La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

G.D.P.R. – Sintesi e proposizione

Presentazioni simili


Presentazione sul tema: "G.D.P.R. – Sintesi e proposizione"— Transcript della presentazione:

1 G.D.P.R. – Sintesi e proposizione
Gruppo Telecom Italia G.D.P.R. – Sintesi e proposizione

2 Contenuto Elementi Normativi Obiettivi Cosa cambia nel regolamento
Il concetto di accountability Il sistema di gestione della Data Protection Ruoli aziendali connessi alla protezione dei dati personali Percorso di Adeguamento Ipotesi attività consulenziale nel percorso GDPR Proposizione commerciale Approfondimenti necessari

3 Elementi Normativi GPDR  Regolamento Generale sulla Protezione dei Dati (General Protection Data Regulation) REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE). Il Regolamento è entrato in vigore il 24 maggio 2016 e diventerà applicabile sia dalle imprese che dalle pubbliche amministrazioni, a partire dal 25 maggio 2018 dopo un periodo di transizione di 2 anni Il mancato rispetto delle norme del nuovo Regolamento può comportare multe fino a € 20 milioni o al 4% del fatturato globale. Regolamento

4 Obiettivi (1/2) Il GDPR, rispondendo all‘esigenza di garantire una maggiore sicurezza dei dati personali per il cittadino europeo, armonizza e supera le normative vigenti, in materia di trattamento dei dati personali negli Stati membri della Comunità Europea, con l’obiettivo di: uniformare i diritti dei cittadini su tutto il territorio dell’Unione definire i titolari del trattamento e l’applicabilità delle nuove regole determinare gli obblighi per i titolari di trattamento sul territorio dell’Unione Si tratta di un regolamento e non di una direttiva, per cui non richiede una legge nazionale ma è entrato in vigore immediatamente in tutta Europa con la pubblicazione sulla Gazzetta Europea, il 4 maggio 2016.

5 Obiettivi (2/2) OLD (Codice Privacy) NEW (GDPR) Incentrata sui diritti dell’interessato e prevedeva misure minime di sicurezza Si incentra sui doveri e le responsabilità del titolare del trattamento dei dati, definendo processi, attività, misure tecniche e organizzative, sanzioni e obblighi Si passa da una visione amministrativa/burocratica al concetto di accountability (responsabilizzazione). I titolari sono autonomi nel stabilire le modalità, garanzie e limiti del trattamento dei dati personali nel rispetto delle disposizioni normative indicati nel regolamento. La privacy diviene, pertanto, un processo di gestione e di protezione del dato specifico di ciascun trattamento effettuato con il fine di tutelare i diritti di tutte le parti interessate. Ad esempio, sarà abolito l’obbligo della notifica preventiva dei trattamenti al Garante, ovvero l’obbligo per le aziende di comunicare preventivamente eventuali azioni di trattamento di dati personali. A partire da maggio 2018, ci sarà l’onere di documentare attraverso un registro dei trattamenti le tipologie, finalità e metodologie di trattamento dei dati.

6 Cosa cambia nel regolamento

7 Il concetto di accountability

8 Il sistema di gestione della Data Protection

9 Ruoli aziendali connessi alla protezione dei dati personali
Titolare del trattamento Responsabile del trattamento Responsabile della Protezione dei Dati – Data Protection Officer Il responsabile del trattamento (nel GDPR data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Il titolare del trattamento, quindi, nomina uno o più responsabili mediante contratto o altro "atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento".  Il titolare del trattamento rimane, a sua volta, responsabile della gestione effettuata dai responsabili, dovendo garantire che le loro decisioni siano conformi alle leggi, e in particolare il titolare deve scegliere responsabili del trattamento che offrano garanzie sufficiente ed adeguate nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati personali.).  Obblighi del responsabile Il responsabile del trattamento ha obblighi specifici, quali: la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2, del Regolamento Generale); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un Data Protection Officer, nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). 

10 Percorso di Adeguamento
Assessment del modello GDPR AS IS  Analisi del modello AS IS, identificazione dei GAP e disegno della roadmap degli interventi, in sinergia ed integrando l’attuale sistema di gestione della privacy e della sicurezza

11 Ipotesi Attività consulenziale nel percorso GDPR
Scoprire dove risiedono i dati sensibili Verificare l’attuale modalità di gestione dei dati Adottare Misure di Sicurezza tecnologiche adeguate ad assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi Gestire e minimizzare le violazioni dei dati personali (data Breach) Predisporre soluzioni moderne e sostenibili nella fase di progettazione dei trattamenti («Privacy by design» e «Privacy by default»)

12 Proposizione commerciale (1/5)
Domande per aziende La mia azienda è pronta per la nuova normativa Europea sulla privacy? La mia azienda è pronta ad adeguarsi alle nuove norme e restare conforme? I processi di gestione dei dati della mia azienda sono conformi? Quanto può rischiare la mia azienda in termini di perdita di informazioni aziendali

13 Proposizione commerciale (2/5)
Ambito n.1 Scoprire dove risiedono i dati sensibili Regulatory Compliance (GDPR) Security Consulting Risk Analysis / Security BIA Security Governance Security Audit Security Assessment (Penetration Test, WAS) Security Assessment (Vulterability Assessment)

14 Proposizione commerciale (3/5)
Assessment L’Assessment consente di individuare, quantificare e monitorare i rischi legati all’esercizio dei sistemi informativi ed all’erogazione dei servizi verso terzi. Obiettivi Report di valutazione criticità delle informazioni Report di valutazione delle minacce Report di valutazione delle vulnerabiltà Durata da 1 a 5 gg

15 Proposizione commerciale (4/5)
GDPR Compliance Verifica della conformità - rispetto alla nuova normativa privacy europea (GDPR) - dei trattamenti di dati effettuati nell’ambito dell’esercizio dei sistemi ICT Obiettivi Mappatura delle informazioni riguardanti il trattamento dei dati personali e/o sensibili Analisi dei rischi Piano di trattamento dei rischi con eventuale identificazione delle contromisure da implementare Durata da 2 a 5 gg

16 Proposizione commerciale (5/5)
Principali ambiti di analisi

17 Approfondimenti necessari
Cosa viene richiesto: articolo dal 40 al 43 Codice di condotta (40 e 41) Certificazioni necessarie (42 e 43) Principali articoli sul trattamento Articolo 24 – Responsabilità del titolare del trattamento Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita Articolo 28 – Responsabile del trattamento Articolo 32 – Sicurezza del trattamento


Scaricare ppt "G.D.P.R. – Sintesi e proposizione"

Presentazioni simili


Annunci Google