Materiali presentati al workshop "Comuni piemontesi attrezzati per il GDPR - Istruzioni per l'uso" organizzato da Regione Piemonte con CSI Piemonte

1. PIATTAFORMA PRIVACYLAB GDPR
ANDREA CHIOZZI
Comitato Privacy & Gdpr
Fondazione Torino Wireless

2. • Soluzioni adatte alle specifiche situazioni e in grado di garantire la piena coerenza con
la normativa a costi commisurati alla dimensione / complessità
• Consulenti e sistemi di assessment e valutazione certificati e assicurati
• Facilità di approccio grazie agli strumenti online: wizard e piattaforma
• Verifica sulle 3 dimensioni:
– Documentale (presenza e correttezza dei documenti richiesti dal regolamento)
– Organizzativa (processi e attori coinvolti)
– Informatica (sistemi IT utilizzati e relativa conformità rispetto al regolamento)
La proposta di Torino Wireless by PrivacyLab

3. Perché Torino Wireless
Mette a disposizione un team di
auditor certificati, mediante
l’utilizzo della piattaforma in cloud
PrivacyLab,
Esperienza e competenza nella
gestione di processi di supporto a
cluster di imprese e a soggetti
pubblici
Organismo privato di diritto
pubblico
Propositore del modello di servizio
certificato e assicurato by
PrivacyLAb

4. L’unico SW in cloud, sviluppato da MetisLab Srl, che garantisce:
 Aggiornamento costante rispetto al Regolamento GDPR (RU 16/679)
 Certificazione di conformità al Regolamento
 Assicurazione contro ogni errore tecnico da CBL Insurance Europe
Privacy Lab: il valore della Piattaforma
www.privacylab.it
Che cosa fa:
1
2
3
Guida il processo di Valutazione dei Rischi, supportando la determinazione delle misure necessarie per
la mitigazione degli stessi
Supporta il Monitoraggio dell’intero processo di trattamento dei dati e di tenere sempre sotto controllo
la struttura organizzativa
Genera tutta la documentazione necessaria (Registro dei Trattamenti, DPIA, atti di nomina, contratti,
informative, cookie policy, …)
Compreso nel servizio di Audit / Consulenza erogato da Torino Wireless

5. La Piattaforma PrivacyLab

6. Il wizard: uno strumento in più
• Un tool semplice di self assessment
• Non richiede competenze tecniche specifiche e guida la valutazione sulle
caratteristiche della PMI
• Permette di avere una visione chiara delle eventuali criticità
• Offre una base di interlocuzione autorevole per valutare ed attivare
interventi successivi
Torino Wireless, in collaborazione con MetisLab Srl, mette gratuitamente a
disposizione dei soggetti – Enti e Imprese – un Wizardper individuare
rapidamente il loro posizionamento rispetto al GDPR
‐

7. Il Wizard – 20 minuti per fare il 1° punto

8. Un intervento suddiviso in fasi, ciascuna definita (tempi, costi) con deliverable certi e in
grado di accelerare le fasi successive
Il processo per il servizio GDPR
Metodologia, competenze, deliverable sono certificati e assicurati
•Analisi stato corrente
•Identificazione
trattamenti e dati
•Definizione gap e
situazioni di non
conformità vs GDPR
1. Audit
•Produzione di tutti i
documenti obbligatori
•Privacy by design e DPIA
•Definizione delle misure
di mitigazione lungo i 3
assi:
‐ IT / tecnologie
‐ Organizzazione / processi
‐ Legale
2. Consulenza •Supporto (PM) per
armonizzazione e
integrazione interventi
sui tre livelli
•Formazione
•Monitoraggio /
aggiornamento continuo
•Supporto DPO
3.
Implementazione
Audit
Report
Documentazione
Remediation Plan
Privacy by design
e DPIA

9. Verifica della conformità rispetto al GDPR:
1. Censimento dei dati e dei relativi trattamenti: analisi dei dati trattati in azienda e verifica
di quelli interessati al trattamento GDPR
2. Addetti Privacy: definizione dei ruoli ricoperti da chiunque operi sui dati personali, sia
direttamente (ad es. elaborandoli, modificandoli), sia indirettamente (ad esempio chi
effettua i back‐up)
3. Misure adottate: analisi delle misure adottate dall'azienda per garantire la sicurezza ed il
corretto trattamento dei dati, evidenziando le misure minime di sicurezza previste.
Il servizio richiede il coinvolgimento del management aziendale nelle giornate di avvio dell’Audit
e in quella di restituzione dei report finali e delle raccomandazioni
1. Audit di conformità GDPR
Il deliverable è rappresentato dal report di conformità

10. PrivacyLab – una interfaccia amichevole

11. Fornitura della documentazione obbligatoria GDPR basata sulle analisi di dettaglio
eseguite nella verifica di conformità GDPR ed è quindi specificatamente definita per il
Cliente. Tutta la documentazione è garantita GDPR compliant e assicurata in caso di
errori e rimane sempre memorizzata e tracciata sul sistema PrivacyLab.
La documentazione comprende:
• Registro del trattamento dei dati
• Informative per ogni trattamento
• Consensi
• Nomine (addetti e responsabili)
2. Documentazione GDPR
Il deliverable è rappresentato dai documenti GDPR

13. Il Registro dei Trattamenti

14. Informative

15. La valutazione di impatto (DPIA) rappresenta uno degli elementi di maggiore rilevanza
nel nuovo quadro normativo del GDPR, una buona prassi al di là dei casi di
obbligatorietà di legge e permette di realizzare concretamente un principio
fondamentale del GDPR, ossia la protezione dei dati fin dalla fase di progettazione
(Privacy by design).
Il servizio descrive un trattamento di dati per valutarne la necessità e la proporzionalità
nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Il servizio
analizza le informazioni relative a:
• Analisi dei rischi
• Piano di compliance
• Piano di formazione
3. Privacy by design
Il deliverable è rappresentato dal report di analisi dei risci e da quello DPIA
per i trattamenti che lo necessitano

16. 16
Data Privacy Impact Assesment – il processo
Descrizione
del trattamento
Valutazione
Necessità e
proporzionalità
Valutazione Rischi
Analisi del rischio
residuo
Misure Previste
Misure Tecniche
logiche ed
organizzative
Documentazione
Dimostrare di avere
abbattuto rischio

17. Data Privacy Impact Assesment ‐ online

18. Il servizio di formazione è volto a
fornire le competenze utili del GDPR
per i dipendenti, per la forza vendita,
per il management, affrontando le
tematiche principali necessarie per una
corretta comprensione del GDPR, della
sua implementazione, gestione e
manutenzione.
Formazione e DPO
Il supporto DPO fornisce il
supporto per chiarire la figura del
DPO, le sue caratteristiche e i suoi
compiti, l’obbligatorietà o
l’opportunità di nominarlo e le
modalità migliori per farlo.
‐ Strettamente riservato e non divulgabile ‐

19. 19
DPO
informare e fornire consulenza al
titolare del trattamento
trattamento o al responsabile del trattamento
nonché ai dipendenti che eseguono il trattamento in
merito agli obblighi derivanti dal presente
regolamento nonché da altre disposizioni
dell'Unione o degli Stati membri relative alla
protezione dei dati
sorvegliare l'osservanza del presente
regolamento
di altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati nonché delle politiche
del titolare del trattamento o del responsabile del
trattamento in materia di protezione dei dati
personali, compresi l'attribuzione delle responsabilità,
la sensibilizzazione e la formazione del personale che
partecipa ai trattamenti e alle connesse attività di
controllo;
fornire, se richiesto, un parere in
merito alla valutazione d'impatto
sorvegliarne lo svolgimento ai sensi dell'articolo 35
Cooperare con autorità di controllo
per questioni connesse al trattamento, tra cui la
consultazione preventiva di cui all'articolo 36, ed
effettuare, se del caso, consultazioni relativamente a
qualunque altra questione.
Data Breach
Coopera e gestisce violazioni relativi al Data Breach

20. Le Garanzie PrivacyLab

21. 21
Minacce versus Contromisure
VALORE
Bilanciare il costo
di sicurezza contro
il valore dei beni da
proteggere e gli
obblighi di legge
BISOGNO
Bilanciare i bisogni
di sicurezza contro
i bisogni del
business
BILANCIA
Bilanciare
probabilità contro
possibilità

22. Grazie!
gdpr@torinowireless.it