Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

In cosa consiste la valutazione d’impatto?

Con il nuovo Regolamento privacy il titolare del trattamento è chiamato a valutare il rischio a cui il proprio trattamento potrebbe esporre i dati trattati e, quindi, i diritti e le libertà fondamentali delle persone fisiche. La valutazione d’impatto consiste quindi in un “processo continuo” da riesaminare periodicamente e in occasione di eventuali mutamenti sostanziali, il cui risultato finale è rappresentato da una rassegna delle attività svolte per valutare il rischio derivante dal trattamento e dei mezzi, degli strumenti e delle misure adottate per contrastarlo.

Quando occorre effettuare tale valutazione?

La valutazione d’impatto andrebbe svolta dal titolare prima di procedere al trattamento, ossia in una fase in cui sia ancora possibile apportare modifiche e adottare misure tali da mitigare l’eventuale rischio emergente dalla valutazione. Tale adempimento rientra infatti nell’ambito dell’approccio di sicurezza proattiva adottato dal GDPR, consistente in una serie di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.

Si tratta di un adempimento obbligatorio?

La valutazione d’impatto è obbligatoria solo in taluni casi, cioè quando il trattamento consista in: 1) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o 3) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (per il concetto di larga scala, si veda LINK Faq sul DPO). È poi previsto che l’Autorità Garante per la protezione dei dati personali rediga e pubblichi un elenco delle tipologie di trattamenti soggetti a tale adempimento.

Anche nei casi in cui non debba procedersi obbligatoriamente alla valutazione d’impatto, quest’ultima rappresenta una misura raccomandata, poiché consente al titolare di individuare le eventuali situazioni di rischio e di porvi rimedio prima di arrecare danni agli interessati ovvero di violare la normativa.

Chi deve procedere alla valutazione d’impatto?

Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, la responsabilità rimane in capo al titolare che dovrà quindi vigilare attentamente sulla conduzione della valutazione d’impatto.

Come evidenziato anche dal Regolamento, il titolare dovrebbe poi consultarsi fin dall’inizio con il Data Protection Officer e con i responsabili del trattamento. E? altresì previsto che, ove necessario, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) raccolga le opinioni degli interessati o dei loro rappresentanti sul trattamento che si intende effettuare, documentando l’eventuale difformità di opinioni, nonché le motivazioni che hanno indotto ad agire diversamente da quanto emerso dalle consultazioni.

Come si effettua la valutazione d’impatto?

Una volta esaminata l’obbligatorietà o facoltatività della conduzione della valutazione, occorre procedere ad una ricognizione sistematica dei trattamenti che presentano un rischio elevato. Per ciascun trattamento (o categoria di trattamento) andranno quindi raccolte informazioni circa: a) la natura, la finalità e il contesto del trattamento; b) le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati; c) una descrizione funzionale delle operazioni di trattamento e, in particolare, dei flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento); d) le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento; e) i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.

Successivamente, occorrerà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate: per ciascun trattamento andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Grazie alla documentazione e alle informazioni così raccolte, sarà possibile procedere all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.

Una volta identificati i rischi, occorrerà infine provvedere alla gestione dei medesimi. In questa fase sarà dunque necessario scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato.

Dove conservo la valutazione d’impatto?

I risultati e le osservazioni emersi in sede di valutazione d’impatto devono confluire in un report finale, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi. Il report dovrà altresì recare l’indicazione specifica dell’organizzazione o del progetto per cui la valutazione d’impatto è stata condotta, nonché i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente.

Pillola: gli adempimenti successivi alla valutazione d’impatto

Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29, nelle sue Guidelines on DPIA adottate il 4 aprile 2017 e revisionate il 4 ottobre 2017, raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.

Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’Autorità Garante italiana per la protezione dei dati personali, al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa è il registro delle attività di trattamento?

Si tratta di un nuovo adempimento introdotto dal GDPR e consistente nell’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare e del responsabile del trattamento.

Chi è obbligato alla tenuta di tale registro?

Il titolare e il responsabile sono tenuti obbligatoriamente a redigere e a conservare in modo autonomo il proprio registro. Il registro del titolare e quello del responsabile devono pertanto essere due documenti distinti, aventi ciascuno un preciso contenuto minimo.

La compilazione del registro potrà eventualmente essere delegata al Data Protection Officer, senza che ciò comporti uno spostamento della responsabilità relativa all’osservanza di tale obbligo che rimane comunque in capo al titolare e al responsabile.

Nella redazione del registro, il titolare e il responsabile potranno poi chiedere l’ausilio dei responsabili dipartimentali della propria organizzazione: si presume infatti che questi ultimi abbiano una maggiore familiarità e conoscenza dei trattamenti svolti all’interno del reparto a cui fanno capo, potendo fornire informazioni più precise e corrette in ordine ai trattamenti.

Il GDPR prevede eccezioni a tale obbligo?

Il nuovo Regolamento prevede che l’obbligo di tenuta del registro delle attività di trattamento non si applichi a imprese o organizzazioni con meno di 250 dipendenti. Tuttavia, affinché tale esonero sia valido, è necessario altresì che il trattamento non presenti un rischio per i diritti e le libertà dell’interessato, il trattamento sia occasionale o non includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati.

Quali informazioni devono essere indicate nel registro?

Il contenuto minimo delle informazioni da inserire nel registro muta a seconda che il documento inerisca le attività di trattamento del titolare ovvero del responsabile.

Nel primo caso, il titolare dovrà indicare: a) il nome e i dati di contatto del titolare e, ove applicabile, del contitolare, del rappresentante del titolare del trattamento e del D.P.O; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; e) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità (decisione di adeguatezza o garanzie adeguate); f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Nel secondo caso, il responsabile è tenuto invece a indicare solo: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del D.P.O; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

È possibile elaborare e conservare il registro in forma elettronica?

Il GDPR prescrive la forma scritta del registro, ammettendo tuttavia l’equivalenza del formato elettronico. Sarà dunque possibile elaborare e conservare il registro anche direttamente su periferiche informatiche, ad esempio attraverso la creazione di file Excel.

Esistono ulteriori adempimenti connessi al registro?

La mera redazione del registro non è sufficiente per potersi dire completamente conformi al GDPR. Occorre infatti provvedere periodicamente alla sua revisione ed aggiornamento, in particolare inserendo eventuali nuove attività di trattamento o eliminando quelle cessate.

Inoltre, il titolare e il responsabile del trattamento (e, ove applicabile, il loro rappresentante) hanno l’obbligo di esibire il registro ogniqualvolta l’Autorità Garante per la protezione dei dati personali lo richieda.

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore in data 1 aprile 2018.

Il GDPR, cioè il Regolamento UE 2016/679 relativo alla protezione dei dati personali nonché alla libera circolazione dei dati, è direttamente applicabile dal 25 maggio.

L’Italia ha ritenuto, con un notevole ritardo, che fosse opportuno adeguare il quadro normativo. Altri Paesi europei hanno intrapreso il lavoro di adeguamento già nel 2016, noi nel gennaio di quest’anno. Il 21 marzo il Consiglio dei Ministri ha approvato uno schema di decreto.

Il GDPR, emanato oltre 20 anni dopo la “direttiva-madre” 95/46, che viene abrogata, rivoluziona l’approccio alla protezione dei dati personali. Si passa da un regime autorizzatorio ad uno di accountability, cioè di responsabilizzazione. L’interesse alla libera circolazione dei dati personali è ora uno dei riferimenti necessari nel bilanciamento che l’applicazione del diritto alla protezione dei dati personali impone. Sulla base giuridica del legittimo interesse del titolare, valutata la specifica finalità, potranno essere trattati, ad esempio, i dati provenienti da pubblici registri, comunicati i dati infragruppo, trattati i dati dei rappresentanti delle persone giuridiche. Ancora, il consenso al trattamento dei dati sanitari per finalità di diagnosi, assistenza o terapia sanitaria non sarà più richiesto.

Il nuovo approccio normativo della UE a venti anni dalla direttiva, si fonda sulla constatazione del mutamento dello scenario tecnologico e sociale (basti pensare ai social network che neppure esistevano).

Ciò premesso, veniamo al metodo e alle scelte principali adottate nello schema di decreto. Visto che il Regolamento europeo non può essere inserito in un testo normativo italiano, si sono integrate le sue disposizioni, ove necessario, nello schema di decreto, seguendo l’ordine del Regolamento. La delega prevedeva l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento, la modifica del Codice e il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.

Dunque, muovendo dal Regolamento, fonte sovraordinata, si sono eliminate le disposizioni del Codice italiano, figlio della direttiva abrogata, non compatibili. Pressoché l’intera parte generale del Codice è risultata abrogata.

Di conseguenza, si è posta la scelta se mantenere un terzo testo normativo (oltre al Regolamento e al decreto) costituito da ciò che restava del Codice, all’evidenza non più tale, o se trasferire le disposizioni del Codice nel decreto, lasciando agli operatori non tre, ma due testi normativi. Questa seconda scelta è parsa la più razionale nell’ottica di riordinamento e di semplificazione.

Si è scelto, inoltre, di mantenere la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame. Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti).

Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Ue, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo.Siccome il Regolamento prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), che gli stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.

In attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.

Considerato il nuovo approccio europeo alla protezione dei dati personali, lo schema di decreto cerca di semplificare e deburocratizzare, nonché di ridurre i costi dell’incertezza giuridica.

privacy8_320x245Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quali sono i diritti dell’interessato?

L’interessato, cioè la persona fisica i cui dati personali sono trattati, detiene una serie di diritti, esercitabili nei confronti del titolare del trattamento in qualunque momento, che gli permettono di mantenere il controllo sui dati che ha conferito e sul loro utilizzo.

Questi diritti, già previsti anche dal Codice privacy, sono per esempio: il diritto di accesso ai propri dati (in base al quale l’interessato ha diritto di ottenere la presa visione dei dati che lo riguardano e di una serie di informazioni aggiuntive); il diritto di rettifica (in base al quale l’interessato può chiedere la correzione o integrazione dei dati comunicati); il diritto di opposizione (in base al quale l’interessato ha diritto di opporsi al trattamento in corso al ricorrere di specifiche circostanze).

Cosa cambia con il GDPR?

Per quanto riguarda i diritti, il GDPR ne arricchisce l’elenco, aggiungendo alla lista: il diritto di cancellazione (o diritto all’oblio); il diritto di limitazione del trattamento e il diritto alla portabilità.

Dal punto di vista dei titolari, rimane in capo agli stessi l’obbligo di agevolare l’esercizio dei diritti da parte degli interessati (adottando ogni misura tecnica e organizzativa idonea) e di dare riscontro alle loro richiese (eventualmente con la collaborazione del responsabile del trattamento).

Il GDPR, in particolare, stabilisce che il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, che può essere esteso fino a 3 mesi, in considerazione della complessità e del numero di richieste ricevute. In ogni caso, il titolare deve dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. La risposta, di regola in forma scritta, deve essere concisa, trasparente e formulata in un linguaggio semplice e chiaro.

Cos’è il diritto di cancellazione (diritto all’oblio)?

Il diritto all’oblio costituisce il diritto dell’interessato di richiedere al titolare del trattamento la cancellazione dei dati dallo stesso detenuti.

Il diritto all’oblio, però, non può essere esercitato in ogni circostanza, ma solo in presenza di una delle condizioni elencate all’art. 17 del GDPR. Queste ricorrono nel caso in cui:

1) i dati esuberino rispetto al perseguimento delle finalità di trattamento;

2) si sia revocato il consenso al trattamento o si sia esercitato il diritto di opposizione;

3) il trattamento risulti illecito;

4) i dati debbano essere cancellati per adempiere ad un obbligo di legge;

5) i dati siano stati raccolti nell’ambito di un servizio della società dell’informazione, quando l’interessato era ancora minorenne (quindi non pienamente consapevole dei rischi derivanti dal trattamento).

All’obbligo del titolare di adempiere alla richiesta di cancellazione dell’interessato, in una delle situazioni sopra elencate, si aggiunge un onere ulteriore. Negli ambienti digitali, infatti, la circolazione e diffusione delle informazioni raggiunge portata ben più significativa rispetto alla loro circolazione nel mondo fisico. Per questo motivo il GDPR ha previsto che il titolare, nel caso in cui abbia reso i dati personali dell’interessato pubblici (es. su un sito web), dovrà anche informare gli altri titolari del trattamento della richiesta espressa dall’interessato di cancellare qualsiasi link o copia o riproduzione dei suoi dati personali.

Gli unici limiti al diritto all’oblio sono previsti nel caso in cui il diritto dell’interessato ad ottenere la cancellazione dei suoi dati soccomba di fronte a interessi superiori. È il caso, per esempio, in cui il trattamento dei dati sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o, ancora, perché sia richiesto dalla legge o sia necessario al perseguimenti di un interesse pubblico. Il diritto all’oblio potrebbe inoltre essere negato nel caso in cui la conservazione dei dati sia necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Cos’è il diritto di limitazione del trattamento?

L’esercizio da parte dell’interessato di questo diritto, gli consente di, appunto, “limitare” il trattamento dei suoi dati in una serie di situazioni in cui, pur non venendo totalmente meno un interesse al loro trattamento, l’interessato ne richiede una restrizione temporanea.

Il diritto di ottenere una limitazione nel trattamento può essere esercitato quando:

1) l’interessato contesta l’esattezza dei dati personali, e richiede quindi una limitazione al loro utilizzo per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

2) il trattamento è illecito, ma l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

3) benché il titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

4) l’interessato si è opposto al trattamento, e si attua la limitazione del trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Cos’è il diritto alla portabilità dei dati?

Il diritto alla portabilità si presenta come un diritto dal duplice contenuto. Da un lato, si sostanzia nel diritto dell’interessato di ricevere i dati in un formato strutturato, di uso comune, che sia leggibile da dispositivi automatici. Non ci sono espresse indicazioni sul tipo di formato utilizzabile, ma è evidente che l’obbiettivo è quello di garantire che i dati siano forniti in un formato “interoperabile”, che ne consenta il facile riutilizzo da una molteplicità di dispositivi e servizi.

Dall’altro lato, il diritto alla portabilità si sostanzia nel diritto di trasmettere (ma anche di ottenere la trasmissione diretta di) i suoi dati a un altro titolare del trattamento, senza che il titolare “originario” possa impedirlo.

Anche il diritto alla portabilità non può essere esercitato incondizionatamente, ma solo qualora i dati personali rispettino una serie di condizioni, in particolare devono:

1) essere dati personali chiaramente riferibili all’interessato (ovviamente rimangono esclusi i dati anonimi);

2) essere trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui e? parte l’interessato;

3) essere trattati attraverso strumenti automatizzati;

4) essere stati forniti dall’interessato. Questa condizione, però, deve interpretarsi in senso ampio, per cui il diritto non è limitato ai dati forniti consapevolmente e in modo attivo dall’interessato (es. dati raccolti attraverso un form di iscrizione) ma si estende anche ai dati forniti attraverso la fruizione di un servizio o l’utilizzo di un dispositivo (es. dati di localizzazione o la cronologia del browser dell’interessato).

È importante precisare che il diritto alla portabilità, invece, non può essere esercitato sui dati c.d. “derivati”, cioè il prodotto del lavoro di analisi effettuato dal titolare sulla base di dati personali dallo stesso raccolta. Si tratta, in altre parole, di dati “creati” dal titolare, sui quali lo stesso mantiene il controllo (es. l’esito di una valutazione concernente la salute di un utente o il profilo creato al fine di attribuire uno score creditizio o di ottemperare a normativa antiriciclaggio).

Unione_EuropeaIl 21 marzo 2018 il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

Security_cybercrimeIl regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cosa si intende per data breach?

Il GDPR definisce il data breach, in italiano “violazione dei dati personali”, come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le tipologie di data breach, quindi, sono molteplici e possono configurarsi nel furto o nell’accidentale cancellazione di dati da un database, ma anche in un attacco malware che impedisca l’accesso ai sistemi informatici o in un blackout che renda i dati temporaneamente non disponibili.

In sintesi si può dire che il data breach è una specifica tipologia di incidente di sicurezza, nel caso in cui siano coinvolti dati personali. Mentre tutti i data breach sono incidenti di sicurezza, non è detto che un incidente di sicurezza sia qualificabile come data breach.

Cosa deve fare il titolare del trattamento in caso di data breach?

Gli artt. 33 e 34 del GDPR disciplinano le procedure che il titolare deve attivare in caso di data breach. Queste si distinguono in una procedura di notifica della violazione all’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali) e in una procedura di comunicazione della violazione all’interessato.

Entrambi i procedimenti hanno il preciso scopo di informare, il Garante o l’interessato, dell’avvenuta violazione per permettere loro di attivarsi e adottare eventuali misure di tutela.

Cosa deve fare il responsabile del trattamento in caso di data breach?

Sebbene l’obbligo di notifica e di comunicazione sia posto in capo al titolare, l’art. 33 dispone che il responsabile del trattamento, dopo essere venuto a conoscenza della violazione, debba informarne il titolare senza ingiustificato ritardo.

Per rendere l’intervento a seguito di violazioni il più efficiente e tempestivo possibile, anche in considerazione delle dimensioni dei contesti di trattamento dei dati e delle persone che possono esservi coinvolte, sarebbe utile per il titolare predisporre un apposito piano di sicurezza. Il piano dovrebbe definire gli step e le procedure organizzative da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.

Quando deve essere effettuata la notifica al Garante?

L’art. 33 del GDPR prevede che il titolare che sia venuto a conoscenza di una violazione debba darne tempestiva notifica all’autorità di controllo, ove possibile entro le 72 ore o, se effettuata oltre il termine, motivando le ragioni del ritardo. Non è necessario effettuare la notifica nel caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta? delle persone fisiche. È il titolare, quindi, responsabile di analizzare i potenziali rischi generati dal data breach nei confronti degli interessati e valutare se questi non siano tali da far scattare l’obbligo di notifica all’autorità di controllo. Si noti che basta la presenza di un rischio “semplice” per obbligare il titolare alla notifica.

Quando deve essere data comunicazione all’interessato della violazione?

L’art. 34 del GDPR prevede che, quando il data breach sia suscettibile di presentare un rischio elevato per i diritti e le liberta? delle persone fisiche, il titolare sia obbligato a dare comunicazione della violazione all’interessato senza ingiustificato ritardo. Dunque, a differenza della notifica al Garante, la comunicazione all’interessato deve essere fornita solo nel caso in cui la violazione presenti un “rischio elevato”. È comunque sempre compito e responsabilità del titolare effettuare tale valutazione. L’articolo prosegue elencando una serie di circostanze in cui, pur in presenza di un potenziale rischio elevato, la comunicazione all’interessato non deve essere effettuata se: a) il titolare aveva applicato adeguate misure tecniche e organizzative di protezione sui dati oggetti di violazione (es. cifratura); b) il titolare ha successivamente adottato misure idonee a scongiurare un rischio elevato per gli interessati; c) la comunicazione richiederebbe sforzi sproporzionati (in questo caso si procederebbe a una comunicazione pubblica o con simili modalità).

Quali sono le modalità di comunicazione?

Per essere compliant con l’obbligo di comunicazione del GDPR non è sufficiente informare l’interessato. L’adeguatezza di una comunicazione, infatti, dipende non solo dal contenuto del messaggio, ma anche dalle modalità con cui tale messaggio è stato veicolato. Per soddisfare la loro funzione informativa, le comunicazioni devono essere formulate in un linguaggio semplice e facilmente comprensibile. Devono essere privilegiate modalità di comunicazione diretta con i soggetti interessati (come e-mail, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni in contesti eccessivamente generici e fuorvianti (per esempio con update generali o newsletter).

Come si valuta il rischio a seguito di una violazione?

La valutazione dei rischi scaturenti da una violazione è un passaggio fondamentale perché permette al titolare non solo di individuare misure adeguate per arginare o eliminare l’intrusione, ma anche di valutare la necessità di attivare le procedure di notifica e comunicazione (che si attivano solo al superamento di determinate soglie di rischio). La valutazione è simile a quella che il titolare deve effettuare con riferimento al Data Protection Impact Assessment (cioè la valutazione d’impatto preventiva), a differenza della quale, però, dovrà essere maggiormente personalizzata avendo riguardo alle circostanze concrete della violazione.

Tra i fattori che il titolare dovrà tenere in considerazione nel suo assessment ci sono: il tipo di violazione (di riservatezza, di accessibilità o di integrità?) e la natura dei dati violati (es. dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (che varia a seconda del tipo di dati, identificativi o non identificativi, e delle modalità utilizzate nella loro conservazione, per esempio tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui (che è differisce se i dati sono stati inviati per errore a un soggetto di fiducia o sono stati rubati da un terzo sconosciuto); eventuali speciali caratteristiche e numero degli individui interessati (es. se sono coinvolti bambini o anziani; se si tratta di violazione massiccia o individuale) e le particolari caratteristiche del titolare (per esempio in base all’ambito di attività).

carta-didentitàIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Chi è il Data Protection Officer?

Il Data Protection Officer, o più comunemente D.P.O. (in italiano, “Responsabile della protezione dei dati”), è la figura nominata dal titolare o dal responsabile del trattamento avente, principalmente, un duplice ruolo: da un lato, quello di sorvegliare e coordinare l’osservanza della disciplina privacy all’interno dell’organizzazione del soggetto che l’ha designato; dall’altro, quello di interfaccia esterna con le autorità e con i soggetti interessati.

Quando deve essere nominato il D.P.O.?

La designazione del D.P.O. è obbligatoria quando: a) il trattamento è effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali); b) il trattamento richiede il monitoraggio sistematico degli interessati su larga scala; c) viene effettuato il trattamento su larga scala di particolari categorie di dati (ad esempio: dati sensibili, dati genetici, biometrici, dati giudiziari o dati riferiti a minori). Tuttavia, la legge nazionale o il diritto europeo possono prevedere ulteriori casi di designazione obbligatoria.

Al di fuori di queste ipotesi, la nomina del D.P.O. è facoltativa ma è comunque fortemente raccomandata, data la rilevante funzione di ausilio e di supporto nell’osservanza del GDPR.

Quali sono i requisiti necessari per essere nominati D.P.O.?

Il D.P.O. deve possedere conoscenze specialistiche proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. In particolare, deve padroneggiare la normativa e le prassi nazionali ed europee in materia di protezione dei dati e avere un’approfondita conoscenza del GDPR, così come del settore di attività e della struttura organizzativa del titolare del trattamento.

Infine, deve avere una buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare/responsabile.

Quali compiti può svolgere il D.P.O.?

Oltre alla funzione di coordinamento interno e di interfaccia esterna, il D.P.O. deve occuparsi della formazione continua dell’organico del titolare/responsabile del trattamento in materia privacy, monitorare il rispetto del GDPR, nonché fornire – ove richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’elenco delle mansioni non è esaustivo e il titolare o il responsabile del trattamento possono decidere di affidargli ulteriori compiti, come ad esempio la tenuta del registro delle attività di trattamento.

Il D.P.O. può essere un dipendente?

Il titolare o il responsabile del trattamento possono decidere di nominare D.P.O. un soggetto interno alla propria organizzazione ovvero di affidare la mansione ad un soggetto esterno (mediante outsourcing o un contratto di servizi). In entrambi i casi, occorrerà garantire la piena autonomia e indipendenza del D.P.O., così come l’assenza di conflitti di interesse. Per questo motivo, il D.P.O. non può ricevere istruzioni né essere rimosso o penalizzato per l’adempimento dei propri compiti.

Il D.P.O. può avvalersi di ausiliari?

È obbligo del titolare o del responsabile del trattamento fornire al D.P.O. tutte le risorse necessarie in termini di tempo e budget sufficienti per espletare i propri compiti, infrastrutture (sede, attrezzature, strumentazione) e personale. Il D.P.O. può infatti avvalersi di un team di collaboratori che lo coadiuvino nei propri compiti. In tal caso, occorrerà ripartire chiaramente i compiti all’interno del team e prevedere che sia un solo soggetto identificato a fungere da referente.

Chi è responsabile delle violazioni del GDPR?

Il controllo del rispetto del GDPR non significa che il D.P.O. sia personalmente responsabile in caso di inosservanza. Il titolare e il responsabile del trattamento continueranno a rispondere delle eventuali violazioni in materia privacy derivanti dal loro trattamento.

Il titolare/responsabile deve rendere pubblica la nomina del D.P.O.?

La nomina del D.P.O. deve essere resa nota tanto all’interno, quanto all’esterno dell’organizzazione del titolare o del responsabile del trattamento. In particolare, sul sito del titolare/responsabile del trattamento andranno pubblicati i dati di contatto del D.P.O., tra cui recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. I medesimi dati di contatto dovranno poi essere comunicati all’Autorità Garante per la protezione dei dati personali, nonché resi noti ai soggetti interessati per il tramite dell’informativa (vd. scheda sull’informativa).

firma_digitale2Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cos’è il consenso al trattamento?

Secondo la nuova definizione del GDPR, per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n 11).

Analizzando la definizione, si desume che il consenso rappresenta una manifestazione di volontà, espressa in termini affermativi e in maniera inequivocabile. Dunque potrà essere unicamente una dichiarazione o azione positiva dell’interessato e non invece un suo comportamento meramente passivo, per esempio un suo ipotetico silenzio-assenso.

Inoltre, il GDPR, come anche il Codice privacy, richiede che il consenso sia non solo inequivocabile, ma anche: libero (prestato in assenza di costrizioni); specifico (uno per ogni finalità di trattamento); informato (all’interessato deve essere stata fornita adeguata informativa sul trattamento dei dati personali).

Chi deve richiedere il consenso per il trattamento dei dati personali?

Il titolare del trattamento o, se a ciò specificatamente istruito, il responsabile del trattamento devono raccogliere il consenso dell’interessato nel caso vogliano trattarne i dati.

Si segnala che il GDPR pone in capo al titolare un vero e proprio onere probatorio. L’art. 7, 1° comma specifica infatti che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso, cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se: a) è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte; b) è necessario per adempiere ad un obbligo legale; c) è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona; d) è necessario per l’esecuzione di un compito di interesse pubblico; e) è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati.

In quest’ultimo caso sarà dovere e responsabilità del titolare operare il bilanciamento fra il suo interesse legittimo e i diritti degli interessati, giustificando la prevalenza del suo interesse su quello dei diversi interessati.

Quali possono essere legittimi interessi del titolare?

Il GDPR ai considerando 47,48 e 49 elenca a titolo esemplificativo alcuni attività che potrebbero essere considerate di interesse legittimo per il titolare, prevalenti rispetto a quelli degli interessati.

Tra queste si inserisce la legittima prevenzione delle frodi o le finalità di marketing diretto (che si precisa avviene nel caso il titolare utilizzi i dati di contatto che l’interessato gli aveva fornito in precedenza nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso). Ancora potrebbe considerarsi coperto dall’interesse legittimo il trattamento di dati a fini amministrativi interni o al fine di garantire la sicurezza delle reti e dell’informazione.

Ci sono condizioni particolari per il trattamento dei dati sensibili (c.d. particolari categorie di dati)?

Per il trattamento di categorie particolari di dati (dati sensibili), la regola generale e? quella del consenso “esplicito” (il consenso esplicito si applica anche nel caso in cui il titolare intenda adottare un procedimento decisionale basato unicamente su trattamenti automatizzati, compresa la profilazione, che produca effetti giuridici sull’interessato).

Anche in questo caso il GDPR prevede una serie “circostanze equipollenti” che derogano alla necessità di raccogliere il consenso (art. 9). Tra queste ve ne sono alcune particolarmente innovative, tra cui trattamenti necessari per: assolvere ad obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale; finalità di medicina preventiva o di medicina del lavoro; motivi di interesse pubblico nel settore della sanita? pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici.

Quali sono le novità in materia di consenso dei minori?

Il GDPR inserisce una disposizione ad hoc per il consenso dei minori, che tuttavia riguarda esclusivamente l’offerta diretta di servizi della società dell’informazione.

In considerazione dell’ampia varietà di contenuti e servizi digitali a cui i minori hanno accesso grazie all’utilizzo di Internet, il GDPR vuole rafforzare la posizione di tutela di questi ultimi di fronte ai pericoli della Rete. L’art. 8 specifica quindi che il consenso prestato dal minore per il trattamento dei suoi dati personali, nell’ambito di un servizio della società dell’informazione, è lecito solo nel caso il minore abbia almeno 16 anni (età che può essere diminuita fino a un minimo di 13 anni dagli Stati membri).

Nel caso l’età del minore sia inferiore, il trattamento sarà legittimato solo con il consenso, prestato o autorizzato, dal genitore o comunque titolare della responsabilità genitoriale.

Quali sono le condizioni di raccolta del consenso?

Alla luce della definizione di consenso (manifestazione di volontà libera, specifica, informata e inequivocabile), il GDPR specifica alcune condizioni richieste al titolare al fine di assicurare la raccolta di un consenso legittimo.

Il consenso può essere prestato tramite dichiarazione scritta o a mezzo di dichiarazione orale.

Nel caso il consenso sia prestato per iscritto, nell’ambito di una dichiarazione che riguardi anche altre questioni, il consenso al trattamento dei dati personali deve essere presentato in maniera chiaramente distinguibile dalle altre materie.

La formulazione del consenso deve essere comprensibile e facilmente accessibile, utilizzando quindi un linguaggio semplice e chiaro.

Inoltre il titolare deve tenere in considerazione che il consenso prestato dall’interessato potrà essere dallo stesso sempre revocato, in qualsiasi momento, con la stessa facilità con cui è stato accordato.

Come scrivere un consenso conforme al regolamento?

Per sintetizzare, per formulare un consenso conforme al GDPR, questo:

1) deve integrare un atto positivo inequivocabile: può essere raccolto attraverso una dichiarazione scritta, anche attraverso mezzi elettronici, o una dichiarazione orale;

1.1) ciò implica che non equivalgono a consenso: silenzio, inattività o preselezione di caselle

1.2) al contrario si potrà raccogliersi il consenso tramite: apposita casella (non preselezionata) su un sito; la scelta di impostazioni tecniche per i servizi della società dell’informazione o comunque qualsiasi dichiarazione o comportamento che indichi chiaramente l’accettazione dell’interessato

2) deve essere formulato con un linguaggio semplice, chiaro e comprensibile;

3) deve esserci un consenso per ciascuna finalità di trattamento (si ricorda che marketing e profilazione costituiscono finalità distinte);

4) in presenza di minori: verificare l’età del minore o richiedere il consenso parentale;

5) per le particolari categorie di dati, deve essere in ogni caso “esplicito”;

6) necessita l’adozione di misure che permettano al titolare di dimostrare l’avvenuta raccolta del consenso e l’esercizio agevole del diritto di revoca dell’interessato.

Digital-Signature-blueIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa.

Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cos’è l’informativa privacy?

Per “informativa” o “privacy policy” si intende quell’insieme di informazioni che devono essere fornite agli interessati (cioè le persone fisiche i cui dati sono trattati) per permettere loro di conoscere le ragioni, i soggetti e le modalità con cui i loro dati personali saranno utilizzati.

Chi deve fornire l’informativa privacy?

L’informativa deve essere fornita dal titolare del trattamento o dal responsabile del trattamento, se è stato così istruito dal titolare.

Quali sono i contenuti dell’informativa?

Il GDPR prescrive in modo tassativo i contenuti dell’informativa agli artt. 13, 1° comma e 14, 1° comma.

Alcuni di questi erano già previsti dal nostro Codice privacy, per esempio,l’indicazione di: a) dati di contatto del titolare del trattamento e di eventuali responsabili di cui si avvale; b) finalità del trattamento (es. adempimento contrattuale, marketing, profilazione ecc.) ; c) l’obbligatorietà o meno della fornitura dei dati e le eventuali conseguenze in sua mancanza; c) i diritti dell’interessato.

Il GDPR arricchisce l’informativa con ulteriori informazioni che il titolare deve fornire all’interessato per procedere al trattamento, quali: a) i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer, DPO), se designato; b) la base giuridica del trattamento (es. consenso; interesse pubblico; esecuzione contratto ecc.) e nel caso questa sia costituita da un interesse legittimo del titolare, specificarne i contenuti; c) se i dati saranno trasferiti in Paesi extra-europei e attraverso quali strumenti avverrà il trasferimento (es. decisione di adeguatezza; BCR; clausole contrattuali standard); d) il periodo di conservazione dei dati o i criteri utilizzati per calcolarlo; e) l’esistenza di un processo decisionale automatizzato (tra cui si include anche la profilazione) e le logiche su cui è fondato.

Quando deve essere fornita l’informativa privacy?

L’informativa deve essere consegnata all’interessato nel momento in cui i suoi dati sono raccolti, quindi prima dell’inizio di ogni tipo di trattamento. Il GDPR esonera i titolari dall’obbligo di informativa solo nel caso in cui l’interessato disponga già di tutte le informazioni (art. 13, 4° comma).

Nel caso in cui i dati non siano ottenuti presso l’interessato, invece, il titolare deve fornire all’interessato le informazioni sopra elencate (specificando inoltre la fonte di provenienza dei dati) entro un mese dalla loro raccolta o comunque al momento della loro comunicazione (a terzo o allo stesso interessato). Anche in questo caso il GDPR prevede alcune ipotesi di esonero (art. 14, 5° comma, es. quando l’adempimento risulti impossibile o richieda uno sforzo eccessivo). È compito e quindi responsabilità del titolare valutare il ricorrere di una delle circostanze indicate.

Una nuova informativa deve inoltre essere fornita all’interessato nel caso in cui il titolare decide di trattare i dati raccolti per finalità diverse rispetto a quelle originariamente comunicate.

Come deve essere fornita l’informativa privacy?

Anche in questo il GDPR definisce in maniera più chiara le modalità in cui l’informativa deve essere formulata e fornita.

In linea di principio l’informativa è fornita per iscritto o con altri mezzi, anche elettronici. Solo nel caso sia l’interessato a richiederlo, l’informativa potrà essergli fornita oralmente.

Per quanto riguarda la formulazione il GDPR precisa che l’informativa deve essere: concisa, trasparente, intelligibile e facilmente accessibile. In sostanza deve essere formulata con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori (art. 12, 1° comma). Inoltre, proprio per garantire la massima trasparenza e semplicità di lettura, si prevede che le informazioni possano essere fornite in combinazione con icone standardizzate per dare, in maniera intuitiva e facilmente comprensibile, un quadro d’insieme del trattamento previsto.

posted by admin on novembre 7, 2017

Eventi

(No comments)

Le normative e il contesto di mercato a livello nazionale ed internazionale indirizzano sempre più verso un’economia di tipo digitale. Se spesso sono chiari gli obiettivi da raggiungere con la trasformazione digitale, molto meno lo sono i percorsi da intraprendere. Come intervenire sui processi esistenti per renderli digitali? Quali sono le prossime scadenze normative? In definitiva, come riorganizzare il proprio business nell’ottica di un’economia totalmente digitale già alle porte?

Queste le domande a cui verrà data risposta nel corso della conferenza “Pronti per l’economia digitale?” organizzata da Intesa Spa martedì 14 novembre 2017 alle 9:30 presso l’IBM Client Center di Milano.

Alle 10.15  Giusella Finocchiaro introdurrà i principali cambiamenti introdotti dal nuovo Regolamento per la protezione dei dati europeo.

Nell’ottica di un’integrazione dei processi end to end, unitamente a casi pratici durante l’evento saranno affrontate anche tematiche quali la fatturazione elettronica B2B nel contesto di mercato e in prospettiva europea, l’efficienza di filiera con i portali B2B, i processi interni tracciati e sicuri, la firma elettronica e i workflow approvativi.

La partecipazione è libera e gratuita. Per consultare il programma e per la registrazione si rimanda a QUESTA pagina.