CERTIFICAZIONE - GDPR ISDP 10003:2015. QBP Q-Aid Business Partners

Transcript

1 CERTIFICAZIONE - GDPR ISDP 10003:2015 1

2 Privacy GDPR ISO27001 ISDP10003 Misure di sicurezza e protezione dei dati personali 2

3 Le norme Sistema di gestione per la sicurezza delle informazioni Sistema di gestione per la privacy UNI ISO 31000:2010 Gestione del rischio ISO 27001:2014 Sicurezza delle Informazioni ISDP 10003:2015 Schema per la protezione dei dati personali GDPR 679/2016 Privacy 3

4 ISO La Certificazione secondo lo standard internazionale ISO assicura all Azienda l adozione di un sistema per la gestione affidabile e sicura dei sistemi informativi aziendali al fine di: assicurare e dimostrare adeguati livelli di servizio; monitorare e ridurre i rischi di possibili disservizi; ridurre i rischi di interruzione del servizio (Business Continuity). 4

5 ISO La norma ISO è una struttura parziale per la conformità con GDPR UE. Se un organizzazione ha già implementato questo standard, è almeno a metà strada verso il garantire la protezione dei dati personali dati e minimizzare il rischio di una perdita il cui l impatto finanziario e la visibilità potrebbe essere devastante per l organizzazione stessa. 5

6 Valutazione del rischio Alla luce delle sanzioni del GDPR l impatto in termini finanziari e di visibilità che ogni azienda andrebbe ad affrontare in caso di fuoriuscite di dati, la valutazione dei rischi è la base di tutte le attività. Tale valutazione è anche una delle direttive definite dal GDPR, dove le organizzazioni devono valutare i rischi per la privacy, esattamente come richiesto dallo standard ISO

7 Compliance Con l implementazione dello standard ISO 27001, è obbligatorio avere un elenco rilevante di requisiti legislativi, regolamentari, normativi e contrattuali. L articolo A della ISO27001 obbliga le organizzazioni all attuazione di una politica di protezione di dati e informazioni personali. 7

8 Asset management La ISO implica la gestione dei dati personali come attività primaria di sicurezza delle informazioni. Come per il GDPR permette alle organizzazioni di mappare i dati andando a specificare, per quanto tempo sono conservati, da dove provengono e chi ne ha diritto di trattamento. 8

9 Privacy by Design Privacy by design riguarda il principio di obbligatorio, stabilito dal GDPR di prendere in considerazione la protezione dei dati personali a partire dalla progettazione di un trattamento aziendale con le relative applicazioni informatiche di supporto. Tale requisito compare anche nella ISO

10 Rapporti con i fornitori Nella ISO è specificata la necessità di proteggere i beni dell organizzazione che sono accessibili dai fornitori. Secondo il GDPR i trattamenti dei dati eseguiti da parte dei fornitori dell organizzazione esigono il rispetto dei requisiti del regolamento attraverso formali accordi. 10

11 La certificazione ISO27001 è quindi sufficiente per essere compliant? Ovviamente non è sufficiente ma permette di fare un passo importante nella giusta direzione soprattutto per la sicurezza informatica e per aumentare la consapevolezza degli incaricati aziendali, come esplicitamente più volte richiamato nel GDPR 11

12 Cosa è ISDP? E uno schema di certificazione volontario, accreditato da ACCREDIA, per determinare la conformità al GDPR. Fornisce i principi e gli elementi di controllo per una completa valutazione della conformità dei processi interni all organizzazione in merito alla protezione dei dati personali con particolare riferimento alla corretta gestione dei rischi. 12

13 CERTIFICAZIONE Inoltre dettaglia i requisiti e i controlli di sicurezza, affinché i dati rispettino i livelli di esattezza, accuratezza, attualità, coerenza, completezza, credibilità e aggiornamento richiesti dalla normativa vigente sulla protezione dei dati personali, con particolare attenzione al principio di qualità e sicurezza dei dati trattati, secondo i principali standard internazionali. 13

14 A chi si rivolge lo schema ISDP 10003:2015 è applicabile a tutte le tipologie di organizzazioni e specifica i requisiti perla gestione in correttezza, sicurezza e conformità delle persone fisiche con particolare riguardo ai dati personali 14

15 ISDP nel Regolamento EU SISTEMA DI CERTIFICAZIONE E REGOLAMENTO Art. 5 - Principi del Trattamento dei Dati Personali Art Responsabilità del Titolare Art. 42 Meccanismi di certificazione Art. 43 Organismi di certificazione 15

16 Art. 5 I principi del trattamento dei dati personali Paragrafo.1 a) Liceità, correttezza e trasparenza b) Finalità determinate, esplicite e legittime c) Pertinenti alle finalità d) Esatti e, se necessario, aggiornati/cancellati e) Conservati per il tempo della finalità 16

17 Art. 24 Responsabilità del Titolare Mette in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento viene svolto secondo le sue disposizioni L adesione a un meccanismo di certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento 17

18 ESATTEZZA e AGGIORNAMENTO Art. 5.I dati personali oggetto di trattamento sono esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati 18

19 CONSAPEVOLEZZA Comma 2 Il Titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo 19

20 Art. 42 Certificazione 1) Gli Stati Membri, le Autorità di Controllo, il comitato e la commissione incoraggiano l istituzione di meccanismi di certificazione nonché di sigilli e marchi allo scopo di dimostrare la conformità al regolamento CHI NE GIOVA? Titolare e Responsabile del Trattamento DESTINATARI? Micro, piccole e medie imprese FORMA: Volontaria, accessibile PERIODO DURATA: 3 anni 20

21 CERTIFICAZIONE Campo di applicazione Lo schema fornisce i principi e le linee di controllo per una completa valutazione della conformità dei processi interni all organizzazione in merito alla protezione dei dati personali con particolare riferimento alla corretta gestione dei rischi. 21

22 CERTIFICAZIONE L organizzazione che ottiene la certificazione ISDP, relativamente a tutti i processi aziendali a cui è applicabile, fornisce garanzia verso le parti interessate dell adozione di un sistema di analisi e controllo dei principi e delle norme di riferimento a tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi. 22

23 CERTIFICAZIONE Vantaggi Lo schema fornisce i principi e le linee di controllo per una completa valutazione della conformità dei processi interni all organizzazione in merito alla protezione dei dati personali con particolare riferimento alla corretta gestione dei rischi. Inoltre dettaglia i requisiti e i controlli di sicurezza, affinché i dati rispettino i livelli di esattezza, accuratezza, attualità, coerenza, completezza, credibilità e aggiornamento richiesti dalla normativa vigente sulla protezione dei dati personali, con particolare attenzione al principio di qualità e sicurezza dei dati trattati, secondo i principali standard internazionali. 23

24 ISDP + ISO27001 Definire il contesto del trattamento Implementare e mantenere le misure di sicurezza Identificare le minacce per la sicurezza dei dati Selezionare le misure di sicurezza idonee Valutare i rischi 24

25 Q-Aid Academy formazione diretta formazione professionale dei Consulenti di Sistema Privacy CSP (2gg) formazione professionale Formatori Privacy FP * (2gg) formazione professionale Auditor di Sistema Privacy ASP (5gg by INVEO) Corso di Alta Formazione ** Formatore Esperto Privacy FEP (8gg) * Q-Aid Academy crea un Registro esclusivo di Formatori Privacy FP, tali formatori (e loro organizzazioni) possono diventare CFQ, utilizzare la piattaforma Q-Aid Academy per la gestione dei corsi, l emissione degli attestati e la fruizione di servizi come tutoraggio tecnico, fruizione delle dispense aggiornate, informazioni legate a FTP ** Q-Aid Academy e CRSLaghi creano un Registro esclusivo di Formatori Esperti Privacy FEP, analogamente ai FP i FEP (e loro organizzazioni) possono diventare CFQ oltre che CFQ-pro 25