Presentazione di PowerPoint - SevendaysWeb...2018/04/04 · La valutazione d’impatto...
Transcript of Presentazione di PowerPoint - SevendaysWeb...2018/04/04 · La valutazione d’impatto...
GDPR Quali i rischi per le imprese
Per
L’ambito di applicazione
Sfera
privata
DATI
PERSONALI
Sicurezza
Libertà
La protezione dei dati
personali riguarda la libertà
individuale nonché la
sicurezza delle persone, delle
comunità e dei sistemi
economici e, solo di riflesso,
la privacy ovvero il diritto alla
riservatezza nella propria
sfera privata.
Il regolamento
Il GDPR, General Data Protection Regulation (2016/679) dovrà essere
applicato dai soggetti pubblici e privati entro il 25 maggio 2018, in tutti
gli Stati appartenenti all’Unione Europea.
La L.163/17 permetterà al Governo di modificare e riorganizzare il D.Lgs.
196/03 e altre normative per renderle compatibili con il GDPR (diritti e
protezione delle persone fisiche; trattamento dei dati personali; libera
circolazione dei dati personali; ecc…).
LeanCompliance®
Come funziona
GDPR
In vigore dal
25.05.2018
Penalità
notevoli
Applicazione
mondiale
Tool per
garantire la
conformità con
GDPR
Segnalazione
degli
incidenti
Diritti
PENALITÀ - fino a 20 mil di euro o
il 4% del fatturato mondiale annuo
APPLICABILE IN TUTTO IL MONDO
- affinchè l'organizzazione
immagazzini i dati personali del cittadino dell'UE
DIRITTI DELL’INTERESSATO - diritto migliorato
all'informazione, diritto all'oblio
RAPPORTO DI VIOLAZIONE DEI DATI
- entro 72 ore, gravi sanzioni per
mancata segnalazione
I principi generali del trattamento
Liceità, correttezza e trasparenza
Limitazione della finalità
Minimizzazione dei dati
Integrità e riservatezza
Limitazione della
conservazione
Esattezza
Le novità introdotte
Privacy by Default
Consenso
Dati personali
Valutazione di impatto
Sicurezza Diritti degli interessati
Privacy by Design
Data Breach Notification
Data Protection Officer
I diritti sui dati sensibili
GDPR
diritto di proteggere la propria sfera
privata
diritto di controllare l’uso e la
circolazione dei propri dati personali
• Razza
• Origine etnica
• Opinioni politiche
• Religione
• Convinzioni personali
• Appartenenza sindacale
• Dati genetici o relativi alla salute o alla vita sessuale
• Condanne penali o misure di sicurezza
I diritti degli interessati
diritto alla
portabilità
dei dati
diritto
all’opposizione
e all’accesso
di notifica delle
violazioni dei
dati
diritto
all’oblio
diritto di
rettifica
Procedura
Il consenso
Il consenso dell’interessato deve essere
Effettivo
Inequivocabile
Esso comprende qualsiasi forma di volontà libera, specifica ed informata
e può essere formulato mediante dichiarazione scritta, anche attraverso
mezzi elettronici, o verbale o in presenza di un’azione positiva.
Non costituisce consenso il silenzio assenso, l’inattività o la preselezione di
caselle apposite tramite web.
La sicurezza
Il titolare ha l’obbligo di effettuare l’analisi dei rischi e la valutazione
dell’adeguatezza delle misure di tutela poste in essere.
Per individuare: - Tutti i trattamenti effettuati (con definizione precisa delle finalità e delle modalità,
delle categorie degli interessati, dei destinatari e degli eventuali trasferimenti verso paesi terzi, con individuazione del criterio legittimante per ognuno di essi);
- Le misure di sicurezza tecniche ed organizzative adottate; - Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di
dati;
- La “filiera” dei trattamenti esternalizzati a soggetti terzi, con precisa identificazione degli accordi, su base contrattuale, che governano il trattamento stesso.
Potrebbe risultare utile l’adesione a sistemi di certificazione e codici di condotta.
In casi specifici, quali ad esempio il ricorso a tecnologie a rischio per i diritti della
persona, il trattamento dei dati deve essere testato con la c.d. «Valutazione
d’impatto sulla protezione dei dati» (art. 35 del GDPR), seguita, se necessario, da una consultazione preventiva al Garante della Privacy
La valutazione d’impatto
Consultazione
preventiva
Valutazione
di
impatto
Progettazione di sistemi ed applicativi
sulla base di un uso minimo e
indispensabile dei dati personali.
Può prevedere l’eventuale
individuazione di appropriate misure
correttive, quale ad esempio la
pseudoanonimizzazione.
Privacy by Design
Progettazione di misure e sistemi che abbiano come impostazione predefinita
l’uso dei soli dati necessari per una certa finalità e per il periodo strettamente
necessario a tali fini.
Privacy by Design e Privacy by Default obbligano le imprese a predisporre una
valutazione di impatto ogni volta che avviano un progetto che prevede un
trattamento di dati, garantendo la non eccessività dei dati raccolti.
Privacy by Default
Il Responsabile della protezione dei dati personali è una nuova figura di riferimento per le Imprese e la Pubblica Amministrazione, sia per gli utenti che i
clienti ed è l’interfaccia per l’Autorità Garante (esclusi i Tribunali).
Deve essere nominato se:
Data Protection Officer
Il trattamento sia effettuato da un’autorità pubblica
Il “core business” consiste in un’attività che richiedono il
monitoraggio regolare e sistematico di dati “su larga scala”.
(Monitoraggio regolare: Continuo, ripetuto, svolto
costantemente/ripetutamente; Monitoraggio sistematico: Preorganizzato, parte di una strategia ben precisa
Il “core business” dell’azienda consista nel trattamento “su
larga scala” di dati “sensibili” e “giudiziari”. (Numero di persone; Volume di dati; Durata delle operazioni di
trattamento; Estensione geografica delle attività.)
I compiti del DPO
DPO
CONSULENZA informare e consigliare il Data
Controller, il Data Processor e i
dipendenti in merito agli obblighi
del GDPR
VIGILANZA sorvegliare l’osservanza
del GDPR
CONTATTO per l’Autorità di controllo e gli
interessati
FORNIRE UN PARERE in merito alla valutazione
d'impatto sulla protezione dei
dati e sorvegliarne lo
svolgimento
COOPERAZIONE con l’Autorità di controllo
Data Breach Notification
Violazioni
Data Breach Obbligo di notifica delle violazioni entro 72 ore all’Autorità di controllo.
Violazioni della sicurezza che comportano anche
accidentalmente la distruzione, la perdita, la
modifica, la rivelazione non autorizzata o l’accesso ai
dati personali trasmessi, memorizzati o elaborati.
In qualunque luogo è il trattamento effettuato.
L’applicazione del GDPR ai trattamenti eseguiti in uno
Stato extra UE è garantita solo laddove i trattamenti
riguardino l’offerta di beni o servizi a cittadini UE o tali
da consentire il monitoraggio dei comportamenti di
cittadini UE.
Il punto di vista organizzativo
Adeguamento
25
ma
gg
io 2
018
Analisi di rischio
Contromisure Valutazioni
Formazione
Registrazioni Responsabilità
e Processi
I ruoli previsti
. COTITOLARE
DEL TRATTAMENTO
TITOLARE DEL TRATTAMENTO Determina le finalità e i mezzi del trattamento tenuto conto di natura,
ambito di applicazione, contesto e finalità del trattamento
INCARICATO DEL TRATTAMENTO
AMMINISTRATORE DI SISTEMA
RESPONSABILE DEL TRATTAMENTO
Elabora i dati personali
DATA PROTECTION OFFICER
RAPPRESENTANTE
Nominato se il titolare ha sedi fuori dall’UE
Dal punto di vista sanzionatorio
Il punto di vista informatico
Back-up
Sistemi di
sicurezza
Data Breach
LeanCompliance®
Identificazione delle esigenze del cliente e
delle parti interessate
Analisi dei processi e
valutazione del rischio
Consulenza
alla
Direzione
Implementazione
e
formazione
Audit
e
miglioramento
Lean
Compliance®
Intervento che prescinde dalla conoscenza dell’organizzazione dell’azienda; da una
robusta analisi dei rischi; dallo studio di possibili contromisure per mitigare, trasferire,
accettare o non esporsi al rischio; dall’assumere decisioni sulle contromisure e sulla loro
attuazione; dal formare le persone; dal verificare la bontà degli interventi posti in
essere; dall’attuare processi di miglioramento.
[email protected] - 02.43994010