2. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Sommario Generale
2
Accountability e
compliance
Nuovo approccio
Valutazione di
adeguatezza
Apprezzamento del
rischio
1 2 3 4 5 6
By design e
Aree a rischio elevato
Conclusioni
3. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Accountability e compliance
3
1
4. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Responsabilizzazione e sistema di conformità
4
Accountability Compliance
6. Dall’approccio prescrittivo alla responsabilizzazione
6
Si richiede la capacità dell’azienda Titolare di effettuare un’adeguata valutazione del rapporto tra
rischi individuati e misure tecnico-organizzative adottate e di dimostrarlo.
ACCOUNTABILITY
1
Focus nelle prossime
slide
2. RISCHIO 3. MISURE
1. ACCOUNTABILITY
4. VALUTAZIONE DI ADEGUATEZZA
7. Nuovo approccio: implicazioni per le aziende
7
Capacità di monitorare determinazioni e valutazioni adottando correttivi
tempestivi, a garanzia della costante adeguatezza.
AGGIORNAMENTO
Capacità di determinare probabilità/gravità del rischio in relazione a:
Natura
Contesto
Finalità
Scala
Capacità di valutare il rischio presunto riguardo a interessi/diritti degli
interessati.
RISCHIO
Capacità di commisurare le misure tecnico/organizzative al
livello del rischio individuato.
ADEGUATEZZA
3 sfide
per le aziende
!
8. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Valutazione di adeguatezza
8
3
9. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Valutazione di adeguatezza
9
Il regolamento richiede al Titolare di effettuare valutazioni di adeguatezza
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
Ambito di applicazione materiale
Ambito di applicazione territoriale
Liceità del trattamento
Condizioni per il consenso
Esercizio dei diritti
Informativa
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
Diritto di limitazione di trattamento
Obbligo di notifica a terzi destinatari
Diritto alla portabilità
Diritto di opposizione
Processo decisionale automatizzato
Responsabilità del titolare
By design e by default
Contitolari
Rappresentanti nello stato UE
Responsabile del trattamento
Trattamento sotto l’autorità
Registri del trattamento
Sicurezza del trattamento
Data breach
Notifica di data breach
DPIA
Consultazione preventiva
Designazione DPO
Posizione e compiti DPO
Codici di condotta
Certificazione
Trasferimenti di dati all’estero
Garanzie adeguate per trasferimenti
esteri
QUANDO?
10. @Ros_Imperiali
Valutazione di adeguatezza
10
Valutazione di adeguatezza ovunque nel GDPR
Per il livello di sicurezza da
garantire (art. 32).
SICUREZZA
Per la scelta delle misure
da attuare (artt. 6 e 24).
MISURE TECNICO-ORGANIZZATIVE
Per corretta informazione all’interessato e
facilitare esercizio diritti (artt. 12, 14 e 28).
TRASPARENZA
Per la scelta appropriata
dei responsabili (art. 28).
RESPONSABILI
Per conformità a prescrizioni in fase di progettazione
e per protezione dati come impostazione predefinita (art. 25).
BY DESIGN & BY DEFAULT
Altri casi sono la valutazione d’impatto, le decisioni automatizzate, la profilazione, il data breach.
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
11. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Apprezzamento del rischio
11
4
12. @Ros_Imperiali
Approccio basato sul rischio
12
Il Regolamento affianca alla modalità prescrittiva un’ampia disciplina tarata sul rischio.
Valutazione di adeguatezza
Dovuta in presenza di rischi elevati
(art. 35),
e se il rischio non è attenuato
scatta la consultazione preventiva al
Garante
Rischio
Probabilità/gravità riguardo a:
Natura, Ambito applicazione,
Contesto, Finalità trattamento
Sicurezza
È adeguata al rischio
(art. 32)
Data Breach
Le implicazioni
dipendono dal rischio
(artt.33/34)
Consultazione Preventiva
Dell’Autorità è dovuta
in presenza di rischi residui elevati
(art. 36)
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
Valutazione d’impatto
Focus nelle
prossime
slide !
13. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Gestione del rischio
data protection come soglia
13
RISCHIO
INCIDE SU
Obbligo di tenuta del
Registro trattamenti
(art. 30.5)
Rapporto
Titolare/Responsabile
[Considerando (81)]
Compiti del DPO
(art. 39.2)
Responsabilità
(art. 24)
Nomina del
Rappresentante nazionale
(art. 27)
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
!
14. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
By design ed Aree a rischio
elevato
14
5
15. 15
Senior Management
Business/IT Project
manager
GDPR team + DPO DPO
Inizio
mappatura
Inizio nuovo
progetto
Sintetizza caratteristiche
dell’area
Definisce requisiti di
progetto
Compila scheda
caratteristiche GDPR
Valuta l’impatto GDPR
critico
Convalida
Aggiorna il registro delle
verifiche
No, basso
Si, medio/ alto
Esegue DPIA con misure
di mitigazione
Compila scheda requisiti
GDPR
|
Definisce piano d’azione
alto
medio
Requisiti di area
/progetto definiti
Richiede GO a Sr MGT
per continuare
Gestisce piano d’azione
Go/
No Go
Si
No
stop
Il processo integrato di mappatura e by design
16. Valutazione d’impatto:
modalità operative
16
La pronta identificazione e la gestione dei rischi relativi alla protezione dei dati
Risoluzione gap potenziali in termini di compliance e sicurezza evitando, quindi, perdita di fiducia e
danni reputazionali
Principali benefici della DPIA
Fase 1
Si determina se sia necessaria la DPIA:
Raccolta di informazioni sul progetto
Decisione su ingaggio di stakeholder
Identificazione e valutazione del rischio
Identificazione opzioni per evitare o
mitigare il rischio
Fase 2
Preparazione del DPIA report
Stesura delle raccomandazioni
Monitoraggio raccomandazioni
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
DPIA
17. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Valutazione d’impatto:
Consultazione preventiva
17
Se DPIA attesta che, in assenza di misure,
meccanismi, garanzie di riduzione del rischio,
permangono rischi elevati, ragionevolmente
non mitigabili
Risponde entro 8+6 settimane al Titolare o
Responsabile per iscritto
TITOLARE
GARANTE
Rif::
(94)
Art. 36
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
Consultazione
preventiva
DPIA
19. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Avv. Rosario Imperiali
Gruppo Imperiali
rosario.imperiali@imperiali.com
Ros_Imperiali
Rosario Imperiali
Rosario Imperiali
1 Con il GDPR si è passati dall’approccio prescrittivo a quello della
responsabilizzazione.
2
Accountability e sistema aziendale di compliance al GDPR sono
due facce della stessa medaglia.
3
Il GDPR richiede una diffusa valutazione di adeguatezza. Spetta
all’azienda valutare in autonomia l’impatto che l’uso dei dati
personali determina.
4
Tramite la valutazione, l’azienda Titolare adotta le misure
adeguate per il contenimento del rischio: quindi il rischio è il driver
della compliance.
5
Mappatura dei trattamenti e compliance in fase progettuale si
integrano vicendevolmente consentendo all’azienda di attuare
con efficacia il sistema interno di conformità.