PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

Transcript

1 REGOLAMENTO UE 2016/679 DATA DATA PROTECTION PROTECTION PRIVACY 2018 RESPONSABILE PROTEZIONE DATI RACCOLTA STRUTTURAZIONE MINIMIZZAZIONE CONDOTTA TITOLARE VIOLAZIONE ESTRAZIONE SICUREZZA REGISTRAZIONECYBERSECURITY RISERVATEZZA REGISTRO UE CENSIMENTO OBLIO DATABREACH TRATTAMENTO ACCOUNTABILITY REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO LIMITAZIONI

2 IL REGOLAMENTO UE 2016/679 Il 14 aprile 2016 il Parlamento europeo ha approvato definitivamente il Regolamento europeo in materia di Data Protection, che stabilisce norme relative: u alla protezione delle persone fisiche con riguardo al trattamento dei dati personali u alla libera circolazione dei dati IL FINE ULTIMO È LA TUTELA DELLE PERSONE FISICHE REGOLAMENTO EUROPEO PRIVACY: COME CAMBIA LA PROTEZIONE DEI DATI Il Regolamento UE 2016/679 introduce importanti novità rispetto al decreto legislativo 196/2003 nella regolamentazione dei rapporti tra cittadini, pubbliche amministrazioni e imprese. Di seguito i principali aspetti introdotti. APPLICAZIONE TERRITORIALE SANZIONI PER LE IMPRESE APPROCCIO BASATO SUL RISCHIO Normativa applicabile alle imprese dell Unione Europea e/o agli interessati dell Unione Europea Sanzioni elevate, commisurate al fatturato globale Applicazione degli obblighi del Regolamento sulla base dei rischi per i diritti e le libertà degli interessati Il Regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi, rilevanti per le imprese dal punto di vista sia economico (sanzioni fino al 4% del fatturato worldwide, con un massimo di ) che reputazionale (possibili conseguenze di un incidente informatico che metta a rischio l integrità o la riservatezza dei dati). ACCOUNTABILITY VALUTAZIONE DELL IMPATTO GESTIONE DELLA PRIVACY Documentazione fondamentale per essere in grado di dimostrare che i trattamenti sono conformi al Regolamento Valutazione preliminare dell impatto del trattamento dei dati qualora il trattamento presenti un rischio elevato Protezione dei dati come elemento iniziale. Privacy by design e by default: progettazione di misure che tutelino la protezione e che, per impostazione predefinita, garantiscano l uso dei soli dati necessari La nuova norma, che è entrata in vigore il 24 maggio 2016, troverà diretta applicazione a partire dal 25 maggio L adeguamento al Regolamento Privacy rappresenta una delle progettualità a maggiore impatto per le imprese nel 2017, per la pervasività degli adeguamenti che presentano anche significativi impatti IT. DATA PROTECTION OFFICER (DPO) INFORMATIVA E CONSENSO VIOLAZIONE DEI DATI DIRITTI DELL INTERESSATO Istituzione di una nuova figura manageriale con elevate qualità professionali Revisione dell informativa, espressa in forma concisa, con linguaggio chiaro e con indicazione dei diritti dell interessato. Il consenso sarà esplicito e specifico, mediante dichiarazione o azione positiva Obbligo di segnalazione all Autorità di controllo e, in caso di rischio elevato, anche all interessato Rafforzamento del diritto alla cancellazione (o diritto all oblio) in via definitiva anche on line e introduzione del diritto alla portabilità dei dati

3 CONSEGUENZE SULLE IMPRESE: COME ADEGUARSI AL REGOLAMENTO? IL NUOVO REGOLAMENTO: QUALI OPPORTUNITA PER LE IMPRESE? SISTEMI INFORMATIVI u Adeguamento dei sistemi informatici e dell architettura IT (es. diritto all oblio, data breach ) u Sviluppo di nuovi applicativi per la gestione degli obblighi previsti (es. Registro dei trattamento, Data Protection Impact Assessment) CONOSCENZA Maggiore conoscenza dei processi di governance dei dati ORGANIZZAZIONE E PROCESSI u Definizione di nuovi ruoli aziendali e responsabilità u Predisposizione policy sulla gestione e protezione dei dati u Predisposizione procedure per la gestione dei processi CONSAPEVOLEZZA Maggiore consapevolezza dei fenomeni di rischio e conseguente minimizzazione delle perdite operative RISORSE UMANE u Sviluppo di nuove competenze in materia di Privacy all interno dell impresa u Creazione di una cultura aziendale in ambito Privacy INTERAZIONE Maggiore interazione tra le strutture aziendali coinvolte con creazione di sinergie BUSINESS u Possibile riduzione della disponibilità dei dati per le attività di business con l applicazione del nuovo Regolamento u Elevate sanzioni pecuniarie in caso di inadempienza u Impatto reputazionale che può derivare, ad esempio, da un incidente informatico che compromette integrità e riservatezza dei dati

4 L APPROCCIO SCS ALL ADEGUAMENTO NORMATIVO SI ARTICOLA IN 4 STEP SCS Consulting affianca le imprese nell adeguamento normativo ai requisiti posti dal nuovo Regolamento europeo attraverso un processo articolato in 4 fasi: dalla verifica del grado di idoneità del Sistema Aziendale di Gestione della Protezione dei Dati Personali, all eventuale definizione e attuazione di un piano di azione a copertura dei gap rilevati. Assessment / 1 Gap Analysis Definizione GDPR 2 Program 3 Supporto Operativo Supporto funzionale e 4 implementativo 1. Assessment / Gap Analysis 3. Supporto Operativo u Rilevamento del livello di compliance e maturità con riferimento al nuovo Regolamento Privacy u Individuazione dei gap rispetto alla normativa u Supporto operativo per la definizione / revisione dell impianto normativo interno - Formalizzazione di policy e procedure operative - Analisi e popolamento del registro dei trattamenti - Applicazione della Data Protection Impact Assessment 2. Definizione GDPR Program u Definizione delle linee guida del modello a tendere in termini di strategia, organizzazione, policy e processi, competenze e sistemi informativi - Definizione di un piano di lavoro per l adeguamento al Regolamento - Definizione del nuovo Modello Organizzativo Privacy - Definizione di metodologie e strumenti per la gestione e il monitoraggio della Privacy (Registro dei trattamenti; Data Protection Impact Assessment) 4. Supporto funzionale e implementativo u Supporto per l implementazione dell architettura e delle soluzioni tecnologiche a protezione dei dati personali - Disegno funzionale dell architettura di Data Protection - Progettazione interventi IT per l adeguamento delle misure di protezione dei dati personali

5 BOLOGNA PIÙ DI 120 CONSULENTI SCS Consulting nasce nel 2001 ed è un centro di eccellenza per CONSULENZA STRATEGICA E ORGANIZZATIVA, PEOPLE & CHANGE MANAGEMENT, ACCOUNTABILITY E SOSTENIBILITÀ Con un team di persone provenienti dalle migliori società di consulenza, formazione, università e business school, opera nei mercati FINANCE, RETAIL, INDUSTRIA, SERVIZI, UTILITIES, PUBBLICA AMMINISTRAZIONE In ambito Risk Management e Compliance, SCS Consulting offre un approccio integrato alla gestione della conformità alle norme, che consente di rispondere in maniera personalizzata a tutte le principali necessità delle imprese, operando su aspetti connessi a: u Disegno dei modelli di governance u Supporto nell analisi e nella valutazione degli impatti delle principali normative u Implementazione delle soluzioni applicative e della strumentazione necessaria u Definizione di processi e di procedure a supporto u Sviluppo della cultura risk e compliance-based Via Toscana 19/A Zola Predosa (BO) Tel Fax info@scsconsulting.it