GDPR e infrastrutture critiche

Transcript

1 Principali punti di attenzione 28 marzo 2018 Rosario Imperiali Gruppo Imperiali

2 Sommario Generale Panoramica IC e GDPR Modello organizzativo Personal data breach Mappatura trattamenti By design e gestione del rischio Gestione terze parti 2

3 1 Panoramica IC e GDPR 3

4 Infrastrutture critiche: l ambito Direttiva 2008/114/CE D.lgs. N. 61/2011 Fonti energetiche Telecomunicazioni Infrastruttura che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione Risorse idriche Fonti alimentari Sanità Trasporti Banche e servizi finanziari Sicurezza, protezione e difesa civile 4

5 Informazioni Critiche e GDPR a confronto Tutela delle informazioni sensibili relative all IC Ruoli data protection Responsabile della protezione dell IC Protezione dei dati personali 5

6 Il valore dei dati personali 6

7 Fonte: Il Sole 24 Ore del 23/1/2018

8 IL POTERE DEI DATI APPLE AMAZON ALPHABET MICROSOFT Prime 4 società per capitalizzazione al mondo - Tutte digitali Superano assieme il PIL italiano 10 anni fa 50 MILIARDI 15 MILIARDI 80 MILIARDI POSIZIONI DI TESTA (GOOGLE) Oggi 620 MILIARDI 400 MILIARDI 560 MILIARDI 470 MILIARDI 8

9 L economia dei dati I dati sono diventati un asset strategico, considerato l oro nero odierno 9

10 Il GDPR in una slide 10

11 Il GDPR in una slide Si richiede la capacità dell azienda Titolare di effettuare un adeguata valutazione del rapporto tra rischi individuati e misure tecnico-organizzative adottate e di dimostrarlo ACCOUNTABILITY 2. RISCHIO 3. MISURE 4. VALUTAZIONE DI ADEGUATEZZA 11

12 2 Mappatura trattamenti 12

13 Mappatura e registro dei trattamenti 2 3 Censimento 1 Trattamenti Registro dei trattamenti 13

14 3 Sistema e modello organizzativo DP 14

15 Il Sistema di Gestione DP Supervisione Indipendente DPO - Art. 37 Documentazione di Sistema Registro - Art. 30 Progettualità e struttura del Sistema Accountability - Art. 24 Approccio basato sul rischio Misure tecnico-organizzative Valutazioni di adeguatezza - Art. 35 Modello organizzativo DP Relazioni infragruppo Outsourcer Implicazioni 15

16 4 DP by design e gestione del rischio 16

17 Gestione del rischio data protection 2 RISCHIO 1. ACCOUNTABILITY 3 MISURE 4 VALUTAZIONE DI ADEGUATEZZA Obbligo di tenuta del Registro trattamenti (art. 30.5)! RISCHIO INCIDE SU Responsabilità (art. 24) Rapporto Titolare/Responsabile [Considerando (81)] Compiti del DPO (art. 39.2) Nomina del Rappresentante nazionale (art. 27) 17

18 Progettualità come espressione di accountability RESPONSABILIZZAZIONE Adeguatezza Valutazione e rischio Tempestività Progettualità PRIVACY BY DESIGN Per adempiere (Registro, Aumentata trasparenza, Oscuramento dati, Garanzie, ) PRIVACY BY DEFAULT Per facilitare il diritto (es. minimizzazione, limiti finalità, data retention, ) 18

19 5 Personal data breach 19

20 L impatto del data breach in borsa La violazione di dati personali è un crollo di fiducia e di patrimonio 20

21 L impatto del data breach Non tutte le violazioni di dati personali hanno lo stesso impatto 21

22 Data Breach: in sintesi Notifica interessati senza ritardo se rischi elevati Titolare documenta ogni violazione Disponibile per Garante su richiesta DATA BREACH! Misure adeguate Evitare data breach Notifica tempestiva Ridurre conseguenze Obbligo notifica per tutti i titolari Notifica entro 72h all Autorità 22

23 6 Gestionte terze parti 23

24 La filiera del data protection L azienda che affida attività di trattamento ad un fornitore terzo deve contrattualizzare il rapporto vincolando il terzo al GDPR Titolare Responsabile Il fornitore che intende sub-appaltare operazioni di trattamento deve vincolare il sub-appaltare alle medesime condizioni DP ed ottenere il preventivo consenso del committente. L appaltatore rimane responsabile dell operato del sub. sub- Responsabile 24

25 Flussi internazioni di dati personali L azienda che trasmette dati personali verso paesi considerati privi di adeguata protezione deve sottoscrivere con l importatore, specifici contratti approvati dalla Commissione UE 25

26 Conclusioni 1 Le IC devono essere protette da calamità naturali ed eventi umani ma, a loro volta, devono proteggere i dati personali che trattano. 2 I dati personali sono anche un asset di valore per l azienda. 3 Il GDPR richiede all azienda di creare al proprio interno un sistema di compliance basato sulla valutazione del rischio e la responsabilizzazione («accountability»). 4 La disciplina GDPR sul Data Breach si applica a tutte le aziende o enti pubblici, riguarda solo i dati personali, prevede obblighi di notifica tempestiva e si aggiunge ad altre norme al riguardo. Avv. Rosario Imperiali Gruppo Imperiali rosario.imperiali@imperiali.com Ros_Imperiali 5 Il GDPR prescrive un articolata gestione delle terze parti e dell intera supply chain, particolarmente critica per le IC. in Rosario Imperiali Rosario Imperiali