Gestione Cessioni Intra UE - Conferma Ricezione Merce
SMAU Milano 2017 - Conformità GDPR
1.
2.
3. Normativa di riferimento
Che cos’è il GDPR (Contesto)
Che cosa cambia
Le novità introdotte
Il GDPR in azienda
Come attuare l’adeguamento
Simulazione di un’azienda già conforme
Considerazioni finali
4.
5. 4 Novembre 2010 - La Commissione Europea ha ritenuto necessario rivedere la
direttiva 95/46 sul tema privacy
DRIVER DELLA RIFORMA
Nuove tecnologie
Un quadro giuridico più solido e coerente
Adeguata protezione dei dati personali dei clienti
delle aziende UE per favorire la crescita del
mercato interno
Orientamento verso l’adozione di best practice per
favorire adozione di misure di sicurezza adeguate
nel rispetto dei principi di privacy
6. Regolamento (UE) 2016/679 – General Data
Protection Regulation (GDPR)
Direttiva EU 95/46/CE
Direttiva EU 2002/58 (marketing non
richiesto, pubblicità…)
D.Lgs 196/2003
Provvedimenti Autorità Garante
Accordi internazionali su trasferimento dati
In vigore dal 25 maggio 2016. Dovrà
essere applicato entro 25 maggio 2018
In vigore, decade il 24 maggio 2018
Non decade ma dovrà essere rivista
In vigore, decade il 24 maggio 2018
Non decadono finché non saranno
stati modificati sostituiti o abrogati
7. «Trattamento di un dato personale»
Dato personale (art.4 – 1) = qualsiasi informazione riguardante una persona fisica
identificata o identificabile… come il nome, un numero di identificazione, dati
relativi all’ubicazione, un identificativo on line…
Trattamento (art.4 – 2) = Qualsiasi operazione o insieme di operazioni, compiute
con o senza ausilio di processi automatizzati e applicate a dati personali o insieme
di dati personali, come la raccolta, la registrazione, l’organizzazione, la
strutturazione, la conservazione…
Profilazione (art.4 – 4) = Qualsiasi forma di trattamento automatizzato di dati
personali consistente nell’utilizzo di tali dati per valutare determinati aspetti
personali relativi ad una persona fisica
8. Liceità correttezza e trasparenza
Limitazione delle finalità
Minimizzazione
Esattezza
Limiti Conservazione
Sicurezza dei Dati personali
Art.5.2
Il Titolare del trattamento è competente per il rispetto del paragrafo 1 e in
grado di comprovarlo («responsabilizzazione»)
9. Diritti di accesso ai dati
Diritto all’oblio (cancellazione dati)
Diritto alla portabilità dei dati
Diritto di Limitazione del Trattamento in caso di dati
inesatti
10. Titolare/i del trattamento (Data Controller)
Responsabile de Trattamento (Data Processor)
Rappresentante: Quando un Titolare/Responsabile del
Trattamento non stabilito nell’Unione tratta dati personali
di interessati che si trovano nell’Unione, nomina un
Rappresentante
Incaricato del Trattamento: Non previsto in modo esplicito,
chiunque agisca sotto l’autorità del responsabile o sotto
quella del titolare del trattamento
11. Il primo fornitore sarà obbligato a fornire al
Titolare del trattamento la filiera di tutti i
subfornitori coinvolti.
In caso di cambio di subfornitore esso dovrà
essere comunicato al Titolare e potrà essere
motivo di risoluzione del contratto (es. il
subfornitore è un competitor)
Il Titolare può ricorrere solo a Responsabili che
assicurino misure tecniche ed organizzative
idonee a soddisfare il rispetto del Regolamento.
12. Titolare del trattamento è il soggetto che determina le finalità e i mezzi del
Trattamento.
Mette in atto misure tecniche e organizzative adeguate:
per GARANTIRE
ed essere in grado di DIMOSTRARE
che il trattamento è effettuato conformemente al Regolamento
Responsabile de Trattamento è il soggetto (esterno) che tratta i dati personali
per conto del Titolare (ruolo obbligatorio in caso di esternalizzazione dell’attività)
ACCOUNTABILITY
13. Da un elenco di adempimenti…
… ad un approccio per obiettivi trasversale a tutti i
settori
Accountability: L’azienda ha la responsabilità di
dimostrare la consapevolezza rispetto al recepimento
del nuovo Regolamento, ovvero di come materialmente
lo cala all’interno del proprio contesto da un punto di
vista:
Documentale
Procedurale
delle misure di sicurezza
14. Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche, il responsabile Titolare del trattamento mette in atto misure
tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare
che il trattamento dei dati è conforme al regolamento
Il regolamento andrà calato all’interno della singola realtà aziendale
Andrà dimostrato il metodo e le logiche di applicazione del regolamento
L’azienda dovrà inoltre essere in grado di adattare l’impalcatura tecnologica
e organizzativa ai cambiamenti che l’azienda e il mercato subiscono
15. Mappatura ruoli e
trattamenti
Flusso dei dati,
rilascio informative
e gestione consenso
Analisi
contratti/rapporti
infragruppo
Regolarizzazione
portali web
Regolarizzazione
rapporto con esterni
Analisi/regolarizzazi
one trasferimenti
dati all’esterno
dell’UE
Regolamenti
informatici (Interni,
fornitori)
Policy di Data
Retention (politiche
di cancellazione)
16. Valutazione di Impatto (PIA – Privacy Impact Assesment)
Privacy by Default e By Design
Obbligo di Documentazione (Registri)
Notifica delle violazioni (Data Breach Notification)
Data Protection Officer (DPO)
Viene rafforzato il quadro sanzonatorio:
Da 10 Milioni fino al 2% del fatturato mondiale totale annuo
Nei casi più gravi, da 20 milioni al 4% del fatturato mondiale totale annuo
Anche soggetti non appartenenti agli Stati Membri che trattino dati di cittadini UE
dovranno garantire le medesime garanzie di tutela previste dal Regolamento.
17. Obiettivo: Valutare gli impatti dei trattamenti al fine di identificare i rischi e assicurare
la presenza di adeguate misure di protezione
Obbligatorio quando:
Un tipo di trattamento può presentare un rischio
elevato per diritti e libertà di persone fisiche
In caso di profilazione
Trattamento su larga scala di dati sensibili o penali
Modello aziendale di Data Governance
18. 1) Descrizione flussi di
informazioni e
individuazione ruoli e
figure coinvolte
2) Identificazione e
valutazione rischi di
privacy
3) Individuazione
soluzioni tecnologiche e
organizzative per
riduzione rischi
4) Documentazione
risultati PIA e loro
inserimento nella
documentazione di
progetto
Processo
ciclico
20. PIA
Effettuata prima di iniziare il trattamento sui dati personali
Individua rischi privacy per l’interessato legati allo specifico trattamento
Fornisce INPUT per il disegno di sistemi che trattano dati personali
Privacy Risk Assesment (riesame)
Effettuata periodicamente durante ciclo di vita dei trattamenti sui dati personali
Individua rischi privacy per l’interessato legati ad uno o più trattamenti
21. Obiettivo:
Garantire i diritti degli interessati fin dalla progettazione e attraverso impostazioni
predefinite
Privacy e sicurezza garantite di default nel disegno del prodotto o servizio
Protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita (Art.25)
Il titolare mette in atto misure tecniche e organizzative adeguate tenendo conto
dei rischi per i diritti e le libertà delle persone sia al momento di determinare i
mezzi del trattamento sia all’atto del trattamento stesso
22. Project Management: La valutazione degli impatti privacy e la valutazione degli
interventi tecnici (oltre che organizzativi e formali) deve avvenire dalla fase di
progettazione
Change management: Anche per trattamenti già in esercizio il processo di change
Management deve considerare gli aspetti di privacy
PET (Privacy- Enhancing Technologies) Soluzioni tecnologiche necessarie per
includere già in fase di progettazione le protezioni nel rispetto dei principi privacy
23. Obbligo di notifica entro 72 ore del Breach al Garante e nei
casi più gravi anche ai soggetti interessati
Denuncia =
• L’azienda possiede strumenti tecnici idonei a individuare
e segnalare il breach?
• Le procedure di Incident Management sono chiare?
Obiettivo: Segnalare le violazioni dei dati personali, per dolo e colpa, per tutelare
l’interessato (art. 33, 34)
24. Il Titolare deve conservare un registro delle attività di
Trattamento svolte sotto la propria responsabilità do e
indicare:
I propri rifermenti, quelli del corresponsabile e del
DPO
La finalità del Trattamento, le categorie degli
interessati dei dati personali trattati
Categorie di destinatari, inclusi quelli di paesi Terzi
Policy di sicurezza e Data Retention
Tale attività è obbligatoria anche per i Responsabili del Trattamento
25. Supporta l’azienda negli adempimenti del
Regolamento
Obbligatorio per:
Autorità pubblica o organismo pubblico
Azienda responsabili di trattamenti che per natura,
ambito di applicazione e finalità richiedono il
monitoraggio regolare e sistematico degli
interessati su larga scala
Aziende che trattino su larga scala di categorie
particolari di dati personali (art.9) o di dati relativi
a condanne penali e a reati di cui all’articolo 10
26. Attuazione del
regolamento;
Policy del Titolare;
Formazione del
personale
Cooperazione e
collaborazione
con l’Autorità di
Controllo
Consulenza in
merito al
Regolamento e
alla sua
applicazione
Responsabilità diffusa
Ogni direzione sarà
obbligata a interpellare il
DPO in caso di attività
con impatto sulla Data
Protection.
DPO
27. Analisi e scelta
sistemi informativi
e applicativi
Mappatura
contratti e
introduzione
clausole del
Regolamento
Creazione
procedure e
documentazione
che il Regolamento
richiede
28. La conformità al General Data Protection Regulation …
… attraverso la Gestione Dei PRocessi con ARXivar
29. Approccio strettamente legato al contesto aziendale , quindi, fortemente differenziato in
base alla natura, all’oggetto e alle finalità dei trattamenti effettuati, così come ai rischi che
ne possono derivare.
www.taleaconsulting.it
30. Obiettivi Rischi Processi Controlli
Alcuni esempi:
D.Lgs.231/01 sulla responsabilità amministrativa
delle persone giuridiche
Legge anticorruzione 190/2012
Safety-d.lgs.81/2008 sulla sicurezza sul posto di
lavoro
Qualità ISO9001/2015
www.taleaconsulting.it
Sistema integrato e dinamico
che riduca la complessità di gestione ed ottimizzi le risorse
31. Identificare i processi necessari e le loro interazioni
Analizzare le varie attività
Definire i responsabili delle diverse attività e le tempistiche di esecuzione
Monitorare, misurare ed analizzare i processi
Attuare le azioni necessarie per conseguire i risultati pianificati ed il miglioramento
continuo
www.taleaconsulting.it
32. Maschere personalizzate
per definire le informazioni consultabili in base
al profilo utente
Documenti crittografati accessibili solo tramite
servizio repository ARXivar
Gestione puntuale di log sulle singole
attività eseguite
Policy di riservatezze legate a gruppi aziendali, ruolo, tipologia
dell’informazione, stato documentale
Metadati e gestione del versioning
33. Obbligo di documentazione e di informazione
Gestione del Registro del Trattamento dei dati
Analisi del rischio
Nomine Informative Data Breach
Privacy Impact Assesment Misure di sicurezza
34. www.taleaconsulting.it
DATA BREACH
Integrazione con per gestione puntuale delle violazioni di dati
Redazione comunicazione all’autorità compente in base a template predefinito
Comunicazione agli interessati
Gestione della risoluzione del Data Breach
Eventuale impatto che il Data Breach ha avuto sulla classificazione del rischio di uno specifico
trattamento
35. www.taleaconsulting.it
Gestione Nomine
Creazione Nomina
Approvazione Nomina
Distribuzione Nomina e, se necessario, richiesta
approvazione tramite interfaccia mobile
Creazione Automatica Informative
Creazione automatica informativa
Compilazione automatica con i dati del destinatario
Distribuzione ai destinatari
Approvazione Nomina DPO
3124 – Talea Consulting
36. Privacy Impact Assesment
Richiesta implementazione PIA
Redazione documento PIA in base a template predefinito
Approvazione delle aree competenti [Qualità, HR,
Marketing, Legale, Acquisti, …] anche in mobilità
Validazione finale DPO
Modifica del documento con versioning
www.taleaconsulting.it
Attribuzione Rischio a Trattamento
Valutazione del rischio legato al singolo trattamento in
funzione delle misure di sicurezza
Verifica della percentuale di rischio ad intervalli
temporali predefiniti
Valutazione in funzione di violazioni o modifiche al
trattamento stesso
Step condivisi ed approvati con RTD e DPO
37. Casistiche ed impatto Data Breach
Analisi su numero dati violati e categorie
Impatto sui trattamenti
Tempi di notifica
www.taleaconsulting.it
38. Gestione degli adempimenti legati alla protezione dei dati, sia
nell’ottica dell’informatizzazione dei processi che di
documentabilità delle scelte effettuate e dei controlli effettuati
Favorisce l’approccio Risk Based Thinking
Standardizzazione dei processi
Facilita la comunicazione tra le persone coinvolte e la
condivisione di informazioni
Permette la misurazione e il monitoraggio dei processi
Raccoglie le evidenze utili per dimostrare la conformità al GDPR
sia agli stakeholder che agli enti certificatori
Permette la gestione di processi di diverse aree aziendali
www.taleaconsulting.it