2. Jenko Gaviglia, Director of Sales
Tango/04, a business unit of HelpSystems, EMEA
Joined Tango/04 in 1998. Former Worldwide Director of Channel
and of International Sales at Tango/04, co-founder of Evoluzione
Informatica in Italy. BA in Economics and International Business
from the University of Genoa. Member of the Tango/04 Executive
Board since 2011.
Today’s speaker
3. GDPR HelpSystems LLC All rights reserved.
• Cos’è il GDPR e qual è il suo obiettivo?
• Gli 8 diritti derivanti dal GDPR
• Cosa implica il GDPR per le aziende?
• Come iniziare a prepararsi per il GDPR
• GDPR: le implicazioni di una fuga di dati (data breach)
• GDPR: un aiuto concreto da HelpSystems
GDPR: Agenda
4. Nuovo corpo legislative dell’Unione Europea che sostituisce l’attuale direttiva
sulla Privacy 95/46/EC. Il GDPR sarà in vigore a partire da Maggio 2018.
Obiettivo: proteggere i dati personali e regolamentare come le aziende
trattano, conservano e distruggono i dati, quando non sono più richiesti.
• Include anche trasferimenti di dati tra UE e sedi non UE
• Regolamenta cosa succede in caso di fughe di dati personali (data breach)
• Stabilisce conseguenze importanti (sanzioni) per le aziende che non
rispettano le regole.
Cos’è il GDPR e qual è il suo obiettivo?
5. Chi è soggetto al GDPR?
Aziende…
• … con una presenza fisica in almeno uno dei paesi membri dell’UE
o
• … che processano o immagazzinano dati su persone che risiedono
nell’UE
o
• … che usando un servizio di terzi che processa or immagazzina
informazioni su persone che risiedono nell’UE (Salesforce, Google Mail, etc.)
Quindi sostanzialmente applica a:
• Qualunque azienda con uffici nell’UE — se hanno un computer…
• Aziende USA che hanno contatti con aziende UE
… e cioè praticamente tutti!
Cos’è il GDPR e qual è il suo obiettivo?
6. Il GDPR è un regolamento.
Il Data Protection Act è una direttiva.
Qual è la differenza?
Lo sapete…
7. “I Dati Personali devono
essere trattati con cura”
Sicurezza dei
Dati
Minimizzaz.
dei Dati
Conformità
dimostrabile
Notificazione
delle fughe di
dati
I diritti
soggettivi
Altro
GDPR: General Data Protection Regulation
9. 1. Diritto a essere Informati
• Trasparenza su come i dati personali sono utilizzati
2. Diritto all’Accesso
• Accesso ai propri dati, a come sono utilizzati e a qualunque altro dato
utilizzato in combinazione con i vostri.
3. Diritto alla Rettificazione
• Diritto a rettificare i dati in caso siano incorretti o incompleti
4. Diritto alla cancellazione (ex diritto all’oblio)
• Diritto a che i dati siano cancellati quando non c’è più nessuna ragione
valida per conservarli
Gli 8 Diritti derivanti dal GDPR
10. 5. Diritto a limitare il Trattamento dei dati
• Si può consentire che i dati siano immagazzinati ma non processati
6. Diritto alla Portabilità
• Potere trasferire i propri dati da un sistema informatico ad un altro
senza che il controllore dei dati possa impedirlo.
7. Diritto a Opporsi
• Opporsi al trattamento dei dati
8. Diritto di Contestazione delle decisioni automatizzate (incluso il
profiling)
• Possono essere contestate le decisioni che hanno impatto personale e
che sono state prese solo utilizzando un algoritmo informatico
Gli 8 Diritti derivanti dal GDPR
11. Le notifiche di fughe di dati
aumenteranno sensibilmente
con la vigenza del GDPR.
Esempi recenti:
Talk Talk (157k clienti)
Tesco (20k c/c)
Yahoo:
- Fughe di dati di 500 milioni
di accounts: successo nel
2014 e notificato nel 2016
- Fughe di dati di 1 miliardo
di accounts: successo nel
2013 e notificato a Dicembre
2016
Sapete che…
12. GDPR HelpSystems LLC All rights reserved.
• Responsabilità e governance
• Adozione di misure tecniche e organizzative appropriate per assicurare la
conformità
Misure Tecniche:
• Politiche e Procedure
• Dati di Auditing
• Consenso
• Base Legale
• Certificazioni
• Crittografia
• Utilizzo di Pseudonimi
Cosa significa il GDPR per le aziende?
13. GDPR HelpSystems LLC All rights reserved.
Misure Organizzative:
Richiedono l’esistenza di una struttura apposita per la governance e può anche
richiedere un DPO (Data Protection Officer)
Data Protection Officer (per esempio il CSO o Sec Admin)
Obbligatorio solo in caso di Enti Pubblici o aziende che trattano un grande
volume di dati
Controller (per esempio il CIO)
Controlla e assicura che il modo in cui i dati sono trattati è in linea con il GDPR
Processors
Trattano i dati per conto del Controller (agenzia o persona che processa i dati,
impiegato, programmatore, outsourcer, azienda di hosting/cloud)
Cosa significa il GDPR per le aziende?
14. 1. Identificare quali dati sono utilizzati e conservati
2. Creare un sistema di responsabilità chiare
3. Aggiornamento e verifica periodica delle policies e procedure
4. Adozione del GDPR come parte integrante del lavoro di tutta l’azienda
5. Prepararsi a una fuga di dati
Prepararsi per il GDPR
15. 1. Identificare quali dati sono utilizzati e conservati
• Assicuratevi di sapere quali dati avete (spesso si processano
molti più dati di quanto si pensi)
• Rivedete perché state conservando quei dati personali e se non
sono necessari cancellateli!
• Utilizzate sinonimi: tecnologie che permettono di rendere i dati
personali non riconoscibili (come per esempio la crittografia) o
non riconducibili ad un individuo (pseudonimi)
• Documentate da dove provengono i dati
• Documentate le terze parti con cui avete condiviso i dati
Prepararsi per il GDPR
16. 2. Creare un sistema di responsabilità chiare
• Documentate un organigramma della struttura adibita alla governance
• Assegnate o assumete personale per occuparsi dei nuovi compiti
• DPO, Data Protection Officer (CSO o security admin)
• Aumentate la consapevolezza interna
• Formazione per gli impiegati
Prepararsi per il GDPR
17. 3. Aggiornamento e verifica periodica delle policies e
procedure
• Verificate le policies per assicurarsi che siano sempre aggiornate
• Comunicate chiaramente i diritti derivanti dal GDPR, in particolare:
• Diritto all’accesso
• Diritti legali e tempo di ritenzione
• Diritto alla rettificazione
• Assicuratevi che le politiche siano di facile accesso
• Implementate un piano di miglioramento continuo
Prepararsi per il GDPR
18. 4. Adozione del GDPR come parte integrante del lavoro di
tutta l’azienda
• Verifica continua dei possibili rischi
• Identificazione delle aree ad alto rischio non ancora coperte
• “Privacy by design”
• Minimizzate i dati personali (ne abbiamo davvero bisogno?)
Prepararsi per il GDPR
19. 5. Prepararsi a una fuga di dati
• Come si riconosce una fuga di dati?
• 72 ore (vs. “tempo ragionevole” adesso)
• Politica chiare di notificazione di una fuga di dati
• Come potete interrompere la fuga ed evitare che succeda di
nuovo?
Prepararsi per il GDPR
20. GDPR HelpSystems LLC All rights reserved.
Sanzioni (Multe)
1. Fino a €10M (o 2% della fatturazione mondiale)
• Mancato ottenimento del consenso da parte del Soggetto a
processare i suoi dati personali
• Mancata implementazione di misure tecniche e organizzative per
garantire la protezione dei dati
• Mancato documentazione delle misure
• Mancata comunicazione delle fughe di dati al EDPB (European
Data Protection Board) nei casi previsti
2. Fino a €20M (o 4% della fatturazione mondiale)
• Mancata ottemperanza di una disposizione di un’authority di
supervisione.
• Mancata ottemperanza delle regole previste dal GDPR per i
trasferimenti internazionali di dati
• Mancata ottemperanza ai principi basici del trattamento dei dati,
incluso le il consenso
Conseguenze di una fuga dei dati post GDPR
21. GDPR HelpSystems LLC All rights reserved.
• Cos’è il GDPR (www.helpsystems.com/resources/articles/what-gdpr)
• La top 10 dei modi per prepararsi al GDPR?
(www.helpsystems.com/resources/articles/what-top-10-ways-prepare-
gdpr)
• Cosa significa il GDPR per un IT Manager, CTO o Systems Admin?
(www.helpsystems.com/resources/articles/what-does-gdpr-mean-it-
manager-cto-or-systems-admin)
Ulteriori Informazioni (in inglese)
22. GDPR HelpSystems LLC All rights reserved.
Chi è HelpSystems? Leader mondiale delle Soluzioni IBM i
23. GDPR HelpSystems LLC All rights reserved.
Alcuni dei nostri clienti
Oltre 9,300+ client in tutto il mondo
1Customers may exist in multiple categories
7,079 Customers1 2,749 Customers1 957 Customers1 1,300 Customers1