Data privacy presentazione 2016

Febbraio 2016

2

Agenda

Parte I

Classificazione dei dati

Definizioni e obblighi di Titolare, Responsabili, Incaricati

Parte II

Misure minime / idonee di sicurezza con o senza l’uso di

strumenti elettronici

Sicurezza logica, fisica e organizzativa

Parte III

Protezione delle workstation (PC)

Parte IV

Amministratori di sistema

Trasferimento dati personali all’estero

3

Agenda

Parte I



Parte II




Parte III


Parte IV



4

Data Privacy

Decreto Legge 196/2003 e Disciplinare Tecnico

Il D.L. è entrato in vigore in data 1 gennaio 2004 ma ha subito una serie di

proroghe che hanno portato comunque alla necessità di attivare una serie

di azioni procedurali e tecnologiche al fine di indirizzare una serie di

controlli ai fini della tutela delle informazioni.

Decreto integrativo pubblicato in G.U. 24/12/2008

Il Decreto pubblicato il 24 dicembre 2008 ha colmato la lacuna del

precedente Disciplinare Tecnico nel quale non era previsto il ruolo di

Amministratore di Sistema, il quale per la sua particolare tipologia di

autorizzazioni, ha facoltà di accedere ad una ampia tipologia di

informazioni e dati.

http://www.garanteprivacy.it/web/guest/home/provvedimenti-normativa/normativa/normativa-italiana

5

Il Codice della Privacy disciplina il trattamento di dati personali, anche

detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello

Stato.

Non è soggetto alla legge il trattamento di dati personali effettuato da

persone fisiche per fini esclusivamente personali (es : agende,

elenchi), sempre che i dati non siano destinati ad una comunicazione

sistematica o alla diffusione.

Ambito di Applicazione

6

Dato Personale

PER DATO PERSONALE SI INTENDE:

TRE CATEGORIE:

DATI "COMUNI“

DATI "SENSIBILI”

DATI "GIUDIZIARI"

"QUALUNQUE INFORMAZIONE RELATIVA A

PERSONA FISICA, PERSONA GIURIDICA, ENTE OD

ASSOCIAZIONE, IDENTIFICATI O IDENTIFICABILI,

ANCHE INDIRETTAMENTE, MEDIANTE

RIFERIMENTO A QUALSIASI ALTRA

INFORMAZIONE, IVI COMPRESO UN NUMERO DI

IDENTIFICAZIONE PERSONALE“

7

DATI SENSIBILI

DATI GIUDIZIARI

DATI COMUNI

IDONEI A RIVELARE:

• origine razziale / etnica

• convinzioni religiose / filosofiche

• opinioni politiche, adesione a partiti, sindacati

• stato di salute

• vita sessuale

Categorie

IDONEI A RIVELARE:

• iscrizioni casellario giudiziale (condanne

definitive, libertà condizionata, obbligo/divieto di

soggiorno, misure alternative alla detenzione)

• la qualità di imputato o di indagato

TUTTI GLI ALTRI DATI PERSONALI

• anagrafici

• indirizzi postali/telematici

• codici identificativi

• carta credito

• immagini

• voce

• abitudini

• gusti

• preferenze

8

Trattamento

"QUALUNQUE OPERAZIONE O COMPLESSO DI OPERAZIONI,

SVOLTI CON O SENZA L'AUSILIO DI MEZZI ELETTRONICI O

COMUNQUE AUTOMATIZZATI, CONCERNENTI LA RACCOLTA, LA

REGISTRAZIONE, L'ORGANIZZAZIONE, LA CONSERVAZIONE,

L'ELABORAZIONE, LA MODIFICAZIONE, LA SELEZIONE,

L'ESTRAZIONE, IL RAFFRONTO, L'UTILIZZO,

L'INTERCONNESSIONE, IL BLOCCO, LA COMUNICAZIONE, LA

DIFFUSIONE, LA CANCELLAZIONE E LA DISTRUZIONE DI DATI“.

C’è trattamento anche quando il contatto con il dato è solo “potenziale.

POSSONO ESSERE “ELETTRONICI” E “CARTACEI”

Per “Trattamento” si intende:

9

L’ Interessato

E’ la persona fisica cui si riferiscono i dati personali.

Il Consenso è la libera manifestazione di volontà dell'interessato con cui

questi accetta espressamente un determinato trattamento dei suoi dati

personali.

L'interessato viene preventivamente informato dal Titolare, che ne

raccoglie i dati, circa:

• le finalità e le modalità del trattamento cui sono destinati i dati;

• la natura obbligatoria o facoltativa del conferimento dei dati;

• le conseguenze di un eventuale rifiuto di rispondere;

• i soggetti o le categorie di soggetti ai quali i dati personali possono

essere comunicati o che possono venirne a conoscenza in qualità

di responsabili o incaricati, e l'ambito di diffusione dei dati

medesimi;

• gli estremi identificativi del titolare

10

Titolare del Trattamento

E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi

altro ente, associazione od organismo cui competono, anche unitamente ad altro

Titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati

personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Nei Contratti il Titolare è il Cliente, così come sono Titolari gli eventuali ulteriori

Destinari dei Servizi, ove ve ne siano.

Un Titolare può nominare gli Incaricati (es. i suoi dipendenti) e i Responsabili del

Trattamento.

Incaricati del

Trattamento

Responsabili

del

Trattamento

11

Titolare del Trattamento (Art. 28)

Responsabili del

Trattamento

Quando il trattamento è effettuato da una persona giuridica, da una

pubblica amministrazione o da qualsiasi altro ente, associazione od

organismo, il titolare del trattamento è l’entita nel suo complesso o unità

o organismo periferico che esercita un potere decisionale del tutto

autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il

profilo della sicurezza.

E’ la persona, la società, l'ente, l'associazione o l'organismo a cui il Titolare affida compiti

di gestione e controllo del trattamento dei dati.

Il soggetto deve essere individuato tra coloro che, per esperienza, capacità ed affidabilità,

forniscano idonea garanzia circa il rispetto delle disposizioni vigenti in materia dei dati

personali, ivi compreso il profilo della sicurezza (art. 29, comma 2).

Nomina a sua volta gli “Incaricati del Trattamento” (persone fisiche).

Fornitore

SOCIETA’ Fornitori del

Fornitore

Responsabile del Trattamento

RESPONSABILE

RESPONSABILE

12

13

13

FORNITORE SOCIETA’ Fornitore

del Fornitore

RESPONSABILE RESPONSABILE

Responsabile del Trattamento: la logica sbagliata......

Il Responsabile del Trattamento NON può a sua volta nominare un altro Responsabile, ma solo

Incaricati del Trattamento.

TITOLARE

14


Fortore

Responsabile del Trattamento (Art. 29)

• Il responsabile è designato dal Titolare facoltativamente.

• Se designato, il responsabile è individuato tra soggetti che per

esperienza, capacità ed affidabilità forniscano idonea garanzia del

pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi

compreso il profilo relativo alla sicurezza.

• Ove necessario per esigenze organizzative, possono essere designati

responsabili più soggetti, anche mediante suddivisione di compiti.

• I compiti affidati al responsabile sono analiticamente specificati per

iscritto dal titolare.

• Il responsabile effettua il trattamento attenendosi alle istruzioni impartite

dal titolare il quale, anche tramite verifiche periodiche, vigila sulla

puntuale osservanza delle disposizioni e delle proprie istruzioni.

15


Fortore

Designazione del Responsabile del Trattamento

Il responsabile può essere:

• Interno

• Esterno

• Persona fisica

• Persona giuridica

Il responsabile può rifiutare la designazione.

16

E’ la persona fisica autorizzata a compiere le operazioni di trattamento dei dati dal

Titolare o dal Responsabile del Trattamento. L’incaricato può essere:

• Interno

• Esterno

Opera sotto la diretta autorità del Responsabile o del Titolare del Trattamento che

lo ha nominato, attenendosi alle istruzioni impartite.

La sua designazione è individuale e per iscritto.

I Dipendenti, normalmente, ricevono tale nomina all’assunzione.

Incaricato del Trattamento

17

• Le operazioni di trattamento possono essere effettuate solo da

incaricati che operano sotto la diretta autorità del titolare o del

responsabile, attenendosi alle istruzioni impartite.

• La designazione è effettuata per iscritto e individua puntualmente

l'ambito del trattamento consentito.

Incaricato del Trattamento (Art. 30)

RESPONSABILE

RESPONSABILE

INCARICATI DEL

TRATTAMENTO

INCARICATI DEL

TRATTAMENTO

TITOLARE

FORNITORE

FORNITORE

SOCIETA’ Fornitore

del Fornitore

18

Incaricato

L’incaricato può essere:

• Interno

• Esterno

• Solo persona fisica

L’incarico autorizza a trattare i dati.

Senza lettera di incarico non è possibile trattare i dati.

19

19

Dal punto di vista giuridico la cosa fondamentale è individuare i ruoli e le responsabilità.

» Titolare del Trattamento:

decide in merito alle finalità del Trattamento ed in merito alle Misure di Sicurezza, vigila e controlla

» Responsabile del Trattamento:

esegue le indicazioni del Titolare e decide nel limite dei poteri conferiti

controlla i suoi Incaricati impartendo adeguate istruzioni

» Incaricato del Trattamento:

deve attenersi alle istruzioni impartite dal Titolare del Trattamento o dal Responsabile del Trattamento, non deve violarle.

La catena delle responsabilità

20

Agenda

Parte I



Parte II




Parte III


Parte IV



21

IDONEE A discrezione del Titolare

non predefinite

PRESCRITTE Provvedimenti Generali

DAL GARANTE predefinite

MINIME Allegato “B” predefinite

Le Misure di Sicurezza

21

http://www.garanteprivacy.it/web/guest/home/provvedimenti-normativa/normativa/normativa-italiana

22

Le Misure di Sicurezza

Misure Minime

L’adozione di misure minime permette al Titolare il rispetto della

normativa evitando un illecito penale.

Misure Idonee

L’adozione delle misure Idonee (superiori a quelle minime

prescitte dalla normativa) permette al Titolare di tutelarsi (in

parte) rispetto alla responsabilità civile.

Ad esempio il Documento Programmatico Sicurezza (DPS) non costituisce più

una misura minima ma idonea in quanto è uno strumento che consente di

mappare adeguatamente finalità, trattamenti, interessati, tipologia di dati trattati,

sistemi informativi, misure di sicurezza pur senza vincoli di scadenza o di

contenuti specifici.

23

Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è

consentito solo se vengono adottate le misure minime contenute nell’Allegato B

Disciplinare tecnico in materia di misure minime di sicurezza

Tra queste vi sono misure relative a:

Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito ai

singoli incaricati o alle unità organizzative;

Previsione di procedure per un’idonea custodia di atti e documenti affidati agli

incaricati per lo svolgimento dei relativi compiti;

Previsione di procedure per la conservazione di determinati atti in archivi ad

accesso selezionato e disciplina delle modalità di accesso finalizzata

all’identificazione degli incaricati.

Misure Minime di Sicurezza per i trattamenti eseguiti

senza l’ausilio di strumenti elettronici (Art. 35)

24

Gestione documenti «non elettronici»

Per “non elettronici” si intendono solitamente documenti cartacei. • Non lasciarli mai incustoditi, in particolare:

negli ambienti di transito o pubblici (corridoi o sale riunioni);

sulle scrivanie, quando ci si assenta dal proprio posto oppure al termine dell’orario di lavoro;

sulle stampanti, specialmente se sono condivise da più utenti, devono essere ritirati tempestivamente

• Quando contengono Dati Sensibili o Dati Giudiziari, i documenti devono essere protetti in cassetti della scrivania oppure in armadi dotati di chiavi, meglio sarebbe avere uffici che si possono chiudere a chiave.

• Quando i documenti non sono più utilizzati:

non gettarli nei cestini ma distruggerli, possibilmente con un distruggi documenti.

25

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se

vengono adottate le misure minime contenute nell’Allegato B: Disciplinare tecnico in

materia di misure minime di sicurezza

Tra queste vi sono misure relative a:

autenticazione informatica;

adozione di procedure di gestione delle credenziali di autenticazione;

utilizzazione di un sistema di autorizzazione;

aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai

singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad

accessi non consentiti e a determinati programmi informatici;

adozione di procedure per la custodia di copie di sicurezza, il ripristino della

disponibilità dei dati e dei sistemi;

adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di

dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;

Misure Minime di Sicurezza per i trattamenti eseguiti

con strumenti elettronici (Art. 34)

La USERID

Deve essere definito un processo di autorizzazione

Deve essere individuale

Non si può riutilizzare una userid già assegnata in precedenza (usa e getta)

Deve essere disattivata dopo 180 giorni di inutilizzo (a meno che non siano

siano state preventivamente autorizzate quali credenziali per soli scopi di

gestione tecnica)

Deve essere effettuata una rivalidazione almeno annuale per verificare il

«business need»

Utilizzo «shared» è permesso solo in casi particolari e solo se vi è un modo

per risalire all’utilizzatore

26

Misure Minime di Sicurezza Logica (1/4)

La PASSWORD

Deve essere lunga almeno 8 caratteri

Deve essere cambiata al primo utilizzo

Deve essere cambiata ogni 90 giorni (se dati sensibili / giudiziari)

Non deve contenere la userid o altri riferimenti che possano agevolmente

ricondurre all’incaricato (es. nome, data di nascita, ecc)

La prima volta dovrebbe essere generata in maniera random

Dovrebbe contenere caratteri numerici e alfanumerici (maiuscole e

minuscoli)

Non si dovrebbero ri-utilizzare le ultime 5 password

Le password di default dei prodotti dovrebbero essere modificate 27


Quando l'accesso ai dati e agli strumenti elettronici è consentito

esclusivamente mediante uso della componente riservata della credenziale per

l'autenticazione (password), sono impartite idonee e preventive disposizioni

scritte volte a individuare chiaramente le modalità con le quali il titolare può

assicurare la disponibilità di dati o strumenti elettronici in caso di

prolungata assenza o impedimento dell'incaricato che renda indispensabile

e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del

sistema.

Questo si potrà effettuare tramite la predisposizione di idonea copia della

password (es. password scritta in busta chiusa e sigillata).

28


Encryption obbligatorio solo per dati sensibili sanitari

Antivirus aggiornato

Utilizzo di Firewall (protezione dei dati contro il rischio di intrusione)

Backup almeno settimanale dei dati presenti sui server

Verifica della leggibilità dei supporti (a campione)

Ripristino entro 7 giorni dei dati sensibili / giudiziari

Custodire in modo sicuro i supporti removibili

Rendere illeggibili i dati in caso di dismissione del supporto o del suo riutilizzo

da parte di altro ente per dati sensibili/giudiziari (format non è sufficiente)

Mantenere i software aggiornati con le ultime patch di sicurezza:

Aggiornmento almeno annuale

Aggiornamento almeno semestrale per dati sensibili / giudiziari

29



Analisi dei rischi

Prescrizione di linee guida di sicurezza

Definizione di processi, procedure ed istruzioni interne

Assegnazione degli incarichi

Formazione professionale

Documentazione dei controlli periodici (clean desk, audits…)

30

Esempi di Misure di Sicurezza Organizzativa

31

Misure di sicurezza Fisica

Sede

• Vigilanza della sede

• Ingresso controllato nei luoghi dove ha luogo il trattamento

• Sistemi di allarme e/o sorveglianza anti-intrusione

• Registrazione degli accessi

• Autenticazione degli accessi

Datacenter

• L’area deve essere chiusa a chiave quando lasciata

• L’accesso è consentito solamente alle persone autorizzate ed il loro “business need”

è verificato almeno annualmente

• L’accesso all’area è controllata elettronicamente ed I logs sono ritenuti per 90 giorni

• Al piano terra non ci dovrebbero essere finestre che danno sull’esterno

• Le uscite di sicurezza devono avere degli allarmi udibili e monitorati, sotto UPS

• Devono essere presenti:

UPS/EPS

Estintori

Condizionatori

Misuratori di temperatura e umidità

con relativi monitoraggi e allarmi

32

Agenda

Parte I



Parte II




Parte III


Parte IV



33

Utilizzo del PC - Password

Per l’accesso al PC (Log-in) ogni utente deve inserire una UserID ed una password.

Entrambi sono strettamente personali.

La password:

• avere almeno otto caratteri

• non deve fare riferimento ad informazioni agevolmente riconducibili all’utente

stesso

• deve contenere una combinazione di numeri e lettere, maiuscole e minuscole

• deve essere cambiata almeno ogni 3 mesi

• deve essere cambiata al primo utilizzo

Attenzione:

• non scrivere la password su supporti cartacei conservati in ufficio, oppure sul

telefono cellulare, oppure in un messaggio di posta elettronica

• non rivelare o condividere la password con i colleghi di lavoro, famigliari e

amici, soprattutto attraverso il telefono

• non utilizzare la funzione, offerta da alcuni software, di salvare

automaticamente la password per successivi utilizzi delle applicazioni.

• rispondere “No” quando un software chiede se si vuole salvare

automaticamente la password per un successivo riutilizzo

34

Utilizzo del PC - Protezione contro i virus informatici

• Su ogni PC è installato il software antivirus ufficiale (Symantec End

Point Protection).

Non disattivarlo mai né sostituirlo con un altro software. Questo viene

aggiornato automaticamente, in maniera trasparente all’utente, dal

server aziendale.

Se il software riscontra la presenza di un virus, oppure si sospetta che

un virus sia presente sul proprio PC, avvisare subito il responsabile del

Servizio Informatico.

• Installare le security patch per la loro versione di software entro 15

giorni dalla data di pubblicazione. I PC Windows ricevono le patch da

installare automaticamente dal server. Queste devono essere installate

rispettando le tempistiche indicate.

35

Utilizzo del PC – Gestione della sessione di lavoro

• Spegnere il PC al termine di una sessione di lavoro.

• Verificare che si attivi automaticamente il salvaschermo (screen-saver) al

massimo entro 30 minuti di inattività e che l’accesso sia protetto da

credenziali di autenticazione per tutti gli utenti del PC.

• Attivare manualmente il salvaschermo, protetto da password, ogni volta

che si lascia la postazione di lavoro.

36

Utilizzo del PC – Installazioni hw / sw, configurazioni

Non eseguire in modo autonomo:

• installazioni di dispositivi hardware;

• download e Installazioni di programmi software

• modifiche dei parametri di configurazione del PC

Per eventuali operazioni di cui sopra, fare sempre richiesta al Servizio

Informatico.

Limitare la condivisione di aree e di risorse del proprio PC solo a casi

eccezionali e per il tempo strettamente necessario allo svolgimento delle

attività di lavoro.

Deve essere effettuato l’encryption dell’intero disco o delle parti che

contengono dati sensibili utilizzando la soluzione/applicazione approvata.

37

Utilizzo del PC – Gestione del PC

Custodire il portatile con la massima cura per evitare furti:

• Il PC portatile dovrebbe essere fisicamente protetto da furto tramite un cavo

Kensington (cavo in acciaio dotato di lucchetto)

• Quando si viaggia in aereo tenere il PC come bagaglio a mano

• Evitare di lasciare il PC in autovetture posteggiate

In caso di furto del PC, avvisare subito il responsabile del Servizio Informatico.

Eseguire settimanalmente il salvataggio dei dati presenti su PC e non mantenere i

backup insieme al PC portatile.

38

Utilizzo del PC – Salvataggio dati, utilizzo di supporti

rimovibili

• Eseguire settimanalmente il salvataggio dei dati presenti su PC e non

mantenere i backup insieme al PC portatile.

• Anche i supporti rimovibili (es. dischi magnetici esterni, penne USB

o CD riscrivibili) quando contengono dati personali devono essere

custoditi in luogo protetto e non accessibile; quando non più utilizzati i

dati devono essere resi illegibili.

39

Utilizzo del PC – Utilizzo di servizi su Internet e altre reti

L’accesso a Internet è gestito da un software di filtro della navigazione Web (Sophos Web Filtering) sul quale sono definite le categorie di siti accessibili da parte degli utenti dei PC aziendali.

I servizi online devono essere esclusivamente finalizzati al reperimento

di informazioni utili all’attività svolta e l’utente deve adottare i seguenti comportamenti:

• non eseguire di propria iniziativa lo scaricamento (download) di

programmi software. In caso di necessità, chiedere l’autorizzazione al Servizio Informatico

• evitare la partecipazione a forum non professionali, l’utilizzo di chat, di bacheche elettroniche e in generale qualunque utilizzo di servizi Internet non strettamente inerenti all’attività professionale

• non utilizzare software per la condivisione di file (“peer to peer”)

40

Utilizzo del PC – Utilizzo del servizio di Posta Elettronica

Il servizio di posta elettronica viene fornito per permettere la comunicazione

con soggetti terzi interni ed esterni per le finalità della Associazione e in

stretta connessione con l’effettiva attività e mansioni del lavoratore o del

volontario che utilizza tale funzionalità.

Non utilizzare le caselle di Posta Elettronica per l’invio di messaggi personali

o per la partecipazione a dibattiti, forum o mail list, salvo diversa ed esplicita

autorizzazione.

Non scaricare né tantomeno aprire file provenienti via e-mail da mittenti

sconosciuti. Tali file, generalmente di tipo .EXE o .ZIP, possono essere

portatori di virus e compromettere la funzionalità del PC, l’integrità dei dati in

essa contenuti e l’integrità di altri sistemi collegati.

41

Agenda

Parte I



Parte II




Parte III


Parte IV



Ai fini del presente provvedimento vengono considerati “Amministratori di Sistema” figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati.

Si tratta di persone che possiedono delle utenze privilegiate per accedere ai sistemi per la loro gestione:

» Amministratori di Sistema

» Amministratori di Basi di Dati

» Amministratori di Reti e di apparati di sicurezza

» Amministratori di Sistemi Software complessi

42

Definizione di Amministratore di Sistema

» individuare coloro che ricadono nella categoria di "amministratore di sistema“

» valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di

sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in

materia di trattamento ivi compreso il profilo relativo alla sicurezza

» designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica

degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

» verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da

controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai

trattamenti dei dati personali previste dalle norme vigenti

» registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli

amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi

logici (autenticazione informatica):

• devono essere registrati i LOG-IN e possibilmente i LOG-OUT

• deve contenere un timestamp (data e ora)

• il Log deve garantire completezza, inalterabilità e integrità

• la ritenzione minima dei log deve essere di 180 giorni

» l’elenco degli Amministratori di Sistema deve essere fornito al Titolare su richiesta

43

Requisiti per AdS

Il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione "adeguato"; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE).

In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall'articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).

Decisioni di adeguatezza

La Commissione europea può stabilire, sulla base di un procedimento che prevede, fra l'altro, il parere favorevole del Gruppo ex Articolo 29 della Direttiva 95/46/CE, che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della dDrettiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. Di seguito sono riportate le decisioni della Commissione sinora pubblicate in materia di adeguatezza di Paesi terzi.

Andorra

Argentina

Australia – PNR

Canada

Faer Oer

Guernsey

Isola di Man

Israele

Jersey

Nuova Zelanda

Svizzera

Uruguay

USA – Safe Harbor

USA – PNR

44

Trasferimento Dati Personali all’estero

http://www.garanteprivacy.it/garante/document?ID=1807275























» Gli interessati (dipendenti, volontari, ospiti e chiunque fornisca i propri dati personali) devono firmare il CONSENSO informato al Trattamenti dei loro dati

» Il Titolare può nominare dei uno o più RESPONSABILI al Trattamento dei dati (dipendenti, volontari, fornitori)

» Il Titolare o eventuali Responsabili dovranno nominare i dipendenti ed i volontari come INCARICATI al Trattamento dei dati

» Il Titolare o eventuali Responsabili dovranno nominare gli AMMINISTRATORI di SISTEMA

46

Riepilogo dei documenti necessari

Data privacy presentazione 2016

Law

Transcript of Data privacy presentazione 2016