento può solo aiutare il titolare a essere più aderire meglio al al Regolamento
Certo l'adempimento in più però nel nel dubbio sarebbe meglio farlo non è invece necessaria se il trattamento sicuramente non non comporta un rischio elevato
è già stata condotta una valutazione di impatto su trattamenti analoghi per natura ambito contasse finalità che ha della dalla quale Samut Hoare le misure che abbiamo individuato oppure il trattamento è già sottoposta a verifica del garante anche in passato che ha dato le misure necessarie e il rischio non è mutato nel senso che io non ho cambiato il trattamento non sono stati cambiati i parametri
Quindi posso applicare la vecchia valutazione d'impatto oppure se tre esempio il trattamento come nel caso in cui i capistazione effettuato con una base giuridica normativa la valutazione di impatto è stata fatta al momento Della Valle dell'Andrea d'azione della dell'atto normativo penso ad esempio a tanti provvedimenti del del direttore dell'Agenzia delle Entrate dove accompagnati da relazioni tecniche
Che danno sicuramente descrizione dei rischi le misure adottate su quale garante esprime il parere ebete verranno sono sono stati sottoposti al parere e verranno sottoposte a consultazione preventiva col nuovo quadro normativo
Sicuramente gli ha una sede dove la valutazione di impatto può avere luogo spostando quindi proprio nella fase anche consultiva i profili di valutazione dell'Inter di unità delle misure da adottare
Quando poi invece l'autorità deciderà nel merito dell'Elenco facoltativo che anche il legislatore europeo
Lascia l'autorità per escludere la valutazione d'impatto chiaramente dove verranno inseriti i trattamenti a basso rischio che si ritengono in cui non sia necessario fatto effettuato cioè di Pato avremo anche quell'altra causa di esclusione
Quindi il garante infatti in base al Regolamento è chiamato a fare due tipi di regolamento quello tu di provvedimento in cui dovrà adottare l'elenco delle tipologie di trattamenti in cui l'Appia invece sarà ritenuta obbligatoria
Scusate l'ampia ma di valutazione di impatto ritenuta obbligatoria oppure invece quello dove questo adempimento non sarà richiesto sarà facoltativo in base alle alla rischio
In ogni caso comunque bisogna dovranno essere comunicate questi elenchi alla comitato europeo per la protezione dati al fine anche di assicurare la massima coerenza all'interno dell'Unione
Chi la deve fare la valutazione d'impatto il titolare del trattamento consultandosi con il responsabile della protezione dei dati che è chiamato a sorvegliarlo svolgimento potrebbe essere affidata mai comunque chiamato a sorvegliare lo svolgimento perché così potrebbe anche decidere di affidare la valutazione di impatto un soggetto esterno non è necessario che la faccia responsabilità protezione dati deve fare il tratto il titolare del trattamento e il responsabile protezione dati deve sorvegliare alle lo svolgimento e fornire chiaramente il parere il responsabile cosa deve fare il responsabile il trattamento intendo deve assistere il titolare la conduzione della valutazione d'impatto fornendo ogni informazione necessaria e supporto se di carattere tecnologico nel caso in cui sì al fornitore di servizi informatici chiaramente
E quando deve essere fatta ovviamente prima di procedere al trattamento
Si può effettuare una valutazione di impatto in relazione a più trattamenti analoghi che presentano caratteristiche simili per quanto riguarda i profili di rischio e le le anche proprio le caratteristiche la natura del trattamento
Per i trattamenti in corso
Occorre farla quando siamo intervenuti variazioni di rischio rispetto alle alle impostazioni che ha erano stati predefinite magari con appunto una una verifica preliminare del Garante piuttosto che un atto normativo che ha predisposto trattamento se sono intervenute modificazione il trattamento che determinano l'aumento del rischio chiaramente solo di Visco no no ma se lo mettano a rischio o Roma o lo quelli blu variano perché naturalmente magari possono cambiare delle postazioni o delle caratteristiche del trattamento è necessario condurrà nuovamente una valutazione di impatto
Quindi a questo è la lo schema che il gruppo articolo ventinove ha dato per Perini titolari devono attingere appunto a votare la Fia semplifica quello che abbiamo detto fino adesso
Uno schema di comportamento del titolare che deve valutare se c'è un rischio elevato successi cioè o non c'è se dovessimo niente P niente Valutazione impatto se invece c'è a rischio elevato valutare se si ricade nell'eccezioni che abbiamo detto prima
Se si ricade le eccezioni niente valutazioni d'impatto alternativamente bisogna effettuare la valutazione che deve avvenire con la consulenza del responsabile per la protezione dati sì che ne sorveglia lo svolgimento e sentire gli interessati l'opinione degli interessati e valutare anche urtando sicuro di chi condotta che dovessero venire adesso essere adottati con l'entrata l'applicazione del Regolamento
La il rischio il rischio se dovesse in base alle misure che si ritengono di adottare rispetto allo specifico trattamento residuare un rischio elevato non gestibile altrimenti
Deve avviare la procedura di consultazione preventiva del garante altrimenti la la votazione impatto viene conservata e allegata magari appunto come abbiamo detto prima nel registro dei trattamenti anche per agevole consultazione
Quindi abbiamo detto che la valutazione di impatto non è un atto statico ma un processo iterativo generale che deve avvenire sicuramente prima del trattamento valutando
Innanzitutto il trattamento nel suo complesso descrivendo l'attentamente perché descrivendo ottanta Amenta tratta il trattamento possiamo va arrivare a valutarne appieno la necessità e la proporzionalità ovvero il rispetto del Regolamento quel precipiti minimizzazione di accuratezza del trattamento il principio di necessità
E ivi mai privacy by the by default
Successivamente individuare le misure previste per dimostrarne l'osservanza
Laddove rispetta le misure dovesse valutare chiese situare un rischio adottare altre misure per qui vedete non è una cosa statica rispetto ho deciso il trattamento ad Ottone misure no
Bisogna comunque continuare a fare una valutazione del rischio documentare questo procedimento Grazia disponibile al anche era in caso di controlli perché fa parte
Della della famosa accountability e monitorare revisionare il le misure adottate sempre al fine di essere conformi al al Regolamento rispetto all'evoluzione del trattamento
Quindi un processo dinamico non è una una cosa state che richiede una ripetizione intervalli regolari da parte del titolare o i suoi delegati per assicurare appunto la gestione di questo rischio che avevamo visto essere elevato fin dal principio
Quindi sinteticamente cosa deve comprendere la valutazione di impatto
Ora vado un po'veloce perché se non lo non arriviamo in fondo
La descrizione sistematica del trattamento con sicuramente per quanto riguarda l'ambito pubblico la base giuridica deve essere ben identificata rispetti le norme di legge regolamento che sono a fondamento di del trattamento
La descrizione di strumenti coinvolti le misure di sicurezza e codici di condotta le tipologie di dati destinatari
Valutare la necessità la proporzionalità il trattamento sulle finalità la liceità l'adeguatezza la pertinenza le le dei dati trattati i tempi di conservazione
Valutazione di ogni singolo rischio come abbiamo detto prima quindi di sicurezza come l'accesso illegittimo le modifiche indesiderate l'indisponibilità dei dati ma non solo
Anche dal punto di vista degli interessati da Annika giochi potrebbero essere cagionati pensiamo soprattutto alla profilazione
Un trattamento di profilazione con tutte le misure di sicurezza non non basta per dire
Abbiamo ridotto tutti i rischi giusto perché invece la profilazione dobbiamo andare a vedere la correttezza esatta ma anche la correttezza delle inferenze la con l'accuratezza della raccolta dei dati degli interessati quindi non è solo un principio di di misure di sicurezza
I rischi anche di un errato una nota profilazioni di un soggetto soprattutto nel caso in cui vengono attribuiti benefici oppure vengono adottate determinazioni nei suoi confronti
E la cara la probabilità è la gravità di questi rischi devono aiutarci a capire quali sono le misure li dobbiamo prendere e anche la rigorosità dei parametri sull'accuratezza e la qualità dei dati che stiamo prendendo in considerazione
Quindi le misure adottate parliamo di quelle che abbiamo visto prima tecnico organizzative le informazioni fornite interessati l'informativa la consapevolezza degli interessati rispetto al trattamento
Il il il A B certamente anche la parte relativa al trasferimenti all'estero che magari cui magari potrebbe non essere così rilevante per la la mi sta sui finanziari ha però comunque è un aspetto che si sa ma dobbiamo tenere in considerazione
E quindi poi l'eventuale consultazione preventiva del Garante
Devono essere coinvolte tutte le figure necessarie nella nella valutazione di impatto il responsabile protezione dati le opinioni degli interessati non rappresentanti ma anche tutti i soggetti che poi mi prenderanno parte quindi responsabili della sicurezza chiaramente se il trattamento concentrata mento automatizzato andrà pienamente coinvolte dovrà fornire su supporto ai sarà fondamentale a presidiare i rischi di carattere informatico
Tutto quello che viene fatto in questo processo iterativo deve essere documentato questo perché come dicevamo prima in fase di controllo può anche contribuire nonostante dovesse verificarsi qualche tipo di violazione a certificare dimostrare la compliance del l'applicativo della normativa europea e quindi anche ridurre le responsabilità o le eventuali sanzioni del titolare
Quindi il titolare libero di adottare una metodologia la metodologia di Pia che più ritiene più Aldo conforme e confacente alle sue necessità certo è che quindi deve essere flessibile la struttura quella che può scegliere il titolare in base alle sue caratteristiche e anche la forma importante che vengano rispettati i criteri che abbiamo detto prima
Che devono portare alla giuste a utilizzare questo strumento di gestione del rischio nel modo più ottimale
La PA dal due al la votazione impatto può essere pubblicata non c'è un obbligo il regolamento non lo prevede può esserne pubblicata una sintesi anche per il è stato informativa interessati o comunque favorì un rapporto fiduciario nel caso in cui si tratti proprio trattamento rischia levato e comunque deve essere messa a disposizione del Garante in caso di verifico richieste specifiche chiaramente quando quando chip abbiamo detto il garante può deve essere consultato dal titolare quando c'è un rischio elevato quindi quando all'esito della valutazione d'impatto abbiamo un rischio residuali Renato
Perché il trattamento potrebbe produrre delle conseguenze particolarmente significativi nei confronti degli enti interessati nonostante tutte le misure che sono state poste in essere non è stato ridotto a un livello accettabile
Quindi il regolamento prevede che venga consultato il garante al garante nella consultazione preventiva devono essere inviate una serie di informazioni la responsabilità del titolare contitolare e responsabile il trattamento le finalità in mezzi del trattamento previsto le misure le garanzie previste per proteggere i diritti e le libertà degli interessati
I dati di contatto del responsabile per la protezione dati la valutazione d'impatto che è stata fatta con tutta la documentazione deve essere certamente allegata e ogni altra informazione che si dovesse ritenere disponibile
Quando il Garante realizzato questo la documentazione inviata per la consultazione preventiva dovesse rilevare qualche violazione del Regolamento quelli che e che il titolare non abbia identificato attenuato sufficientemente il rischio può fornire un parere scritto
Va a Banca valendosi dei poteri che il Garante ha normalmente di ispezioni richiesto informazioni divieti qualora il trattamento dovesse presentare particolari criticità
Questo quando entro otto settimane dalla richiesta di consultazione ovvero aggiungendo sei settimane in casi particolarmente complesse informando il tira il trattamento è responsabile e chiaramente se dovessero essere richieste informazioni interni saranno sospesi
E quindi all'esito della consultazione preventiva si dovrebbe riuscire ad individuare si traduce di tali misure da adottare o le limitazioni il trattamento che il Garante dovesse ritenere necessarie per garantire il contenimento che questi rischi elevati
Che presenta al trattamento
Naturalmente ci sono dei casi in cui la consultazione preventiva come abbiamo accennato prima obbligatoria i casi in cui ci sia un atto legislativo misure regolamentari che incidono sul trattamento di dati questo
Diciamo dal pronto posto punto di vista facilita anche la situazione nel senso che laddove poi ci sia soprattutto adesso un nuovo trattamento la valutazione di impatto dovrebbe già accompagnare il la redazione dell'atto normativo che viene sottoposto al garante per consultazioni e quindi poi tutti i trattamenti successivi sarebbero coperti da questa valutazione d'impatto
è anche previsto proprio in ambito pubblico che il legislatore Possa determinare l'obbligatorietà della consultazione preventiva del Garante uno e un'autorizzazione preliminare nei casi in cui il trattamento viene fatto per interesse pubblico quindi magari senza il consenso degli interessati questo vediamo cosa prevederà cosa prevede lo schema di decreto legislativo
Che lo prevede lasciando per ora al garante l'individuazione dei casi però vediamo come arriverà alla fine la norma ma chiaramente nell'ottica che l'autorità pubblica avendo avvalendosi potete il trattamento ha bisogno di un bilanciamento nei confronti degli interessi degli interessati effettuato dall'autorità di controllo
La l'attuazione della valutazione d'impatto là dove necessaria presidiata dalle sanzioni per il mancato svolgimento prima dello svolgimento non corretto e la mancata consultazione del garante laddove si ha ritenuto necessario
Io spero di aver dato un quadro esaustivo fa
Grazie
Circa la possiamo dare
Risposte ai quesiti che sono stati alle richieste di approfondimento che sono state avanzate dai
Colleghi qui presenti
Allora abbiamo raccolto i quesiti molti di quelli che sono stati formulati hanno risposto nell'ambito delle propria esposizione oltre sfrecciano dottoressa fa cammello quindi
La rissa le risposte che però saranno riferiti a quelle invece che non sono stati trattati
Una cosa volevo dire a premessa
Il Regolamento ha un forte impatto sul trattamento dei dati da parte dei titolari dei responsabili ma direi forse ha un impatto ancora maggiore nei confronti dell'autorità
L'Autorità si trova in una fase particolarmente complessa perché fede stile l'ordinario
Come dire come sanno molti di voi significa continuare a svolgere le attività di dare i pareri sugli atti che lo richiedono da fare le verifiche preliminari fin quando questo adempimento sarà ancora necessario l'attività di controllo e quant'altro quindi la macchina non se ovviamente fermata
A questo però si aggiunge anche il fatto che come è facile prevedere il decreto legislativo sicuramente attribuirà all'autorità perché c'è scritto nella nella legge delega
L'onere di adottare nuovi provvedimenti vedremo di che genere in quali ambiti di carattere generale per integrare la legislazione normativa
Del resto in un settore così trasversale pervasivo come la protezione dei dati sì è sì da sempre sentita la necessità di avere tra le norme generali astratte ai milioni di casi che si possono presentare un'interposizione in ottica o di soft lo linee guida atti di indirizzo oppure di carattere più prescrittivo provvedimenti generali codici deontologici eccetera quindi non credo di non sbagliare se immagino che quando uscirà il decreto legislativo che sarà adottato il il decreto legislativo sarà finito e l'opera del legislatore ma comincerà un'opera
Importante e impegnativa per noi
Nel dover adottare una serie di atti che a quel punto diventeranno urgentissimi perché tutti in tutti i settori si sentirà il bisogno di sapere come cambia quel determinato aspetto questo lo dico perché intanto per ringraziare ancora una volta assocerei dell'opportunità che chattato di essere qui e di fare questo lavoro questo lavoro noi lo interpretiamo in questo modo non è possibile ma veramente dico non è possibile
Pensare che il dipartimento o l'autorità possa dialogare uno a uno con tutti i tipi o della pubblica amministrazione per dire alcune cose
Quindi queste occasioni aiutano a dire a fattor comune ciò che potrei dire nella mia stanza chiacchierando singolarmente con ciascuno ma cosa che proprio non è non per un discorso di mancanze disponibilità ma come potete immaginare è impossibile
Quindi questo ancora una volta un sentito ringraziamento
E questo anche per per farvi capire che in questa fase per questi facevo il ragionamento della Rete non guardate sempre necessariamente all'Autorità per risolvere i problemi ma come dire applicate di voi
Con discutetene tra di voi perché può darsi che in molti casi qualcuno abbia l'idea buona per trovare una soluzione e allora può essere più semplice per noi
Intera fare un'interazione di secondo livello dopo che un problema è già stato magari affrontato sviscerato analizzato da un gruppo di Esperia che pongono un'alternativa all'autorità tra due possibili soluzioni che magari ancora si profilano rispetto al quale ci può essere il dubbio su quale sia la migliore ecco se noi immaginiamo cosa del genere pensiamo qualcosa che forse riusciremo a gestire se no credo che non non saremo di grande aiuto
Allora i quesiti sono alcuni sono è molto interessanti quel parto da questo quali relazioni interrati intercorrono tra Miss rispose il regolamento generale sulla protezione dei dati diretti Vanis buongiorno arrivederci e grazie
Cioè in materia di sicurezza in generale sicurezza dei dati sicurezza delle banche dati
La protezione dei dati è una faccia della protezione del della sicurezza informatica non è l'unica ci sono N soggetti che si muovono a protezione dei dati e sicuramente un miglior coordinamento tra fonti diverse è un'esigenza molto sentita perché da una parte titolare del trattamento potrebbe trovarsi nel dubbio su quale canale attivare oppure nel dovere di dover attivare canali diversi con soggetti diversi
Con tempi di reazione molto ristretti quali sono quelli oggi previsti per esempio della disciplina e protezione dati personali
Perché la sicurezza e le informazioni riguarda la Siegfried il trattamento di dati della persona i cui dati sono violati ma può riguardare la sicurezza nazionale se parliamo di banche dati pubbliche quindi avere come interlocutori non solo il garante ma anche altri soggetti pubblici che tutela non la sicurezza nazionale
Oppure può essere diciamo può evidenziare già una fattispecie di reato per cui l'esigenza di rappresentare altrettanto tempestivamente all'autorità giudiziaria
La violazione la commissione di un reato e magari ricevere istruzioni da queste in rapporto alle attività di polizia giudiziaria tesa l'accertamento dei reati
Quindi come dire
Se ragioniamo per compartimenti stagni probabilmente non riusciamo a trovare il bandolo la matassa penso che questo è un percorso forse ancora da costruire
E che però è necessario tra tutti i soggetti potenzialmente implicati parlo di soggetti pubblici potenzialmente intricati da una violazione di dati per cercare di costruire un sistema che si è più razionale possibile proprio perché è attesa un'immediati
E sa di comunicazione nell'ottica di tutela dell'individuo e quindi minimizzare gli impatti negativi forse canalizzare questa queste comunicazioni attraverso un unico flusso che poi può avere come diversi terminali eccetera potrebbe essere un sistema anche tecnologico di gestione da Tabriz
Che ha delle è di là da venire ma sul quale forse bisognerebbe cominciare seriamente pensare poi che cosa si intende per la pratica per interesse legittimo chiede uno di voi interesse legittimo è una delle basi giuridiche al pari del consenso del trattamento fatto
L'interesse per la finalità di rilevante interesse pubblico l'articolo sei l'articolo sei del regolamento
Elenca una serie di presupposti illegittimità del trattamento ponendoli sullo stesso piano
Che significa che il trattamento è corretto purché rispetti almeno uno dei trattamenti ora però qui siamo in un ambito pubblico
E quindi la prima cosa che dobbiamo dire sull'interesse legittimo è che di regolamento ci dice chiaramente che l'interesse legittimo non è una base giuridica
Congrua per i trattamenti fatti beh in una nel settore pubblico quindi
è un trattamento che l'interesse legittimo si intende del titolare del trattamento titolare del trattamento che trattando dati personali per esempio di clienti o di dipendenti potrebbe avere un interesse legittimo a fare un trattamento ulteriore rispetto a quelli che sono alla base della raccolta i dati che lo ha originato il casi esenti sono proprio quelli per esempio dei trattamenti fatti nei confronti dei dipendenti oppure i trattamenti per prevenire i rischi di frode in ambito privato sono ipotesi che considerando quarantasette del Regolamento esplicitamente pre
Esempi di trattamento fatto per un interesse legittimo da parte di un titolare ma torno a ripetere che però questa base giuridica non è una base giuridica
Che utilizzabile dalle dei soggetti pubblici perché la base giuridica d'elezione del soggetto pubblico il trattamento fatto per finalità di rilevanti interessa istituzionale normalmente regolato da norme giuridiche quindi le norme di legge e regolamento
O ci sono diversi quesiti di tipo organizzativo in particolare sulla fermati il cartello sono tre o quattro del responsabile interno responsabile esterno del trattamento
Allora su questo fatto cenno già rapido dottoressa Viggiano il senso ecco che noi diciamo costantemente dal giugno scorso è questo
Nella prassi applicativa italiana abbiamo si è consolidato il la tra organizzazione privacy all'interno di un titolare il trattamento prevedendo sicure normalmente di tipo dirigenziale a cui è stato affidato in passato la responsabilità del trattamento mediante opportune designazione al responsabile del trattamento
Ora il Regolamento europeo non dice nulla a proposito del responsabile interno del trattamento così come non lo diceva peraltro la direttiva novantacinque quarantasei
Ma dice molto come abbiamo visto le ho parlato proprio io all'inizio il sul tema delle responsabilità civili e amministrative del responsabile del trattamento allora io
Sono io che comando voi apposto il giudizio
Quella ripartizione delle responsabilità in termini civili e in termini amministrativi ancora compatibile con l'idea irresponsabili del trattamento interni
Cioè se è un dirigente designato responsabile se un danno viene provocato da un trattamento nell'ambito del quale c'è un dirigente che è stato designato responsabile il trattamento possiamo ritenere che lui risponde civilmente per il danno lui intendo lui come persona fisica quel punto del proprio è stato designato risponde civilmente seri danni procurati procurati da quel trattamento
Ecco direi linea di principio che non sia così così come le sanzioni
Del Regolamento sono sanzioni ispirate sanzioni amministrative mi riferisco alla responsabilità della persona giuridica quindi all'ente alla società l'associazione basta vedere gli importi fino a dieci milioni fino a venti milioni
In rapporto anche al fatturato del tratto dal fatturato annuo quindi tutto questo ci porta a considerare che continuare la prassi delle designazione responsabile interno del trattamento non sia esattamente conforme al regolamento
Ora su questo punto peraltro mo'maturato anche l'idea di fare esplicitamente una un chiarimento ma se se non fosse che siamo nella fase come dicevo prima finale il trust del nuovo decreto legislativo
E non è escluso non escludiamo anzi direi sarei portato a sensate che nel decreto legislativo si possa esserci qualche disposizione più specifica anche se a questo riguardo
E quindi abbiamo ritenuto opportuno soprassedere un attimo in modo da la fare un chiarimento alla luce del decreto legislativo rapportandolo possibilmente con le nuove disposizioni
Detto che quindi i motivi per i quali a mio giudizio il responsabile interno del trattamento non collima più con la figura del Regolamento non dobbiamo questo non significa
Lottiamo anche questo ripetuto costantemente da giugno che il titolare del trattamento o non postali interno per la propria organizzazione basandosi sui poteri ordinari e sul potere di auto organizzazione interno definire i livelli di responsabilità ai quali affidare a singoli e pentimenti o l'attuazione delle disposizioni del Regolamento cioè le due cose non sono incompatibili semplicemente l'idea sarebbe quella di non chiamarli più responsabili eternamente il trattamento chiamiamole in un altro modo ma io ai a potrò sente continuare a delegare
Funzioni relative al trattamento all'interno del mio organizzazione
Questo non c'è bisogno che lo dica il Regolamento idea del decreto legislativo in linea di principio perché io sono istituti il diritto di carattere generale cioè il potere di autorganizzazione ulteriore soggetti pubblici e privati
Chiede prima diciamo delle regole di protezione dati
Siccome c'erano numerosi quesiti
Ho ritenuto di
Dunque
Si parla alcuni di voi pongono il dubbio se che che cosa si parla tanto di questioni tecnologiche se la protezione dei dati così come il declinate nel regolamento si applica anche ai trattamenti dati di carattere cartacce
La risposta è sì
Basta vedere la definizione di archivio contenuta nell'articolo quattro del codice e considerando il numero quindici non si parla di Cardaci o si parla di trattamento manuale ma dobbiamo ritenere come dire la logica sia la stessa cioè è ovvio che il i rischi potenziali di un trattamento informatizzato sono
Maggiori in quello di un trattamento cartacce ma dipende dal dato che viene trattato insomma una cartella clinica di un paziente di un ospedale ancorché stampata su carta non per questo meno suscettibile di protezione di pregiudizio nel caso in cui venga smarrita o venga sottratta dagli archivi quindi la logica ovviamente non non ci sono disposizioni specifiche ma la logica deve ritenersi applicabile in poi un paio di domande invece riguardano il trattamento di dati giudiziari
Il trattamento di dati giudiziari così come lo conosciamo noi
Nel Codice è previsto in maniera molto posso dire generica nella cos'è l'articolo dieci del regolamento mi sembra che ne parli
Ma perché così in maniera generica perché sono tali e tante le differenze tra i Paesi membri in che cosa consiste questo dato giudiziario che si trattò anche questo
Dire che i soldi e si intende per dato giudiziario c'è il Regolamento se risponde a questa domanda dovremo attendere il decreto legislativo nel decreto legislativo troveremo la risposta più alla quale siamo più abituata ma che penso che non sarà poi tanto diversa onestamente da quella che conosciamo del del del codice della definizione di che cosa sia un dato giudiziario viceversa qualcuno chiede che cosa
Cosa si intende di alter autorità giudiziaria
Se e perché dal la di trattamenti fatti dall'autorità giudiziaria sono esclusi dal Regolamento la risposta essi e quando il trattamento effettuato nell'esercizio delle funzioni giurisdizionali ma il motivo della risposta è che per questi tipi di trattamento c'è un'altra base giuridica che non è il regolamento Teo ma è la direttiva che perché in questo caso è stata fatta una direttiva la Seicento la sei sette nove ora serio sei Auckland alla sei ottanta
Che appunto deve essere dovrà essere recepita da un decreto legislativo
In ormai in corso già anche quello delineato in corso di approvazione pure quello che disciplinerà trattamento fatto per finalità di prevenzione e repressione dei reati e anche in ambito delle attività giudiziaria
I provvedimenti ultimi due quesiti de riguardano uno i provvedimenti generali del Garante qua si parla di provvedimento amministratore di sistema che fine fanno i provvedimenti generali del garante bene anche qui lo sapremo con la decreto legislativo
Intanto potremmo dire che fintanto che non saranno modificati dal Garante cosa che non credo avverrà nel Treves
Gli stessi principi che stanno alla base di quei provvedimenti generali continueranno a vivere
In quanto compatibile ovviamente con il nuovo Regolamento e fino a quando
In quel settore non verrà generata una nuova base giuridica che potrebbe essere o un nuovo provvedimento del Garante che rinnova il precedente a un codice di condotta o un codice deontologico o una regola sul settore dipenderà adesso fu quali i diversi strumenti verrà Licata
Ma fintantoché quindi qualcuno non interverrà che cosa che peraltro credo succederà su un tema dell'amministratore di sistema quella potrà continuare a essere seguita
Come criterio di accanto avviliti da parte dei titolari trattamento quindi in assenza di altro se io mi attengo a quello potrei dire di essere accanto perché l'autorità me lo ha indicato come principio di responsabilizzazione ante litteram
E infine sul certificazione e sul Grace period allora certificazione anche quella dipenderà è un meccanismo in via di definizione come funzionerà
Gli enti di accreditamento degli enti di certificazione insomma c'è un grande movimento è un meccanismo che si stanno aprendo otto periodo di grazia così detto si riferisce al fatto che la Neil a
Come dire esternato il fatto che per i prossimi sei mesi Chandra cauta con le sanzioni
Ha detto insomma per dare un po'mo'modo al sistema
Di adeguarsi eccetera B ma insomma questa mi sembra una logica di buonsenso non penso che il venticinque maggio saremmo di col fucile spianato cosa che peraltro risulterebbe facile
Perché tutti i soggetti pubblici che entro il venticinque maggio non ci avranno comunicato
La nomina di un bivio potenzialmente sono già fuorigioco stracci se non si non serve il bar ce l'abbiamo già serve anche fare una grande indagine ripeto
Ecco però insomma questa è la teoria e la pratica credo che ovviamente tutti abbiamo abbiamo bisogno di un po'di tempo di accomodamento nella nella speranza che nel frattempo non succeda nulla perché poi quello è il discorso che nel momento in cui se c'è un problema chiaramente il parametro di riferimento sarà il nuovo Regolamento quindi mi pare quello che alla fine il sia in linea di principio condivisibile
Importante d'a due cose veramente le ultime uno sulla nomina di Bios diamo per il predisponendo anche noi purtroppo un po'di ritardo la procedura di comunicazione dei dati vere sconsacrazione dati
Diciamo tramite il sito ha una procedura automatizzata quindi chi l'ha fatto lo ha fatto tutt'al più potremmo chiedere di di ripeterlo eccetera per non fare nomi in data &
Chi fosse diciamo ancora in itinere allora direi di aspettare cedibili procedere con la nomea di Pio di aspettare qualche tempo insomma qualche settimana prima di fare la formale comunicazione di modo che la la possiate fare già attraverso la nuova procedura evitando poi di doverla ritengo
Dove far forse lo vide anche un'altra cosa me la sono dimenticata grazie meglio per poi
Allora siamo arrivati alla conclusione di questa bellissima giornata di di studi innanzitutto una sentito ringraziamento al presidente Soro Alda dottor Modafferi alla dottoressa reggiano dottoressa Paganella
Sono stati per noi diamo venti importanti questi perché insieme a tutti i nostri clienti istituzioni
Vi trovate nella nostra casa mi sentirei di dire nella loro casa ecco e il nostro obiettivo è quello di concentrarsi nella quotidianità in termini diciamo anche il programma è furente Manera diciamo così pluriennale sul sul nostro rafforzamento a quel nostro rafforzamento è alla base della nostra quotidianità tutti i nostri investimenti sulle persone sui processi sono avente indirizzati a eroga rapimenti di servizi in sicurezza
Siamo perfettamente consapevoli delle nostre responsabilità
Delle banche dati che gestiamo
E lavoriamo trecentosessantacinque giorni l'anno veramente per proteggere l'identità di ognuno di noi
Noi ringraziamo speriamo sia stata una versione aggiornata per voi un grande in bocca al lupo nostro Fabio Mazzini
Un ringraziamento a coloro che hanno permesso questa giornata quindi la dottoressa ska furia dottor lei era tutto nel loro team ma grazie a tutti e buona giornata