gdpr: impatti it e informatizzazione del modello …... gdpr: impatti it e informatizzazione del...
TRANSCRIPT
www.dedagroup.it
GDPR:ImpattiITeinformatizzazionedelmodelloComeottenerneun vantaggiocompetitivo
HermesMazzuccoBusinessDeveloperDedagroupBanking,Insurance&Industrial
Dedagroup1
Siamounodeipiùimportantiattoridell'InformationTechnology“MadeinItaly”.
SupportiamoAziende,EntiPubblicieIstitutiFinanziarinellelorostrategieITconcompetenzeapplicative,tecnologicheedisystemintegration.
L’headquarter sitrovaaTrento– terrad’eccellenzaperesperienzed’innovazione– mailnostroGruppo,confilialiinItaliaeall’estero,supportaoltre3.600clientiintuttoilmondo.
Chisiamo Cifre
230M€Fatturato
1.600+Persone
3.600+Clienti
40Paesiincuiabbiamoclienti
DedagroupBanking,Insurance &Industrial
AffianchiamoBanche,AssicurazionieIntermediariFinanziarinelridisegnoinotticadigital deiproprisistemieprocessi,nellatrasformazioneinrealtàomnichannel abilitandoprocessidivendita,pagamentieincassidigitali,nellagovernance,risk&compliance eneiprocessidiintegrazione.
2
Agenda
«ProgettoGDPR»:obiettivielineeguidaSintesidelframeworkIlprogettodiAssessment
3
«ProgettoGDPR»:obiettivielineeguida
PeressereconformialGDPRoccorre:Capireedelimitarel’ambitodiinterventoIdentificareleattivitànecessarieadadeguarel’aziendaallanormativaGDPR
Un’iniziativasulGDPRcomportaperun’azienda:IlcoinvolgimentodimoltiattoriPercrearepienaconsapevolezzainmateriaditrattamentodeidatipersonali
Lelineeguidanellacreazionedellanostrapropostasono:ElaborareunametodologiaIdentificareunapproccioSelezionarelemiglioritecnologiedisponibilisulmercatoModularegliinterventinecessari
Ilrisultato:Creazionediunframeworkdiriferimentoperl’aziendaperinformatizzareilmodelloGDPRIdentificazionedeigapnormativiDocumentazioneegiustificazionedellescelteeffettuateIdentificazionedellemisureedelleremediation damettereincampoperessereconformi
Lineeguidaperun«ProgettoGDPR»5
Un’adeguatacomprensionedelpropriopatrimonioinformativoèunpuntodipartenzaimprescindibileperdefinire:
§ Policydiprotezioneetutelaadeguate§ Strategiaefficacediutilizzodeidati
Qualivantaggidietrounanormativa6
CleanData
Idaticonosciuti,strutturatieorganicamenteprotettisonounapercentualebassarispettoalcomplessodeidaticonservati.Mentreneidatinonemersisitrovanoprevalentementeinformazioniridondantioobsolete,talvoltanonpertinentialbusiness.
Fonte:«theDataDirective»- TheEconomist IntelligenceUnit
Glielementiessenzialidelregolamentoeuropeo7
IlRegolamentopromuovelaresponsabilizzazione(accountability)deititolarideltrattamentoel’adozionediapprocciepolitichechetenganocontocostantementedelrischiocheundeterminatotrattamentodidatipersonalipuòcomportareperidirittielelibertàdegliinteressati.Ilprincipio-chiaveè«privacybydesign»,ossiagarantirelaprotezionedeidatifindallafasediideazioneeprogettazionediuntrattamentoodiunsistema,eadottarecomportamenticheconsentanodiprevenirepossibiliproblematicheLacorrettaesicuragestionedelpropriopatrimonioinformativodevetenereinconsiderazionecheleinformazionicritichenondevonoessereesposte,inchiaroetotalmente,afunzioniaziendalioesterneche«bydefault»nondovrebberoaverviaccesso.Ilregolamentoprevedel’obbligodieffettuarevalutazionidiimpatto primadiprocedereaduntrattamentodidatichepresentirischielevatiperidirittidellepersone,consultandol’Autoritàdiprotezionedeidatiincasodidubbi.72oreditempoperla«databreach notification»:incasodiperditadidatipersonalileaziendedevononotificarealleautoritàprepostelafugadidatipersonalientro72oredalmomentoincuiseneèvenutiaconoscenza.Vieneintrodottalafiguradel«Responsabiledellaprotezionedeidati» (DataProtectionOfficer oDPO),incaricatodiassicurareunagestionecorrettadeidatipersonalinelleimpreseeneglienti.
Sanzioni:lesanzionipossonoarrivarefinoa20milionidieurooal4%delfatturatomondialetotaleannuodell'esercizioprecedente
Obiettiviperun«ProgettoGDPR»8
ElaborareunSistemadigestioneGDPRchegarantiscaedimostrilasalvaguardiadeiDatiPersonali
IntegriivariinterventiinunavisioneolisticaConsentailriusodegliinvestimentipregressiProgrammiinvestimenti«progressivi»
Concentril’attenzioneeleenergiesulleareeamaggiorrischioConsiderilaconformitàcome“stato”piuttostochecome“evento”Comportiprocessoiterativoperaffinamentisuccessivi
Qualiobiettiviporsioggi9
Leaziendedevonoessereingradodi:valutareexantelarealecapacitàdelleazioniintrapresediportarerisultatidesideratiadottareunaseriedi«lead indicators»permisurare nontantoilrisultato,quantoilprocessomessoinattoperraggiungerlo
Ex-post:misuranoilrisultato,non
loinfluenzano
Ex-ante:prevedonoilrisultatoelo
influenzano
Art24.1Tenutocontodellanatura,dell'ambitodi
applicazione,delcontestoedellefinalitàdeltrattamento,nonchédeirischiaventi
probabilitàegravitàdiverse peridirittielelibertàdellepersonefisiche,iltitolaredel
trattamentometteinattomisuretecnicheeorganizzativeadeguatepergarantire,edessere
ingradodidimostrare,cheiltrattamentoèeffettuatoconformementealpresente
regolamento.Dettemisuresonoriesaminateeaggiornatequaloranecessario.
Comeprocedere10
IlGDPRèancoramateriainevoluzioneequindièfondamentale:IlconfrontoconquantovienefattonellealtrenazioniEUPorrelamassimaattenzioneatuttigliattoriincampoautorizzatiavariotitoloaesprimerelineeguida,suggerimenti,…
Article 29Working Party
European DataProtection Board
WP29hanominatotraisuoimembriunrappresentanteperilprossimogruppo
stakeholderpermanenteENISA
“Buttheresultisakindofcathedral,hugeandabitcomplex.Weneedthentogofromthetexttothepracticeandprovidealltheuserswithveryclear
indications;withclearrequirements”
Sintesidelframework
IlFrameworkGDPR12
Come
Buonepratiche
Standard
Framework
Sigilli
Codicicondotta
Certificazioni
CapabilityMaturity
TemplateDoc.
...
§ Coordinamento§ Scelta§ Ottimizzazione§ Riutilizzo§ Audit§ Pick &choose
ModelloGDPR
PrivacyEnhancingTechnology(PET)
GDPRProcessiGDPR
Modellodati,analisideirischieprocessi13
Eventi
Finalità
ProcessidiBusiness
Trattamenti...
Dati...
Processi
Trattamenti • Nondisponibilità• Alterazione• CompromissioneGDPR
Datipersonali
Interessati • Accessoillegittimo• Modifichenon
autorizzate• NondisponibilitàGDPR
Scen
ariodiRisc
hio
ProcessiGDPR
AcquisizioneconsensooequivalenteDataBreachNotificationDataProtection RiskAssessmentDPIAPortabilitàdeiDatiRilascioinformativeRispettoDirittidell’Interessato:rispondereeregistrareRispettoDirittidell’Interessato:Rilevareemonitorare…….
Contesto
FinalitàMinimizzazioneQualitàPeriododiconservazioneInformativaConsensoDirittodiopposizioneDirittodirettificaDirittodicancellazione(‘‘dirittoall’oblio’’)Portabilità
DovepossiamointervenirenelrispettodeiprincipifondamentalidelGDPR
14
SceglidiessereconformealGDPR15
1. Iprincipieidirittifondamentali
"nonnegoziabili",stabilitidallaleggeechedevonoesserecomunquerispettati,indipendentementedallanatura,lagravitàelaprobabilitàdirischi;
2. Lagestionedeirischicuiidatipersonalisonosoggetti
chedeterminalemisuretecnicheeorganizzativedaadottareperproteggereidatipersonali.
ConformitàalGDPR
RispettodeiprincipifondamentalidelGDPR
Gestionedeirischisui«DatiPersonali»
Art35Valutazioned'impattosullaprotezionedeidati.
Quandountipoditrattamento,allorchéprevedeinparticolarel'usodinuovetecnologie,consideratilanatura,l'oggetto,ilcontestoelefinalitàdeltrattamento,puòpresentareunrischioelevatoperidirittielelibertàdellepersonefisiche,iltitolaredeltrattamentoeffettua,primadiprocederealtrattamento,unavalutazionedell'impattodeitrattamentiprevistisullaprotezionedeidatipersonali.Unasingolavalutazionepuòesaminareuninsiemeditrattamentisi-milichepresentanorischielevatianaloghi....
IlprogettodiAssessment
Perimetrointervento
Qualiazioniintraprendereora17
1-2settimane 1mese
transition GDPRcomplianceDatagovernance
Adeguamenti priorità ALTA
Assess,TOBE,EvaluateRoadmap
Condivisioneeapprovazionerisultanzeassessment
Approvazioneiniziativepriorità1
2mesi
25maggio2018
AvvioprocessoGDPR
Predisp.governance AttuazioneControlliperiodici&
Completamento programma
&
4mesi
Scoping
Approvazioneambitoassessment
NominaDPO
&
Assess,TOBE,Evaluate18
Mobilitazionestruttureorganizzative
Assessment Business
Assessment Tecnologico
Rilevazionedeidatipersonalietrattamenti
SCAN,analisirisultatietuning
Finalizzazionereportistica
8
DATADISCOVERYsetup
SICUREZZA:• PenetrationtestingconRT• Vulnerabilityassessment• SecurityInfrastructureAssessment• WiFi InfrastructureAssessment• Logmanagement
10
Settimana1 Settimana2 Settimana3 Settimana4 Settimana5 Settimana6
Fase1
Assess,TOBE,Evaluate19
PrincipifondamentalidelGDPR
AnalisideirischieIdentificazionemisuredi
sicurezza
AnalisideiGap
TOBE
DefinizionemodelloGDPRperciascunaareadigoverno
8
12
Settimana5 Settimana6 Settimana7 Settimana8 Settimana9
Fase2
Assess,TOBE,Evaluate20
Valutazioni
Valutazionedegliinterventi
Valutazionepriorità 5
Settimana9 Settimana10 Settimana11 Settimana12
12
Fase3
www.dedagroup.it
Dedagroup è uno dei più importanti attori made in Italy del settore Information Technology,
con headquarter a Trento e un fatturato di 230 milioni di Euro. La nostra identità di Software
Vendor combinata alle competenze di System Integration e Digital Design ci posiziona come
interlocutore naturale nello sviluppo dell’innovazione digitale di Aziende, Enti pubblici e
Istituti finanziari.