2. Jenko Gaviglia, Director of Sales
Tango/04, a business unit of HelpSystems, EMEA
Joined Tango/04 in 1998. Former Worldwide Director of Channel
and of International Sales at Tango/04, co-founder of Evoluzione
Informatica in Italy. BA in Economics and International Business
from the University of Genoa. Member of the Tango/04 Executive
Board since 2011.
Today’s speaker
3. GDPR HelpSystems LLC All rights reserved.
• Cos’è il GDPR e qual è il suo obiettivo?
• Gli 8 diritti derivanti dal GDPR
• Cosa implica il GDPR per le aziende?
• Come iniziare a prepararsi per il GDPR
• GDPR: le implicazioni di una fuga di dati (data breach)
• GDPR: un aiuto concreto da HelpSystems
GDPR: Agenda
4. Nuovo corpo legislative dell’Unione Europea che sostituisce l’attuale direttiva
sulla Privacy 95/46/EC. Il GDPR sarà in vigore a partire da Maggio 2018.
Obiettivo: proteggere i dati personali e regolamentare come le aziende
trattano, conservano e distruggono i dati, quando non sono più richiesti.
• Include anche trasferimenti di dati tra UE e sedi non UE
• Regolamenta cosa succede in caso di fughe di dati personali (data breach)
• Stabilisce conseguenze importanti (sanzioni) per le aziende che non
rispettano le regole.
Cos’è il GDPR e qual è il suo obiettivo?
5. Chi è soggetto al GDPR?
Aziende…
• … con una presenza fisica in almeno uno dei paesi membri dell’UE
o
• … che processano o immagazzinano dati su persone che risiedono
nell’UE
o
• … che usando un servizio di terzi che processa or immagazzina
informazioni su persone che risiedono nell’UE (Salesforce, Google Mail, etc.)
Quindi sostanzialmente applica a:
• Qualunque azienda con uffici nell’UE — se hanno un computer…
• Aziende USA che hanno contatti con aziende UE
… e cioè praticamente tutti!
Cos’è il GDPR e qual è il suo obiettivo?
6. Il GDPR è un regolamento.
Il Data Protection Act è una direttiva.
Qual è la differenza?
Lo sapete…
7. “I Dati Personali devono
essere trattati con cura”
Sicurezza dei
Dati
Minimizzaz.
dei Dati
Conformità
dimostrabile
Notificazione
delle fughe di
dati
I diritti
soggettivi
Altro
GDPR: General Data Protection Regulation
9. 1. Diritto a essere Informati
• Trasparenza su come i dati personali sono utilizzati
2. Diritto all’Accesso
• Accesso ai propri dati, a come sono utilizzati e a qualunque altro dato
utilizzato in combinazione con i vostri.
3. Diritto alla Rettificazione
• Diritto a rettificare i dati in caso siano incorretti o incompleti
4. Diritto alla cancellazione (ex diritto all’oblio)
• Diritto a che i dati siano cancellati quando non c’è più nessuna ragione
valida per conservarli
Gli 8 Diritti derivanti dal GDPR
10. 5. Diritto a limitare il Trattamento dei dati
• Si può consentire che i dati siano immagazzinati ma non processati
6. Diritto alla Portabilità
• Potere trasferire i propri dati da un sistema informatico ad un altro
senza che il controllore dei dati possa impedirlo.
7. Diritto a Opporsi
• Opporsi al trattamento dei dati
8. Diritto di Contestazione delle decisioni automatizzate (incluso il
profiling)
• Possono essere contestate le decisioni che hanno impatto personale e
che sono state prese solo utilizzando un algoritmo informatico
Gli 8 Diritti derivanti dal GDPR
11. Le notifiche di fughe di dati
aumenteranno sensibilmente
con la vigenza del GDPR.
Esempi recenti:
Talk Talk (157k clienti)
Tesco (20k c/c)
Yahoo:
- Fughe di dati di 500 milioni
di accounts: successo nel
2014 e notificato nel 2016
- Fughe di dati di 1 miliardo
di accounts: successo nel
2013 e notificato a Dicembre
2016
Sapete che…
12. GDPR HelpSystems LLC All rights reserved.
• Responsabilità e governance
• Adozione di misure tecniche e organizzative appropriate per assicurare la
conformità
Misure Tecniche:
• Politiche e Procedure
• Dati di Auditing
• Consenso
• Base Legale
• Certificazioni
• Crittografia
• Utilizzo di Pseudonimi
Cosa significa il GDPR per le aziende?
13. GDPR HelpSystems LLC All rights reserved.
Misure Organizzative:
Richiedono l’esistenza di una struttura apposita per la governance e può anche
richiedere un DPO (Data Protection Officer)
Data Protection Officer (per esempio il CSO o Sec Admin)
Obbligatorio solo in caso di Enti Pubblici o aziende che trattano un grande
volume di dati
Controller (per esempio il CIO)
Controlla e assicura che il modo in cui i dati sono trattati è in linea con il GDPR
Processors
Trattano i dati per conto del Controller (agenzia o persona che processa i dati,
impiegato, programmatore, outsourcer, azienda di hosting/cloud)
Cosa significa il GDPR per le aziende?
14. 1. Identificare quali dati sono utilizzati e conservati
2. Creare un sistema di responsabilità chiare
3. Aggiornamento e verifica periodica delle policies e procedure
4. Adozione del GDPR come parte integrante del lavoro di tutta l’azienda
5. Prepararsi a una fuga di dati
Prepararsi per il GDPR
15. 1. Identificare quali dati sono utilizzati e conservati
• Assicuratevi di sapere quali dati avete (spesso si processano
molti più dati di quanto si pensi)
• Rivedete perché state conservando quei dati personali e se non
sono necessari cancellateli!
• Utilizzate sinonimi: tecnologie che permettono di rendere i dati
personali non riconoscibili (come per esempio la crittografia) o
non riconducibili ad un individuo (pseudonimi)
• Documentate da dove provengono i dati
• Documentate le terze parti con cui avete condiviso i dati
Prepararsi per il GDPR
16. 2. Creare un sistema di responsabilità chiare
• Documentate un organigramma della struttura adibita alla governance
• Assegnate o assumete personale per occuparsi dei nuovi compiti
• DPO, Data Protection Officer (CSO o security admin)
• Aumentate la consapevolezza interna
• Formazione per gli impiegati
Prepararsi per il GDPR
17. 3. Aggiornamento e verifica periodica delle policies e
procedure
• Verificate le policies per assicurarsi che siano sempre aggiornate
• Comunicate chiaramente i diritti derivanti dal GDPR, in particolare:
• Diritto all’accesso
• Diritti legali e tempo di ritenzione
• Diritto alla rettificazione
• Assicuratevi che le politiche siano di facile accesso
• Implementate un piano di miglioramento continuo
Prepararsi per il GDPR
18. 4. Adozione del GDPR come parte integrante del lavoro di
tutta l’azienda
• Verifica continua dei possibili rischi
• Identificazione delle aree ad alto rischio non ancora coperte
• “Privacy by design”
• Minimizzate i dati personali (ne abbiamo davvero bisogno?)
Prepararsi per il GDPR
19. 5. Prepararsi a una fuga di dati
• Come si riconosce una fuga di dati?
• 72 ore (vs. “tempo ragionevole” adesso)
• Politica chiare di notificazione di una fuga di dati
• Come potete interrompere la fuga ed evitare che succeda di
nuovo?
Prepararsi per il GDPR
20. GDPR HelpSystems LLC All rights reserved.
Sanzioni (Multe)
1. Fino a €10M (o 2% della fatturazione mondiale)
• Mancato ottenimento del consenso da parte del Soggetto a
processare i suoi dati personali
• Mancata implementazione di misure tecniche e organizzative per
garantire la protezione dei dati
• Mancato documentazione delle misure
• Mancata comunicazione delle fughe di dati al EDPB (European
Data Protection Board) nei casi previsti
2. Fino a €20M (o 4% della fatturazione mondiale)
• Mancata ottemperanza di una disposizione di un’authority di
supervisione.
• Mancata ottemperanza delle regole previste dal GDPR per i
trasferimenti internazionali di dati
• Mancata ottemperanza ai principi basici del trattamento dei dati,
incluso le il consenso
Conseguenze di una fuga dei dati post GDPR
21. GDPR HelpSystems LLC All rights reserved.
• Cos’è il GDPR (www.helpsystems.com/resources/articles/what-gdpr)
• La top 10 dei modi per prepararsi al GDPR?
(www.helpsystems.com/resources/articles/what-top-10-ways-prepare-
gdpr)
• Cosa significa il GDPR per un IT Manager, CTO o Systems Admin?
(www.helpsystems.com/resources/articles/what-does-gdpr-mean-it-
manager-cto-or-systems-admin)
Ulteriori Informazioni (in inglese)
22. GDPR HelpSystems LLC All rights reserved.
Chi è HelpSystems? Leader mondiale delle Soluzioni IBM i
23. GDPR HelpSystems LLC All rights reserved.
Alcuni dei nostri clienti
Oltre 9,300+ client in tutto il mondo
1Customers may exist in multiple categories
7,079 Customers1 2,749 Customers1 957 Customers1 1,300 Customers1
25. GDPR HelpSystems LLC All rights reserved.
I migliori tool di sicurezza per l’IBM i
26. GDPR HelpSystems LLC All rights reserved.
Security Scan Gratuito del vostro IBM i
27. GDPR HelpSystems LLC All rights reserved.
Informazioni di Contatto
Jenko Gaviglia
jenko.gaviglia@helpsystems.com
I nostri partner in Italia:
Soluzioni EDP:
Tel. 016156924 - marketing@soluzioniedp.it
WSS Italia:
Tel. 02 70009046 - info@wssitalia.it
Grazie!
Editor's Notes
Privacy law in 95
This sums up the different areas that the GPDR deals with. The overarching topic is „Treat Personal Data—or Personally Identifiable Information, as they call it in the US— with Care“. Contained in that, you have different subtopics:
Data Security: That means, classic IT security. Making sure that people cannot do bad things on a technical level. Controlling access to your IBM i, like with Network Security. Controlling use of dangerous commands, as you can do with Command Security. Antivirus. And so on.
Data Minimisation: Means you must only collect, store, process…. as much personal data as is required for the task at hand. Under the GDPR, you are NOT allowed to demand from your customers, or employees, interesting information that
marketing would love to have. You can only collect what you either need to have or what customer voluntarily allowed you to collect.
Demonstrable Compliance: That means that besides making sure that you follow all the other requirements of the GDPR, you must also be able to demonstrate that you follow them. That means, if your national data protection authorities demand that you show them how well you treat personal data, you had better be prepared. It means you must document your processes, your decisions relating to data protection, and also, individual actions with regards to data processing. This means especially logging read and write accesses to data. Every time.
Breach notifications: A „breach“ is when somebody hacked your system, from the outside or from the inside, and was able to lay their dirty mittens on personal data. This is what you are trying to avoid. However, even with the best of efforts, milk will sometimes spill and eggs will break. If you find out that there has been a breach, you have to notify two kinds of people about it: your data protection authorities, and the individuals whose information has been breached. 72h time to notify
Data Subject Rights: The GDPR gives YOU, as the source of your personal data, special rights. You can demand to know what information an organisation has about you; unless you are a criminal and ask the police about how far they are in their investigations about you, that won‘t work. In all other cases, if organisation X has info on person Y, Y can demand from X a list of all information on herself. If the information is not correct, Y can have it corrected. If the information is no longer required, Y can have it deleted. If Y is not happy with the way that X is treating her data, Y can appeal to a court of law.
Finally, there are some other provisions in the GDPR. This covers things like the provision of Data Protection Officers and data protection certifications.
Right to be informed
Provides transparency over how your personal data is used
Privacy notice
DPA PLUS concise, transparent, intelligible and easily accessible
Clear and plain language, child friendly
Free to obtain
Right to access
Provides access to your data, how it is used, and any supplemental data that may be used alongside your data
Access to their personal data
Supplementary information (privacy policy, other associations)
Free unless excessive requests
Right to rectification
Your right to have your personal data rectified if it is incorrect or incomplete
Third party notification
Right to erasure (or the right to be forgotten)
Your right to have personal data removed when there is no compelling reason to store it
Original reason no longer valid
Withdraws consent
Many other reasons
5. Right to restrict processing
You can allow your data to be stored but not processed
Accuracy
Third parties
6. Right to data portability
You can request copies of information stored about you to use elsewhere
Move copy or transfer – safe and secure without hindrance
Credit applications for example
7. Right to object
You can object to your data being processed
Profiling
Direct marketing
Scientific/research
8. Rights to automated decision making and profiling
You can object to automated decisions being made based on your personal data
Based on automated processing and produces legal or similar effect
Human involved, POV, explanation
Yahoo 2 years,
Tesco, 1.9b fine with gdpr
Highest,
Pseudonymisation – new and very powerful. Identifies you: as long as data is split, you can get away with a lot within GDPR. Data must be split and using pseudonymisation to link the 2. (Linoma) - making it very difficult to link information back to the individual because files are separate and encrypted.
1 Raise Awareness
Take responsibility, peer groups, board level all in between
Presume everybody knows nothing
2 Identify what data you use and retain
Document it, what source, why?
3 Clean your house
Tidy up and erase unused data
Check regulatory and historical reasons
4 Create a GDPR responsibility framework
Org chart framework
DPO, Controllers and Processors - EDPB
Train and identify obligations
5 Update and review policies and procedures
Continuous improvement and update plan
Easily accessible
6 Embrace GDPR and make it part of your working life
Security by design
Question yourself why am I accessing this data, do I need to , is it still relevant
7 Prepare for a data breach
72 hours
Policies
What is the alternative?
8 Prepare to be challenged
Customer awareness
Know your customers rights
9 Think about special requirements
Children 16 or 13 , parental consent, offline storage, consent
Law agencies
10 Don’t be shy! Talk to peers and experts and question your own employees
1 Raise Awareness
Take responsibility, peer groups, board level all in between
Presume everybody knows nothing
2 Identify what data you use and retain
Document it, what source, why?
3 Clean your house
Tidy up and erase unused data
Check regulatory and historical reasons
4 Create a GDPR responsibility framework
Org chart framework
DPO, Controllers and Processors - EDPB
Train and identify obligations
5 Update and review policies and procedures
Continuous improvement and update plan
Easily accessible
6 Embrace GDPR and make it part of your working life
Security by design
Question yourself why am I accessing this data, do I need to , is it still relevant
7 Prepare for a data breach
72 hours
Policies
What is the alternative?
8 Prepare to be challenged
Customer awareness
Know your customers rights
9 Think about special requirements
Children 16 or 13 , parental consent, offline storage, consent
Law agencies
10 Don’t be shy! Talk to peers and experts and question your own employees
Data Protection now – Controllers are legally responsible however with GDPR, Processors are also liable for data
Processors: explain and give examples (cloud hosting)
Raise awareness internally – presume everyone knows nothing (needs to become a way of life not something that is referred to on occasion)
Privacy big change from data protection act – in particular these areas (bullets).
Not a one time thing, need a policy and procedure to update the policy and procedure.
Embrace GDPR and make it part of your working life
Security by design
Question yourself why am I accessing this data, do I need to , is it still relevant
GDPR states you must report the breach within 72 hours and info can be supplied in stages. Data protection currently says ‘within a reasonable amount’ of time therefore businesses are in no rush (some take a year!) to report the breach or do anything about it. Really important message, leading on to next slide about penalties.
Peter – what story can you highlight?
Note that these will be sent out in the follow up email
1 Raise Awareness
Take responsibility, peer groups, board level all in between
Presume everybody knows nothing
2 Identify what data you use and retain
Document it, what source, why?
3 Clean your house
Tidy up and erase unused data
Check regulatory and historical reasons
4 Create a GDPR responsibility framework
Org chart framework
DPO, Controllers and Processors - EDPB
Train and identify obligations
5 Update and review policies and procedures
Continuous improvement and update plan
Easily accessible
6 Embrace GDPR and make it part of your working life
Security by design
Question yourself why am I accessing this data, do I need to , is it still relevant
7 Prepare for a data breach
72 hours
Policies
What is the alternative?
8 Prepare to be challenged
Customer awareness
Know your customers rights
9 Think about special requirements
Children 16 or 13 , parental consent, offline storage, consent
Law agencies
10 Don’t be shy! Talk to peers and experts and question your own employees