Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


GDPR e legge privacy, Appunti di Sicurezza Dei Sistemi Informativi

Parte teorica riguardante il GDPR per sicurezza e gestione dei dati informatici

Tipologia: Appunti

2020/2021
In offerta
30 Punti
Discount

Offerta a tempo limitato


Caricato il 29/06/2021

roberta_pillo
roberta_pillo 🇮🇹

4.7

(4)

5 documenti

1 / 15

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
GDPR = IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (IN INGLESE GENERAL DATA
PROTECTION REGULATION), UFFICIALMENTE REGOLAMENTO (UE) N. 2016/679 È UN REGOLAMENTO
DELL'UNIONE EUROPEA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI E DI PRIVACY, ADOTTATO IL 27
APRILE 2016, PUBBLICATO SULLA GAZZETTA UFFICIALE DELL'UNIONE EUROPEA IL 4 MAGGIO 2016 ED
ENTRATO IN VIGORE IL 24 MAGGIO DELLO STESSO ANNO ED OPERATIVO A PARTIRE DAL 25 MAGGIO 2018.
CON QUESTO REGOLAMENTO, LA COMMISSIONE EUROPEA SI PROPONE COME OBIETTIVO QUELLO DI
RAFFORZARE LA PROTEZIONE DEI DATI PERSONALI DI CITTADINI DELL'UNIONE EUROPEA E DEI RESIDENTI
NELL'UNIONE EUROPEA, SIA ALL'INTERNO CHE ALL'ESTERNO DEI CONFINI DELL'UNIONE EUROPEA (UE),
RESTITUENDO AI CITTADINI IL CONTROLLO DEI PROPRI DATI PERSONALI, SEMPLIFICANDO IL CONTESTO
NORMATIVO CHE RIGUARDA GLI AFFARI INTERNAZIONALI, UNIFICANDO E RENDENDO OMOGENEA LA
NORMATIVA PRIVACY DENTRO L'UE. IL TESTO AFFRONTA ANCHE IL TEMA DELL'ESPORTAZIONE DI DATI
PERSONALI AL DI FUORI DELL'UE E OBBLIGA TUTTI I TITOLARI DEL TRATTAMENTO DEI DATI (ANCHE CON
SEDE LEGALE FUORI DALL'UNIONE EUROPEA) CHE TRATTANO DATI DI RESIDENTI NELL'UNIONE EUROPEA
AD OSSERVARE E ADEMPIERE AGLI OBBLIGHI PREVISTI. DALLA SUA ENTRATA IN VIGORE, IL GDPR HA
SOSTITUITO I CONTENUTI DELLA DIRETTIVA SULLA PROTEZIONE DEI DATI (DIRETTIVA 95/46/CE) E, IN
ITALIA, HA ABROGATO GLI ARTICOLI DEL CODICE PER LA PROTEZIONE DEI DATI PERSONALI (D.Lgs N.
196/2003) CON ESSO INCOMPATIBILI.
WHISTLE BLOWER = SEGNALATORE DI ILLECITI O DI CASI DI CORRUZIONE
DATO PERSONALE = DATI CHE INSERIAMO PER DETERMINATE OPERAZIONI. CON QUESTI DATI SI RIESCE A
RISALIRE AL SOGGETO INTERESSATO.
QUANDO PARLIAMO DI DATI, OVVIAMENTE CI RIFERIAMO AI DATI SENSIBILI. ESEMPI DI DATI SENSIBILI
SONO I CERTIFICATI MEDICI E I DATI GIUDIZIARI. DATI COME NUMERI DELLE CARTE DI CREDITO O I
TABULATI TELEFONICI NON SONO INVECE DATI SENSIBILI.
DATA CENTER = EDIFICI IN CUI SI TROVANO I SERVER CON ALL’INTERNO I DATI INSERITI. QUESTI DATA
CENTER VENGONO PROTETTI DALLA NORMATIVA EUROPEA PERCHÉ APPUNTO TRATTANO DATI DI
CITTADINI EUROPEI. LE SEDI DEI DATA CENTER SONO SPARSE IN TUTTO IL MONDO E PRINCIPALMENTE SI
TROVANO IN LUOGHI FREDDI. OVVIAMENTE L’ACCESSO È CONSENTITO SOLO AI DIPENDENTI AUTORIZZATI.
LE GRANDI SOCIETÀ HANNO DATA SERVER SPARSI PER IL MONDO (ESEMPIO GOOGLE CHE HA PIÙ DATA
CENTER IN GIRO PER IL MONDO, DATO CHE OGNI PAESE HA LA SUA NORMATIVA).
DATA BREACH = LA MODIFICA, LA DIVULGAZIONE NON AUTORIZZATA O L'ACCESSO,IN MODO
ACCIDENTALE O ILLECITO,AI DATI PERSONALI TRASMESSI,CONSERVATI O COMUNQUE TRATTATI. LA
SOCIETÀ DEVE COMUNQUE MOSTRARE CHE NONOSTANTE IL DATA BREACH SUBITO, ABBIA PRESO TUTTE
LE DOVUTE PREUCAZIONI.
PRINCIPIO DI RESPONSABILIZZAZIONE O ACCOUNTABILITY = IL TITOLARE DEL TRATTAMENTO DOVRÀ
COMPROVARE L'ADOZIONE DI POLITICHE PRIVACY E DI MISURE TECNICHE E ORGANIZZATIVE ADEGUATE
PER GARANTIRE(E QUINDI ESSERE SEMPRE ANCHE IN GRADO DI DIMOSTRARE) LA CONFORMITÀ AL
REGOLAMENTO.
PROATTIVITÀ = È L’APPLICAZIONE OPERATIVA DEL PRINCIPIO DI RENDICONTAZIONE (O DI
"ACCOUNTABILITY"), SECONDO CUI IL TITOLARE DEL TRATTAMENTO DEVE CONSERVARE LA
DOCUMENTAZIONE DI TUTTI I TRATTAMENTI EFFETTUATI SOTTO LA PROPRIA RESPONSABILITÀ, INDICANDO
OBBLIGATORIAMENTE - PER OGNUNO DI ESSI - UNA SERIE NUTRITA DI INFORMAZIONI,TALI DA ASSICURARE
E COMPROVARE LA CONFORMITÀ DI CIASCUNA OPERAZIONE ALLE DISPOSIZIONI DEL REGOLAMENTO.
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
Discount

In offerta

Anteprima parziale del testo

Scarica GDPR e legge privacy e più Appunti in PDF di Sicurezza Dei Sistemi Informativi solo su Docsity!

GDPR = IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (IN INGLESE GENERAL DATA

PROTECTION REGULATION ), UFFICIALMENTE REGOLAMENTO (UE) N. 2016/679 È UN REGOLAMENTO

DELL'UNIONE EUROPEA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI E DI PRIVACY, ADOTTATO IL 27

APRILE 2016, PUBBLICATO SULLA GAZZETTA UFFICIALE DELL'UNIONE EUROPEA IL 4 MAGGIO 2016 ED

ENTRATO IN VIGORE IL 24 MAGGIO DELLO STESSO ANNO ED OPERATIVO A PARTIRE DAL 25 MAGGIO 2018.

CON QUESTO REGOLAMENTO, LA COMMISSIONE EUROPEA SI PROPONE COME OBIETTIVO QUELLO DI

RAFFORZARE LA PROTEZIONE DEI DATI PERSONALI DI CITTADINI DELL'UNIONE EUROPEA E DEI RESIDENTI

NELL'UNIONE EUROPEA, SIA ALL'INTERNO CHE ALL'ESTERNO DEI CONFINI DELL'UNIONE EUROPEA (UE),

RESTITUENDO AI CITTADINI IL CONTROLLO DEI PROPRI DATI PERSONALI, SEMPLIFICANDO IL CONTESTO

NORMATIVO CHE RIGUARDA GLI AFFARI INTERNAZIONALI, UNIFICANDO E RENDENDO OMOGENEA LA

NORMATIVA PRIVACY DENTRO L'UE. IL TESTO AFFRONTA ANCHE IL TEMA DELL'ESPORTAZIONE DI DATI

PERSONALI AL DI FUORI DELL'UE E OBBLIGA TUTTI I TITOLARI DEL TRATTAMENTO DEI DATI (ANCHE CON

SEDE LEGALE FUORI DALL'UNIONE EUROPEA) CHE TRATTANO DATI DI RESIDENTI NELL'UNIONE EUROPEA

AD OSSERVARE E ADEMPIERE AGLI OBBLIGHI PREVISTI. DALLA SUA ENTRATA IN VIGORE, IL GDPR HA

SOSTITUITO I CONTENUTI DELLA DIRETTIVA SULLA PROTEZIONE DEI DATI (DIRETTIVA 95/46/CE) E, IN

ITALIA, HA ABROGATO GLI ARTICOLI DEL CODICE PER LA PROTEZIONE DEI DATI PERSONALI (D.Lgs N. 196/2003) CON ESSO INCOMPATIBILI. WHISTLE BLOWER = SEGNALATORE DI ILLECITI O DI CASI DI CORRUZIONE DATO PERSONALE = DATI CHE INSERIAMO PER DETERMINATE OPERAZIONI. CON QUESTI DATI SI RIESCE A RISALIRE AL SOGGETO INTERESSATO. QUANDO PARLIAMO DI DATI, OVVIAMENTE CI RIFERIAMO AI DATI SENSIBILI. ESEMPI DI DATI SENSIBILI SONO I CERTIFICATI MEDICI E I DATI GIUDIZIARI. DATI COME NUMERI DELLE CARTE DI CREDITO O I TABULATI TELEFONICI NON SONO INVECE DATI SENSIBILI. DATA CENTER = EDIFICI IN CUI SI TROVANO I SERVER CON ALL’INTERNO I DATI INSERITI. QUESTI DATA CENTER VENGONO PROTETTI DALLA NORMATIVA EUROPEA PERCHÉ APPUNTO TRATTANO DATI DI CITTADINI EUROPEI. LE SEDI DEI DATA CENTER SONO SPARSE IN TUTTO IL MONDO E PRINCIPALMENTE SI TROVANO IN LUOGHI FREDDI. OVVIAMENTE L’ACCESSO È CONSENTITO SOLO AI DIPENDENTI AUTORIZZATI. LE GRANDI SOCIETÀ HANNO DATA SERVER SPARSI PER IL MONDO (ESEMPIO GOOGLE CHE HA PIÙ DATA CENTER IN GIRO PER IL MONDO, DATO CHE OGNI PAESE HA LA SUA NORMATIVA). DATA BREACH = LA MODIFICA, LA DIVULGAZIONE NON AUTORIZZATA O L'ACCESSO,IN MODO ACCIDENTALE O ILLECITO,AI DATI PERSONALI TRASMESSI,CONSERVATI O COMUNQUE TRATTATI. LA SOCIETÀ DEVE COMUNQUE MOSTRARE CHE NONOSTANTE IL DATA BREACH SUBITO, ABBIA PRESO TUTTE LE DOVUTE PREUCAZIONI. PRINCIPIO DI RESPONSABILIZZAZIONE O ACCOUNTABILITY = IL TITOLARE DEL TRATTAMENTO DOVRÀ COMPROVARE L'ADOZIONE DI POLITICHE PRIVACY E DI MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE(E QUINDI ESSERE SEMPRE ANCHE IN GRADO DI DIMOSTRARE) LA CONFORMITÀ AL REGOLAMENTO. PROATTIVITÀ = È L’APPLICAZIONE OPERATIVA DEL PRINCIPIO DI RENDICONTAZIONE (O DI "ACCOUNTABILITY"), SECONDO CUI IL TITOLARE DEL TRATTAMENTO DEVE CONSERVARE LA DOCUMENTAZIONE DI TUTTI I TRATTAMENTI EFFETTUATI SOTTO LA PROPRIA RESPONSABILITÀ, INDICANDO OBBLIGATORIAMENTE - PER OGNUNO DI ESSI - UNA SERIE NUTRITA DI INFORMAZIONI,TALI DA ASSICURARE E COMPROVARE LA CONFORMITÀ DI CIASCUNA OPERAZIONE ALLE DISPOSIZIONI DEL REGOLAMENTO.

PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER IMPOSTAZIONE PREDEFINITA

(ART. 25)

• PRINCIPIO DELLA «PRIVACY BY DESIGN» FIN DALL'ATTO DELLA PROGETTAZIONE E PRIMA

DELL'ESECUZIONE DEL TRATTAMENTO PREVEDERE ADEGUATE MISURE TECNICHE ED

ORGANIZZATIVE.

• PRINCIPIO DELLA «PRIVACY BY DEFAULT» CHE RICALCA IL PRINCIPIO DI NECESSITÀ;

TRATTAMENTO SOLAMENTE PER LE FINALITÀ PREVISTE E PER IL PERIODO STRETTAMENTE

NECESSARIO A TALI FINI.

DPO DATA PROTECTION OFFICIER (ART.37/39) = IL DPO È IL RESPONSABILE PER LA PROTEZIONE DEI DATI

ED È OBBLIGATORIO NOMINARLO QUANDO :

- IL TRATTAMENTO È EFFETTUATO DA UN'AUTORITÀ PUBBLICA O DA UN ORGANISMO PUBBLICO;

- LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO

CONSISTONO IN TRATTAMENTI CHE, PER LORO NATURA, AMBITO DI APPLICAZIONE E/O FINALITÀ,

RICHIEDONO IL MONITORAGGIO REGOLARE E SISTEMATICO DEGLI INTERESSATI SU LARGA SCALA;

- LE ATTIVITÀ PRINCIPALI DEL TITOLARE DEL TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO

CONSISTONO NEL TRATTAMENTO,SU LARGA SCALA,DI CATEGORIE PARTICOLARI DI DATI PERSONALI O DI

DATI RELATIVI A CONDANNE PENALI E A REATI.

IL DPO SI AFFIANCA AI RUOLI GIÀ PRESENTI NEL VIGENTE CODICE PRIVACY DI “TITOLARE”, “RESPONSABILE”

E “INCARICATO” DEL TRATTAMENTO DEI DATI. IL DPO DEVE ESSERE NOMINATO ANCHE DAL RESPONSABILE

DEL TRATTAMENTO QUANDO TRATTA I DATI DI UN TITOLARE OBBLIGATO.

I COMPITI DEL DPO SONO (ART.39) :

A) INFORMARE E FORNIRE CONSULENZA AL TITOLARE DEL TRATTAMENTO O AL RESPONSABILE DEL

TRATTAMENTO NONCHÉ AI DIPENDENTI;

B) SORVEGLIARE L'OSSERVANZA DEL PRESENTE REGOLAMENTO, DI ALTRE DISPOSIZIONI DELL'UNIONE ODE

GLI STATI MEMBRI RELATIVE ALLA PROTEZIONE DEI DATI NONCHÉ DELLE POLITICHE DEL TITOLARE DEL

TRATTAMENTO O DEL RESPONSABILE DEL TRATTAMENTO IN MATERIA DI PROTEZIONE DEI DATI

PERSONALI, COMPRESI L'ATTRIBUZIONE DELLE RESPONSABILITÀ, LA SENSIBILIZZAZIONE E LA FORMAZIONE

DEL PERSONALE CHE PARTECIPA AI TRATTAMENTI E ALLE CONNESSE ATTIVITÀ DI CONTROLLO;

C)FORNIRE,SE RICHIESTO, UN PARERE IN MERITO ALLA VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI

DATI E SORVEGLIARNE LO SVOLGIMENTO AI SENSI DELL'ARTICOLO 35 (PIA);

D) COOPERARE CON L'AUTORITÀ DI CONTROLLO;

E)FUNGERE DA PUNTO DI CONTATTO PER L'AUTORITÀ DI CONTROLLO PER QUESTIONI CONNESSE AL

TRATTAMENTO, TRA CUI LA CONSULTAZIONE PREVENTIVA DI CUI ALL'ARTICOLO 36(CONSULTAZIONE

PREVENTIVA), E DI EFFETTUARE, SE DEL CASO, CONSULTAZIONI RELATIVAMENTE A QUALUNQUE ALTRA

QUESTIONE;

TITOLARE, ATTRAVERSO IL RESPONSABILE DELLA PROTEZIONE DEI DATI, PREDISPONE ED AGGIORNA

ANNUALMENTE UN MODELLO DI ORGANIZZAZIONE E CONTROLLO SUL CORRETTO TRATTAMENTO DEI DATI

PERSONALI (REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO) ATTRAVERSO IL QUALE DIMOSTRARE CHE

L’ORGANIZZAZIONE TITOLARE VIGILA E DICHIARA COME TUTELA ED INTENDE POTENZIARE LE MISURE DI

SICUREZZA DA ATTUARE PER LA PROTEZIONE DEI DATI PERSONALI A LEI AFFIDATI.

RESPONSABILE DEL TRATTAMENTO (ART. 4.8; ART. 28) = IL RESPONSABILE DEL TRATTAMENTO È LA

PERSONA FISICA O GIURIDICA, L'AUTORITÀ PUBBLICA, IL SERVIZIO O ALTRO ORGANISMO CHE TRATTA

DATI PERSONALI PER CONTO DEL TITOLARE DEL TRATTAMENTO. DEVE DARE GARANZIE SUFFICIENTI PER

METTERE IN ATTO MISURE TECNICHE E ORGANIZZATIVE ADEGUATE IN MODO TALE CHE IL TRATTAMENTO

SODDISFI I REQUISITI DELLA NORMATIVA PRIVACY E GARANTISCA LA TUTELA DEI DIRITTI

DELL'INTERESSATO. IL RESPONSABILE DEL TRATTAMENTO PUÒ RICORRERE A UN ALTRO RESPONSABILE

PREVIA AUTORIZZAZIONE SCRITTA,SPECIFICA O GENERALE, DEL TITOLARE DEL TRATTAMENTO. NEL CASO

DI AUTORIZZAZIONE SCRITTA GENERALE, IL RESPONSABILE INFORMA IL TITOLARE DEL TRATTAMENTO DI

EVENTUALI MODIFICHE PREVISTE RIGUARDANTI L'AGGIUNTA O LA SOSTITUZIONE DI ALTRI RESPONSABILI,

DANDO COSÌ AL TITOLARE L'OPPORTUNITÀ DI OPPORSI A TALI MODIFICHE. QUANDO UN RESPONSABILE

DEL TRATTAMENTO RICORRE A UN ALTRO RESPONSABILE , SU QUEST’ULTIMO SONO IMPOSTI, MEDIANTE

UN CONTRATTO O UN ALTRO ATTO GIURIDICO, GLI STESSI OBBLIGHI IN MATERIA DI PROTEZIONE DEI DATI

CONTENUTI NEL CONTRATTO O IN ALTRO ATTO GIURIDICO TRA IL TITOLARE DEL TRATTAMENTO E IL

RESPONSABILE DEL TRATTAMENTO. QUALORA L'ALTRO RESPONSABILE OMETTA DI ADEMPIERE AI PROPRI

OBBLIGHI, IL RESPONSABILE INIZIALE CONSERVA NEI CONFRONTI DEL TITOLARE L'INTERA RESPONSABILITÀ

DELL'ADEMPIMENTO DEGLI OBBLIGHI DELL'ALTRO RESPONSABILE.

CONTITOLARI DEL TRATTAMENTO (ART.26) = E’ PREVISTA LA COESISTENZA DI DUE TITOLARI IN MERITO

ALLO STESSO TRATTAMENTO. CIÒ SI VERIFICA NEL CASO IN CUI I DIVERSI TITOLARI DETERMINANO

CONGIUNTAMENTE LE FINALITÀ E I MEZZI DEL TRATTAMENTO; SONO DEFINITI CONTITOLARI DEL

TRATTAMENTO.

PERSONE AUTORIZZATE AL TRATTAMENTO = IL REGOLAMENTO FA DIFFUSAMENTE RIFERIMENTO

ALLE «PERSONE AUTORIZZATE AL TRATTAMENTO DEI DATI PERSONALI» DAL TITOLARE O DAL

RESPONSABILE AL TRATTAMENTO LE QUALI, DEVONO ESSERE FORMATE ED ISTRUITE AL TRATTAMENTO DEI

DATI PERSONALI OLTRE CHE SOTTOSTARE AD OBBLIGHI DI RISERVATEZZA.

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO ART.30 = OGNI TITOLARE DEL TRATTAMENTO (E ANCHE

OGNI RESPONSABILE ESTERNO DEL TRATTAMENTO) TIENE UN REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

SVOLTE SOTTO LA PROPRIA RESPONSABILITÀ. NON È SEMPRE OBBLIGATORIO ED È UNA FOTOGRAFIA

DELLA SITUAZIONE DEI TRATTAMENTI SUI DATI.

IL REGISTRO DEVE RIPORTARE :

• GLI ESTREMI DEL TITOLARE O DEL RESPONSABILE DEL TRATTAMENTO E, OVE PRESENTE, DEL

RESPONSABILE DELLA PROTEZIONE DEI DATI;

• LE FINALITÀ DEL TRATTAMENTO;

• UNA DESCRIZIONE DELLE CATEGORIE DI INTERESSATI E DI DATI OGGETTO DEL TRATTAMENTO E

DELLE CATEGORIE DI DESTINATARI CUI I DATI VENGONO COMUNICATI;

• OVE APPLICABILE, I TRASFERIMENTI DI DATI PERSONALI VERSO UN PAESE TERZO O

UN'ORGANIZZAZIONE INTERNAZIONALE;

• OVE POSSIBILE, I TERMINI ULTIMI PREVISTI PER LA CANCELLAZIONE DELLE DIVERSE CATEGORIE DI

DATI;

• OVE POSSIBILE, UNA DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA TECNICHE E

ORGANIZZATIVE.

SICUREZZA DEL TRATTAMENTO E MISURE DI SICUREZZA (ART. 32)

IERI

QUELLE MISURE MINIME (PREDEFINITE ED INDICATE NELL’ALLEGATO B AL CODICE PRIVACY);

QUELLE IDONEE (INDIVIDUATE A SEGUITO DI ANALISI DEL RISCHIO E IN RELAZIONE ALLE CONOSCENZE

ACQUISITE, AL PROGRESSO TECNOLOGICO, ALLA NATURA DEI DATI ED ALLE SPECIFICHE DEL

TRATTAMENTO);

QUELLE PRESCRITTE DAL GARANTE PRIVACY (MEDIANTE I PROVVEDIMENTI GENERALI E SPECIFICI).

OGGI

IL TITOLARE DEL TRATTAMENTO DEVE METTERE IN ATTO MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE

PER GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AL RISCHIO. ANALISI DEI RISCHI CHE VIENE

FATTA SUL FLUSSO DEL TRATTAMENTO DEI DATI

MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AL

RISCHIO, CHE COMPRENDONO, TRA LE ALTRE,SE DEL CASO:

A)LA PSEUDONIMIZZAZIONE E LA CIFRATURA DEI DATI PERSONALI;

B)LA CAPACITÀ DI ASSICURARE SU BASE PERMANENTE LA RISERVATEZZA, L'INTEGRITÀ, LA DISPONIBILITÀ E

LA RESILIENZA DEI SISTEMI E DEI SERVIZI DI TRATTAMENTO;

C) LA CAPACITÀ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITÀ E L'ACCESSO DEI DATI PERSONALI

IN CASO DI INCIDENTE FISICO O TECNICO;

D)UNA PROCEDURA PER TESTARE, VERIFICARE E VALUTARE REGOLARMENTE L'EFFICACIA DELLE MISURE

TECNICHE E ORGANIZZATIVE AL FINE DI GARANTIRE LA SICUREZZA DEL TRATTAMENTO».

PROCESSO = ORGANIZZAZIONE DEI FLUSSI DEI LAVORI

AMMINISTRATORE DEL SISTEMA = “GUARDIANO” DEI SERVER, L’UNICO CHE HA LA CHIAVE PER ACCEDERE E

MODIFICARE I DATI DEL SERVER

COMPUTER FORENSICS

SULLA SCENA DEL CRIMINE CI SONO TANTE PROVE DA ACQUISIRE. CON IL DIFONDERSI DELLE NUOVE

TECNOLOGIE, TANTE TRACCE DIGITALI SONO PIÙ FACILI DA ACQUISIRE E DIVENTA PIÙ FACILE SCOPRIRE CHI

È STATO A COMMETTERE IL REATO O A CAPIRE L’ORA DEL DECESSO. UN ESEMPIO DI QUESTE NUOVE

TECNOLOGIE, OLTRE AI TELEFONI E I PC, SONO GLI SMART ASSISTANT COME AMAZON ECHO.

UNO SCREENSHOT, UN FILE SENZA UNA GARANZIA DI AFFIDABILITÀ DEL DATO, PUÒ ESSERE POLIFICATO

(ALTERATO). QUINDI COME ACQUISIRE CORRETTAMENTE QUESTE TRACCE?

IMPEDIRE L’ALTERAZIONE, L’IMMODIFICABILITÀ, L’INTEGRITÀ E LA VOLATILITÀ DEL DATO.

HASH

L'HASH È UNA FUNZIONE UNIVOCA OPERANTE IN UN SOLO SENSO (OSSIA, CHE NON PUÒ ESSERE

INVERTITA), ATTA ALLA TRASFORMAZIONE DI UN TESTO DI LUNGHEZZA ARBITRARIA IN UNA STRINGA DI

LUNGHEZZA FISSA, RELATIVAMENTE LIMITATA. TALE STRINGA RAPPRESENTA UNA SORTA DI " IMPRONTA

DIGITALE " DEL TESTO IN CHIARO, E VIENE DETTA VALORE DI HASH, CHECKSUM CRITTOGRAFICO O

MESSAGE DIGEST.

CI SONO DUE SISTEMI PER RICAVARE L’HASH E SONO MD5 E SHA1.

APRIRE E CHIUDERE UN FILE NON COMPORTA LA MODIFICA DELL’HASH, MENTRE L’APERTURA E LA

MODIFICA DEL FILE PORTA AL CAMBIO DI HASH. QUESTO PERCHÉ VIENE MODIFICATO IL METADATO.

ACQUISIZIONE PROBATORIA LEGGE 48

ACQUISIZIONE PAGINA WEB

LA CASSAZIONE SEZ. LAVORO N. 2912/04 DEL 18.2.2004 SULLE PAGINE WEB DICE:

“LE INFORMAZIONI TRATTE DA UNA RETE TELEMATICA SONO PER NATURA VOLATILI E SUSCETTIBILI DI

CONTINUA TRASFORMAZIONE E, A PRESCINDERE DALLA RITUALITÀ DELLA PRODUZIONE, VA ESCLUSA LA

QUALITÀ DI DOCUMENTO IN UNA COPIA SU SUPPORTO CARTACEO CHE NON RISULTI ESSERE STATA

RACCOLTA CON GARANZIE DI RISPONDENZA ALL’ORIGINALE E DI RIFERIBILITÀ AD UN BEN INDIVIDUATO

MOMENTO”

ITER : PERCORSO DEL MESSAGGIO CHE CI PERMETTE DI CAPIRE SE È VERO O MENO.

ACQUISIZIONE DI UN FILE SU SERVER DI UNA BANCA

CASS. 12 DICEMBRE 2008-13 MARZO 2009 N. 11135, B.

L'ESPERIBILITÀ DELLE PROCEDURE DI HASHING, OSSIA DELLE TECNICHE VOLTE A VERIFICARE L'INTEGRITÀ

E LA CONFORMITÀ ALL'ORIGINALE DEL DATO INFORMATICO SEQUESTRATO E CONSERVATO IN COPIA SU

UN APPOSITO SUPPORTO (NELLA SPECIE CD-ROM), È UNA QUESTIONE DI MERITO, POTENDOSI IN SEDE DI

LEGITTIMITÀ ESCLUSIVAMENTE DELIBARE SE GLI ACCORGIMENTI ADOTTATI DALLA POLIZIA GIUDIZIARIA

DELEGATA SIANO O MENO IDONEI IN ASTRATTO A TUTELARE LE FINALITÀ INDICATE DAL LEGISLATORE

NEGLI ARTICOLI 247, COMMA 1-BIS, E 354, COMMA 2, DEL C.P.P. PER COME MODIFICATI DALLA LEGGE

48/2008 DI RATIFICA DELLA CONVENZIONE DEL CONSIGLIO D'EUROPA SUL CYBERCRIME.

CASS. 2 LUGLIO 2019, N. 31593 – NON SI PUÒ SEQUESTRARE INDISTINTAMENTE TUTTO IL MATERIALE

INFORMATICO (ARCHIVIO INFORMATICO/PC) SENZA MOTIVAZIONE

LA CASSAZIONE E LA LETTURA “POST MORTEM” DEL PC. RIPETIBILTÀ.

CASS. SEZ. 1, DEL 25/02/2009, N.11503 (DEP.16/03/2009)DELL'AVERS.

IPOTESI DI ANALISI/LETTURA DEL PC IN ASSENZA DEI DIFENSORI IN ASSENZA DI UNA ACCERTATA

ALTERAZIONE DEL DISCO INFORMATICO, TRA L’ALTRO APPARTENENTE AD UN TERZO SOGGETTO.

NON DÀ LUOGO AD ACCERTAMENTO TECNICO IRRIPETIBILE LA LETTURA DELL' "HARD DISK" DI UN

COMPUTER SEQUESTRATO, CHE È ATTIVITÀ DI POLIZIA GIUDIZIARIA VOLTA, ANCHE CON URGENZA,

ALL'ASSICURAZIONE DELLE FONTI DI PROVA. E’ QUINDI RIPETIBILE.

IL FILE VIENE CRISTALIZZATO PRIMA CON LA VERIFICA DELL’HASH TRA L’ORIGINALE E LA COPIA E DOPO

MASTERIZZARLO SU UN CD. LA COPIA È UGUALE E PER VERIFICARE BASTA CALCOLARE L’HASH

CONFRONTANDOLO CON QUELLO PRECEDENTE.

FLUSSO CIFRATO : NON SI RIESCE A DECIFRARLO E NON È POSSIBILE IDENTIFICARLO. UN ESEMPIO DI

FLUSSO CIFRATO LO È UNA PAGINA CHE HA COME CERTIFICATO DI CIFRATURA HTTPS.

IL VALORE PROBATORIO DELLE CHAT

Cass, V penale, Sez. 25 ottobre 2017, n. 490 16 Cass. sez. V Penale, 20 febbraio 2019, n. 7904 IL VALORE PROBATORIO DELLE CHAT E NECESSITÀ DELL’ESAME DEL SUPPORTO CASS, V SEZ. 25 OTTOBRE 2017, N. 49016 L’UTILIZZABILITÀ DELLA TRASCRIZIONE DI CONVERSAZIONI, EFFETTUATE VIA CHAT (ES.‘WHATSAPP’) E REGISTRATE DA UNO DEGLI INTERLOCUTORI, È CONDIZIONATA DALL'ACQUISIZIONE DEL SUPPORTO - TELEMATICO O FIGURATIVO CONTENENTE LA MENZIONATA REGISTRAZIONE, PERCHÉ OCCORRE CONTROLLARE L'AFFIDABILITÀ DELLA PROVA MEDESIMA MEDIANTE L'ESAME DIRETTO DEL SUPPORTO ONDE VERIFICARE CON CERTEZZA SIA LA PATERNITÀ DELLE REGISTRAZIONI SIA L'ATTENDIBILITÀ DI QUANTO DA ESSE DOCUMENTATO. VALENZA DEGLI SCREENSHOT ESTRAPOLATI DAL 'DISPLAY’ CASS. SEZ. V PENALE, 17 GENNAIO – 20 FEBBRAIO 2019, N. 7904 RICORSO IN CASSAZIONE PER :

  • VIZIO DI VIOLAZIONE DI LEGGE, IN RELAZIONE ALL'ART. 234 COD. PROC. PEN., PER ESSERE INUTILIZZABILI LE TRASCRIZIONI DELLE CONVERSAZIONI EFFETTUATE TRAMITE 'WHATSAPP' NON ESSENDONE STATO ACQUISITO IL RELATIVO SUPPORTO DELLA PERSONA OFFFESA, IL QUALE SOLO COSTITUISCE LA PROVA DOCUMENTALE DELLE CONVERSAZIONI MEDESIME MA LA CORTE DI CASSAZIONE HA MOTIVATO CHE IL RICORSO OMETTE DI INDICARE L'INCIDENZA DELL'EVENTUALE ELIMINAZIONE DELL'ELEMENTO DI PROVA RITENUTO INUTILIZZABILE - NEL CASO DI SPECIE LE TRASCRIZIONI DELLE CONVERSAZIONI "WHATSAPP" - AI FINI DELLA COSIDDETTA "PROVA DI RESISTENZA. SECONDO LA CORTE, GLI ELEMENTI DI PROVA ACQUISITI ILLEGITTIMAMENTE DIVENTANO IRRILEVANTI ED ININFLUENTI SE, NONOSTANTE LA LORO ESPUNZIONE, LE RESIDUE RISULTANZE RISULTINO SUFFICIENTI A GIUSTIFICARE L'IDENTICO CONVINCIMENTO ANCHE SENZA IL SUPPORTO IL MESSAGGIO INCRIMINATO E PRESENTE IN UNA CHAT (NDR ES., WHATSAPP, WECHAT,TELEGRAM, SIGNAL) PUÒ ENTRARE NELLE AULE PROCESSUALI MEDIANTE LO SCREENSHOT DEL DISPLAY DI UNO SMARTPHONE È CERTAMENTE UTILIZZABILE ALLA STREGUA DI PROVA DOCUMENTALE AI SENSI DELL'ART. 234 COD.PROC.PEN. , CHE CONSENTE « L'ACQUISIZIONE DI SCRITTI O ALTRI DOCUMENTI CHE RAPPRESENTANO FATTI, PERSONE O COSE MEDIANTE LA FOTOGRAFIA, LA CINEMATOGRAFIA O QUALSIASI ALTRO MEZZO» E DELLA QUALE NON È DISCONOSCIUTA LA GENUINITÀ

TECNICHE E DI PROCEDURE IDONEE A GARANTIRE LA CONSERVAZIONE DEI DATI INFORMATICI ORIGINALI E

LA CONFORMITÀ ED IMMODIFICABILITÀ DELLE COPIE ESTRATTE PER EVITARE IL RISCHIO DI ALTERAZIONI,

SENZA IMPORRE MISURE E PROCEDURE TIPIZZATE.

(FATTISPECIE IN CUI LA CORTE HA RIGETTATO IL MOTIVO DI RICORSO GENERICAMENTE FONDATO SULLA

MANCATA INDICAZIONE, DA PARTE DEL CONSULENTE TECNICO DEL PM, DEL CD. VALORE "HASH" DEI FILES

OTTENUTI DAI SUPPORTI INFORMATICI, IN ASSENZA PERALTRO DI CONTESTAZIONE CIRCA LA MANCATA

CORRISPONDENZA FRA LE COPIE ESTRATTE E I DATI ORIGINARIAMENTE PRESENTI SUI SUPPORTI

INFORMATICI NELLA DISPONIBILITÀ DELL'IMPUTATO).

ACCESSO ALLA CASELLA BOZZE DI UN ACCOUNT HOTMAIL

QUESTO TIPO DI ACCESSO NON È FACILE PERCHÉ C’È IL BISOGNO DI ACQUISIRE USERNAME E PASSWORD.

L’ACCESSO AVVIENE CON UN TROJAN CHE INFETTA TUTTI GLI INTERNET POINT, IN MODO TALE DA

TROVARE USERNAME E PASSWORD. LA PG FA FOTO E CAPTA LO SCAMBIO DI MESSAGGI. IL DOCUMENTO

NON È PIÙ UNA GARANZIA DI DIFESA. QUESTO PERCHÉ NON C’È STATA NESSUN VIOLAZIONE. NON C’È LA

VIOLAZIONE (614 CPP) PERCHÉ L’INGRESSO NEL DOMICILIO INFORMATICO, ALL’INSAPUTA DEL SOGGETTO,

DEVE ESSERE AUTORIZZATO DAL P.M.

LEGGE N.43 21/04/2015 LEGGE ANTITERRORISMO (ART.234 BIS)

NON C’È IL BISOGNO DEL CONSENSO DEL LEGITTIMO TITOLARE ED È SEMPRE LEGITTIMA L’ACQUISIZIONE

DI DOCUMENTI E DATI INFORMATICI. NEL CASO DI QUELLI CONSERVATI ALL’ESTERO, è SEMPRE CONSENTITA L’ACQUISIZIONE, ANCHE DIVERSI DA QUELLI DISPONIBILI PUBBLICAMENTE PREVIO CONSENSO ,NELL’ULTIMO CASO, DEL LEGITTIMO TITOLARE. PROFILARE : STUDIARE GLI INTERESSI DEL SOGGETTO ES. COOKIES DEL PC L’INFORMATIVA SULLA PRIVACY È PIÙ IMPORTANTE DEL CONSENSO DEL TRATTAMENTO DEI DATI PERCHÉ L’INFORMATIVA FA CAPIRE COSA FA IL TITOLARE CON I DATI E PER COMPRENDERE LA FINALITÀ DI QUESTI. IMPORTANTISSIMA NELLA P.A. CHE NON HA BISOGNO DEL CONSENSO, TRANNE PER PROFILARCI, PER CAPIRE LE NOSTRE SPESE PUBBLICHE E PER PREVEDERE SE NOI EVADIAMO O TRUFFIAMO. UNA DELLE CARATTERISTICHE PIÙ IMPORTANTI DELL’INFORMATIVA È QUELLA DI SAPERLA SCRIVERE BENE. PER SCRIVERLA BENE BISOGNA AVERE UNA CONOSCENZA E LA PRESA VISIONE DEGLI ARTICOLI PREVISTI DALLA GDPR (ART.13). L’INFORMATIVA È UN CONTRATTO E AL SUO INTERNO CONTIENE :

  • DIRITTI DELL’INTERESSATO;
  • MODALITÀ DI INSERIMENTO DEI DATI; ELEMENTI IMPORTANTI INFORMATIVA SULLA PRIVACY
  • IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO;
  • DATI DI CONTATTO DEL RESPONSABILE ;
  • LE FINALITÀ DEL TRATTAMENTO CUI SONO DESTINATI I DATI PERSONALI, NONCHÉ LA BASE GIURIDICA;
  • LEGGITTIMI INTERESSI PERSEGUITI DAL TITOLARE;

• EVENTUALI DESTINATARI;

• L’INTENZIONE DEL TITOLARE;

• DIRITTO DI PROPORRE RECLAMO ALL’AUTORITÀ DI CONTROLLO (GARANTE PRIVACY).

LA COSA PIÙ DIFFICILE DA INDICARE NELL’INFORMATIVA È IL PERIODO DI CANCELLAZIONE DEI DATI.

QUESTO PERCHÉ IN BASE ALL’INFORMATIVA CHE SI VA A COMPILARE, VARIA ANCHE IL PERIODO DI

CANCELLAZIONE DATI, CIOÈ QUANDO POSSIAMO CANCELLARE I DATI E SOPRATTUTTO PER QUANTO

TEMPO QUESTI VENGONO ANCORA TRATTENUTI DAL RESPONSABILE DEL TRATTAMENTO.

STRUTTURA INFORMATIVA SULLA PRIVACY BASATA SULL’INFORMATIVA DI KOBO RAKUTEN

RACCOLTA INFORMAZIONI PERSONALI

• REGISTRARE UN ACCOUNT

• VISITARE SITO WEB

• ORDINARE I PRODOTTI

• ACCEDERE ALLA PIATTAFORMA

• CONTATTARE L’ASSISTENZA

INFORMAZIONI CHE RICHIEDONO

• NOME E PROFESSIONE

• RECAPITO E INDIRIZZO E-MAIL

• TIPO DI PRODOTTO E SERVIZIO RICHIESTO

• CONNESIONE E DETTAGLI SULL’UTILIZZO DEL SERVIZIO

• INFORMAZIONI DEL PAGAMENTO E INFORMAZIONI CORRELATE CHE POTREBBERO ESSERE

NECESSARIE PER SODDISFARE LA TUA RICHIESTA

COOKIE E ALTRI STRUMENTI SIMILI

• COOKIE CON HTTP

• TRATTAMENTO CON MINORI DI 16 ANNI

• COME UTILIZZANO LE INFORMAZIONI RACCOLTE

• CON CHI POSSIAMO CONDIVIDERE LE INFORMAZIONI RACCOLTE

• TRASFERIMENTO DEI DATI DALL’UNIONE EUROPEA

• NEWSLETTER ED E-MAIL DI MARKETING

• BASE GIURDICA PER L’UTILIZZO DEI DATI PERSONALI

1. ESECUZIONE DEL CONTRATTO

2. CONSENSO

3. LEGITTIMI INTERESSI

SITI WEB DI TERZE PARTI

SICUREZZA E CONSERVAZIONE DEI DATI (NON GARANTITA AL 100%)

LE TUE OPZIONI E I TUOI DIRITTI

EVENTUALI MODIFICHE INFORMATIVA PRIVACY

• ART. 168 FALSITÀ NELLE DICHIARAZIONI AL GARANTE E INTERRUZIONE DELL’ESECUZIONE DEI

COMPITI O DELL’ESERCIZIO DEI POTERI DEL GARANTE (PUNITI PESANTEMENTE CON RECLUSIONE

DAI 2 AI 3 ANNI)

• ART. 170 INOSSERVANZA DI PROVVEDIMENTI DEL GARANTE

LA RIFORMA DELL’ARTICOLO 4 DELLO STATUTO DEI LAVORATORI

• IMPIANTI AUDIOVISIVI E ALTRI STRUMENTI DI CONTROLLO ART 4

CELLULARI E LOG NON POSSONO ESSERE CONTROLLATI SENZA ACCORDO CON I SINDACATI DEI

LAVORATORI.

TELECAMERE: IN MANCANZA DI ACCORDO POSSONO ESSERE INSTALLATE PREVIA AUTORIZZAZIONE

DELLA DPL ( DIREZIONE TERRITORIALE DEL LAVORO )

“LA DISPOSIZIONE DI CUI AL COMMA 1 NON SI APPLICA AGLI STRUMENTI UTILIZZATI DAL

LAVORATORE PER RENDERE LA PRESTAZIONE LAVORATIVA E AGLI STRUMENTI DI REGISTRAZIONE

DEGLI ACCESSI E DELLE PRESENZE.”

• GPS

IL GPS È UNO DEI VARI STRUMENTI UTILIZZATI DAL LAVORATORE PER RENDERE LA PRESTAZIONE

LAVORATIVA E AGLI STRUMENTI DI REGISTRAZIONE DEGLI ACCESSI E DELLE PRESENZE SALVO PERÒ UNA

ADEGUATA E PREVENTIVA INFORMAZIONE AL DIPENDENTE SULLE MODALITÀ D’USO DEGLI STRUMENTI E

SULL’EFFETTUAZIONE DEI CONTROLLI E SUL RISPETTO DELLE NORME DEL CODICE PRIVACY.

LA MACCHINA, IL CELLULARE SONO SOLO STRUMENTI, QUELLO CHE INTERESSA PER LA PRESTAZIONE

LAVORATIVA È LO STRUMENTO PRESENTE SUL DISPOSITIVO.

L’EMAIL AZIENDALE SERVE ALLA PRESTAZIONE MA NON SERVE L’ACCORDO. IL COMPUTER è UNO STRUMENTO E PER IL SOFTWARE SERVE L’ACCORDO E ANCHE PER LO STRUMENTO DI CONTROLLO DELLE MAIL SERVE L’ACCORDO. PER TUTTI GLI STRUMENTI IN PIÙ CHE SERVONO PER LAVORARE SERVE L’ACCORDO CON IL SINDACATO. DPIA DATA PRIVACY IMPACT ASSESMENT LA VALUTAZIONE DEL RISCHIO NELLA PROTEZIONE DEI DATI PERSONALI LA DPIA CONSISTE IN UNA VALUTAZIONE DEI RISCHI PER LE LIBERTÀ ED I DIRITTI DEGLI INTERESSATI CONNESSI AD UN DETERMINATO TRATTAMENTO. (NON ESISTE UN MODELLO OBBLIGATORIO). LA DPIA DEVE INDICARE ANCHE LE MISURE DI SICUREZZA ADOTTATE DAL TITOLARE PER NEUTRALIZZARE TALI RISCHI. I RISCHI SONO VERSO GLI INTERESSATI. IL GRUPPO WORKING PARTY (WP 29) HA DEFINITO UNA SERIE DI TRATTAMENTI CHE PER LORO NATURA POSSONO DARE ORIGINE A DISCRIMINAZIONI E CONSEGUENZE NEGATIVE PER L’INTERESSATO E CHE RICHIEDERANNO, DI CONSEGUENZA, LO SVOLGIMENTO DI UNA VALUTAZIONE D’IMPATTO CHE NE INDIVIDUI I RISCHI. PER POTENZIARE IL RISPETTO DEL REGOLAMENTO: QUALORA I TRATTAMENTI POSSANO PRESENTARE UN RISCHIO ELEVATO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE, IL TITOLARE DEL TRATTAMENTO DOVREBBE ESSERE RESPONSABILE DELLO SVOLGIMENTO DI UNA VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI PER DETERMINARE, IN PARTICOLARE, L'ORIGINE, LA NATURA, LA PARTICOLARITÀ E LA GRAVITÀ DI TALE RISCHIO. L'ESITO DELLA VALUTAZIONE DOVREBBE ESSERE PRESO IN CONSIDERAZIONE

NELLA DETERMINAZIONE DELLE OPPORTUNE MISURE DA ADOTTARE PER DIMOSTRARE CHE IL

TRATTAMENTO DEI DATI PERSONALI RISPETTA IL PRESENTE REGOLAMENTO. LADDOVE LA VALUTAZIONE

D'IMPATTO SULLA PROTEZIONE DEI DATI INDICHI CHE I TRATTAMENTI PRESENTANO UN RISCHIO ELEVATO

CHE IL TITOLARE DEL TRATTAMENTO NON PUÒ ATTENUARE MEDIANTE MISURE OPPORTUNE IN TERMINI

DI TECNOLOGIA DISPONIBILE E COSTI DI ATTUAZIONE, PRIMA DEL TRATTAMENTO SI DOVREBBE

CONSULTARE L'AUTORITÀ DI CONTROLLO.

SONO INDIVIDUATI COME POTENZIALMENTE RISCHIOSI I SEGUENTI TRATTAMENTI:

A) AUTOMATIZZATI, INCLUSA LA PROFILAZIONE, SUI QUALI SI FONDANO DECISIONI CHE HANNO EFFETTI

GIURIDICIO INCIDONO IN MODO ANALOGO SUGLI INTERESSATI;

B) SU LARGA SCALA, RELATIVI A CATEGORIE PARTICOLARI DI DATI PERSONALI COME I DATI SENSIBILI E I

DATI RELATIVI A CONDANNE PENALI E A REATI;

C) CHE PREVEDONO LA SORVEGLIANZA SISTEMATICA SU LARGA SCALA DI UNA ZONA ACCESSIBILE AL

PUBBLICO;

E) CHE COMPORTANO L’UTILIZZO DI NUOVE TECNOLOGIE PARTICOLARMENTE INVASIVE DELLA SFERA

PRIVATA DELL’INTERESSATO;

F) CHE PREVEDONO IL TRASFERIMENTO DI DATI IN PAESI AL DI FUORI DELL’UNIONE EUROPEA.

LA DPIA È COMPOSTA ESSENZIALMENTE DA 3 FASI DUE OBBLIGATORIE ED UNA EVENTUALE:

1. ATTIVAZIONE DEL PROCEDIMENTO;

2. REDAZIONE DELLA DPIA E VALUTAZIONE DEL RISCHIO RESIDUO;

3. CONSULTAZIONE DELL’AUTORITÀ DI CONTROLLO (* EVENTUALE).

COSA CONTIENE LA DPIA?

SECONDO IL GDPR, LA DPIA DEVE CONTENERE ALMENO:

A) UNA DESCRIZIONE SISTEMATICA DEI TRATTAMENTI PREVISTI E DELLE FINALITÀ DEL TRATTAMENTO,

COMPRESO, OVE APPLICABILE, L'INTERESSE LEGITTIMO PERSEGUITO DAL TITOLARE DEL TRATTAMENTO;

B) UNA VALUTAZIONE DELLA NECESSITÀ E PROPORZIONALITÀ DEI TRATTAMENTI IN RELAZIONE ALLE

FINALITÀ;

C) UNA VALUTAZIONE DEI RISCHI PER I DIRITTI E LE LIBERTÀ DEGLI INTERESSATI;

D) LE MISURE PREVISTE PER AFFRONTARE I RISCHI, INCLUDENDO LE GARANZIE, LE MISURE DI SICUREZZA E I

MECCANISMI PER GARANTIRE LA PROTEZIONE DEI DATI PERSONALI E DIMOSTRARE LA CONFORMITÀ AL

GDPR, TENUTO CONTO DEI DIRITTI E DEGLI INTERESSI LEGITTIMI DEGLI INTERESSATI E DELLE ALTRE

PERSONE IN QUESTIONE.

DA ALLEGARE UNA OPINION O UN TEST DI BILANCIAMENTO SULL’INTERESSE LEGITTIMO