Il GDPR e le PMI:i codici di condotta

Milano, 17 gennaio 2017

Sergio Fumagalli – Europrivacy, Clusit, P4I

EUROPRIVACY.INFO

Il Paese reale e il d.lgs. 196/03

Il Paese reale e il Regolamento UE 2016/679

Imprese Addetti Imprese Addetti Imprese Addetti Imprese Addetti Imprese % Addetti %

1 152.737 138.812 338.537 310.115 826.474 802.639 1.335.131 1.227.850 2.652.879 59,7% 2.479.417 14,8%

2-9 209.328 838.297 210.172 714.598 705.317 2.372.807 452.034 1.398.252 1.576.851 35,5% 5.323.954 31,8%

10-19 43.578 581.923 17.085 220.378 49.270 636.423 24.268 317.062 134.201 3,0% 1.755.786 10,5%

20-49 21.317 640.997 5.302 153.087 15.933 466.264 10.761 324.886 53.313 1,2% 1.585.234 9,5%

50-249 9.282 903.396 1.237 105.835 5.160 487.621 5.927 592.100 21.606 0,5% 2.088.952 12,5%

250 e più 1.408 1.046.703 79 49.154 892 1.063.502 1.223 1.329.509 3.602 0,1% 3.488.868 20,9%

Totale 437.650 4.150.128 572.412 1.553.165 1.603.046 5.829.256 1.829.344 5.189.660 4.442.452 16.722.210

CLASSI DI

ADDETTI (a)

ATTIVITA' ECONOMICHE (b)

Industria in senso stretto Costruzioni Commercio, trasporti e alberghi Altri serv iziTotale

EUROPRIVACY.INFO

Nel 2013, Target,il secondo più grande retailer USA dopo Walmart, ha subito un data breach:• 40 milioni di carte di credito rubate• Dati personali relativi a 70 milioni di persone• 162 M$ di spese riportate a bilancio nel

2013 e 2014

Target era certificata PCI-DSS e dotata delle migliori tecnologie

Il vettore dell’attacco è stata una piccola società fornitrice di Target per la manutenzione degli impianti di condizionamento in una regione USA che era stata violata.

Non c’è sicurezza o compliance per nessuno

se non sono sicure e conformi anche le PMI.

Non è solo un problema delle singole aziende,

È un problema di sistema.

Un caso

EUROPRIVACY.INFO

Dir. 95/46 CE

l. 675/96

D.Lgs. 196/03

GDPR 2016/679

La mappa dimensionale e l’organizzazione delle imprese sono

invariate ma …

La tecnologia ha trasformato la società ed il business: la competitività è digitale

Outsourcing, catene di fornitura complesse, cloud: i dati aziendali

sono ovunque

I dati, la loro protezione, la loro sicurezza sono vitali per ogni

operatore, in ogni settore

1995

2003

1996

2016

Data Protection e imprese

EUROPRIVACY.INFO

Metodologie

Organizzazione

Tecnologia

Risorse & Competenze

Più flessibile,

Più efficace

PIU’ COMPLESSO PIU’ RISCHI

Risk managementDP by DesignDP impact assessment

Business continuityData breach notificationPortabilità/OblioAccountability

EncryptionIdentity managementData base securityDisaster recovery

DPOComplianceSecurityRelazioni esterne

Il GDPR

EUROPRIVACY.INFO

L’onere della protezione dei dati• E’ rilevante• Presuppone un’organizzazione articolata• Richiede competenze approfondite,

aggiornate e diversificate

La non-protezione dei dati (o una compliance solo burocratica)• È un rischio di business• Comporta un rischio-sanzioni molto alto• Rende vulnerabile l’intera catena del valore

Le imprese

Codici di Condotta, DPO condiviso:Data Protection Sostenibile & Efficace

EUROPRIVACY.INFO

GDPR

Le associazioni

Ente fieristicoassicurazioneEnte fieristico

assicurazioneEnte fieristicoassicurazioneEnte fieristico

Delear telef. mobileDelear telef.

mobileDelear telef. mobileDelear telef.

mobile

PMI di produzionePMI di

produzionePMI di produzionePMI di

produzione

Società di e-commerceSocietà di

e-commerceSocietà di e-commerceSocietà di

e-commerce

Il GDPR e i codici di condotta

Autorità GaranteApprova

EUROPRIVACY.INFO

Sezione 5 Codici di condotta e certificazione

Art. 40 Codici di condotta

1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggianol'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

2. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a: …

• Coinvolgimento degli organismi istituzionali

• Consapevolezza del problema: non basta la compliance delle grandi imprese

• L’iniziativa è del privato: le associazioni che rappresentano settori specifici di impresa

Il GDPR e codici di condotta

EUROPRIVACY.INFO

Art. 40 (segue)

2. … ad esempio relativamente a:a) il trattamento corretto e trasparente dei dati;b) i legittimi interessi in contesti specifici; c) la raccolta dei dati personali; d) la pseudonimizzazione dei dati personali; e) l'informazione fornita al pubblico e agli

interessati; f) l'esercizio dei diritti degli interessati; g) l'informazione fornita e la protezione del minore h) le misure e le procedure di cui agli articoli 24 e

25 e le misure volte a garantire la sicurezza del trattamento di cui all'Art. 32;

i) la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all'interessato;

j) il trasferimento di dati personali verso paesi terzi

k) le procedure stragiudiziali e di altro tipo per comporre le controversie.

Istruzioni mirate

Per dare attuazione al GDPR

Nel contesto specifico

Per i trattamenti rilevanti in quel contesto

Interazione condivisa con l’Autorità

Il GDPR e codici di condotta

EUROPRIVACY.INFO

Sezione 5 Codici di condotta e certificazione

Art. 41 Monitoraggio dei codici di condotta approvati

1. Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell'Art. 40 può essere effettuato da un organismo in possesso del livello adeguato di competenzeriguardo al contenuto del codice e del necessario accreditamento a tal fine dell'autorità di controllo competente.

Il GDPR e codici di condotta

I controlli sono simili a quelli di qualsiasi certificazione

EUROPRIVACY.INFO

Sezione 1 Obblighi generali

Art. 24 Responsabilità del titolare del trattamento

1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. …

3. L'adesione ai codici di condotta di cui all'Art. 40 o a un meccanismo di certificazione di cui all'Art. 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

• Considerando 77• Considerando 81• Considerando 98• Considerando 99• Considerando 148• Considerando 168

Art. 28 – Responsabile del trattamentoArt. 32 – Sicurezza del trattamentoArt. 35 – Valutazione d’impattoArt. 46 – Trasferimento soggetto a

garanzie adeguateArt. 57 – Compiti dell’Autorità di

controlloArt. 58 – Poteri dell’Autorità di controlloArt. 64 – Parere del Comitato europeoArt. 70 – Compiti del Comitato europeoArt. 83 – Condizioni generali per

infliggere sanzioni amministrative pecuniarie

I codici di condotta nel GDPR

EUROPRIVACY.INFO

Semplificare

Applicare, gestire

Il DPO: da onere a opportunità

Condividere il DPO per gestire al meglio il codice di condotta

EUROPRIVACY.INFO

Sezione 4 Responsabile della protezione dei dati

Articolo 37 Designazione del responsabile della protezione dei dati

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: …

4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il

responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari o di responsabili possono … designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari o i responsabili del trattamento.…

6. Il responsabile della protezione dei dati può essere un dipendente del titolare del

trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Il DPO: da onere a opportunità

EUROPRIVACY.INFO

Articolo 39 Compiti del responsabile della

protezione dei dati 1.Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al

titolare del trattamento o al responsabile del …;

b) sorvegliare l'osservanza del presente regolamento, …

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto

d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per

l'autorità di controllo

Il DPO: da onere a opportunità

Condividere il DPO:

• Riduce i costi

• Facilita un rapporto efficace con l’Autorità

• Assicura l’aggiornamento

• Riduce il rischio sanzioni/contenziosi

• Allinea i costi di compliance fra competitor

Anche se non è obbligatorio

EUROPRIVACY.INFO

Il ciclo completoper la conformità sostenibile ed efficace delle PMI

e il nuovo ruolo delle Associazioni

Associazione di categoria

ElaboraAderisce

DPO come servizio

Sup

po

rtaAutorità Garante

Ap

pro

va

Organismo accreditato

Verifica

Azienda appartenente ad una categoria di

Titolari omogenei fra loro rispetto al

trattamento di dati personali

Azienda appartenente ad una categoria di

Titolari omogenei fra loro rispetto al

trattamento di dati personali

Azienda appartenente ad una categoria di

Titolari omogenei fra loro rispetto al

trattamento di dati personali

Azienda appartenente ad una categoria di

Titolari omogenei rispetto al

trattamento di dati personali

Applica

EUROPRIVACY.INFO

Grazie per l’attenzione