Intervento presentato nel corso del DIGEat2018 - Consilum "Il piano di assessment per la compliance secondo il Regolamento UE 679/2016" a cura del D&L NET

1. Il piano di assessment per la compliance
secondo il Regolamento UE 679/2016
Parte seconda

2. Sommario dell’intervento
 Non cominciate dalla compliance! Ossia: perché la compliance postula l’assessment
 Esempi di implicazioni logiche: informative, registri, DPIA
 Quali contenuti deve avere una Gap Analysis?
 Quali strumenti minimi concettuali devono essere utilizzati per una Gap Analysis?
 Quali elementi devono essere oggetto di una Gap Analysis?

3. GAP ANALYSIS E COMPLIANCE
CNIL, prepararsi in sei tappe:
1. Individuare un “pilota”
2. Mappare i trattamenti
3. Stabilire priorità nelle azioni
4. Gestire i rischi
5. Organizzare i processi interni
6. Documentare la conformità
} Gap Analysis
} Compliance

4. 4
Perché un assessment (gap analysis)?
Risposta semplice: accountability e approccio orientato al rischio
Risposta ulteriore: l’assessment è logicamente imprescindibile

5. ESEMPI DI IMPLICAZIONI LOGICHE
Procedere secondo logica: perché la realizzazione di documenti di
compliance implica una preventiva attività di assessment
Gli esempi dell’informativa, dei Registri, del DPIA

6. 6
Informativa:
 13.1.a) e 26.1 → (con)titolare → allocazione dei ruoli → Gap Analysis
 13.1.b) → DPO → Gap Analysis
 13.1.c) → finalità → Gap Analysis
 13.1.d), 13.2.c), 13.2.e) → base giuridica → Gap Analysis
 13.1.e) destinatari → ambito di circolazione → Gap Analysis
 13.1.f) trasferimento extra UE → Gap Analysis
 13.2.a) conservazione → base giuridica+finalità → Gap Analysis
 13.2.f) processo decisionale automatizzato → Gap Analysis

7. 7
Registri del trattamento – 1/2:
30.1.a), 30.2.a) → (con)titolare, responsabile
→ allocazione dei ruoli → Gap Analysis
30.1.a), 30.2.a) → rappresentante del titolare o del responsabile
→ sussiste applicazione territoriale ex art. 3? → sussistono le ulteriori condizioni di cui all’art. 27? → Gap Analysis
30.1.a), 30.2.a) → DPO
→ applicabilità delle condizioni di cui all’art. 37.1 → Gap Analysis
30.1.b) → finalità
→ comprendere quali finalità e se sono lecite → Gap Analysis
30.1.c) → categorie di interessati
→ censire le categorie di interessati per ogni trattamento → Gap Analysis
→ concetto di trattamento

8. 8
Registri del trattamento – 2/2:
30.2.b) → categorie di dati personali
→ Censire quali tipologie di dati sono trattati → Gap Analysis
30.1.d) destinatari
→ comprendere esattamente l’ambito di circolazione → Gap Analysis
30.1.e), 30.2.c) → trasferimento extra UE + misure adeguate art. 49.1 2° sottoparagrafo
→ se e in quale misura vi è un trasferimento e se sono osservate le garanzie → Gap Analysis
30.1.f) conservazione
→ base giuridica+finalità → Gap Analysis
30.1.g) descrizione generale misure di sicurezza
→ Censimento delle misure di sicurezza (e dei relativi gap) → Gap Analysis

9. 9
DPIA:
 Valutazione delle condizioni in cui è necessaria
→ esame black list ed eventuale white list (quando disponibili) → Gap Analysis
→ esame sussistenza eccezione ex art. 35.10 → Gap Analysis
→ concetto di rischio probabile → Gap Analysis
→ valutazione dei 9 indici individuati nelle linee guida UE → Gap Analysis
 35.7.a) → trattamenti previsti, finalità, base giuridica→ Assessment
 35.7.b) → applicazione dei principi del trattamento→ Assessment
 35.7.c) → studio di logiche di riduzione del rischio e di criteri di bilanciamento → Assessment
 35.7.d) → misure previste, garanzie, meccanismi per assicurare protezione dati personali e dimostrare la
conformità, tenuto conto degli interessi legittimi degli interessati e delle altre persone in questione.
→ bilanciamento, valutazione di scenari, valutazione idoneità misure e garanzie → Assessment

10. CONTRATTUALIZZARE LA GAP ANALYSIS
Che cosa è opportuno richiedere e contrattualizzare in una Gap
Analysis?

11. 11
CONTENUTI CHE SI SUGGERISCE DI CONTRATTUALIZZARE – 1/2:
 Perimetro dell’analisi (includere unità locali, specificare quali società del gruppo)
 Mappatura dei flussi interni ed esterni
 Allocazione dei ruoli
 Individuazione dei trasferimenti extra UE/SEE
 Individuazione delle finalità, delle relative basi giuridiche, della tipologie di dati e di interessati
 Individuazione delle garanzie adeguate per i trasferimenti extra UE/SEE

12. 12
CONTENUTI CHE SI SUGGERISCE DI CONTRATTUALIZZARE – 2/2:
●
Coordinamento con Gap Analysis di altre società del gruppo
●
Indicazione sull’obbligatorietà o meno di tenere i Registri del trattamento
●
Indicazione sull’obbligatorietà o meno di procedere a DPIA
●
Indicazione sull’obbligatorietà o meno di designare il DPO
●
Valutazione della governance interna (incluse designazioni e istruzioni)
●
Valutazione delle misure di sicurezza, quantomeno di quelle più evidenti (sia IT, sia organizzative, sia
fisiche)
●
Valutazione della privacy by design (perimetro da definire con precisione)

13. GLI STRUMENTI CONCETTUALI
Oltre alla conoscenza dei provvedimenti del Garante italiano per la
protezione dei dati personali (entro i limiti di residua validità
concettuale), occorre quantomeno utilizzare le fonti europee rese
disponibili dal Gruppo di lavoro ex art. 29 (WP29)

14. 14
LINEE GUIDA EUROPEE e altri documenti:
 WP29 Working documents + recommendations su: BCR-C, BCR-P
 WP29 LG su: circolazione extra UE/SEE – deroghe ex art. 49
 WP29 LG su: consenso
 WP29 LG su: data breach
 WP29 LG su: DPIA
 WP29 LG su: DPO
 WP29 LG su: autorità capofila (one stop shop)
 WP29 LG su: diritto alla portabilità
 WP29 LG su: profilazione
 WP29 position paper su: registri di trattamento
 WP29 LG su: sanzioni amministrative
 WP29 LG su: trasparenza

15. 15
PRECEDENTI OPINIONI WP29:
 WP29 Op. 4/2007: Dati personali
 WP29 Op. 1/2010: Ruoli
 WP29 Op. 3/2010: Accountability
 WP29 Op. 4/2012 e Op. 2/2013: Cookie
 WP29 Op. 5/2012: Cloud computing
 WP29 Op. 3/2013: Purpose limitation
 WP29 Op. 3/2014: Data breach
 WP29 Op. 6/2014: Legitimate interest
 WP29 Op. 8/2014: IoT
 WP29 First annual report on Privacy Shield, 28.11.2017

16. COME SI PROCEDE ALLA VALUTAZIONE
Ma in concreto su che cosa si concentra l’assessment?
Proponiamo alcuni esempi

17. 17
ELEMENTI DA ESAMINARE IN UNA GAP ANALYSIS – DOCUMENTAZIONE 1/2:
Visura camerale
Contratti:
 Con fornitori (es. cloud computing)
 Con clienti (es. utenti dei siti Internet)
 Con dipendenti e collaboratori
Informative pregresse
Eventuali moduli del consenso
Documentazione e informazioni ricavabili dai siti Internet

18. 18
ELEMENTI DA ESAMINARE IN UNA GAP ANALYSIS – DOCUMENTAZIONE 2/2:
Policy, regolamenti, disciplinari interni
Eventuale adesione a codici di condotta, standard internazionali, certificazioni
Eventuale contenzioso o incidenti di sicurezza pregressi
Planimetrie (es. videosorveglianza)
Campioni di newsletter
Campioni di rapporti, relazioni, elaborati e altro materiale sviluppato per i clienti

19. 19
ELEMENTI DA ESAMINARE IN UNA GAP ANALYSIS – INDAGINI MIRATE:
 Questionari specifici per aree
 Intervista diretta (anche telefonica), in base alla posizione aziendale ricoperta
 Sopralluogo/ghi in situ
 Richieste di chiarimenti/informazioni a destinatari dei flussi di dati
Importante:
 ripetizione ciclica e affinamento di tutte le attività di cui sopra
 formazione minima degli intervistati al fine di ottenere risposte più mirate

20. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY: Tutti Compliant? …Tutti Compliant fino a prova contraria!
Grazie per l’attenzione
Avv. Enrico Pelino
Grieco Pelino Avvocati – Bologna
avv.enricopelino@griecopelino.com