gdpr: impatti it e informatizzazione del modello … › wp-content › uploads › 2017 › 10 ›...
TRANSCRIPT
![Page 1: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/1.jpg)
www.dedagroup.it
GDPR:ImpattiITeinformatizzazionedelmodelloComeottenerneun vantaggiocompetitivo
HermesMazzuccoBusinessDeveloperDedagroupBanking,Insurance&Industrial
![Page 2: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/2.jpg)
Dedagroup1
Siamounodeipiùimportantiattoridell'InformationTechnology“MadeinItaly”.
SupportiamoAziende,EntiPubblicieIstitutiFinanziarinellelorostrategieITconcompetenzeapplicative,tecnologicheedisystemintegration.
L’headquarter sitrovaaTrento– terrad’eccellenzaperesperienzed’innovazione– mailnostroGruppo,confilialiinItaliaeall’estero,supportaoltre3.600clientiintuttoilmondo.
Chisiamo Cifre
230M€Fatturato
1.600+Persone
3.600+Clienti
40Paesiincuiabbiamoclienti
![Page 3: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/3.jpg)
DedagroupBanking,Insurance &Industrial
AffianchiamoBanche,AssicurazionieIntermediariFinanziarinelridisegnoinotticadigital deiproprisistemieprocessi,nellatrasformazioneinrealtàomnichannel abilitandoprocessidivendita,pagamentieincassidigitali,nellagovernance,risk&compliance eneiprocessidiintegrazione.
2
![Page 4: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/4.jpg)
Agenda
«ProgettoGDPR»:obiettivielineeguidaSintesidelframeworkIlprogettodiAssessment
3
![Page 5: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/5.jpg)
«ProgettoGDPR»:obiettivielineeguida
![Page 6: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/6.jpg)
PeressereconformialGDPRoccorre:Capireedelimitarel’ambitodiinterventoIdentificareleattivitànecessarieadadeguarel’aziendaallanormativaGDPR
Un’iniziativasulGDPRcomportaperun’azienda:IlcoinvolgimentodimoltiattoriPercrearepienaconsapevolezzainmateriaditrattamentodeidatipersonali
Lelineeguidanellacreazionedellanostrapropostasono:ElaborareunametodologiaIdentificareunapproccioSelezionarelemiglioritecnologiedisponibilisulmercatoModularegliinterventinecessari
Ilrisultato:Creazionediunframeworkdiriferimentoperl’aziendaperinformatizzareilmodelloGDPRIdentificazionedeigapnormativiDocumentazioneegiustificazionedellescelteeffettuateIdentificazionedellemisureedelleremediation damettereincampoperessereconformi
Lineeguidaperun«ProgettoGDPR»5
![Page 7: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/7.jpg)
Un’adeguatacomprensionedelpropriopatrimonioinformativoèunpuntodipartenzaimprescindibileperdefinire:
§ Policydiprotezioneetutelaadeguate§ Strategiaefficacediutilizzodeidati
Qualivantaggidietrounanormativa6
CleanData
Idaticonosciuti,strutturatieorganicamenteprotettisonounapercentualebassarispettoalcomplessodeidaticonservati.Mentreneidatinonemersisitrovanoprevalentementeinformazioniridondantioobsolete,talvoltanonpertinentialbusiness.
Fonte:«theDataDirective»- TheEconomist IntelligenceUnit
![Page 8: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/8.jpg)
Glielementiessenzialidelregolamentoeuropeo7
IlRegolamentopromuovelaresponsabilizzazione(accountability)deititolarideltrattamentoel’adozionediapprocciepolitichechetenganocontocostantementedelrischiocheundeterminatotrattamentodidatipersonalipuòcomportareperidirittielelibertàdegliinteressati.Ilprincipio-chiaveè«privacybydesign»,ossiagarantirelaprotezionedeidatifindallafasediideazioneeprogettazionediuntrattamentoodiunsistema,eadottarecomportamenticheconsentanodiprevenirepossibiliproblematicheLacorrettaesicuragestionedelpropriopatrimonioinformativodevetenereinconsiderazionecheleinformazionicritichenondevonoessereesposte,inchiaroetotalmente,afunzioniaziendalioesterneche«bydefault»nondovrebberoaverviaccesso.Ilregolamentoprevedel’obbligodieffettuarevalutazionidiimpatto primadiprocedereaduntrattamentodidatichepresentirischielevatiperidirittidellepersone,consultandol’Autoritàdiprotezionedeidatiincasodidubbi.72oreditempoperla«databreach notification»:incasodiperditadidatipersonalileaziendedevononotificarealleautoritàprepostelafugadidatipersonalientro72oredalmomentoincuiseneèvenutiaconoscenza.Vieneintrodottalafiguradel«Responsabiledellaprotezionedeidati» (DataProtectionOfficer oDPO),incaricatodiassicurareunagestionecorrettadeidatipersonalinelleimpreseeneglienti.
Sanzioni:lesanzionipossonoarrivarefinoa20milionidieurooal4%delfatturatomondialetotaleannuodell'esercizioprecedente
![Page 9: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/9.jpg)
Obiettiviperun«ProgettoGDPR»8
ElaborareunSistemadigestioneGDPRchegarantiscaedimostrilasalvaguardiadeiDatiPersonali
IntegriivariinterventiinunavisioneolisticaConsentailriusodegliinvestimentipregressiProgrammiinvestimenti«progressivi»
Concentril’attenzioneeleenergiesulleareeamaggiorrischioConsiderilaconformitàcome“stato”piuttostochecome“evento”Comportiprocessoiterativoperaffinamentisuccessivi
![Page 10: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/10.jpg)
Qualiobiettiviporsioggi9
Leaziendedevonoessereingradodi:valutareexantelarealecapacitàdelleazioniintrapresediportarerisultatidesideratiadottareunaseriedi«lead indicators»permisurare nontantoilrisultato,quantoilprocessomessoinattoperraggiungerlo
Ex-post:misuranoilrisultato,non
loinfluenzano
Ex-ante:prevedonoilrisultatoelo
influenzano
Art24.1Tenutocontodellanatura,dell'ambitodi
applicazione,delcontestoedellefinalitàdeltrattamento,nonchédeirischiaventi
probabilitàegravitàdiverse peridirittielelibertàdellepersonefisiche,iltitolaredel
trattamentometteinattomisuretecnicheeorganizzativeadeguatepergarantire,edessere
ingradodidimostrare,cheiltrattamentoèeffettuatoconformementealpresente
regolamento.Dettemisuresonoriesaminateeaggiornatequaloranecessario.
![Page 11: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/11.jpg)
Comeprocedere10
IlGDPRèancoramateriainevoluzioneequindièfondamentale:IlconfrontoconquantovienefattonellealtrenazioniEUPorrelamassimaattenzioneatuttigliattoriincampoautorizzatiavariotitoloaesprimerelineeguida,suggerimenti,…
Article 29Working Party
European DataProtection Board
WP29hanominatotraisuoimembriunrappresentanteperilprossimogruppo
stakeholderpermanenteENISA
“Buttheresultisakindofcathedral,hugeandabitcomplex.Weneedthentogofromthetexttothepracticeandprovidealltheuserswithveryclear
indications;withclearrequirements”
![Page 12: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/12.jpg)
Sintesidelframework
![Page 13: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/13.jpg)
IlFrameworkGDPR12
Come
Buonepratiche
Standard
Framework
Sigilli
Codicicondotta
Certificazioni
CapabilityMaturity
TemplateDoc.
...
§ Coordinamento§ Scelta§ Ottimizzazione§ Riutilizzo§ Audit§ Pick &choose
ModelloGDPR
PrivacyEnhancingTechnology(PET)
GDPRProcessiGDPR
![Page 14: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/14.jpg)
Modellodati,analisideirischieprocessi13
Eventi
Finalità
ProcessidiBusiness
Trattamenti...
Dati...
Processi
Trattamenti • Nondisponibilità• Alterazione• CompromissioneGDPR
Datipersonali
Interessati • Accessoillegittimo• Modifichenon
autorizzate• NondisponibilitàGDPR
Scen
ariodiRisc
hio
ProcessiGDPR
AcquisizioneconsensooequivalenteDataBreachNotificationDataProtection RiskAssessmentDPIAPortabilitàdeiDatiRilascioinformativeRispettoDirittidell’Interessato:rispondereeregistrareRispettoDirittidell’Interessato:Rilevareemonitorare…….
Contesto
![Page 15: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/15.jpg)
FinalitàMinimizzazioneQualitàPeriododiconservazioneInformativaConsensoDirittodiopposizioneDirittodirettificaDirittodicancellazione(‘‘dirittoall’oblio’’)Portabilità
DovepossiamointervenirenelrispettodeiprincipifondamentalidelGDPR
14
![Page 16: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/16.jpg)
SceglidiessereconformealGDPR15
1. Iprincipieidirittifondamentali
"nonnegoziabili",stabilitidallaleggeechedevonoesserecomunquerispettati,indipendentementedallanatura,lagravitàelaprobabilitàdirischi;
2. Lagestionedeirischicuiidatipersonalisonosoggetti
chedeterminalemisuretecnicheeorganizzativedaadottareperproteggereidatipersonali.
ConformitàalGDPR
RispettodeiprincipifondamentalidelGDPR
Gestionedeirischisui«DatiPersonali»
Art35Valutazioned'impattosullaprotezionedeidati.
Quandountipoditrattamento,allorchéprevedeinparticolarel'usodinuovetecnologie,consideratilanatura,l'oggetto,ilcontestoelefinalitàdeltrattamento,puòpresentareunrischioelevatoperidirittielelibertàdellepersonefisiche,iltitolaredeltrattamentoeffettua,primadiprocederealtrattamento,unavalutazionedell'impattodeitrattamentiprevistisullaprotezionedeidatipersonali.Unasingolavalutazionepuòesaminareuninsiemeditrattamentisi-milichepresentanorischielevatianaloghi....
![Page 17: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/17.jpg)
IlprogettodiAssessment
![Page 18: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/18.jpg)
Perimetrointervento
Qualiazioniintraprendereora17
1-2settimane 1mese
transition GDPRcomplianceDatagovernance
Adeguamenti priorità ALTA
Assess,TOBE,EvaluateRoadmap
Condivisioneeapprovazionerisultanzeassessment
Approvazioneiniziativepriorità1
2mesi
25maggio2018
AvvioprocessoGDPR
Predisp.governance AttuazioneControlliperiodici&
Completamento programma
&
4mesi
Scoping
Approvazioneambitoassessment
NominaDPO
&
![Page 19: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/19.jpg)
Assess,TOBE,Evaluate18
Mobilitazionestruttureorganizzative
Assessment Business
Assessment Tecnologico
Rilevazionedeidatipersonalietrattamenti
SCAN,analisirisultatietuning
Finalizzazionereportistica
8
DATADISCOVERYsetup
SICUREZZA:• PenetrationtestingconRT• Vulnerabilityassessment• SecurityInfrastructureAssessment• WiFi InfrastructureAssessment• Logmanagement
10
Settimana1 Settimana2 Settimana3 Settimana4 Settimana5 Settimana6
Fase1
![Page 20: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/20.jpg)
Assess,TOBE,Evaluate19
PrincipifondamentalidelGDPR
AnalisideirischieIdentificazionemisuredi
sicurezza
AnalisideiGap
TOBE
DefinizionemodelloGDPRperciascunaareadigoverno
8
12
Settimana5 Settimana6 Settimana7 Settimana8 Settimana9
Fase2
![Page 21: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/21.jpg)
Assess,TOBE,Evaluate20
Valutazioni
Valutazionedegliinterventi
Valutazionepriorità 5
Settimana9 Settimana10 Settimana11 Settimana12
12
Fase3
![Page 22: GDPR: Impatti IT e informatizzazione del modello … › wp-content › uploads › 2017 › 10 › ... GDPR: Impatti IT e informatizzazione del modello Come ottenerne un vantaggio](https://reader033.vdocuments.net/reader033/viewer/2022060407/5f0f92cc7e708231d444d539/html5/thumbnails/22.jpg)
www.dedagroup.it
Dedagroup è uno dei più importanti attori made in Italy del settore Information Technology,
con headquarter a Trento e un fatturato di 230 milioni di Euro. La nostra identità di Software
Vendor combinata alle competenze di System Integration e Digital Design ci posiziona come
interlocutore naturale nello sviluppo dell’innovazione digitale di Aziende, Enti pubblici e
Istituti finanziari.