SlideShare a Scribd company logo

ll modello organizzativo privacy e il principio di accountability: l'approccio del CSI - Giulia Verroia, CSI Piemonte

CSI Piemonte
CSI Piemonte

Materiale presentato al workshop "PRIVACY: siamo pronti al nuovo regolamento europeo?" organizzato dal CSI Piemonte

Technology
1 of 31
Download to read offline
ll modello organizzativo privacy e il principio di accountability: l'approccio del CSI Torino 25 settembre 2017 Giulia Verroia Ufficio Legale
25 settembre 2017 Accountability Registro dei trattamenti Informativa e consenso Modello diritti degli organizzativo interessati misure adeguate DPIA analisi dei trasferimenti rischi all’estero privacy by design privacy by default formazione data breach sanzioni Le principali novità:
25 settembre 2017 Il modello organizzativo Il GDPR disciplina: Data Controller (TITOLARE) Data Processor (RESPONSABILE DEL TRATTAMENTO) Data Protection Officer (DPO o RPD) ma anche: Contitolari, sub-responsabili, persone «autorizzate» al trattamento
25 settembre 2017 Il modello organizzativo del CSI Comitato di Sicurezza ICT Direttori Responsabili Interni Team operativo (Privacy Office) DPO Delegati del Direttore (Data Processing Manager) ADS INCARICATIPrivacy Designer
25 settembre 2017 Principio di Accountability Principio di «Responsabilizzazione documentata» Il titolare deve adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure tecniche ed organizzative finalizzate ad assicurare la compliance normativa Dimostrazione nei fatti, al di là dei formalismi, di rispettare i principi generali
25 settembre 2017 Sistema di controllo organizzazione tecnologie e strumenti ruoli e competenze documentazione processi e regole Sistema di gestione
25 settembre 2017 I assessment aziendale mappatura dei ruoli e responsabilità registri dei trattamenti analisi dei rischi e DPIA e processo di privacy by design e by default politica delle misure di sicurezza aggiornamento informative, contrattualistica e regolamenti interni processo di data breach e delle richieste degli interessati, data retention piano di formazione piano di audit interni ed esterni Piano di adeguamento del CSI
25 settembre 2017 «Il primo passo che si ritiene necessario compiere è relativo all’audit tecnologico relativo alle misure tecniche di sicurezza e del piano strategico di transizione e compliance, alla luce della nuova disciplina. (….) Il risultato della prima fase della Due Diligence & Gap Analysis sarà un Report pratico e dettagliato in cui dovranno essere mappati: • i trattamenti gestiti (come Titolare e come Responsabile) • le basi dati coinvolte • gli applicativi interessati • le misure tecniche ed organizzative già applicate Questo documento costituirà l’indispensabile strumento di orientamento per i passi di compliance privacy successivi» Due diligence e gap analysis
25 settembre 2017 Registro dei trattamenti E’ il 1^ documento probatorio Tutti i Titolari e i Responsabili con più di 250 dipendenti o che effettuano trattamenti a rischio devono tenere un registro dei trattamenti da mettere a disposizione dell’Autorità di controllo in caso di richiesta Contenuti minimi obbligatori
25 settembre 2017 RACCOMANDAZIONI DEL GARANTE La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell'art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell'ottica della complessiva valutazione di impatto dei trattamenti svolti. Nello specifico, si richiama l'attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all'art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l'Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni. Registro dei trattamenti
25 settembre 2017 PARTE II – APPROFONDIMENTI SPECIFICI Registro dei trattamenti del CSI
25 settembre 2017 Il Registro del Titolare: art. 30 c. I: ogni titolare tiene un registro delle attività di trattamento svolte sotto la propria responsabilità Il Registro del Responsabile: art. 30 c. II: ogni Responsabile tiene un registro delle attività di trattamento svolte per conto di un titolare Contenuti: REGISTRO DEL TITOLARE REGISTRO DEL RESPONSABILE a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le finalità del trattamento; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; Registro dei trattamenti
25 settembre 2017 REGISTRO DEL TITOLARE REGISTRO DEL RESPONSABILE c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. Registro dei trattamenti
25 settembre 2017 Analisi dei rischi Linee guida Garante: approccio basato sul rischio di impatti negativi sulle libertà e i diritti degli interessati Valutazione dei rischi definizione delle misure DPIA Consultazione dell’Autorità di Controllo
25 settembre 2017 Sistema integrato di risk management misure «minime» misure «adeguate» tenuto conto: dello stato dell’arte e dei costi di attuazione della natura e dell’oggetto del contesto delle finalità dei rischi per i diritti e le libertà delle persone
25 settembre 2017 Misure di sicurezza misure «minime» misure «adeguate» tenuto conto: dello stato dell’arte e dei costi di attuazione della natura e dell’oggetto del contesto delle finalità dei rischi per i diritti e le libertà delle persone
25 settembre 2017 Casi: - Valutazione sistematica e globale di aspetti personali delle persone, basata su un trattamento automatizzato (es. profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici - Trattamento su larga scala di dati particolari o giudiziari - Sorveglianza sistematica su larga scala di una zona accessibile al pubblico - ….. (ulteriore elenco dell’Autorità) misure di sicurezza del CSI
25 settembre 2017 DPIA Valutazione d’impatto privacy Art. 35: quando un trattamento presenta UN RISCHIO ELEVATO per i diritti e le libertà delle persone fisiche «allorché prevede in particolare l’uso di nuove tecnologie», deve essere effettuata la DPIA prima di iniziare un trattamento
25 settembre 2017 Casi: - Valutazione sistematica e globale di aspetti personali delle persone, basata su un trattamento automatizzato (es. profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici - Trattamento su larga scala di dati particolari o giudiziari - Sorveglianza sistematica su larga scala di una zona accessibile al pubblico - ….. (ulteriore elenco dell’Autorità) DPIA
25 settembre 2017 Privacy by design e by default Gli aspetti della riservatezza e della protezione dei dati devono essere valutati sin dall’inizio del project design ovvero della progettazione di un sistema informativo che gestisce un trattamento di dati personali (sia un progetto strutturale che concettuale) E devono essere garantiti – per impostazione predefinita – anche durante tutto il ciclo di vita del trattamento
25 settembre 2017 Privacy by design e by default Gli aspetti della riservatezza e della protezione dei dati devono essere valutati sin dall’inizio del project design ovvero della progettazione di un sistema informativo che gestisce un trattamento di dati personali (sia un progetto strutturale che concettuale) E devono essere garantiti – per impostazione predefinita – anche durante tutto il ciclo di vita del trattamento
25 settembre 2017 ISO 27001 misure «minime» misure «adeguate» tenuto conto: dello stato dell’arte e dei costi di attuazione della natura e dell’oggetto del contesto delle finalità dei rischi per i diritti e le libertà delle persone
25 settembre 2017 Data breach cos’è una «violazione di dati personali»? e’ la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati" (4 comma 1 n. 12, GDPR)
25 settembre 2017 Data breach Notifica di una violazione di dati personali (art. 33) Tutti i Titolari dovranno notificare le violazioni di dati personali, senza giustificato ritardo, e comunque entro 72 ore, a meno che sia improbabile che presenti rischi per i diritti e le libertà delle persone:  all’Autorità di Controllo  agli interessati (quando il rischio è elevato)
25 settembre 2017 Data breach ECCEZIONE: la notifica agli interessati NON deve essere fatta: Le misure sono adeguate (es. cifratura) Misure atte a scongiurare un rischio elevato Sforzi sproporzionati
25 settembre 2017 Data breach ECCEZIONE: la notifica agli interessati NON deve essere fatta: Le misure sono adeguate (es. cifratura) Sono state poste in essere successivamente misure atte a scongiurare il sopraggiungere di un rischio elevato Sforzi sproporzionati
25 settembre 2017 Data breach ECCEZIONE: la notifica agli interessati NON deve essere fatta: Le misure sono adeguate (es. cifratura) Misure atte a scongiurare un rischio elevato Sforzi sproporzionati
25 settembre 2017 Sistema documentale  Documentazione organizzativa (modello organizzativo, policy, regolamenti, istruzioni personale)  Documentazione tecnologica (mappa degli applicativi, delle utenze, misure di sicurezza, infrastrutture)  Documentazione legale (convenzioni, clausole contrattuali, nomine, informative)
25 settembre 2017 • In aula mirata per ambiti (analisti, progettisti, PM, staff) • E-learning per tutti gli Incaricati • Pillole informative Piano di formazione
25 settembre 2017 (Codice di condotta sui temi di interesse delle imprese del settore IT) (linee guida per l’adeguamento al GDPR in ambito sanitario che verrà presentato al convegno annuale del 12/13 ottobre 2017 «Privacy e sicurezza a supporto dell’innovazione digitale in Sanità»)
Grazie Giulia.Verroia@csi.it

Recommended

"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minoriCSI Piemonte
 
Audit GDPR
Audit GDPRAudit GDPR
Audit GDPRCSI Piemonte
 
Audit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriAudit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriCSI Piemonte
 
Gli audit in ambito privacy
Gli audit in ambito privacyGli audit in ambito privacy
Gli audit in ambito privacyCSI Piemonte
 
Riconoscere e contrastare le minacce
Riconoscere e contrastare le minacceRiconoscere e contrastare le minacce
Riconoscere e contrastare le minacceCSI Piemonte
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 

Recommended

"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minoriCSI Piemonte
 
Audit GDPR
Audit GDPRAudit GDPR
Audit GDPRCSI Piemonte
 
Audit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriAudit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriCSI Piemonte
 
Gli audit in ambito privacy
Gli audit in ambito privacyGli audit in ambito privacy
Gli audit in ambito privacyCSI Piemonte
 
Riconoscere e contrastare le minacce
Riconoscere e contrastare le minacceRiconoscere e contrastare le minacce
Riconoscere e contrastare le minacceCSI Piemonte
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...CSI Piemonte
 
Sicurezza Urbana Integrata
Sicurezza Urbana IntegrataSicurezza Urbana Integrata
Sicurezza Urbana IntegrataCSI Piemonte
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneCSI Piemonte
 
Far crescere la cultura della privacy
Far crescere la cultura della privacyFar crescere la cultura della privacy
Far crescere la cultura della privacyCSI Piemonte
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
Privacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazionePrivacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazioneCSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Guidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationGuidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationCSI Piemonte
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
 
So di non sapere?
So di non sapere?So di non sapere?
So di non sapere?CSI Piemonte
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciCSI Piemonte
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleCSI Piemonte
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
Sanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni realiSanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni realiCSI Piemonte
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...CSI Piemonte
 
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...CSI Piemonte
 
Il percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'usoIl percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'usoCSI Piemonte
 

More Related Content

More from CSI Piemonte

Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...CSI Piemonte
 
Sicurezza Urbana Integrata
Sicurezza Urbana IntegrataSicurezza Urbana Integrata
Sicurezza Urbana IntegrataCSI Piemonte
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneCSI Piemonte
 
Far crescere la cultura della privacy
Far crescere la cultura della privacyFar crescere la cultura della privacy
Far crescere la cultura della privacyCSI Piemonte
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
Privacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazionePrivacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazioneCSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Guidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationGuidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationCSI Piemonte
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciCSI Piemonte
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleCSI Piemonte
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
Sanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni realiSanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni realiCSI Piemonte
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...CSI Piemonte
 
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...CSI Piemonte
 
Il percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'usoIl percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'usoCSI Piemonte
 

More from CSI Piemonte (20)

Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
 
Sicurezza Urbana Integrata
Sicurezza Urbana IntegrataSicurezza Urbana Integrata
Sicurezza Urbana Integrata
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazione
 
Far crescere la cultura della privacy
Far crescere la cultura della privacyFar crescere la cultura della privacy
Far crescere la cultura della privacy
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
 
Privacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazionePrivacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazione
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Guidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationGuidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach Notification
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPO
 
So di non sapere?
So di non sapere?So di non sapere?
So di non sapere?
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breach
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubblici
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
 
Sanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni realiSanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni reali
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
 
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
 
Il percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'usoIl percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'uso
 

ll modello organizzativo privacy e il principio di accountability: l'approccio del CSI - Giulia Verroia, CSI Piemonte

  • 2. 25 settembre 2017 Accountability Registro dei trattamenti Informativa e consenso Modello diritti degli organizzativo interessati misure adeguate DPIA analisi dei trasferimenti rischi all’estero privacy by design privacy by default formazione data breach sanzioni Le principali novità:
  • 3. 25 settembre 2017 Il modello organizzativo Il GDPR disciplina: Data Controller (TITOLARE) Data Processor (RESPONSABILE DEL TRATTAMENTO) Data Protection Officer (DPO o RPD) ma anche: Contitolari, sub-responsabili, persone «autorizzate» al trattamento
  • 4. 25 settembre 2017 Il modello organizzativo del CSI Comitato di Sicurezza ICT Direttori Responsabili Interni Team operativo (Privacy Office) DPO Delegati del Direttore (Data Processing Manager) ADS INCARICATIPrivacy Designer
  • 5. 25 settembre 2017 Principio di Accountability Principio di «Responsabilizzazione documentata» Il titolare deve adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure tecniche ed organizzative finalizzate ad assicurare la compliance normativa Dimostrazione nei fatti, al di là dei formalismi, di rispettare i principi generali
  • 6. 25 settembre 2017 Sistema di controllo organizzazione tecnologie e strumenti ruoli e competenze documentazione processi e regole Sistema di gestione
  • 7. 25 settembre 2017 I assessment aziendale mappatura dei ruoli e responsabilità registri dei trattamenti analisi dei rischi e DPIA e processo di privacy by design e by default politica delle misure di sicurezza aggiornamento informative, contrattualistica e regolamenti interni processo di data breach e delle richieste degli interessati, data retention piano di formazione piano di audit interni ed esterni Piano di adeguamento del CSI
  • 8. 25 settembre 2017 «Il primo passo che si ritiene necessario compiere è relativo all’audit tecnologico relativo alle misure tecniche di sicurezza e del piano strategico di transizione e compliance, alla luce della nuova disciplina. (….) Il risultato della prima fase della Due Diligence & Gap Analysis sarà un Report pratico e dettagliato in cui dovranno essere mappati: • i trattamenti gestiti (come Titolare e come Responsabile) • le basi dati coinvolte • gli applicativi interessati • le misure tecniche ed organizzative già applicate Questo documento costituirà l’indispensabile strumento di orientamento per i passi di compliance privacy successivi» Due diligence e gap analysis
  • 9. 25 settembre 2017 Registro dei trattamenti E’ il 1^ documento probatorio Tutti i Titolari e i Responsabili con più di 250 dipendenti o che effettuano trattamenti a rischio devono tenere un registro dei trattamenti da mettere a disposizione dell’Autorità di controllo in caso di richiesta Contenuti minimi obbligatori
  • 10. 25 settembre 2017 RACCOMANDAZIONI DEL GARANTE La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell'art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell'ottica della complessiva valutazione di impatto dei trattamenti svolti. Nello specifico, si richiama l'attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all'art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l'Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni. Registro dei trattamenti
  • 11. 25 settembre 2017 PARTE II – APPROFONDIMENTI SPECIFICI Registro dei trattamenti del CSI
  • 12. 25 settembre 2017 Il Registro del Titolare: art. 30 c. I: ogni titolare tiene un registro delle attività di trattamento svolte sotto la propria responsabilità Il Registro del Responsabile: art. 30 c. II: ogni Responsabile tiene un registro delle attività di trattamento svolte per conto di un titolare Contenuti: REGISTRO DEL TITOLARE REGISTRO DEL RESPONSABILE a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le finalità del trattamento; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; Registro dei trattamenti
  • 13. 25 settembre 2017 REGISTRO DEL TITOLARE REGISTRO DEL RESPONSABILE c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. Registro dei trattamenti
  • 14. 25 settembre 2017 Analisi dei rischi Linee guida Garante: approccio basato sul rischio di impatti negativi sulle libertà e i diritti degli interessati Valutazione dei rischi definizione delle misure DPIA Consultazione dell’Autorità di Controllo
  • 15. 25 settembre 2017 Sistema integrato di risk management misure «minime» misure «adeguate» tenuto conto: dello stato dell’arte e dei costi di attuazione della natura e dell’oggetto del contesto delle finalità dei rischi per i diritti e le libertà delle persone
  • 16. 25 settembre 2017 Misure di sicurezza misure «minime» misure «adeguate» tenuto conto: dello stato dell’arte e dei costi di attuazione della natura e dell’oggetto del contesto delle finalità dei rischi per i diritti e le libertà delle persone
  • 17. 25 settembre 2017 Casi: - Valutazione sistematica e globale di aspetti personali delle persone, basata su un trattamento automatizzato (es. profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici - Trattamento su larga scala di dati particolari o giudiziari - Sorveglianza sistematica su larga scala di una zona accessibile al pubblico - ….. (ulteriore elenco dell’Autorità) misure di sicurezza del CSI
  • 18. 25 settembre 2017 DPIA Valutazione d’impatto privacy Art. 35: quando un trattamento presenta UN RISCHIO ELEVATO per i diritti e le libertà delle persone fisiche «allorché prevede in particolare l’uso di nuove tecnologie», deve essere effettuata la DPIA prima di iniziare un trattamento
  • 19. 25 settembre 2017 Casi: - Valutazione sistematica e globale di aspetti personali delle persone, basata su un trattamento automatizzato (es. profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici - Trattamento su larga scala di dati particolari o giudiziari - Sorveglianza sistematica su larga scala di una zona accessibile al pubblico - ….. (ulteriore elenco dell’Autorità) DPIA
  • 20. 25 settembre 2017 Privacy by design e by default Gli aspetti della riservatezza e della protezione dei dati devono essere valutati sin dall’inizio del project design ovvero della progettazione di un sistema informativo che gestisce un trattamento di dati personali (sia un progetto strutturale che concettuale) E devono essere garantiti – per impostazione predefinita – anche durante tutto il ciclo di vita del trattamento
  • 21. 25 settembre 2017 Privacy by design e by default Gli aspetti della riservatezza e della protezione dei dati devono essere valutati sin dall’inizio del project design ovvero della progettazione di un sistema informativo che gestisce un trattamento di dati personali (sia un progetto strutturale che concettuale) E devono essere garantiti – per impostazione predefinita – anche durante tutto il ciclo di vita del trattamento
  • 22. 25 settembre 2017 ISO 27001 misure «minime» misure «adeguate» tenuto conto: dello stato dell’arte e dei costi di attuazione della natura e dell’oggetto del contesto delle finalità dei rischi per i diritti e le libertà delle persone
  • 23. 25 settembre 2017 Data breach cos’è una «violazione di dati personali»? e’ la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati" (4 comma 1 n. 12, GDPR)
  • 24. 25 settembre 2017 Data breach Notifica di una violazione di dati personali (art. 33) Tutti i Titolari dovranno notificare le violazioni di dati personali, senza giustificato ritardo, e comunque entro 72 ore, a meno che sia improbabile che presenti rischi per i diritti e le libertà delle persone:  all’Autorità di Controllo  agli interessati (quando il rischio è elevato)
  • 25. 25 settembre 2017 Data breach ECCEZIONE: la notifica agli interessati NON deve essere fatta: Le misure sono adeguate (es. cifratura) Misure atte a scongiurare un rischio elevato Sforzi sproporzionati
  • 26. 25 settembre 2017 Data breach ECCEZIONE: la notifica agli interessati NON deve essere fatta: Le misure sono adeguate (es. cifratura) Sono state poste in essere successivamente misure atte a scongiurare il sopraggiungere di un rischio elevato Sforzi sproporzionati
  • 27. 25 settembre 2017 Data breach ECCEZIONE: la notifica agli interessati NON deve essere fatta: Le misure sono adeguate (es. cifratura) Misure atte a scongiurare un rischio elevato Sforzi sproporzionati
  • 28. 25 settembre 2017 Sistema documentale  Documentazione organizzativa (modello organizzativo, policy, regolamenti, istruzioni personale)  Documentazione tecnologica (mappa degli applicativi, delle utenze, misure di sicurezza, infrastrutture)  Documentazione legale (convenzioni, clausole contrattuali, nomine, informative)
  • 29. 25 settembre 2017 • In aula mirata per ambiti (analisti, progettisti, PM, staff) • E-learning per tutti gli Incaricati • Pillole informative Piano di formazione
  • 30. 25 settembre 2017 (Codice di condotta sui temi di interesse delle imprese del settore IT) (linee guida per l’adeguamento al GDPR in ambito sanitario che verrà presentato al convegno annuale del 12/13 ottobre 2017 «Privacy e sicurezza a supporto dell’innovazione digitale in Sanità»)