際際滷

際際滷Share a Scribd company logo

2022.03 slide privacy by design

Download as PPTX, PDF
STEFANELLI&STEFANELLI LAW FIRM
STEFANELLI&STEFANELLI LAW FIRM

Cosa significa e come si applica la privacy by design e by default

1 of 11
Downloaded 16 times
www.studiolegalestefanelli.it PRIVACY BY DESIGN E BY DEFAULT Cosa significa e come si applica?
www.studiolegalestefanelli.it 2 Obbligo di protezione dei dati fin dalla progettazione del trattamento (data protection by design) Trattamento per impostazione predefinita solo dei dati personali necessari al perseguimento delle specifiche finalit per cui gli stessi sono raccolti e per il periodo strettamente necessario a tale fine (data protection by default). DEFINIZIONE
www.studiolegalestefanelli.it 3 Progettazione di SOFTWARE APPLICATIVI STRUMENTI che trattano dati Introduzione o modifica di PROCESSI AZIENDALI Progettazione di NUOVI TRATTAMENTI DI DATI Il principio di privacy by design trova applicazione ad esempio in relazione a: Esempio: introduzione di un nuovo software per la gestione dei dati dei dipendenti Esempio: ampliamento organizzativo con creazione di un nuovo dipartimento Esempio: progettazione di una campagna di marketing o creazione di un e- commerce QUANDO SI APPLICA QUESTO PRINCIPIO?
www.studiolegalestefanelli.it 4 Significa quindi che occorre prevenire e non correggere: il Titolare deve valutare e 束disegnare損 il trattamento di dati sin dalla fase della sua progettazione, in modo che il trattamento rispetti i principi privacy, definendo in via preventiva, a titolo esemplificativo: Quali dati saranno raccolti e di quali interessati Per quali finalit verranno trattati La base di legittimit di questo trattamento se tutti i dati raccolti sono necessari al raggiungimento della finalit Quali misure di sicurezza possono essere adottate per proteggere i dati Per quanto tempo saranno conservati Con quali modalit saranno cancellati COSA SIGNIFICA 束by design損?
www.studiolegalestefanelli.it 5 QUALI PRINCIPI DEL GDPR DEVONO ESSERE INTEGRATI NEL TRATTAMENTO? LICEIT, CORRETTEZZA E TRASPARENZA LIMITAZIONE DELLA FINALIT MINIMIZZAZIONE DEI DATI LIMITAZIONE DELLA CONSERVAZIONE ESATTEZZA INTEGRIT E RISERVATEZZA I principi previsti dallart. 5 GDPR sono:
www.studiolegalestefanelli.it 6 Che il trattamento di dati previsto dallutilizzo del software/applicativo/strumento o svolto nellambito di un nuovo processo aziendale o un nuovo trattamento di dati devessere configurato in modo che: COSA SIGNIFICA 束by default損? sia possibile raccogliere solo i dati gi individuati come necessari siano di default adottate le misure di sicurezza individuate in fase di progettazione (ad esempio la pseudonimizzazione dei dati) al termine del trattamento i dati siano cancellati oppure resi anonimi per impostazione predefinita, mediante procedure sistematiche integrate nel trattamento. i dati personali siano realmente accessibili solo a chi ne ha bisogno
www.studiolegalestefanelli.it 7 COSA DICONO LE LINEE GUIDA DELLEDPB 4/2019 SULLA PRIVACY BY DESIGN E BY DEFAULT 束La privacy by design 竪 un requisito anche per i trattamenti preesistenti allentrata in vigore del GDPR: i titolari devono far s狸 che i trattamenti siano aggiornati in modo coerente con il Regolamento損. Alcuni punti di interesse del documento 束La protezione dei dati fin dalla progettazione deve essere attuata 束al momento di determinare i mezzi del trattamento損. I 束mezzi del trattamento損 comprendono larchitettura, le procedure, i protocolli, il layout e laspetto損. 束lEDPB raccomanda ai titolari di richiedere che i produttori e i responsabili del trattamento dimostrino in che modo i loro hardware, software, servizi o sistemi consentano al titolare di soddisfare i requisiti in materia di privacy by design損 束larticolo 25 non prevede requisiti meno stringenti per le PMI損 quindi tutti i titolari del trattamento, a prescindere dallentit della propria organizzazione sono chiamati al rispetto di questo principio.
www.studiolegalestefanelli.it 8 UNA VOLTA AVVIATO IL TRATTAMENTO, POSSO CONSIDERARMI COMPLIANT AL GDPR? La privacy by design 竪 un requisito che va rispettato anche 束ALLATTO DEL TRATTAMENTO損. NO Ci嘆 significa che una volta avviato il trattamento, il titolare 竪 tenuto ad assicurare la privacy by design e by default su base continuativa, ossia a dare attuazione efficace e costante ai principi privacy tenendosi aggiornato sullo stato dellarte, riesaminando il livello di rischio, ecc. La natura, lambito di applicazione e il contesto delle operazioni di trattamento, nonch辿 il rischio possono mutare nel corso del trattamento, comportando per il titolare lobbligo di verificare tali operazioni per mezzo di valutazioni e riesami periodici dellefficacia delle misure e garanzie che ha scelto.
www.studiolegalestefanelli.it 9 DEVO TENERE TRACCIA DELLANALISI DI PRIVACY BY DESIGN E BY DEFAULT SVOLTA? Per il principio di ACCOUNTABILITY SI Il titolare deve decidere autonomamente modalit, garanzie e limiti del trattamento dei dati personali nel rispetto della normativa deve essere in grado di dimostrare la compliance alla normativa e lefficacia delle misure di sicurezza adottate. e
www.studiolegalestefanelli.it LE NOSTRE RISORSE settore privacy Studio legale Stefanelli&Stefanelli privacy e GDPR Osservatorio Europe Privacy Osservatorio Sanzioni Privacy
www.studiolegalestefanelli.it GRAZIE DELLATTENZIONE www.studiolegalestefanelli.it info@studiolegalestefanelli.it https://it.linkedin.com/pub/silvia-stefanelli/a/182/679 @studistefanelli

More Related Content

2022.03 slide privacy by design

  • 1. www.studiolegalestefanelli.it PRIVACY BY DESIGN E BY DEFAULT Cosa significa e come si applica?
  • 2. www.studiolegalestefanelli.it 2 Obbligo di protezione dei dati fin dalla progettazione del trattamento (data protection by design) Trattamento per impostazione predefinita solo dei dati personali necessari al perseguimento delle specifiche finalit per cui gli stessi sono raccolti e per il periodo strettamente necessario a tale fine (data protection by default). DEFINIZIONE
  • 3. www.studiolegalestefanelli.it 3 Progettazione di SOFTWARE APPLICATIVI STRUMENTI che trattano dati Introduzione o modifica di PROCESSI AZIENDALI Progettazione di NUOVI TRATTAMENTI DI DATI Il principio di privacy by design trova applicazione ad esempio in relazione a: Esempio: introduzione di un nuovo software per la gestione dei dati dei dipendenti Esempio: ampliamento organizzativo con creazione di un nuovo dipartimento Esempio: progettazione di una campagna di marketing o creazione di un e- commerce QUANDO SI APPLICA QUESTO PRINCIPIO?
  • 4. www.studiolegalestefanelli.it 4 Significa quindi che occorre prevenire e non correggere: il Titolare deve valutare e 束disegnare損 il trattamento di dati sin dalla fase della sua progettazione, in modo che il trattamento rispetti i principi privacy, definendo in via preventiva, a titolo esemplificativo: Quali dati saranno raccolti e di quali interessati Per quali finalit verranno trattati La base di legittimit di questo trattamento se tutti i dati raccolti sono necessari al raggiungimento della finalit Quali misure di sicurezza possono essere adottate per proteggere i dati Per quanto tempo saranno conservati Con quali modalit saranno cancellati COSA SIGNIFICA 束by design損?
  • 5. www.studiolegalestefanelli.it 5 QUALI PRINCIPI DEL GDPR DEVONO ESSERE INTEGRATI NEL TRATTAMENTO? LICEIT, CORRETTEZZA E TRASPARENZA LIMITAZIONE DELLA FINALIT MINIMIZZAZIONE DEI DATI LIMITAZIONE DELLA CONSERVAZIONE ESATTEZZA INTEGRIT E RISERVATEZZA I principi previsti dallart. 5 GDPR sono:
  • 6. www.studiolegalestefanelli.it 6 Che il trattamento di dati previsto dallutilizzo del software/applicativo/strumento o svolto nellambito di un nuovo processo aziendale o un nuovo trattamento di dati devessere configurato in modo che: COSA SIGNIFICA 束by default損? sia possibile raccogliere solo i dati gi individuati come necessari siano di default adottate le misure di sicurezza individuate in fase di progettazione (ad esempio la pseudonimizzazione dei dati) al termine del trattamento i dati siano cancellati oppure resi anonimi per impostazione predefinita, mediante procedure sistematiche integrate nel trattamento. i dati personali siano realmente accessibili solo a chi ne ha bisogno
  • 7. www.studiolegalestefanelli.it 7 COSA DICONO LE LINEE GUIDA DELLEDPB 4/2019 SULLA PRIVACY BY DESIGN E BY DEFAULT 束La privacy by design 竪 un requisito anche per i trattamenti preesistenti allentrata in vigore del GDPR: i titolari devono far s狸 che i trattamenti siano aggiornati in modo coerente con il Regolamento損. Alcuni punti di interesse del documento 束La protezione dei dati fin dalla progettazione deve essere attuata 束al momento di determinare i mezzi del trattamento損. I 束mezzi del trattamento損 comprendono larchitettura, le procedure, i protocolli, il layout e laspetto損. 束lEDPB raccomanda ai titolari di richiedere che i produttori e i responsabili del trattamento dimostrino in che modo i loro hardware, software, servizi o sistemi consentano al titolare di soddisfare i requisiti in materia di privacy by design損 束larticolo 25 non prevede requisiti meno stringenti per le PMI損 quindi tutti i titolari del trattamento, a prescindere dallentit della propria organizzazione sono chiamati al rispetto di questo principio.
  • 8. www.studiolegalestefanelli.it 8 UNA VOLTA AVVIATO IL TRATTAMENTO, POSSO CONSIDERARMI COMPLIANT AL GDPR? La privacy by design 竪 un requisito che va rispettato anche 束ALLATTO DEL TRATTAMENTO損. NO Ci嘆 significa che una volta avviato il trattamento, il titolare 竪 tenuto ad assicurare la privacy by design e by default su base continuativa, ossia a dare attuazione efficace e costante ai principi privacy tenendosi aggiornato sullo stato dellarte, riesaminando il livello di rischio, ecc. La natura, lambito di applicazione e il contesto delle operazioni di trattamento, nonch辿 il rischio possono mutare nel corso del trattamento, comportando per il titolare lobbligo di verificare tali operazioni per mezzo di valutazioni e riesami periodici dellefficacia delle misure e garanzie che ha scelto.
  • 9. www.studiolegalestefanelli.it 9 DEVO TENERE TRACCIA DELLANALISI DI PRIVACY BY DESIGN E BY DEFAULT SVOLTA? Per il principio di ACCOUNTABILITY SI Il titolare deve decidere autonomamente modalit, garanzie e limiti del trattamento dei dati personali nel rispetto della normativa deve essere in grado di dimostrare la compliance alla normativa e lefficacia delle misure di sicurezza adottate. e
  • 10. www.studiolegalestefanelli.it LE NOSTRE RISORSE settore privacy Studio legale Stefanelli&Stefanelli privacy e GDPR Osservatorio Europe Privacy Osservatorio Sanzioni Privacy