Rosario Imperiali - Identificazione e valutazione del rischio
1 like239 views
Rosario Imperiali - Identificazione e valutazione del rischio Regolamento Privacy UE 2016/679
![GDPR Identificazione e valutazione del rischio@Ros_Imperiali
Gestione del rischio
data protection come soglia
13
RISCHIO
INCIDE SU
Obbligo di tenuta del
Registro trattamenti
(art. 30.5)
Rapporto
Titolare/Responsabile
[Considerando (81)]
Compiti del DPO
(art. 39.2)
Responsabilit
(art. 24)
Nomina del
Rappresentante nazionale
(art. 27)
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
!](https://image.slidesharecdn.com/imperiali-170622090331/85/Rosario-Imperiali-Identificazione-e-valutazione-del-rischio-13-320.jpg)
Rosario Imperiali - Identificazione e valutazione del rischio
- 1. @Ros_Imperiali GDPR Identificazione e valutazione del rischio 22 giugno 2017 Rosario Imperiali Gruppo Imperiali
- 2. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Sommario Generale 2 Accountability e compliance Nuovo approccio Valutazione di adeguatezza Apprezzamento del rischio 1 2 3 4 5 6 By design e Aree a rischio elevato Conclusioni
- 3. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Accountability e compliance 3 1
- 4. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Responsabilizzazione e sistema di conformit 4 Accountability Compliance
- 5. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Nuovo approccio 5 2
- 6. Dallapproccio prescrittivo alla responsabilizzazione 6 Si richiede la capacit dellazienda Titolare di effettuare unadeguata valutazione del rapporto tra rischi individuati e misure tecnico-organizzative adottate e di dimostrarlo. ACCOUNTABILITY 1 Focus nelle prossime slide 2. RISCHIO 3. MISURE 1. ACCOUNTABILITY 4. VALUTAZIONE DI ADEGUATEZZA
- 7. Nuovo approccio: implicazioni per le aziende 7 Capacit di monitorare determinazioni e valutazioni adottando correttivi tempestivi, a garanzia della costante adeguatezza. AGGIORNAMENTO Capacit di determinare probabilit/gravit del rischio in relazione a: Natura Contesto Finalit Scala Capacit di valutare il rischio presunto riguardo a interessi/diritti degli interessati. RISCHIO Capacit di commisurare le misure tecnico/organizzative al livello del rischio individuato. ADEGUATEZZA 3 sfide per le aziende !
- 8. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Valutazione di adeguatezza 8 3
- 9. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Valutazione di adeguatezza 9 Il regolamento richiede al Titolare di effettuare valutazioni di adeguatezza 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Ambito di applicazione materiale Ambito di applicazione territoriale Liceit del trattamento Condizioni per il consenso Esercizio dei diritti Informativa Diritto di accesso Diritto di rettifica Diritto alla cancellazione Diritto di limitazione di trattamento Obbligo di notifica a terzi destinatari Diritto alla portabilit Diritto di opposizione Processo decisionale automatizzato Responsabilit del titolare By design e by default Contitolari Rappresentanti nello stato UE Responsabile del trattamento Trattamento sotto lautorit Registri del trattamento Sicurezza del trattamento Data breach Notifica di data breach DPIA Consultazione preventiva Designazione DPO Posizione e compiti DPO Codici di condotta Certificazione Trasferimenti di dati allestero Garanzie adeguate per trasferimenti esteri QUANDO?
- 10. @Ros_Imperiali Valutazione di adeguatezza 10 Valutazione di adeguatezza ovunque nel GDPR Per il livello di sicurezza da garantire (art. 32). SICUREZZA Per la scelta delle misure da attuare (artt. 6 e 24). MISURE TECNICO-ORGANIZZATIVE Per corretta informazione allinteressato e facilitare esercizio diritti (artt. 12, 14 e 28). TRASPARENZA Per la scelta appropriata dei responsabili (art. 28). RESPONSABILI Per conformit a prescrizioni in fase di progettazione e per protezione dati come impostazione predefinita (art. 25). BY DESIGN & BY DEFAULT Altri casi sono la valutazione dimpatto, le decisioni automatizzate, la profilazione, il data breach. 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA
- 11. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Apprezzamento del rischio 11 4
- 12. @Ros_Imperiali Approccio basato sul rischio 12 Il Regolamento affianca alla modalit prescrittiva unampia disciplina tarata sul rischio. Valutazione di adeguatezza Dovuta in presenza di rischi elevati (art. 35), e se il rischio non 竪 attenuato scatta la consultazione preventiva al Garante Rischio Probabilit/gravit riguardo a: Natura, Ambito applicazione, Contesto, Finalit trattamento Sicurezza adeguata al rischio (art. 32) Data Breach Le implicazioni dipendono dal rischio (artt.33/34) Consultazione Preventiva DellAutorit 竪 dovuta in presenza di rischi residui elevati (art. 36) 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Valutazione dimpatto Focus nelle prossime slide !
- 13. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Gestione del rischio data protection come soglia 13 RISCHIO INCIDE SU Obbligo di tenuta del Registro trattamenti (art. 30.5) Rapporto Titolare/Responsabile [Considerando (81)] Compiti del DPO (art. 39.2) Responsabilit (art. 24) Nomina del Rappresentante nazionale (art. 27) 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA !
- 14. GDPR Identificazione e valutazione del rischio@Ros_Imperiali By design ed Aree a rischio elevato 14 5
- 15. 15 Senior Management Business/IT Project manager GDPR team + DPO DPO Inizio mappatura Inizio nuovo progetto Sintetizza caratteristiche dellarea Definisce requisiti di progetto Compila scheda caratteristiche GDPR Valuta limpatto GDPR critico Convalida Aggiorna il registro delle verifiche No, basso Si, medio/ alto Esegue DPIA con misure di mitigazione Compila scheda requisiti GDPR | Definisce piano dazione alto medio Requisiti di area /progetto definiti Richiede GO a Sr MGT per continuare Gestisce piano dazione Go/ No Go Si No stop Il processo integrato di mappatura e by design
- 16. Valutazione dimpatto: modalit operative 16 La pronta identificazione e la gestione dei rischi relativi alla protezione dei dati Risoluzione gap potenziali in termini di compliance e sicurezza evitando, quindi, perdita di fiducia e danni reputazionali Principali benefici della DPIA Fase 1 Si determina se sia necessaria la DPIA: Raccolta di informazioni sul progetto Decisione su ingaggio di stakeholder Identificazione e valutazione del rischio Identificazione opzioni per evitare o mitigare il rischio Fase 2 Preparazione del DPIA report Stesura delle raccomandazioni Monitoraggio raccomandazioni 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA DPIA
- 17. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Valutazione dimpatto: Consultazione preventiva 17 Se DPIA attesta che, in assenza di misure, meccanismi, garanzie di riduzione del rischio, permangono rischi elevati, ragionevolmente non mitigabili Risponde entro 8+6 settimane al Titolare o Responsabile per iscritto TITOLARE GARANTE Rif:: (94) Art. 36 3 MISURE 1. ACCOUNTABILITY 2 RISCHIO 4 VALUTAZIONE DI ADEGUATEZZA Consultazione preventiva DPIA
- 18. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Conclusioni 18 6
- 19. GDPR Identificazione e valutazione del rischio@Ros_Imperiali Avv. Rosario Imperiali Gruppo Imperiali rosario.imperiali@imperiali.com Ros_Imperiali Rosario Imperiali Rosario Imperiali 1 Con il GDPR si 竪 passati dallapproccio prescrittivo a quello della responsabilizzazione. 2 Accountability e sistema aziendale di compliance al GDPR sono due facce della stessa medaglia. 3 Il GDPR richiede una diffusa valutazione di adeguatezza. Spetta allazienda valutare in autonomia limpatto che luso dei dati personali determina. 4 Tramite la valutazione, lazienda Titolare adotta le misure adeguate per il contenimento del rischio: quindi il rischio 竪 il driver della compliance. 5 Mappatura dei trattamenti e compliance in fase progettuale si integrano vicendevolmente consentendo allazienda di attuare con efficacia il sistema interno di conformit.