Intervento presentato nel corso del DIGEat2018 - Consilum "Il piano di assessment per la compliance secondo il Regolamento UE 679/2016" a cura del D&L NET
Le nuove competenze per la digitalizzazione e la privacy
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 - avv. Enrico Pelino
1. Il piano di assessment per la compliance
secondo il Regolamento UE 679/2016
Parte seconda
2. Sommario dell’intervento
Non cominciate dalla compliance! Ossia: perché la compliance postula l’assessment
Esempi di implicazioni logiche: informative, registri, DPIA
Quali contenuti deve avere una Gap Analysis?
Quali strumenti minimi concettuali devono essere utilizzati per una Gap Analysis?
Quali elementi devono essere oggetto di una Gap Analysis?
3. GAP ANALYSIS E COMPLIANCE
CNIL, prepararsi in sei tappe:
1. Individuare un “pilota”
2. Mappare i trattamenti
3. Stabilire priorità nelle azioni
4. Gestire i rischi
5. Organizzare i processi interni
6. Documentare la conformità
} Gap Analysis
} Compliance
4. 4
Perché un assessment (gap analysis)?
Risposta semplice: accountability e approccio orientato al rischio
Risposta ulteriore: l’assessment è logicamente imprescindibile
5. ESEMPI DI IMPLICAZIONI LOGICHE
Procedere secondo logica: perché la realizzazione di documenti di
compliance implica una preventiva attività di assessment
Gli esempi dell’informativa, dei Registri, del DPIA
6. 6
Informativa:
13.1.a) e 26.1 → (con)titolare → allocazione dei ruoli → Gap Analysis
13.1.b) → DPO → Gap Analysis
13.1.c) → finalità → Gap Analysis
13.1.d), 13.2.c), 13.2.e) → base giuridica → Gap Analysis
13.1.e) destinatari → ambito di circolazione → Gap Analysis
13.1.f) trasferimento extra UE → Gap Analysis
13.2.a) conservazione → base giuridica+finalità → Gap Analysis
13.2.f) processo decisionale automatizzato → Gap Analysis
7. 7
Registri del trattamento – 1/2:
30.1.a), 30.2.a) → (con)titolare, responsabile
→ allocazione dei ruoli → Gap Analysis
30.1.a), 30.2.a) → rappresentante del titolare o del responsabile
→ sussiste applicazione territoriale ex art. 3? → sussistono le ulteriori condizioni di cui all’art. 27? → Gap Analysis
30.1.a), 30.2.a) → DPO
→ applicabilità delle condizioni di cui all’art. 37.1 → Gap Analysis
30.1.b) → finalità
→ comprendere quali finalità e se sono lecite → Gap Analysis
30.1.c) → categorie di interessati
→ censire le categorie di interessati per ogni trattamento → Gap Analysis
→ concetto di trattamento
8. 8
Registri del trattamento – 2/2:
30.2.b) → categorie di dati personali
→ Censire quali tipologie di dati sono trattati → Gap Analysis
30.1.d) destinatari
→ comprendere esattamente l’ambito di circolazione → Gap Analysis
30.1.e), 30.2.c) → trasferimento extra UE + misure adeguate art. 49.1 2° sottoparagrafo
→ se e in quale misura vi è un trasferimento e se sono osservate le garanzie → Gap Analysis
30.1.f) conservazione
→ base giuridica+finalità → Gap Analysis
30.1.g) descrizione generale misure di sicurezza
→ Censimento delle misure di sicurezza (e dei relativi gap) → Gap Analysis
9. 9
DPIA:
Valutazione delle condizioni in cui è necessaria
→ esame black list ed eventuale white list (quando disponibili) → Gap Analysis
→ esame sussistenza eccezione ex art. 35.10 → Gap Analysis
→ concetto di rischio probabile → Gap Analysis
→ valutazione dei 9 indici individuati nelle linee guida UE → Gap Analysis
35.7.a) → trattamenti previsti, finalità, base giuridica→ Assessment
35.7.b) → applicazione dei principi del trattamento→ Assessment
35.7.c) → studio di logiche di riduzione del rischio e di criteri di bilanciamento → Assessment
35.7.d) → misure previste, garanzie, meccanismi per assicurare protezione dati personali e dimostrare la
conformità, tenuto conto degli interessi legittimi degli interessati e delle altre persone in questione.
→ bilanciamento, valutazione di scenari, valutazione idoneità misure e garanzie → Assessment
10. CONTRATTUALIZZARE LA GAP ANALYSIS
Che cosa è opportuno richiedere e contrattualizzare in una Gap
Analysis?
11. 11
CONTENUTI CHE SI SUGGERISCE DI CONTRATTUALIZZARE – 1/2:
Perimetro dell’analisi (includere unità locali, specificare quali società del gruppo)
Mappatura dei flussi interni ed esterni
Allocazione dei ruoli
Individuazione dei trasferimenti extra UE/SEE
Individuazione delle finalità, delle relative basi giuridiche, della tipologie di dati e di interessati
Individuazione delle garanzie adeguate per i trasferimenti extra UE/SEE
12. 12
CONTENUTI CHE SI SUGGERISCE DI CONTRATTUALIZZARE – 2/2:
●
Coordinamento con Gap Analysis di altre società del gruppo
●
Indicazione sull’obbligatorietà o meno di tenere i Registri del trattamento
●
Indicazione sull’obbligatorietà o meno di procedere a DPIA
●
Indicazione sull’obbligatorietà o meno di designare il DPO
●
Valutazione della governance interna (incluse designazioni e istruzioni)
●
Valutazione delle misure di sicurezza, quantomeno di quelle più evidenti (sia IT, sia organizzative, sia
fisiche)
●
Valutazione della privacy by design (perimetro da definire con precisione)
13. GLI STRUMENTI CONCETTUALI
Oltre alla conoscenza dei provvedimenti del Garante italiano per la
protezione dei dati personali (entro i limiti di residua validità
concettuale), occorre quantomeno utilizzare le fonti europee rese
disponibili dal Gruppo di lavoro ex art. 29 (WP29)
14. 14
LINEE GUIDA EUROPEE e altri documenti:
WP29 Working documents + recommendations su: BCR-C, BCR-P
WP29 LG su: circolazione extra UE/SEE – deroghe ex art. 49
WP29 LG su: consenso
WP29 LG su: data breach
WP29 LG su: DPIA
WP29 LG su: DPO
WP29 LG su: autorità capofila (one stop shop)
WP29 LG su: diritto alla portabilità
WP29 LG su: profilazione
WP29 position paper su: registri di trattamento
WP29 LG su: sanzioni amministrative
WP29 LG su: trasparenza
16. COME SI PROCEDE ALLA VALUTAZIONE
Ma in concreto su che cosa si concentra l’assessment?
Proponiamo alcuni esempi
17. 17
ELEMENTI DA ESAMINARE IN UNA GAP ANALYSIS – DOCUMENTAZIONE 1/2:
Visura camerale
Contratti:
Con fornitori (es. cloud computing)
Con clienti (es. utenti dei siti Internet)
Con dipendenti e collaboratori
Informative pregresse
Eventuali moduli del consenso
Documentazione e informazioni ricavabili dai siti Internet
18. 18
ELEMENTI DA ESAMINARE IN UNA GAP ANALYSIS – DOCUMENTAZIONE 2/2:
Policy, regolamenti, disciplinari interni
Eventuale adesione a codici di condotta, standard internazionali, certificazioni
Eventuale contenzioso o incidenti di sicurezza pregressi
Planimetrie (es. videosorveglianza)
Campioni di newsletter
Campioni di rapporti, relazioni, elaborati e altro materiale sviluppato per i clienti
19. 19
ELEMENTI DA ESAMINARE IN UNA GAP ANALYSIS – INDAGINI MIRATE:
Questionari specifici per aree
Intervista diretta (anche telefonica), in base alla posizione aziendale ricoperta
Sopralluogo/ghi in situ
Richieste di chiarimenti/informazioni a destinatari dei flussi di dati
Importante:
ripetizione ciclica e affinamento di tutte le attività di cui sopra
formazione minima degli intervistati al fine di ottenere risposte più mirate
20. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY: Tutti Compliant? …Tutti Compliant fino a prova contraria!
Grazie per l’attenzione
Avv. Enrico Pelino
Grieco Pelino Avvocati – Bologna
avv.enricopelino@griecopelino.com