PRIVACY Il principio di accountability e la gestione dei processi per la compliance al RegolamentoUE ROMA – PRIVACY DAY OTTOBRE 2016 ANDREA CHIOZZI

Attività  Accountability  PRIVACY BY DESIGN  La vacanza  Gli ambiti  Procedure  Impact assesment  DATA BREACH  Scenari Sommario

“accountability”

Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali puo ̀ comportare per i diritti e le liberta’ degli interessati. “accountability”

La responsabilizzazione passa dall’essere PRO ATTIVI “responsabilizzazione”

Le Aziende spesso sono “PIGRE” perché essere proattive significa spendere energie Spendere energie significa usare tempo e soldi “i soldi e il tempo sono sempre troppo pochi!” “LAZY”

Ai Dati personali che mi sono stati affidati come Azienda NON DEVE SUCCEDERE NULLA DI MALE RESPONSABILITA’ E TRATTARLI CON LA BUON CURA DEL PADRE DI FAMIGLIA Obiettivo “responsabilizzazione”

PRIVACY by DESIGN ART. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita “Il principio-chiave e’ «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. “ Garante COME?

“vacanze di Famiglia”  Come voglio divertirmi?  Con che agenzia di viaggi ?  Che veicolo voglio usare?  Quali i Rischi del viaggio?  Quali sono le vaccinazioni o i documenti obbligatori? Esempio Voglio andare in vacanza e ho come obiettivo di divertirmi in sicurezza con i figli. Le domande che mi faccio sono: CONSAPEVOLEZZA CON CHI CON CHE COSA COME COGENZE

Privacy by Design Cosa SIGNIFICA?  CHE DATI TRATTO e PERCHE’  SCELTA FORNITORI  SCELTA STRUMENTI  PROCEDURE/IMPACT ASSESMENT  COSA RISCHIO CONSAPEVOLEZZA CON CHI CON CHE COSA COME COGENZE

QUINDI? Sono tutte attività PRE e non POST, coinvolgono tutta l’azienda, Tutte le funzioni, tutti gli ambiti, dal Marketing alla Gestione Finanziaria passando per la Gestione del Personale

ALERT?  WEB  E-commerce  Analisi Profilata  App  Aree Intranet  Marketing  Seo

PRIVACY By Design  Credibilità con il Mercato(Reputation)  Fidelizzazione  Efficienza ed Efficacia  Gestione Attiva Non Passiva  Abbattimento del rischio Effetti collaterali

Il CAMBIAMENTO è epocale Ci hanno dato il TIMONE e ci permettono di scegliere quale rotta seguire “SCENARI?”

IMPACT ASSESMENT Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non puo ̀ attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorita ̀ di controllo.

IMPACT ASSESMENT La valutazione contiene almeno: – una descrizione sistematica dei trattamenti previsti e delle finalita ̀ del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; – una valutazione della necessita ̀ e proporzionalita ̀ dei trattamenti in relazione alle finalita ̀ ; – una valutazione dei rischi per i diritti e le liberta ̀ degli interessati di cui al paragrafo 1; – le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformita ̀ al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

ANALISI RISCHIO Si Parte da ISO/IEC 27001:2013 Sistemi di gestione della sicurezza delle informazioni Identificazione dei rischi; Analisi e valutazione; Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi; Assunzione del rischio residuo da parte del management; Definizione dello Statement of Applicability. Il Calcolo del Rischio può essere fatto attraverso varie metodologie non tutte sono adatte alla gestione dei dati personali in ambito Privacy

FOCUS

I RISCHI scaturiscono da Domanda: “COSA PUO’ SUCCEDERE AI MIEI DATI?”

FOCUS 1. Le misure di sicurezza da implementare devono essere dimensionate in funzione delle minacce. 2. L’organizzazione determina le proprie misure di sicurezza in relazione al fattore di rischio residuo che intende sostenere. 3. I criteri adottati possono essere: o Bilanciare il costo di sicurezza contro il valore dei beni da proteggere e gli obblighi di legge o Bilanciare i bisogni di sicurezza contro i bisogni del business o Bilanciare probabilità contro possibilità

Data Breach? Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorita ̀ nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le liberta ̀ delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

SCENARI? ANALISI COMPLETA SU EXCELTUTTO COMPRESO TOLTO DENTE TOLTO DOLORE

ŝraŭbi ĝi Grazie !