Call Us +39 011 55.84.111

Data Breach: il gruppo articolo 29 pubblica la versione definitiva delle linee guida sulla procedura di data breach ai sensi del GDPR

Il Gruppo di lavoro ex art. 29 (“WP29”) ha adottato il 6 febbraio 2018 la versione definitiva delle linee guida sulla notifica delle violazioni dei dati personali (cd. “Data Breach”) ai sensi del Regolamento UE n. 679/2016 (cd. “GDPR”). Nel documento in esame, il WP29 ha ricordato che il Data Breach consiste in una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Il WP29, riprendendo la distinzione già operata nel suo precedente parere 03/2014, suddivide la violazione dei dati personali in tre categorie:

– “Confidentiality breach”: in caso di divulgazione o accesso non autorizzato o accidentale a dati personali;

 – “Availability breach”: in caso di alterazione non autorizzata o accidentale di dati personali;

– “Integrity breach”: in caso di modifica non autorizzata o accidentale di dati personali.

Ai sensi dell’articolo 33, primo comma, del GDPR, in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il GDPR ammette che i titolari del trattamento possano non essere in possesso di tutte le informazioni relative alla violazione nelle 72 ore successive al suo verificarsi. In tale ipotesi, il WP29 ha chiarito che i titolari hanno la possibilità di comunicare entro il termine di legge all’Autorità di controllo la sola violazione subita, per poi fornire in un successivo momento tutte le informazioni richieste dal suddetto art. 33, corredandole con i motivi del ritardo.

Il WP29 ha illustrato, inoltre, uno scenario in cui il titolare del trattamento, venendo a conoscenza di una prima violazione, si ritrovi, prima della notifica, a rilevare altre violazioni simili, ma con cause diverse. In tal caso, a seconda delle circostanze, il WP29 ha chiarito che il titolare, invece di notificare ogni singolo Data Breach, potrà provvedere con un'unica notifica contenente le diverse violazioni, qualora tali violazioni riguardino le stesse categorie di dati e si siano verificate tramite le stesse modalità, in un arco temporale ristretto.  Qualora, invece, le violazioni riguardino categorie diverse di dati personali e si siano verificate tramite differenti modalità, il titolare dovrà effettuare una notifica specifica per ciascuna violazione riscontrata, in conformità all’articolo 33 del GDPR.

Qualora una violazione dei dati personali coinvolga dati di persone fisiche in più Stati Membri, il titolare deve notificare la violazione all’Autorità di controllo capofila. Inoltre, l’articolo 27 del GDPR impone al titolare del trattamento (e al responsabile del trattamento) di designare un rappresentante nell’UE in caso di applicazione dell’articolo 3, comma 2, del GDPR. In tali casi, il WP29 raccomanda che la notifica sia fatta all’Autorità di controllo dello Stato membro in cui è stabilito il rappresentante del titolare del trattamento nell' UE.

Il WP29 sottolinea che il titolare del trattamento dovrà documentare tutte le violazioni che si siano verificate, indipendentemente dall’obbligo di notifica, al fine di poter dimostrare la conformità al GDPR del trattamento effettuato. Come previsto dall’articolo 33, comma 5, del GDPR, il titolare del trattamento deve registrare i dettagli relativi alla violazione, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Il GDPR non specifica un periodo di conservazione per tale documentazione. Qualora tali registrazioni contengano dati personali, spetta al titolare del trattamento determinare il periodo appropriato di conservazione conformemente ai principi relativi al trattamento dei dati personali e indicare base legale per il trattamento. La documentazione dovrà essere conservata, in conformità all’articolo 33, comma 5 del GDPR, nella misura in cui tale documentazione consenta all’Autorità di controllo di verificare il rispetto di tale articolo o, più in generale, del principio di responsabilizzazione.

Oltre a questi dettagli, il WP29 raccomanda al titolare di documentare la motivazione delle decisioni prese a seguito di una violazione. In particolare, se una violazione non è stata notificata, occorre documentare la motivazione circa tale decisione. Ciò dovrebbe ricomprendere i motivi per cui il titolare del trattamento ritiene improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. In alternativa, se il titolare del trattamento ritiene che sussistano le condizioni di cui all’articolo 34, comma 3, del GDPR, deve essere in grado di provare adeguatamente che sussistano tali condizioni.

Link alla fonte

Leggi tutto...

Organismi di certificazione e accreditamento: il gruppo articolo 29 pubblica una bozza di linee guida sulla procedura di accreditamento degli organismi di certificazione

Il Gruppo di lavoro ex art. 29 (“WP29”) ha adottato il 6 febbraio 2018 delle bozze di linee guida sulla procedura di accreditamento degli organismi di certificazione ai sensi dell’articolo 43 del Regolamento UE n. 679/2016 (cd. “GDPR”).

Nel documento in esame, il WP29 ha ricordato che il GDPR prevede e incoraggia l'istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento. I soggetti legittimati al rilascio della certificazione sono l'Autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) oppure gli organismi di certificazione.

Tali organismi, in base all’art. 43, comma 1 del GDPR, possono essere accreditati dall'Autorità o dall'Organismo nazionale di accreditamento o da entrambi, secondo i requisiti previsti dalla norma UNI CEI EN ISO/IEC 17065:2012 (tale norma contiene requisiti per la competenza, il funzionamento coerente e l’imparzialità degli organismi di certificazione di prodotti, processi e servizi) integrata da requisiti aggiuntivi che devono essere stabiliti dall'Autorità di controllo competente.  

Il WP29 osserva che tali requisiti devono essere completati da ulteriori criteri, per la valutazione della competenza degli organismi di certificazione in materia di protezione dei dati personali e la loro capacità di rispettare i diritti e le libertà delle persone fisiche in relazione al trattamento di tali dati.

Il WP29 precisa che la competenza specifica in materia di protezione dei dati debba essere richiesta anche ad eventuali organismi esterni, quali laboratori o revisori, che svolgano parti o componenti di attività di certificazione per conto di un organismo di certificazione accreditato.

Il WP29 ha sottolineato, inoltre, che l’Autorità di controllo, assommando in sé sia il potere di accreditare gli organismi di certificazione che di rilasciare certificazioni, oltre a quello di fornire consulenza al titolare del trattamento ed effettuare il riesame delle certificazioni, debba adottare delle appropriate misure organizzative al fine di mantenere separato l’esercizio dei propri compiti e adottare precauzioni al fine di evitare conflitti d’interesse che possano sorgere dall’esercizio di tali compiti.

Link alla fonte

Leggi tutto...

Il team "data protection - privacy" dello studio R&P Legal collabora alla realizzazione della guida normativa “privacy-la nuova disciplina europea” del Sole 24 Ore

  • 07 February 2018 |
  • Pubblicato in News

Il Team Data Protection - Privacy dello Studio R&P Legal ha collaborato con otto professionisti alla realizzazione della Guida Normativa “Privacy-La Nuova Disciplina Europea” in edicola dal 6 febbraio. Un Instant Book di  128 pagine,  coordinato dagli Avvocati  Riccardo Sciaudone e Eleonora Caravà, che illustra le principali novità del Regolamento Europeo 2016/679 sulla protezione dei Dati Personali che andrà in vigore il prossimo 25 maggio 2018, il ben noto GDPR.

Alla pubblicazione, realizzata da quattordici autori, hanno collaborato gli avvocati di R&P Legal Chiara Rosanna Agostini, Piergiorgio Bonacossa,  Allegra Bonomo, Eleonora Caravà,  Angela Cataldi, Luca EgittoRiccardo Sciaudone e  Giuseppe Vaciago.

Aggiornata al 31 gennaio 2018 la Guida spazia da un glossario, alla sintesi delle principali novità introdotte dal GDPR, a casi specifici e con soluzioni operative, ad approfondimenti di tematiche  importanti per imprese e PA che vanno da Trasferimento dei Dato Personali Extra UE, alla Protezione dei Dati Personali fin dalla progettazione: by design e by default, alle Comunicazioni Elettroniche, al Diritto all’Oblio come strumento di tutela dell’identità personale, al trattamento dei dati genetici e biometrici nel settore sanitario, alle nuove regole per i datori di lavoro per effettuare  controlli in linea con la Privacy.

Leggi tutto...

Riccardo Sciaudone moderatore della 4a giornata di formazione privacy in ambito sanitario organizzata da AIOP Abruzzo

Dopo il successo della 3a giornata di formazione privacy in ambito sanitario, l’Avv. Riccardo Sciaudone, Partner dello studio R&P Legal, aprirà gli interventi della 4a giornata di formazione promossa dall’Associazione italiana ospedalità privata per l’Abruzzo (“AIOP Abruzzo”), avente ad oggetto l’impatto del nuovo Regolamento UE 2016/679 (GDPR) sulle strutture sanitarie.

L’evento L’insegnamento e la guida del Garante per districarsi nel mondo GDPR”, che ospiterà la dott.ssa Valentina Fiorillo, Funzionario dell’Autorità garante per la protezione dei dati personali, si terrà a Pescara il 1° dicembre 2017 ed inizierà alle ore 9.30 (per i dettagli, si rinvia al programma allegato).

Oltre ad essere moderatore, l’avv. Sciaudone illustrerà casi pratici, oggetto di esame da parte del Garante, e procederà ad una disamina delle novità introdotte dal GDPR nel settore sanitario.

L’avv. Sciaudone sarà coadiuvato dall’avv. Eleonora Caravà, Associate di R&P Legal.

Leggi tutto...

Riccardo Sciaudone moderatore della 3a giornata di formazione privacy in ambito sanitario organizzata da AIOP Abruzzo

  • 17 November 2017 |
  • Pubblicato in News

Lo studio R&P Legal, con il Partner Riccardo Sciaudone, ha organizzato il secondo ciclo di seminari e corsi di formazione, promossi dall’Associazione italiana ospedalità privata per l’Abruzzo (“AIOP Abruzzo”), aventi ad oggetto l’impatto del nuovo Regolamento UE 2016/679 (GDPR) sulle strutture sanitarie.

L’evento “Il GDPR nelle strutture sanitarie: applicazioni e casi pratici” si terrà a Pescara il 21 novembre 2017 a partire dalle ore 9.30 (per i dettagli, si rinvia alla locandina allegata).

Oltre ad essere relatore, Riccardo Sciaudone modererà gli interventi degli altri esperti che parteciperanno alla 3a giornata di formazione, tra cui l’Avv. Michele Iaselli (Vicedirigente del Ministero della Difesa e Presidente dell’Associazione Nazionale per la Difesa della Privacy) e il Dott. Giovanni Lucatorto (DPO dell’A.O.U. Policlinico Consorziale di Bari).

Leggi tutto...

L’ Avv. Riccardo Sciaudone relatore nella tavola rotonda “Trasparenza e big data” all’Università degli Studi Roma Tre

L’Avv. Riccardo Sciaudone, Partner dello Studio R&P Legal, parteciperà in qualità di relatore alla tavola rotonda in tema di “Trasparenza e big data” organizzata dal Dipartimento di Giurisprudenza dell’Università degli Studi Roma Tre, che si terrà il 6 ottobre a partire dalle ore 9.30.

Programma dell'evento

Leggi tutto...

Gli avvocati Vaciago e Giordano di R&P Legal docenti del Corso di Perfezionamento in Criminalità Informatica ed Investigazioni Digitali

Gli avvocati Giuseppe Vaciago e Marco Tullio Giordano del dipartimento di diritto penale di R&P Legal parteciperanno, in veste di docenti, alla decima edizione del Corso di Perfezionamento organizzato dalla cattedra di Informatica Giuridica della Facoltà di Giurisprudenza dell’Università degli Studi di Milano. Oggetto del corso post-laurea sarà la Criminalità Informatica e le Investigazioni Digitali. Le iscrizioni sono aperte sino al 26 settembre p.v.

Link alla fonte

Leggi tutto...

Facebook: il garante della privacy spagnolo multa la società per 1,2 milioni

Lunedi 11 settembre il Garante della Privacy spagnolo, l’Agencia Española de Protección de Datos (cd. Aepd), ha multato Facebook per violazione della legge sulla protezione dei dati personali. In particolare, secondo l’autorità spagnola, Facebook avrebbe raccolto i dati degli utenti (come religione, ideologia, gusti personali ecc.) per scopi pubblicitari senza informarli chiaramente sull’utilizzo e lo scopo della raccolta e continuerebbe a conservare i dati per più di 17 mesi dalla chiusura dell’account degli iscritti. Facebook inoltre, secondo l’Aepd, raccoglierebbe anche dati da utenti non iscritti a Facebook che navigano sulle pagine contenti il pulsante “like”.

Facebook ora dispone di un termine di due mesi per contestare la multa.

Link alla fonte

Leggi tutto...

Regolamento Privacy Ue e certificazione in materia di dati personali

Il Garante Privacy e ACCREDIA hanno richiamano l'attenzione sulla necessità di attendere la definizione di criteri e requisiti comuni per la conformità delle certificazioni in materia di protezione dati al Regolamento UE 2016/679. Un monito importante ai vari soggetti che stavano organizzando corsi per la certificazione della funzione del Data Protection Officer.

Link alla fonte

Leggi tutto...

Telemedicina e Privacy - l'eterna lotta tra i due mondi in cui anche l'Italia dice la sua

Il contributo di Riccardo Sciaudone e di Eleonora Caravà di R&P Legal su "Diritto24 - IlSole24Ore" illustra i risultati e le performance del robot “dottore”, sviluppato nell’ambito del progetto ReMeDi (finanziato con fondi Ue provenienti da Horizon 2020), e le criticità che la telemedicina può sollevare in termini privacy, fornendo “in pillole” alcuni suggerimenti pratici dal punto di vista legale.

Link alla fonte

Leggi tutto...
Sottoscrivi questo feed RSS
agostini
Socio
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
bonomo
Socio
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
decarlo
Socio
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
depalma2
Socio
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
egitto
Socio
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
lodigiani2
Socio
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
morretta
Socio
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
perugini2
Socio
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
rossotto
Socio
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
togliatto
Socio
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
perin
Of Counsel
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
brandoli
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
bura
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
cataldi2
Collaboratore
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
forzano
Collaboratore
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
giordano
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
giovine
Collaboratore
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
iglio
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
maggia
Collaboratore
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
mosca
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
pataracchia
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
salluce
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy