Protection Regulation Italia

Transcript

1 Accountability comunicazioni elettroniche controls Cyber security data breach Data controller Data Protection Officer digital transformation diritto all'oblio DPA DP Impact analysis DPO EU Council General Approach EU Council proposal European Commission fines garante privacy GDPR General Data Protection Regulation Italia Utilities marketing national legislations Organization PIA privacy by default privacy by design impact assessment privacy processes protection of anonymity right to be forgotten risk assessment risk evaluation safe harbour Security measure WP29 what to achievewhat to do 1

2 Cos è il General Data Protection Regulation (GDPR)? Il Regolamento generale sulla protezione dei dati (GDPR) (Regolamento UE 2016/679), in vigore dal 25 maggio 2018, offre agli individui il controllo e la protezione dei propri dati personali. I controllori dei dati, che determinano lo scopo e i mezzi di trattamento dei dati personali, e i processori, che elaborano i controllori, sono interessati. Multe fino al 4% delle fatturato globale annuo o 20 milioni di euro, a seconda di quale sia maggiore Multe fino al 2% delle fatturato globale annuo o 10 milioni di euro, a seconda di quale sia maggiore Chi deve rispettare? Organizzazioni che offrono beni o servizi a soggetti interessati dell'ue e coloro che trattano o detengono i dati personali dei residenti nell'ue Applicabile a: Persone fisiche, indipendentemente dalla loro nazionalità o luogo di residenza nell'ue, in relazione al trattamento dei loro dati personali 2

3 Principio base del GDPR: ACCOUNTABILITY (responsabilizzazione e documentazione) 3

4 Prepararsi per il GDPR VALUTARE IMPLEMENTA DOCUMENTA Valuta i sistemi e i processi relativi ai dati, nonché tutti i tipi di dati personali raccolti e gestiti all'interno dell'organizzazione e identifica eventuali vulnerabilità e rischi per la sicurezza. Pianificare e implementa la governance dei dati su sistemi, processi, politiche e persone per affrontare in modo olistico le aree di rischio e mantenere una registro del consenso al trattamento dei dati personali. Rispondere rapidamente alle richieste individuali di accesso, correzione, esportazione o cancellazione dei propri dati. Prevenire l'accesso non autorizzato ai dati e informare le autorità e i dati di eventuali violazioni dei dati. 4

5 In ogni singola area impattata dal GDPR Data Services/Information Steward Process Mining by Celonis Gigya SAP Data Encryption by CipherCloud Open Text Information Lifecycle Mgt Tagging and profiling of data across SAP and non-sap landscapes Manage personal data accuracy & consistency e.g. Art. 4 (1), Art. 9, Art. 20 Powered by HANA, understand and visualise in real-time which business processes touch personal data e.g. Art. 5; Art. 25 Manage and track consumer s consent; Gigya integrates with Hybris Commerce and Hybris Marketing e.g. Art. 7 Protect employee data encrypting information before sending to cloud provider; applicable to SAP SauccessFactors e.g. Art. 4 (5), Art. 32 Managing the procedures for deleting & archiving with defensible legal retention requirements e.g. Art. 17, Art. 89 Data Privacy Impact Assessment Active Data Archive Delete Enterprise Threat Detection, Dynamic Auth Mgt, Enterprise Digital Rights Mgt, Code Vulnerability Analysis & Fortify Access Control & Access Violation Mgt Field Masking/UI Logging, Test Data Migration Server Process Control & Access Violation Mgt ETD on HANA: advanced threat analytics/real time cyber & breach monitoring. DAM+EDRM context-based access management, blocks, alerting, correlations CVA & Fortify: Prevent cyber attacks and data breaches through identification & fixing of security vulnerabilities in custom code e.g. Art. 33; Art. 34 Manage lawful & block unlawful access to personal data for active business systems, contracted processors, archives, employee enrolment e.g. Art. 4 (5), Art. 32 Legenda Support SAP/non SAP landscape Support SAP landscape Custodian of GDPR: digital governance services to supervising authority with controls and automated monitoring for SAP and non-sap landscapes e.g. Art. 24; Art. 26; Art. 28; Art. 39, Art. 30, Art. 35, Art. 6, Art. 7, Art. 42 5

6 Un support operativo. 6