REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

Transcript

1 REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

2 LA NUOVA REGOLAMENTAZIONE IN PILLOLE Obiettivi, driver e tempi OBIETTIVI Garantire una migliore tutela della Privacy e del trattamento dei dati personali nella UE Armonizzare e aggiornare le differenti normative nazionali per favorire la creazione di un unico mercato digitale europeo DRIVER Cyber Risk: gli attacchi, i malware e le violazioni dei sistemi informativi sono cresciuti in modo esponenziale ed è necessario proteggere meglio i cittadini e le organizzazioni Digital Single Market: i cittadini europei chiedono uguali diritti di tutela della Privacy, indipendentemente da dove i dati sono trattati Big Data e Cloud: i volumi di dati archiviati nel cloud crescono molto rapidamente e occorre aumentare il livello di affidabilità delle nuove tecnologie TEMPI il Regolamento Europeo 2016/679 è stato pubblicato il 4/5/2016 ed è già attuabile in tutti gli Stati dell UE Diventerà effettivamente applicabile dal 25 maggio 2018

3 LA NUOVA REGOLAMENTAZIONE IN PILLOLE Informazioni generali APPLICABILITA A tutti i residenti UE anche se i dati sono trattati fuori dall UE o da imprese extra UE Dal 25 maggio 2018 per tutti gli Stati Europei One stop shop OBBLIGHI DPO: la nomina di un Data Protection Officer è obbligatoria per le imprese che processano elevati volumi di dati e consigliabile per le altre PIA: i progetti con rischi elevati per i dati personali dovranno essere sottoposti ad un Privacy Impact Assessment Comunicazione di data breach; Privacy by Design; Privacy by Default NUOVI DIRITTI e ATTENZIONE AI DATI PERSONALI Trasparenza (consenso, minori); oblio; portabilità; opposizione Definizione più ampia che include anche: dati genetici, sulla salute fisica e mentale, biometrici, economici, identità sociale e culturale, giudiziari ACCOUNTABILITY (responsabilità) I soggetti che trattano i dati hanno responsabilità più chiare e devono dimostrare come hanno tutelato i dati personali Certificazioni e codici di condotta possono aiutare a dimostrare la conformità!!! SANZIONI PIU DURE Multe fino a 20 mln oppure al 4% del fatturato di gruppo, se superiore

4 LA NUOVA REGOLAMENTAZIONE IN PILLOLE Effetti per gli interessati CHI Le innovazioni non riguardano solo le persone fisiche ma anche le aziende, gli enti pubblici, le associazioni e i liberi professionisti. NUOVI DIRITTI Condizioni più precise e vincolanti per garantire un consenso informato, libero, attivo e verificabile Diritto a maggiore trasparenza su trattamento, possibilità di accesso ai dati personali e modalità per l esercizio dei propri diritti Diritto alla cancellazione (cosiddetto "oblio") dei dati personali conservati da un titolare Diritto alla portabilità e semplificazione del trasferimento dei dati personali tra differenti titolari Diritto all opposizione rispetto a determinati trattamenti, tra cui marketing diretto e profilazione, soprattutto se automatizzati

5 LA NUOVA REGOLAMENTAZIONE IN PILLOLE Effetti per le imprese SOGGETTI E RESPONSABILITA Titolare e Responsabile del trattamento sono responsabili in solido e il loro rapporto deve essere regolato da un contratto Nomina del responsabile della protezione dei dati personali (Data Protection Officer - DPO) Rafforzamento dell accountability (responsabilità) rispetto alla semplice compliance Le organizzazioni internazionali potranno comunicare con una sola Autorità per tutti i paesi in cui operano (one stop shop) NUOVI OBBLIGHI E PROCEDURE Obbligo di registrazione e mantenimento di documentazione sui trattamenti effettuati Nuove misure per la protezione dei dati personali e la sicurezza dei trattamenti Nuove procedure di notifica ad Autorità e interessati delle violazioni sui dati personali (data breach) Necessità di esecuzione di una valutazione d impatto (Privacy Impact Assessment -PIA) sui trattamenti ad alto rischio Introduzione del concetto Privacy By Design (Prodotti, sistemi e processi devono prevedere la tutela dai dati personali già dalla progettazione) e di Privacy By Default (si tratteranno solo i dati personali indispensabili e solo per il periodo strettamente necessario)

6 COME MUOVERSI Misure tecniche e organizzative COMPLIANCE Aggiornare il modello organizzativo in tema di privacy, in ottemperanza alle responsabilità derivanti dal nuovo regolamento Creare un registro dei trattamenti di dati personali Definire o rivedere l impianto documentale, in termini di policy e procedure per il rispetto dei requisiti di accountability, anche per dimostrare la conformità Definire contrattualmente il rapporto tra Titolare e Responsabile del trattamento dati Rivedere Informative sulla Privacy; moduli e procedure per la raccolta dei consensi (anche on-line) per garantire la trasparenza verso i clienti Definire procedure di controllo e reportistica per garantire la conformità nel tempo Rivedere e aggiornare i processi per la gestione del consenso e le modalità di interazione con gli interessati (oblio, accesso ai dati, portabilità dei dati, opposizione) Aggiornare il modello organizzativo per la nomina del DPO (Data Protection Officer) Definire un piano adeguato di formazione e informazione verso i dipendenti Descrivere i processi di trattamento dei dati e flussi degli stessi verso le terze parti Applicare il concetto di Risk Management ai processi di trattamento dei dati (PIA - Privacy Impact Assessment ) e integrare con Information Security ORGANIZZAZIONE

7 COME MUOVERSI Misure Information Technology INFORMATION SECURITY Definire ed implementare le misure di sicurezza adeguate per la protezione dei dati personali Definire ed implementare le misure tecniche per pseudonimizzazione, anonimizzazione e/o cifratura dei dati Identificare e classificare i dati personali all interno dell azienda e definire i controlli da applicare in base alla classificazione Definire la metodologia e le misure per garantire la protezione dei dati fin dalla fase di progettazione (Privacy By Design), senza eccesso di trattamento (Privacy by Default) Supportare l esecuzione della valutazione dei possibili impatti, attraverso la Privacy Impact Assessment (PIA), per i trattamenti definiti ad alto rischio Rivedere e/o implementare procedura per data breach detection e data breach notification Supportare la mappatura dei dati personali sui sistemi informativi interni ed i flussi verso i sistemi esterni Implementare procedure per la cancellazione dei dati sui software che trattano dati personali Disegnare ed implementare delle procedure informatiche per rispondere alle richieste degli interessati (ad es. richiesta di portabilità, accesso ai dati, cancellazione) Applicare ove possibile la cifratura dei dati Sviluppare procedure IT per il tracciamento dei consensi e delle richieste degli interessati INFORMATION TECHNOLOGY

8 LA METODOLOGIA ASSITECA Percorso di adeguamento a GDPR ATTIVITA (pre analisi) ACQUISIZIONE INFORMAZIONI INFORMATION SECURITY ASPETTI LEGALI ORGANIZZAZIONE GAP ANALYSIS IMPATTI ORGANIZZATIVI E IT DEFINIZIONE INTERVENTI PIANO DI AZIONE FASE 1QUICK ASSESSMENT PROGETTAZIONE APPPROFONDIMENTI TECNICI E SPECIALISTICI CONDIVISIONE RISULTATI PROGETTAZIONE INTERVENTI FASE 2ANALISI - INTERVENTI DI ADEGUAMENTO ORGANIZZATIVI LEGALI TECNOLOGICI SICUREZZA LOGICA DRP FORMAZIONE FASE 3IMPLEMENTAZIONE RISCHI AL MERCATO ASSICURATIVO FASE 4TRASFERIMENTO FASE 5 MONITORAGGIO E CONTROLLO ASSESSMENT PERIODICI FORMAZIONE ASSITENZA CONSULENZA RISULTATI QUICK ASSESSMENT MAPPATURA REQUISITI GAP ANALYSIS LISTA INTERVENTI SUGGERITI PIANO DI AZIONE TEMPI E BUDGET ANALISI - DISEGNO APPROFONDIMENTI TECNICI E SPECIALISTICI PRIVACY IMPACT ASSESSMENT - PIA VULNERABILITY ASSESSMENT PENETRATION TEST ASSESSMENT PROCEDURE DISASTER RECOVERY E BACKUP IT CONDIVISIONE PROGETTAZIONE DELLE IMPLEMENTAZIONI IMPLEMENTAZIONE ADEMPIMENTI ORGANIZZATIVI LEGALI DATA PROTECTION OFFICER ESTERNO AGGIORNAMENTO SICUREZZA LOGICA E FISICA DATA PROTECTION BY DESIGN DATA PROTECTION BY DEFAULT BDR PLAN FORMAZIONE TRASFERIMENTO RISCHI POLIZE CYBER POLIZZE PROPERTY DANNI SISTEMI IT BUSINESS INTERRUPTION SPESE LEGALI MONITORAGGIO E CONTROLLO ASSESSMENT PERIODICI FORMAZIONE AGGIORNAMENTI FORMAZIONE ON SITE PIATTAFORMA E-LEARNING CONSULENZA AFFIANCAMENTO ASSITENZA TECNICA E SPECIALISTICA OUTSOURCING SICUREZZA LOGICA (RESPONSABILI) POLICY AZIENDALI (DIPENDENTI) TEMPI 2 SETTIMANE 1-2 MESI 2-6 MESI 1-2 SETTIMANE DA DEFINIRE

9 PERCORSO DI ADEGUAMENTO AL GDPR Quick Assessment (pre-analisi) ATTIVITA FASE 1 RACCOLTA E ANALISI DOCUMENTAZIONE INVIO QUESTIONARI LEGAL, ORGANIZZAZIONE. INFORMATION SECURITY RACCOLTA DOCUMENTI ANALISI PROCEDURE SITI WEB FASE 2 SOPRALLUOGO E INTERVISTE AFFARI LEGALI E COMPLIANCE PRODUZIONE E ORGANIZZAZIONE SISTEMI INFORMATIVI RISORSE UMANE MARKETING E COMUNICAZIONE FASE 3 ELABORAZIONE RAPPORTO INQUADRAMENTO E DESCRIZIONE GAP ANALYSIS SUGGERIMENTI PER INTERVENTI IMMEDIATI PIANO DI AZIONE APPROFONDIMENTI ATTIVITA DI IMPLEMENTAZIONE TEMPI, RISORSE, BUDGET FASE 4 PRESENTAZIONE PRESENTAZIONE RISULTATI AL MANAGEMENT DISCUSSIONE PROSSIMI PASSI TEMPI 1-2 SETTIMANE 1-2 GG ON SITE 2-3 GG IN HOUSE 1 GG ON SITE Parte dall analisi della documentazione disponibile, dalla somministrazione di questionari e da interviste alle funzioni aziendali coinvolte (marketing e comunicazione, HR, legal/compliance, IT, produzione). Si concentra su: Privacy, Cyber Security e organizzazione. Permette al Management di avere una visione generale della situazione Fornisce indicazioni sintetiche sulla mappa dei processi che trattano dati, gli interventi immediati, le attività da svolgere, i tempi e il budget di massima per adeguare l organizzazione al Regolamento UE

10 PERCORSO DI ADEGUAMENTO AL GDPR Analisi e progettazione interventi ATTIVITA FASE 1 DEFINIZIONE APPROFONDIMENTI TECNICI SPECIALISTICI FASE 2 APPROFONDIMENTI PRIVACY IMPACT ASSESSMENT PIA VULNERABILITY ASSESSMENT VULNERABILITY SCAN REMEDIATION PLAN PENETRATION TEST ASSESSMENT BACKUP E DISASTER RECOVERY IT OBBLIGHI DI SICUREZZA FASE 3 CONDIVISIONE ANALISI MANAGEMENT ORGANISMI DI CONTROLLO FASE 4 PROGETTAZIONE ATTIVITA DI IMPLEMENTAZIONE TEMPI 1-2 MESI Permette di definire con precisione il perimetro, la profondità, le modalità, le risorse impegnate, i tempi e il budget per gli interventi di adeguamento organizzativo, legale e tecnico Si concentra su: processi organizzativi, sicurezza logica e sicurezza fisica dei sistemi informativi. Permette al Management di ottimizzare i tempi e i costi dei successivi interventi di adeguamento

11 PERCORSO DI ADEGUAMENTO AL GDPR Implementazione Adeguamenti ATTIVITA FASE 1 INTERVENTI ORGANIZZATIVI DATA PROTECTION OFFICER DPO REGISTRO TRATTAMENTI CERTIFICAZIONE ISO ADESIONE A CODICI DI CONDOTTA PROCEDURA PER DATA BREACH SOFTWARE GESTIONE DOCUMENTIAZIONE PRIVACY FASE 2 INTERVENTI LEGALI/COMPLIANCE INFORMATIVE E CONSENSI POLITICHE PROTEZIONE DATI PER PC, , INTERNET, SOCIAL NETWORK GESTIONE RECLAMI/RICHIESTE REGISTRO ATTIVITA RAPPORTI TITOLARE RESPONSABILI TRATTAMENTI FASE 3 INTERVENTI TECNICI AGGIORNAMENTO SICUREZZA LOGICA DATA PROTECTION BY DESIGN DATA PROTECTION BY DEFAULT AGGIORNAMENTO SICUREZZA FISICA BACKUP & DISASTER RECOVERY PLAN BDR PLAN FASE 4 FORMAZIONE INTRODUZIONE AL GDPR CORSO SICUREZZA LOGICA CORSO SULLE POLICY AZIENDALI TEMPI 2-6 MESI Grazie ad un attenta progettazione, in queste fasi sarà possibile attuare tutti gli interventi funzionali alla riduzione dei rischi legati alla normativa sulla Privacy ed al trattamento dei dati personali L esecuzione degli adempimenti legali ed organizzativi e il miglioramento della sicurezza logica permetteranno di ridurre significativamente il rischio di sanzioni pecuniarie amministrative L organizzazione potrà definire quali interventi dovranno essere forniti da Assiteca e dal suo network di professionisti e operatori specializzati e le attività che saranno svolte internamente e/o tramite i propri fornitori

12 PERCORSO DI ADEGUAMENTO AL GDPR Trasferimento del rischio residuo ATTIVITA AREA 1 POLIZZA CYBER FIRST PARTY. FORENSIC E COSTI DI COMUNICAZIONE; ASSET DATA LOSS; RIPRISTINO SISTEMI; PERDITE PER INTERRUZIONE ESERCIZIO THIRD PARTY LIABILITY. RESPONSABILITÀ CIVILE PROFESSIONALE PER SICUREZZA DEL SISTEMA E PRIVACY GARANZIA CRIME. FRODI INFORMATICHE E FURTO DI VALORI E TITOLI AREA 2 POLIZZA PROPERTY DANNI MATERIALI AI BENI AZIENDALI CAUSATI DA CYBER CRIME AREA 3 DANNI AL SISTEMA INFORMATICO AREA 4 BUSINESS INTERRUPTION DANNI PER SOSPENSIONE O INTERRUZIONE ATTIVITA AREA 5 SPESE LEGALI D&O ASSITENZA LEGALE TEMPI 1-2 SETTIMANE Le attività svolte per migliorare la resilienza dell azienda in materia di Privacy, di Information Security e di Business Continuity permetteranno ad Assiteca di trasferire con efficacia (costi e coperture) i rischi residui alle Compagnie di Assicurazioni e di aggiornare il piano assicurativo dell azienda inserendo coperture specifiche.

13 PERCORSO DI ADEGUAMENTO AL GDPR Monitoraggio e controllo ATTIVITA AREA 1 ASSESSMENT PERIODICI QUICK ASSESSMENT REMEDIATION TEST BDR PLAN TEST AREA 2 FORMAZIONE AFFIANCAMENTO FORMAZIONE AREA 3 CONSULENZA E SERVIZI CONSULENZA SUPPORTO ALLA CERTIFICAZIONE ISO ASSISTENZA TECNICA E SPECIALISTICA OUTSOURCING TEMPI DA DEFINIRE Il personale di Assiteca continuerà a fornire assistenza all azienda offrendo assessment periodici, consulenza e assistenza tecnica e specialistica, personale dedicato, formazione e ogni altro supporto richiesto per mantenere o migliorare la resilienza aziendale in materia di Privacy e Cyber Security tutte le attività di analisi e di miglioramento dei sistemi e dei processi saranno progettate per essere già in linea con i requisiti della norma ISO (information security) e per facilitare la successiva certificazione. Questo permetterà all organizzazione di ridurre ulteriormente il rischio di sanzioni amministrative e di dimostrare ai propri clienti e stakeholder il proprio impegno per la tutela dei dati personali.

14 Contatti Assiteca Consulting Srl Sede legale: Palazzo Assiteca -via G. Sigieri, Milano Tel R.E.A. MI C.F./P.IVA n. IT VS