Un bilancio operativo, critico, sullo stato di attuazione del gdpr e sulle difficoltà per il mondo delle PMI, a cinque mesi dall'efficacia della norma. Presentazione nell'ambito dell'Open day Lazio Innova del 25 ottobre 2018 - Tecnopolo Tiburtino, Roma
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. Un’analisi a cinque mesi dall’efficacia della nuova norma
1. Il regolamento europeo sulla protezione
dei dati e l’impatto sulle aziende
Un’analisi a cinque mesi dall’efficacia della nuova norma
Roma, Tecnopolo 25 ottobre 2018
Riccardo Cocozza
GDPR Specialist
2. Lazio Innova, nell’ambito della Rete Enterprise Europe Network
ha istituito uno sportello di orientamento al GDPR attivo due
volte al mese
3.
4. A che punto siamo
Regolamento europeo efficace
dal 25 maggio 2018
Decreto di armonizzazione
della normativa italiana
pubblicato a settembre 2018
14 linee guida pubblicate dallo
European Data Protection
Board
https://worldview.stratfor.com/article/what-gdpr-means-companies-europe-and-beyond
6. Un errore di fondo
Il GDPR non è il regolamento privacy
È il regolamento del
Parlamento europeo e del
consiglio relativo alla
protezione delle persone
fisiche con riguardo al
trattamento dei dati
personali, nonché alla libera
circolazione di tali dati
7. La responsabilizzazione del titolare
A lui spettano le decisioni, le valutazioni e la
dimostrazione di aver agito nel pieno rispetto delle
regole
Quali dati trattiamo?
Perchè?
Su quale fondamento?
Per quanto tempo?
Come li proteggiamo?
Chi può accedere?
Dove li conserviamo?
8. Scarsa cultura del rischio
L’assenza di misure minime codificate obbliga
l’adozione di misure basate sul contesto e sulle
minacce
Identificazione
Analisi e ponderazione
Mitigazione o trasferimento
Controllo
9. Il concetto di “adeguatezza”
ANALISI DEI RISCHI
SCENARI DI RISCHIO
MAPPATURA TRATTAMENTI
PROFILI DI RILEVANZA
AREE DI SENSIBILITA’
DELLE INFORMAZIONI
PIANO DI GOVERNANCE DELLE INFORMAZIONI
Budget
Tempi
Norme vincolanti
….
10. Il concetto di “attività principale” e
“larga scala”
Alcuni degli adempimenti sono obbligatori se il
titolare verifica che la sua attività principale:
sia imprescindibile rispetto al trattamento dei dati,
si svolga sistematicamente su larga scala.
Concetti estremamente
soggettivi
Richiedono una puntuale
documentazione delle scelte
Esemplificazione vaga da
parte di EDPB
11. I ritardi in Italia
Il Decreto di revisione del Codice della Privacy
(D.lgs 196/03) è stato pubblicato a settembre
Due anni e mezzo dopo la
pubblicazione del GDPR
Reinserimento dei ruoli privacy di
responsabilità interna
Consenso dai 14 anni
Misure di garanzia per dati
particolari emessi dall’Autorità
Tutele per i dati di interessati
deceduti
12. La presenza di molteplici normative di
riferimento
Statuto dei lavoratori
La direttiva E-privacy
Il decreto trasparenza
Il testo unico sulla sicurezza dei
lavoratori
I codici di deontologia
La direttiva NIS
Il trattamento dei dati personali è regolamentato
da specifiche normative di settore, non coordinate.
13. La soft law e il rapporto con la fonte
principale
Le autorizzazioni generali dipenderanno
da un provvedimento emanato dal
Garante e sottoposto a consultazione
pubblica e produrranno effetti fino alla
pubblicazione di quest’ultimo.
I provvedimenti del Garante
continueranno ad applicarsi in quanto
compatibili
L’articolo 21 del D.lgs 101/18 affronta la mole
degli oltre 9000 atti di normativa secondaria
14. Il decreto “semplificazione” del 2012
L’abrogazione del DPS ha di fatto congelato
l’aggiornamento di ogni documento interno legato
alla privacy
Assenza di procedure formalizzate,
anche in presenza di buone pratiche
Assenza di revisione e miglioramento
continuo
Assenza di formazione e
sensibilizzazione verso le tematiche
della protezione dati
Tendenza ad applicazione formale e
non sostanziale
15. I due anni per l’efficacia dalla
pubblicazione
16. L’improvvisazione del mondo dei
professionisti
Adeguamenti non efficaci
Creazione di allarmismo
Terrorismo psicologico
Creazione di sfiducia
Esposizione al rischio di
sanzioni, breach, perdita
di immagine
Il privacy officer è una figura che integra professionalità
informatiche, giuridiche e sulla governance dei dati
17. La considerazione della data
protection come costo accessorio
La privacy by design inverte il paradigma. Ora la
protezione dei dati è fattore integrante di progetto
18. Gli investimenti in sicurezza..
Netconsulting
stima in 900
milioni di euro, gli
investimenti in
Sicurezza Logica
21. Comunicazioni dei dati di contatto
degli RPD
40.738
Pubblica Amministrazione
Nomine non necessarie (valutazione estensiva)
Nomine multiple
Parametri di identificazione vaghi
Nel dubbio…
+100% 2017
22. Reclami e segnalazioni
2.547
Enfasi attorno al GDPR
Aumento della sensibilità
Aumento della consapevolzza
Aumento del senso di paura
Manie di protagonismo
Pura curiosità+41% 2017
23. Notificazioni di data breach
305
Obbligo esteso anche alle aziende private
Atteggiamento di eccessiva cautela formale
Errori nella classificazione del breach e degli
impatti
Eccesso di zelo
Conocenza superficiale della materia e della
prassi
+100% 2017
24. Contatti con l’URP
7.200
Normativa carente di indicazioni operative
Bisogno di rassicurazione del titolare
Scarsa esperienza dei consulenti
Compresenza di normativa nazionale e europea
+63% 2017
26. Un cambio di atteggiamento nella
digital economy
Da consumer a
prosumer
Da utente asset passivo
a utente asset attivo
Solid – un framework per lo sviluppo
modulare di applicazioni user data centered
https://solid.mit.edu/
27. Un Garante più presente nel quotidiano
Sul modello CNIL ICO
Linee guida
Strumenti per PMI
Riscontri interattivi
…
29. La banca dati delle Buone Pratiche
Frutto dell’esperienza sul
campo
Potrebbe contenere le
migliori soluzioni adottate
Potrebbe essere
clusterizzato per categorie
Dovrebbe essere validato
da un ente terzo univoco
Un repository dinamico e
gratuito
Le considerazioni che seguono sono puramente personali, opinabili e si basano sullìesperienza personale e professionale dell’autore. Ogni critica è ben accetta.
Pubblicazione del 101
Necessità di interpretazione conforme
La prevalenza del regolamento e il rimando alla normativa nazionale