Privacy in azienda: Il GDPR e l impatto sulle aziende

Documenti analoghi
Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

GDPR - Audit Checklist DATA PROTECTION GAP ANALYSIS

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

GDPR: il nuovo regolamento Privacy

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Seminario sul suo recepimento in ISS

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Valutazione d impatto e gestione integrata dei rischi

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

Privacy e Protezione dei dati

IMPLEMENTAZIONE DEL REGISTRO. Massimo Ippoliti Consiglio Nazionale delle Ricerche

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Alessandro Gaspari Data Center Specialist

IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Protezione dei dati, privacy e sicurezza informatica

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

FORMAZIONE TELEMATICA

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

ALLEGATI. A) Registro attività di trattamento

Sistemi informativi in ambito sanitario e protezione dei dati personali

LA NUOVA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

A cura dell Avv. Federica Spuri Nisi

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Policy sulla conservazione dei Dati Personali

La privacy per lo studio legale

Colin & Partners. LaaS - Legal as a Service. Marketing & Communication. Think Factory. Privacy e tutela delle informazioni. Diritto informatico

La corretta gestione dei processi informatici del nuovo GDPR

Cybersecurity e Hardware: che cosa prevede il GDPR

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Informativa per la clientela di studio

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IL RUOLO DELLA PUBBLICA AMMINISTRAZIONE. Roma 16 dicembre 2016 Francesco Modafferi

Regolamento UE 2016/679 in materia di protezione dei dati personali

GDPR: azioni raccomandate dal legale

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Sezione Trattamento Dati

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

Nuovo Regolamento Europeo sulla Privacy: da sempre Fulcri in prima linea. 25 novembre PharmExpo

Il nuovo modello di gestione della privacy Davide Grassano

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

MATERIALE DIDATTICO PILLOLA 8 COMPITI DEL TITOLARE: PRIVACY BY DESIGN E PRIVACY BY DEFAULT. in collaborazione con

GDPR e nuova norma italiana

GLI PSICOLOGI E LA PRIVACY. adeguamento al GDPR Regolamento UE 2016/679

Sample test Informatica Giuridica modulo: Protezione dati personali: GDPR, Privacy e Sicurezza

LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI

La normativa Europea sulla privacy

CEVI privacy a condizioni vantaggiose per le aziende associate aziende non associate al sistema Confindustria non sostituiscono ma integrano

IL SINDACO LEGALE RAPPRESENTANTE PRO TEMPORE DEL TITOLARE DEL TRATTAMENTO

Principali adempimenti privacy

Atto di DESIGNAZIONE. Titolare del trattamento DPO (RPD) Responsabile esterno. Atto di NOMINA

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

GDPR: cosa devono fare le aziende per mettersi in regola?

Allegato. Checklist di base per GLI STUDI PROFESSIONALI

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016 Gli obblighi per i Comuni

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

GDPR da Obbligo ad Opportunità ASL BENEVENTO

GDPR: accountability e approccio dell OdI

Giudizio di conformità sugli adempimenti richiesti BOZZA

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

regolamento UE 679/16

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IL RUOLO DELLA PUBBLICA AMMINISTRAZIONE. Francesco Modafferi

Bologna 15 maggio La gestione del rischio privacy e l impatto sull organizzazione aziendale

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Processi, Tool, Servizi Professionali

Regolamento UE 2016/679by 2018

REGISTRO DELLE ATTIVITA DI TRATTAMENTO

Impatti del GDPR 2016 Progetto di verifica dell adeguatezza delle banche dati di un impresa. Milano, gennaio 2019

2 giorni 25 MAGGIO 2018

PRIVACY: COSA CAMBIA CON IL NUOVO REGOLAMENTO EUROPEO?

IL REGOLAMENTO EUROPEO NELLO SCENARIO DELL IMPRESA. Giovedì 12 aprile 2018

Il registro dei trattamenti e la DPIA (Data Protection Impact

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

Enrico Magalini Verona GDPR

GDPR: Adempimenti e sanzioni. Valentina Amenta

FOCUS SUI PRINCIPALI ISTITUTI IN MATERIA DI TRATTAMENTO DEI DATI ALLA LUCE DEL GDPR REGOLAMENTO UE 2016/679

Programma. in collaborazione con

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

IN REGOLA CON IL (GDPR) UE 679/2016 REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI

Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI GDPR UE 2016/679

Obiettivi di controllo Presidio Verifica effettuata Grado di conformità

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

GDPR Il quadro normativo

Indice. Prefazione. Nozione del dato personale e del trattamento dei dati. pag. di Franco Pizzetti. Capitolo Primo

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

Transcript:

Privacy in azienda: Il GDPR e l impatto sulle aziende Confindustria Vicenza 4 Maggio 2018 Dr. Riccardo Larese Gortigo Larese & Associati s.r.l. - Presidente

La vera novità Il principio della responsabilizzazione («accuntability») Il Regolamento tende a non definire adempimenti specifici, ma a definire principi di conformità. Il titolare delle implementare i propri processi per raggiungere tali obiettivi. In assenza di specifici adempimenti, viene valutata l impostazione complessiva dei trattamenti riguardo ai rischi che ne derivano Il titolare pertanto sarà valutato a posteriori, in un eventuale verifica, sull adeguatezza dei propri comportamenti Questo è applicato in primo luogo nella gestione della sicurezza e protezione dei dati personali

La conseguenza operativa (organizzativa): La conformità normativa è un aspetto procedurale (organizzativo) e non documentale La conformità (compliance) è il risultato del controllo dei processi di trattamento dei dati personali Controllare un trattamento significa conoscere le modalità organizzative con cui viene svolto Il controllo è la conseguenza dell analisi dei trattamenti Un approccio complessivo, logico e conforme allo spirito del DGPR prevede che la conformità normativa parta dalla conoscenza dei trattamenti per giungere alla gestione degli adempimenti e non dalla predisposizione della documentazione!

La protezione dei dati personali

La protezione dei dati personali L art. 24 - Il nuovo approccio responsabilizzante Articolo 24 - Responsabilità del titolare del trattamento 1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. L approccio alle misure di sicurezza e protezione dei dati personali è totalmente responsabilizzante nei confronti del titolare del trattamento Non esiste un corrispondente alle Misure Minime di Sicurezza come erano definite nel Disciplinare Tecnico L obbligo non è solo quello di adottare misure di sicurezza ma quello più esteso ed impegnativo di definire politiche di sicurezza Tra gli obblighi di sicurezza vi è anche quello di essere in grado di dimostrare le politiche di sicurezza

La gestione della sicurezza nel Regolamento L art. 32 Sicurezza del trattamento Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

La pseudonimizzazione L art. 4 Definizioni Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile 1. Utilizzo di database relazionali: Le informazioni relative ad un soggetto sono decodificabili solo eseguendo «join» con la tabella principale che contiene i dati anagrafici Le maschere delle applicazioni permettono l accesso alle sole informazioni indispensabili per i trattamenti in corso 2. Utilizzo di tecniche di crittografia Database Archivi Supporti asportabili L applicazione delle misure deve tener conto della rilevanza dei dati trattati

La resilienza Resilienza: Capacità di un sistema informatico di resistere ad un attacco Attacco: qualsiasi evento che possa utilizzare una vulnerabilità per creare un danno

L organizzazione e la gestione della sicurezza Creare l ambiente Scegliere le tecnologie Documentare Controllare Agire Monitorare Sensibilizzare il top management Sensibilizzare il personale Formare il personale Sensibilizzare e formare il personale ICT Implementare le misure tecniche Definire le procedure operative Definire gli audit Svolgere gli audit Documentare i risultati degli audit Relazionare il top management sugli esiti degli audit Valutare gli audit con il top mgmt Pianificare i miglioramenti Controllare gli incidenti Documentare gli incidenti

La fine delle Misure Minime di sicurezza Le Misure Minime di Sicurezza Erano contenute nel Disciplinare Tecnico La loro corretta ed integrale applicazione assicurava: Che non ci sarebbero state sanzioni (penali od amministrative) per omessa adozione di misure di sicurezza Che, in caso di «incidenti» ci sarebbero state solo conseguenze risarcitorie, ove il titolare non fosse stato in grado di dimostrare di avere adottato sistemi di protezione adeguati NEL REGOLAMENTO NON ESISTONO PIU. E quindi Non esiste più un livello di sicurezza minimo che assicura l inapplicabilità di sanzioni Deve essere autonomamente svolta una valutazione (in base a trattamenti, organizzazione, tecnologia) dei livelli di sicurezza e protezione adeguati La responsabilizzazione dell azienda (e del suo ICT!) aumenta notevolmente TUTTAVIA E PREVEDIBILE CHE LE M.M.S. CONTINUINO AD ESSERE CONSIDERATE UNO ZOCCOLO MINIMO DI SICUREZZA Nella pratica (italiana) dovranno comunque essere rispettate

Un modello di definizione delle corrette misure di sicurezza Presupposti: Adozione di approcci congruenti agli standard in materia di sicurezza delle informazioni Nessuno standard stabilisce quali misure di sicurezza debbano essere adottate in specifiche situazioni, ma indica le «best practices» La scelta delle misure di sicurezza, pertanto, è il risultato della valutazione del titolare del trattamento In questo contesto si propone un «modello» per la adozione di misure di sicurezza progressivamente rinforzate: Il modello riguarda le misure di sicurezza di tipo informatico Le misure di sicurezza sono raggruppate in famiglie omogenee Le misure di sicurezza proposte sono poste in relazione alla «classe» di appartenenza dell azienda Ogni classe superiore richiede misure di sicurezza superiori, caratterizzate principalmente da livelli di responsabilizzazione e documentazione maggiori (Come anticipato dal Garante, in futuro potrebbero essere fornite delle linee di indirizzo per l adozione delle politiche di sicurezza: il modello, che in ogni caso comprende le Misure Minime di Sicurezza del Disciplinare Tecnico, potrebbe quindi essere modificato per essere adattato a tali linee guida)

PROPOSTA DI CLASSIFICAZIONE DELLE AZIENDE PER LIVELLO DI SICUREZZA RICHIESTO Classe Descrizione A Aziende fino a 20 utenti del sistema informatico B C D Aziende fino a 50 utenti del sistema informatico Aziende dotate di un sistema di videosorveglianza (1) Aziende che svolgono trattamenti su internet (1) (2) Aziende fino a 100 utenti del sistema informatico Aziende dotate di un sistema di geolocalizzazione (1) Aziende che svolgono attività di marketing (1) (3) Aziende nominate Responsabile del trattamento Aziende con oltre 100 utenti del sistema informatico Aziende tenute alla nomina del Responsabile della protezione dei dati personali Note (1) Indipendentemente dalla dimensione del sistema informatico; se la dimensione del sistema è superiore, si applica la classe dimensionale corrispondente (2) Nel sito internet sono presenti strumenti di raccolta dati (3) Misure specifiche in relazione al dimensionamento delle attività Dr. Riccardo Larese Gortigo - 2017

Num Le famiglie di misure di sicurezza e la loro applicazione delle classi Famiglia Numero totale Classe A Classe B Classe C Classe D 01 Autenticazione alla rete 24 7 14 21 21 02 Autenticazione applicativa (profilazione utenti) 24 4 14 21 23 03 Protezione antivirus 10 3 9 9 10 04 Protezione perimetrale 13 1 5 11 12 05 Sistemi di backup e disaster recovery 35 12 20 23 26 06 Gestione accesssi da remoto 9 1 3 7 9 07 Gestione del sito internet 7 3 7 7 7 08 Gestione delle attività di marketing 16 - - 16 (16) 09 Disciplina e formazione degli utenti 11 5 7 9 11 10 Pseudonimizzazione 8-1 6 8 11 Gestione amministratori del sistema informatico 10 5 5 8 10 Gestione e configurazione dei sistemi 12 informatici 15-2 12 15 13 Protezione logistica 31-5 21 30 Dr. Riccardo Larese Gortigo - 2017 TOTALE 213 41 92 171 182

Il Registro delle attività di trattamento

Il Registro dei trattamenti L obbligo Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità Gli obblighi non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 Articolo 9 del Regolamento Sono i dati «sensibili»: qualsiasi titolare li tratta se ha almeno un dipendente all interno del rapporto lavorativo Quindi, in sostanza, l obbligo è generale Le modalità di trattamento non sono rilevanti: l obbligo esiste anche se il trattamento avviene solo con documenti cartacei Bisogna ricordare anche l articolo 24 del Regolamento: Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario

Il Registro dei trattamenti I contenuti obbligatori previsti dal GDPR il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati le finalità del trattamento una descrizione delle categorie di interessati e delle categorie di dati personali le categorie di destinatari a cui i dati personali sono stati o saranno comunicati trasferimenti di dati personali verso un paese terzo i termini ultimi previsti per la cancellazione delle diverse categorie di dati una descrizione generale delle misure di sicurezza tecniche e organizzative Deve essere rilevato che i contenuti obbligatori corrispondono in gran parte alle informazioni che devono essere fornite agli interessati nell informativa secondo quanto previsto dagli artt. 13 3 14 del Regolamento. Pertanto è indispensabile che i documenti siano tra loro congruenti: questo è risultato dell analisi dei trattamenti che permette di produrre una documentazione completa e corretta.

Il Registro dei trattamenti I contenuti E tuttavia opportuno che, al di là dell obbligo normativo, il Registro dei trattamenti diventi un concreto strumento operativo per assicurare sia nel momento dell iniziale processo di adeguamento che nel corso del tempo il rispetto della normativa e la capacità di dimostrare la propria conformità. Il Registro può e dovrebbe diventare lo strumento per verificare e documentare la propria complessiva conformità normativa. Non sono necessari strumenti specifici per la produzione del Regolamento. Tuttavia, considerando che le informazioni da considerare sono molteplici, e che deve essere assicurata la capacità di aggiornamento, è suggeribile l utilizzo di uno strumento «strutturato» quale che esso sia che abbia la capacità di permettere una agevole gestione delle informazioni. Ulteriori contenuti suggeriti: Descrizione dei processi di trattamento Eventuali trattamenti svolti in qualità di responsabile od in condizioni di contitolarità Caratteristiche di liceità del trattamento Modalità di fornitura dell informativa Archivi trattati e relativa protezione Responsabili dei diversi trattamenti Individuazione degli addetti al trattamento Misure di sicurezza specifica Sistemi informatici utilizzati per i trattamenti

Un esempio di compilazione del Registro dei trattamenti

1. L elenco dei trattamenti

2. La descrizione del processo di svolgimento di ogni trattamento

3. Liceità, fornitura dell informativa e modalità di raccolta del consenso, gli ambiti di comunicazione

4. Gli addetti al trattamento

5. Gli archivi utilizzati nel trattamento, aspetti di sicurezza e sistemi informatici utilizzati

6. La descrizione del sistema informatico e della relativa protezione

6. La descrizione del sistema informatico e della relativa protezione

6. La descrizione del sistema informatico e della relativa protezione

6. La descrizione del sistema informatico e della relativa protezione

6. La descrizione del sistema informatico e della relativa protezione

7. Le politiche di sicurezza adottate

Il Registro dei trattamenti L analisi Politiche di protezione Titolare DPO Co-titolare Soggetti Liceità Archivi Informativa Consenso Trattamenti Data breach Responsabili Incaricati Comunicazioni Trasf. estero Sic. specifica Sis. Informatici

Privacy in azienda: Il GDPR e l impatto sulle aziende Confindustria Vicenza 4 Maggio 2018 Grazie per l attenzione! Dr. Riccardo Larese Gortigo r.larese@larese-associati.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back