Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Transcript

1 Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali In collaborazione con 2 dicembre 2016 Hotel NH Padova Via Tommaseo, Padova PD 1

2 Agenda Data Protection alla luce della Digital Trasformation Principi generali e principali innovazioni del GDPR La sicurezza nel GDPR: dall analisi dei rischi alla disclosure dei data breach Il GDPR e le PMI: i codici di condotta per una compliance sostenibile ed efficace Privacy Management Framework (PMA) di KPMG 02/12/2016 2

3 Risk management DP by Design DP impact assessment Metodologie Business continuity Data breach notification Portabilità/Oblio Accountability Encryption Identity management Data base security Disaster recovery Organizzazion e Tecnologia Il GDPR: più flessibile, più efficace MA PIU COMPLESSO e con più rischi DPO Compliance Security Relazioni esterne Risorse & Competenze 3

4 Il Paese reale IMPRESE PER CLASSI DI ADDETTI ATTIVITA' ECONOMICHE Commercio, Industria in senso stretto Costruzioni trasporti e alberghi Altri servizi Imprese Totale Addetti ,72% 14,83% ,50% 31,84% ,02% 10,50% ,20% 9,48% ,49% 12,49% 250 e più ,08% 20,86% Totale Fonte: Istat, Registro Statistico delle Imprese Attive (Asia) 4

5 Dir. 95/46 CE l. 675/96 D.Lgs. 196/03 GDPR 2016/679 La mappa dimensionale e l organizzazione delle imprese sono invariate La tecnologia ha trasformato la società ed il business: la competitività è digitale I dati, la loro protezione, la loro sicurezza sono vitali per ogni operatore, in ogni settore Outsourcing, catene di fornitura complesse: la protezione dei dati di ogni operatore è una necessità di sistema 5

6 L onere della protezione dei dati E rilevante Presuppone un organizzazione articolata Richiede competenze rilevanti e diverse La non-protezione dei dati o una compliance solo burocratica È un rischio di business Comporta un rischio-sanzioni molto alto Rende vulnerabile l intera catena del valore 6

7 GDPR, Codici di Condotta, DPO condiviso: Data Protection Sostenibile & Efficace Condividere i costi per ridurli. E il ruolo delle associazioni Prezzi Strutture Alleanze Servizi Data protection e sicurezza Legislazione Relazioni Marketing Fiscalità Contesto competitivo Comunicazione Contesto precompetitivo 7

8 Il GDPR e i codici di condotta Le associazioni Autorità Garante Approva Agenzie di assicurazione Agenzie di assicurazione Agenzie di assicurazione Agenzie di assicurazione Delear telef. Delear mobile telef. Delear mobile telef. Delear mobile telef. mobile GDPR PMI di produzione PMI di produzione PMI di produzione PMI di produzione Società di e-commerce Società di e-commerce Società di e-commerce Società di e-commerce 8

9 Sezione 5 Codici di condotta e certificazione Art. 40 Codici di condotta 1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. 2. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a: Coinvolgimento degli organismi istituzionali Consapevolezza del problema: non basta la compliance delle grandi imprese Individuazione degli attori: le associazioni che rappresentano settori specifici di impresa 9

10 Art. 40 (segue) 2. ad esempio relativamente a: a) il trattamento corretto e trasparente dei dati; b) i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici; c) la raccolta dei dati personali; d) la pseudonimizzazione dei dati personali; e) l'informazione fornita al pubblico e agli interessati; f) l'esercizio dei diritti degli interessati; g) l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore; h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'art. 32; i) la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all'interessato; j) il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o k) le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e

11 Sezione 5 Codici di condotta e certificazione Art. 41 Monitoraggio dei codici di condotta approvati 1. Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell'art. 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell'autorità di controllo competente. 11

12 Sezione 1 Obblighi generali Art. 24 Responsabilità del titolare del trattamento 1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario L'adesione ai codici di condotta di cui all'art. 40 o a un meccanismo di certificazione di cui all'art. 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento. I codici di condotta nel GDPR Considerando 77 Considerando 81 Considerando 98 Considerando 99 Considerando 148 Considerando 168 Art. 28 Responsabile del trattamento Art. 32 Sicurezza del trattamento Art. 35 Valutazione d impatto Art. 46 Trasferimento soggetto a garanzie adeguate Art. 57 Compiti dell Autorità di controllo Art. 58 Poteri dell Autorità di controllo Art. 64 Parere del Comitato europeo Art. 70 Compiti del Comitato europeo Art. 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie 12

13 Il DPO: da onere a opportunità Semplificare Applicare, gestire Condividere il DPO per gestire al meglio il codice di condotta 13

14 Sezione 4 Responsabile della protezione dei dati Articolo 37 Designazione del responsabile della protezione dei dati 1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: 4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari o di responsabili possono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari o i responsabili del trattamento. 6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. 14

15 DPO come servizio Azienda appartenente Azienda ad una appartenente Azienda categoria di ad Titolari una appartenente Azienda categoria omogenei di ad fra Titolari una appartenente categoria loro rispetto omogenei di ad al trattamento fra Titolari una categoria loro rispetto omogenei di di dati al trattamento fra Titolari loro rispetto omogenei personali di dati al trattamento rispetto al personali di dati trattamento personali di dati personali Applica Aderisce Supporta Elabora Associazione di categoria Verifica Organismo accreditato Autorità Garante Il ciclo completo per la conformità sostenibile ed efficace delle PMI e il nuovo ruolo delle Associazioni Approva 15

16 Grazie per l attenzione sergio.fumagalli@zeropiu.it