SOLUZIONE APPLICATIVA PER LA GESTIONE E IL CONTROLLO DEI TRATTAMENTI DI DATI PERSONALI IN AMBITO ENTERPRISE
GENERAL DATA PROTECTION REGULATION Il 14 aprile 2016 il Parlamento europeo ha approvato definitivamente il Regolamento in materia di Data Protection, che stabilisce norme relative: alla protezione delle persone fisiche con riguardo al trattamento dei dati personali alla libera circolazione dei dati Il Regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi, rilevanti per le imprese dal punto di vista sia economico (sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore) che reputazionale (possibili conseguenze di un incidente informatico che metta a rischio l integrità o la riservatezza dei dati) La nuova norma, che è entrata in vigore il 24 maggio 2016, troverà diretta applicazione a partire dal 25 maggio 2018 L adeguamento al Regolamento Privacy rappresenta una delle progettualità a maggiore impatto per le imprese nel 2018, per la pervasività degli adeguamenti che presentano anche significativi impatti IT 2
GENERAL DATA PROTECTION REGULATION La soluzione applicativa per la gestione della Privacy Modellazione processi e organigrammi Reporting & Analitics Analisi dei rischi / DPIA Registro Trattamenti Registro delle richieste degli interessati Registro Data Breach Registro dei consensi Focus del documento 3
IL REGISTRO DEI TRATTAMENTI Premessa Lo strumento fondamentale per la definizione di un adeguato sistema Privacy è il Registro dei trattamenti. Tale strumento fornisce all azienda un quadro generale del sistema dei trattamenti di dati personali, ed è utile anche ai fini del monitoraggio nel continuo da parte del Titolare e del Responsabile Il Registro dovrà essere predisposto, in forma scritta (anche elettronica), entro il 25 maggio 2018 La mancata adozione di questa disciplina implica l applicazione di una sanzione CHI COSA L obbligo di redazione e adozione del Registro compete alle imprese o organizzazioni con più di 250 dipendenti 1 L obbligo di tenuta del registro è in capo sia ai soggetti Titolari che Responsabili del trattamento Il Registro deve contenere le informazioni minime riguardanti il trattamento e alcuni ruoli societari coinvolti riportate all articolo 30 del GDPR PERCHÉ Il Registro, oltre a essere parte integrante di un sistema di corretta gestione dei dati, è uno strumento indispensabile: per dimostrare l applicazione del principio di accountability per monitorare nel continuo i trattamenti e valutarne i relativi rischi per cooperare con l Autorità di Controllo 1 Le Imprese o organizzazioni con meno di 250 dipendenti sono esentati purché (i) il Titolare non effettui trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati; (ii) il trattamento non sia occasionale o includa dati particolari e giudiziari 4
IL REGISTRO DEI TRATTAMENTI Il Data Model Il Regolamento richiede al Titolare e/o Responsabile di descrivere i trattamenti, indicando le finalità del trattamento, le categorie di interessati e di dati nonché quelle dei destinatari, così come il contesto in cui le attività sono sviluppate Nella predisposizione del Registro dei trattamenti è importante definire il dominio dei valori da attribuire a ciascuna grandezza, ad esempio cos è classificabile come dato personale all interno della realtà aziendale oggetto di analisi 5
PERCHE UNA SOLUZIONE SOFTWARE? Rappresenta la possibilità di tenere sotto controllo attivamente tutti i trattamenti di dati personali dell impresa (compresi i processi e gli applicativi che gestiscono dati personali) Garantisce la minimizzazione delle perdite operative Consente di raccogliere in un unico strumento tutte le informazioni necessarie a rafforzare il principio di Accountability Consente di valutare la rischiosità dei trattamenti di dati personali in modo attivo e continuativo Favorisce l interazione tra le strutture aziendali coinvolte nel trattamento dei dati con creazione di sinergie Permette di automatizzare la produzione di documenti richiesti dal Regolatore 6
LA SOLUZIONE GDPR FullControl Caratteristiche generali Multi-company Integrata con processi e Unità organizzative Multi-registro: Titolari- Responsabili Integrata nel modello Governance, Risk & Compliance Piattaforma web proposta in modalità On-premise (in-house) o in modalità SaaS (Cloud) 7 7
LA SOLUZIONE GDPR FullControl Come funziona? Presenza di un cruscotto di controllo di accesso rapido alle varie funzioni del Sistema di gestione della Privacy 8
LA SOLUZIONE GDPR FullControl - L'anagrafica di base GDPR FullControl Possibilità di codificare in modo libero e flessibile le informazioni alle quali riferire i diversi trattamenti da censire: categorie interessati, categorie dati, destinatari comunicazione, finalità generali, garanzie privacy, mezzi di raccolta, misure di sicurezza, ambiti di diffusione, applicativi software impiegabili, basi giuridiche, modalità di raccolta consenso 9
LA SOLUZIONE GDPR FullControl - L inserimento di un nuovo trattamento GDPR FullControl Possibilità di censire un nuovo trattamento, collegandolo al/i processo/i aziendale/i impattato/i e all Unità Organizzativa competente, e prevedendo diverse informazioni, quali ad es.: finalità, data inizio, modalità del trattamento, categorie di dati e di interessati, base giuridica, termini di conservazione, applicativi, destinatari della comunicazione 10
LA SOLUZIONE GDPR FullControl - L inserimento delle misure di sicurezza GDPR FullControl Possibilità di censire le misure di sicurezza collegate alle attività di trattamento 11
LA SOLUZIONE GDPR FullControl - Il riepilogo delle Attività di Trattamento GDPR FullControl Possibilità di visualizzare tutte le attività di trattamento con tutte le informazioni ad esse collegate 12
LA SOLUZIONE GDPR FullControl - La produzione dei Registri dei Trattamenti GDPR FullControl Possibilità di stampare il/i Registro/i dei Trattamenti per Titolare e Responsabile, a norma di legge 13
I RISULTATI CHE COSTRUIREMO INSIEME Data Discovery Assessment dei trattamenti Ricognizione bottom-up dei dati personali che, partendo dall individuazione delle categorie di dati trattati, arriva a determinare le funzioni coinvolte nel trattamento e i processi e gli applicativi impattati Raccolta di tutte le informazioni inerenti al trattamento dei dati in ottica GDPR, partendo dagli output della data discovery Approccio riskbased Valutazione della rischiosità dei trattamenti, garantendo un integrazione con il modello Governance, Risk & Compliance (GRC), al fine di realizzare un approccio congiunto ed industriale alle attività di mappatura e valutazione di processi, rischi e controlli 14
CHI SIAMO Nasce nel 2001 ed è un centro di eccellenza per CONSULENZA STRATEGICA E ORGANIZZATIVA, PEOPLE & CHANGE MANAGEMENT, ACCOUNTABILITY E SOSTENIBILITÀ Con un team di persone provenienti dalle migliori società di consulenza, formazione, università e business school, opera nei mercati FINANCE, INDUSTRIA E SERVIZI, UTILITIES, PUBBLICA AMMINISTRAZIONE In ambito Risk Management e Compliance, offre un approccio integrato alla gestione della conformità alle norme, che consente di rispondere in maniera personalizzata a tutte le principali necessità delle imprese Bologna Nasce nel 2013 come frutto di un percorso imprenditoriale decennale nel settore. E specializzata nella digitalizzazione di processi operativi aziendali con soluzioni software su misura La sua forza è in un team di professionisti di qualità che possono vantare importanti e complessi progetti portati a termine con successo La mission di NEXT è quella di offrire servizi e soluzioni per supportare le Imprese e gli Enti ad avvalersi delle tecnologie, in particolare del software, come strumento strategico per competere al meglio sul mercato, ottimizzando processi e gestioni informative aziendali 15
Via Toscana 19/A 40069 Zola Predosa (BO) Tel. +39 051 31 60 311 Fax +39 051 31 60 399 info@scsconsulting.it www.scsconsulting.it Via Bonazzi, 3 40013 Castel Maggiore(BO) Tel. +39 051 051 71 80 info@nextsw.it www.nextsw.it Serena Bedendo Manager Mercato Finance Cell.: +39 334 6892320 s.bedendo@scsconsulting.it Giuseppe Frangiamone Manager Progetti Grandi Imprese Cell.: +39 335 7715928 g.frangiamone@nextsw.it 16