FOCUS

Software in cloud "DPIA Easy" ideato per semplificare la Valutazione di Impatto sulla Protezione dei Dati (DPIA)

DPIA Easy è il software ideato per semplificare la Valutazione di Impatto sulla Protezione dei Dati (DPIA), un requisito fondamentale stabilito dall'Art. 35 del GDPR.

Questa soluzione è sviluppata per supportare i Data Protection Officer (DPO), consulenti privacy, avvocati e enti pubblici nel gestire efficacemente i compiti di conformità al GDPR. Caratterizzato dalla sua intuitività e facilità d'uso, DPIA Easy è progettato per rendere il processo di DPIA accessibile e gestibile senza richiedere competenze tecniche avanzate.

Caratteristiche Principali

Procedura Guidata

• Processo Passo Dopo Passo: Accompagna l'utente attraverso le diverse fasi della DPIA, assicurando che tutti i dettagli importanti siano coperti e che la conformità sia sempre rispettata.
• Semplicità di Uso: Rende il processo complesso di DPIA una procedura guidata e strutturata, facile da seguire.

Esclusività

• Specializzazione: DPIA Easy è il primo software nel mercato focalizzato esclusivamente sulla facilitazione della DPIA. Offre funzionalità e strumenti specifici per la DPIA, che non sono disponibili nessuna delle altre soluzioni software italiane per la privacy.

Interfaccia Intuitiva

• Accessibilità: Un’applicazione nata per il “Cloud” accessibile via internet.
  Il vantaggio di utilizzare un’applicazione cloud deriva principalmente dal non dover mai installare il software e gli eventuali aggiornamenti sui propri PC. Per lavorare basta un browser web e una normale connessione a internet.
• Esperienza Utente: Offre un'interfaccia utente chiara e semplificata, che guida l'utente attraverso i vari passaggi del processo DPIA. Progettato per essere facilmente utilizzabile da chiunque, indipendentemente dalla propria esperienza tecnica.

Come funziona DPIA Easy

Il processo DPIA predisposto da Easy Dpia è strutturato in 6 Fasi:

1. Descrizione del Trattamento

• Completa una serie di domande aperte per definire in dettaglio i trattamenti dei dati personali, finalità, basi giuridiche, e altre informazioni pertinenti.

2. Criteri di Impatto

• Utilizza i 12 criteri del WP29 per identificare gli impatti potenziali, con domande a risposta chiusa per una valutazione precisa e guidata.

3. Gestione dell'Impatto

• Valuta e documenta le misure di mitigazione per ciascun impatto identificato, con un approccio strutturato e risposte guidate.

4. Valutazione dei Rischi

• Analizza i rischi associati al trattamento dei dati, considerando aspetti di cybersecurity e conformità GDPR, attraverso domande a risposta chiusa e risposte guidate.

5. Gestione del Rischio

• Gestisce ogni rischio identificato, semplificando la documentazione e la mitigazione dei rischi con risposte guidate e spazio per note.

6. Verifica della Compliance

Algoritmo di Valutazione e Reportistica

• Valutazione Avanzata: Al termine del processo, un algoritmo avanzato calcola impatto e rischio, presentando i risultati con un sistema semaforico.
• Report Finale: Integrabile nella documentazione di accountability, fornisce una panoramica dettagliata e chiara dell’analisi svolta, garantendo conformità e tranquillità per il Titolare del trattamento.

DPIA Easy non è solo un software ma un vero alleato nella gestione della privacy e protezione dei dati.
Offre una soluzione completa e dettagliata per la DPIA, rendendo il processo di conformità al GDPR efficiente e senza stress.

Durata della Licenza e Condizioni generali di contratto

La licenza è annuale dalla data di attivazione e, salvo disdetta, è previsto il rinnovo tacito.

La durata del Contratto è annuale.

Nel rispetto di quanto previsto dall’art. 65 bis del D.lgs. n. 206/2005 e delle necessarie comunicazioni, detto contratto si intende confermato alle stesse condizioni per l’anno successivo salvo disdetta da inoltrare alla casella di posta help.software@maggioli.it compilando apposito modulo denominato “Modulo disdetta rinnovo”, entro 15 gg dalla data di scadenza del contratto.

In caso di mancato rinnovo, l’accesso ai dati inseriti nel programma non sarà più consentito. Il Cliente è abilitato a scaricare tutti i dati in qualsiasi momento precedente alla scadenza.

Leggi le Condizioni generali di contratto di vendita del Software DPIA

___________________

Disclaimer

Il software qui presentato non costituisce un modello universale di riferimento per ogni situazione di trattamento dei dati. Esso è stato concepito principalmente come ausilio metodologico per consulenti, Data Protection Officer (DPO), Pubbliche Amministrazioni e Piccole e Medie Imprese (PMI).

DPIA Easy offre un supporto sugli elementi principali che compongono la procedura di Valutazione d'Impatto sulla Protezione dei Dati (DPIA). Svolge una funzione di orientamento e guida operativa, fornendo indicazioni utili per lo svolgimento delle DPIA. Tuttavia, ogni valutazione d'impatto deve essere integrata in base alle specifiche tipologie di trattamento esaminate.

Inoltre, ogni valutazione d'impatto deve tenere conto del rischio specifico complessivo che il trattamento in esame può comportare per i diritti e le libertà degli interessati, nel contesto di riferimento. Pertanto, i rischi esaminati dal software potrebbero non esaurire il concetto di rischio specifico di ogni singolo caso.

Il software integra e supporta il lavoro di DPO, consulenti privacy, avvocati e altri professionisti del settore, ma non lo sostituisce. È pensato per essere un complemento utile, ma la valutazione e l'intervento di professionisti qualificati rimangono indispensabili.

Sintesi del Regolamento approvato dal Parlamento Europeo il 13 marzo 2024 elaborata completamente con ChatGPT4

Testo Elaborato completamente con l’ausilio di ChatGPT

Questo documento è una sintesi  del regolamento europeo sull’intelligenza artificiale (IA), che stabilisce un quadro giuridico per la regolamentazione, il monitoraggio e l’uso dei sistemi di IA nell’Unione Europea. Tratta di vari aspetti legati all’IA, come le pratiche vietate, i requisiti per i sistemi ad alto rischio, gli obblighi di trasparenza, e introduce un sistema di governance per l’IA, comprese le sanzioni per la non conformità. L’obiettivo del regolamento è di garantire che l’uso dell’IA nell’UE sia sicuro, rispettoso dei diritti fondamentali e conforme ai valori etici, promuovendo al contempo l’innovazione e l’adozione dell’IA.

Il nuovo regolamento europeo che stabilisce regole armonizzate sull'intelligenza artificiale è stato approvato dal Parlamento Europeo mercoledì 13 marzo 2024, con 523 voti favorevoli, 46 contrari e 49 astensioni.

Lo scopo del  regolamento è migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, l'immissione sul mercato, la messa in servizio e l'uso di sistemi di intelligenza artificiale (sistemi di IA) nell'Unione, in conformità dei valori dell'Unione, promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea (la "Carta"), compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di IA nell'Unione nonché promuovere l'innovazione.

Il  regolamento garantisce la libera circolazione transfrontaliera di beni e servizi basati sull'IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all'uso di sistemi di IA, salvo espressa autorizzazione del regolamento stesso. 

Entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell'UE e inizierà ad applicarsi 24 mesi dopo l'entrata in vigore, salvo per quanto riguarda: i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore; i codici di buone pratiche (nove mesi dopo); le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi) e gli obblighi per i sistemi ad alto rischio (36 mesi).

Indice

Premessa
I 180 considerando che portano all’emanazione del Regolamento sull’Intelligenza Artificiale
CAPO I - Disposizioni generali
CAPO II - Pratiche di intelligenza artificiale vietate
CAPO III - Sistemi di IA ad alto rischio
Sezione 1: Classificazione dei sistemi di IA come "ad alto rischio"
Sezione 2: requisiti per sistemi di IA ad alto rischio
Sezione 3: Obblighi dei fornitori e dei deployer dei sistemi di IA ad alto rischio e di altre parti
Sezione 4: Autorità di notifica e organismi notificati
Sezione 5: Norme, valutazione della conformità, certificati, registrazione
CAPO IV - Obblighi di trasparenza per i fornitori e i deployer di determinati sistemi di IA
CAPO V- Modelli di IA per finalità generali
Sezione 1: regola di classificazione
Sezione 2: Obblighi dei Fornitori di Modelli di IA per Finalità Generali
Sezione 3: Obblighi dei Fornitori di Modelli di IA per Finalità Generali con Rischio Sistemico
CAPO VI - Misure a sostegno dell'innovazione
CAPO VII - Governance
Sezione 1: Governance a livello dell'Unione
Sezione 2: Autorità nazionali competenti
CAPO VIII – Banca dati dell'UE per i sistemi di IA ad alto rischio
CAPO IX - Monitoraggio successivo all'immissione sul mercato, condivisione delle informazioni, vigilanza del mercato
Sezione 1: Monitoraggio Successivo all'Immissione sul Mercato
Sezione 2: Condivisione di Informazioni su Incidenti Gravi
Sezione 3: Applicazione
Sezione 4: Mezzi di Ricorso
Sezione 5: Supervisione, Indagini, Esecuzione e Monitoraggio in Relazione ai Fornitori di Modelli di IA per Finalità Generali
CAPO X - Codici di condotta e orientamenti
CAPO XI - Delega di potere e procedura di comitato
CAPO XII - Sanzioni
CAPO XIII - Disposizioni finali
Allegati

La Responsabilità Civile per Illecito Trattamento dei dati ex Art 82 GDPR - Dimitri De Rada - Maggioli Editore - 130 pagine - Maggio 2023

Il volume fornisce al lettore un quadro complessivo e utile del Regolamento Dimitri De Rada europeo sui dati personali. Dopo aver ripercorso l’evoluzione del diritto alla privacy e la sua trasformazione in un insieme di regole per disciplinare i dati personali.

L’autore si concentra sulla qualificazione dei dati, sul loro valore, sulla loro configurazione giuridica. Viene evidenziato come Il GDPR europeo ha applicazione anche extra UE ed aspira a diventare un modello globale, pur scontrandosi con ordinamenti che privilegiano la libertà di mercato a discapito dei diritti individuali.

Il testo affronta poi in profondità la disciplina della responsabilità civile per il trattamento dei dati personali. Secondo l’articolo 82 del Regolamento, chi subisce un danno a causa di una violazione ha il diritto di ottenere il risarcimento dal titolare o dal responsabile del trattamento.

Tuttavia, la responsabilità dipende dal rispetto degli obblighi previsti dal Regolamento e dalla conformità alle istruzioni legittime del titolare. Si pone quindi il dilemma se la colpa sia presunta o se la responsabilità sia oggettiva o attenuata.

Si esaminano quindi approfonditamente le problematiche relative alla prova del danno ed alla risarcibilità dei danni non patrimoniali.

Infine viene presentata una rassegna della giurisprudenza straniera (Germania, Austria, Olanda, Regno Unito), evidenziando le diverse interpretazioni e applicazioni del Regolamento mostrando come le disposizioni del Regolamento abbiano dato origine a interpretazioni divergenti che richiedono una correzione per raggiungere gli scopi che il GDPR si propone.

Dimitri De Rada
avvocato, ha conseguito la laurea in Giurisprudenza presso l’Università degli studi di Pavia ed ha conseguito la Laurea in marketing e comunicazione presso l’Università LUMSA di Roma. Ha compiuto studi di specializzazione presso diverse accademie internazionali ed è stato visiting researcher presso la Fordham University a New York. È stato professore a contratto al Politecnico di Milano e docente nel Master di I livello Real Estate Finance and Development. È docente all’Università degli Studi La Sapienza di Roma nel Master di secondo livello di Diritto Privato Europeo. È membro del consiglio scientifico del Centro Dipartimentale di studi Giuridici, storici e sociali in tema di ambiente e gestione del territorio istituito presso l’Università degli studi
di Pavia.

Diritti, i doveri e le sanzioni - Michele Iaselli - Maggioli Editore - 132 pagine - Luglio 2022

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete.

L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente.

Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa.

Michele Iaselli
Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Indice

Capitolo 1 – Principi fondamentali e diritti

1.1. Nascita ed evoluzione del concetto di privacy

1.2. I principi fondamentali del trattamento dei dati personali e le condizioni di li­ceità

1.3. L’accountability

1.4. La trasparenza

1.5. I diritti dell’interessato

1.5.1. Il diritto alla cancellazione e all’oblio

1.6. Il processo decisionale automatizzato compresa la profilazione

1.7. Il diritto all’identità personale su Internet

Capitolo 2 – La tutela dinanzi al Garante

2.1. La segnalazione

2.2. Il reclamo al Garante

2.3. Proposizione del reclamo

2.4. Il procedimento

2.5. La decisione

2.6. Il ricorso giurisdizionale

Capitolo 3 – Casistica e strumenti

3.1. Come procedere in caso di violazione della privacy

3.2. Casi pratici

3.3. Le sanzioni previste dalla normativa comunitaria

L'opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse - 608 pagine

Aggiornata alle recenti determinazioni del Garante, l'opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.

La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.

L'analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell'opera che ben può aspirare a diventare un riferimento per gli operatori del settore.

Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell'Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.

Enzo Maria Tripodi attualmente all'Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d'impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.

Cristian Ercolano Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell'applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

Guida pratica sull'applicazione del Regolamento protezione dati negli Studi professionali, con Schemi e consigli pratici per gli adempimenti, pdf 152 pag.

Guida pratica in pdf sull'applicazione del Regolamento protezione dati personali e tutela della privacy negli Studi professionali, con Schemi e consigli pratici per gli adempimenti.

• Schemi riepilogativi e consigli pratici per gli adempimenti
• Focus operativo su ispezioni e sanzioni
• Formulario
• Trattamento dati personali e sanitari dopo la Pandemia

Questa seconda edizione del Volume La privacy negli studi professionali nasce sull’onda della soddisfazione per le manifestazioni di apprezzamento che sono state espresse verso gli Autori della prima edizione e trova spinta nell’esigenza di dare maggiore esaustività all’analisi di uno scenario che negli ultimi due anni ha subito un mutamento profondo e sostanziale.

La prima edizione è stata pubblicata nei giorni immediatamente successivi alla fatidica data del 25 maggio 2018 che, come noto, ha segnato l’innesco -rectius l’applicabilità- del Regolamento generale UE 2016/679. Lo sforzo degli Autori è stato evidentemente profuso verso l’esigenza di offrire ai professionisti e, più in generale, agli operatori del mondo del lavoro (datori di lavoro, imprenditori, dipendenti e collaboratori) uno strumento operativo, una sorta di bussola, in virtù di cui riuscire a orientarsi in quel rinnovato “ambiente".

Dall'entrata in vigore del Regolamento Europeo, molti di noi addetti ai lavori ci siamo sentiti investiti da una ventata d'aria fresca. Il taglio stesso della normativa, con l'abbandono dei principi formalistici il favore di un approccio proattivo molto più vicino alla realtà di chi combatte tutti i giorni con la realtà pratica delle aziende offrendo consulenza, ci ha dato grandi speranze. Inoltre, la previsione in capo al Garante di cospicui poteri di soft law ci permetteva all'epoca di sognare di mandare al macero moduli e formulari in favore della costruzione di sistemi di gestione, di formazione continua, e soprattutto di una strutturazione in capo alla figura del data protection officer di una effettiva possibilità di incidere sulla qualità della vita lavorativa delle persone all'interno di sistemi complessi, proprio perché - e chi si occupa di privacy lo sa bene - l'italiano per sua formazione, probabilmente per ragioni storiche, è estremamente attento alla sua riservatezza, soprattutto in tempi di condivisione sul web di qualunque cosa.

Poi è arrivato il covid. Le scelte di politica generale non sono opinabili dai tecnici, ma quello che si può certamente registrare dal primo lockdown e che la carta un tanto al chilo è tornata a far da padrona: moduli, formulari, procedure, avvisi. L'ansia di fornire evidenza ad una pubblica autorità percepita come costantemente di pattuglia ha riempito letteralmente uffici, reparti e locali commerciali di scartoffie appese ai muri. Di pari passo con l'applicazione del green pass, si è fatta sempre più pressante la domanda di chiarire sotto il profilo del diritto alla privacy le controversie interne alle organizzazioni, interpretando le norme che cambiano di continuo, nel perdurare dello stato di emergenza. Molto è stato fatto per trasferire on-line la gestione delle attività connesse alla gestione sanitaria, creando ulteriori schemi e procedure e regolamenti interni per integrare le nuove incombenze nell'attività delle persone.

Nel complesso, come tutte le situazioni di crisi, è stata una ottima palestra per acquisire esperienza su scenari nuovi.

In questa seconda edizione ci proponiamo di aggiungere contributi speriamo utili per gli studi professionali per essere vicino ai propri clienti anche nella gestione di problemi e domande che certamente saranno arrivate e continueranno ad arrivare nel perdurare della pandemia.

Sperando di essere utile e di fare la nostra parte.

Indice

Prefazione alla Seconda Edizione.
Prefazione alla Prima Edizione.
Premessa (Avv. Luca Malatesta).
Premessa alla seconda edizione (Avv. Luca Malatesta).
1. Sintesi schematica del quadro normativo di riferimento (Dott. Giuseppe Miceli).
1.1 Il quadro normativo in materia di protezione dei dati personali
1.2 Il “dato personale” ai sensi del GDPR: definizione e tipologie di dati
2.  Organigramma privacy: ruoli e responsabilità (Avv. Luca Malatesta).
2.1 Situazioni di titolarità e contitolarità del trattamento: come distinguerle e cosa fare.
2.2 La categoria dei sub-responsabili del Titolare o del Responsabile per il trattamento.
2.3 Il DPO (Data Protection Officer)
2.4 La gestione degli archivi cartacei e il registro dei trattamenti
2.4.1 La gestione degli archivi cartacei
2.4.2 Il registro dei trattamenti
2.5 L’art. 32: obbligo per il titolare del trattamento di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza corrispondente al rischio.
2.6 Sistemi di certificazione.
3. Protezione dei dati personali e tutela della privacy dei lavoratori (Dott. Marco Miceli).
3.1 La privacy dei lavoratori
3.1.2 DPIA per il datore di lavoro/titolare del trattamento.
3.2 Il Provvedimento generale del Garante in merito al trattamento di categorie particolari di dati, nei rapporti di lavoro.
3.3 Videosorveglianza in ambiente lavorativo.
3.4 Piano sanzionatorio per violazioni in materia di controlli e videosorveglianza in ambiente lavorativo.
4. La valutazione d’impatto per la protezione dei dati (Dott. Giuseppe Miceli).
4.1 Data Protection Impact Assessment: obbligo di (auto)valutazione preventiva del rischio privacy.
4.2 Oggetto della DPIA.
4.3 Soggetti della DPIA.
4.4 Contenuto della DPIA.
4.5 Analisi dei rischi e DPIA.
4.6 Metodologia pratica di analisi e realizzazione di una DPIA.
4.7 Sintesi del piano sanzionatorio per la violazione dell’obbligo della DPIA.
5. Esercizio dei diritti dell’interessato e azioni legali (Dott. Giuseppe Miceli).
5.1 I diritti dell’interessato dal Codice della privacy al GDPR.
5.2 Analisi schematica dei diritti dell’interessato.
5.3 Reclami, ricorsi e azioni per il risarcimento del danno.
6. La pandemia del COVID- 19 e la tutela dei dati personali del lavoratore (Avv. Mauro Buontempi) 
6.1 Il Green Pass e l’accesso ai luoghi di lavoro: il controllo operato dal datore di lavoro.
6.2 Gli adempimenti a carico del Titolare dello Studio Professionale: il documento organizzativo, il documento di privacy by design e by default, le lettere di incarico, l’informativa ai dipendenti e il registro dei trattamenti
6.3 Il trattamento dei dati sanitari del lavoratore in epoca di pandemia: la corretta base giuridica.
6.4 Il medico competente e il trattamento dei dati sanitari del lavoratore.
7. Focus - Attività di ispezione e impianto sanzionatorio (Dott. Giuseppe Miceli).
7.1 Le ispezioni: operatività e consigli utili
7.2 Provvedimenti del Garante: sanzioni e provvedimenti correttivi
Conclusioni e considerazioni del curatore editoriale.
Sitografia.
Formulario:

• Il reclamo.
• Incarico al responsabile esterno.
• Informativa ai dipendenti
• Segnale video sorveglianza informativa.

Michele Iaselli - Maggioli Editore - 260 pagine

L’opera giunge alla sua seconda edizione e mantenendo l’impostazione originaria del libro vengono approfonditi diversi aspetti legati ai compiti ed alle attività del DPO.

In particolare si è tenuto conto delle ultime linee guida EDPB sulle figure soggettive del GDPR, sulla videosorveglianza, sui principi della privacy by design e by default e sui trasferimenti dei dati personali presso Paesi terzi, nonché di alcune importanti sentenze del giudice amministrativo sui ruoli e le funzioni del DPO e di rilevanti provvedimenti dell’Autorità in tema di DPIA, Data Breach e Registro delle attività di trattamento.

Il formulario è stato ulteriormente arricchito e rinnovato alla luce degli interventi dell’Autorità Garante, di Organismi Comunitari e naturalmente dell’esperienza acquisita in materia.

Nel libro, quindi, viene dato ulteriore risalto alla figura professionale di indubbio rilievo del DPO designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, nonché della capacità di adempiere ai propri compiti.

Michele Iaselli
Avvocato, funzionario del Ministero della Difesa, docente a contratto di Informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Indice

1. La disciplina del Regolamento UE n. 2016/679
1. I principi del Regolamento e della normativa nazionale di adeguamento  
2. Il DPO o RPD 
3. Aspetti organizzativi relativi alla funzione del DPO: le linee guida dei garanti europei
4. Le attività fondamentali del DPO
2. Il necessario approccio alle funzioni del DPO  
1. La struttura di governance 
2. Gestione archivi dati personali
3. Policy privacy dati personali 
4. La formazione 
5. Gestione del rischio connesso all’Information Security 
6. Comunicazioni e risposta a richieste e reclami di privati 
7. Gestione data breach 
8. Attività di audit
3. Formulario 
Introduzione 
1. Accordo di contitolarità
2. Autorizzazione al trattamento dei dati 
3. Informativa e consenso 
4. Contratto con responsabile esterno 
5. Contratto di DPO 
6. Schema di designazione DPO/RPD
7. Procedura Data Breach 
8. Modello data breach
9. Nomina referente del titolare (o delegato del titolare o coordinatore)
10. Prescrizioni per un contratto di cloud computing
11. Registro delle attività di trattamento
12. Regolamento informatico 
13. Regolamento videosorveglianza 
14. Valutazione di impatto protezione dei dati personali 
15. BCR (Binding Corporate Rules)
16. Modello esercizio dei diritti in materia di protezione dei dati personali
17. Modello reclamo 

Libro di carta. Nadia Corà, Matteo Marconato - Maggioli Editore - 52 pagine

Il Vademecum Privacy accompagna e sostiene l'ente, i dirigenti, i responsabili di posizione organizzativa e tutti i dipendenti impegnati nello svolgimento di attività relative alle operazioni di trattamento dei dati personali, attraverso sei Quaderni operativi sulle tematiche più stringenti in materia di privacy. La pubblicazione è naturalmente diretta anche al DPO che, nell'espletamento dei suoi compiti di vigilanza e consulenza, può utilmente usufruire delle soluzioni proposte nel quaderno e suggerirlo all'ente quale utile strumento di supporto per il corretto trattamento dei dati personali.

In particolare, in questo sesto Quaderno si affrontano i seguenti temi:

- Piano di protezione dei dati (PPD): Sistema di organizzazione e gestione del rischio nella dimensione statica e nella dimensione dinamica: monitoraggio e revisione. Con modello di rilievo a seguito di controllo su trattamento.

- Le modalità di trattamento dei dati personali: I rapporti con l'Autorità di controllo e gli interessati. Con modello di registro Data Breach.

- Sicurezza informatica: Tecniche di implementazione del livello di sicurezza. Innovazioni e intelligenza artificiale.

AUTORI: Nadia Corà Avvocato amministrativista area Legal Tech.;  Matteo Marconato Information Security Manager. Consulente in materia di Intelligenza Artificiale, Big Data e Industria 4.0.

Monica Mandico - Maggioli Editore - 366 pagine

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.
Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo.

Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un'analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto.

Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.
Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. 

Il volume affronta, in particolare, i seguenti settori:
- banche;
- assicurazioni;
- sanità;
- lavoro;
- scuole.

MONICA MANDICO
Già DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Indice

PARTE GENERALE
Capitolo I – GDPR e la normativa domestica
1.0. Aspetti generali. La definizione di “privacy”e la sua evoluzione
1.1. Il Regolamento (UE) 2016/679
1.2. Le principali novità del GDPR
1.3. L’iter del d.lgs. n. 101/2018 e le novità introdotte
Capitolo II – La nuova privacy: principi, diritti e novità
2.0. Il dato personale
2.1. I dati rientranti in particolari categorie
2.2. Il trattamento dei dati
2.3. Doveri – Come trattare correttamente i dati. Principi generali del trattamento di dati personali
2.4. Il principio di liceità del trattamento
2.5. Correttezza e trasparenza del trattamento
2.6. Il principio di accountability
2.7. Il principio del risk based approach
2.8. Privacy by design e privacy by default
2.9. Ambito territoriale di applicazione del Regolamento 2016/679
Capitolo III – I protagonisti del trattamento dati e le figure privacy
3.0. Le parti in gioco. Ambito soggettivo di applicazione
3.1 L’interessato (data subject)
3.2. Il titolare del trattamento (data controller)
3.3. La figura di contitolare del trattamento, (joint controller)
3.4. Il responsabile del trattamento
3.5. Sub-responsabile del trattamento
3.6. La persona autorizzata al trattamento
3.7. Amministratore di sistema
3.8. Il DPO, Data Protection Officer
Capitolo IV – I diritti dell’interessato
4.0. I diritti dell’interessato
4.1. L’informativa
4.2. Accesso e rettifica dati
4.3. Limitazione del trattamento
4.4. Il diritto di opposizione
4.5. Il diritto all’oblio o diritto alla cancellazione
4.6. Il diritto alla portabilità
4.7. Cloud computing – “Proteggere i dati per non cadere dalle nuvole”
4.8. La privacy dei minori
4.9. La profilazione e il processo automatizzato
Capitolo V – Le attività e gli adempimenti
5.0. I registri delle attività del trattamento
5.1. Definizione
5.2. Forma
5.3. Contenuto
5.4. Soggetti interessati
5.5. Le modalità di tenuta, conservazione e di aggiornamento del registro trattamenti
5.6. Registro del responsabile
5.7. Impatto privacy. Valutazione dei rischi e sicurezza del trattamento
5.8. Risk Assessment
5.9. Misure di garanzia
5.10. La valutazione d’impatto sulla protezione dei dati. Data Protection Impact Assessment
5.11. Iter per la valutazione d’impatto
5.12. Il documento di valutazione di impatto privacy e la sua pubblicazione
Capitolo VI – La valutazione d’impatto per la protezione di dati: aspetti pratici e applicativi
6.0. La valutazione d’impatto
6.1. Un possibile approccio nella costruzione di una metodologia di valutazione di impatto
6.2. Gli indicatori di rischio elevato
6.3. I trattamenti valutativi e le decisioni automatizzate
6.4. Il monitoraggio sistematico
6.5. Dati sensibili o dati di natura estremamente personale
6.6. Trattamenti su larga scala
6.7. Raffronto sistematico di basi di dati
6.8. Dati relativi ad interessati vulnerabili
6.9. Fattore di rischio tecnologico
6.10. Metodologie di redazione della DPIA
Capitolo VII – Data breach
7.0. Premessa
7.1. Definizione e tipologie di data breach
7.2. I possibili effetti negativi di una violazione
7.3. La notificazione al Garante
7.4. Comunicazione all’interessato
Capitolo VIII – Il trasferimento dei personali verso paesi o organizzazioni internazionali
8.0. Il trasferimento dati trasfrontalieri. Evoluzione delle regole
8.1. Dal Safe Harbor (Approdo sicuro) alla sentenza Shrems e il Privacy Shield
8.2. Il caso Google Spain
8.3. Il nuovo Regolamento europeo e il trasferimento dati al paese terzo
Capitolo IX – Quadro sanzionatorio
9.0. Il sistema sanzionatorio del GDPR
9.1. Le ipotesi di illeciti amministrativi previste dal Codice privacy
9.2. La procedura sanzionatoria
9.3. Illeciti penali del Codice privacy
9.4. Le responsabilità
PARTE SPECIALE
Capitolo X – Sistemi di certificazione: data protection compliance
10.0. Il sistema delle normative volontarie e la necessità di un approccio integrato
10.1. La gap analysis e i controlli interni. Compliance e misurabilità. Il concetto di PDCA
10.2. I controlli
10.3. Le evidenze oggettive
10.4. Il ciclo di Deming
10.5. Il sistema di gestione per la sicurezza delle informazioni e la ISO 27001:20189
Capitolo XI – Compliance aziendale per data protection nel regolamento europeo 2016/679: l’applicazione del GDPR nelle PMI
11.0. Premessa: la compliance aziendale in materia di Data Protection
11.1. Segue. I nuovi diritti dell’interessato: sulla portabilità del dato
11.2. Il sistema degli adempimenti e la risk analysis: come mettersi in regola
11.3. L’informativa
11.4. Le nomine dei responsabili e degli incaricati
11.5. Segue: il Data Protection Officer
11.6. Il registro dei trattamenti e le misure minime di sicurezza
Capitolo XII – La privacy nel contesto lavorativo
12.0. Premessa
12.1. I soggetti coinvolti in un trattamento dati in ambito lavorativo
12.2. Medico competente
12.3. I consulenti del lavoro
12.4. Monitoraggio nell’attività di lavoro
12.5. Videocamere in ambienti di lavoro
12.6. L’autorizzazione dell’Ispettorato Nazionale del Lavoro
12.7. Sistemi di geolocalizzazione
12.8. La valutazione d’impatto privacy
12.9. Posta elettronica e Internet
12.10. I controlli sulla posta elettronica
12.11. Trattamento di dati idonei a rivelare lo stato di salute dei lavoratori
12.12. Trattamento dati personali contenuti nel curriculum vitae
12.13. Trattamento dati sensibili contenuti in un CV
12.14. Autorizzazione generale n. 1/2016 per il trattamento di categorie particolari di dati nell’ambito dei rapporti di lavoro
Capitolo XIII – Il GDPR applicato al settore sanitario
13.0. Il dato in sanità: evoluzione storica dalla direttiva madre al Regolamento UE 2016/679
13.1. La legislazione italiana: la legge n. 675/1996
13.2. Il decreto legislativo 196/2003
13.3. La ricerca medica, biomedica ed epidemiologica
13.4. I principi introdotti dal Regolamento in ambito sanitario. Inquadramento generale
13.5. I dati particolari: tra divieto di trattamento e nuove basi giuridiche
13.6. La “nuova” informativa
13.7. La conservazione dei dati sanitari
13.8. Cosa cambia per il trattamento dei dati sanitari con il quadro normativo completato dal decreto legislativo 101/2018
13.9. Le finalità di ricerca
13.10. La documentazione sanitaria. Premessa
13.11. La cartella clinica ospedaliera
13.12. La scheda sanitaria e la cartella clinica del medico di base
13.13. La cartella sanitaria elettronica
13.14. Dossier sanitario elettronico
13.15. Le Linee guida del Garante del 4 luglio 2015 sul dossier sanitario
13.16. Il fascicolo sanitario elettronico (il c.d. F.S.E.)
13.17. Il referto on line
Capitolo XIV – La tutela dei dati personali in ambito bancario
14.0. La valutazione d’impatto. Cenni generali
14.1. Le principali criticità nel settore bancario
14.2. Il diritto alla protezione dei dati e la normativa di riferimento dell’attività bancaria
14.3. I codici di condotta
14.4. Il segreto bancario e le illecite comunicazioni dei dati personali
14.5. Le misure di sicurezza. I protocolli delle banche per tutelare i dati personali dei clienti. La sicurezza informatica per enti creditizi e finanziari
L’esternalizzazione delle attività di conservazione dei dati
Capitolo XV – La privacy e il mondo delle assicurazioni
15.0. L’applicazione del GDPR per la Compagnia e per l’agenzia: una corretta governance
15.1. La trasparenza e l’informativa
15.2. La buona pratica che deve seguire un’agenzia
15.3. La digitalizzazione delle attività in ambito assicurativo
15.4. Le assicurazioni ed il trattamento dei dati sanitari
Capitolo XVI – Il GDPR negli studi professionali
16.0. Premessa
16.1. Professionisti e compliance. Principio di accountability
16.2. Mappatura, gestione del rischio e misure di sicurezza
16.3. Privacy Policy
16.4. Consenso
16.5. Strumenti di accountability. Informativa. Registro. DPIA
16.6. Diritti degli interessati e conservazione dei dati
Capitolo XVII – Minori e privacy nelle istituzioni scolastiche
17.0. Premessa
17.1. Il consenso del minore ed i suoi limiti
17.2. Raccolta di dati personali. Legittimità, correttezza e trasparenza
17.3. Limitazione, minimizzazione e accuratezza
17.4. Richieste di accesso ed altri diritti degli interessati
17.5. Il registro dei trattamenti: linee guida per la redazione
17.6. Il ruolo del Data Protection Officer
Capitolo XVIII – Approfondimenti: GDPR - Scuola. Protezione, tutela e gestione dei dati
18.0. Privacy e tutela del minore
18.1. Nuove tecnologie, minori e cyberbullismo
18.2. Immagini, video riprese, smartphone e tablet
18.3. Registrazione della lezione e strumenti compensativi
18.4. Il trattamento e la gestione dei dati
18.5. La scuola (Data Controller)
18.6. Scuole pubbliche e private
18.7. Registro delle attività di trattamento

IASELLI MICHELE - Maggioli Editore - 112 pagine

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. MICHELE IASELLI Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassi- no e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.