Survey sul nuovo Regolamento Europeo Privacy

Transcript

1 04/01/ :32:08

2 Generale Nome sondaggio Autore Global Cyber Security Center Lingua Italiano URL Sondaggio Prima risposta 15/10/2016 Ultima risposta 20/12/2016 Durata 67 Giorni 2

3 Visite al sondaggio ,1 % Visite totali Totale completato Risposte incompiute Visualizzato solo Tasso generale di completamento Storia visite (15/10/ /12/2016) /10 24/10 31/10 07/11 14/11 21/11 28/11 05/12 12/12 19/12 26/12 02/01 Visite totali (549) Totale completato (160) Visite totali Provenienza visite Tempo medio di completamento 29,1 % 11,9 % 44,1 % 21,3 % 26,8 % 100 % 57,5 % 3

4 Solo mostrando (44,1 %) Incompleto (26,8 %) Completato (29,1 %) iframe (100 %) 2-5 min. (11,9 %) 5-10 min. (57,5 %) min. (21,3 %) min. (3,8 %) >60 min. (5,6 %) 4

5 Risultati Qual è il settore di appartenenza della sua organizzazione? Pubblica Amministrazione 14 8,8 % Trasporti 4 2,5 % Energia 4 2,5 % Telecomunicazioni 8 5 % Banche/Finanza/Assicurazioni 18 11,3 % Industria/Manifatturiero % Informatica e ICT 59 36,9 % Altro. Per favore specificare 37 23,1 % 14 (8,8%) 4 (2,5%) 4 (2,5%) 8 (5%) 18 (11,3%) 16 (10%) 59 (36,9%) 37 (23,1%) Servizi professinali Consulenza direzionale (3x) Consulenza Consulenza aziendale LEGALE commercio libera professione - avvocato Associazione professionale di esperti in ICT Società di revisione dei conti e consulenza Farmaceutico (2x) Rent a car 5

6 Studio professionale (2x) servizi studio legale Poste Italiane: Servizi finanziari, assicurativi, logistici, di comunicazione e di PA Sistemi Informativi per la Pubblica Amministrazione Locale Ricerca e formazione (università) (2x) Servizi ORGANISMO DI CERTIFICAZIONE Risk Advisory Postale Consulenza Aziendale Servizi di consulenza e formazione Settore Chimico distribuzione ecologia (2x) GDO Associazione Aziende Italiane rappresentate da CIO consulente privacy Servizi / Consulenza Consulenza Direzionale Qual è la dimensione della sua organizzazione? fino a 50 dipendenti 52 32,5 % da 51 a ,8 % da 251 a ,9 % oltre ,9 % 52 (32,5%) 22 (13,8%) 11 (6,9%) 75 (46,9%) 6

7 La sua organizzazione opera anche all'estero? Sì, solo in Europa 25 15,6 % Sì, nel contesto internazionale 75 46,9 % No, solo in Italia 60 37,5 % 25 (15,6%) 75 (46,9%) 60 (37,5%) Qual è il suo livello aziendale? Dirigente 43 26,9 % Quadro % Impiegato 30 18,8 % Consulente 23 14,4 % 43 (26,9%) 64 (40%) 30 (18,8%) 23 (14,4%) 7

8 L articolo 37 introduce la figura del Data Protection Officer (DPO). È presente nella sua organizzazione una figura equiparabile al DPO? Sì 57 35,6 % No ,4 % 57 (35,6%) 103 (64,4%) Se Sì quali attività ad oggi svolge? Scelta multipla, Risposte 59x, Non risposto 101x Consulenza 25 42,4 % Supporto Strategico 27 45,8 % Coordinamento 35 59,3 % Formazione 17 28,8 % Vigilanza e controllo 33 55,9 % Rappresentanza verso il Garante 28 47,5 % Operatività 23 39,0 % Altro. Per favore specificare 0 0 % 25 (42,4%) 27 (45,8%) 35 (59,3%) 17 (28,8%) 33 (55,9%) 28 (47,5%) 23 (39,0%) 0% 8

9 Se No ritenete utile la sua presenza? Scelta singola, Risposte 105x, Non risposto 55x Sì 91 86,7 % No 14 13,3 % 14 (13,3%) 91 (86,7%) Ritiene che la sua organizzazione ricada tra i soggetti obbligati a dotarsi del DPO in base al GDPR? Sì 81 50,6 % No 43 26,9 % Non so 36 22,5 % 81 (50,6%) 43 (26,9%) 36 (22,5%) 9

10 Secondo l'art. 37 il DPO può essere un dipendente oppure adempiere ai suoi compiti in base a un contratto di servizi. Sarebbe più propenso ad affidare tale ruolo ad una risorsa interna all'organizzazione o ad avvalersi di un servizio fornito da un esperto esterno super partes? Risorsa interna 93 58,1 % Esperto esterno super-partes 67 41,9 % 67 (41,9%) 93 (58,1%) Secondo l'art. 38 la funzione professionale del DPO riferisce direttamente al vertice gerarchico del titolare/responsabile del trattamento, può svolgere altri compiti e funzioni ma non deve dare adito a conflitto di interessi. Come collocherebbe da un punto di vista organizzativo tale figura? Diretto riporto dell'ad 76 47,5 % Affari Legali 17 10,6 % Corporate Security 45 28,1 % Controllo Interno 14 8,8 % Altra funzione. Per favore specificare 8 5 % 76 (47,5%) 17 (10,6%) 45 (28,1%) 14 (8,8%) 8 (5%) 10

11 esterno compliance OdV In staffa al titolare/resposabile del trattamento ict Diretto riporto Presidente CDA Diretto riporto del consiglio d'amministrazione Il GDPR prevede nell art. 82 la corresponsabilità, in caso di violazione del Regolamento, dei responsabili del trattamento e del Titolare (comprese le sanzioni per l intero ammontare del danno) se a loro imputabile. Ritiene che tale corresponsabilità possa presentare delle resistenze da parte dei soggetti che dovrebbero essere designati quali "responsabili interni"? Sì ,5 % No 23 14,4 % Non so 29 18,1 % 108 (67,5%) 23 (14,4%) 29 (18,1%) 11

12 Le sanzioni pecuniarie presenti nel Regolamento (fino a 20 Mln di euro o il 4% del fatturato mondiale annuo dell'esercizio precedente) sono di gran lunga maggiori rispetto a quelle attualmente previste nel Codice Privacy. Questo ha prodotto un aumento di consapevolezza circa i temi di protezione dei dati personali nella sua organizzazione? Sì 74 46,3 % No 51 31,9 % Non so 35 21,9 % 74 (46,3%) 51 (31,9%) 35 (21,9%) 12

13 Secondo l'art. 37 il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all'articolo 39. Quale ritiene debbano essere le competenze principali di un DPO? Scelta multipla, Risposte 160x, Non risposto 0x Legali ,8 % Organizzative 83 51,9 % Sicurezza delle informazioni ,9 % Tecnologiche 65 40,6 % Relazionali 49 30,6 % Altro. Per favore specificare 6 3,8 % 110 (68,8%) 83 (51,9%) 139 (86,9%) 65 (40,6%) 49 (30,6%) 6 (3,8%) Direzionali tecniche di controllo interno Mix tra Legali, organizzative e informatiche Legali ed informatiche (Diritto dell'informatica) Certificazioni in materia di sicurezza e sistemi di gestione aziendali formativo per il personale dipendente 13

14 Quali ritiene possano essere gli elementi da considerare nella scelta di un DPO? Scelta multipla, Risposte 159x, Non risposto 1x Anzianità nel ruolo 62 39,0 % Certificazioni possedute ,2 % Inquadramento (impiegato/quadro/dirigente) 44 27,7 % Titolo di Studio 36 22,6 % Altro. Per favore specificare 41 25,8 % 62 (39,0%) 102 (64,2%) 44 (27,7%) 36 (22,6%) 41 (25,8%) 14

15 Competenze comprovate referenze in ambiti simili Curriculum Vitae Esperienza dimostrabile Competenze reali Competenza specifica Know-How nel settore specifico della privacy, formazione specifica Esperienza privacy e organizzativa esperienza in ruoli analoghi Titolo di studio minimo laurea giurisprudenza e master in sicurezza informatica (2x) Conoscenza dei processi aziendali Competenze tecniche, organizzative e relazionali competenza nella gestione del dato aziendale quindi derivazione internal audit e legal competenze specifiche Esperienza, competenze Competenze in ambito sicurezza e aziendali in generale Competenze specifiche sul business, sui processi aziendali e sulla secuirty certificazione ad hoc Attitudine Esperienza in materia competenza specifica Competenze in materia di privacy e protezione delle informazioni competenze specifiche legali-ict Esperienze pregresse; Presenza di un team a supporto con competenze trasversali Competenze specialistiche al di fuori delle certificazioni competenza, indipendenza, autorità Capacità, competenze mix maturità (non = anzianità) + equilibrio + capacità di autoresponsabilizzarsi Curriculum specifico in materia di consuelnza e formazione Privacy Competenze tecniche e legali nell'ambito Competenze specifiche Competenze e curriculum comprovata esperienza in analoghe posizioni Esperienza nel settore formativo nel tempo competenze Conoscenze miste legali, organizzative, tecnologiche Competenze specifiche nella materia Competenze acquisite sul campo nella gestione delle tematiche privacy Esperienza pregressa in tematiche relative ai dati personali 15

16 Quali competenze dovrebbero possedere le risorse appartenenti al team del DPO? Scelta multipla, Risposte 160x, Non risposto 0x Analisi dei rischi ,9 % Normativa privacy ,4 % Sicurezza delle informazioni ,1 % Tecnologie di sicurezza informatica 97 60,6 % Audit 70 43,8 % 123 (76,9%) 143 (89,4%) 141 (88,1%) 97 (60,6%) 70 (43,8%) In base all'art. 38 il titolare/responsabile del trattamento sostiene il DPO nell esecuzione dei suoi compiti e gli fornisce ogni risorsa necessaria per adempiere alle funzioni. Ritiene che il DPO debba avere risorse dedicate? No, non ne ha bisogno 6 3,8 % Sì, ma solo budget dedicato 26 16,3 % Sì, ma solo personale dedicato % Sì, budget e personale dedicato ,4 % Altro. Per favore specificare 9 5,6 % 6 (3,8%) 26 (16,3%) 16 (10%) 103 (64,4%) 9 (5,6%) 16

17 Non saprei dipende dalle dimensioni e dalla complessità dell'organizzazione dipende dalla complessità dell'organizzazione e dal numero/tipo di trattamenti effettuati Dipende Si, in contesti complessi è opportuno che ci sia una squadra a supporto dipende dalla dimensione aziendale, ovviamente dipende dalle dimensioni dell'organizzazione sicuramente budget, il personale dedicato dipende dalla complessità dell'organizzazione in cui opera si, budget dedicato e personale, anche non dedicato Se ritiene necessario che il DPO abbia del personale dedicato, quante risorse potrebbero essere adeguate per lo svolgimento delle sue attività? Scelta singola, Risposte 119x, Non risposto 41x Meno di 5 persone 82 68,9 % Da 5 a 10 persone 29 24,4 % Più di 10 persone 8 6,7 % 82 (68,9%) 29 (24,4%) 8 (6,7%) 17

18 Il Regolamento richiede di effettuare una valutazione d impatto in materia di protezione dei dati per i trattamenti che presentino rischi elevati e, se richiesto, di fornire un parere in merito. Attualmente come sono identificate nella sua organizzazione le misure di sicurezza da attuare a protezione dei dati personali? Scelta multipla, Risposte 160x, Non risposto 0x Requisiti minimi 196/2003 e provvedimenti Garante % A fronte di un'analisi dei rischi 79 49,4 % Altro. Per favore specificare 6 3,8 % 120 (75%) 79 (49,4%) 6 (3,8%) ISO2700 best practices + le migliori tecnologie e mediante il DPs Requisiti ISO27001 e Dlgs 231/01 Requisiti minimi 196/2003 e provvedimento Garante e analisi dei rischi di progetti strategici non sò Misure necessarie per contrastare breach di sicurezza verificate presso altri operatori Il Regolamento introduce l obbligo di notifica e comunicazione delle violazioni di dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui l'organizzazione ne è venuta a conoscenza. Ritiene che questo cambiamento possa avere un impatto significativo nella sua organizzazione? Sì ,1 % No 59 36,9 % 59 (36,9%) 101 (63,1%) 18

19 Se Sì, quali impatti potrebbe avere l obbligo di notifica e comunicazione delle violazioni di dati personali nella sua organizzazione? Scelta multipla, Risposte 101x, Non risposto 59x Impatto sul modello organizzativo 87 86,1 % Impatto sul modello di business 24 23,8 % Impatto sulle tecnologie utilizzate 58 57,4 % Altro. Per favore specificare 8 7,9 % 87 (86,1%) 24 (23,8%) 58 (57,4%) 8 (7,9%) Impatto sui processi di sicurezza Essendo una azienda multinazionale tutto deve essere correlato con le normative anche ingternazional Impatto di immagine Contrattualistica e convenzioni tra Titorale e Responsabile Contrattualistica e responsabilità sulla gestione degli incidenti fa formalizzare tra Titolare e Res Impatto sulle procedure Impatti organizzativi, nei processi di monitoraggio, sui modelli di escalation e sulle tencologie sicurezza nazionale L'art. 20 prevede il diritto di portabilità dei dati da un prestatore di servizi a un altro. Ritiene che questo cambiamento possa avere un impatto significativo nella sua organizzazione? Sì 76 47,5 % No 84 52,5 % 76 (47,5%) 84 (52,5%) 19

20 Se Sì, quali impatti potrebbe avere nella sua organizzazione il diritto di portabilità dei dati da un prestatore di servizi a un altro? Scelta multipla, Risposte 76x, Non risposto 84x Impatto sul modello organizzativo 53 69,7 % Impatto sul modello di business 33 43,4 % Impatto sulle tecnologie utilizzate 59 77,6 % Altro. Per favore specificare 5 6,6 % 53 (69,7%) 33 (43,4%) 59 (77,6%) 5 (6,6%) Impatto sui processi aziendali Immagine Contrattualistica e Convenzioni tra Titolare e Responsabile Impatti di natura legale e sicurezza delle informazioni al fine di garantire la corretta gestione se il prestatore di servizi duplica i nostri dati e rimangono in suo possesso Il Regolamento richiama i principi di protezione fin dalla progettazione ( by design ) e di default. I vostri attuali processi interni prevedono già l'identificazione degli adempimenti privacy e dei relativi requisiti di sicurezza al momento della definizione di nuovi servizi? Sì 93 58,1 % No 67 41,9 % 67 (41,9%) 93 (58,1%) 20

21 L'art. 39 prevede tra le responsabilità del DPO la verifica dell attuazione e applicazione delle politiche del titolare/responsabile del trattamento anche in materia di formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. Quali sono ad oggi le attività di formazione in corso? Scelta multipla, Risposte 160x, Non risposto 0x Formazione e-learning per tutto il personale coinvolto 67 41,9 % Formazione in aula per il personale coinvolto negli audit 47 29,4 % Campagne interne di sensibilizzazione 90 56,3 % Altro. Per favore specificare 31 19,4 % 67 (41,9%) 47 (29,4%) 90 (56,3%) 31 (19,4%) 21

22 nessuna se nn il classico non disclosure agreement (2x) NULLA Formazione aula per tutto il personale Non ancora pronti Formazione per tutti gli addetti al trattamento (3x) Nessuna vv (3x) nessuna formazione in aula per aree aziendali specifiche Ad oggi nessuna, saranno fatte l'anno prossimo convegni rivolti al personale interessato formazione assente - ad hoc Da pianificare Studio su Internet Formazione per Amministratori di Sistema (2x) non so attualmente nessuna Sono stati svolti alcuni corsi e-learning sulla 196/2003 nessuna perché formazione già fatta negli anni scorsi non sò Al momento nessuna nulla di ciò Autoformazione Ritiene possa essere utile l'ottenimento di una certificazione specifica per la figura del DPO rilasciata da enti di certificazione accreditati? Si ,8 % No 18 11,3 % Non so % 126 (78,8%) 18 (11,3%) 16 (10%) 22

23 Preferenze di sondaggio Domande per pagina Una Abilita invio multiplo? Lasciare tornare a domande precedenti? Visualizza numeri delle domande? Disposizione casuale delle domande? Mostra barra di progresso? Ricevi per la notifica delle risposte? Protezione password? Restrizione IP? 23

24 Appendice: Sondaggio Gentile utente, Compilando questo semplice sondaggio ci aiuterà a valutare la percezione degli impatti che l adozione del nuovo Regolamento Europeo della Privacy determinerà per il settore pubblico, le grandi aziende italiane e le PMI. Il sondaggio resterà online per un mese ed è completamente anonimo. Per ogni segnalazione può scriverci a info@gcsec.org Grazie per la collaborazione Fondazione GCSEC ed Europrivacy Qual è il settore di appartenenza della sua organizzazione? Pubblica Amministrazione Trasporti Energia Telecomunicazioni Banche/Finanza/Assicurazioni Industria/Manifatturiero Informatica e ICT Altro. Per favore specificare Qual è la dimensione della sua organizzazione? fino a 50 dipendenti da 51 a 250 da 251 a 500 oltre 500 La sua organizzazione opera anche all'estero? Sì, solo in Europa Sì, nel contesto internazionale No, solo in Italia 24

25 Qual è il suo livello aziendale? Dirigente Quadro Impiegato Consulente L articolo 37 introduce la figura del Data Protection Officer (DPO). È presente nella sua organizzazione una figura equiparabile al DPO? Sì No Se Sì quali attività ad oggi svolge? Istruzioni domanda: In caso di risposta negativa passa alla domanda numero 7 Consulenza Supporto Strategico Coordinamento Formazione Vigilanza e controllo Rappresentanza verso il Garante Operatività Altro. Per favore specificare Se No ritenete utile la sua presenza? Sì No Ritiene che la sua organizzazione ricada tra i soggetti obbligati a dotarsi del DPO in base al GDPR? Sì No Non so Secondo l'art. 37 il DPO può essere un dipendente oppure adempiere ai suoi compiti in base a un contratto di servizi. Sarebbe più propenso ad affidare tale ruolo ad una risorsa interna all'organizzazione o ad avvalersi di un servizio fornito da un esperto esterno super partes? Risorsa interna Esperto esterno super-partes 25

26 Secondo l'art. 38 la funzione professionale del DPO riferisce direttamente al vertice gerarchico del titolare/responsabile del trattamento, può svolgere altri compiti e funzioni ma non deve dare adito a conflitto di interessi. Come collocherebbe da un punto di vista organizzativo tale figura? Diretto riporto dell'ad Affari Legali Corporate Security Controllo Interno Altra funzione. Per favore specificare Il GDPR prevede nell art. 82 la corresponsabilità, in caso di violazione del Regolamento, dei responsabili del trattamento e del Titolare (comprese le sanzioni per l intero ammontare del danno) se a loro imputabile. Ritiene che tale corresponsabilità possa presentare delle resistenze da parte dei soggetti che dovrebbero essere designati quali "responsabili interni"? Sì No Non so Le sanzioni pecuniarie presenti nel Regolamento (fino a 20 Mln di euro o il 4% del fatturato mondiale annuo dell'esercizio precedente) sono di gran lunga maggiori rispetto a quelle attualmente previste nel Codice Privacy. Questo ha prodotto un aumento di consapevolezza circa i temi di protezione dei dati personali nella sua organizzazione? Sì No Non so Secondo l'art. 37 il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all'articolo 39. Quale ritiene debbano essere le competenze principali di un DPO? Legali Organizzative Sicurezza delle informazioni Tecnologiche Relazionali Altro. Per favore specificare 26

27 Quali ritiene possano essere gli elementi da considerare nella scelta di un DPO? Anzianità nel ruolo Certificazioni possedute Inquadramento (impiegato/quadro/dirigente) Titolo di Studio Altro. Per favore specificare Quali competenze dovrebbero possedere le risorse appartenenti al team del DPO? Analisi dei rischi Normativa privacy Sicurezza delle informazioni Tecnologie di sicurezza informatica Audit In base all'art. 38 il titolare/responsabile del trattamento sostiene il DPO nell esecuzione dei suoi compiti e gli fornisce ogni risorsa necessaria per adempiere alle funzioni. Ritiene che il DPO debba avere risorse dedicate? No, non ne ha bisogno Sì, ma solo budget dedicato Sì, ma solo personale dedicato Sì, budget e personale dedicato Altro. Per favore specificare Se ritiene necessario che il DPO abbia del personale dedicato, quante risorse potrebbero essere adeguate per lo svolgimento delle sue attività? Meno di 5 persone Da 5 a 10 persone Più di 10 persone Il Regolamento richiede di effettuare una valutazione d impatto in materia di protezione dei dati per i trattamenti che presentino rischi elevati e, se richiesto, di fornire un parere in merito. Attualmente come sono identificate nella sua organizzazione le misure di sicurezza da attuare a protezione dei dati personali? Requisiti minimi 196/2003 e provvedimenti Garante A fronte di un'analisi dei rischi Altro. Per favore specificare 27

28 Il Regolamento introduce l obbligo di notifica e comunicazione delle violazioni di dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui l'organizzazione ne è venuta a conoscenza. Ritiene che questo cambiamento possa avere un impatto significativo nella sua organizzazione? Sì No Se Sì, quali impatti potrebbe avere l obbligo di notifica e comunicazione delle violazioni di dati personali nella sua organizzazione? Impatto sul modello organizzativo Impatto sul modello di business Impatto sulle tecnologie utilizzate Altro. Per favore specificare L'art. 20 prevede il diritto di portabilità dei dati da un prestatore di servizi a un altro. Ritiene che questo cambiamento possa avere un impatto significativo nella sua organizzazione? Sì No Se Sì, quali impatti potrebbe avere nella sua organizzazione il diritto di portabilità dei dati da un prestatore di servizi a un altro? Impatto sul modello organizzativo Impatto sul modello di business Impatto sulle tecnologie utilizzate Altro. Per favore specificare Il Regolamento richiama i principi di protezione fin dalla progettazione ( by design ) e di default. I vostri attuali processi interni prevedono già l'identificazione degli adempimenti privacy e dei relativi requisiti di sicurezza al momento della definizione di nuovi servizi? Sì No 28

29 L'art. 39 prevede tra le responsabilità del DPO la verifica dell attuazione e applicazione delle politiche del titolare/responsabile del trattamento anche in materia di formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. Quali sono ad oggi le attività di formazione in corso? Formazione e-learning per tutto il personale coinvolto Formazione in aula per il personale coinvolto negli audit Campagne interne di sensibilizzazione Altro. Per favore specificare Ritiene possa essere utile l'ottenimento di una certificazione specifica per la figura del DPO rilasciata da enti di certificazione accreditati? Si No Non so 29