GDPR Strumenti di supporto per la Governance Davide Benvenga Roma 27/03/2018
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 2
Presentazione relatore Davide Benvenga Esperienza ventennale nell ambito dell analisi e progettazione di soluzioni software principalmente per il settore Finance, con particolare riguardo all area Compliance. Esperienza iniziata in società di ICT a Milano (per un primo periodo di circa 10 anni), e proseguita (e ancora attuale) presso SEI Consulting Spa, azienda salentina in continua crescita, specializzata nella consulenza e nello sviluppo di progetti e soluzioni nell ambito Finance. Nell ultimo anno ho affrontato il tema del GDPR disegnando una soluzione di supporto per il team Privacy e per il DPO. GDPR Strumenti di supporto per la Governance 3
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 4
GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Privacy by design e Privacy by default (art. 25); DPIA Data Protection Impact Assessment (art. 35); Tenuta registro trattamenti (art. 30); Misure di sicurezza (art. 32); Richieste soggetti interessati (artt. 12, 13, 14); Notifica di violazioni (art. 33); Archivio Consensi (art. 7) ISO22301 GDPR Strumenti di supporto per la Governance 5
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 6
Principali funzionalità Le principali funzionalità di uno strumento software di supporto alle attività di Governance dei processi inerenti il GDPR dovrebbero essere: Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale GDPR Strumenti di supporto per la Governance 7
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 8
Cruscotto Consente di avere una visione complessiva, tramite rappresentazioni grafiche, delle attività Privacy (Trattamenti, DPIA, Violazioni, Richieste interessati, etc.) e indicatori di Alert che segnalano situazioni da gestire (es. DPIA in scadenza, scadenza certificazioni responsabili esterni, scadenza periodo per evasione richiesta interessato, etc. GDPR Strumenti di supporto per la Governance 9
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 10
Registro trattamenti Gestione completa e parametrica delle informazioni sui trattamenti in essere (dati generali, dati trattati, eventi rischiosi e misure di sicurezza, etc.); Generazione registro alla data di riferimento (sia in qualità di «Titolare» che di «Responsabile»; Storicizzazione delle modifiche effettuate sul registro; Indicazione esecuzione DPIA; Indicazione se trattamento coinvolto in violazioni; Estrazione formato Excel/csv del registro GDPR Strumenti di supporto per la Governance 11
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 12
DPIA 1/2 Framework per la gestione della DPIA (Data Protection Impact Assessment), procedura che facilita l utente nelle fasi di valutazione dei nuovi trattamenti e di revisione di quelli esistenti. L inserimento di una nuova DPIA dovrebbe essere una procedura step-bystep, in modo da guidare l utente/gli utenti nell esecuzione della DPIA. Nella DPIA possono essere coinvolti attori differenti (Team privacy, DPO, IT, Sicurezza, soggetti esterni). Utile un work flow di lavorazione e approvazione DPIA con profilazione delle funzionalità. GDPR Strumenti di supporto per la Governance 13
DPIA 2/2 Dati principali trattamento (soggetti interessati, destinatari, trasferimento dati all estero, modalità trattamento, asset, procedure informatiche, etc..) Categoria dati (casistiche DPIA, tipologie dei dati trattati) Rischi e misure (eventi rischiosi e misure a mitigazione) Pareri (DPO e altri soggetti) Consultazione Garante (qualora necessaria) Riepilogo e approvazione/revisione GDPR Strumenti di supporto per la Governance 14
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 15
Analisi del rischio 1/3 Lo strumento che effettua la DPIA dovrebbe supportare gli utenti nelle fasi di valutazione del rischio per ogni trattamento. Nell ambito del rischio è possibile definire: Rischio di contesto: serve a definire il livello del rischio del trattamento in base alle informazioni a disposizione (tipo dati, soggetti interessati, etc.). È utile per dare indicazioni se è necessaria una DPIA o meno; Rischio inerente: il rischio che un attività incorpora prima di considerare i controlli o altri fattori di mitigazione (anche per questo dato è possibile utilizzare una matrice) Rischio residuo: è il rischio derivante dalla mitigazione del rischio inerente in base al grado di qualità/efficacia delle misure di sicurezza GDPR Strumenti di supporto per la Governance 16
Analisi del rischio 2/3 Esempio di matrice per il calcolo del rischio inerente/lordo GDPR Strumenti di supporto per la Governance 17
Analisi del rischio 3/3 Il sistema per il calcolo del rischio dovrebbe avere a disposizione alcune tabelle di dominio, di cui in particolare quelle relative a: Eventi rischiosi Misure di sicurezza Una buona base di partenza potrebbe essere quella fornita dai documenti ISO 27001. GDPR Strumenti di supporto per la Governance 18
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 19
Soggetti coinvolti Una sezione anagrafica dove censire i soggetti coinvolti ai fini dei processi Privacy (titolare, responsabile, DPO) è: Utile ai fini delle gestione dei dati del trattamento per i quali occorre raccogliere obbligatoriamente i dati identificativi e di contatto di questi soggetti; Consente di avere un repository documentale con le relative lettere di incarico/nomina; Consente di avere la storicità dei soggetti collegati ai trattamenti; Consente di poter associare eventuali certificazioni o codici di condotta, ai fini della valutazione del rischio sui trattamenti GDPR Strumenti di supporto per la Governance 20
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 21
Gestione Richieste Un altra utile funzionalità è quella di disporre di un modulo per la gestione del workflow delle pratiche relative alle «Richieste dei soggetti interessati», in modo che si possa: Registrare i dati del soggetto richiedente e del documento di richiesta; Allegare il documento del consenso se previsto; Produrre schede informative dei trattamenti a cui il soggetto è associato; Allegare documentazione con i dati specifici del soggetto presenti presso il titolare (forniti dalle strutture che ne detengono l ownership); Allegare la risposta finale inviata al soggetto richiedente; Monitorare i giorni di lavorazione della pratica e attivare eventuali Alert GDPR Strumenti di supporto per la Governance 22
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 23
Gestione Violazioni Nel caso si verifichi una violazione sui dati è necessario gestire questo tipo di eventi e documentare le attività effettuate. Un modulo software può essere utile per: registrazione dei dati generali della violazione (data, natura, eventuale id nel sistema di Incident Management); generazione automatica, in base ai trattamenti coinvolti, delle informazioni relative a: categorie dati; categorie soggetti interessati; utilizzo o meno di misure di sicurezza forti (info utile per sapere se è necessaria anche notifica ai soggetti interessati); produrre in maniera automatica i template per notifica al garante e ai soggetti interessati; allegare i documenti finali da inviare al garante e ai soggetti interessati. GDPR Strumenti di supporto per la Governance 24
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 25
Arichivio consensi Potrebbe essere utile avere una funzione per la gestione di un archivio elettronico dei consensi, tramite la quale è possibile censire i soggetti interessati e i documenti dei consensi da questi firmati. La funzione potrebbe servire qualora l azienda non disponga già di un archivio digitalizzato, oppure si voglia utilizzarlo in maniera complementare per coprire eventuali situazioni marginali (convegni, curricula, etc.). Supporta l ufficio Privacy nell espletamento di verifiche e adempimenti. GDPR Strumenti di supporto per la Governance 26
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 27
Repository documentale All interno di uno strumento di Governance può essere sicuramente utile avere una funzionalità per raccogliere e catalogare, in maniera centralizzata e profilata, la documentazione inerente le attività Privacy. Una sezione dedicata alla conservazione dei documenti utilizzati/prodotti nell ambito delle attività Privacy, che consente di creare cartelle e sottocartelle e avere un punto unico dove salvare tutta la documentazione (normativa, verifiche, pareri etc.). GDPR Strumenti di supporto per la Governance 28
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 29
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 30
Q&A GDPR Strumenti di supporto per la Governance 31
Agenda Presentazione relatore GDPR - Principali Requirement per i quali può essere utile l utilizzo di una soluzione software Principali funzionalità Cruscotto di monitoraggio attività Privacy Gestione registro trattamenti DPIA Data Protection Impact Assessment Analisi del rischio Gestione soggetti coinvolti Gestione richieste interessati Gestione violazioni Archivio consensi Repository documentale Q&A Bibliografia & sitografia GDPR Strumenti di supporto per la Governance 32
Bibliografia GDPR Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 Linee guida concernenti valutazione impatto sulla protezione dati emanate da WP29; Standard ISO/IEC 29134 e ISO/IEC 27001 ENISA (European Network and Information Security Agency) - Guidelines for SMEs on the security of personal data processing CNIL (Commission nationale de l'informatique et des libertés) - Methodology (how to carry out a PIA) GDPR Strumenti di supporto per la Governance 33
Contatti davide.benvenga@seiconsulting.it Grazie... 34