PRIVACY Sistemi di gestione privacy: le best practices per la compliance aziendale in prospettiva UE. Privacy Day 2014 PISA ANDREA CHIOZZI

Transcript

1 PRIVACY Sistemi di gestione privacy: le best practices per la compliance aziendale in prospettiva UE Privacy Day 2014 PISA ANDREA CHIOZZI

2 Sommario Attività Privacy ed il Matrimonio Il ruolo del consulente Che Privacy sei? Futuro Il regolamento Europeo Check List Privacy 2.0

3 Privacy ignoranti quem portum petat nullus suus ventus est Nessun vento è favorevole per il marinaio che non sa a quale porto vuol approdare

4 LA CONSULENZA PRIVACY

5 ESISTENZIALISMO!!! CHI SIAMO? DOVE ANDIAMO? COME CI ANDIAMO? QUANTE VOLTE ANDIAMO?

6 PRIVACY E MATRIMONIO LE AZIENDE E LA PRIVACY Ieri. LA COGENZA! Oggi. LA NEGAZIONE!

7 CHE TIPO DI PRIVACY AGGRESSIVA? (faso tuto mi) PASSIVA RIFLESSIVA?(Riempi le mie Check list) PARA?(Riempi le mie Check list Stampa questi documenti già pronti per te) IPERTECNOLOGICA? (con questo SW fai tutto) UNA BOTTA E VIA

8 PRIVACY E IL DOMANI LE AZIENDE E LA PRIVACY DOMANI? REGOLAMENTO EUROPEO PROCEDURE E PROLIFERAZIONE

9 REGOLAMENTO EUROPEO ART 22 Reg. Europeo Responsabilità del responsabile del trattamento Il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento Le misure di cui al paragrafo 1 comprendono, in particolare: (a) la conservazione della documentazione ai sensi dell articolo 28; (b) l attuazione dei requisiti di sicurezza dei dati di cui all articolo 30; (c) l esecuzione della valutazione d impatto sulla protezione dei dati ai sensi dell articolo 33; (d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell autorità di controllo ai sensi dell articolo 34, paragrafi 1 e 2; (e) la designazione di un responsabile della protezione dei dati ai sensi dell articolo 35, paragrafo 1. Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti. Alla Commissione è conferito il potere di adottare atti delegati conformemente all articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure adeguate di cui al paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni riguardanti i meccanismi di verifica e di audit di cui al paragrafo 3 e il criterio di proporzionalità di cui al paragrafo 3,

10 REGOLAMENTO EUROPEO ART 28 Reg. Europeo Ogni responsabile del trattamento, incaricato del trattamento ed eventuale rappresentante del responsabile del trattamento conserva la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità. La documentazione contiene almeno le seguenti informazioni: a) nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento, e dell eventuale rappresentante del responsabile del trattamento; b) nome e coordinate di contatto dell eventuale responsabile della protezione dei dati; c) finalità del trattamento, compresi i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull articolo 6, paragrafo 1, lettera f); d) descrizione delle categorie di interessati e delle pertinenti categorie di dati personali; e) indicazione dei destinatari o delle categorie di destinatari dei dati personali, compresi i responsabili del trattamento cui sono comunicati i dati personali ai fini del perseguimento dei loro legittimi interessi; f) se del caso, indicazione dei trasferimenti di dati verso un paese terzo o un organizzazione internazionale, compresa l identificazione del paese terzo o dell organizzazione internazionale e, per i trasferimenti di cui all articolo 44, paragrafo 1, lettera h), la documentazione delle garanzie adeguate; g) indicazione generale dei termini ultimi per cancellare le diverse categorie di dati; h) descrizione dei meccanismi di cui all articolo 22, paragrafo 3.

11 REGOLAMENTO EUROPEO ART 33 Reg. Europeo VALUTAZIONE d IMPATTO SULLA PROTEZIONE DEI DATI 1) Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le liberta degli interessati, il responsabile del trattamento o l incaricato del trattamento che agisce per conto del responsabile del trattamento effettua una valutazione dell impatto del trattamento previsto sulla protezione dei dati personali. 2). 3) La valutazione contiene almeno una descrizione generale del trattamento previsto, una valutazione dei rischi per i diritti e le liberta degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione. 4)..

12 Privacy Officer Il privacy officer (in inglese, "agente della privacy") è un ruolo aziendale con competenze giuridiche e informatiche la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all'interno di un'azienda, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti E autonomo nelle scelte riguardanti le modalità del trattamento, (decide chi e come)

13 QUINDI??? Aumenteranno le procedure Aumenteranno i Documenti Aumenterà il tempo di analisi Aumenteranno i tempi di redazione Dobbiamo gestire il monkey time

14 CHECK LIST e PROCEDURE Checklist sono gli elenchi delle domande, anche banali, che ci aiutano a non dimenticare i passaggi fondamentali nel lavoro che ci aiutano a recuperare informazioni distribuite per poi sintetizzarle in procedure e documenti

15 CHECK LIST e PROCEDURE fase di Plan fase di hansei (riflessione) CICLO SEMPLICE Ciclo di Deming PDCA (Plan, Do, Check, Act) Procedurizzare

16 CHECK LIST e Excel Excel TI ODIO!!!!! L utilizzo di strumenti non adeguati aumenta il tempo impiegato in modalità MONKEY

17 CHECK LIST e Excel INFORMATIZZARE Non vuol dire solamente rendere digitali le informazioni Conoscenza distribuita Accesso alle modifiche immediate Gestione Dinamica Condivisione trasversale Gestione PROATTIVA

18 Privacy 2.0 PRIVACY 2.0 WORKFLOW DIGITALE GESTIONE DOCUMENTALE PERCORSI PERSONALIZZATI PROAZIONE WEB/DISTRIBUITA ANALISI PARCELLIZZABILE/ATOMICA SEMPLICE PARAMETRICA

19 WORKFLOW/PROAZIONE WORKFLOW DIGITALE Gestire Iterazioni quotidiane MODALITA POP e non PUSH

20 Creazione dinamica Documentale Registro Dei Documenti Versioning Accessibilità Distribuita Certificazione Dato e Momento DOCUMENTALE/PARAMETRICO

21 ANALISI ATOMICA/PERSONALIZZATA ANALISI ATOMICA E PERSONALIZZABILE

22 Web/CLOUD Informazione Distribuita Sempre disponibile Ereditaria

23 UNA VOLTA ALL ANNO Se con il nostro partner abbiamo un solo rapporto all anno molto probabilmente.. Troverà un altro partner!!!! Perché allora i rapporti con la privacy aziendale dobbiamo averli con questa frequenza? PRIVACY DAY BY DAY

24 DAY BY DAY La gestione DAY By DAY è possibile solamente se si hanno strumenti adeguati di gestione del workflow La gestione DAY BY DAY ha senso se proattiva e procedurizzata

25 CONCLUSIONI INFORMATIZZARE PRIVACY 2.0 DAY BY DAY

26 (zerounounozerozero..) Grazie!