il percorso di conformità al gdpr - gipo · se l’azienda presenta dei gap nei confronti del gdpr...

1

Il percorso di

conformità al GDPRLa soluzione di Insight e Agic Technology

per i clienti Gipo

Sommario 1

2

3

4 Focus: Identificare e Valutare

5

Il GDPR in sintesi

Il percorso per la conformità al GDPR

Benefici e Vantaggi

L’analisi degli aspetti tecnologici: GDPR Consulting Services

7.1 Back-up and Restore Adeguato

7.2 Business Continuity and Disaster Recovery Carente

7.3 Change Management and Maintenance Carente

7.4 Entity Level Control Adeguato

7.5 Management Reporting/ Problem reporting and Tracking Critico

7.6 Sicurezza del trattamento Adeguato

7.7 Sicurezza fisica Adeguato

7.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) Adeguato

7.9 Sicurezza logica dei dati Migliorabile

7.10 Sicurezza logica dei programmi Critico

7.11 Sicurezza logica dei software di sistema Migliorabile

7.12 Sicurezza logica utenti Carente

7 Misure informatiche

Area Sub-Area Maturity

Carente

Rilasci operativirelazione finale

1. Il GDPR in sintesi2. Il percorso per la conformità al GDPR

4Il GDPR 2016/679 in sintesi

Il GDPR introduce il concetto del «data Protection by design», che impone alle aziende di adottare tutte le

garanzie necessarie per soddisfare i requisiti di legge e tutelare i diritti degli interessati, prima di avviare il

trattamento dei dati personali.

La protezione del dato personale è quindi un aspetto cruciale che ciascuna azienda deve affrontare sin dalla fase

di progettazione del servizio e che quindi ha un inevitabile impatto sia sui processi che sui sistemi informativi

dell’azienda.

ll General Data Protection Regulation (GDPR) è stato introdotto dal legislatore con il fine di armonizzare lanormativa sulla privacy all’interno dell’Unione Europea.

Il GDPR abroga, pertanto, la direttiva 95/46/CE in materia di protezione dei dati personali, concepita in un

periodo nel quale solo l’1% della popolazione europea utilizzava internet e non esistevano social media, tablet,

app, …

25 MAGGIO 2018Termine ultimo che le aziende hanno per adeguarsi al GDPR

5

Art. 34 – Comunicazione di una violazione dei dati personali all'interessato

Art. 13 - Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato

Art. 17 - Diritto alla cancellazione («diritto all'oblio»)

Art. 30 - Registri delle attività di trattamento

Art. 33 – Notifica di una violazione dei dati personali all'autorità di controllo

Art. 32 – Sicurezza del trattamento

Art. 35 – Valutazione d'impatto sulla protezione dei dati

Art. 37 - Designazione del responsabile della protezione dei dati

Il GDPR 2016/679 in sintesi

6Il GDPR 2016/679 in sintesi

Accountability

Privacy by design (assicurare la protezione dei dati fin dalla

progettazione del servizio)

Sottoscrizione di contratti con i Responsabili del trattamento

Nomina dei sub-responsabili del trattamento

Predisposizione dei Registri dei trattamenti

Nomina del DPO

Contenuti delle informative

Fondamento della liceità del trattamento (consenso)

Trasferimento dei dati verso Paesi terzi

Conservazione dei dati

Formazione del personale sui temi «privacy»

Diritti dell’interessatoGarantire agli interessati il diritto di:

Accedere ai propri dati personali

Rettificare i propri dati personali

Ottenere la cancellazione dei propri dati personali

Limitare il trattamento dei propri dati personali

Portabilità dei propri dati personali

Opposizione all’utilizzo dei propri dati personali

Sicurezza dei dati personali

Classificazione dei dati personali e individuazione dei sistemi

utilizzati per il loro trattamento

Investimenti nei sistemi informativi

Definizione di adeguati requisiti di sicurezza informatica

Notifica delle violazioni

SanzioniSanzioni pecuniarie/amministrative calcolate anche in misura

percentuale sul fatturato globale annuo mondiale

(fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale

totale annuo del trasgressore)

Cosa fare?Il percorso di conformità al GDPR

E’ anzitutto necessario comprendere

se l’azienda presenta dei gap nei

confronti del GDPR e quindi

individuare le azioni da adottare per

recepire le disposizioni di legge.

L’analisi deve essere svolta

considerando sia gli aspetti

organizzativi e normativi, che quelli

concernenti le misure di sicurezza

informatica.

Avviare un «percorso» strutturato in

tre step e contestualizzato,

finalizzato a favorire il passaggio al

GDPR e al mantenimento nel tempo

dei requisiti richiesti dalla legge.

Il p

erc

ors

o p

er

la c

onfo

rmità a

l GD

PR

Identificare i gap e valutare le azioni da

intraprendere

Identificaree Valutare

Implementare le azioni necessarie per colmare

i gap in modo da potenziare i controlli

e prevenire eventi avversi e gestire violazioni

Proteggere

Assicurare che il sistema implementato sia

adeguato nel tempoMantenere

1

2

3

Identificare & Valutare

Verificare il grado di «maturità» al Regolamento Europeo 2016/679, attraverso

l’acquisizione di una conoscenza overall dei processi e delle misure informatiche a protezione

dei dati

Raffronto delle

evidenze delle

analisi con i requisiti

previsti dal

Regolamento

Europeo 2016/679

Individuazione di

eventuali gap e

definizione del Piano di

bonifica volto a recepire

le disposizioni di cui al

Regolamento Europeo

2016/679

Prioritizzazione

delle azioni

correttive per

l’adeguamento

normativo

Definizione della

scadenza per

l’attuazione delle

azioni correttive

1

OBIETTIVI

ATTIVITA’

1. dati e trattamenti al fine di individuare le finalità, i soggetti coinvolti e gli strumenti utilizzati per il trattamento

2. ruoli e responsabilità rilevanti nella gestione degli adempimenti privacy

3. documentazione e modulistica privacy (es.: registro dei trattamenti / ex DPS; procedure organizzative; lettere di nomina;

informative; moduli per il consenso; ecc.)

4. misure di sicurezza organizzative e informatiche

Ricognizione dei

seguenti

aspetti:

RICOGNIZIONE RAFFRONTO GAP ANALYSIS PRIORITA’ SCADENZA

Proteggere

Supportare l’azienda nella gestione degli adempimenti normativi previsti dal

Regolamento Europeo 2016/679

OBIETTIVI

ATTIVITA’

Valutazione di

impatto (Privacy

Impact Analysis) dei

trattamenti relativi

all’implementazione

di nuovi servizi

Supporto nei

rapporti con

il Garante per

la protezione

dei dati personali

Formalizzazione di

policy, procedure e

istruzioni operative

Supporto per l’analisi

di casistiche

specifiche relative

a tematiche privacy

(videosorveglianza;

geolocalizzazione;

trattamento di dati

biometrici; sito web)

2

• revisione o redazione ex novo di tutta la documentazione prevista dalla normativa privacy, (es.: informative e moduli di consenso ove

obbligatori; lettere di nomina; istruzioni agli incaricati; ecc.)

• supporto nella definizione delle misure di sicurezza informatiche al fine di assicurare il rispetto dei requisiti di sicurezza previsti dalla

normativa sul trattamento dei dati personali, (es.: profili di autorizzazione degli utenti; modalità di autenticazione ai sistemi ed alle

applicazioni; ecc.)

• predisposizione/aggiornamento del registro dei trattamenti

Implementazione delle

azioni di adeguamento

per

la piena conformità ai

requisiti stabiliti dalla

vigente normativa

privacy:

IMPLEMENTAZIONE SUPPORTO P.I.A. AUTORITA’ PROCEDURE

Mantenere

Erogare sessioni formative, in «aula» o attraverso piattaforma di e-learning, sulla normativa

privacy e sull’adozione delle misure di sicurezza. La formazione può essere personalizzata in base

a specifiche richieste ed esigenze.

Verificare il mantenimento nel tempo delle misure di protezione implementate, al fine di

evidenziare eventuali situazioni critiche o prassi errate nel trattamento dei dati personali.

OBIETTIVI

ATTIVITA’

Verifica dell’adeguatezza e dell’efficacia

delle procedure operative relative al trattamento

dei dati e delle misure di protezione del dato

3

Predisposizione del materiale didattico contenente i seguenti contenuti minimi:

• principi della normativa sulla privacy

• ruoli e responsabilità (es.: Titolare; Responsabile; Data Proteggereion Officer;

Amministratori di Sistema; …)

• informativa e moduli di consenso

• misure di sicurezza ed comportamentali

• adempimenti relativi a particolari trattamenti di dati personali (es.: videosorveglianza;

geolocalizzazione; dati biometrici)

FORMAZIONE AUDIT















Carente


3. L’analisi degli aspetti tecnologici: GDPR Consulting Services

HYBRID CLOUD MODERN WORKPLACE LICENSING SERVICES

Plan

BuildManage

Discovery

Workshop

1

Onboarding

Services

2

Packaged

Services

3

Managed

Services

4

GipoNext e Gipo 8.0/9.0

✓Database su piattaforma SQL 2017 con abilitazione della funzionalità di SQL

Transparant Data Encryption

✓Connessione da e verso il back end tramite cifratura SSL

✓Connessione al server Gipo 8.0/9.0 tramite protocollo secure RDP

✓Connessione al client GipoNext tramite browser e protocollo HTTPS

✓High Availability e Disaster Recovery garantite dalla piattaforma cloud

Microsoft Azure rispettivamente tramite la funzionalità Availability Set e Geo

Replication

L’architettura di GIPO per la compliance alla GDPR

Il sistema informativo si trova a ruotare attorno al concetto di privacy

by design

Il tema della protezione del dato non si deve porre al momento della

gestione del dato, ma l’organizzazione deve farsene carico a partire

dalla fase di progettazione dei servizi

L’obiettivo nell’immediato è però di rendere adeguata

l’architettura esistente già in produzione

GDPR… dal punto di vista tecnologico

• Discover - identificare quali dati

personali abbiamo e dove risiedono

• Manage - governare come i dati

personali vengono acceduti ed usati

• Protect - implementare controlli di

sicurezza per prevenire, identificare

e risolvere eventuali fenomeni di

data breaches e vulnerabilità dei

Sistemi

• Report - manutenere l’adeguata

documentazione e gestire la

reportistica di sicurezza

Da dove cominciare

1. Gestione della raccolta, classificazione e modalità di elaborazione del dato

2. Protezione del dato

3. Gestione dei diritti del cittadino

4. Sicurezza perimetrale, interna ed in mobilità

5. Verifica della conformità per servizi esternalizzati in cloud

6. Gestione degli incidenti

Le aree di analisi

• Gestione delle identità e dei diritti di accesso al dato

• Reingegnerizzazione e modernizzazione delle applicazioni preposte alla

raccolta dei dati personali

• Reingegnerizzazione dei sistemi di memorizzazione dei dati (db e file

server)

• Metodologie di tracciamento, catalogazione e classificazione dei dati gestiti

Gestione della raccolta, classificazione e modalità di elaborazione del dato

Il problema…

Single sign-on

Esperienza Self-service

Common identity

Conditional access e MFA

Applicazioni SaaS

Azure Active Directory

Un utente, una sola identità… ovunque

Active Directory

Come funziona Azure Active Directory

• Integrazione dell’identitymanagement Azure per applicazionion premise

• Single Sign On

• Governance centralizzata degli account

• Centralizzazione dei log di sicurezza

• Possibilità di utilizzare l’autenticazione a multi fattori (pin sms su cell)

• Esposizione del layer di Azure per accesso dall’esterno

Azure Active DirectoryC

orp

ora

te

Netw

ork

DM

Zin

tern

a

Azure Application Proxy

CLASSIFY

PROTECTSHARE

MONITOR &RESPOND

Data

LABEL

• Classificazione e protezione del dato dal momento della suacreazione o modifica

• La protezione del dato è inclusanel dato stesso

• Condivisione con partner e o fornitori governata e presidiata

• Sistema di reportistica per ilcontrollo e la visibilità dei daticondivisi esternamente

• E che non guasta per noi specialist IT: semplicità di installazione edutilizzo

Azure Information Protection

Classificazione del dato: un esempio con word

SQL Data Classification

The classification engine

scans your database and

identifies columns

containing potentially

sensitive data.

It then provides you an

easy way to review and

apply the appropriate

classification

recommendations, as well

as to manually classify

columns.

SQL Data Classification

Tracciamento dei dati: SQL Data Classification

Tracciamento dei dati: Azure AD Identity Protection

• Protezione da perdita di dati

• Criptazione del dato

• Criptazione dei flussi informatici

• Pseudonomizzazione del dato

Gestione e protezione del dato

Creazione di policy e governance

granulare per utenti, gruppi e

workload

Le funzioni di DLP possono

utilizzare:

• keyword matches

• dictionary matches

• Valutazioni di regular expression

• Funzioni interne (es. credit card numbers)

Microsoft Data Loss Prevention

Abilitazione della cifratura

dell’intero hard disk delle

postazioni di lavoro con

BitLocker

Cifratura del dato: notebook

La configurazione di Encryption “at rest” è composta da due differenti componenti:

• Encryption a livello di disco con BitLocker

• Encryption per-file dei contenuti

BitLocker è una tecnologia integrata in

OneDrive for Business e SharePoint Online

Criptazione del dato: «at rest»

Oltre alla cifratura del dato

archiviato, anche la

connessione tra utente e

datacenter è cifrata…

… così come la comunicazione

tra vari datacenter, per la

ridondanza e resilienza del dato

Criptazione del dato: in transito

Dynamic Data Masking di SQL Azure e SQL 2016/2017

Le funzionalità di Dynamic data masking aiutano a prevenire accessi non

autorizzati a dati sensibili, permettendo ai clineti di definire quale livello e

quantità di dati sensibili rivelare, con impatto minimo sull’application

layer

Pseudonomizzazione del dato

Transparent Data Encryption di SQL Azure e SQL 2016/2017

TDE consente di eseguire la crittografia e la decrittografia I/O in tempo

reale dei file di dati e di log.

Per la crittografia viene usata una chiave di crittografia del database,

archiviata nel record di avvio del database affinché sia disponibile

durante le operazioni di recupero.

Pseudonomizzazione del dato: SQL Always Encrypted

• Diritto di accesso

• Diritto alla rettifica

• Diritto all’oblio

• Diritto alla restrizione dell’utilizzo

Gestione dei diritti del cittadino

Trust Center

Certificazioni internazionali

Il dato è del cliente non

del cloud provider;

Microsoft è il mero data

processor

Audit semestrali condotti

da terze parti e

consultabili in formato di

executive reports

Privacy controls: solo chi

viene configurato può

accedere alle sue

informazioni

• Sicurezza perimetrale

• Sicurezza interna

• Sicurezza endpoint e dei devices mobile

Sicurezza

RMS aumenta la sicurezza su

file e messaggi e-mail da

qualsiasi device:

• encryption

• identity

• authorization policies

La protezione segue il dato,

anche se copiato al di fuori

dell’Azienda

Azure RMS: Sicurezza applicata ai sistemi di memorizzazione

Personal apps

Managed apps

Prevenire la perdita di dati dai dispositivi mobili, inibendo il processo di

copia/incolla tra applicazioni ed ulteriori funzionalità del device (printscreen

schermo, ecc..)

User

Intune: Sicurezza per i pc, smartphone e tablet

• Quali outsourcer, tra quelli che sto utilizzando, sono compliant

con la GDPR?

• Impedire l’utilizzo di tutti gli altri servizi non aziendali:

Personal file storage (Google drive, DropBox, ecc..)

Caselle email personali

La verifica di conformità per i servizi esternalizzati

Come faccio a scoprire se nella mia

rete c’è qualcuno che utilizza cloud

service personali?

Microsoft Cloud App Security

• Ci si deve rendere conto di essere «sotto attacco»

• Individuare quanti e quali sistemi sono stati violati

• Gestire la risposta organizzativa

Gestione degli incident

Informazioni di dettaglio

per investigare eventi e situazioni

problematiche dal punto di vista

della sicurezza….

Creazione di alert dedicati:

Advanced Security Management

Service Health Center















Carente


4. Focus: Identificare e Valutare

E’ necessario che l’Azienda effettui una valutazione del proprio stato dell’arte relativamente

all’implementazione degli adempimenti previsti dal GDPR, identificando le eventuali aree di scopertura e le

azioni di adeguamento per la piena conformità ai requisiti stabiliti dalla nuova normativa in materia di

privacy.

Insight e Gipo offrono un servizio volto a supportare i soggetti obbligati nell’individuare le azioni

necessarie per recepire le disposizioni del GDPR.

La nostra proposta: Identificare e Valutare

Analisipreliminare

Individuazione di eventuali gap al GDPR

Stato dell’arte in relazione al GDPR

Analisi preliminare del contesto di riferimento

Elaborazione del Piano d'intervento

Individuazione dell’indice di «maturità» al GDPR

Statodell’arte

Gap Analysis

Piano d'intervento

Calcolo della“maturità”

La nostra proposta: Identificare e ValutareAnalisi preliminare

Tale fase prevede l’acquisizione di informazioni preliminari utili per indirizzare le analisi di cui alle

successive fasi.

Ad esempio, la rilevazione dei seguenti aspetti:

il settore di mercato : Sanitario

i sistemi informativi utilizzati per il trattamento dei dati personali: Gipo

la presenza di dati trasferiti in Paesi esteri : Gipo Cloud gestisce dati in paesi UE (Olanda , Irlanda)

il numero dei dipendenti dell'azienda

se l’azienda tratta dati su larga scala: Normalmente si

se l’azienda tratta particolari categorie di dati personali: Dati genetici, dati biometrici intesi a identificare in modo

univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona


Individuazione di provvedimenti, linee guida, ecc. rilevanti per il settore sanitario, da includere nel perimetro delle

analisi. A mero titolo esemplificativo:

Linee Guida in materia di Dossier Sanitario

- informativa,

- consenso,

- sistemi informativi,

- diritti dell’interessato,

- accesso al dossier,

- sicurezza dei dati,

Autorizzazione n. 8/2016 - Autorizzazione generale al trattamento dei dati genetici

Autorizzazione n. 9/2016 - Autorizzazione generale al trattamento dei dati personali effettuato per scopi di

ricerca scientifica

GANTT governance delprogetto

calendario delleinterviste


Costruzione di un valutazione personalizzata per

l’azienda!

Questo consentirà di individuare raccomandazioni

specifiche per l’azienda.

La nostra proposta: Identificare e ValutareStato dell'arte

Tale fase prevede la rilevazione della presenza di attività volte ad assolvere gli obblighi del GDPR.

La rilevazione dello Stato dell'arte sarà effettuata tramite interviste con i key officer e l’analisi

della documentazione rilevante, tenendo conto della tipologia di business dell’azienda e

consentirà di associare a ciascun obbligo normativo le attività poste in essere per assolverlo.

La rilevazione sarà effettuata con il supporto di una check list, composta da circa 130 quesiti

volti a comprendere la presenza di attività utili ad adempiere al GDPR.

La check list è stata costruita attraverso l’analisi puntuale dei vari adempimenti contenuti nel GDPR.


I quesiti della check list sono organizzati

per:

• Aree

• Sub-Aree

All’interno della check list sono state

complessivamente individuate:

• 11 Aree

• 39 Sub-Aree

Ciascuna domanda della check list è

pesata in relazione:

• all’Area

• alla Sub-Area

1 Amministratori di Sistema 1.1 Amministratori di Sistema

2 Audit 2.1 Audit

3.1 Erogazione della formazione

3.2 Istruzioni agli incaricati

3.3 Istruzioni ai responsabili

3.4 Piano di formazione

4.1 Diritto alla limitazione del trattamento

4.2 Diritto all'oblio

4.3 Diritto di accesso

4.4 Diritto di opposizione

4.5 Diritto di portabilità dei dati

4.6 Diritto di rettifica

4.7 Trasparenza nei confronti dell'interessato

5.1 Acquisizione consenso

5.2 Informativa agli interessati

6.1 Back-up and Restore

6.2 Business Continuity and Disaster Recovery

6.3 Change Management and Maintenance

6.4 Entity Level Control

6.5 Management Reporting/ Problem reporting and Tracking

6.6 Sicurezza del trattamento

6.7 Sicurezza fisica

6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni)

6.9 Sicurezza logica dei dati

6.10 Sicurezza logica dei programmi

6.11 Sicurezza logica dei software di sistema

6.12 Sicurezza logica utenti

7.1 Classificazione dei dati personali

7.2 Conferimento nomine

7.3 Contratti con i fornitori/responsabili del trattamento

7.4 P.I.A.

7.5 Privacy by design

7.6 Procedura aziendale

7.7 Ricognizione dei dati personali trattati

7.8 Trasferimento dei dati personali

8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali

9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento

10 Risk Management 10.1 Risk Management

11 Trattamenti Specifici 11.1 Videosorveglianza

Area Sub-Area

5 Gestione informative e consensi


Gestione delle richieste provenienti dagli interessati

3 Formazione privacy

4

7 Misure organizzative

1 Amministratori di Sistema 1.1 Amministratori di Sistema

2 Audit 2.1 Audit

3.1 Erogazione della formazione

3.2 Istruzioni agli incaricati

3.3 Istruzioni ai responsabili

3.4 Piano di formazione

4.1 Diritto alla limitazione del trattamento

4.2 Diritto all'oblio

4.3 Diritto di accesso

4.4 Diritto di opposizione

4.5 Diritto di portabilità dei dati

4.6 Diritto di rettifica

4.7 Trasparenza nei confronti dell'interessato

5.1 Acquisizione consenso

5.2 Informativa agli interessati

6.1 Back-up and Restore

6.2 Business Continuity and Disaster Recovery

6.3 Change Management and Maintenance

6.4 Entity Level Control

6.5 Management Reporting/ Problem reporting and Tracking

6.6 Sicurezza del trattamento

6.7 Sicurezza fisica

6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni)

6.9 Sicurezza logica dei dati

6.10 Sicurezza logica dei programmi

6.11 Sicurezza logica dei software di sistema

6.12 Sicurezza logica utenti

7.1 Classificazione dei dati personali

7.2 Conferimento nomine

7.3 Contratti con i fornitori/responsabili del trattamento

7.4 P.I.A.

7.5 Privacy by design

7.6 Procedura aziendale

7.7 Ricognizione dei dati personali trattati

7.8 Trasferimento dei dati personali

8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali

9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento

10 Risk Management 10.1 Risk Management

11 Trattamenti Specifici 11.1 Videosorveglianza

Area Sub-Area





4



Area:aggregazione di quesiti relativi a obblighi di legge riconducibili ad una stessa tematica (es. gestione

delle informative e dei consensi, notifica delle violazioni di dati personali, ecc.).

Sub-Area:sottoinsieme dell’Area di riferimento, che fornisce un maggiore dettaglio sugli obblighi di legge cui

si riferiscono i quesiti (es. all’interno dell’Area «Gestione delle richieste provenienti dagli

interessati», sono individuate diverse Sub-Aree: «diritto di accesso», «diritto all’oblio», ecc.).

Tutti quesiti sono stati pesati in base alla sanzione applicabile.

Ciascun quesito ha pertanto un peso sia rispetto all’Area che alla Sub-Area di appartenenza.

La nostra proposta: Identificare e ValutareGap Analysis

Risposta Descrizione Punteggio

SiL’azienda svolge l’attività oggetto della

domanda1

Parzialmente

L’azienda svolge solo in parte l’attività

oggetto della domanda, o che ci sono

margini di miglioramento

0,5

NoL’azienda non svolge l’attività oggetto

della domanda0

N.A.

Il quesito non è applicabile per l’azienda

e pertanto non sarà conteggiato nella

valutazione della «maturità» al GDPR.

N.A.

A ciascuna domanda della check list

sarà associata una risposta

A ciascuna risposta è associato

un punteggio

Per ogni domanda sarà indicato

il nominativo dell’owner della risposta.

Per tutte le risposte «Parzialmente» e

«No», sarà fornita una descrizione sintetica

del «gap» rilevato

La nostra proposta: Identificare e ValutareElaborazione dell’Piano d'intervento

Sulla base dei gap rilevati, a seguito

della comparazione tra gli

adempimenti richiesti dal GDPR e la

relativa implementazione da parte

dell’Azienda («Stato dell'arte»), verrà

predisposto un Piano di bonifica con

indicazione dei possibili interventi

migliorativi / delle raccomandazioni.

La nostra proposta: Identificare e ValutareElaborazione dell’Piano d'intervento

Il Piano di bonifica sarà condiviso

con gli Owner, con il fine di:

• assegnare i tasks

• definire i termini temporali per

l’attuazione degli interventi.

Successivamente alla condivisione

sarà elaborato l’Piano d'intervento.

LIVELLO DI maturità SODDISFACENTE

(Range 100% - 87,5%)

LIVELLO DI maturità NON SODDISFACENTE

(Range 87,4% - 0%)

Adeguato Migliorabile Carente Critico

Range: 100% Range: 99,9% - 87,5% Range: 87,4% - 50,1% Range:50% - 0%

Tutte le singole attività sono svolte.

Il livello di aderenza al GDPR è ritenuto

soddisfacente nel suo complesso.

Sono presenti alcune attività che

presentano opportunità di

miglioramento.

Il livello di aderenza al GDPR è

comunque ritenuto soddisfacente nel

suo complesso.

Un consistente numero di attività presentano

la necessità di interventi sostanziali, ovvero

aspetti migliorativi volti a raggiungere la

conformità al GDPR. Il livello di aderenza al

GDPR è ritenuto non soddisfacente nel suo

complesso.

La maggior parte delle attività presentano la

necessità di interventi sostanziali, ovvero

presentano aspetti migliorativi volti a

raggiungere la conformità al GDPR. Il livello di

aderenza al GDPR è ritenuto non

soddisfacente nel suo complesso.

La nostra proposta: Identificare e ValutareCalcolo della «maturità»

In base alle risposte fornite alle singole domande, sarà effettuata

un’aggregazione per ciascuna Area e Sub-Area di riferimento, in modo da

calcolare il grado della «maturità».

Rilasci operativi

Check list

relazione

finale

Check list compilata per la valutazione del livello di

rispondenza al GDPR e l’individuazione puntuale delle

attività di miglioramento.

Documento riepilogativo dei risultati, contenente

informazioni per il Management, relative al livello di

conformità al GDPR, eventuali azioni

migliorative/raccomandazioni, con indicazione delle

ownership e delle priorità. Il report finale comprende

il Piano di bonifica proposto.

Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della

risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date

Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse

tipologie di dati personali trattati?

Sanzioni amministrative pecuniarie fino a

10 000 000 EUR, o per le imprese, fino al 2 % del

fatturato mondiale totale annuo dell'esercizio

precedente, se superiore

M. Rossi/DPO 05/09/2017 Si - - - -

Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più

responsabili del trattamento?





M. Rossi/DPO 05/09/2017 No

L'azienda ha nominato nr. 10 responsabili del

trattamento, corrispondenti ai Direttori di

Funzione.

L'azienda non ha tuttavia nominato i responsabili

esterni del trattamento, ovvero i fornitori che

effettuano trattamenti di dati personali per conto

del titolare.

Si suggerisce di:

- effettuare una ricognizione di tutti i soggetti

esterni cui l'azienda affida trattamenti di dati

personali per proiprio conto;

- definire formalmente con i soggetti di cui al

precedente punto la durata del trattamento, la

natura e la finalità del trattamento, il tipo di dati

personali e le categorie di interessati, gli obblighi

e i diritti del titolare del trattamento.

M. Rossi/DPO 31/12/2017

Misure organizzative Conferimento nomine art.28 Q.3

L'azienda ha formalmente individuato persone

autorizzate al trattamento dei dati, oltre al

Responsabile?





M. Rossi/DPO 05/09/2017 Parzialmente

L'azienda ha individuato, all'interno delle varie

Funzioni aziendali, classi di incaricati (designati

tramite apposita lettera).

L'azienda non ha tuttavia implementato un

processo di aggiornamento delle designazioni

degli incaricati, nel caso di nuovi ingressi e di

spostamenti di soggetti in altre Funzioni.

Si suggerisce di:

- effettuare una ricognizione di tutti gli incaricati

designati e di effettuarne un'analisi di coerenza

tra il ruolo ricoperto e la lettera di designazione;

- aggiornare l'elenco degli incaricati e le lettere di

designazione (ove necessario).

M. Rossi/DPO 31/12/2017

Domande Risposta Remediation Plan

Rilasci operativiCheck List









M. Rossi/DPO 05/09/2017 Si - - - -










Funzione.




del titolare.

Si suggerisce di:









M. Rossi/DPO 31/12/2017




Responsabile?













Si suggerisce di:






M. Rossi/DPO 31/12/2017


Articolo del GDPR cui si

riferisce il quesito










M. Rossi/DPO 05/09/2017 Si - - - -










Funzione.




del titolare.

Si suggerisce di:









M. Rossi/DPO 31/12/2017




Responsabile?













Si suggerisce di:






M. Rossi/DPO 31/12/2017










M. Rossi/DPO 05/09/2017 Si - - - -










Funzione.




del titolare.

Si suggerisce di:









M. Rossi/DPO 31/12/2017




Responsabile?













Si suggerisce di:






M. Rossi/DPO 31/12/2017


Risposta al quesito

Descrizione del gap rilevato in relazione al

quesito/articolo del GDPR.










M. Rossi/DPO 05/09/2017 Si - - - -










Funzione.




del titolare.

Si suggerisce di:









M. Rossi/DPO 31/12/2017




Responsabile?













Si suggerisce di:






M. Rossi/DPO 31/12/2017










M. Rossi/DPO 05/09/2017 Si - - - -










Funzione.




del titolare.

Si suggerisce di:









M. Rossi/DPO 31/12/2017




Responsabile?













Si suggerisce di:






M. Rossi/DPO 31/12/2017


Raccomandazione/Suggerimento volto a

colmare il gap.

A ciascuna raccomandazione sarà attribuita

una categoria, in base alla tipologia di

intervento richiesto («organizzativa/di

processo», «tecnica», «informatica») Responsabile della

definizione e

dell’implementazione

dell’azione da attuare

Termine per

l’attuazione della

raccomandazione


Obiettivi dell’valutazione, principali risultati e considerazioni generali

Informazioni relative al business dell’Azienda, alla tipologia di dati trattati, alla struttura organizzativa

Descrizione dei gap rilevati e del relativo Piano d'intervento

Livello di «maturità» complessivamente raggiunto dall’azienda e dettaglio per ciascuna area / sub-area

Q.2

Q.3

Owner: Due Date:

Q.2

Si suggerisce di:

- effettuare una ricognizione di tutti i soggetti esterni cui l'azienda affida trattamenti di dati personali per

proiprio conto;

- definire formalmente con i soggetti di cui al precedente punto la durata del trattamento, la natura e la

finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare

del trattamento.

M. Rossi/DPO 31/12/2017

Q.3

Si suggerisce di:

- effettuare una ricognizione di tutti gli incaricati designati e di effettuarne un'analisi di coerenza tra il

ruolo ricoperto e la lettera di designazione;

- aggiornare l'elenco degli incaricati e le lettere di designazione (ove necessario).

M. Rossi/DPO 31/12/2017

L'azienda ha nominato nr. 10 responsabili del trattamento, corrispondenti ai Direttori di Funzione.

L'azienda non ha tuttavia nominato i responsabili esterni del trattamento, ovvero i fornitori che effettuano trattamenti di dati personali per

conto del titolare.

L'azienda ha individuato, all'interno delle varie Funzioni aziendali, classi di incaricati (designati tramite apposita lettera).

L'azienda non ha tuttavia implementato un processo di aggiornamento delle designazioni degli incaricati, nel caso di nuovi ingressi e di


Osservazioni:

Raccomandazioni:

Area: Misure Organizzatve

Sub-Area: Conferimento nomine

70%

Maturity

Carente


Scheda di dettaglio

per ciascuna Area /

Sub-area, contenete le

seguenti informazioni:

livello di «maturità»

raggiunto

gap rilevati

Raccomandazioni,

owner e scadenze
















Carente

Valutazione di

ciascuna Sub-Area

Valutazione

complessiva

dell’Area


% di Maturity Grado di Maturity % di Maturity Grado di Maturity

1 Amministratori di Sistema 1.1 Amministratori di Sistema 83% Carente 83,3% Carente

2 Audit 2.1 Audit N.A. N.A. N.A. N.A.

3.1 Erogazione della formazione 100% Adeguato

3.2 Istruzioni agli incaricati 100% Adeguato

3.3 Istruzioni ai responsabili 50% Critico

3.4 Piano di formazione 50% Critico

4.1 Diritto alla limitazione del trattamento N.A. N.A.

4.2 Diritto all'oblio 50% Critico

4.3 Diritto di accesso 100% Adeguato

4.4 Diritto di opposizione 0% Critico

4.5 Diritto di portabilità dei dati 75% Carente

4.6 Diritto di rettifica N.A. N.A.

4.7 Trasparenza nei confronti dell'interessato 50% Critico

5.1 Acquisizione consenso 50% Critico

5.2 Informativa agli interessati 25% Critico

6.1 Back-up and Restore 0% Critico

6.2 Business Continuity and Disaster Recovery 0% Critico

6.3 Change Management and Maintenance 59% Carente

6.4 Entity Level Control 27% Critico

6.5 Management Reporting/ Problem reporting and Tracking 0% Critico

6.6 Sicurezza del trattamento 67% Carente

6.7 Sicurezza fisica 70% Carente

6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) 25% Critico

6.9 Sicurezza logica dei dati 67% Carente

6.10 Sicurezza logica dei programmi 0% Critico

6.11 Sicurezza logica dei software di sistema 50% Critico

6.12 Sicurezza logica utenti 50% Critico

7.1 Classificazione dei dati personali 100% Adeguato

7.2 Conferimento nomine 36% Critico

7.3 Contratti con i fornitori/responsabili del trattamento 100% Adeguato

7.4 P.I.A. 0% Critico

7.5 Privacy by design 75% Carente

7.6 Procedura aziendale 100% Adeguato

7.7 Ricognizione dei dati personali trattati 33% Critico

7.8 Trasferimento dei dati personali 50% Critico

8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali 60% Carente 60,0% Carente

9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento 0% Critico 0,0% Critico

10 Risk Management 10.1 Risk Management 100% Adeguato 100,0% Adeguato

11 Trattamenti Specifici 11.1 Videosorveglianza 63% Carente 62,5% Carente

Area Sub-Area




Critico

Critico


4


75,0%

42,9%

36,2%

50,0%

53,8%

Sub-Area Area

Carente

Carente

Critico

% di Maturity Grado di Maturity % di Maturity Grado di Maturity

1 Amministratori di Sistema 1.1 Amministratori di Sistema 83% Carente 83,3% Carente

2 Audit 2.1 Audit N.A. N.A. N.A. N.A.

3.1 Erogazione della formazione 100% Adeguato

3.2 Istruzioni agli incaricati 100% Adeguato

3.3 Istruzioni ai responsabili 50% Critico

3.4 Piano di formazione 50% Critico

4.1 Diritto alla limitazione del trattamento N.A. N.A.

4.2 Diritto all'oblio 50% Critico

4.3 Diritto di accesso 100% Adeguato

4.4 Diritto di opposizione 0% Critico

4.5 Diritto di portabilità dei dati 75% Carente

4.6 Diritto di rettifica N.A. N.A.

4.7 Trasparenza nei confronti dell'interessato 50% Critico

5.1 Acquisizione consenso 50% Critico

5.2 Informativa agli interessati 25% Critico

6.1 Back-up and Restore 0% Critico

6.2 Business Continuity and Disaster Recovery 0% Critico

6.3 Change Management and Maintenance 59% Carente

6.4 Entity Level Control 27% Critico

6.5 Management Reporting/ Problem reporting and Tracking 0% Critico

6.6 Sicurezza del trattamento 67% Carente

6.7 Sicurezza fisica 70% Carente

6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) 25% Critico

6.9 Sicurezza logica dei dati 67% Carente

6.10 Sicurezza logica dei programmi 0% Critico

6.11 Sicurezza logica dei software di sistema 50% Critico

6.12 Sicurezza logica utenti 50% Critico

7.1 Classificazione dei dati personali 100% Adeguato

7.2 Conferimento nomine 36% Critico

7.3 Contratti con i fornitori/responsabili del trattamento 100% Adeguato

7.4 P.I.A. 0% Critico

7.5 Privacy by design 75% Carente

7.6 Procedura aziendale 100% Adeguato

7.7 Ricognizione dei dati personali trattati 33% Critico

7.8 Trasferimento dei dati personali 50% Critico

8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali 60% Carente 60,0% Carente

9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento 0% Critico 0,0% Critico

10 Risk Management 10.1 Risk Management 100% Adeguato 100,0% Adeguato

11 Trattamenti Specifici 11.1 Videosorveglianza 63% Carente 62,5% Carente

Area Sub-Area




Critico

Critico


4


75,0%

42,9%

36,2%

50,0%

53,8%

Sub-Area Area

Carente

Carente

Critico















Carente


5. Benefici e Vantaggi

Benefici e vantaggi

Metodologia basata su tool Microsoft e su

framework internazionali per la valutazione

dei controlli

Personalizzazione delle analisi in base

all’azienda

Analisi di tutti gli adempimenti del GDPR

La soluzione Insight e Agic per i clienti Gipo

Riassumendo

Attività di identificazione e valutazione con metodo

strutturato

Consulenza per Piano di bonifica

Supporto e assistenza nelle fasi di implementazione

il percorso di conformità al gdpr - gipo · se l’azienda presenta dei gap nei confronti del gdpr...

Documents