Upload
lamdung
View
215
Download
0
Embed Size (px)
Citation preview
The White Swan
CREDE
• nella continuità operativa delle aziende, quale fattore distintivo rispetto ai
competitors e portatori di interesse
AIUTA
• le aziende a monitorare nel tempo l’impatto delle singole scelte sulle diverse aree aziendali e a valutarne i benefici sulla base di informazioni condivise disponibili o reperibili nel contesto di riferimento
AFFIANCA
• il management nella gestione del rischio insito in queste scelte portandolo entro limiti accettabili e fornendo ragionevole sicurezza nel conseguimento degli obiettivi aziendali definiti
GDPR
GDPR (GENERAL DATA PROTECTION REGULATION) o Regolamento UE n. 2016/679: ad oggi è già entrato formalmente in vigore, il 25 maggio 2018 scadrà il termine ultimo per la sua applicazione. Riguarda tutti i paesi membri dell’unione europea e regolamenta il trattamento dei dati relativi alle sole persone fisiche:
IDENTIFICATIVI
SENSIBILI
GIUDIZIARI
In generale sono esclusi soltanto quei dati che riguardano società, enti e associazioni.
3
GDPR cosa si intende con i principi di PRIVACY BY DESIGN e PRIVACY BY DEFAULT?
Dal momento che lo scopo è prevenire piuttosto che correggere si richiede di introdurre il tema della privacy sempre (BY DEFAULT) sin dal principio della progettazione di un processo aziendale (BY DESIGN).
ASPETTI OPERATIVI: come cambia la raccolta e l’archiviazione del dato?
La nuova normativa funziona sulla volontà di condividere il dato espresso attraverso un CONSENSO CONSAPEVOLE (non più consenso esplicito, nè consenso assenso). QUANDO SI RACCOGLIE UN DATO SI DOVRA’: chiarire la finalità del trattamento e tutti i passaggi relativi alla sua fruizione.
4
COSA FARE?
“DATA PRIVACY PROGRAM” -> progettare il sistema per la nuova tipologia di raccolta dei dati:
Meccanismo di raccolta basato sul principio di “minimizzazione del dato”
Esplicitazione durata del consenso espresso = mantenimento del dato del database (limite stabilito arbitrariamente dall’azienda in base alle finalità della raccolta)
Informativa semplificata, che espliciti tutte le modalità di utilizzo di quei dati collegati alla persona e nuovi diritti del prestatore
Consenso consapevole della registrazione del dato da parte di chi lo presta (ad esempio inviare una mail di cortesia per richiedere il consenso prima
dell’ingresso nel database aziendale)
5
COME UTILIZZARE I DATI RACCOLTI FINO AD ORA?
• verifica di consistenza e provenienza del dato
ANALISI
PROGRAMMA DI PULIZIA
• informativa su come verranno utilizzati da ora in poi i dati seguendo i principi di INFORMATIVA SEMPLIFICATE e CONSENSO CONSAPEVOLE
I DATI RACCOLTI NON SI POTRANNO MANTENERE NEL DATABASE SENZA QUESTE ACCORTEZZE, PENA L’IMPUTABILITA’ STESSE
SANZIONI PREVISTE PER UN DATA BREACH
ASPETTI ORGANIZZATIVI E FORMAZIONE
RISPETTO AL
MANAGEMENT
sensibilizzazione su concetto di protezione del dato come “fattore abilitante per il business”: visione del dato come fulcro del il processo produttivo contemporaneo.
E sui possibile fattori di interruzione della business continuity
SANZIONI:
quelle previste per il GDPR possono essere ingenti per una piccola o media
impresa, senza contare i danni alla reputazione e all’ immagine.
BLOCCO ALL’ACCESSO DEI DATI:
in caso di data breach, che significa blocco dell’attività produttiva per diverse
tipologie di aziende.
RISPETTO AL PERSONALE STRETTAMENTE
INTERESSATO E NON (team IT, ufficio
compliance)
best practice in base all’assessment iniziale e al ruolo specifico dell’interessato nel trattamento dei dati mappati.
SANZIONI PREVISTE
Limite massimo raggiungibile Le sanzioni minime
Organizzazione singola
fino a 20 mln €
Organizzazione facente parte di un gruppo
% calcolata sul fatturato
globale (fino a 4%)
Vengono scelte dal Garante per la Privacy e legislatore
europeo (quindi non su base territoriale o imputabili alla società con meno fatturato
di un gruppo)
IN CASO DI DATA BREACH il Garante della Privacy verificherà il principio di accountability adoperato, quindi quanto l’azienda ha fatto per mettere i suoi dati in sicurezza e scongiurare la diffusione illecita
COME FARE?
Il DPIA è opportuno ed espressamente richiesto dal regolamento in quanto «è il documento, da presentare eventualmente al Garante delle Privacy, in grado di provare l’applicazione del principio di accountability che l’organizzazione sta applicando rispetto alla gestione dei dati».
9
IL TEAM
TWS mette a disposizione dei sui clienti un team multidisciplinare per affrontare il tema privacy e sicurezza delle informazioni in modo integrato attraverso competenze di tipo
11
Enterprise Risk Management
Normativo
Matematico-Statistico
Assicurativo
Legale e Informatico forense
Informatico
HR (Human Resources)
www.golinelli.eu
Tel. 04 55 90 400
Studio legale – Anwaltskanzlei
Dr. F. Golinelli & C./K. Berlin-Brixen-Milano-Verona