GDPR E SISTEMI DI GESTIONE ISO

Transcript

1 E SISTEMI DI GESTIONE Andrea LEONARDI - Stefano MICHELOTTI Martedì 27 febbraio 2018 ISTITUTO GONZAGA Via Vitruvia MILANO 1 MINERVA GROUP SERVICE società consortile cooperativa per azioni Sede legale e operativa: Corso Buenos Aires Milano (Italy) - info@minervagroupservice.it Tel(+39) C.F. e P. IVA Nr REA: MI Nr Albo Nazionale Cooperative: A211246

2 2

3 MINERVA GROUP SERVICE società consortile cooperativa per azioni a mutualità prevalente Sede legale e operativa: Corso Buenos Aires Milano - info@minervagroupservice.it Tel(+39) C.F. e P. IVA Nr REA: MI Nr Albo Nazionale Cooperative: A Questa pubblicazione è distribuita sotto licenza CREATIVE COMMONS PUBLIC LICENCE ed è proprietà di Minerva Group Service. La pubblicazione e diffusione è consentita gratuitamente per fini non commerciali citando le generalità dell Autore originale, in forma integrale, senza alterazione od omissione di contenuti. 3

4 RELATORI Stefano Michelotti Presidente di Minerva Group Service s.c.c.p.a. Consulente, formatore e auditor e membro di organismo di vigilanza ex D.lgs 231/01 in diverse aziende pubbliche e private. Si occupa di Sistemi di Gestione (con particolare riferimento agli schemi 45001, 37001, 27001, 22000), di Modelli di Organizzazione e Gestione D.lgs 231/01, di Piani Triennali per la Prevenzione della Corruzione ex e L. 190/12 e di Compliance normativa (Privacy, Salute e Sicurezza Lavoro D.lgs. 81/08, Igiene degli alimenti). E esperto tecnico 231 e Antibribery Compliance Function certificato KHC E coordinatore del comitato consultivo di Uniquality Lombardia ProfiloLinkedinhttps:// Andrea Leonardi Vice Presidente di Minerva Group Service s.c.c.p.a. Laureato in economia aziendale presso l Università Commerciale L. Bocconi, ha maturato diverse esperienze professionali nel settore pubblico e privato, in Italia e all estero. E consulente, formatore, auditor in materia di sistemi di gestione (com particolare riferimento agli schemi 9001, EN9100, 37001, , 27001, 27018, IOS22301), di Modelli di Organizzazione e Gestione D.lgs. 231/01, di Compliance normativa Privacy, di Project Management. E esperto tecnico 231 certificato KHC E componente del comitato consultivo di Uniquality Lombardia e coordinatore dell area settoriale nazione Uniquality ContinuitySecurityService sui sistemi di gestione per i servizi IT , per la sicurezza delle informazioni 27001, per la continuità operativa ProfiloLinkedinhttp:// 4

5 IL STA ATTERRANDO SIETE PRONTI? Cosa e Quando? REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE(regolamento generale sulla protezione dei dati) Tempus fugit. 25 Maggio 2018 Chi e Dove? Dati Personali qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); Dati Personali Interessati UE Trattamento (automatizzato e non ) Titolare Perché? Come? Controller No (compliance)?! No (Business) Party.e severe sanzioni amministrative! Compliance Governance Risk Management finoal 4% del totale fatturato annuo! sanzioni Autorità Garante Privacy Una road mapal secondo un modello di GRC basato sui sistemi di Gestione! 5

6 Principali Novita IL STA ATTERRANDO SIETE PRONTI? DATI PERSONALI CATEGORIE PARTICOLARI Nuova definizione di dati sensibili Capo II Principi INTERESSATO DIRITTI Nuovi diritti dell interessato al trattamento Capo III Diritti dell Interessato OBBLIGHI Nuovi obblighi e responsabilità Titolari e Responsabili TITOLARE RESPONSABILE Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 1 Obblighi Generali PRIVACY BY DEFAULT PRIVACY BY DESIGN 6

7 Principali Novita IL STA ATTERRANDO SIETE PRONTI? RISCHIO Nuovo approccio alla gestione del rischio DATI PERSONALI Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 2 Sicurezza dei dati personali MISURE TECNICHE ORGANIZZATIVE Nuovo approccio alla sicurezza del trattamento Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 2 Sicurezza dei dati personali DATI PERSONALI NOTIFICA INCIDENTE DATI PERSONALI Nuova gestione delle violazioni privacy e loro notifica Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 2 Sicurezza dei dati personali 7

8 Principali Novita IL STA ATTERRANDO SIETE PRONTI? VALUTAZIONE IMPATTO PROTEZIONE DATI PERSONALI Valutazione Impatto Protezione Dati Personali Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 3 Valutazione di Impatto sulla protezione dei dati e consultazione preventiva DATI PERSONALI NOMINA Nuova figura del Responsabile Protezione Dati Personali ( DPO Data Protection Officer ) RESPONSABILE PROTEZIONE DATI PERSONALI Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 4 Responsabile della protezione dei dati 8

9 Principali Novita IL STA ATTERRANDO SIETE PRONTI? SANZIONI Sanzioni significativamentepiùsevere TITOLARE Capo VIII Mezzi di ricorso, responsabilità e sanzioni 9

10 INFOGRAFICA DEL e correlazioni con i principali standard Nomine GOVERNANCE Titolare DPO Responsabili Formazione e consapevolez za proce dure Risk(confidenzialità, indisponibilità, riservatezza)) Misure Tecnico Organizzative Resilienza RISK MANAGEMENT Privacy Impact Assessmen Incidenti (privacy breach) COMPLIANCE Diritti degli Interessati Disposizioni delle Auorità Garanti Informativa e Consenso GRC nel trattamento Registro dei trattamenti EU Interessati data doc Finalità del trattamento DATI Operazioni sui dati data Perimetro e modalità di trattamento dei dati («privacy by default & privacy by design») doc Storage Comunicazione Diffusione (interna ed esterna) ORGANIZZAZIONE & HR SITI FISICI (inclusi Datacenter esterni) cloud («cybersecurity») INFORMATION TECHNOLOGY 10

11 Cosa? Considerando (173 Item) Capo I Disposizioni Generali Capo II Principi Capo III Diritti dell Interessato Sezione 1 Trasparenza e Modalità Sezione 2 Informazione e Accesso ai Dati Personali Sezione 3 Rettifica e Cancellazione Sezione 4 Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche Sezione 5 Limitazioni 11

12 Cosa? Capo IIII Titolari del Trattamento e Responsabili Trattamento Sezione 1 Obblighi Generali Sezione 2 Sicurezza dei dati personali Sezione 3 Valutazione di Impatto sulla protezione dei dati e consultazione preventiva Sezione 4 Responsabile della protezione dei dati Sezione 5 Codici di condotta e certificazioni Capo V Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali Capo VI Autorità di controllo indipendenti Sezione 1 Indipendenza Sezione 2 Competenza, compiti e poteri 12

13 Cosa? Capo VII Cooperazione e Coerenza Sezione 1 Cooperazione Sezione 2 Coerenza Sezione 3 Comitato Europeo per la Protezione dei Dati Capo VIII Mezzi di ricorso, responsabilità e sanzioni Capo IX Disposizioni relative a specifiche situazioni di trattamento Capo X Atti delegati e atti di esecuzione 13

14 Chi? Capo I Disposizioni Generali DATI PERSONALI SI APPLICA PERSONE FISICHE DATI NON AUTOMATIZZATO AUTOMATIZZATO SI APPLICA 14

15 Chi? Capo I Disposizioni Generali DATI PERSONALI DATO GENETICO DATO BIOMETRICO DATO SALUTE «qualsiasi informazione riguardante una persona fisica identificata o identificabile(«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» 15

16 Chi? Capo I Disposizioni Generali DATI qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; PROFILAZIONE qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; PSEUDONOMI ZZAZIONE pseudonimizzazione»:il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile 16

17 Dove? Capo I Disposizioni Generali TITOLARE RESPONSABILE Stabilito nell UE INTERESSATI EU EXTRA EU Beni Servizi TITOLARE RESPONSABILE Non stabilito nell UE OFFERTA Monitoraggio comportamento INTERESSATI UE 17

18 Perché? Capo VIII Mezzi di ricorso, responsabilità e sanzioni Effettive, proporzionali e dissuasive SANZIONI AMMINISTRATIVE AUTORITA GARANTI PRIVACY IMPOSIZIONE 18

19 Perché? Sanzioni amministrative Finoa EUR Fino al 2 % del fatturato mondiale annuo dell esercizio precedente COMPANY Violazione delle seguenti disposizioni OBBLIGHI DEL TITOLARE E DEL RESPONSABILE Capo II Principi Art. 8 Art. 11 TITOLARE RESPONSABILE Capo IIII Titolari del Trattamento e Responsabili Trattamento Art Art

20 Perché? Sanzioni amministrative Fino EUR Fino al 4 % del fatturato totale mondiale dell esercizio precedente COMPANY Violazione delle seguenti disposizioni Capo II Principi Art.5 Art.6 Art.7 Art.9 PRINCIPI GENERALI Violazione delle seguenti disposizioni Capo III Diritti dell Interessato Art INTERESSATO 20

21 Come? GRC Governance, RiskManagement, Complianceper la Protezione dei Dati Personali GOVERNANCE PRIVACY RISK MANAGEMENT COMPLIANCE

22 Come? Standard 29100:2011 «information technology security techniques privacy framework» Standard UNI 31000:2010 Gestione del Rischio Principi e Linee Guida Standard 19600:2014 «Compliance Management systems Guidelines» /IEC Information technology Security techniques Guidelines for privacy impact assessment Standard UNI EN 19011:2012 Linee Guida per gli Audit dei Sistemi di Gestione 22

23 Come? ORGANO AMMINISTRATIVO PROPRIETA Deleghe e procure ; Autonomia di spesa ; Compensi e retribuzioni SISTEMA DI CONTROLLO INTERNO ALTA DIREZIONE SISTEMA DI CONTROLLO ESTERNO AUTORITA GARANTE PRIVACY ORGANISMI DI CERTIFICAZIONE ( Art. 40 e 42) 1.LINEA DI DIFESA 2.LINEA DI DIFESA 3.LINEA DI DIFESA SISTEMA ORGANIZZATIVO SISTEMA GESTIONE DELLA COMPLIANCE SISTEMA DI GESTIONE DEI RISCHI AUDIT INTERNO TITOLARE RESPONSABILI INCARICATI (29100, ) I ,iSO 27001, MOG D.LGS. 231/01. DPO AUDITOR SISTEMI OdVd.lgs. 231/01. Mappa dei Trattamenti Nomine Supervisione e controllo Sistemi di gestione aziendale Attività di internalaudit 23

24 Come? PRIVACY FRAMEWOK Ruoli, Responsabilità e Interazioni TITOLARE la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'unione o degli Stati membri; la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; RESPONSABILE COMPITI DATA PROTECTION OFFICER 24

25 Come? COMPITI RESPONSABILE PROTEZIONE DATI RESPONSABILE PROTEZIONE DATI INFORMARE E FORNIRE CONSULENZA TITOLARE RESPONSABILE POLITICHE RESPONSABILE PROTEZIONE DATI COMPLIANCE ATTRIBUZIONE RESPONSABILITA SENSIBILIZZAZIONE FORMAZIONE CONTROLLO 25

26 Come? COMPITI RESPONSABILE PROTEZIONE DATI PARERE RESPONSABILE PROTEZIONE DATI VALUTAZIONE IMPATTO Art RESPONSABILE PROTEZIONE DATI COOPERARE AUTORITA DI CONTROLLO AUTORITA DI CONTROLLO PUNTO DI CONTATTO RESPONSABILE PROTEZIONE DATI 26

27 Come? RESPONSABILE PROTEZIONE DATI Svolgimento COMPITI CONSIDERA RISCHIO CONTESTO NATURA FINALITA AMBITO APPLICAZIONE

28 Come? PRIVACY FRAMEWOK Mappare REGISTRO DEI TRATTAMENTI registro dei trattamenti PRIVACY FRAMEWOK Controllare REGISTRO DEI RISCHI PIANO DI DEI RISCHI appropriate misure tecnico organizzative Principi Politiche PRIVACY FRAMEWOK Assicurare Conformità «Principi» 28

29 Come? Sistema di Gestione del Rischio Risk Management Prendendo in considerazione lanatura,loscopo,ilcontestoe le finalità del trattamento I rischi di varia possibilità e severità per i diritti e le libertà degli interessat Stabilire il Contesto Stabilire il contesto esterno Stabilire il contesto interno Valutazione del Rischio Identificazione del Rischio Analisi del Rischio Ponderazione del Rischio appropriate misure tecniche e organizzative Trattamento del Rischio 29

30 Come? Preparing the grounds for PIA process for conducting a PIA General PIA Report General Annex A (informative) Scale criteria on the level of impact and on the likelihood Determine whether a PIA is necessary (threshold analysis) Report structure Preparation of the PIA Scope of PIA Perform the PIA Risk Assessment Follow the PIA Risk Treatment Plan Conclusions and Decisions PIA Public Summary 30

31 Come? Sistema di Gestione per la Compliance Requisiti Legali, Regolamentari, Contrattuali, Tecnici Compliance Codici di Condotta Privacy Shield Standa rds SUPERVRY AUTHORITY Certificazi one Sistema di Gestione per la Compliance 31

32 Come? GRC appropriate misure tecnico organizzative SICUREZZA INFORMAZIONI IT SERVICE GRC BUSINESS CONTINUITY

33 Come? Standard UNI EN IEC : 2011 tecnologie delle informazioni gestione del servizio parte 1: requisiti Standard UNI CEI IEC 27001:2013«tecnologie informatiche- tecniche per la sicurezza delle informazioni sistemi di gestione per la sicurezza delle informazioni requisiti» Standard 22301:2012 «societal security business continuity management systems requirements». 33

34 Come? PROCESSI DEL SGS I sistemi di gestione per i servizi IT ( ) richiamano nel loro ambito la gestione della sicurezza delle informazioni ( 27001) e la gestione della business continuity( 22301). A , Appendice A PROGETTAZIONE E TRANSIZIONE A NUOVI SERVIZI PROCESSI DI EROGAZIONE DEL SERVIZIO Gestione della capacità Gestione della continuità e della disponibilità del servizio Gestione del livello del servizio PROCESSI DI RLUZIONE Gestione degli incidenti e delle richieste di servizio Gestione dei problemi PROCESSI DI CONTROLLO Gestione della configurazione Gestione del cambiamento Gestione del rilascio e dell implementazione Gestione della sicurezza delle informazioni Gestione del budget e contabile dei servizi Reportistica del servizio PROCESSI DI GESTIONE DELLE RELAZIONI Gestione delle relazioni di business Gestione dei fornitori 34

35 Come? SICUREZZA DELLE INFORMAZIONI SICUREZZA FISICO AMBIENTALE SICUREZZA ORGANIZZATIVA E HR DATA PROTECTION PERSONAL DATA cloud IT SECURITY «CYBERSECURITY» Standard /IEC : 2012 «Information technology Security techniques Guidelines for cybersecurity» Standard /IEC 27018: 2014 Information technology Security techniques Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors 35

36 Come? Minaccia Vulnerabilità Beni usati per il trattamento SW Incidente DATA Trattamento Obiettivi di Sicurezza Informazioni Confidenzialità, Integrità, Disponibilità Perimetro di Sicurezza Fisico ambientale 36

37 Come? Appendi ce A appropriate misure tecnico organizzative A.5 Politiche per la sicurezza delle informazioni A.6 Organizzazione per la sicurezza delle informazioni A.7 Sicurezza delle risorse umane A.8 Gestione degli assett A.9 Controllo degli accessi A.10 Crittografia A.11 Sicurezza fisica e ambientale A.12 Sicurezza nell operatività A.13 Sicurezza nella comunicazione 14 Acquisizione, sviluppo e manutenzione dei sistemi 15 Relazioni con i Fornitori A.16 Gestione incidenti alla sicurezza delle informazioni A.17 Aspetti di continuità operativa A.18 Conformità normativa 37

38 Come? Appendi ce A A.18 CLAUSOLA A.18 Conformità prescrizioni normative OBIETTIVO DI CONTROLLO A.18.1 conformita ai requisiti legali e contrattuali Evitare violazioni a obblighi cogenti o contrattuali relativi alla sicurezza delle informazioni e di qualsiasi requisito di sicurezza. CONTROLLO OPERATIVO A privacy e protezione dei dati di identificazione personale Si devono assicurare la privacy e la protezione dei dati personali come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile. 38

39 Come? Privacy breach Incidente INTERRUZIONE DATA Impatto Perdita di Disponibilità INTERESSATO RESILIENZA RISK ASSESSMENT (BIA) BUSINESS IMPACT ANALYS BUSINESS CONTINUITY STRATEGY BUSINESS CONTINUITY PLANS PROVE E CONTROLLI (PIA) Privacy Impact Assessment Privacy by design Privacy by default