Sommario video lezioni: GDPR a chiacchere (senza la "i") - Professional Profile

Vai ai contenuti

Menu principale:

Sommario video lezioni: GDPR a chiacchere (senza la "i")

IL GDPR a chiacchere...

Guida colloquiale alla Data Protection rivolta in primis ai Titolari del Trattamento ma anche fruibile da Responsabili del Trattamento (interni ed esterni), Amministratori di Sistema e più in generale ai soggetti autorizzati al trattamento. Prendetevi il tempo necessario...
Elenco dei video

Un nuovo paradigma di portata tettonica sta investendo il mondo delle aziende di ogni settore e grandezza. La riforma europea sulla Protezione dei Dati porta le società produttive, di servizio siano esse pubbliche o private verso un futuro di sicurezza informatica e di governo e controllo dei processi di Trattamento dei Dati Personali. Questi ultimi, sono il valore distintivo di una azienda 4.0
In uno scenario complesso di evoluzione informatica e dei modelli di business digitali, il primo video coordina tutti gli ambiti tecnologici e normativo-regolatori coinvolti nella reingegnerizzazione di un sistema a prova di CyberCrime e garantisce l'uso corretto di dati nell'economia "liquida"

Nel secondo appuntamento, la chiaccherata è rivolta principalmente a Titolari del Trattamento e manager di azienda per sensibilizzare le loro competenze da un punto di vista della responsabilizzazione dei compiti. Diversamente dal precedente Codice Privacy (Dlg.vo 196/03), il nuovo sistema di Data Protection poggia gli architravi e le colonne portanti sulla Proprietà, la Direzione ed i primi livello. Senza questa reale consapevolezza semplicemente non ci sarà un Sistema di DP. La forma e il semplice adempimento cartaceo sono inutili a fronteggiare le visite ispettive o gli interpelli della Autorità Garante.

Questo video è pensato per gli amici informatici, i migliori conoscitori dei propri Data Center. Che si tratti di pochi computer di una LAN o di svariati Nodi di dominio con migliaia di stazioni di una WAN, la scalabilità dei suggerimenti che sono formiti è pienamente applicabile. Naturalmente, sono indicate alcune tecniche di compliance per gli adempimenti del Data Breach e dello stoccaggio delle informazioni.
Il percorso della chiaccherata è molto informale e colloquiale tuttavia segue un percorso di approccio metodologico che guida a partire dal byte e finire con la diffusione di informazioni contestualizzando le tipologie di processazione del dato. Per ogni tipologia sono spiegati i riferimenti sul "come" e "cosa" fare dal punto di vista sistemistico. Faranno piacere alcune utili indicazioni di carattere regolatorio con le quali gli informatici non hanno completa dimestichezza.

Non è possibile preparare un piano di adeguamento alla Protezione dei Dati aziendali senza una buona comprensione del percorso legislativo e normativo europeo. Questa sessione ripercorre dal 1984 fino ad oggi le tappe significative della materia. Cosi come già fatto dal punto di vista della evoluzione tecnologica (le due cose sono correlate), il metodo di studio è quello di fare riferimenti sociali e tecnologici che tutti noi abbiamo vissuto negli ultimi due decenni.
Il procedere nella storiografia permette di acquisire familiarità con le definizioni e le pronuncie normative ma anche di acquisire una migliore consapevolezza circa il vantaggio che una organizzazione sana potrà acquisire in linea con il futuro del business digitale.

Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c'è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda.

E' ora di passare in rassegna sistematicamente gli adempimenti del Reg.679/2016 e per ognuno di essi verticalizzare con esempi pratici. Ad ogni passaggio ragioniamo sulle implicazioni pratiche da tradurre in misure fisiche, logiche e organizzative da approntare in azienda. Questa clip offre spunti concreti sia per i Titolari del trattamento che per i loro legali; inoltre, sono rivelate le corrette interpretazioni necessarie ad organizzare il piano di adeguamento da intraprendere seguendo le classificazioni dei dati e dei loro trattamenti.
Grazie a queste nozioni si potranno effettuare scelte di nomine/deleghe dei collabolatori, predisporre l'analisi dei rischi e degli impatti e un cronogramma preliminare dello sforzo econometrico per la progettazione del nuovo Sistema di Data Protection.

Il Responsabile della Protezione dei Dati (Data Protection Officer nel (GDPR), è una figura nuova che il Titolare del Trattamento, e dove designato il Responsabile del Trattamento, usano come riferimento olistico dell'intero Sistema di Protezione dei Dati (SPD). Questo ruolo pivotale rispetto alla progettazione di un SPD si concretizza contestualmente e concorrenzialmente su piani legali, normativi, funzionali, di controllo, di indirizzo e di programmazione delle attività di tutti gli altri soggetti interni ed esterni del sistema.
Nella nostra chiaccherata sul DPO, trattiamo tutti gli elementi controversi legati all'obbligo di adozione, alle prassi di nomina, alla qualificazione delle proprie responsabilità, a indicazioni pratiche econometriche e non ultimo alle tipologie contrattuali che l'azienda formalizza nel rapporto consulenziale.
Come da nostra abitudine demistifichiamo alcune zone oscure che riguardano le aspettative del Titolare del Trattamento spiegando il perchè, anche dove non è mandatorio avere un RPD, è comunque raccomandabile adottarne uno.  

Non tutti lo dicono, ma la vera rivoluzione culturale e strutturale per l'azienda è il Titolare del Trattamento (TdT). La centralità del controllo di un Sistema di Protezione dei Dati e con esso il gravame normativo e sanzionatorio dovuti alle responsabilità che ne conseguono ricadono interamente ed elettivamente sul TdT.
Il vero cambiamento di paradigma è per una società/azienda/organizzazione vincolato alla piena consapevolezza della Proprietà che capirà quanto vantaggiosa e non vessatoria è la opportunità di redisegnare e evolvere il proprio business orientandolo alle valutazioni di rischi e impatti derivanti dall'utilizzo dei dati. Prima di tutto i propri dati interni investendo sulla crasi del Codice Privacy con la Sicurezza Informatica. Questa evoluzione è necessaria per allinearsi alle nuove forme di economia liquida in cui i dati rappresentano il valore aggiunto competitivo di business. Insomma, e indipendentemente dal settore merceologico o di servizi, non provincializzare un miope adempimento formale, piuttosto adeguare l'azienda verso modelli globali.

La istruttoria di un Sistema di Protezione dei Dati non può fare a meno della carta. Una strepitosa novità riguarda il fatto che con il Reg.679/2016 è possibile avere entrambi i formati cartaceo ed elettronico/digitale, tuttavia il vero problema è conoscere la struttura del Manuale del SDP (MSDP) e sapere come va gestito e aggiornato periodicamente.
In questo incontro video trattiamo estesamente la componente attuativa e operativa del MSDP. Questo permette di apprendere i formalismi di scrittura delle politiche, delle procedure gestionali corrispondenti ai sengoli adempimenti. Chiaramente una descrizione enfatica viene sviluppata su informativa, consenso, valutazione di rischi e impatti (DVR e DPIA) oltre che al Registro dei Trattamenti e le scritture transattive nella riqualificazione delle contrattualistiche con forntori, soprattutto se responsabili esterni del trattamento.
Insieme alla documentazione del MSDP si integrano le raccomandazioni su come integrare SLA, PLA, DTA e BCR; questo viene raccondato alla possibilità del Titolare del Trattamento di rivendicare un Interesse Legittimo per vincoli di basi giuridiche (contratti di licenza, Copyright o brevetti) che possono superare il consenso dell'interessato.

In una sana organizzazione/azienda o società il Sistema di Protezione dei Dati (SPD) è costruito intorno alle competenze ed i ruoli delle funzioni aziendali di tutte le risorse umane. Ognuno, in ragione del suo grado di interazione con i dati di business e personali, deve essere istruito e formato con un Piano di Formazione e Aggiornamento specifico. Senza questa prerogativa e senza le conseguenti nomine/deleghe di funzione peculiari, il Reg.679/2016 preclude lo stesso inizio di trattamento dei dati!
Quì affrontiamo, singolarmente prese, ognuna delle figure e dei soggetti del SPD puntualizzando obblighi, prassi e responsabilità assegnate dal Regolamento; come da nostro stile pragmatico, svolgiamo degli esempi paradigmatici di situazioni aziendali tipizzate sulla alberatura gerarchica delle figure SPD come derivata dalle scelte del TDT e dei propri collaboratori. Già nel nostro webinar n.9 sul Manuale dell Sistema di Protezione dei Dati (MSDP) abbiamo spiegato il criterio delle nomine/deleghe, ma in questo contesto scendiamo nel dettaggio di ogni soggetto a fronte del relativo articolato del regolamento. La seconda parte si focalizza sull'outsource come Responsabile Esterno del Trattamento.

Dopo Questa puntata assume una piena conoscenza della clip n.7 con la quale abbiamo esaurito un completo percorso di valutazione della figura del DPO o RPD. Se avete questa acquisizione allora possiao tornare ad un aspetto di primaria importanza che attiene la interazione professionale tra il Titolare del Trattamento e il DPO (laddove presente).
Ci soffermiamo soprattutto sulle aspettative del TDT spiegando cosa si può esigere, cosa rivelare, cosa pagare un DPO. Da questo rapporto scaturiscono le scelte di investimenti e la struttura progettuale dell'intero impianto normativo del Regolamento all'interno della azienda e nel formalismo della documentazione del MSDP.

Dopo aver seguito il percorso tematico delle precedenti sessioni, dovremmo aver acquisito una idea più chiara e precisa del mondo della Data Protection. Avendo introiettato i concenti fondamentali, gli elementi strutturali primari e una vista armonica sugli adempimenti e il progetto del SPD aziendale, rimangono alcune aree critiche e delle situazioni speciali. La criticità di questi punti è dovuta a possibili mistificazioni tecnologiche, incomprensione dei concetti fondanti la norma (Es. Privacy by design & by default) ma anche semplicemente alla peculiarità del tipo di business della azienda e il suo assetto in ambito ICT. Dopo il consueto riassunto delle lezioni precedenti focalizziamo il punto del Jobs Act nella azienda e il controllo remoto dei lavoratori


Dal 2010 il numero di controlli e la somma di Euro comminati è sistematicamente cresciuta. Quello delle ispezioni è un tema a cui tutti si riferiscono e di cui nessuno spiega: come si svolge, quale ingaggio sostenere, quali diritti del TdT, come viene svolta l'ispezione, cosa comporta il sanzionamento e quanti tipi di ispezioni esistono?
La pattuglia del GAT (nucleo investigativo della GdF legato alla Autorità Garante da Protocolloo di Intesa) deve in realtà seguire a sua volta gli adempimenti e le prassi prescritte nel Reg.680/2016. Questa ed altre utili nozioni sono trattate in questa clip con il consueto stile informale e sostanziale.




Torna ai contenuti | Torna al menu