UN BUON LIBRO PER I DPO IN VACANZA

Alec RossIn questo periodo un po’ tutti consigliano cosa portare sotto l’ ⛱ o in ⛰.

Ecco mi sento di consigliare a tutti i Data Protection Officer la lettura di questo libro illuminante su temi quali la genetica, la robotica, i Big data ecc.

Ho avuto il piacere di conoscere l’autore a Washington durante il Global Privacy Summit e ora il libro è disponibile anche in italiano.

Buona lettura a tutti!

Matteo Colombo

Annunci
Regolamento Privacy UE

Regolamento Privacy UE: pubblicato nella Gazzetta Ufficiale dell’Unione Europea

Il 4 maggio 2016 sarà ricordato dai DPO europei per la pubblicazione ufficiale del testo del Regolamento Europeo Privacy nella Gazzetta Ufficiale dell’Unione Europea (Serie L. 119 | 04 Maggio 2016).

La denominazione del Testo del Regolamento Europeo Privacy è la seguente: “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla Protezione dei dati”.

Il Regolamento entrerà in vigore il 24 maggio 2016 e sarà applicato a partire dal 25 maggio 2018.

Affrettiamoci a far fronte ai nuovi adempimenti!

Cliccare qui per consultare il testo del Regolamento pubblicato sulla Gazzetta Ufficiale dell’Unione Europea

Autore: Dott. Matteo Colombo | CEO di Labor Project srl e Presidente di ASSO DPO

 

 

 

Gestione della privacy come quella della sicurezza sul lavoro

Intervista di eSanit@ al Dott. Matteo Colombo     CEO di Labor Project srl e Presidente di ASSO DPO

Fonte: www.esanitanews.ite-sanit@

Il recente Congresso annuale della AssoDPO, l’Associazione Data Protection Officer, verteva su numerosi argomenti di primo piano della sicurezza dei dati: gli impatti del nuovo regolamento privacy Ue sulle imprese europee ed extra europee anche in ambito sanitario, il ruolo del DPO in Europa, l’accountability e trasferimento dati all’estero, il data breach. Matteo ColomboVi è anche stata una tavola rotonda con le principali associazioni continentali per la privacy per confrontarsi con il punto di vista dei DPO degli altri paesi. Abbiamo chiesto a Matteo Colombo, presidente ASSO DPO, di raccontarci i principali nodi tematici emersi nella due giorni milanese.

Avevate numerosi argomenti caldi per la discussione. Come l’avete impostata?

«Verteva sul futuro prossimo, alla luce degli adempimenti richiesti dal nuovo regolamento Ue, e su temi come il data breach e l’accountability. Sono stato recentemente in America al Global Privacy Summit. Tenendo conto che gli Usa sono molto più avanti di noi sulla privacy, gli argomenti che interessano sono stati anche lì la crittografia dei dati, l’analisi dei data breach,  la formazione di tutti i soggetti che hanno a che fare con i dati e la governance per la gestione dei dati da parte del Data Protection Officer. AssoDPO nasce per dare strumenti ai professionisti della privacy che si devono ormai muovere su un mercato che non è più solo italiano ma europeo. Teniamo conto che il DPO è il soggetto che si interpone tra il titolare del trattamento e la struttura aziendale. I DPO italiani stanno organizzando il loro lavoro sulla scorta delle esperienze di altri soggetti europei, rimettendo in auge il registro del trattamento, rifacendosi quindi a modelli interni che consentono di tracciare il trattamento, di analizzare e difendere i dati del cittadino e del paziente, lavorando a contatto con il titolare del trattamento medesimo. I DPO hanno a che fare o con case madri estere che stanno cercando di coordinarli oppure lavorano in filiali fuori Italia, quindi stanno cercando di applicare delle policy interne, delle informative comuni, delle regole per  il data breach. Stanno mettendo in piedi un processo aziendale anche senza avere ancora il supporto di una norma ISO».

E per quanto riguarda i dati specificamente sanitari?

«Abbiamo fatto un’analisi legata alla digitalizzazione e ai vantaggi e ai rischi che essa ha per il cittadino-paziente. Le aziende sanitarie devono strutturarsi per difendere i dati e il processo dev’essere governato dal DPO. Al congresso è stato fatto un esempio significativo: a Bologna, l’archivio cartaceo delle cartelle sanitarie è di oltre 20 km. di estensione fisica. La sua  complessità comporta difficoltà nel reperire le informazioni ma lo rende anche più facilmente difendibile rispetto a un archivio digitale, perché la digitalizzazione in un unico database fa sì che sia più facile che avvengano violazioni dei dati. Il nuovo regolamento introduce il concetto della privacy by default e by design e quindi la necessità, per la gestione dei dossier sanitari, di lavorare molto sulla privacy by design, per far sì che i dati vengano lavorati da alcuni soggetti e non da altri, ad esempio dai medici e non dagli amministrativi. Un altro tema portato in primo piano dal nuovo regolamento è la crittografia dei dati per far sì che, in caso di data breach, l’accesso non autorizzato avvenga su dati non aperti. Le aziende sanitarie devono programmare la criptazione dei dati con un investimento che però è modesto, nell’ordine di poche migliaia di euro».

Vi sono stati nel recente passato casi di accessi non autorizzati ai dati sanitari in aziende pubbliche.

«Il colonnello Marco Menegazzo – comandante del Nucleo Speciale Privacy della Guardia di Finanza – ha detto che in questo primo semestre vengono verificati i dossier delle aziende sanitarie pubbliche e quelle private che trattano dati sanitari. Già adesso le aziende che hanno subito data breach hanno l’obbligo di notificarlo e infatti ho casi di soggetti, che seguo, i quali hanno avuto data breach e che hanno comunicato gli accessi abusivi al sistema all’autorità garante. Il nuovo regolamento, imponendo la crittografia dei dati e l’utilizzo di software che osserva la privacy by design non  impone la comunicazione del data breach, perché i dati non sono leggibili. L’investimento sarà bilanciato dal fatto di non dover rendere noto il data breach e viene così meno il problema mediatico di dover avvisare tutti gli interessati, con le conseguenti ricadute d’immagine. Saremo tutti sottoposti a questi investimenti per la sicurezza dei dati. La norma impone misure idonee e ciò comporta un cambio di mentalità: l’atteggiamento deve diventare proattivo».

Avete affrontato anche questioni inerenti la gestione di dati sanitari particolari o in strutture come le Residenze sanitarie assistenziali?

«Un discorso importante è stato quello riguardante i dati sanitari nelle RSA. Hanno dossier sanitari anche se non se ne rendono conto e hanno spesso database di dati leggibili da tutti gli operatori. Quindi dovranno nominare anch’esse un DPO e provvedere alla sicurezza del dossier. È una svolta epocale che richiede investimenti mirati per la difesa del dato. L’autorità garante ha detto che in fase di accertamento il primo quesito che viene posto è sulla governance: chi è il titolare, chi sono i responsabili e chi sono gli incaricati. Occorre un organigramma certo, con ruoli e responsabilità di chi tratta e garantisce la sicurezza. Bisogna capire che la gestione della privacy diventa come quella della sicurezza sul lavoro. Infine, un altro argomento molto interessante su cui è stata posta l’attenzione è il dato genetico e di come in futuro andrà a influire sulle scelte dei cittadini».

MODULO UNIFICATO DI ISTANZA DI AUTORIZZAZIONE ALLE DTL

Nei giorni scorsi è stato pubblicato sul sito del Ministero del Lavoro il MODULO UNIFICATO ISTANZA DI AUTORIZZAZIONE ALL’INSTALLAZIONE DI IMPIANTI DI VIDEOSORVEGLIANZA E ALL’INSTALLAZIONE E UTILIZZO DI IMPIANTI E APPARECCHIATURE DI LOCALIZZAZIONE SATELLITARE GPS A BORDO DI MEZZI AZIENDALI ai sensi dell’art. 4 della legge 20 maggio 1970 n. 300 (Statuto dei lavoratori).

Cliccare qui per visualizzare il modulo disponibile sul sito del Ministero del Lavoro

Il modulo, prendendo spunto dalla riforma dell’Art. 4 della L. 300/70 inserita nel Job Act e recepito dall’art. 114 del Testo unico Privacy e dai Provvedimenti dell’Autorità Garante Privacy, innova la prassi ormai consolidata, che vedeva la presenza su tutto il territorio nazionale di modulistica diversa per ogni singola Direzione Territoriale del Lavoro, e propone un unico modulo.

Gli aspetti da segnalare per la Videosorveglianza sono:

  1. Inserimento delle motivazioni previste dal novellato art. 4 c. 1 L. 300/70;
  2. Divieto, salvo casi eccezionali, di controllo a distanza dei lavoratori e ripresa delle sole aree esposte a rischio;
  3. Tenuta immagini per 24 ore, fatto salvo speciali esigenze in relazione a festività o chiusure uffici;
  4. Divieto di diffusione delle immagini all’esterno;
  5. Informativa ai dipendenti e cartelli di avviso “area videosorvegliata”;
  6. Rilascio di idonea certificazione da parte dell’installatore;
  7. Rispetto delle prescrizioni del Garante Privacy e del Provvedimento sulla Videosorveglianza (peraltro in aggiornamento a breve);
  8. Predisposizione planimetria in A3 con dettagliate caratteristiche tecniche da inserire (campo visivo, angolo, ecc.) ed indicazione delle postazioni di lavoro e loro esclusione da angolo di ripresa ed inoltre posizione di tutti i monitor;
  9. Dettagliata relazione tecnico-descrittiva sulla gestione e l’utilizzo dell’impianto di videosorveglianza;
  10. Le registrazioni dovranno essere custodite in un armadio con doppia chiave alle quali potranno accedervi, con una doppia password, un legale rappresentante ed un rappresentante dei lavoratori.

A parere di chi scrive, soprattutto la limitatissima durata di conservazione prevista dall’istanza (peraltro indotta dal Provvedimento del Garante sulla Videosorveglianza) e la “bizantina e old retrò” previsione di accesso alle immagini registrate, che non tiene minimamente conto dell’evoluzione tecnologica dei sistemi ormai integrati nelle reti aziendali o in cloud, rende il modulo poco accessibile alle esigenze dei datori di lavoro.

Autore: Matteo Colombo | A.D. di Labor Project e Presidente di ASSO DPO

Fonte: www.lavoro.gov.it

Regolamento Privacy UE

14 APRILE 2016 | DATA STORICA PER LA PRIVACY: APPROVATO IL GDPR

Oggi il Parlamento Europeo ha approvato il testo definitivo del Regolamento Privacy UE (GDPR), che sarà pubblicato nei prossimi giorni sulla Gazzetta Ufficiale dell’Unione Europea, e sarà direttamente applicabile in tutti i 28 Stati Membri dell’Unione Europea.

La direttiva 95/46/CE sarà abrogata a decorrere da due anni dalla data di entrata in vigore del Regolamento.

Le principali novità introdotte sono:

  • obbligatorietà del Data Protection Officer per alcune tipologie di trattamento e per la P.A.;
  • diritto all’oblio, in particolar modo per i dati on-line;
  • previsione di un consenso chiaro ed inequivocabile;
  • i dati genetici e biometrici sono considerati dati sensibili;
  • maggiori informazioni sul periodo di conservazione dei dati;
  • sanzioni fino a 20 milioni di euro o al  4% del fatturato mondiale totale annuo del trasgressore;
  • one stop shop;
  • data breach notification;
  • previsione di Data Privacy Impact Assessment (DPIA) e di registri del trattamento;
  • codice di condotta e schemi di certificazione Privacy.

Al 2° Congresso Annuale di ASSO DPO che si terrà a Milano il 18 e 19 aprile 2016, parleremo di tutto questo, ed in particolare del nuovo ruolo del Data Protection Officer, con i massimi esperti internazionali ed italiani in materia di Data Protection.

Per maggiori informazioni www.congressoassodpo.it

Cliccare qui per visualizzare il testo del Regolamento Privacy UE (GDPR)

GLOBAL PRIVACY SUMMIT 2016

As ASSO DPO | Italian DPO Association | we want to be where the DPO’s community is!

I look forward to the IAPP’s Global Summit in Washington DC next week. A perfect opportunity to meet Data Protection Officers who work for successful compliance privacy programs in their companies.

Big thanks to those who wish to contact me in order to learn more about the Italian privacy legislation, get to know our Association and discuss Privacy topics.

If you also wish to connect during the event in Washington DC, please do not hesitate to send me a message on Linkedin.

See you soon!

Matteo Colombo

2° CONGRESSO ANNUALE ASSO DPO 2016 | ACCREDITATO ANCHE DALL’ORDINE DEGLI AVVOCATI DI MILANO

Il 2° Congresso Annuale di ASSO DPO è alle porte e, pur essendo terminati i posti disponibili per il Pre-Congresso del 18 Aprile, sono ancora aperte le iscrizioni per il Congresso Internazionale del 19 Aprile 2016 a Milano.

CLICCA QUI PER LEGGERE IL PROGRAMMA

Ecco perché non puoi mancare:

  • assistere ad un confronto sulla riforma europea Privacy | GDPR tra la Commissione Europa, il Garante Europeo e le Autorità Garanti Privacy di alcuni tra i più importanti Stati Europei (Gran Bretagna, Germania, Grecia e Italia);
  • ascoltare gli interventi anche di Data Protection Officer (DPO) di multinazionali italiane ed estere su temi importanti quali: Data Privacy Impact Assessment, misure di sicurezza, trasferimento dati all’estero, data breach e sanità;
  • avere l’opportunità di avere un confronto diretto con i massimi esperti italiani ed europei in tema di Data Protection;

Il Congresso è stato accreditato presso l’Ordine degli Avvocati di Milano (4 crediti) ed è in attesa di ricevere l’accreditamento anche da parte dell’Ordine dei Dottori Commercialisti e degli Esperti Contabili di Milano (ODCEC) e dall’Ordine dei Consulenti del Lavoro di Como.

CLICCA QUI PER ISCRIVERTI

Autorità Garanti e Principali Relatori:

  • Bruno Gencarelli | Head Unit Data Protection presso la Commissione Europea
  • Giovanni Buttarelli | Garante Europeo Protezione Dati Personali
  • Antonio Caselli | Autorità Garante per la Protezione dei Dati Personali
  • Iain Bourne | ICO – Autorità Garante Privacy Regno Unito
  • Stephen Eckersley | ICO – Autorità Garante Privacy Regno Unito
  • Michael Kaiser | Autorità Garante Privacy Tedesca (Assia – HDSB)
  • Dimitris Zografopoulos | Autorità Garante Privacy Greca
  • Steve Wright | Former Chief Privacy Unilever
  • Ernst O. Wilhelm | DPO GFT Technologies AG
  • Gennaro Vecchione | Comandante delle Unità Speciali della Guardia di Finanza
  • Anna Pouliou | Executive Lead Attorney for European Privacy & Data Protection di GE Corporate
  • Gianni Cattaneo | Avvocato e Docente Universitario presso Supsi
  • Prof. Mauro Moruzzi | Università di Bologna
  • Sabrina Salvaterra | Sr Manager Quality & Governance Biogen Italia
  • Riccardo Giannetti | Esperto in certificazioni Privacy
  • Raffaele Provolo | DPO Comune di Milano
  • Ricard Martínez | Presidente di APEP
  • Caroline Olstedt Carlstrom | Presidentessa Data Protection Forum – Svezia.

Moderatori:

  • Alexis Kateifides | DataGuidance Global Privacy Director
  • Alice Marini | DataGuidance Privacy Analyst
  • Stewart Dresner | Director Privacy Laws&Business
  • Gonca G. Dhont | CEO DPO Network Europe
  • Comitato Scientifico di ASSO DPO

Per maggiori informazioni

segreteria@assodpo.it | www.congressoassodpo.it