presenta GDPR Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy? Pierfrancesco Maistrello - CISA/Lead Auditor ISO/IEC 27001/ITIL Foundation, Consulente della Privacy TÜV Italia n CDP_023
Mancano poco più di sei mesi alla nuova privacy ed è già iniziata la battaglia degli acronimi GDPR/RGPD DPO/RPD PbD&D DPIA/PIA E non finisce qui
«L informazione non è conoscenza»
Avevate mai visto prima di oggi la pubblicità di un browser che rispetta la vostra privacy?
1. Come cambia il contesto da Legge nazionale a Regolamento Europeo (GDPR) 2. Qual è l impatto sui principi generali e le regole per il trattamento dei dati Di cosa parleremo oggi 3. Registro delle Attività di trattamento Come funziona la tenuta? 4. Misure di sicurezza Come cambiano e come valutare le più adeguate alla propria attività 5. DPIA, DPO, PbD&D Conosci gli acronimi per non subirli 6. Pianificare per tempo gli adeguamenti richiesti per evitare affanni (e sanzioni)
Come cambia il contesto Percezione della vecchia privacy Troppo difficile e complessa («non si capisce bene cosa bisogna fare» opp. «non riguarda noi») + Limitante nei confronti del business («non si può! C è la privacy») + Poco rischiosa («non è così pericolosa a livello penale» «le sanzioni non sono elevate») = «la privacy» è stata relegata ai margini del perimetro dei processi aziendali (quando non al di fuori).
Come cambia il contesto Elementi del vecchio contesto Direttiva UE del 1995 Legge Nazionale Autorità di controllo nazionale Pochi processi, in ambito nazionale Rischio sanzionatorio reale: Sanzioni Amministrative previste nel codice privacy e regolate dalla L.689/81
Come cambia il contesto Perché serve una nuova privacy? https://iapp.org/resources/article/a-brief-history-of-safe-harbor/ NUOVA PRIVACY VECCHIA PRIVACY
Come cambia il contesto Elementi del nuovo contesto Regolamento UE + Leggi per deroghe nazionali = il da farsi Resterà la 196/03, armonizzata Board dei Garanti + Autorità di controllo nazionale = punti di riferimento (checklist, strumenti, pareri e nuovo «metro» per le sanzioni) Il Garante cambia modalità operativa
principi e regole per il trattamento dei dati Elementi principali Uno degli effetti è l aumento delle fonti informative. http://ec.europa.eu/justice/newsroom/dataprotection/infographic/2017/index_it.htm Passando da 1 a 28 «sportelli» informativi il tasso informativo medio dovrebbe migliorare
principi e regole per il trattamento dei dati Principali differenze Cessano: - Notificazione telematica del trattamento - Nomina responsabile interno Cambiano: - Misure minime di sicurezza Entrano: - DPIA, - DPO, - Data Breach Notification Cambiano: - Titolarità/Responsabilità - Registro dei trattamenti - Analisi dei rischi (e PbD&D) - Informative e consensi (POCO!)
principi e regole per il trattamento dei dati Diritti dell interessato rafforzati Accesso Portabilità Limitazione
principi e regole per il trattamento dei dati Come funziona la scadenza? 1 25 maggio 2018 Piena applicazione del Regolamento UE 679/2016 revisione della 196/03 (per armonizzare gli elementi di tipicità nazionale es. stabilire sanzioni penali) + Rischio sanzionatorio? Probabilmente avremo qualche certezza in più di adesso
principi e regole per il trattamento dei dati Come funziona la scadenza? 2 25 maggio 2018 Piena applicazione del Regolamento UE 679/2016 196/03 non armonizzata, cioè uguale ad oggi + Rischio sanzionatorio?
Registro delle Attività di trattamento Ruolo centrale nella nuova privacy - Informativa (+consenso) - Nomine - DPIA - DPO - Data Breach Notification + Rispondere alle richieste Adempimenti specifici Che Titolare sei? Misure di sicurezza adeguate Che Dati hai? Registro dei trattamenti Privacy by Design Privacy by Default
Registro delle Attività di trattamento Cosa deve contenere (art.30 GDPR) a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un organizzazione internazionale, compresa l identificazione del paese terzo o dell organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell articolo 49, la documentazione delle garanzie adeguate; f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all articolo 32, paragrafo 1.
Misure di sicurezza come sono cambiate Le misure previste dalla normativa sono esattamente le stesse: «appropriate technical and organizational measures» Quello che cambia è il modo di applicarle: - Accountability (tradotto male con «responsabilizzazione») del titolare - Risk: i trattamenti, una volta mappati, vanno analizzati in relazione ai rischi cui possono essere soggetti. Le misure quindi vanno individuate in relazione ai rischi cui sono soggetti i dati (es. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/)
Misure di sicurezza cosa dice la norma 1. Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Misure di sicurezza quali competenze/strumenti? Classificare il dato personale Inventario degli strumenti utilizzati Valutare la rischiosità del dato Individuare misure di sicurezza adeguate Documentare le misure adottate (sostanza, non forma) Poter contare su specialisti, quando necessario
Misure di sicurezza Errori da non commettere 1. Delegare il problema a qualcuno, chiunque sia 2. Pensare che tanto, se succede, ingaggiamo un legale e ci penserà lui. Traduco con un esempio: la 231/01 prevede un modello riparatore. Il GDPR no.
DPIA, DPO, PbD&D Basta conoscerne uno per comprenderli tutti www.gpdp.it
Pianificare gli adeguamenti Da dove si comincia? Mappatura dei trattamenti! - Necessaria per definire le misure di sicurezza - Necessaria per individuare adempimenti obbligatori - Necessaria per revisionare i testi delle informative -. - Necessaria per poter dire: «tenuto conto dei seguenti trattamenti dichiaro che non.»
Pianificare gli adeguamenti Es. 1 - rapporti con i fornitori - old Azienda = Titolare Responsabile/i (?!) Fornitore = Responsabile Esterno Dipendenti/collaboratori = Incaricati Base Dati Fornitore = Titolare Autonomo - Nomina scritta con istruzioni - Clausole contrattuali - Sottoscrizione di contratti tipo del fornitore Fornitore =?
Pianificare gli adeguamenti Es. 1 - rapporti con i fornitori - NEW Azienda = Titolare Responsabile/i (?!) Dipendenti/collaboratori = Incaricati Atto giuridico Fornitore = Responsabile Esterno Base Dati - Nomina scritta con istruzioni - Clausole contrattuali specifiche - Sottoscrizione di contratti tipo del fornitore Fornitore = Contitolare
Pianificare gli adeguamenti Es. 2 - Data Breach Notification Azienda = Titolare Responsabile (da prevedere con opportune clausole) Base Dati Perdita di: Riservatezza Integrità Disponibilità 1. Tenere un registro interno di tutte le violazioni accertate 2. Notificare al Garante solo quelle che possono comportare un «rischio elevato per i diritti e le libertà delle persone fisiche»
sanzioni Sanzione Normale Attenuata Aggravata Quadruplo Minimo Massimo Minimo Massimo Minimo Massimo Art. 161 6.000 36.000 2.400 14.400 12.000 72.000 144.000 Art.162 Comma 1 10.000 60.000 4.000 24.000 20.000 120.000 240.000 Comma 2 1.000 6.000 400 2.400 2.000 12.000 24.000 c. 2-bis 10.000 120.000 4.000 48.000 20.000 240.000 480.000 c. 2-ter 30.000 180.000 12.000 72.000 60.000 360.000 720.000 c. 2-quater 10.000 120.000 4.000 48.000 20.000 240.000 480.000 Art.162-bis 10.000 50.000 20.000 100.000 200.000 Art.163 20.000 120.000 8.000 48.000 40.000 240.000 480.000 Art.164 10.000 60.000 4.000 24.000 20.000 120.000 240.000 Art.164 comma 2 50.000 300.000 1.200.000
Grazie! Seguici su via A. Dominutti, 2 - Verona tel. 045 8378311 www.vecomp.it