SlideShare ist ein Scribd-Unternehmen logo

Rosario Imperiali - Identificazione e valutazione del rischio

Andrea Sorba
Andrea Sorba

Rosario Imperiali - Identificazione e valutazione del rischio Regolamento Privacy UE 2016/679

Recht
1 von 19
Downloaden Sie, um offline zu lesen
@Ros_Imperiali GDPR Identificazione e valutazione del rischio 22 giugno 2017 Rosario Imperiali Gruppo Imperiali
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Sommario Generale 2 Accountability e compliance Nuovo approccio Valutazione di adeguatezza Apprezzamento del rischio 1 2 3 4 5 6 By design e Aree a rischio elevato Conclusioni
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Accountability e compliance 3 1
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Responsabilizzazione e sistema di conformità 4 Accountability Compliance
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Nuovo approccio 5 2
Dall’approccio prescrittivo alla responsabilizzazione 6  Si richiede la capacità dell’azienda Titolare di effettuare un’adeguata valutazione del rapporto tra rischi individuati e misure tecnico-organizzative adottate e di dimostrarlo. ACCOUNTABILITY 1 Focus nelle prossime slide 2. RISCHIO 3. MISURE 1. ACCOUNTABILITY 4. VALUTAZIONE DI ADEGUATEZZA
Nuovo approccio: implicazioni per le aziende 7 Capacità di monitorare determinazioni e valutazioni adottando correttivi tempestivi, a garanzia della costante adeguatezza. AGGIORNAMENTO Capacità di determinare probabilità/gravità del rischio in relazione a:  Natura  Contesto  Finalità  Scala Capacità di valutare il rischio presunto riguardo a interessi/diritti degli interessati. RISCHIO Capacità di commisurare le misure tecnico/organizzative al livello del rischio individuato. ADEGUATEZZA 3 sfide per le aziende !
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Valutazione di adeguatezza 8 3
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Valutazione di adeguatezza 9 Il regolamento richiede al Titolare di effettuare valutazioni di adeguatezza 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Ambito di applicazione materiale Ambito di applicazione territoriale Liceità del trattamento Condizioni per il consenso Esercizio dei diritti Informativa Diritto di accesso Diritto di rettifica Diritto alla cancellazione Diritto di limitazione di trattamento Obbligo di notifica a terzi destinatari Diritto alla portabilità Diritto di opposizione Processo decisionale automatizzato Responsabilità del titolare By design e by default Contitolari Rappresentanti nello stato UE Responsabile del trattamento Trattamento sotto l’autorità Registri del trattamento Sicurezza del trattamento Data breach Notifica di data breach DPIA Consultazione preventiva Designazione DPO Posizione e compiti DPO Codici di condotta Certificazione Trasferimenti di dati all’estero Garanzie adeguate per trasferimenti esteri QUANDO?
@Ros_Imperiali Valutazione di adeguatezza 10 Valutazione di adeguatezza ovunque nel GDPR Per il livello di sicurezza da garantire (art. 32). SICUREZZA Per la scelta delle misure da attuare (artt. 6 e 24). MISURE TECNICO-ORGANIZZATIVE Per corretta informazione all’interessato e facilitare esercizio diritti (artt. 12, 14 e 28). TRASPARENZA Per la scelta appropriata dei responsabili (art. 28). RESPONSABILI Per conformità a prescrizioni in fase di progettazione e per protezione dati come impostazione predefinita (art. 25). BY DESIGN & BY DEFAULT Altri casi sono la valutazione d’impatto, le decisioni automatizzate, la profilazione, il data breach. 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Apprezzamento del rischio 11 4
@Ros_Imperiali Approccio basato sul rischio 12 Il Regolamento affianca alla modalità prescrittiva un’ampia disciplina tarata sul rischio. Valutazione di adeguatezza Dovuta in presenza di rischi elevati (art. 35), e se il rischio non è attenuato scatta la consultazione preventiva al Garante Rischio Probabilità/gravità riguardo a: Natura, Ambito applicazione, Contesto, Finalità trattamento Sicurezza È adeguata al rischio (art. 32) Data Breach Le implicazioni dipendono dal rischio (artt.33/34) Consultazione Preventiva Dell’Autorità è dovuta in presenza di rischi residui elevati (art. 36) 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Valutazione d’impatto Focus nelle prossime slide !
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Gestione del rischio data protection come soglia 13 RISCHIO INCIDE SU Obbligo di tenuta del Registro trattamenti (art. 30.5) Rapporto Titolare/Responsabile [Considerando (81)] Compiti del DPO (art. 39.2) Responsabilità (art. 24) Nomina del Rappresentante nazionale (art. 27) 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA !
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali By design ed Aree a rischio elevato 14 5
15 Senior Management Business/IT Project manager GDPR team + DPO DPO Inizio mappatura Inizio nuovo progetto Sintetizza caratteristiche dell’area Definisce requisiti di progetto Compila scheda caratteristiche GDPR Valuta l’impatto GDPR critico Convalida Aggiorna il registro delle verifiche No, basso Si, medio/ alto Esegue DPIA con misure di mitigazione Compila scheda requisiti GDPR | Definisce piano d’azione alto medio Requisiti di area /progetto definiti Richiede GO a Sr MGT per continuare Gestisce piano d’azione Go/ No Go Si No stop Il processo integrato di mappatura e by design
Valutazione d’impatto: modalità operative 16  La pronta identificazione e la gestione dei rischi relativi alla protezione dei dati  Risoluzione gap potenziali in termini di compliance e sicurezza evitando, quindi, perdita di fiducia e danni reputazionali Principali benefici della DPIA Fase 1 Si determina se sia necessaria la DPIA:  Raccolta di informazioni sul progetto  Decisione su ingaggio di stakeholder  Identificazione e valutazione del rischio  Identificazione opzioni per evitare o mitigare il rischio Fase 2  Preparazione del DPIA report  Stesura delle raccomandazioni  Monitoraggio raccomandazioni 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA DPIA
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Valutazione d’impatto: Consultazione preventiva 17  Se DPIA attesta che, in assenza di misure, meccanismi, garanzie di riduzione del rischio, permangono rischi elevati, ragionevolmente non mitigabili  Risponde entro 8+6 settimane al Titolare o Responsabile per iscritto TITOLARE GARANTE Rif:: (94) Art. 36 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Consultazione preventiva DPIA
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Conclusioni 18 6
GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Avv. Rosario Imperiali Gruppo Imperiali rosario.imperiali@imperiali.com Ros_Imperiali Rosario Imperiali Rosario Imperiali 1 Con il GDPR si è passati dall’approccio prescrittivo a quello della responsabilizzazione. 2 Accountability e sistema aziendale di compliance al GDPR sono due facce della stessa medaglia. 3 Il GDPR richiede una diffusa valutazione di adeguatezza. Spetta all’azienda valutare in autonomia l’impatto che l’uso dei dati personali determina. 4 Tramite la valutazione, l’azienda Titolare adotta le misure adeguate per il contenimento del rischio: quindi il rischio è il driver della compliance. 5 Mappatura dei trattamenti e compliance in fase progettuale si integrano vicendevolmente consentendo all’azienda di attuare con efficacia il sistema interno di conformità.

Empfohlen

Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guidaOrdine Ingegneri Lecco
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 

Empfohlen

Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guidaOrdine Ingegneri Lecco
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
Risk Management
Risk Management Risk Management
Risk Management Luigi Grosso
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)William Zisa
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
Customer Insight e Social Analytics. Dai Big Data ai Relevant Data
Customer Insight e Social Analytics. Dai Big Data ai Relevant DataCustomer Insight e Social Analytics. Dai Big Data ai Relevant Data
Customer Insight e Social Analytics. Dai Big Data ai Relevant Dataduepuntozeroresearch
 
Customer insight e social analytics. dai big data ai relevant data
Customer insight e social analytics. dai big data ai relevant dataCustomer insight e social analytics. dai big data ai relevant data
Customer insight e social analytics. dai big data ai relevant dataFederico Capeci
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Sei pronto per il GDPR?
Sei pronto per il GDPR?Sei pronto per il GDPR?
Sei pronto per il GDPR?ITLgroup_hu
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
DM MEF 5 agosto 2019
DM MEF 5 agosto 2019DM MEF 5 agosto 2019
DM MEF 5 agosto 2019Andrea Sorba
 
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017Andrea Sorba
 

Weitere ähnliche Inhalte

Ähnlich wie Rosario Imperiali - Identificazione e valutazione del rischio

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)William Zisa
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
Customer Insight e Social Analytics. Dai Big Data ai Relevant Data
Customer Insight e Social Analytics. Dai Big Data ai Relevant DataCustomer Insight e Social Analytics. Dai Big Data ai Relevant Data
Customer Insight e Social Analytics. Dai Big Data ai Relevant Dataduepuntozeroresearch
 
Customer insight e social analytics. dai big data ai relevant data
Customer insight e social analytics. dai big data ai relevant dataCustomer insight e social analytics. dai big data ai relevant data
Customer insight e social analytics. dai big data ai relevant dataFederico Capeci
 
Sei pronto per il GDPR?
Sei pronto per il GDPR?Sei pronto per il GDPR?
Sei pronto per il GDPR?ITLgroup_hu
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 

Ähnlich wie Rosario Imperiali - Identificazione e valutazione del rischio (20)

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
Risk Management
Risk Management Risk Management
Risk Management
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
 
Customer Insight e Social Analytics. Dai Big Data ai Relevant Data
Customer Insight e Social Analytics. Dai Big Data ai Relevant DataCustomer Insight e Social Analytics. Dai Big Data ai Relevant Data
Customer Insight e Social Analytics. Dai Big Data ai Relevant Data
 
Customer insight e social analytics. dai big data ai relevant data
Customer insight e social analytics. dai big data ai relevant dataCustomer insight e social analytics. dai big data ai relevant data
Customer insight e social analytics. dai big data ai relevant data
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
Sei pronto per il GDPR?
Sei pronto per il GDPR?Sei pronto per il GDPR?
Sei pronto per il GDPR?
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 

Mehr von Andrea Sorba

DM MEF 5 agosto 2019
DM MEF 5 agosto 2019DM MEF 5 agosto 2019
DM MEF 5 agosto 2019Andrea Sorba
 
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017Andrea Sorba
 
All. 2 Lettera al mercato Ivass POG I presidi per i distributori
All. 2 Lettera al mercato Ivass POG I presidi per i distributoriAll. 2 Lettera al mercato Ivass POG I presidi per i distributori
All. 2 Lettera al mercato Ivass POG I presidi per i distributoriAndrea Sorba
 
All. 1 Lettera al mercato Ivass POG I presidi per i produttori
All. 1 Lettera al mercato Ivass POG I presidi per i produttoriAll. 1 Lettera al mercato Ivass POG I presidi per i produttori
All. 1 Lettera al mercato Ivass POG I presidi per i produttoriAndrea Sorba
 
Ivass Lettera al Mercato POG del 4 settembre 2017
Ivass Lettera al Mercato POG del 4 settembre 2017Ivass Lettera al Mercato POG del 4 settembre 2017
Ivass Lettera al Mercato POG del 4 settembre 2017Andrea Sorba
 
INAPP XVII Rapporto sulla Formazione Continua
INAPP XVII Rapporto sulla Formazione ContinuaINAPP XVII Rapporto sulla Formazione Continua
INAPP XVII Rapporto sulla Formazione ContinuaAndrea Sorba
 
Decisione ACF n. 22 del 18 luglio 2017
Decisione ACF n. 22 del 18 luglio 2017Decisione ACF n. 22 del 18 luglio 2017
Decisione ACF n. 22 del 18 luglio 2017Andrea Sorba
 
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...Andrea Sorba
 
Decisione n. 10 del 23 giugno 2017
Decisione n. 10 del 23 giugno 2017Decisione n. 10 del 23 giugno 2017
Decisione n. 10 del 23 giugno 2017Andrea Sorba
 
Decisione ACF n. 9 del 23 giugno 2017
Decisione ACF n. 9 del 23 giugno 2017Decisione ACF n. 9 del 23 giugno 2017
Decisione ACF n. 9 del 23 giugno 2017Andrea Sorba
 
Decisione ACF n. 8 del 23 giugno 2017
Decisione ACF n. 8 del 23 giugno 2017Decisione ACF n. 8 del 23 giugno 2017
Decisione ACF n. 8 del 23 giugno 2017Andrea Sorba
 
Decisione ACF n. 7 del 23 giugno 2017
Decisione ACF n. 7 del 23 giugno 2017Decisione ACF n. 7 del 23 giugno 2017
Decisione ACF n. 7 del 23 giugno 2017Andrea Sorba
 
Alessandro Del Ninno - Gli aspetti operativi della videosorveglianza
Alessandro Del Ninno - Gli aspetti operativi della videosorveglianzaAlessandro Del Ninno - Gli aspetti operativi della videosorveglianza
Alessandro Del Ninno - Gli aspetti operativi della videosorveglianzaAndrea Sorba
 
Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...
Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...
Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...Andrea Sorba
 
DPCM 23 maggio 2017, n. 88
DPCM 23 maggio 2017, n. 88DPCM 23 maggio 2017, n. 88
DPCM 23 maggio 2017, n. 88Andrea Sorba
 
DPCM 23 maggio 2017, n. 87
DPCM 23 maggio 2017, n. 87DPCM 23 maggio 2017, n. 87
DPCM 23 maggio 2017, n. 87Andrea Sorba
 
Lettera al mercato Ivass del 5 giugno 2017
Lettera al mercato Ivass del 5 giugno 2017Lettera al mercato Ivass del 5 giugno 2017
Lettera al mercato Ivass del 5 giugno 2017Andrea Sorba
 
Decisione ACF n. 6/2017
Decisione ACF n. 6/2017Decisione ACF n. 6/2017
Decisione ACF n. 6/2017Andrea Sorba
 
Decisione ACF n. 5/2017
Decisione ACF n. 5/2017Decisione ACF n. 5/2017
Decisione ACF n. 5/2017Andrea Sorba
 

Mehr von Andrea Sorba (20)

DM MEF 5 agosto 2019
DM MEF 5 agosto 2019DM MEF 5 agosto 2019
DM MEF 5 agosto 2019
 
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017
 
All. 2 Lettera al mercato Ivass POG I presidi per i distributori
All. 2 Lettera al mercato Ivass POG I presidi per i distributoriAll. 2 Lettera al mercato Ivass POG I presidi per i distributori
All. 2 Lettera al mercato Ivass POG I presidi per i distributori
 
All. 1 Lettera al mercato Ivass POG I presidi per i produttori
All. 1 Lettera al mercato Ivass POG I presidi per i produttoriAll. 1 Lettera al mercato Ivass POG I presidi per i produttori
All. 1 Lettera al mercato Ivass POG I presidi per i produttori
 
Ivass Lettera al Mercato POG del 4 settembre 2017
Ivass Lettera al Mercato POG del 4 settembre 2017Ivass Lettera al Mercato POG del 4 settembre 2017
Ivass Lettera al Mercato POG del 4 settembre 2017
 
INAPP XVII Rapporto sulla Formazione Continua
INAPP XVII Rapporto sulla Formazione ContinuaINAPP XVII Rapporto sulla Formazione Continua
INAPP XVII Rapporto sulla Formazione Continua
 
Decisione ACF n. 22 del 18 luglio 2017
Decisione ACF n. 22 del 18 luglio 2017Decisione ACF n. 22 del 18 luglio 2017
Decisione ACF n. 22 del 18 luglio 2017
 
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...
 
Decisione n. 10 del 23 giugno 2017
Decisione n. 10 del 23 giugno 2017Decisione n. 10 del 23 giugno 2017
Decisione n. 10 del 23 giugno 2017
 
Decisione ACF n. 9 del 23 giugno 2017
Decisione ACF n. 9 del 23 giugno 2017Decisione ACF n. 9 del 23 giugno 2017
Decisione ACF n. 9 del 23 giugno 2017
 
Decisione ACF n. 8 del 23 giugno 2017
Decisione ACF n. 8 del 23 giugno 2017Decisione ACF n. 8 del 23 giugno 2017
Decisione ACF n. 8 del 23 giugno 2017
 
Decisione ACF n. 7 del 23 giugno 2017
Decisione ACF n. 7 del 23 giugno 2017Decisione ACF n. 7 del 23 giugno 2017
Decisione ACF n. 7 del 23 giugno 2017
 
Alessandro Del Ninno - Gli aspetti operativi della videosorveglianza
Alessandro Del Ninno - Gli aspetti operativi della videosorveglianzaAlessandro Del Ninno - Gli aspetti operativi della videosorveglianza
Alessandro Del Ninno - Gli aspetti operativi della videosorveglianza
 
Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...
Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...
Filippo Parrella I servizi di consulenza e i consulenti finanziari abilitati ...
 
DPCM 23 maggio 2017, n. 88
DPCM 23 maggio 2017, n. 88DPCM 23 maggio 2017, n. 88
DPCM 23 maggio 2017, n. 88
 
DPCM 23 maggio 2017, n. 87
DPCM 23 maggio 2017, n. 87DPCM 23 maggio 2017, n. 87
DPCM 23 maggio 2017, n. 87
 
Lettera al mercato Ivass del 5 giugno 2017
Lettera al mercato Ivass del 5 giugno 2017Lettera al mercato Ivass del 5 giugno 2017
Lettera al mercato Ivass del 5 giugno 2017
 
Legge n. 81/2017
Legge n. 81/2017Legge n. 81/2017
Legge n. 81/2017
 
Decisione ACF n. 6/2017
Decisione ACF n. 6/2017Decisione ACF n. 6/2017
Decisione ACF n. 6/2017
 
Decisione ACF n. 5/2017
Decisione ACF n. 5/2017Decisione ACF n. 5/2017
Decisione ACF n. 5/2017
 

Rosario Imperiali - Identificazione e valutazione del rischio

  • 1. @Ros_Imperiali GDPR Identificazione e valutazione del rischio 22 giugno 2017 Rosario Imperiali Gruppo Imperiali
  • 2. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Sommario Generale 2 Accountability e compliance Nuovo approccio Valutazione di adeguatezza Apprezzamento del rischio 1 2 3 4 5 6 By design e Aree a rischio elevato Conclusioni
  • 3. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Accountability e compliance 3 1
  • 4. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Responsabilizzazione e sistema di conformità 4 Accountability Compliance
  • 5. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Nuovo approccio 5 2
  • 6. Dall’approccio prescrittivo alla responsabilizzazione 6  Si richiede la capacità dell’azienda Titolare di effettuare un’adeguata valutazione del rapporto tra rischi individuati e misure tecnico-organizzative adottate e di dimostrarlo. ACCOUNTABILITY 1 Focus nelle prossime slide 2. RISCHIO 3. MISURE 1. ACCOUNTABILITY 4. VALUTAZIONE DI ADEGUATEZZA
  • 7. Nuovo approccio: implicazioni per le aziende 7 Capacità di monitorare determinazioni e valutazioni adottando correttivi tempestivi, a garanzia della costante adeguatezza. AGGIORNAMENTO Capacità di determinare probabilità/gravità del rischio in relazione a:  Natura  Contesto  Finalità  Scala Capacità di valutare il rischio presunto riguardo a interessi/diritti degli interessati. RISCHIO Capacità di commisurare le misure tecnico/organizzative al livello del rischio individuato. ADEGUATEZZA 3 sfide per le aziende !
  • 8. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Valutazione di adeguatezza 8 3
  • 9. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Valutazione di adeguatezza 9 Il regolamento richiede al Titolare di effettuare valutazioni di adeguatezza 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Ambito di applicazione materiale Ambito di applicazione territoriale Liceità del trattamento Condizioni per il consenso Esercizio dei diritti Informativa Diritto di accesso Diritto di rettifica Diritto alla cancellazione Diritto di limitazione di trattamento Obbligo di notifica a terzi destinatari Diritto alla portabilità Diritto di opposizione Processo decisionale automatizzato Responsabilità del titolare By design e by default Contitolari Rappresentanti nello stato UE Responsabile del trattamento Trattamento sotto l’autorità Registri del trattamento Sicurezza del trattamento Data breach Notifica di data breach DPIA Consultazione preventiva Designazione DPO Posizione e compiti DPO Codici di condotta Certificazione Trasferimenti di dati all’estero Garanzie adeguate per trasferimenti esteri QUANDO?
  • 10. @Ros_Imperiali Valutazione di adeguatezza 10 Valutazione di adeguatezza ovunque nel GDPR Per il livello di sicurezza da garantire (art. 32). SICUREZZA Per la scelta delle misure da attuare (artt. 6 e 24). MISURE TECNICO-ORGANIZZATIVE Per corretta informazione all’interessato e facilitare esercizio diritti (artt. 12, 14 e 28). TRASPARENZA Per la scelta appropriata dei responsabili (art. 28). RESPONSABILI Per conformità a prescrizioni in fase di progettazione e per protezione dati come impostazione predefinita (art. 25). BY DESIGN & BY DEFAULT Altri casi sono la valutazione d’impatto, le decisioni automatizzate, la profilazione, il data breach. 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA
  • 11. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Apprezzamento del rischio 11 4
  • 12. @Ros_Imperiali Approccio basato sul rischio 12 Il Regolamento affianca alla modalità prescrittiva un’ampia disciplina tarata sul rischio. Valutazione di adeguatezza Dovuta in presenza di rischi elevati (art. 35), e se il rischio non è attenuato scatta la consultazione preventiva al Garante Rischio Probabilità/gravità riguardo a: Natura, Ambito applicazione, Contesto, Finalità trattamento Sicurezza È adeguata al rischio (art. 32) Data Breach Le implicazioni dipendono dal rischio (artt.33/34) Consultazione Preventiva Dell’Autorità è dovuta in presenza di rischi residui elevati (art. 36) 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Valutazione d’impatto Focus nelle prossime slide !
  • 13. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Gestione del rischio data protection come soglia 13 RISCHIO INCIDE SU Obbligo di tenuta del Registro trattamenti (art. 30.5) Rapporto Titolare/Responsabile [Considerando (81)] Compiti del DPO (art. 39.2) Responsabilità (art. 24) Nomina del Rappresentante nazionale (art. 27) 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA !
  • 14. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali By design ed Aree a rischio elevato 14 5
  • 15. 15 Senior Management Business/IT Project manager GDPR team + DPO DPO Inizio mappatura Inizio nuovo progetto Sintetizza caratteristiche dell’area Definisce requisiti di progetto Compila scheda caratteristiche GDPR Valuta l’impatto GDPR critico Convalida Aggiorna il registro delle verifiche No, basso Si, medio/ alto Esegue DPIA con misure di mitigazione Compila scheda requisiti GDPR | Definisce piano d’azione alto medio Requisiti di area /progetto definiti Richiede GO a Sr MGT per continuare Gestisce piano d’azione Go/ No Go Si No stop Il processo integrato di mappatura e by design
  • 16. Valutazione d’impatto: modalità operative 16  La pronta identificazione e la gestione dei rischi relativi alla protezione dei dati  Risoluzione gap potenziali in termini di compliance e sicurezza evitando, quindi, perdita di fiducia e danni reputazionali Principali benefici della DPIA Fase 1 Si determina se sia necessaria la DPIA:  Raccolta di informazioni sul progetto  Decisione su ingaggio di stakeholder  Identificazione e valutazione del rischio  Identificazione opzioni per evitare o mitigare il rischio Fase 2  Preparazione del DPIA report  Stesura delle raccomandazioni  Monitoraggio raccomandazioni 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA DPIA
  • 17. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Valutazione d’impatto: Consultazione preventiva 17  Se DPIA attesta che, in assenza di misure, meccanismi, garanzie di riduzione del rischio, permangono rischi elevati, ragionevolmente non mitigabili  Risponde entro 8+6 settimane al Titolare o Responsabile per iscritto TITOLARE GARANTE Rif:: (94) Art. 36 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Consultazione preventiva DPIA
  • 18. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Conclusioni 18 6
  • 19. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali Avv. Rosario Imperiali Gruppo Imperiali rosario.imperiali@imperiali.com Ros_Imperiali Rosario Imperiali Rosario Imperiali 1 Con il GDPR si è passati dall’approccio prescrittivo a quello della responsabilizzazione. 2 Accountability e sistema aziendale di compliance al GDPR sono due facce della stessa medaglia. 3 Il GDPR richiede una diffusa valutazione di adeguatezza. Spetta all’azienda valutare in autonomia l’impatto che l’uso dei dati personali determina. 4 Tramite la valutazione, l’azienda Titolare adotta le misure adeguate per il contenimento del rischio: quindi il rischio è il driver della compliance. 5 Mappatura dei trattamenti e compliance in fase progettuale si integrano vicendevolmente consentendo all’azienda di attuare con efficacia il sistema interno di conformità.