GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio competitivo

Transcript

1 GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio competitivo Hermes Mazzucco Business Developer Dedagroup Banking, Insurance & Industrial

2 1 Dedagroup Chi siamo Siamo uno dei più importanti attori dell'information Technology Made in Italy. Supportiamo Aziende, Enti Pubblici e Istituti Finanziari nelle loro strategie IT con competenze applicative, tecnologiche e di system integration. L headquarter si trova a Trento terra d eccellenza per esperienze d innovazione ma il nostro Gruppo, con filiali in Italia e all estero, supporta oltre clienti in tutto il mondo. Cifre 230 M Fatturato Persone Clienti 40 Paesi in cui abbiamo clienti

3 2 Dedagroup Banking, Insurance & Industrial Affianchiamo Banche, Assicurazioni e Intermediari Finanziari nel ridisegno in ottica digital dei propri sistemi e processi, nella trasformazione in realtà omnichannel abilitando processi di vendita, pagamenti e incassi digitali, nella governance, risk&compliance e nei processi di integrazione.

4 3 Agenda «Progetto GDPR»: obiettivi e linee guida Sintesi del framework Il progetto di Assessment

5 «Progetto GDPR»: obiettivi e linee guida

6 5 Linee guida per un «Progetto GDPR» Per essere conformi al GDPR occorre: Capire e delimitare l ambito di intervento Identificare le attività necessarie ad adeguare l azienda alla normativa GDPR Un iniziativa sul GDPR comporta per un azienda: Il coinvolgimento di molti attori Per creare piena consapevolezza in materia di trattamento dei dati personali Il risultato: Creazione di un framework di riferimento per l azienda per informatizzare il modello GDPR Identificazione dei gap normativi Documentazione e giustificazione delle scelte effettuate Identificazione delle misure e delle remediation da mettere in campo per essere conformi Le linee guida nella creazione della nostra proposta sono: Elaborare una metodologia Identificare un approccio Selezionare le migliori tecnologie disponibili sul mercato Modulare gli interventi necessari

7 6 Quali vantaggi dietro una normativa Un adeguata comprensione del proprio patrimonio informativo è un punto di partenza imprescindibile per definire: Policy di protezione e tutela adeguate Strategia efficace di utilizzo dei dati Clean Data I dati conosciuti, strutturati e organicamente protetti sono una percentuale bassa rispetto al complesso dei dati conservati. Mentre nei dati non emersi si trovano prevalentemente informazioni ridondanti o obsolete, talvolta non pertinenti al business. Fonte: «the Data Directive» - The Economist Intelligence Unit

8 7 Gli elementi essenziali del regolamento europeo Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche La corretta e sicura gestione del proprio patrimonio informativo deve tenere in considerazione che le informazioni critiche non devono essere esposte, in chiaro e totalmente, a funzioni aziendali o esterne che «by default» non dovrebbero avervi accesso. Il regolamento prevede l obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l Autorità di protezione dei dati in caso di dubbi. 72 ore di tempo per la «data breach notification»: in caso di perdita di dati personali le aziende devono notificare alle autorità preposte la fuga di dati personali entro 72 ore dal momento in cui se ne è venuti a conoscenza. Viene introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. Sanzioni: le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell'esercizio precedente

9 8 Obiettivi per un «Progetto GDPR» Elaborare un Sistema di gestione GDPR che garantisca e dimostri la salvaguardia dei Dati Personali Integri i vari interventi in una visione olistica Consenta il riuso degli investimenti pregressi Programmi investimenti «progressivi» Concentri l attenzione e le energie sulle aree a maggior rischio Consideri la conformità come stato piuttosto che come evento Comporti processo iterativo per affinamenti successivi

10 9 Quali obiettivi porsi oggi Le aziende devono essere in grado di: valutare ex ante la reale capacità delle azioni intraprese di portare risultati desiderati adottare una serie di «lead indicators» per misurare non tanto il risultato, quanto il processo messo in atto per raggiungerlo Art Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Ex-post: misurano il risultato, non lo influenzano Ex-ante: prevedono il risultato e lo influenzano

11 10 Come procedere Il GDPR è ancora materia in evoluzione e quindi è fondamentale: Il confronto con quanto viene fatto nelle altre nazioni EU Porre la massima attenzione a tutti gli attori in campo autorizzati a vario titolo a esprimere linee guida, suggerimenti, Article 29 Working Party European Data Protection Board WP29 ha nominato tra i suoi membri un rappresentante per il prossimo gruppo stakeholder permanente ENISA But the result is a kind of cathedral, huge and a bit complex. We need then to go from the text to the practice and provide all the users with very clear indications; with clear requirements

12 Sintesi del framework

13 12 Il Framework GDPR Come Buone pratiche Standard Framework Sigilli Codici condotta Coordinamento Scelta Ottimizzazione Riutilizzo Audit Pick & choose Certificazioni Capability Maturity Template Doc.... Modello GDPR Processi GDPR Privacy Enhancing Technology (PET) GDPR

14 13 Modello dati, analisi dei rischi e processi Finalità Processi di Business Trattamenti... Dati... Scenario di Rischio Eventi Processi Dati personali Trattamenti GDPR Non disponibilità Alterazione Compromissione Interessati Accesso illegittimo Modifiche non autorizzate GDPR Non disponibilità Processi GDPR Acquisizione consenso o equivalente Data Breach Notification Data Protection Risk Assessment DPIA Portabilità dei Dati Rilascio informative Rispetto Diritti dell Interessato: rispondere e registrare Rispetto Diritti dell Interessato: Rilevare e monitorare. Contesto

15 14 Dove possiamo intervenire nel rispetto dei principi fondamentali del GDPR Finalità Minimizzazione Qualità Periodo di conservazione Informativa Consenso Diritto di opposizione Diritto di rettifica Diritto di cancellazione ( diritto all oblio ) Portabilità

16 15 Scegli di essere conforme al GDPR 1. I principi e i diritti fondamentali 2. La gestione dei rischi cui i dati personali sono soggetti "non negoziabili", stabiliti dalla legge e che devono essere comunque rispettati, indipendentemente dalla natura, la gravità e la probabilità di rischi; che determina le misure tecniche e organizzative da adottare per proteggere i dati personali. Art 35 Valutazione d'impatto sulla protezione dei dati. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti si-mili che presentano rischi elevati analoghi.... Rispetto dei principi fondamentali del GDPR Gestione dei rischi sui «Dati Personali» Conformità al GDPR

17 Il progetto di Assessment

18 17 Quali azioni intraprendere ora Perimetro intervento 1-2 settimane 2 mesi 1 mese Scoping Assess, TO BE, Evaluate transition GDPR compliance Data governance & Roadmap 4 mesi 25 maggio 2018 & Approvazione ambito assessment Nomina DPO Condivisione e approvazione risultanze assessment Approvazione iniziative priorità 1 Adeguamenti priorità ALTA Predisp. governance & Avvio processo GDPR Completamento programma Attuazione Controlli periodici

19 18 Assess, TO BE, Evaluate Assessment Business Mobilitazione strutture organizzative Rilevazione dei dati personali e trattamenti Assessment Tecnologico DATA DISCOVERY set up SCAN, analisi risultati e tuning 8 10 Fase 1 SICUREZZA: Penetration testing con RT Vulnerability assessment Security Infrastructure Assessment WiFi Infrastructure Assessment Log management Finalizzazione reportistica Settimana 1 Settimana 2 Settimana 3 Settimana 4 Settimana 5 Settimana 6

20 19 Assess, TO BE, Evaluate Analisi dei Gap Principi fondamentali del GDPR Analisi dei rischi e Identificazione misure di sicurezza 8 Fase 2 TO BE Definizione modello GDPR per ciascuna area di governo 12 Settimana 5 Settimana 6 Settimana 7 Settimana 8 Settimana 9

21 20 Assess, TO BE, Evaluate Valutazioni Valutazione degli interventi 12 Fase 3 Valutazione priorità 5 Settimana 9 Settimana 10 Settimana 11 Settimana 12

22 Dedagroup è uno dei più importanti attori made in Italy del settore Information Technology, con headquarter a Trento e un fatturato di 230 milioni di Euro. La nostra identità di Software Vendor combinata alle competenze di System Integration e Digital Design ci posiziona come interlocutore naturale nello sviluppo dell innovazione digitale di Aziende, Enti pubblici e Istituti finanziari.