Post on 14-Feb-2019
transcript
Analisi dei rischi e valutazione d’impatto privacy:
le misure di sicurezza adeguate per la protezione dei dati personali
ing. Giuseppe G. Zorzino
Roma, 16 mag 2018 ERMCP, CISA, CISM, CGEIT, CRISC, LA27001, CMMIappr, MCSA:Sec, Security+, ...
ing. Giuseppe G. Zorzino
Giuseppe Giovanni Zorzino
Consulente e docente di sicurezza delle informazioni, attualmente mi occupo di cyberstrategies,
sistemi di gestione della sicurezza, governance e sicurezza delle informazioni nelle organizzazioni,
privacy, compliance e awareness.
35+ anni di esperienza nell'IT e nell'analisi e sviluppo di basi di dati complesse, ed oltre 20 nell'IT
security.
Accademia di Pozzuoli, Ufficiale del Corpo del Genio dell'A.M., Cybersecurity coordinator del CESMA
(Centro Studi Militari Aeronautici) "Giulio Douhet".
Membro della Comm. Sicurezza Informatica dell’Ordine degli Ingegneri di Roma, nonché
di ISACA Rome Chapter e ISC2 Italian Chapter.
Vasta attività di divulgazione e formazione c/o enti pubblici e PMI.
2 brevetti.
Varie certificazioni attive: ERMCP, CISA, CISM, CGEIT, CRISC, Security+, Lead Auditor ISO 27001,
CMMI appr, MCSASec 2003, Certificatore etico, IBM Cert Solution Architect, IBM_Cert_Specialist, …
Bio
16/05/2018 2
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 3
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Nell'All. B del Dlgs
196/2003 era prevista
l'effettuazione di
un'analisi del rischio e
l'adozione di misure per
ridurre i rischi individuati
Dall'All. B §19.3 della 196 all'art. 35 del GDPR
16/05/2018 4
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Arriva …..
16/05/2018 5
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Chi è tenuto a rispettare GDPR deve condurre periodiche valutazioni del rischio.
Le valutazioni del rischio sono una parte essenziale della sicurezza informatica.
I rischi da affrontare non sono solo crimini e criminali informatici, anche la vulnerabilità dei
dati a distruzione, perdita o divulgazione accidentale o illecita.
I modi come tutto ciò potrebbe accadere devono essere identificati in ogni fase del
processo di gestione dei dati.
La crittografia e la pseudonimizzazione dei dati non sono la soluzione totale. Seppur
impediscono la visualizzazione dei dati, non altrettanto fanno per impedire la violazione
dei sistemi delle organizzazioni, cosa altrettanto importante per la conformità GPDR.
Un'analisi del rischio valuta le misure tecniche e organizzative presenti per salvaguardare
la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di
elaborazione. Inoltre, l'organizzazione deve essere in grado di ripristinare rapidamente la
disponibilità e l'accesso ai dati personali dopo una violazione dei dati.
La valutazione d'impatto sulla protezione dei dati è uno strumento per gestire i rischi degli
interessati mentre la gestione del rischio è normalmente incentrata sull'organizzazione.
Perchè la valutazione del rischio è
essenziale per la conformità?
16/05/2018 6
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Il regolamento impone ai titolari di attuare misure adeguate a garantire
e dimostrare il rispetto del regolamento tenendo conto dei rischi
connessi al trattamento di dati personali.
GDPR
16/05/2018 7
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse,
possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico,
materiale o immateriale, in particolare:
se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;
se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
GDPR considerando (75)
16/05/2018 8
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e
il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate
per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se
del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati
personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi
presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla
modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o
illegale, a dati personali trasmessi, conservati o comunque trattati.
GDPR – art. 32Sicurezza del trattamento (C83)
16/05/2018 9
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
(83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente
regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare
i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali
misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza,
tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i
trattamenti e alla natura dei dati personali da proteggere.
Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in
considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione
accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a
dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in
particolare un danno fisico, materiale o immateriale.
GDPR considerando (83)
16/05/2018 10
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove
tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può
presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei
trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può
esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione
dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia
designato uno.
3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in
particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche,
basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si
fondano decisioni che hanno effetti giuridici o incidono in modo analogo
significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo
9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
GDPR – art. 35Valutazione d’impatto sulla protezione dei dati
16/05/2018 11
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti
soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del
paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di
trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei
dati. L’autorità di controllo comunica tali elenchi al comitato.
6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente
applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono
attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al
monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che
possono incidere significativamente sulla libera circolazione dei dati personali all’interno
dell’Unione.
GDPR – art. 35Valutazione d’impatto sulla protezione dei dati
16/05/2018 12
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento,
compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle
finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza
e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità
al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli
interessati e delle altre persone in questione.
8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto
in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui
all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro
rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o
pubblici o la sicurezza dei trattamenti.
GDPR – art. 35Valutazione d’impatto sulla protezione dei dati
16/05/2018 13
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
È necessario realizzare una valutazione d'impatto sulla protezione dei dati soltanto
quando la tipologia di trattamento "può presentare un rischio elevato per i diritti e le
libertà delle persone fisiche" (articolo 35, paragrafo 1).
Il semplice fatto che le condizioni che comportano l'obbligo di realizzare una valutazione
d'impatto sulla protezione dei dati non sono soddisfatte, non diminuisce tuttavia l'obbligo
generale, cui i titolari del trattamento sono soggetti, di attuare misure volte a gestire
adeguatamente i rischi per i diritti e le libertà degli interessati.
In pratica, i titolari del trattamento devono continuamente valutare i rischi creati
dalle loro attività al fine di stabilire quando una tipologia di trattamento "possa presentare
un rischio elevato per i diritti e le libertà delle persone fisiche".
Al fine di poter gestire i rischi per i diritti e le libertà delle persone fisiche, detti rischi
devono essere regolarmente individuati, analizzati, stimati, valutati, trattati (ad esempio
attenuati, ecc.) e riesaminati.
I titolari del trattamento non possono sottrarsi alla loro responsabilità coprendo i rischi con
polizze assicurative.
Cosa fare
16/05/2018 14
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
Avvio
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 15
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Alcune soluzioni sul mercato:
• Verifica della maturità
Verifica della compliance a GDPR
16/05/2018 16
Analisi dei rischi e valutazione d’impatto privacy
IBM Security – Self Assessment Trattamento dei dati - Valutazioni introduttive alla tematica GDPR
ing. Giuseppe G. Zorzino
Verifica della compliance a GDPR
16/05/2018 17
Analisi dei rischi e valutazione d’impatto privacy
IBM Security – Self Assessment Trattamento dei dati - Valutazioni introduttive alla tematica GDPR
ing. Giuseppe G. Zorzino
GDPR Compliance Gap Analysis
16/05/2018 18
Analisi dei rischi e valutazione d’impatto privacy
http://www.servicios.agpd.es/Evalua/home.seam
ing. Giuseppe G. Zorzino
(per me), sono da verificare i seguenti articoli:
Verifica della compliance a GDPR
16/05/2018 19
Analisi dei rischi e valutazione d’impatto privacy
GDPR Articoli
CAPO II – Principi da 5 a 10 6
CAPO III - Diritti dell'interessato 12-22 11
CAPO IV - Titolare del trattamento e responsabile del trattamento
24-25, 27-30, 32-39 14
CAPO V - Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
5-49 5
CAPO VIII - Mezzi di ricorso, responsabilità e sanzioni 78 1
CAPO IX - Disposizioni relative a specifiche situazioni di trattamento
89, 91 2
tot 39
ing. Giuseppe G. Zorzino
Verifica della compliance a GDPR
16/05/2018 20
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 21
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Articolo 24
Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche, …
Articolo 25
Protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita (C75-C78)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche
dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace
i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare
i diritti degli interessati.
Gestione del rischio
16/05/2018 22
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Articolo 32
Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di
varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio,
…
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi
presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita,
dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale
o illegale, a dati personali trasmessi, conservati o comunque trattati.
Gestione del rischio
16/05/2018 23
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
A risk management process comprises four key phases, as
follows:
• Risk assessment: It can be understood as the generation
of a snapshot of current risks. A risk is often expressed as a
function of the likelihood that an adverse outcome (threat)
occurs multiplied by the magnitude of the adverse outcome
(impact) should it occur.
• Risk treatment: Based on the results of the risk
assessment, at this phase the organization selects and
implements security measures to treat the risks. The
measures can have different effects, such as: mitigation,
transfer, avoidance or retention of risks.
• Risk acceptance: Even when the risks have been treated,
residual risks will probably remain (e.g. due to the fact that
some controls are not feasible). These risks will need to be
accepted. This is a management decision that needs to
follow the acceptance of the way risks have been treated.
• Risk communication: All involved stakeholders need to be
informed about risks adopted controls, as well as accepted
risks.
ISO 27005
ISMS Risk Management
16/05/2018 24
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Normalmente l'attenzione è sui rischi degli asset:
• identificazione della metodologia
• analisi del rischio (classificazione delle informazioni e delle risorse,
identificazione delle minacce e delle vulnerabilità, calcolo del livello di
rischio)
• controllo del rischio (definizione delle contromisure, verifica del rischio,
trattamento e gestione dei rischi)
MA
per il GDPR l'attenzione è sempre sui rischi per
i diritti e le libertà delle persone fisiche
cioè
la DPIA si occupa dei rischi per i dati delle persone, NON di quelli alle aziende
Gestione del rischio
16/05/2018 25
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
"The action of risk sources on the supporting assets constitutes a threat and can take the
form of different threats. The supporting assets can be:
• used inappropriately: supporting assets are used outside or even diverted from their
intended context of use without being altered or damaged;
• observed: supporting assets are observed or spied upon without being damaged;
• overloaded: the limits of operation of supporting assets are exceeded, supporting
assets are overloaded, over-exploited or used under conditions not permitting them to
function properly;
• damaged: supporting assets are partially or completely damaged;
• altered: supporting assets are transformed;
• lost: supporting assets are lost, stolen, sold or given away, so it is no longer possible
to exercise property rights."
Tipologia delle minacce
16/05/2018 26
Analisi dei rischi e valutazione d’impatto privacy
CNIL-PIA-2-Tools.pdf, pag 17
ing. Giuseppe G. Zorzino
Tipologie di minacce
16/05/2018 27
Analisi dei rischi e valutazione d’impatto privacy
CNIL-PIA-2-Tools.pdf
ing. Giuseppe G. Zorzino
Mappa del rischio
16/05/2018 28
Analisi dei rischi e valutazione d’impatto privacy
CNIL-PIA-2-Tools
ing. Giuseppe G. Zorzino
Articolo 32
Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e
il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate
per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se
del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità
e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali
in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.
GDPRConfidenzialità-Integrità-Disponibilità-Resilienza
16/05/2018 29
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 30
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
La DPIA si basa su due pilastri:
• la tutela dei principi e diritti fondamentali dell'individuo, "non
negoziabili", stabiliti dalla legge, che devono essere rispettati e non
possono essere soggetti ad alcuna variazione, indipendentemente
dalla natura, dalla gravità e dalla probabilità di rischi;
• la gestione dei rischi per la privacy dei dati personali, che determina
i controlli tecnici e organizzativi appropriati per proteggere i dati
personali.
Basi fondamentali della DPIA
16/05/2018 31
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Il regolamento impone ai titolari di mettere in atto misure idonee a
garantire ed essere in grado di dimostrare l’osservanza del
regolamento stesso, tenendo conto, fra gli altri, dei “rischi aventi
probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”
(art. 24, paragrafo 1). L’obbligo di condurre una DPIA, in determinate
circostanze, deve essere collocato nel contesto del più generale
obbligo imposto ai titolari di gestire correttamente i rischi connessi al
trattamento di dati personali.
Il rischio è uno scenario che descrive un evento e le sue conseguenze,
stimato in termini di gravità e probabilità.
DPIA
16/05/2018 32
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Obbligo della DPIA?
16/05/2018 33
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
… in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle
persone fisiche.
Il Gruppo Art. 29 individua nove criteri specifici a questo proposito:
1) valutazione o assegnazione di un punteggio, compresa la profilazione;
2) processo decisionale automatizzato che produce significativi effetti giuridici (es: assunzioni,
concessione di prestiti, stipula di assicurazioni);
3) monitoraggio sistematico (es: videosorveglianza);
4) trattamento di dati sensibili, giudiziari o aventi carattere altamente personale;
5) trattamenti di dati personali su larga scala;
6) combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse
finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale;
7) dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, anziani, ecc.) che
possono non essere in grado di esercitare diritti, acconsentire o opporsi al trattamento;
8) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es:
riconoscimento facciale, device IoT, ecc.);
9) trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi
di un servizio o di un contratto.
La DPIA è necessaria in presenza di almeno due di questi criteri, ma il titolare può decidere - tenendo
conto delle circostanze - di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.
QUANDO LA DPIA È OBBLIGATORIA
16/05/2018 34
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti
che:
- non presentano rischio elevato per diritti e libertà delle persone fisiche;
- hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è
già stata condotta una DPIA;
- sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio
2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
- sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario
procedere alla DPIA;
- fanno riferimento a norme e regolamenti, UE o di uno stato membro, per la cui
definizione è stata condotta una DPIA.
QUANDO LA DPIA NON È
OBBLIGATORIA
16/05/2018 35
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
La DPIA è una procedura finalizzata a descrivere il trattamento, valutarne
necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le
libertà delle persone fisiche derivanti dal trattamento dei loro dati personali,
attraverso la valutazione di tali rischi e la definizione delle misure idonee ad
affrontarli.
La DPIA è uno strumento importante in termini di responsabilizzazione
(accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni
del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il
rispetto di tali prescrizioni (art. 24).
La DPIA è una procedura che permette di realizzare e dimostrare la
conformità con le norme.
In base al regolamento, l’inosservanza degli obblighi concernenti la DPIA può
comportare l’imposizione di sanzioni pecuniarie da parte della competente
autorità di controllo.
Perché la DPIA
16/05/2018 36
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Il mancato svolgimento della DPIA quando il trattamento è soggetto a tale
valutazione (art. 35, paragrafi 1 e 3-4), lo svolgimento non corretto di una DPIA
(art. 35, paragrafi 2 e 7-9) o la mancata consultazione dell’autorità di controllo
competente ove ciò sia necessario (art. 36, paragrafo 3, lettera e) ) possono
comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a un
massimo di 10 milioni di Euro, ovvero – se si tratta di un’impresa – fino al 2%
del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se
superiore.
Sanzioni per DPIA non corretta
16/05/2018 37
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 38
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove
tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può
presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei
trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può
esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione
dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia
designato uno.
….
8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è
tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati
di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei
dati.
9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro
rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o
pubblici o la sicurezza dei trattamenti.
GDPR – art. 35Valutazione d’impatto sulla protezione dei dati
16/05/2018 39
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Il DPO non effettua la DPIA, ma assiste il titolare del trattamento, che ne è responsabile,
nello svolgimento, in base all’art. 35, para 1.
Il DPO fornisce, se richiesto, un parere in merito alla DPIA e ne sorveglia lo svolgimento,
secondo l’art. 39, para 1, c).
Quando il titolare svolge una DPIA “si consulta” con il DPO in ossequio al principio del
“data protection by design" anche su:
- se condurre o meno una DPIA;
- quale metodologia adottare nel condurre una DPIA;
- se condurre la DPIA con le risorse interne ovvero esternalizzandola;
- quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i
rischi per i diritti e gli interessi delle persone interessate;
- se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte
(procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al
RGPD.
4.2. Il ruolo del DPO/RPD nella DPIA (1/3)
16/05/2018 40
Analisi dei rischi e valutazione d’impatto privacy
WP243 rev.0.1 Linee guida sui responsabili della protezione dei dati
ing. Giuseppe G. Zorzino
Se il titolare non concorda con le indicazioni fornite dal DPO, è necessario che
la documentazione relativa alla DPIA riporti specificamente per iscritto le
motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.
Inoltre, il WP29 raccomanda che il titolare definisca con chiarezza nel contratto
stipulato con il DPO il compito specificamente affidato e l'ambito di intervento.
Il titolare fornisce informative anche ai dipendenti, agli amministratori e, ove
pertinente, ad altri aventi causa, specificando i compiti loro affidati e i rispettivi
ambiti, con particolare riguardo alla conduzione della DPIA.
4.2. Il ruolo del DPO/RPD nella DPIA (2/3)
16/05/2018 41
Analisi dei rischi e valutazione d’impatto privacy
WP243 rev.0.1 Linee guida sui responsabili della protezione dei dati
ing. Giuseppe G. Zorzino
Se il DPO è stato nominato:
• deve fornire il suo parere sulla/e DPIA;
• deve sorvegliare l’osservanza del RGPD (4.1)
L’art. 39, paragrafo 1, lettera b), affida al DPO, fra gli altri, il compito di
sorvegliare l’osservanza del RGPD. Nel considerando 97 si specifica che il
titolare o il responsabile del trattamento dovrebbe essere “assistito [dal RPD]
nel controllo del rispetto a livello interno del presente regolamento”.
Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,
- la raccolta di informazioni per individuare i trattamenti svolti;
- l’analisi e la verifica dei trattamenti in termini di loro conformità,
- l’attività di informazione, consulenza e indirizzo nei confronti di titolare o
responsabile.
4.2. Il ruolo del DPO/RPD nella DPIA (3/3)
16/05/2018 42
Analisi dei rischi e valutazione d’impatto privacy
WP243 rev.0.1 Linee guida sui responsabili della protezione dei dati
ing. Giuseppe G. Zorzino
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per
stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure
se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente
completa per garantire il rispetto del regolamento generale sulla protezione dei dati:
• una descrizione sistematica del trattamento è fornita (articolo 35 §7, lett. a) ):
– la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono presi in
considerazione (considerando 90);
– vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;
– viene fornita una descrizione funzionale del trattamento;
– sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti,
persone, canali cartacei o di trasmissione cartacea);
– si tiene conto del rispetto dei codici di condotta approvati (articolo 35 §8);
Allegato 2 - Criteri per una valutazione d'impatto sulla
protezione dei dati accettabile (1/4)
16/05/2018 43
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per
stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure
se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente
completa per garantire il rispetto del regolamento generale sulla protezione dei dati:
• una descrizione sistematica del trattamento è fornita (articolo 35 §7, lett. a) ):
• la necessità e la proporzionalità sono valutate (articolo 35 §7, lett. b) ):
– sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35 §7
lett. d) e considerando 90):
• misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
– finalità determinate, esplicite e legittime (articolo 5 §1 lett. b));
– liceità del trattamento (articolo 6);
– dati personali adeguati, pertinenti e limitati a quanto necessario (articolo 5 §1 lett. c));
– limitazione della conservazione (articolo 5, paragrafo 1 lett. e));
• misure che contribuiscono ai diritti degli interessati:
– informazioni fornite all'interessato (articoli 12, 13 e 14);
– diritto di accesso e portabilità dei dati (articoli 15 e 20);
– diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);
– diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);
– rapporti con i responsabili del trattamento (articolo 28);
– garanzie riguardanti trattamenti internazionali (capo V);
– consultazione preventiva (articolo 36).
Allegato 2 - Criteri per una valutazione d'impatto sulla
protezione dei dati accettabile (2/4)
16/05/2018 44
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per
stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure
se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente
completa per garantire il rispetto del regolamento generale sulla protezione dei dati:
• una descrizione sistematica del trattamento è fornita (articolo 35 §7, lett. a) ):
• la necessità e la proporzionalità sono valutate (articolo 35 §7, lett. b) ):
• i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35 §7 lett. c)):
– l'origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in
particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati)
vengono determinate dalla prospettiva degli interessati:
• si considerano le fonti di rischio (considerando 90);
• sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono
l'accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
• sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e
la scomparsa dei dati;
• sono stimate la probabilità e la gravità (considerando 90);
– sono determinate le misure previste per gestire tali rischi (articolo 35 §7 lett. d) e considerando
90);
Allegato 2 - Criteri per una valutazione d'impatto sulla
protezione dei dati accettabile (3/4)
16/05/2018 45
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per
stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure
se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente
completa per garantire il rispetto del regolamento generale sulla protezione dei dati:
• una descrizione sistematica del trattamento è fornita (articolo 35 §7, lett. a) ):
• la necessità e la proporzionalità sono valutate (articolo 35 §7, lett. b) ):
• i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35 §7 lettera c) ):
• le parti interessate sono coinvolte:
– si consulta il responsabile della protezione dei dati (articolo 35 §2);
– si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (articolo 35 §9).
Allegato 2 - Criteri per una valutazione d'impatto sulla
protezione dei dati accettabile (4/4)
16/05/2018 46
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
Dopo aver eseguito la valutazione di impatto, il titolare decide autonomamente se
iniziare il trattamento (in quanto si ritiene adeguatamente idoneo ad evitare il rischio di
danno alla privacy) oppure consultare l’autorità di controllo competente per avere
indicazioni su come gestire il cosiddetto rischio residuale (art. 36).
È bene precisare che l’autorità non deve autorizzare il trattamento, ma deve dare
indicazioni sulle ulteriori misure eventualmente da implementare a cura del titolare e,
se necessario, adottare tutte le misure correttive indicate nell’art. 58 (che vanno
dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).
Su richiesta del titolare, l'intervento delle autorità di controllo, avviene dopo che lo stesso
titolare ha implementato le sue misure tecniche e organizzative di gestione dei dati
personali per le finalità indicate.
Se il Codice della Privacy imponeva la notifica preventiva dei trattamenti all’autorità di
controllo e il cosiddetto prior checking (o verifica preliminare), ora la nuova normativa
europea li sostituisce con la citata consultazione preventiva con l’autorità di controllo e
l’obbligo di tenuta di un registro dei trattamenti da parte del titolare.
La consultazione preventiva con il
Garante
16/05/2018 47
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
La stesura di un DPIA corretto prevede che si seguano determinati step:
1 – Valutare l’opportunità di fare un DPIA
si fa un’attenta analisi del progetto.
2 – Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti
individuare con precisione quali dati saranno utilizzati, come e dove serviranno, quali
finalità, da chi si ottengono, a chi saranno comunicati, chi ne avrà l’accesso.
3 – Identificazione dei rischi privacy e di quelli correlati
individuare i rischi di privacy e valutare il rischio in termini di coefficienti di probabilità
e di gravità.
4 – Identificazione delle soluzioni e delle misure di sicurezza
individuare le possibili soluzioni per i vari rischi censiti e valutare i costi e i benefici.
5 – Approvazione delle decisioni e registrazione dei risultati
sarebbe opportuno verbalizzare i vari passi seguiti nel processo decisionale e chi li ha
approvati.
6 – Integrazione dei risultati del PIA nel piano di progetto
la DPIA va allegata e integrata al piano di progetto.
La stesura di un DPIA
16/05/2018 48
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
• Un trattamento è legittimo se è sicuro, art.5.1f, da cui deriva che "è illegittimo
trattare dati personali se prima non si è valutato il rischio del trattamento" (è la
base di legittimità del trattamento)
• Nella valutazione d'impatto non c'è l'interessato
• La responsabilità è tutta di chi sta disegnando il trattamento, cioè l'attenzione
si sposta sul trattamento
• Se c'è la DPIA è perché c’è un'analisi del rischio
• Il DPO deve partecipare alla valutazione del rischio perché può anche dire che
è inadeguata.
• Nella valutazione della criticità dei trattamenti il titolare deve scrivere perché fa
o perché non fa la DPIA, con le relative motivazioni.
• Nel sito aziendale deve essere scritto che è stata fatta la DPIA (attenzione alle
responsabilità delle false dichiarazioni)
Punti fondamentali
16/05/2018 49
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
• Una DPIA è un processo inteso a garantire e dimostrare la conformità del
trattamento:
– rispetto dei requisiti
– evidenza delle misure adeguate per garantire il rispetto
• Inosservanza dei requisiti sanzioni (fino a 10M€ / 2%)
• Una DPIA può essere effettuata sia per un singolo che per una serie di
trattamenti, aventi tra loro medesime caratteristiche
• La DPIA deve essere redatta e pubblicata, da parte del titolare, prima dell’inizio
del trattamento, nonché previa consultazione, ove necessario (artt. 35.2 e
35.9), del DPO e degli interessati.
Punti fondamentali
16/05/2018 50
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Una valutazione d'impatto sulla protezione dei dati può essere altresì utile
per valutare l'impatto sulla protezione dei dati di un prodotto tecnologico,
ad esempio un dispositivo hardware o un software, qualora sia probabile che lo
stesso venga utilizzato da titolari del trattamento distinti per svolgere tipologie
diverse di trattamento. Ovviamente, il titolare del trattamento che utilizza detto
prodotto resta soggetto all'obbligo di svolgere la propria valutazione d'impatto
sulla protezione dei dati in relazione all'attuazione specifica, tuttavia tale
valutazione del titolare del trattamento può utilizzare le informazioni fornite da
una valutazione analoga preparata dal fornitore del prodotto, se opportuno. Un
esempio potrebbe essere rappresentato dalla relazione tra produttori di
contatori intelligenti e società fornitrici di servizi pubblici. Ogni fornitore di
prodotti o responsabile del trattamento dovrebbe condividere informazioni utili
senza compromettere i segreti né generare rischi per la sicurezza, divulgando
vulnerabilità.
DPIA di prodotti tecnologici
16/05/2018 51
Analisi dei rischi e valutazione d’impatto privacy
WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 52
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Privacy Impact Assessment
16/05/2018 53
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Privacy Impact Assessment
Many methods available
16/05/2018 54
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
DPIA METHODOLOGY
16/05/2018 55
Analisi dei rischi e valutazione d’impatto privacy
www.itgovernance.co.ukwww.itgovernance.co.uk
ing. Giuseppe G. Zorzino
16/05/2018 56
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 57
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Quale strumento usare?
16/05/2018 58
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
16/05/2018 59
Analisi dei rischi e valutazione d’impatto privacy
https://iapp.org/resources/apia/
ing. Giuseppe G. Zorzino
16/05/2018 60
Analisi dei rischi e valutazione d’impatto privacy
www.agpd.es
ing. Giuseppe G. Zorzino
CNIL - PIA
16/05/2018 61
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
In pratica cosa si fa? (1/3)
pag. 62
Analisi dei rischi e valutazione d’impatto privacy
"Principi di Privacy by Design e by Default" – Andrea Praitano
Denominazione
trattamento
Tipologia del
trattamentoDescrizione trattamento Responsabilità legate al trattamento
Strutture coinvolte nella
gestione del trattamentoTipologia di dati trattati
Data inizio
trattamento
Data di fine
trattamento
Criticità
(SI/NO)Motivazione se non critica
Gestione del personale Titolare
Il Trattamento è relativo alla
gestione delle informazioni del
personale dipendente di
ORGANIZZAZIONE dal momento
dell'assunzione fino al momento
del termine volontario o coatto del
rapporto di lavoro.
Il Trattamento include la gestione della formazione del personale
dipendente per le diverse tematiche generali all'organizzazione (ad
es. sicurezza sul luogo di lavoro). Il Trattamento include la
gestione e pianifcazione delle visite mediche di sorveglianza dei
lavoratori ma non le relative cartelle cliniche che sono mantenute
da parte del medico competente. Il Trattamento gestisce anche le
informazioni relative alle presenze ed assenze ordinarie (ferie e
permessi) che quelle non ordinarie (malattie, assenze
ingiustif icate, accesso a permessi Legge 104, ecc.). Il Trattamento
gestisce anche dati sensibili derivanti da certif icati medici che
attestano riduzione temporanea o permanente delle capacità
lavorative del personale dipendente.
• Direzione risorse umane
• Gestione dei sistemi informativi
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• Codice Fiscale
• fotografie
• numeri di matricola
• numeri telefonici
• indirizzi email
Dati Sensibili:
• appartenenza a categorie protette
• iscrizione a sindacati
• malattie
• limitazioni f isiche temporanee e/o permanenti
Dati giudiziari:
• pignoramento quinto dello stipendio
Pre-esistente al
25/05/2018In corso SI
Amministrazione e
contabilitàTitolare
Il Trattamento è relativo alla
gestione amministrativa e
contabile dell'ORGANIZZAZIONE.
Il Trattamento include la gestione amministrativa e contabile di
ORGANIZZAZIONE, il Trattamento gestisce anche il compenso del
personale del Consiglio di Amministrazione e i relativi dati
necessari.
• Amministrazione
• Gestione dei sistemi Informativi
Dati di entità giuridiche:
• Ragione sociale
• partita IVA
• indirizzo
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• numeri telefonici
• indirizzi email
Pre-esistente al
25/05/2018In corso NO
Sono gestiti prevalentemente dati di entità
giuridiche, i dati personali presente nel
trattamento sono i riferimenti di persone
fisiche e comunque dati personali
classif icabili come comuni (nome, cognome,
numero di telefono aziendale, numero
cellulare aziendale, indirizzo mail, ecc.).
Videosorveglianza Titolare
Il Trattamento è relativo al
servizio di videosorveglianza
delle sedi e dei magazzini.
Il Trattamento include la gestione del servizio di video sorveglianza
delle sedi di ORGANIZZAZIONE. Il Trattamento include sia la
sorveglianza esterna alle sedi che quella interna su alcune punti
ritenuti critici.
• Direzione dei Sistemi
Informativi
Dati personali indiretti:
• immagini
• video
Dati sensibili (potenziali):
• stato di salute
• razza/etinia
• fede religiosa
Pre-esistente al
25/05/2018In corso SI
Sicurezza fisica e gestione
accessiTitolare
Il Trattamento è relativo alla
gestione della sicurezza fisica
della sede ORGANIZZAZIONE
nonché degli ingressi presso la
sede.
Il Trattamento include la sicurezza fisica perimetrale della sede
ORGANIZZAZIONE e la gestione degli accessi del personale non
dipendente presso la sede ORGANIZZAZIONE.
•
Dati personali diretti:
• nome e cognome
Dati personali indiretti:
• numero documento di identità
• documento di identità
Pre-esistente al
25/05/2018In corso NO
Sono gestiti prevalentemente dati personali
classif icabili come comuni (nome, cognome,
ecc.). I documenti di identità sono presi solo
in visione.
…… …. … …. … … … … … …
16/05/2018
ing. Giuseppe G. Zorzino
In pratica cosa si fa? (2/3)
pag. 63
Analisi dei rischi e valutazione d’impatto privacy
"Principi di Privacy by Design e by Default" – Andrea Praitano
16/05/2018
ing. Giuseppe G. Zorzino
In pratica cosa si fa? (3/3)
pag. 64
Analisi dei rischi e valutazione d’impatto privacy
"Principi di Privacy by Design e by Default" – Andrea Praitano
16/05/2018
ing. Giuseppe G. Zorzino
1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR
2. La verifica della compliance al Regolamento
3. Il contesto della DPIA
4. Obbligatoria o no?
5. In carico a ….
6. Le metodologie
7. Strumenti ed esempi
8. Conclusioni
Agenda
16/05/2018 65
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
16/05/2018 66
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
16/05/2018 67
Analisi dei rischi e valutazione d’impatto privacy
ing. Giuseppe G. Zorzino
Grazie per l’attenzione!
16/05/2018 68
Analisi dei rischi e valutazione d’impatto privacy